Datenträgerverschlüsselungsrichtlinie für Endpunktsicherheit in Intune

  • Artikel

Endpunktsicherheit Datenträgerverschlüsselungsprofile konzentrieren sich nur auf die Einstellungen, die für eine integrierte Verschlüsselungsmethode für Geräte relevant sind, z. B. FileVault, BitLocker und Personal Data Encryption (für Windows). Dieser Fokus erleichtert Sicherheitsadministratoren die Verwaltung der Einstellungen für die Datenträgerverschlüsselung, ohne in einer Vielzahl nicht verwandter Einstellungen navigieren zu müssen.

Während Sie die gleichen Geräteeinstellungen mithilfe von Endpoint Protection-Profilen für die Gerätekonfiguration konfigurieren können, enthalten die Gerätekonfigurationsprofile andere Kategorien von Einstellungen. Diese anderen Einstellungen stehen in keinem Zusammenhang mit der Datenträgerverschlüsselung und können die Konfiguration nur der Datenträgerverschlüsselung erschweren.

Suchen Sie die Endpunktsicherheitsrichtlinien für die Datenträgerverschlüsselung unter Verwalten im Knoten Endpunktsicherheit des Microsoft Intune Admin Center.

Voraussetzungen für die Datenträgerverschlüsselungsrichtlinie

  • macOS – macOS 10.13 oder höher
  • Windows – Windows 10
  • Windows – Windows 11

Rollenbasierte Zugriffssteuerung (RBAC)

Eine Anleitung zum Zuweisen der richtigen Berechtigungs- und Rechteebene zum Verwalten Intune Datenträgerverschlüsselungsrichtlinie finden Sie unter Assign-role-based-access-controls-for-endpoint-security-policy.

Datenträgerverschlüsselungsprofile

macOS-Profile:

Windows-Profile:

  • BitLocker – BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das in das Betriebssystem integriert ist und die Bedrohungen durch Datendiebstahl oder Offenlegung durch verlorene, gestohlene oder unangemessen außer Betrieb gesetzte Computer beseitigt.

    Hinweis

    Ab dem 19. Juni 2023 wurde das BitLocker-Profil für Windows aktualisiert, um das Einstellungsformat im Einstellungskatalog zu verwenden. Das neue Profilformat enthält die gleichen Einstellungen wie das ältere Profil. Mit dieser Änderung können Sie keine neuen Versionen der alten Profile mehr erstellen. Ihre vorhandenen Instanzen des alten Profils können weiterhin verwendet und bearbeitet werden.

    Mit dem neuen Profilformat veröffentlichen wir keine dedizierte Liste von Einstellungen mehr, wie im Profil zu finden. Verwenden Sie stattdessen den Link Weitere Informationen auf der Benutzeroberfläche, während Sie Informationen für eine Einstellung anzeigen, um BitLocker CSP in der Windows-Dokumentation zu öffnen, in der die Einstellung vollständig beschrieben ist.

    Eine Liste der Einstellungen in den ursprünglichen BitLocker-Profilen, die vor dem 19. Juni 2023 erstellt wurden, finden Sie weiterhin unter BitLocker-Einstellungen in der Intune-Dokumentation.

  • Personal Data Encryption – Personal Data Encryption (PDE) verschlüsselt Daten auf Ordnerebene und ist für Geräte verfügbar, die Windows 11 Version 22H2 oder höher ausgeführt werden. PDE unterscheidet sich von BitLocker darin, dass Dateien anstelle von ganzen Volumes und Datenträgern verschlüsselt werden. PDE tritt zusätzlich zu anderen Verschlüsselungsmethoden wie BitLocker auf. Im Gegensatz zu BitLocker, das Datenverschlüsselungsschlüssel beim Start freigibt, gibt PDE datenverschlüsselungsschlüssel erst frei, wenn sich ein Benutzer mit Windows Hello for Business anmeldet. PDE verwendet den PDE-CSP.

    Weitere Informationen zu PDE, einschließlich Voraussetzungen, verwandten Anforderungen und Empfehlungen, finden Sie in den folgenden Artikeln in der Windows-Sicherheitsdokumentation:

Informationen zum Erstellen eines BitLocker- oder Personal Data Encryption-Profils finden Sie unter Verwenden der Datenträgerverschlüsselung für Windows.

Verwalten der Geräteverschlüsselung

Informationen zum Verwalten der Verschlüsselung finden Sie in den folgenden Artikeln, nachdem Sie eine Richtlinie zum Verschlüsseln eines Gerätedatenträgers bereitgestellt haben:

Nächste Schritte