Erstellen Sie ein Verschlüsselungsprofil, um Ihre Daten auf Windows Desktop-Geräten mithilfe der systemeigenen BitLocker-Verschlüsselung zu schützen.

Prozedur

  1. Gehen Sie zu Ressourcen > Profile und Baselines > Profile > Hinzufügen und wählen Sie Profile hinzufügen.
  2. Wählen Sie Windows und dann Windows Desktop.
  3. Wählen Sie Geräteprofil.
  4. Konfigurieren Sie die Profileinstellungen Allgemein.
  5. Wählen Sie das Profil Verschlüsselung und konfigurieren Sie die Einstellungen:
    Einstellungen Beschreibungen
    Verschlüsseltes Volume

    Wählen Sie über das Dropdown-Menü die Art der Verschlüsselung aus, wie im Folgenden beschrieben wird:

    • Alle fest installierten Festplatten – Verschlüsselt die gesamte Festplatte auf dem Gerät, einschließlich der Systempartition, auf der das Betriebssystem installiert ist.
    • Systempartition – Verschlüsselt eine Partition oder ein Laufwerk am selben Speicherort, an dem Windows installiert ist und von dem aus es gestartet wird.
    Verschlüsselungsmethode Wählen Sie die Verschlüsselungsmethode für das Gerät aus.
    Systemverschlüsselungsmethode standardmäßig übernehmen Aktivieren Sie dieses Kontrollkästchen, wenn Ihr OEM eine standardmäßige Verschlüsselungsmethode für einen bestimmten Gerätetyp angibt. Diese Einstellung wendet den Standardverschlüsselungsalgorithmus an.
    Während der Erstverschlüsselung nur genutzten Speicherplatz verschlüsseln Aktivieren Sie diese Option, um die BitLocker-Verschlüsselung zum Verschlüsselungszeitpunkt auf den genutzten Speicherplatz des Laufwerks zu beschränken.
    Benutzerdefinierte URL für Wiederherstellungsschlüssel

    Geben Sie die auf dem Sperrbildschirm anzuzeigende URL ein, über die Endbenutzer zum Abruf des Wiederherstellungsschlüssels weitergeleitet werden.

    Sie können die URL des Self-Service Portals eingeben, da Workspace ONE UEM den Wiederherstellungsschlüssel dort hostet.

    Verschlüsselung durchsetzen

    Aktivieren Sie diese Option, um die Verschlüsselung auf dem Gerät zu erzwingen. Diese Durchsetzung bedeutet, dass das Gerät sofort wieder eine Verschlüsselung vornimmt, wenn BitLocker manuell deaktiviert wird.

    Sie sollten diese Einstellung deaktivieren, um Probleme während der Ausführung von Upgrades oder Enterprise Wipes zu verhindern.

    System immer verschlüsselt halten Aktivieren Sie diese Option, damit das Gerät jederzeit verschlüsselt bleibt. Verwenden Sie diese Option, um sicherzustellen, dass Geräte-Löschungen, Profil-Entfernungen oder Unterbrechung der Kommunikation mit Workspace ONE UEM nicht zu einer Entschlüsselung des Geräts führen.

    Wenn Sie diese Einstellung aktivieren und ein Gerät löschen, können Sie nur 30 Tage lang über Workspace ONE UEM Console auf die Wiederherstellung zugreifen. Nach 30 Tagen ist das System möglicherweise nicht wiederherstellbar.

    Authentifizierungseinstellungen für BitLocker: Authentifizierungsmodus

    Wählen Sie die Methode für die Authentifizierung des Zugriffs auf ein durch BitLocker verschlüsseltes Geräts.

    • TPM – Nutzt das Trusted Platform Module der Geräte. Erfordert ein TPM auf dem Gerät.
    • Kennwort – Nutzt ein Kennwort für die Authentifizierung.
    Standard-Authentifizierungseinstellungen für BitLocker: PIN-Eingabe beim Start verlangen Aktivieren Sie das Kontrollkästchen, damit Benutzer eine PIN zur Entsperrung des Geräts eingeben müssen. Diese Option sperrt das Starten des Betriebssystems und die automatische Wiederaufnahme nach dem Anhalten oder aus dem Ruhezustand, bis der Benutzer die korrekte PIN eingibt.
    Authentifizierungseinstellungen für BitLocker: Länge der PIN Wählen Sie diese Einstellung aus, um eine bestimmte Länge für die PIN zu konfigurieren, die beim Start einzugeben ist. Diese PIN ist numerisch, sofern über die Option Erweiterte PIN beim Start zulassen nichts anderweitiges konfiguriert ist.
    Authentifizierungseinstellungen für BitLocker: Erweiterte PIN beim Start zulassen Aktivieren Sie dieses Kontrollkästchen, damit Benutzer PINs festlegen können, die nicht nur aus Ziffern bestehen. Benutzer können Großbuchstaben und Kleinbuchstaben festlegen und außerdem Symbole, Ziffern und Leerzeichen verwenden.

    Wenn die Maschine erweiterte PINs in einer Preboot-Umgebung nicht unterstützt, funktioniert diese Einstellung nicht.

    Authentifizierungseinstellungen für BitLocker: Kennwort verwenden, wenn TPM nicht vorhanden

    Aktivieren Sie das Kontrollkästchen, um ein Kennwort als Ausweichmöglichkeit zum Entschlüsseln des Geräts zu verwenden, wenn das TPM nicht verfügbar ist.

    Wenn diese Einstellung nicht aktiviert ist, werden Geräte ohne TPM nicht verschlüsselt.

    Authentifizierungseinstellungen für BitLocker: BitLocker anhalten, bis TPM initialisiert ist Wählen Sie diese Option aus, um die Verschlüsselung auf dem Gerät zu verschieben, bis TPM auf der Maschine initialisiert wurde. Verwenden Sie diese Option für Registrierungen, für die eine Verschlüsselung erforderlich ist, bevor TPM wie z. B. OOBE initialisiert wird.
    Authentifizierungseinstellungen für BitLocker: Mindestlänge für Kennwörter

    Legen Sie die minimal erforderliche Anzahl der Zeichen für Kennwörter fest.

    Zeigt an, ob Authentifizierungsmodus auf Kennwort festgelegt ist oder ob Kennwort verwenden, wenn TPM nicht verfügbar aktiviert ist.

    Einstellungen für statischen Wiederherstellungsschlüssel von BitLocker: statischen Wiederherstellungsschlüssel für BitLocker erstellen

    Aktivieren Sie dieses Kontrollkästchen, wenn der statische Wiederherstellungsschlüssel aktiviert ist.

    Einstellungen für statischen Wiederherstellungsschlüssel von BitLocker: Wiederherstellungskennwort für BitLocker

    Wählen Sie das Symbol für Generieren (), um einen neuen Wiederherstellungsschlüssel zu generieren.

    Einstellungen für statischen Wiederherstellungsschlüssel von BitLocker: Rotationszeitraum Geben Sie die Anzahl an Tagen bis zum Wechsel des Wiederherstellungsschlüssels ein.
    Einstellungen für statischen Wiederherstellungsschlüssel von BitLocker: Kulanzzeitraum Geben Sie die Anzahl an Tagen nach dem Wechsel ein, die der vorherige Wiederherstellungsschlüssel noch funktioniert.
    BitLocker anhalten: „BitLocker anhalten“ aktivieren Aktivieren Sie dieses Kontrollkästchen, um das Anhalten von BitLocker zu aktivieren. Mit dieser Funktionalität wird die BitLocker-Verschlüsselung während eines festgelegten Zeitraums angehalten. Verwenden Sie diese Funktion zum Anhalten von BitLocker, wenn Updates geplant sind, sodass Geräte neugestartet werden können, ohne dass Endbenutzer die Entschlüsselungs-PIN oder das entsprechende Kennwort eingeben müssen.
    BitLocker anhalten: Typ „BitLocker anhalten“

    Wählen Sie den Typ des Anhaltens.

    • Zeitplan – Wählen Sie diese Option, um den genauen Zeitraum einzugeben, während dem BitLocker angehalten wird. Legen Sie dann die Wiederholung des Zeitplans auf täglich der wöchentlich fest.
    • Benutzerdefiniert – Wählen Sie diese Option, um den Tag und die Uhrzeit für den Start und das Ende des Anhaltens von BitLocker einzugeben.
    BitLocker anhalten: Startzeit von „BitLocker anhalten“ Geben Sie die Startzeit des Anhaltens von BitLocker ein.
    BitLocker anhalten: Endzeit von „BitLocker anhalten“ Geben Sie die Endzeit des Anhaltens von BitLocker ein.
    BitLocker anhalten: geplanter Wiederholungstyp Legen Sie fest, ob das geplante Anhalten täglich oder wöchentlich wiederholt wird. Wählen Sie bei wöchentlicher Wiederholung die Wochentage, an denen der Zeitplan wiederholt werden soll.
  6. Wählen Sie nach Abschluss Speichern und veröffentlichen, um das Profil per Push auf die Geräte zu übertragen.