BitLocker mit Intune verwalten

    , 18.08.2023
    Tags: , ,

    Intune SicherheitsrichtlinienDie Laufwerks­ver­schlüsselung mit BitLocker gehört zu den unverzichtbaren Maßnahmen, um Firmen-Notebooks zu schützen. Das Feature lässt sich nicht nur über Bordmittel wie Gruppen­richtlinien oder PowerShell verwalten, sondern auch mit Intune via Cloud. Damit kann man zudem die Wieder­her­stellungs­schlüssel im Azure AD hinterlegen.

    Die Verwaltung von BitLocker mittels Intune erfolgt im Microsoft Intune Admin Center. Dort können Admins Richtlinien erstellen und den angeschlossenen PCs zuweisen. Diese setzen anschließend mittels Configuration Service Provider (CSP) die Einstellungen nach dem gleichen Muster lokal um wie die Gruppen­richtlinien.

    Client-Management unabhängig vom Standort

    Der Vorteil eines Endpoint-Managements aus der Cloud mit Intune besteht darin, dass es unabhängig davon funktioniert, wo sich die Benutzer aufhalten. Die Rechner müssen dazu nicht mit einem lokalen Active Directory verbunden und noch nicht einmal im gleichen Netzwerk sein.

    Es gibt im Wesentlichen zwei Wege, BitLocker auf angebundenen Endgeräten mit Intune zu verwalten. Meistens kommen dafür Konfigurations­profile zum Einsatz, mit denen Computer zentral angepasst werden können. Alternativ ist es auch möglich, Richtlinien für das BitLocker-Management zu nutzen.

    In Konfigurations­profilen kann man noch weitere Sicherheits­einstellungen zusammen mit BitLocker vornehmen. Außerdem bieten sie mehr Optionen für BitLocker, darunter das Speichern der Wieder­herstellungs­schlüssel und der verwendeten Schlüsselpakete in Azure AD (Entra ID).

    Variante 1: Richtlinie für Endpunktsicherheit

    Die Einstellungen für die BitLocker-Steuerung mittels Richtlinien befinden sich im Admin Center von Intune unter Endpunkt­sicherheit => Daten­träger­ver­schlüsselung. Hier lassen sich ausschließlich Einstellungen für BitLocker konfigurieren.

    Richtlinie erstellen

    Über den entsprechenden Befehl legt man eine neue Richtlinie an, die alle gewünschten Einstellungen enthält und die man später den Endgeräten zuordnet.

    Neue Richtlinie für BitLocker in Intune erstellen

    Dazu wählt man bei Plattform die Einstellung Windows 10 oder höher und bei Profil die Option BitLocker. Mit Erstellen startet der Wizard für die Konfiguration der Richtlinie.

    Richtlinie für BitLocker konfigurieren

    Zunächst gibt man auf der Seite Grundeinstellungen der Richtlinie einen Namen und fügt eine optionale Beschreibung hinzu.

    Im Abschnitt Konfigurations­einstellungen passt man über die Sektion BitLocker grundlegende Optionen an, die mit dieser Richtlinie verknüpft sein sollen. Dazu zählt vor allem, dass der Admin hier die Verschlüsselung als erforderlich definieren kann.

    Allgemeine Einstellungen für BitLocker konfigurieren

    Alle Einstellungen, die man bereits von den Gruppenrichtlinien kennt, finden sich unter der Sektion Administrative Vorlagen. Sie sind wie dort nach System- und Datenlaufwerk sowie Wechsel­datenträger unterteilt.

    Unter Administrative Vorlagen finden sich die von den Gruppenrichtlinien bekannten Einstellungen.

    Im folgenden Dialog kann man so genannte Bereichstags (Scope Tags) auswählen, um die Geräte abhängig von der Rolle des Admins zu filtern. Vorgegeben ist hier Standard.

    Im Anschluss weist man die Richtlinie den gewünschten AAD-Gruppen zu, alternativ kann man alle User oder Geräte hinzufügen.

    Neue Richtlinie an Benutzer oder Computer zuweisen

    Im letzten Fenster speichert man die Richtlinie mit Klick auf Erstellen. Die Einstellungen lassen sich jederzeit nachträglich ändern.

    Variante 2: Gerätekonfigurationsprofil für BitLocker nutzen

    Konfigurationsprofile haben den Vorteil, dass man damit nicht nur BitLocker, sondern zum Beispiel auch Microsoft Defender Firewall, Application Guard, Smart Screen und weitere Komponenten anpassen lassen.

    Microsoft stellt dafür Vorlagen zur Verfügung, mit denen sich Einstellungen logisch gruppieren lassen. Windows entfernt die in einem Konfigurations­profil enthaltenen Einstellungen automatisch, wenn dieses gelöscht wird.

    Ein Konfigurationsprofil versammelt unterschiedlichste Sicherheitseinstellungen.

    Ein Profil kann man unter Geräte => Konfigurationsprofile anlegen, wo man bei Plattform wieder Windows 10 oder höher und bei Profiltyp Vorlagen => Endpoint Protection auswählt. Die Einstellungen für BitLocker sind unter Windows-Verschlüsselung zu finden.

    Konfigurationsprofil für Sicherheitseinstellungen anlegen

    Nun durchläuft man wieder einen Wizard, der im ersten Schritt einen Namen und eine Beschreibung für das Profil erwartet.

    An dieser Stelle konfiguriert man jetzt die Einstellungen, die auf den Zielgeräten gelten sollen.

    Einstellungen für ein Profil konfigurieren

    Wiederherstellungsschlüssel in Azure AD speichern

    Verwaltet man BitLocker über ein Konfigurationsprofil, dann kann man die Wieder­herstellungs­schlüssel in Azure AD speichern.

    Dafür stehen die Optionen BitLocker-Wiederherstellungsinformationen in Azure Active Directory speichern und Vor dem Aktivieren von BitLocker Wieder­herstellungs­informationen in Azure Active Directory speichern zur Verfügung. Sie entsprechen den korrespondierenden Einstellungen für die AD DS in den Gruppenrichtlinien.

    Hier kann man festlegen, dass sowohl die Recovery Keys als auch Schlüsselpakete in Azure AD hinterlegt werden.

    Speicherung der Recovery Keys im Azure AD über das Profil veranlassen

    Wiederherstellungsschlüssel in Microsoft Intune anzeigen

    Nach der Anwendung eines Konfigurationsprofils mit den oben genannten Einstellungen speichern die Geräte nach Aktivierung von BitLocker die Wieder­herstellungs­schlüssel in Azure AD. Das lässt sich im Microsoft Intune Admin Center überprüfen.

    Bei Geräte => Alle Geräte sind zunächst die Endgeräte zu sehen, die an Intune angebunden sind. Unter Monitor=> Verschlüsselungsbericht ist zu erkennen, bei welchen von ihnen die Laufwerks­verschlüsselung bereits aktiviert wurde und welchen Status diese aufweisen.

    Durch einen Klick auf einzelne Geräte lassen sich deren Einstellungen anzeigen und Daten auslesen. Die Recovery Keys sind im Abschnitt Überwachen bei Wieder­herstellungs­schlüssel zu finden.

    BitLocker Recovery Key aus den Eigenschaften eines Geräts auslesen

    Den Zugriff auf diese Schlüssel erhalten aber nur Admins mit dem Recht "microsoft.directory / BitLockerKeys / key / read". Dieses besitzen zum Beispiel die Rollen Cloud Device Administrator oder Helpdesk-Administrator. Azure protokolliert den Zugriff auf die Wieder­herstellungs­schlüssel.

    Zusammenfassung

    Die Verwaltung von PCs über Intune hat den Vorteil, dass die Endgeräte unabhängig von ihrem Standort mit den aktuellsten Einstellungen versehen werden. Das ist besonders bei der Sicherheits­konfiguration von besonderem Wert.

    Microsofts Endpoint Management aus der Cloud sieht zwei Möglichkeiten vor, um die BitLocker-Einstellungen zentral zu verwalten. Dabei handelt es sich zum einen um die Richtlinien für Endpunkt­sicherheit, die ausschließlich BitLocker-Einstellungen enthält.

    Als Alternative bieten sich Konfigurationsprofile an, die zahlreiche weitere Security-Optionen verwalten können und zudem die Möglichkeit bieten, die Wieder­herstellungs­schlüssel in Azure AD zu speichern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Thomas Joos

    Thomas Joos ist Consultant für mittlere und große Unternehmen im Bereich Security, Active Directory, Cloud und KI.

    Er hat über 100 Fachbücher zu IT-Themen für verschiedene Verlage geschrieben und veröffentlicht regelmäßig bei verschiedenen Portalen und Zeitschriften wie IT-Administrator, Computerwoche, Heise und vielen weiteren.

    Darüber hinaus ist er als Trainer für LinkedIn Learning tätig.

    // Kontakt: Web, E-Mail, Twitter //

    Verwandte Beiträge

    Weitere Links