Tags: Bitlocker, Microsoft 365, Recovery
Microsoft bietet bei der Aktivierung von BitLocker mehrere Optionen für das Speichern des Wiederherstellungsschlüssels. Traditionell konnte man ihn ausdrucken oder in einer Datei ablegen, und seit einiger Zeit steht dafür auch das Microsoft-Konto zur Verfügung. Von dort lässt er sich auf fast jedem Gerät von überall auslesen.
Windows kann aus mehreren Gründen die Eingabe eines Recovery Key für BitLocker erfordern. Dies ist etwa nach Änderungen der Firmware-/BIOS-Einstellungen, der NTFS-Partitionstabelle oder der Hardware der Fall.
Lösung für einzelne oder Workgroup-PCs
Bei Rechnern, die Mitglied in einer Domäne sind, speichern Admins den Schlüssel bevorzugt im Active Directory. Dies lässt sich über Gruppenrichtlinien automatisieren und schützt den Key vor dem Zugriff durch Unberechtigte. Bei einem hybriden AD-Join kann man den Wiederherstellungsschlüssel in Azure AD hinterlegen.
Eine Cloud-Option gibt es auch für Workgroup-PCs, wobei hier das Microsoft-Konto zum Einsatz kommt.
Im Vergleich zu den herkömmlichen Alternativen (Ausdrucken, Datei auf einem USB-Stick) ist diese Variante sicherer, außerdem kann man den Schlüssel von praktisch überall auslesen.
Microsoft-Konto als Speicherort wählen
Wenn man BitLocker über die Systemsteuerung aktiviert, dann muss man im ersten Dialog des Wizards festlegen, wo man den Key speichern möchte. Ein der Optionen hier lautet In Microsoft-Konto speichern.
Wählt man diese aus, ist aber nicht mit einem Microsoft-Konto, sondern einem lokalen Account am Rechner angemeldet, dann bricht der Vorgang mit einer Fehlermeldung ab.
In dieser Situation ist es aber nicht notwendig, zu einem Microsoft-Account zu wechseln.
Vielmehr reicht es, wenn man das lokale Konto (temporär) mit dem Online-Account verknüpft. Dazu fügt man dieses in der App Einstellungen unter Konten => E-Mail und Konten hinzu.
Wenn man bei der Aktivierung von BitLocker bereits eine andere Option für das Speichern des Wiederherstellungsschlüssels gewählt hat, etwa eine Datei auf einem Wechselmedium, dann kann man den Key immer noch nachträglich im Microsoft-Konto hinterlegen.
Dazu wechselt man in der Systemsteuerung wieder zu System und Sicherheit => BitLocker-Laufwerkverschlüsselung. Dort folgt man dem Link Wiederherstellungsschlüssel sichern.
Es öffnet den gleichen Dialog wie beim Wizard zur Aktivierung von BitLocker, wo man das Microsoft-Konto als Ziel wählen kann.
BitLocker-Schlüssel aus Microsoft-Konto auslesen
Benötigt man den Recovery Key, dann kann man sich auf einem beliebigen Gerät mit seinem Microsoft-Konto anmelden und alle Schlüssel für die Rechner auslesen, die man hier hinterlegt hat.
Dazu gibt man die URL https://account.microsoft.com/devices/recoverykey in den Browser ein. Nach der Authentifizierung erscheint die Liste mit den Keys. Diese kann man hier bei Bedarf auch löschen.
Zusammenfassung
Für Rechner, die nicht Mitglied in einer AD-Domäne oder im Azure AD sind, bietet die Option zum Speichern des BitLocker-Schlüssels im Microsoft-Konto eine komfortable und sichere Alternative zum Ausdrucken oder dem Ablegen in einer Datei.
Der Vorgang ist denkbar einfach. Eine Hürde tritt dann auf, wenn man mit einem lokalen Konto am Rechner angemeldet ist. In diesem Fall hilft das Verknüpfen mit einem Microsoft-Account.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Gelöschte E-Mails in Microsoft 365 wiederherstellen
- Gelöschte Objekte in Exchange Online wiederherstellen
- Signaturen für E-Mails in Exchange Online zentral erstellen und pflegen
- Hornetsecurity Plan 4 für 365 Total Protection Suite: Empfänger-Validierung, Phishing-Simulation, Permission Manager
- Adressbücher in Exchange Online anlegen und pflegen
Weitere Links