BitLocker-Konfigurationsdienstanbieter
Tipp
Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.
Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.
Der BitLocker-Konfigurationsdienstanbieter (CSP) wird vom Unternehmen verwendet, um die Verschlüsselung von PCs und Geräten zu verwalten. Dieser CSP wurde in Windows 10 Version 1703 hinzugefügt. Ab Windows 10, Version 1809 wird dies auch in Windows 10 Pro unterstützt.
Hinweis
Um BitLocker über CSP zu verwalten, außer sie mithilfe der RequireDeviceEncryption Richtlinie zu aktivieren und zu deaktivieren, muss Ihren Benutzern unabhängig von Ihrer Verwaltungsplattform eine der folgenden Lizenzen zugewiesen werden:
- Windows 10/11 Enterprise E3 oder E5 (in Microsoft 365 F3, E3 und E5 enthalten).
- Windows 10/11 Enterprise A3 oder A5 (in Microsoft 365 A3 und A5 enthalten).
Ein Get Vorgang für eine der Einstellungen mit Ausnahme RequireDeviceEncryption von und RequireStorageCardEncryptiongibt die vom Administrator konfigurierte Einstellung zurück.
Für RequireDeviceEncryption und RequireStorageCardEncryption gibt der Get-Vorgang den tatsächlichen status der Erzwingung an den Administrator zurück, z. B. ob TPM-Schutz (Trusted Platform Module) erforderlich ist und ob verschlüsselung erforderlich ist. Und wenn auf dem Gerät BitLocker aktiviert ist, aber die Kennwortschutzvorrichtung verwendet wird, lautet die gemeldete status 0. Ein Get-Vorgang für RequireDeviceEncryption überprüft nicht, ob eine minimale PIN-Länge erzwungen wird (SystemDrivesMinimumPINLength).
Hinweis
- Einstellungen werden nur zu dem Zeitpunkt erzwungen, zu dem die Verschlüsselung gestartet wird. Die Verschlüsselung wird nicht mit Einstellungsänderungen neu gestartet.
- Sie müssen alle Einstellungen zusammen in einer einzelnen SyncML-Datei senden, damit sie wirksam sind.
In der folgenden Liste sind die Knoten des BitLocker-Konfigurationsdienstanbieters aufgeführt:
- ./Device/Vendor/MSFT/BitLocker
- AllowStandardUserEncryption
- AllowWarningForOtherDiskEncryption
- ConfigureRecoveryPasswordRotation
- EncryptionMethodByDriveType
- FixedDrivesEncryptionType
- FixedDrivesRecoveryOptions
- FixedDrivesRequireEncryption
- IdentificationField
- RemovableDrivesConfigureBDE
- RemovableDrivesEncryptionType
- RemovableDrivesExcludedFromEncryption
- RemovableDrivesRequireEncryption
- RequireDeviceEncryption
- RequireStorageCardEncryption
- RotateRecoveryPasswords
- Status
- SystemDrivesDisallowStandardUsersCanChangePIN
- SystemDrivesEnablePrebootInputProtectorsOnSlates
- SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
- SystemDrivesEncryptionType
- SystemDrivesEnhancedPIN
- SystemDrivesMinimumPINLength
- SystemDrivesRecoveryMessage
- SystemDrivesRecoveryOptions
- SystemDrivesRequireStartupAuthentication
AllowStandardUserEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1809 [10.0.17763] und höher |
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Ermöglicht Admin, die Richtlinie "RequireDeviceEncryption" für Szenarien zu erzwingen, in denen die Richtlinie gepusht wird, während der aktuelle angemeldete Benutzer kein Administrator/Standardbenutzer ist.
Die Richtlinie "AllowStandardUserEncryption" ist an die Richtlinie "AllowWarningForOtherDiskEncryption" gebunden, die auf "0" festgelegt wird, d. h. die automatische Verschlüsselung wird erzwungen.
Wenn "AllowWarningForOtherDiskEncryption" nicht festgelegt oder auf "1" festgelegt ist, versucht die Richtlinie "RequireDeviceEncryption" nicht, Laufwerke zu verschlüsseln, wenn ein Standardbenutzer der aktuell angemeldete Benutzer im System ist.
Die erwarteten Werte für diese Richtlinie sind:
1 = Die Richtlinie "RequireDeviceEncryption" versucht, die Verschlüsselung auf allen Festplattenlaufwerken zu aktivieren, auch wenn es sich bei einem aktuell angemeldeten Benutzer um einen Standardbenutzer handelt.
0 = Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist, versucht die Richtlinie "RequireDeviceEncryption", die Verschlüsselung auf keinem Laufwerk zu aktivieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
| Abhängigkeit [AllowWarningForOtherDiskEncryptionDependency] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [0] Dependency Allowed Value Type(Dependency Allowed Value Type): Range |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist, versucht die Richtlinie "RequireDeviceEncryption", die Verschlüsselung auf keinem Laufwerk zu aktivieren. |
| 1 | Die Richtlinie "RequireDeviceEncryption" versucht, die Verschlüsselung auf allen Festplattenlaufwerken zu aktivieren, auch wenn es sich bei einem aktuell angemeldeten Benutzer um einen Standardbenutzer handelt. |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>111</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
AllowWarningForOtherDiskEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Ermöglicht Admin, alle Benutzeroberfläche zu deaktivieren (Benachrichtigung zur Verschlüsselung und Warnungsaufforderung für andere Datenträgerverschlüsselung) und die Verschlüsselung auf den Benutzercomputern im Hintergrund zu aktivieren.
Warnung
Wenn Sie BitLocker auf einem Gerät mit Verschlüsselung von Drittanbietern aktivieren, wird das Gerät möglicherweise unbrauchbar und erfordert eine erneute Installation von Windows.
Hinweis
Diese Richtlinie wird nur wirksam, wenn die Richtlinie "RequireDeviceEncryption" auf 1 festgelegt ist.
Die erwarteten Werte für diese Richtlinie sind:
1 = Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Warnungsaufforderung und Verschlüsselungsbenachrichtigung sind zulässig.
0 = Deaktiviert die Warnungsaufforderung und die Verschlüsselungsbenachrichtigung. Ab Windows 10, dem nächsten größeren Update, wird der Wert 0 nur auf Microsoft Entra verbundenen Geräten wirksam.
Windows versucht, BitLocker automatisch für den Wert 0 zu aktivieren.
Hinweis
Wenn Sie die Warnungsaufforderung deaktivieren, wird der Wiederherstellungsschlüssel des Betriebssystemlaufwerks im Microsoft Entra Konto des Benutzers gesichert. Wenn Sie die Warnungsaufforderung zulassen, kann der Benutzer, der die Eingabeaufforderung erhält, auswählen, wo der Wiederherstellungsschlüssel des Betriebssystemlaufwerks gesichert werden soll.
Der Endpunkt für die Sicherung eines Festplattenlaufwerks wird in der folgenden Reihenfolge ausgewählt:
- Das Windows Server Active Directory Domain Services-Konto des Benutzers.
- Das Microsoft Entra-Konto des Benutzers.
- Das persönliche OneDrive des Benutzers (nur MDM/MAM).
Die Verschlüsselung wartet, bis einer dieser drei Speicherorte erfolgreich gesichert wurde.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 1 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 | Deaktiviert die Warnungsaufforderung. Ab Windows 10 Version 1803 kann der Wert 0 nur für Microsoft Entra verbundene Geräte festgelegt werden. Windows versucht, BitLocker automatisch für den Wert 0 zu aktivieren. |
| 1 (Standard) | Warnungsaufforderung zulässig. |
Beispiel:
<Replace>
<CmdID>110</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Data>0</Data>
</Item>
</Replace>
ConfigureRecoveryPasswordRotation
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1909 [10.0.18363] und höher |
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
Ermöglicht Admin das Konfigurieren der numerischen Wiederherstellungskennwortrotation bei Verwendung für Betriebssystem- und Festplattenlaufwerke auf geräten, die in Microsoft Entra ID- und Hybriddomänen eingebunden sind.
Wenn dies nicht konfiguriert ist, ist die Rotation standardmäßig nur für Microsoft Entra ID aktiviert und bei Hybriden deaktiviert. Die Richtlinie ist nur wirksam, wenn die Active Directory-Sicherung für das Wiederherstellungskennwort so konfiguriert ist, dass sie erforderlich ist.
Für Betriebssystemlaufwerk: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind".
Für Festplattenlaufwerke: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind".
Unterstützte Werte: 0 – Rotation von numerischen Wiederherstellungskennwörtern AUS.
1 – Rotation numerischer Wiederherstellungskennwörter bei Verwendung von ON für Microsoft Entra verbundene Geräte. Standardwert 2– Rotation numerischer Wiederherstellungskennwörter bei Verwendung von ON für Microsoft Entra ID- und Hybridgeräte.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Aktualisierung deaktiviert (Standard). |
| 1 | Aktualisieren Sie für Microsoft Entra verbundene Geräte. |
| 2 | Aktualisieren Sie sowohl für Microsoft Entra als auch für hybrid eingebundene Geräte. |
EncryptionMethodByDriveType
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
Mit dieser Richtlinieneinstellung wird konfiguriert, ob bitLocker-Schutz erforderlich ist, damit ein Computer Daten auf ein Wechseldatenlaufwerk schreiben kann.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Wechseldatenträger, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
Wenn die Option "Schreibzugriff auf Geräte verweigern, die in einer anderen organization konfiguriert sind" aktiviert ist, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff. Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird auf ein gültiges Identifikationsfeld und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung "Geben Sie die eindeutigen Bezeichner für Ihre organization" fest.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff eingebunden.
Hinweis
Diese Richtlinieneinstellung kann von den Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselspeicherzugriff überschrieben werden. Wenn die Richtlinieneinstellung "Wechseldatenträger: Schreibzugriff verweigern" aktiviert ist, wird diese Richtlinieneinstellung ignoriert.
Hinweis
Wenn Sie EncryptionMethodByDriveType aktivieren, müssen Sie Werte für alle drei Laufwerke (Betriebssystem, feste Daten und Wechseldaten) angeben. Andernfalls tritt ein Fehler auf (500 zurückgeben status). Wenn Sie z. B. nur die Verschlüsselungsmethode für das Betriebssystem und Wechseldatenträger festlegen, erhalten Sie eine Rückgabe vom Typ 500 status.
Daten-ID-Elemente:
- EncryptionMethodWithXtsOsDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus.
- EncryptionMethodWithXtsFdvDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke aus.
- EncryptionMethodWithXtsRdvDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus.
Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie und Festlegen der Verschlüsselungsmethoden:
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>
Mögliche Werte für "xx" sind:
- 3 = AES-CBC 128
- 4 = AES-CBC 256
- 6 = XTS-AES 128
- 7 = XTS-AES 256
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RDVDenyWriteAccess_Name |
| Anzeigename | Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger |
| Registrierungsschlüsselname | System\CurrentControlSet\Policies\Microsoft\FVE |
| Registrierungswertname | RDVDenyWriteAccess |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesEncryptionType
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType
Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>
Mögliche Werte:
- 0: Benutzer die Auswahl erlauben.
- 1: Vollständige Verschlüsselung.
- 2: Verschlüsselung nur verwendeter Speicherplatz.
Hinweis
Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie für ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.
Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter manage-bde.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | FDVEncryptionType_Name |
| Anzeigename | Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | FDVEncryptionType |
| ADMX-Dateiname | VolumeEncryption.admx |
FixedDrivesRecoveryOptions
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions
Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Festplattenlaufwerke ohne die erforderlichen Anmeldeinformationen wiederhergestellt werden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Das Kontrollkästchen "Datenwiederherstellungs-Agent zulassen" wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Festplattenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch zur BitLocker-Laufwerkverschlüsselung auf Microsoft TechNet.
Wählen Sie unter "Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.
Wählen Sie "Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen" aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden soll. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.
Wählen Sie unter "BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern" aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden sollen. Wenn Sie "Kennwort und Schlüsselpaket für die Wiederherstellung sichern" auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie "Nur Sicherungswiederherstellungskennwort" auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
Aktivieren Sie das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich.
Hinweis
Wenn das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Festplattenlaufwerken zur Verfügung stehen.
Wenn diese Richtlinieneinstellung nicht konfiguriert oder deaktiviert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
Daten-ID-Elemente:
- FDVAllowDRA_Name: Datenwiederherstellungs-Agent zulassen
- FDVRecoveryPasswordUsageDropDown_Name und FDVRecoveryKeyUsageDropDown_Name: Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen
- FDVHideRecoveryPage_Name: Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
- FDVActiveDirectoryBackup_Name: Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services
- FDVActiveDirectoryBackupDropDown_Name: Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS
- FDVRequireActiveDirectoryBackup_Name: Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>
Mögliche Werte für "xx" sind:
- true = Explizit zulassen
- false = Richtlinie nicht festgelegt
Mögliche Werte für "yy" sind:
- 0 = Unzulässig
- 1 = Erforderlich
- 2 = Zulässig
Mögliche Werte für "zz":
- 1 = Wiederherstellungskennwörter und Schlüsselpakete speichern
- 2 = Nur Wiederherstellungskennwörter speichern
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | FDVRecoveryUsage_Name |
| Anzeigename | Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | FDVRecovery |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
FixedDrivesRequireEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption
Diese Richtlinieneinstellung bestimmt, ob BitLocker-Schutz erforderlich ist, damit Festplattenlaufwerke auf einem Computer schreibbar sind.
Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Festplattenlaufwerke, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Festplattenlaufwerke auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | FDVDenyWriteAccess_Name |
| Anzeigename | Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke |
| Registrierungsschlüsselname | System\CurrentControlSet\Policies\Microsoft\FVE |
| Registrierungswertname | FDVDenyWriteAccess |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
IdentificationField
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/IdentificationField
Mit dieser Richtlinieneinstellung können Sie einem neuen Laufwerk, das mit BitLocker aktiviert ist, eindeutige Organisationsbezeichner zuordnen. Diese Bezeichner werden als Identifikationsfeld und zulässiges Identifikationsfeld gespeichert. Mit dem Identifikationsfeld können Sie durch BitLocker geschützte Laufwerke einen eindeutigen Organisationsbezeichner zuordnen. Dieser Bezeichner wird automatisch neuen bitLocker-geschützten Laufwerken hinzugefügt und kann mithilfe des Befehlszeilentools manage-bde auf vorhandenen bitLocker-geschützten Laufwerken aktualisiert werden. Ein Identifikationsfeld ist für die Verwaltung von zertifikatbasierten Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken und für potenzielle Updates des BitLocker To Go-Readers erforderlich. BitLocker verwaltet und aktualisiert Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf dem Laufwerk mit dem im Identifikationsfeld konfigurierten Wert übereinstimmt. Auf ähnliche Weise aktualisiert BitLocker den BitLocker To Go-Reader nur, wenn das Identifikationsfeld auf dem Laufwerk mit dem für das Identifikationsfeld konfigurierten Wert übereinstimmt.
Das Zulässige Identifikationsfeld wird in Kombination mit der Richtlinieneinstellung "Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind" verwendet, um die Verwendung von Wechseldatenträgern in Ihrem organization zu steuern. Es handelt sich um eine durch Trennzeichen getrennte Liste von Identifikationsfeldern aus Ihrem organization oder anderen externen Organisationen.
Sie können die Identifikationsfelder auf vorhandenen Laufwerken mithilfe von manage-bde.exe konfigurieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Identifikationsfeld auf dem durch BitLocker geschützten Laufwerk und alle zulässigen Identifikationsfelder konfigurieren, die von Ihrem organization verwendet werden.
Wenn ein bitLocker-geschütztes Laufwerk auf einem anderen BitLocker-fähigen Computer bereitgestellt wird, werden das Identifikationsfeld und das zulässige Identifikationsfeld verwendet, um zu bestimmen, ob das Laufwerk von einem externen organization.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist das Identifikationsfeld nicht erforderlich.
Hinweis
Identifikationsfelder sind für die Verwaltung zertifikatbasierter Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert zertifikatbasierte Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Computer konfigurierten Wert identisch ist. Das Identifikationsfeld kann ein beliebiger Wert von maximal 260 Zeichen sein.
Daten-ID-Elemente:
- IdentificationField: Dies ist ein BitLocker-Identifikationsfeld.
- SecIdentificationField: Dies ist ein zulässiges BitLocker-Identifikationsfeld.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | IdentificationField_Name |
| Anzeigename | Geben Sie die eindeutigen Bezeichner für Ihre organization |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | IdentificationField |
| ADMX-Dateiname | VolumeEncryption.admx |
RemovableDrivesConfigureBDE
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE
Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Wenn diese Richtlinieneinstellung aktiviert ist, können Sie Eigenschafteneinstellungen auswählen, die steuern, wie Benutzer BitLocker konfigurieren können. Wählen Sie "Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben" aus, damit der Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenlaufwerk ausführen kann. Wählen Sie "Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben", damit der Benutzer die BitLocker-Laufwerkverschlüsselung vom Laufwerk entfernen oder die Verschlüsselung anhalten kann, während die Wartung durchgeführt wird. Informationen zum Anhalten des BitLocker-Schutzes finden Sie unter Grundlegende BitLocker-Bereitstellung.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer BitLocker auf Wechseldatenträgern verwenden.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.
Daten-ID-Elemente:
- RDVAllowBDE_Name: Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger ermöglichen.
- RDVDisableBDE_Name: Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern ermöglichen.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RDVConfigureBDE |
| Anzeigename | Steuern der Verwendung von BitLocker auf Wechseldatenträgern |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | RDVConfigureBDE |
| ADMX-Dateiname | VolumeEncryption.admx |
RemovableDrivesEncryptionType
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType
Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>
Mögliche Werte:
- 0: Benutzer die Auswahl erlauben.
- 1: Vollständige Verschlüsselung.
- 2: Verschlüsselung nur verwendeter Speicherplatz.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Abhängigkeit [BDEAllowed] | Abhängigkeitstyp: DependsOn Abhängigkeits-URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE Dependency Allowed Value Type(Dependency Allowed Value Type): ADMX |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RDVEncryptionType_Name |
| Anzeigename | Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | RDVEncryptionType |
| ADMX-Dateiname | VolumeEncryption.admx |
RemovableDrivesExcludedFromEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption
Wenn diese Option aktiviert ist, können Sie Wechseldatenträger und Geräte, die über die USB-Schnittstelle verbunden sind, von der BitLocker-Geräteverschlüsselung ausschließen. Ausgeschlossene Geräte können nicht verschlüsselt werden, auch nicht manuell. Darüber hinaus wird der Benutzer nicht zur Verschlüsselung aufgefordert, und das Laufwerk wird im Lese-/Schreibmodus eingebunden, wenn "Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind" konfiguriert ist. Geben Sie unter Verwendung der Hardware-ID des Datenträgergeräts eine durch Trennzeichen getrennte Liste ausgeschlossener Wechseldatenträger\Geräte an. Beispiel USBSTOR\SEAGATE_ST39102LW_______0004.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Zulässige Werte | List (Trennzeichen: ,) |
RemovableDrivesRequireEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption
Mit dieser Richtlinieneinstellung wird konfiguriert, ob bitLocker-Schutz erforderlich ist, damit ein Computer Daten auf ein Wechseldatenlaufwerk schreiben kann.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Wechseldatenträger, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.
Wenn die Option "Schreibzugriff auf Geräte verweigern, die in einer anderen organization konfiguriert sind" aktiviert ist, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff. Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird auf ein gültiges Identifikationsfeld und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung "Geben Sie die eindeutigen Bezeichner für Ihre organization" fest.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff eingebunden.
Hinweis
Diese Richtlinieneinstellung kann von den Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselspeicherzugriff überschrieben werden. Wenn die Richtlinieneinstellung "Wechseldatenträger: Schreibzugriff verweigern" aktiviert ist, wird diese Richtlinieneinstellung ignoriert.
Daten-ID-Elemente:
- RDVCrossOrg: Schreibzugriff auf Geräte verweigern, die in einer anderen organization
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/><data id="RDVCrossOrg" value="xx"/>
Mögliche Werte für "xx" sind:
- true = Explizit zulassen
- false = Richtlinie nicht festgelegt
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | RDVDenyWriteAccess_Name |
| Anzeigename | Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger |
| Registrierungsschlüsselname | System\CurrentControlSet\Policies\Microsoft\FVE |
| Registrierungswertname | RDVDenyWriteAccess |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
RequireDeviceEncryption
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Ermöglicht dem Admin, dass die Verschlüsselung mithilfe von BitLocker\Device Encryption aktiviert werden muss.
Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie:
1
Wenn Sie die Richtlinie deaktivieren, wird die Verschlüsselung auf dem Systemlaufwerk nicht deaktiviert. Fordert den Benutzer jedoch nicht mehr auf, es zu aktivieren.
Hinweis
Derzeit wird nur die vollständige Datenträgerverschlüsselung unterstützt, wenn dieser CSP für die automatische Verschlüsselung verwendet wird. Bei nicht automatischer Verschlüsselung hängt der Verschlüsselungstyp vom Gerät ab SystemDrivesEncryptionType und FixedDrivesEncryptionType wird auf diesem konfiguriert.
Die status von Betriebssystemvolumes und verschlüsselten Festdatenvolumes wird mit einem Get-Vorgang überprüft. In der Regel folgt Die BitLocker-/Geräteverschlüsselung unabhängig davon, auf welchen Wert die EncryptionMethodByDriveType-Richtlinie festgelegt ist. Diese Richtlinieneinstellung wird jedoch für selbstverschlüsselte Festplattenlaufwerke und selbstverschlüsselte Betriebssystemlaufwerke ignoriert.
Verschlüsselte Feste Datenvolumes werden ähnlich wie Betriebssystemvolumes behandelt. Feste Datenvolumes müssen jedoch andere Kriterien erfüllen, um als verschlüsselt gelten zu können:
- Es darf sich nicht um ein dynamisches Volume handeln.
- Es darf keine Wiederherstellungspartition sein.
- Es darf sich nicht um ein ausgeblendetes Volume handeln.
- Es darf keine Systempartition sein.
- Er darf nicht durch virtuellen Speicher gesichert werden.
- Es darf keinen Verweis im BCD-Speicher enthalten.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Deaktivieren. Wenn die Richtlinieneinstellung nicht oder auf 0 festgelegt ist, wird die Erzwingungs-status des Geräts nicht überprüft. Die Richtlinie erzwingt keine Verschlüsselung und entschlüsselt keine verschlüsselten Volumes. |
| 1 | Aktivieren. Die Erzwingungs-status des Geräts wird überprüft. Wenn Sie diese Richtlinie auf 1 festlegen, wird die Verschlüsselung aller Laufwerke ausgelöst (automatisch oder nicht automatisch basierend auf der AllowWarningForOtherDiskEncryption-Richtlinie). |
Beispiel:
So deaktivieren Sie RequireDeviceEncryption:
<SyncML>
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>0</Data>
</Item>
</Replace>
</SyncBody>
</SyncML>
RequireStorageCardEncryption
Hinweis
Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption
Ermöglicht dem Admin, Speicher Karte Verschlüsselung auf dem Gerät zu erfordern.
Diese Richtlinie gilt nur für mobile SKU.
Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie:
1
Wenn Sie die Richtlinie deaktivieren, wird die Verschlüsselung im Speicher Karte nicht deaktiviert. Fordert den Benutzer jedoch nicht mehr auf, es zu aktivieren.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
| Standardwert | 0 |
Zulässige Werte:
| Wert | Beschreibung |
|---|---|
| 0 (Standard) | Speicherkarten müssen nicht verschlüsselt werden. |
| 1 | Die Verschlüsselung von Speicherkarten ist erforderlich. |
RotateRecoveryPasswords
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1909 [10.0.18363] und höher |
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords
Ermöglicht es dem Administrator, die einmalige Rotation aller numerischen Wiederherstellungskennwörter für Betriebssystem- und Festplattenlaufwerke auf einem Microsoft Entra ID- oder hybrid eingebundenen Gerät per Push zu übertragen.
Diese Richtlinie ist Ausführungstyp und rotiert alle numerischen Kennwörter, wenn sie von MDM-Tools ausgegeben werden.
Die Richtlinie wird nur wirksam, wenn die Active Directory-Sicherung für ein Wiederherstellungskennwort als "erforderlich" konfiguriert ist.
Aktivieren Sie für Betriebssystemlaufwerke "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen auf Active Directory Domain Services für Betriebssystemlaufwerke gespeichert werden".
Aktivieren Sie für Festplattenlaufwerke "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen auf Active Directory Domain Services für Festplattenlaufwerke gespeichert werden".
Der Client gibt status DM_S_ACCEPTED_FOR_PROCESSING zurück, um anzugeben, dass die Rotation gestartet wurde. Der Server kann status mit den folgenden status Knoten abfragen:
- status\RotateRecoveryPasswordsStatus
- status\RotateRecoveryPasswordsRequestID.
Unterstützte Werte: Zeichenfolgenform der Anforderungs-ID. Das Beispielformat der Anforderungs-ID ist GUID. Der Server kann das Format je nach Bedarf entsprechend den Verwaltungstools auswählen.
Hinweis
Die Schlüsselrotation wird nur für diese Registrierungstypen unterstützt. Weitere Informationen finden Sie unter deviceEnrollmentType-Enumeration.
- windowsAzureADJoin.
- windowsBulkAzureDomainJoin.
- windowsAzureADJoinUsingDeviceAuth.
- windowsCoManagement.
Tipp
Das Feature "Schlüsselrotation" funktioniert nur in folgenden Fällen:
Für Betriebssystemlaufwerke:
- OSRequireActiveDirectoryBackup_Name ist auf 1 ("Erforderlich") festgelegt.
- OSActiveDirectoryBackup_Name ist auf TRUE festgelegt.
Für Festplattenlaufwerke:
- FDVRequireActiveDirectoryBackup_Name ist auf 1 = ("Erforderlich") festgelegt.
- FDVActiveDirectoryBackup_Name ist auf true festgelegt.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Exec |
Status
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/BitLocker/Status
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | node |
| Zugriffstyp | „Abrufen“ |
Status/DeviceEncryptionStatus
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1903 [10.0.18362] und höher |
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus
Dieser Knoten meldet den Konformitätsstatus der Geräteverschlüsselung auf dem System.
Der Wert "0" bedeutet, dass das Gerät kompatibel ist. Jeder andere Wert stellt ein nicht kompatibles Gerät dar.
Dieser Wert stellt eine Bitmaske mit jedem Bit und dem entsprechenden Fehlercode dar, der in der folgenden Tabelle beschrieben wird:
| Bit | Fehlercode |
|---|---|
| 0 | Die BitLocker-Richtlinie erfordert die Zustimmung des Benutzers, um den BitLocker-Laufwerkverschlüsselungs-Assistenten zu starten, um die Verschlüsselung des Betriebssystemvolumes zu starten, aber der Benutzer hat nicht zugestimmt. |
| 1 | Die Verschlüsselungsmethode des Betriebssystemvolumes stimmt nicht mit der BitLocker-Richtlinie überein. |
| 2 | Das Betriebssystemvolume ist nicht geschützt. |
| 3 | Die BitLocker-Richtlinie erfordert eine reine TPM-Schutzvorrichtung für das Betriebssystemvolume, der TPM-Schutz wird jedoch nicht verwendet. |
| 4 | Die BitLocker-Richtlinie erfordert TPM+PIN-Schutz für das Betriebssystemvolume, eine TPM+PIN-Schutzvorrichtung wird jedoch nicht verwendet. |
| 5 | Die BitLocker-Richtlinie erfordert TPM-Schutz und Startschlüsselschutz für das Betriebssystemvolume, eine TPM+Startschlüsselschutzvorrichtung wird jedoch nicht verwendet. |
| 6 | Die BitLocker-Richtlinie erfordert TPM+PIN+Startschlüsselschutz für das Betriebssystemvolume, eine TPM+PIN+Startschlüsselschutzvorrichtung wird jedoch nicht verwendet. |
| 7 | Die BitLocker-Richtlinie erfordert eine TPM-Schutzvorrichtung, um das Betriebssystemvolume zu schützen, aber ein TPM wird nicht verwendet. |
| 8 | Fehler bei der Sicherung des Wiederherstellungsschlüssels. |
| 9 | Ein Festplattenlaufwerk ist nicht geschützt. |
| 10 | Die Verschlüsselungsmethode des Festplattenlaufwerks stimmt nicht mit der BitLocker-Richtlinie überein. |
| 11 | Zum Verschlüsseln von Laufwerken erfordert die BitLocker-Richtlinie, dass sich der Benutzer entweder als Administrator anmeldet, oder wenn das Gerät mit Microsoft Entra ID verknüpft ist, muss die Richtlinie AllowStandardUserEncryption auf 1 festgelegt werden. |
| 12 | Die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) ist nicht konfiguriert. |
| 13 | Ein TPM ist für BitLocker nicht verfügbar, entweder weil es nicht vorhanden ist, es in der Registrierung nicht verfügbar gemacht wurde oder sich das Betriebssystem auf einem Wechseldatenträger befindet. |
| 14 | Das TPM ist nicht für BitLocker bereit. |
| 15 | Das Netzwerk ist nicht verfügbar, was für die Sicherung des Wiederherstellungsschlüssels erforderlich ist. |
| 16 | Der Verschlüsselungstyp des Betriebssystemvolumes für die Verschlüsselung des gesamten Datenträgers im Vergleich zur ausschließlich verwendeten Speicherplatzverschlüsselung stimmt nicht mit der BitLocker-Richtlinie überein. |
| 17 | Der Verschlüsselungstyp des Festplattenlaufwerks für die Verschlüsselung des gesamten Datenträgers im Vergleich zur ausschließlich verwendeten Speicherplatzverschlüsselung stimmt nicht mit der BitLocker-Richtlinie überein. |
| 18-31 | Zur zukünftigen Verwendung. |
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Status/RemovableDrivesEncryptionStatus
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus
Dieser Knoten meldet den Konformitätsstatus der Laufwerkverschlüsselung. Der Wert "0" bedeutet, dass das Entfernungslaufwerk gemäß allen festgelegten Einstellungen für das Entfernen des Laufwerks verschlüsselt ist.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
Status/RotateRecoveryPasswordsRequestID
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1909 [10.0.18363] und höher |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID
Dieser Knoten meldet die RequestID, die RotateRecoveryPasswordsStatus entspricht.
Dieser Knoten muss in der Synchronisierung mit RotateRecoveryPasswordsStatus abgefragt werden, um sicherzustellen, dass die status ordnungsgemäß mit der Anforderungs-ID abgeglichen wird.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | „Abrufen“ |
Status/RotateRecoveryPasswordsStatus
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1909 [10.0.18363] und höher |
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus
Dieser Knoten meldet die status der RotateRecoveryPasswords-Anforderung.
Der Statuscode kann einer der folgenden Sein:
NotStarted(2), Pending (1), Pass (0), Other error codes in case of failure.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | int |
| Zugriffstyp | „Abrufen“ |
SystemDrivesDisallowStandardUsersCanChangePIN
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob Standardbenutzer BitLocker-Volume-PINs ändern dürfen, vorausgesetzt, sie können zuerst die vorhandene PIN angeben.
Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen Standardbenutzer keine BitLocker-PINs oder -Kennwörter ändern.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Standardbenutzer BitLocker-PINs und Kennwörter ändern.
Hinweis
Um die PIN oder das Kennwort zu ändern, muss der Benutzer in der Lage sein, die aktuelle PIN oder das aktuelle Kennwort anzugeben.
Der Beispielwert für diesen Knoten zum Deaktivieren dieser Richtlinie lautet: <disabled/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | DisallowStandardUsersCanChangePIN_Name |
| Anzeigename | Nicht zulassen, dass Standardbenutzer die PIN oder das Kennwort ändern |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | DisallowStandardUserPINReset |
| ADMX-Dateiname | VolumeEncryption.admx |
SystemDrivesEnablePrebootInputProtectorsOnSlates
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates
Diese Richtlinieneinstellung ermöglicht Es Benutzern, Authentifizierungsoptionen zu aktivieren, die Benutzereingaben aus der Pre-Boot-Umgebung erfordern, auch wenn die Plattform keine Pre-Boot-Eingabefunktionen enthält.
Die Windows-Bildschirmtastatur (z. B. die von Tablets verwendete) ist in der Umgebung vor dem Start nicht verfügbar, in der BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erfordert.
Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Geräte über eine alternative Methode für die Eingabe vor dem Start verfügen (z. B. eine angeschlossene USB-Tastatur).
Wenn diese Richtlinie nicht aktiviert ist, muss die Windows-Wiederherstellungsumgebung auf Tablets aktiviert sein, um die Eingabe des BitLocker-Wiederherstellungskennworts zu unterstützen. Wenn die Windows-Wiederherstellungsumgebung nicht aktiviert ist und diese Richtlinie nicht aktiviert ist, können Sie BitLocker nicht auf einem Gerät aktivieren, das die Windows-Bildschirmtastatur verwendet.
Beachten Sie, dass die Optionen in der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich" auf solchen Geräten möglicherweise nicht verfügbar sind, wenn Sie diese Richtlinieneinstellung nicht aktivieren. Zu diesen Optionen gehören:
- Konfigurieren der TPM-Start-PIN: Erforderlich/Zulässig
- Konfigurieren des TPM-Startschlüssels und der PIN: Erforderlich/Zulässig
- Konfigurieren Sie die Verwendung von Kennwörtern für Betriebssystemlaufwerke.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | EnablePrebootInputProtectorsOnSlates_Name |
| Anzeigename | Aktivieren der Verwendung der BitLocker-Authentifizierung, bei der Tastatureingaben für Slates vor dem Start erforderlich sind |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | OSEnablePrebootInputProtectorsOnSlates |
| ADMX-Dateiname | VolumeEncryption.admx |
SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
Diese Richtlinieneinstellung ermöglicht Benutzern auf Geräten, die mit InstantGo oder Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Authentifizierung vor dem Start. Dadurch werden die Optionen "Start-PIN mit TPM erforderlich" und "Startschlüssel und PIN mit TPM erforderlich" der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich" auf kompatibler Hardware außer Kraft gesetzt.
Wenn Sie diese Richtlinieneinstellung aktivieren, haben Benutzer auf InstantGo- und HSTI-kompatiblen Geräten die Wahl, BitLocker ohne Vorabstartauthentifizierung zu aktivieren.
Wenn diese Richtlinie nicht aktiviert ist, gelten die Optionen der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich".
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | EnablePreBootPinExceptionOnDECapableDevice_Name |
| Anzeigename | Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren. |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | OSEnablePreBootPinExceptionOnDECapableDevice |
| ADMX-Dateiname | VolumeEncryption.admx |
SystemDrivesEncryptionType
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType
Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.
Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>
Mögliche Werte:
- 0: Benutzer die Auswahl erlauben.
- 1: Vollständige Verschlüsselung.
- 2: Verschlüsselung nur verwendeter Speicherplatz.
Hinweis
Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode.
Wenn beispielsweise ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie für ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.
Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter manage-bde.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | OSEncryptionType_Name |
| Anzeigename | Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | OSEncryptionType |
| ADMX-Dateiname | VolumeEncryption.admx |
SystemDrivesEnhancedPIN
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 2004 [10.0.19041.1202] und höher ✅Windows 10, Version 2009 [10.0.19042.1202] und höher ✅Windows 10, Version 21H1 [10.0.19043.1202] und höher ✅Windows 11, Version 21H2 [10.0.22000] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob erweiterte Start-PINs mit BitLocker verwendet werden.
Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen, einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle neuen BitLocker-Start-PINs erweitert.
Hinweis
Nicht alle Computer unterstützen möglicherweise erweiterte PINs in der Umgebung vor dem Start. Es wird dringend empfohlen, dass Benutzer während des BitLocker-Setups eine Systemüberprüfung durchführen.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | EnhancedPIN_Name |
| Anzeigename | Zulassen erweiterter PINs für den Start |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| Registrierungswertname | UseEnhancedPin |
| ADMX-Dateiname | VolumeEncryption.admx |
SystemDrivesMinimumPINLength
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength
Mit dieser Richtlinieneinstellung können Sie eine Mindestlänge für eine TPM-Start-PIN (Trusted Platform Module) konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Die Start-PIN muss eine Mindestlänge von vier Ziffern aufweisen und kann eine maximale Länge von 20 Ziffern aufweisen.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie festlegen, dass beim Festlegen der Start-PIN eine Mindestanzahl von Ziffern verwendet wird.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.
Hinweis
Wenn die minimale PIN-Länge unter 6 Ziffern festgelegt ist, versucht Windows, den TPM 2.0-Sperrzeitraum so zu aktualisieren, dass er größer als der Standard ist, wenn eine PIN geändert wird. Bei erfolgreicher Ausführung setzt Windows den TPM-Sperrzeitraum nur dann auf den Standardwert zurück, wenn das TPM zurückgesetzt wird.
Hinweis
In Windows 10 Version 1703, Version B, können Sie eine PIN-Mindestlänge von vier Ziffern verwenden.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/><data id="MinPINLength" value="xx"/>
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | MinimumPINLength_Name |
| Anzeigename | Konfigurieren der mindesten PIN-Länge für den Start |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryMessage
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage
Mit dieser Richtlinieneinstellung können Sie die gesamte Wiederherstellungsnachricht konfigurieren oder die vorhandene URL ersetzen, die auf dem Bildschirm zur Wiederherstellung des Vorstartschlüssels angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.
Wenn Sie die Option "Standardwiederherstellungsnachricht und -URL verwenden" auswählen, werden die BitLocker-Standardwiederherstellungsmeldung und -URL auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und auf die Standardnachricht rückgängig machen möchten, müssen Sie die Richtlinie aktiviert lassen und die Option "Standardwiederherstellungsnachricht und -URL verwenden" auswählen.
Wenn Sie die Option "Benutzerdefinierte Wiederherstellungsnachricht verwenden" auswählen, wird die Nachricht, die Sie in das Textfeld "Benutzerdefinierte Wiederherstellungsmeldungsoption" eingeben, auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn eine Wiederherstellungs-URL verfügbar ist, fügen Sie sie in die Nachricht ein.
Wenn Sie die Option "Benutzerdefinierte Wiederherstellungs-URL verwenden" auswählen, ersetzt die URL, die Sie in das Textfeld "Benutzerdefinierte Wiederherstellungs-URL-Option" eingeben, die Standard-URL in der Standardwiederherstellungsmeldung, die auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt wird.
Hinweis
Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.
Daten-ID-Elemente:
- PrebootRecoveryInfoDropDown_Name: Wählen Sie eine Option für die Wiederherstellungsnachricht vor dem Start aus.
- RecoveryMessage_Input: Benutzerdefinierte Wiederherstellungsnachricht
- RecoveryUrl_Input: Benutzerdefinierte Wiederherstellungs-URL
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>
Mögliche Werte für "xx" sind:
- 0 = Leer
- 1 = Standardwiederherstellungsmeldung und -URL verwenden (in diesem Fall müssen Sie keinen Wert für "RecoveryMessage_Input" oder "RecoveryUrl_Input" angeben).
- 2 = Benutzerdefinierte Wiederherstellungsmeldung ist festgelegt.
- 3 = Benutzerdefinierte Wiederherstellungs-URL ist festgelegt.
Der mögliche Wert für "yy" und "zz" ist eine Zeichenfolge mit der maximalen Länge 900 bzw. 500.
Hinweis
- Wenn Sie SystemDrivesRecoveryMessage aktivieren, müssen Sie Werte für alle drei Einstellungen (Wiederherstellungsbildschirm vor dem Start, Wiederherstellungsnachricht und Wiederherstellungs-URL) angeben. Andernfalls tritt ein Fehler auf (500 rückgabe status). Wenn Sie z. B. nur Werte für Nachricht und URL angeben, erhalten Sie eine 500-Rückgabe status.
- Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | PrebootRecoveryInfo_Name |
| Anzeigename | Konfigurieren der Wiederherstellungsnachricht und der URL vor dem Start |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | Software\Policies\Microsoft\FVE |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRecoveryOptions
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions
Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Betriebssystemlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Das Kontrollkästchen "Zertifikatbasierter Datenwiederherstellungs-Agent zulassen" wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinie-Verwaltungskonsole oder im lokalen Gruppenrichtlinie Editor hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch zur BitLocker-Laufwerkverschlüsselung auf Microsoft TechNet.
Wählen Sie unter "Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.
Wählen Sie "Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen" aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden soll. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.
Wählen Sie unter "BitLocker-Wiederherstellungsinformationen auf Active Directory Domain Services speichern" aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden sollen. Wenn Sie "Kennwort und Schlüsselpaket für die Wiederherstellung sichern" auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie "Nur Sicherungswiederherstellungskennwort" auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.
Aktivieren Sie das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich.
Hinweis
Wenn das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Für Benutzer verfügbaren Methoden zum Wiederherstellen von Daten von BitLocker-geschützten Betriebssystemlaufwerken steuern.
Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.
Daten-ID-Elemente:
- OSAllowDRA_Name: Zertifikatbasierten Datenwiederherstellungs-Agent zulassen
- OSRecoveryPasswordUsageDropDown_Name und OSRecoveryKeyUsageDropDown_Name: Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen
- OSHideRecoveryPage_Name: Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
- OSActiveDirectoryBackup_Name und OSActiveDirectoryBackupDropDown_Name: BitLocker-Wiederherstellungsinformationen speichern, um Active Directory Domain Services
- OSRequireActiveDirectoryBackup_Name: Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>
Mögliche Werte für "xx" sind:
- true = Explizit zulassen
- false = Richtlinie nicht festgelegt
Mögliche Werte für "yy" sind:
- 0 = Unzulässig
- 1 = Erforderlich
- 2 = Zulässig
Mögliche Werte für "zz":
- 1 = Wiederherstellungskennwörter und Schlüsselpakete speichern.
- 2 = Nur Wiederherstellungskennwörter speichern.
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | OSRecoveryUsage_Name |
| Anzeigename | Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | OSRecovery |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
SystemDrivesRequireStartupAuthentication
| Bereich | Editionen | Anwendbares Betriebssystem |
|---|---|---|
| ✅ Gerät ❌ Benutzer |
✅ Pro ✅ Enterprise ✅ Bildung ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, Version 1703 [10.0.15063] und höher |
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication
Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zusätzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne tpm (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.
Hinweis
Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, andernfalls tritt ein Richtlinienfehler auf.
Wenn Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen". In diesem Modus ist entweder ein Kennwort oder ein USB-Laufwerk für den Start erforderlich. Bei Verwendung eines Startschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Schlüssel erstellt wird. Wenn der USB-Schlüssel eingelegt wird, wird der Zugriff auf das Laufwerk authentifiziert, und auf das Laufwerk kann zugegriffen werden. Wenn der USB-Schlüssel verloren geht oder nicht verfügbar ist oder Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.
Auf einem Computer mit einem kompatiblen TPM können vier Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden, oder es kann auch das Einfügen eines USB-Speichersticks mit einem Startschlüssel, die Eingabe einer 6-stelligen in eine 20-stellige persönliche Identifikationsnummer (PIN) oder beides erfordern.
Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.
Hinweis
Wenn Sie die Verwendung einer Start-PIN und eines USB-Speichersticks benötigen möchten, müssen Sie BitLocker-Einstellungen mithilfe des Befehlszeilentools manage-bde anstelle des Setup-Assistenten für die BitLocker-Laufwerkverschlüsselung konfigurieren.
Hinweis
- In Windows 10 Version 1703, Version B, können Sie eine PIN mit mindestens vier Ziffern verwenden. Die SystemDrivesMinimumPINLength-Richtlinie muss so festgelegt werden, dass PINs zulässig sind, die kürzer als 6 Ziffern sind.
- Geräte, die die HSTI-Überprüfung (Hardware Security Testability Specification) oder Modern Standby-Geräte bestehen, können mit diesem CSP keine Start-PIN konfigurieren. Benutzer müssen die PIN manuell konfigurieren. Daten-ID-Elemente:
- ConfigureNonTPMStartupKeyUsage_Name = BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Speicherstick).
- ConfigureTPMStartupKeyUsageDropDown_Name = (für Computer mit TPM) TPM-Startschlüssel konfigurieren.
- ConfigurePINUsageDropDown_Name = (für Computer mit TPM) TPM-Start-PIN konfigurieren.
- ConfigureTPMPINKeyUsageDropDown_Name = (für Computer mit TPM) Tpm-Startschlüssel und PIN konfigurieren.
- ConfigureTPMUsageDropDown_Name = (für Computer mit TPM) TPM-Start konfigurieren.
Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>
Mögliche Werte für "xx" sind:
- true = Explizit zulassen
- false = Richtlinie nicht festgelegt
Mögliche Werte für "yy" sind:
- 2 = Optional
- 1 = Erforderlich
- 0 = Unzulässig
Eigenschaften des Beschreibungsframeworks:
| Eigenschaftenname | Eigenschaftenwert |
|---|---|
| Format | chr (Zeichenfolge) |
| Zugriffstyp | Hinzufügen, Löschen, Abrufen, Ersetzen |
Tipp
Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.
ADMX-Zuordnung:
| Name | Wert |
|---|---|
| Name | ConfigureAdvancedStartup_Name |
| Anzeigename | Zusätzliche Authentifizierung beim Start erforderlich |
| Pfad | Computerkonfiguration |
| Pfad | Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke |
| Registrierungsschlüsselname | SOFTWARE\Policies\Microsoft\FVE |
| Registrierungswertname | UseAdvancedStartup |
| ADMX-Dateiname | VolumeEncryption.admx |
Beispiel:
Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
</Meta>
<Data><disabled/></Data>
</Item>
</Replace>
Beispiel für SyncML
Das folgende Beispiel wird bereitgestellt, um das richtige Format anzuzeigen und sollte nicht als Empfehlung betrachtet werden.
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<!-- Phone only policy -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>1</Data>
</Item>
</Replace>
<!-- All of the following policies are only supported on desktop SKU -->
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
</Target>
<Data>
<enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
</Target>
<Data>
<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
<data id="ConfigurePINUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
<data id="ConfigureTPMUsageDropDown_Name" value="2"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
</Target>
<Data>
<enabled/>
<data id="MinPINLength" value="6"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
</Target>
<Data>
<enabled/>
<data id="RecoveryMessage_Input" value="blablablabla"/>
<data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
<data id="RecoveryUrl_Input" value="blablabla"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="OSAllowDRA_Name" value="true"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="OSHideRecoveryPage_Name" value="true"/>
<data id="OSActiveDirectoryBackup_Name" value="true"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
</Target>
<Data>
<enabled/>
<data id="FDVAllowDRA_Name" value="true"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
<data id="FDVHideRecoveryPage_Name" value="true"/>
<data id="FDVActiveDirectoryBackup_Name" value="true"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
</Data>
</Item>
</Replace>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
</Target>
<Data>
<enabled/>
<data id="RDVCrossOrg" value="true"/>
</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für