BitLocker-Konfigurationsdienstanbieter

Tipp

Dieser CSP enthält ADMX-gestützte Richtlinien, die ein spezielles SyncML-Format zum Aktivieren oder Deaktivieren erfordern. Sie müssen den Datentyp in SyncML als <Format>chr</Format>angeben. Weitere Informationen finden Sie unter Grundlegendes zu ADMX-gestützten Richtlinien.

Die Nutzlast des SyncML muss XML-codiert sein. Für diese XML-Codierung gibt es eine Vielzahl von Onlineencodern, die Sie verwenden können. Um die Codierung der Nutzlast zu vermeiden, können Sie CDATA verwenden, wenn Ihr MDM dies unterstützt. Weitere Informationen finden Sie unter CDATA-Abschnitte.

Der BitLocker-Konfigurationsdienstanbieter (CSP) wird vom Unternehmen verwendet, um die Verschlüsselung von PCs und Geräten zu verwalten. Dieser CSP wurde in Windows 10, Version 1703, hinzugefügt. Ab Windows 10, Version 1809, wird es auch in Windows 10 Pro unterstützt.

Hinweis

Um BitLocker über CSP zu verwalten, außer sie mithilfe der RequireDeviceEncryption Richtlinie zu aktivieren und zu deaktivieren, muss Ihren Benutzern unabhängig von Ihrer Verwaltungsplattform eine der folgenden Lizenzen zugewiesen werden:

  • Windows 10/11 Enterprise E3 oder E5 (enthalten in Microsoft 365 F3, E3 und E5).
  • Windows 10/11 Enterprise A3 oder A5 (in Microsoft 365 A3 und A5 enthalten).

Ein Get Vorgang für eine der Einstellungen mit Ausnahme RequireDeviceEncryption von und RequireStorageCardEncryptiongibt die vom Administrator konfigurierte Einstellung zurück.

Für RequireDeviceEncryption und RequireStorageCardEncryption gibt der Get-Vorgang den tatsächlichen Status der Erzwingung an den Administrator zurück, z. B. ob TPM-Schutz (Trusted Platform Module) erforderlich ist und ob verschlüsselung erforderlich ist. Und wenn auf dem Gerät BitLocker aktiviert ist, aber eine Kennwortschutzvorrichtung vorhanden ist, lautet der gemeldete Status 0. Ein Get-Vorgang für RequireDeviceEncryption überprüft nicht, ob eine minimale PIN-Länge erzwungen wird (SystemDrivesMinimumPINLength).

Hinweis

  • Einstellungen werden nur zu dem Zeitpunkt erzwungen, zu dem die Verschlüsselung gestartet wird. Die Verschlüsselung wird nicht mit Einstellungsänderungen neu gestartet.
  • Sie müssen alle Einstellungen zusammen in einer einzelnen SyncML-Datei senden, damit sie wirksam sind.

In der folgenden Liste sind die Knoten des BitLocker-Konfigurationsdienstanbieters aufgeführt:

AllowStandardUserEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1809 [10.0.17763] und höher
./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption

Ermöglicht es dem Administrator, die Richtlinie "RequireDeviceEncryption" für Szenarien zu erzwingen, in denen die Richtlinie gepusht wird, während der aktuelle angemeldete Benutzer Kein-Administrator/Standardbenutzer ist.

Die Richtlinie "AllowStandardUserEncryption" ist an die Richtlinie "AllowWarningForOtherDiskEncryption" gebunden, die auf "0" festgelegt wird, d. h. die automatische Verschlüsselung wird erzwungen.

Wenn "AllowWarningForOtherDiskEncryption" nicht festgelegt oder auf "1" festgelegt ist, versucht die Richtlinie "RequireDeviceEncryption" nicht, Laufwerke zu verschlüsseln, wenn ein Standardbenutzer der aktuell angemeldete Benutzer im System ist.

Die erwarteten Werte für diese Richtlinie sind:

1 = Die Richtlinie "RequireDeviceEncryption" versucht, die Verschlüsselung auf allen Festplattenlaufwerken zu aktivieren, auch wenn es sich bei einem aktuell angemeldeten Benutzer um einen Standardbenutzer handelt.

0 = Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist, versucht die Richtlinie "RequireDeviceEncryption", die Verschlüsselung auf keinem Laufwerk zu aktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0
Abhängigkeit [AllowWarningForOtherDiskEncryptionDependency] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Bitlocker/AllowWarningForOtherDiskEncryption
Dependency Allowed Value (Zulässiger Wert für Abhängigkeiten): [0]
Dependency Allowed Value Type(Dependency Allowed Value Type): Range

Zulässige Werte:

Wert Beschreibung
0 (Standard) Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Wenn der aktuell angemeldete Benutzer ein Standardbenutzer ist, versucht die Richtlinie "RequireDeviceEncryption", die Verschlüsselung auf keinem Laufwerk zu aktivieren.
1 Die Richtlinie "RequireDeviceEncryption" versucht, die Verschlüsselung auf allen Festplattenlaufwerken zu aktivieren, auch wenn es sich bei einem aktuell angemeldeten Benutzer um einen Standardbenutzer handelt.

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

<Replace>
 <CmdID>111</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">int</Format>
     </Meta>
     <Data>0</Data>
   </Item>
 </Replace>

AllowWarningForOtherDiskEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption

Ermöglicht dem Administrator, die gesamte Benutzeroberfläche (Benachrichtigung zur Verschlüsselung und Warnungsaufforderung für andere Datenträgerverschlüsselung) zu deaktivieren und die Verschlüsselung auf den Benutzercomputern im Hintergrund zu aktivieren.

Warnung

Wenn Sie BitLocker auf einem Gerät mit Verschlüsselung von Drittanbietern aktivieren, wird das Gerät möglicherweise unbrauchbar und erfordert eine erneute Installation von Windows.

Hinweis

Diese Richtlinie wird nur wirksam, wenn die Richtlinie "RequireDeviceEncryption" auf 1 festgelegt ist.

Die erwarteten Werte für diese Richtlinie sind:

1 = Dies ist die Standardeinstellung, wenn die Richtlinie nicht festgelegt ist. Warnungsaufforderung und Verschlüsselungsbenachrichtigung sind zulässig.

0 = Deaktiviert die Warnungsaufforderung und die Verschlüsselungsbenachrichtigung. Ab Windows 10, dem nächsten größeren Update, wird der Wert 0 nur auf in Microsoft Entra eingebundenen Geräten wirksam.

Windows versucht, BitLocker automatisch für den Wert 0 zu aktivieren.

Hinweis

Wenn Sie die Warnungsaufforderung deaktivieren, wird der Wiederherstellungsschlüssel des Betriebssystemlaufwerks im Microsoft Entra-Konto des Benutzers gesichert. Wenn Sie die Warnungsaufforderung zulassen, kann der Benutzer, der die Eingabeaufforderung erhält, auswählen, wo der Wiederherstellungsschlüssel des Betriebssystemlaufwerks gesichert werden soll.

Der Endpunkt für die Sicherung eines Festplattenlaufwerks wird in der folgenden Reihenfolge ausgewählt:

  1. Das Windows Server Active Directory Domain Services-Konto des Benutzers.
  2. Das Microsoft Entra-Konto des Benutzers.
  3. Das persönliche OneDrive des Benutzers (nur MDM/MAM).

Die Verschlüsselung wartet, bis einer dieser drei Speicherorte erfolgreich gesichert wurde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 1

Zulässige Werte:

Wert Beschreibung
0 Deaktiviert die Warnungsaufforderung. Ab Windows 10, Version 1803, kann der Wert 0 nur für in Microsoft Entra eingebundene Geräte festgelegt werden. Windows versucht, BitLocker automatisch für den Wert 0 zu aktivieren.
1 (Standard) Warnungsaufforderung zulässig.

Beispiel:

<Replace>
    <CmdID>110</CmdID>
    <Item>
        <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption</LocURI>
        </Target>
        <Meta>
            <Format xmlns="syncml:metinf">int</Format>
        <Data>0</Data>
    </Item>
</Replace>

ConfigureRecoveryPasswordRotation

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1909 [10.0.18363] und höher
./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Ermöglicht dem Administrator das Konfigurieren der numerischen Wiederherstellungskennwortrotation bei Verwendung für Betriebssystem- und Festplattenlaufwerke auf Microsoft Entra ID- und Hybrid-Domänengeräten.

Wenn dies nicht konfiguriert ist, ist rotation standardmäßig nur für Microsoft Entra ID aktiviert und bei Hybriden deaktiviert. Die Richtlinie ist nur wirksam, wenn die Active Directory-Sicherung für das Wiederherstellungskennwort so konfiguriert ist, dass sie erforderlich ist.

Für Betriebssystemlaufwerk: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind".

Für Festplattenlaufwerke: Aktivieren Sie "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind".

Unterstützte Werte: 0 – Rotation von numerischen Wiederherstellungskennwörtern AUS.

1 – Rotation numerischer Wiederherstellungskennwörter bei Verwendung von ON für in Microsoft Entra eingebundene Geräte. Standardwert 2 – Rotation numerischer Wiederherstellungskennwörter bei Verwendung von ON für Microsoft Entra ID und Hybridgeräte.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Aktualisierung deaktiviert (Standard).
1 Aktualisieren Sie für in Microsoft Entra eingebundene Geräte.
2 Aktualisieren Sie sowohl für in Microsoft Entra eingebundene als auch hybrid eingebundene Geräte.

EncryptionMethodByDriveType

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType

Mit dieser Richtlinieneinstellung wird konfiguriert, ob bitLocker-Schutz erforderlich ist, damit ein Computer Daten auf ein Wechseldatenlaufwerk schreiben kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Wechseldatenträger, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

Wenn die Option "Schreibzugriff auf in einer anderen Organisation konfigurierte Geräte verweigern" ausgewählt ist, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff. Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird auf ein gültiges Identifikationsfeld und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung "Bereitstellen der eindeutigen Bezeichner für Ihre Organisation" definiert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff eingebunden.

Hinweis

Diese Richtlinieneinstellung kann von den Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselspeicherzugriff überschrieben werden. Wenn die Richtlinieneinstellung "Wechseldatenträger: Schreibzugriff verweigern" aktiviert ist, wird diese Richtlinieneinstellung ignoriert.

Hinweis

Wenn Sie EncryptionMethodByDriveType aktivieren, müssen Sie Werte für alle drei Laufwerke (Betriebssystem, feste Daten und Wechseldaten) angeben. Andernfalls tritt ein Fehler auf (Rückgabestatus 500). Wenn Sie beispielsweise nur die Verschlüsselungsmethode für das Betriebssystem und Wechseldatenträger festlegen, erhalten Sie den Rückgabestatus 500.

Daten-ID-Elemente:

  • EncryptionMethodWithXtsOsDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Betriebssystemlaufwerke aus.
  • EncryptionMethodWithXtsFdvDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Festplattenlaufwerke aus.
  • EncryptionMethodWithXtsRdvDropDown_Name = Wählen Sie die Verschlüsselungsmethode für Wechseldatenträger aus.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie und Festlegen der Verschlüsselungsmethoden:

 <enabled/>
<data id="EncryptionMethodWithXtsOsDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsFdvDropDown_Name" value="xx"/>
<data id="EncryptionMethodWithXtsRdvDropDown_Name" value="xx"/>

Mögliche Werte für "xx" sind:

  • 3 = AES-CBC 128
  • 4 = AES-CBC 256
  • 6 = XTS-AES 128
  • 7 = XTS-AES 256

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RDVDenyWriteAccess_Name
Anzeigename Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger
Registrierungsschlüsselname System\CurrentControlSet\Policies\Microsoft\FVE
Name des Registrierungswertes RDVDenyWriteAccess
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

<Replace>
  <CmdID>$CmdID$</CmdID>
    <Item>
      <Target>
          <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
      </Target>
      <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
      </Meta>
      <Data><disabled/></Data>
    </Item>
</Replace>

FixedDrivesEncryptionType

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/FixedDrivesEncryptionType

Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/><data id="FDVEncryptionTypeDropDown_Name" value="1"/>

Mögliche Werte:

  • 0: Benutzer die Auswahl erlauben.
  • 1: Vollständige Verschlüsselung.
  • 2: Verschlüsselung nur verwendeter Speicherplatz.

Hinweis

Diese Richtlinie wird ignoriert, wenn Sie ein Volume verkleinern oder erweitern und der BitLocker-Treiber die aktuelle Verschlüsselungsmethode verwendet. Wenn z. B. ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie für ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter manage-bde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name FDVEncryptionType_Name
Anzeigename Erzwingen des Laufwerkverschlüsselungstyps auf Festplattenlaufwerken
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes FDVEncryptionType
ADMX-Dateiname VolumeEncryption.admx

FixedDrivesRecoveryOptions

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions

Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Festplattenlaufwerke ohne die erforderlichen Anmeldeinformationen wiederhergestellt werden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Das Kontrollkästchen "Datenwiederherstellungs-Agent zulassen" wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Festplattenlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch zur BitLocker-Laufwerkverschlüsselung auf Microsoft TechNet.

Wählen Sie unter "Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

Wählen Sie "Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen" aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden soll. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.

Wählen Sie unter "BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern" aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert werden sollen. Wenn Sie "Kennwort und Schlüsselpaket für die Wiederherstellung sichern" auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie "Nur Sicherungswiederherstellungskennwort" auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich.

Hinweis

Wenn das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Methoden steuern, die Benutzern zum Wiederherstellen von Daten von BitLocker-geschützten Festplattenlaufwerken zur Verfügung stehen.

  • Wenn diese Richtlinieneinstellung nicht konfiguriert oder deaktiviert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Daten-ID-Elemente:

  • FDVAllowDRA_Name: Datenwiederherstellungs-Agent zulassen
  • FDVRecoveryPasswordUsageDropDown_Name und FDVRecoveryKeyUsageDropDown_Name: Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen
  • FDVHideRecoveryPage_Name: Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
  • FDVActiveDirectoryBackup_Name: Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services
  • FDVActiveDirectoryBackupDropDown_Name: Konfigurieren der Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS
  • FDVRequireActiveDirectoryBackup_Name: Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Festplattenlaufwerke gespeichert sind.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="FDVAllowDRA_Name" value="xx"/>
<data id="FDVRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="FDVRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="FDVHideRecoveryPage_Name" value="xx"/>
<data id="FDVActiveDirectoryBackup_Name" value="xx"/>
<data id="FDVActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="FDVRequireActiveDirectoryBackup_Name" value="xx"/>

Mögliche Werte für "xx" sind:

  • true = Explizit zulassen
  • false = Richtlinie nicht festgelegt

Mögliche Werte für "yy" sind:

  • 0 = Unzulässig
  • 1 = Erforderlich
  • 2 = Zulässig

Mögliche Werte für "zz":

  • 1 = Wiederherstellungskennwörter und Schlüsselpakete speichern
  • 2 = Nur Wiederherstellungskennwörter speichern

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name FDVRecoveryUsage_Name
Anzeigename Auswählen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes FDVRecovery
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

FixedDrivesRequireEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption

Diese Richtlinieneinstellung bestimmt, ob BitLocker-Schutz erforderlich ist, damit Festplattenlaufwerke auf einem Computer schreibbar sind.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Festplattenlaufwerke, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Festplattenlaufwerke auf dem Computer mit Lese- und Schreibzugriff bereitgestellt.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name FDVDenyWriteAccess_Name
Anzeigename Schreibzugriff auf Festplattenlaufwerke verweigern, die nicht durch BitLocker geschützt sind
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Festplattenlaufwerke
Registrierungsschlüsselname System\CurrentControlSet\Policies\Microsoft\FVE
Name des Registrierungswertes FDVDenyWriteAccess
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

IdentificationField

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/IdentificationField

Mit dieser Richtlinieneinstellung können Sie einem neuen Laufwerk, das mit BitLocker aktiviert ist, eindeutige Organisationsbezeichner zuordnen. Diese Bezeichner werden als Identifikationsfeld und zulässiges Identifikationsfeld gespeichert. Mit dem Identifikationsfeld können Sie durch BitLocker geschützte Laufwerke einen eindeutigen Organisationsbezeichner zuordnen. Dieser Bezeichner wird automatisch neuen bitLocker-geschützten Laufwerken hinzugefügt und kann mithilfe des Befehlszeilentools manage-bde auf vorhandenen bitLocker-geschützten Laufwerken aktualisiert werden. Ein Identifikationsfeld ist für die Verwaltung von zertifikatbasierten Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken und für potenzielle Updates des BitLocker To Go-Readers erforderlich. BitLocker verwaltet und aktualisiert Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf dem Laufwerk mit dem im Identifikationsfeld konfigurierten Wert übereinstimmt. Auf ähnliche Weise aktualisiert BitLocker den BitLocker To Go-Reader nur, wenn das Identifikationsfeld auf dem Laufwerk mit dem für das Identifikationsfeld konfigurierten Wert übereinstimmt.

Das Feld "Zulässige Identifizierung" wird in Kombination mit der Richtlinieneinstellung "Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind" verwendet, um die Verwendung von Wechseldatenträgern in Ihrer Organisation zu steuern. Es handelt sich um eine durch Trennzeichen getrennte Liste von Identifikationsfeldern aus Ihrer Organisation oder anderen externen Organisationen.

Sie können die Identifikationsfelder auf vorhandenen Laufwerken mithilfe von manage-bde.exe konfigurieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie das Identifikationsfeld auf dem durch BitLocker geschützten Laufwerk und alle zulässigen Identifizierungsfelder konfigurieren, die von Ihrer Organisation verwendet werden.

Wenn ein bitLocker-geschütztes Laufwerk auf einem anderen BitLocker-fähigen Computer bereitgestellt wird, werden das Identifikationsfeld und das zulässige Identifikationsfeld verwendet, um zu bestimmen, ob das Laufwerk von einer externen Organisation stammt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, ist das Identifikationsfeld nicht erforderlich.

Hinweis

Identifikationsfelder sind für die Verwaltung zertifikatbasierter Datenwiederherstellungs-Agents auf BitLocker-geschützten Laufwerken erforderlich. BitLocker verwaltet und aktualisiert zertifikatbasierte Datenwiederherstellungs-Agents nur, wenn das Identifikationsfeld auf einem Laufwerk vorhanden ist und mit dem auf dem Computer konfigurierten Wert identisch ist. Das Identifikationsfeld kann ein beliebiger Wert von maximal 260 Zeichen sein.

Daten-ID-Elemente:

  • IdentificationField: Dies ist ein BitLocker-Identifikationsfeld.
  • SecIdentificationField: Dies ist ein zulässiges BitLocker-Identifikationsfeld.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="IdentificationField" value="BitLocker-ID1"/>
<data id="SecIdentificationField" value="Allowed-BitLocker-ID2"/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name IdentificationField_Name
Anzeigename Geben Sie die eindeutigen Bezeichner für Ihre Organisation an.
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes IdentificationField
ADMX-Dateiname VolumeEncryption.admx

RemovableDrivesConfigureBDE

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/RemovableDrivesConfigureBDE

Diese Richtlinieneinstellung steuert die Verwendung von BitLocker auf Wechseldatenträgern. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Wenn diese Richtlinieneinstellung aktiviert ist, können Sie Eigenschafteneinstellungen auswählen, die steuern, wie Benutzer BitLocker konfigurieren können. Wählen Sie "Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger erlauben" aus, damit der Benutzer den BitLocker-Setup-Assistenten auf einem Wechseldatenlaufwerk ausführen kann. Wählen Sie "Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern erlauben", damit der Benutzer die BitLocker-Laufwerkverschlüsselung vom Laufwerk entfernen oder die Verschlüsselung anhalten kann, während die Wartung durchgeführt wird. Informationen zum Anhalten des BitLocker-Schutzes finden Sie unter Grundlegende BitLocker-Bereitstellung.

  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer BitLocker auf Wechseldatenträgern verwenden.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer BitLocker nicht auf Wechseldatenträgern verwenden.

Daten-ID-Elemente:

  • RDVAllowBDE_Name: Benutzern das Anwenden des BitLocker-Schutzes auf Wechseldatenträger ermöglichen.
  • RDVDisableBDE_Name: Benutzern das Anhalten und Entschlüsseln von BitLocker auf Wechseldatenträgern ermöglichen.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="RDVAllowBDE_Name" value="true"/>
<data id="RDVDisableBDE_Name" value="true"/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RDVConfigureBDE
Anzeigename Steuern der Verwendung von BitLocker auf Wechseldatenträgern
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes RDVConfigureBDE
ADMX-Dateiname VolumeEncryption.admx

RemovableDrivesEncryptionType

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/RemovableDrivesEncryptionType

Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/><data id="RDVEncryptionTypeDropDown_Name" value="2"/>

Mögliche Werte:

  • 0: Benutzer die Auswahl erlauben.
  • 1: Vollständige Verschlüsselung.
  • 2: Verschlüsselung nur verwendeter Speicherplatz.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Abhängigkeit [BDEAllowed] Abhängigkeitstyp: DependsOn
Abhängigkeits-URI: Device/Vendor/MSFT/Bitlocker/RemovableDrivesConfigureBDE
Dependency Allowed Value Type(Dependency Allowed Value Type): ADMX

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RDVEncryptionType_Name
Anzeigename Erzwingen des Laufwerkverschlüsselungstyps auf Wechseldatenträgern
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes RDVEncryptionType
ADMX-Dateiname VolumeEncryption.admx

RemovableDrivesExcludedFromEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/RemovableDrivesExcludedFromEncryption

Wenn diese Option aktiviert ist, können Sie Wechseldatenträger und Geräte, die über die USB-Schnittstelle verbunden sind, von der BitLocker-Geräteverschlüsselung ausschließen. Ausgeschlossene Geräte können nicht verschlüsselt werden, auch nicht manuell. Darüber hinaus wird der Benutzer nicht zur Verschlüsselung aufgefordert, und das Laufwerk wird im Lese-/Schreibmodus eingebunden, wenn "Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind" konfiguriert ist. Geben Sie unter Verwendung der Hardware-ID des Datenträgergeräts eine durch Trennzeichen getrennte Liste ausgeschlossener Wechseldatenträger\Geräte an. Beispiel USBSTOR\SEAGATE_ST39102LW_______0004.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Zulässige Werte List (Trennzeichen: ,)

RemovableDrivesRequireEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption

Mit dieser Richtlinieneinstellung wird konfiguriert, ob bitLocker-Schutz erforderlich ist, damit ein Computer Daten auf ein Wechseldatenlaufwerk schreiben kann.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle Wechseldatenträger, die nicht durch BitLocker geschützt sind, schreibgeschützt bereitgestellt. Wenn das Laufwerk durch BitLocker geschützt ist, wird es mit Lese- und Schreibzugriff bereitgestellt.

Wenn die Option "Schreibzugriff auf in einer anderen Organisation konfigurierte Geräte verweigern" ausgewählt ist, erhalten nur Laufwerke mit Identifikationsfeldern, die den Identifikationsfeldern des Computers entsprechen, Schreibzugriff. Wenn auf ein Wechseldatenlaufwerk zugegriffen wird, wird auf ein gültiges Identifikationsfeld und zulässige Identifikationsfelder überprüft. Diese Felder werden durch die Richtlinieneinstellung "Bereitstellen der eindeutigen Bezeichner für Ihre Organisation" definiert.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden alle Wechseldatenträger auf dem Computer mit Lese- und Schreibzugriff eingebunden.

Hinweis

Diese Richtlinieneinstellung kann von den Richtlinieneinstellungen unter Benutzerkonfiguration\Administrative Vorlagen\System\Wechselspeicherzugriff überschrieben werden. Wenn die Richtlinieneinstellung "Wechseldatenträger: Schreibzugriff verweigern" aktiviert ist, wird diese Richtlinieneinstellung ignoriert.

Daten-ID-Elemente:

  • RDVCrossOrg: Verweigern des Schreibzugriffs auf Geräte, die in einer anderen Organisation konfiguriert sind

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

 <enabled/><data id="RDVCrossOrg" value="xx"/>

Mögliche Werte für "xx" sind:

  • true = Explizit zulassen
  • false = Richtlinie nicht festgelegt

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name RDVDenyWriteAccess_Name
Anzeigename Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Wechseldatenträger
Registrierungsschlüsselname System\CurrentControlSet\Policies\Microsoft\FVE
Name des Registrierungswertes RDVDenyWriteAccess
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

RequireDeviceEncryption

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

Ermöglicht es dem Administrator, die Aktivierung der Verschlüsselung mithilfe von BitLocker\Device Encryption zu verlangen.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie:

1

Wenn Sie die Richtlinie deaktivieren, wird die Verschlüsselung auf dem Systemlaufwerk nicht deaktiviert. Fordert den Benutzer jedoch nicht mehr auf, es zu aktivieren.

Hinweis

Derzeit wird nur die vollständige Datenträgerverschlüsselung unterstützt, wenn dieser CSP für die automatische Verschlüsselung verwendet wird. Bei nicht automatischer Verschlüsselung hängt der Verschlüsselungstyp vom Gerät ab SystemDrivesEncryptionType und FixedDrivesEncryptionType wird auf diesem konfiguriert.

Der Status von Betriebssystemvolumes und verschlüsselten festen Datenvolumes wird mit einem Get-Vorgang überprüft. In der Regel folgt Die BitLocker-/Geräteverschlüsselung unabhängig davon, auf welchen Wert die EncryptionMethodByDriveType-Richtlinie festgelegt ist. Diese Richtlinieneinstellung wird jedoch für selbstverschlüsselte Festplattenlaufwerke und selbstverschlüsselte Betriebssystemlaufwerke ignoriert.

Verschlüsselte Feste Datenvolumes werden ähnlich wie Betriebssystemvolumes behandelt. Feste Datenvolumes müssen jedoch andere Kriterien erfüllen, um als verschlüsselt gelten zu können:

  • Es darf sich nicht um ein dynamisches Volume handeln.
  • Es darf keine Wiederherstellungspartition sein.
  • Es darf sich nicht um ein ausgeblendetes Volume handeln.
  • Es darf keine Systempartition sein.
  • Er darf nicht durch virtuellen Speicher gesichert werden.
  • Es darf keinen Verweis im BCD-Speicher enthalten.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Deaktivieren. Wenn die Richtlinieneinstellung nicht oder auf 0 festgelegt ist, wird der Erzwingungsstatus des Geräts nicht überprüft. Die Richtlinie erzwingt keine Verschlüsselung und entschlüsselt keine verschlüsselten Volumes.
1 Aktivieren. Der Erzwingungsstatus des Geräts wird überprüft. Wenn Sie diese Richtlinie auf 1 festlegen, wird die Verschlüsselung aller Laufwerke ausgelöst (automatisch oder nicht automatisch basierend auf der AllowWarningForOtherDiskEncryption-Richtlinie).

Beispiel:

So deaktivieren Sie RequireDeviceEncryption:

<SyncML>
    <SyncBody>
        <Replace>
            <CmdID>$CmdID$</CmdID>
            <Item>
                <Target>
                    <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
                </Target>
                <Meta>
                    <Format xmlns="syncml:metinf">int</Format>
                </Meta>
                <Data>0</Data>
            </Item>
        </Replace>
    </SyncBody>
</SyncML>

RequireStorageCardEncryption

Hinweis

Diese Richtlinie ist veraltet und kann in einer zukünftigen Version entfernt werden.

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption

Ermöglicht dem Administrator, die Verschlüsselung von Speicherkarten auf dem Gerät zu verlangen.

Diese Richtlinie gilt nur für mobile SKU.

Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie:

1

Wenn Sie die Richtlinie deaktivieren, wird die Verschlüsselung auf der Speicherkarte nicht deaktiviert. Fordert den Benutzer jedoch nicht mehr auf, es zu aktivieren.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen
Standardwert 0

Zulässige Werte:

Wert Beschreibung
0 (Standard) Speicherkarten müssen nicht verschlüsselt werden.
1 Die Verschlüsselung von Speicherkarten ist erforderlich.

RotateRecoveryPasswords

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1909 [10.0.18363] und höher
./Device/Vendor/MSFT/BitLocker/RotateRecoveryPasswords

Ermöglicht administratoren die einmalige Rotation aller numerischen Wiederherstellungskennwörter für Betriebssystem- und Festplattenlaufwerke auf einer Microsoft Entra ID oder einem hybrid eingebundenen Gerät.

Diese Richtlinie ist Ausführungstyp und rotiert alle numerischen Kennwörter, wenn sie von MDM-Tools ausgegeben werden.

Die Richtlinie wird nur wirksam, wenn die Active Directory-Sicherung für ein Wiederherstellungskennwort als "erforderlich" konfiguriert ist.

  • Aktivieren Sie für Betriebssystemlaufwerke "BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in Active Directory Domain Services für Betriebssystemlaufwerke gespeichert werden".

  • Aktivieren Sie für Festplattenlaufwerke "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in Active Directory Domain Services für Festplattenlaufwerke gespeichert sind".

Der Client gibt den Status DM_S_ACCEPTED_FOR_PROCESSING zurück, um anzugeben, dass die Rotation gestartet wurde. Der Server kann den Status mit den folgenden Statusknoten abfragen:

  • status\RotateRecoveryPasswordsStatus
  • status\RotateRecoveryPasswordsRequestID.

Unterstützte Werte: Zeichenfolgenform der Anforderungs-ID. Das Beispielformat der Anforderungs-ID ist GUID. Der Server kann das Format je nach Bedarf entsprechend den Verwaltungstools auswählen.

Hinweis

Die Schlüsselrotation wird nur für diese Registrierungstypen unterstützt. Weitere Informationen finden Sie unter deviceEnrollmentType-Enumeration.

  • windowsAzureADJoin.
  • windowsBulkAzureDomainJoin.
  • windowsAzureADJoinUsingDeviceAuth.
  • windowsCoManagement.

Tipp

Das Feature "Schlüsselrotation" funktioniert nur in folgenden Fällen:

  • Für Betriebssystemlaufwerke:

    • OSRequireActiveDirectoryBackup_Name ist auf 1 ("Erforderlich") festgelegt.
    • OSActiveDirectoryBackup_Name ist auf TRUE festgelegt.
  • Für Festplattenlaufwerke:

    • FDVRequireActiveDirectoryBackup_Name ist auf 1 = ("Erforderlich") festgelegt.
    • FDVActiveDirectoryBackup_Name ist auf true festgelegt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Exec

Status

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/BitLocker/Status

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format node
Zugriffstyp „Abrufen“

Status/DeviceEncryptionStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1903 [10.0.18362] und höher
./Device/Vendor/MSFT/BitLocker/Status/DeviceEncryptionStatus

Dieser Knoten meldet den Konformitätsstatus der Geräteverschlüsselung auf dem System.

Der Wert "0" bedeutet, dass das Gerät kompatibel ist. Jeder andere Wert stellt ein nicht kompatibles Gerät dar.

Dieser Wert stellt eine Bitmaske mit jedem Bit und dem entsprechenden Fehlercode dar, der in der folgenden Tabelle beschrieben wird:

Bit Fehlercode
0 Die BitLocker-Richtlinie erfordert die Zustimmung des Benutzers, um den BitLocker-Laufwerkverschlüsselungs-Assistenten zu starten, um die Verschlüsselung des Betriebssystemvolumes zu starten, aber der Benutzer hat nicht zugestimmt.
1 Die Verschlüsselungsmethode des Betriebssystemvolumes stimmt nicht mit der BitLocker-Richtlinie überein.
2 Das Betriebssystemvolume ist nicht geschützt.
3 Die BitLocker-Richtlinie erfordert eine reine TPM-Schutzvorrichtung für das Betriebssystemvolume, der TPM-Schutz wird jedoch nicht verwendet.
4 Die BitLocker-Richtlinie erfordert TPM+PIN-Schutz für das Betriebssystemvolume, eine TPM+PIN-Schutzvorrichtung wird jedoch nicht verwendet.
5 Die BitLocker-Richtlinie erfordert TPM-Schutz und Startschlüsselschutz für das Betriebssystemvolume, eine TPM+Startschlüsselschutzvorrichtung wird jedoch nicht verwendet.
6 Die BitLocker-Richtlinie erfordert TPM+PIN+Startschlüsselschutz für das Betriebssystemvolume, eine TPM+PIN+Startschlüsselschutzvorrichtung wird jedoch nicht verwendet.
7 Die BitLocker-Richtlinie erfordert eine TPM-Schutzvorrichtung, um das Betriebssystemvolume zu schützen, aber ein TPM wird nicht verwendet.
8 Fehler bei der Sicherung des Wiederherstellungsschlüssels.
9 Ein Festplattenlaufwerk ist nicht geschützt.
10 Die Verschlüsselungsmethode des Festplattenlaufwerks stimmt nicht mit der BitLocker-Richtlinie überein.
11 Um Laufwerke zu verschlüsseln, erfordert die BitLocker-Richtlinie, dass sich der Benutzer entweder als Administrator anmeldet, oder wenn das Gerät mit Microsoft Entra ID verknüpft ist, muss die AllowStandardUserEncryption-Richtlinie auf 1 festgelegt werden.
12 Die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) ist nicht konfiguriert.
13 Ein TPM ist für BitLocker nicht verfügbar, entweder weil es nicht vorhanden ist, es in der Registrierung nicht verfügbar gemacht wurde oder sich das Betriebssystem auf einem Wechseldatenträger befindet.
14 Das TPM ist nicht für BitLocker bereit.
15 Das Netzwerk ist nicht verfügbar, was für die Sicherung des Wiederherstellungsschlüssels erforderlich ist.
16 Der Verschlüsselungstyp des Betriebssystemvolumes für die Verschlüsselung des gesamten Datenträgers im Vergleich zur ausschließlich verwendeten Speicherplatzverschlüsselung stimmt nicht mit der BitLocker-Richtlinie überein.
17 Der Verschlüsselungstyp des Festplattenlaufwerks für die Verschlüsselung des gesamten Datenträgers im Vergleich zur ausschließlich verwendeten Speicherplatzverschlüsselung stimmt nicht mit der BitLocker-Richtlinie überein.
18-31 Zur zukünftigen Verwendung.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Status/RemovableDrivesEncryptionStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/Status/RemovableDrivesEncryptionStatus

Dieser Knoten meldet den Konformitätsstatus der Laufwerkverschlüsselung. Der Wert "0" bedeutet, dass das Entfernungslaufwerk gemäß allen festgelegten Einstellungen für das Entfernen des Laufwerks verschlüsselt ist.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

Status/RotateRecoveryPasswordsRequestID

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1909 [10.0.18363] und höher
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsRequestID

Dieser Knoten meldet die RequestID, die RotateRecoveryPasswordsStatus entspricht.

Dieser Knoten muss in der Synchronisierung mit RotateRecoveryPasswordsStatus abgefragt werden, um sicherzustellen, dass der Status ordnungsgemäß mit der Anforderungs-ID übereinstimmt.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp „Abrufen“

Status/RotateRecoveryPasswordsStatus

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1909 [10.0.18363] und höher
./Device/Vendor/MSFT/BitLocker/Status/RotateRecoveryPasswordsStatus

Dieser Knoten meldet den Status der RotateRecoveryPasswords-Anforderung.

Der Statuscode kann einer der folgenden Sein:

NotStarted(2), Pending (1), Pass (0), Other error codes in case of failure.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format int
Zugriffstyp „Abrufen“

SystemDrivesDisallowStandardUsersCanChangePIN

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesDisallowStandardUsersCanChangePIN

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob Standardbenutzer BitLocker-Volume-PINs ändern dürfen, vorausgesetzt, sie können zuerst die vorhandene PIN angeben.

Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, dürfen Standardbenutzer keine BitLocker-PINs oder -Kennwörter ändern.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Standardbenutzer BitLocker-PINs und Kennwörter ändern.

Hinweis

Um die PIN oder das Kennwort zu ändern, muss der Benutzer in der Lage sein, die aktuelle PIN oder das aktuelle Kennwort anzugeben.

Der Beispielwert für diesen Knoten zum Deaktivieren dieser Richtlinie lautet: <disabled/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name DisallowStandardUsersCanChangePIN_Name
Anzeigename Nicht zulassen, dass Standardbenutzer die PIN oder das Kennwort ändern
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes DisallowStandardUserPINReset
ADMX-Dateiname VolumeEncryption.admx

SystemDrivesEnablePrebootInputProtectorsOnSlates

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePrebootInputProtectorsOnSlates

Diese Richtlinieneinstellung ermöglicht Es Benutzern, Authentifizierungsoptionen zu aktivieren, die Benutzereingaben aus der Pre-Boot-Umgebung erfordern, auch wenn die Plattform keine Pre-Boot-Eingabefunktionen enthält.

Die Windows-Bildschirmtastatur (z. B. die von Tablets verwendete) ist in der Umgebung vor dem Start nicht verfügbar, in der BitLocker zusätzliche Informationen wie eine PIN oder ein Kennwort erfordert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, müssen Geräte über eine alternative Methode für die Eingabe vor dem Start verfügen (z. B. eine angeschlossene USB-Tastatur).

  • Wenn diese Richtlinie nicht aktiviert ist, muss die Windows-Wiederherstellungsumgebung auf Tablets aktiviert sein, um die Eingabe des BitLocker-Wiederherstellungskennworts zu unterstützen. Wenn die Windows-Wiederherstellungsumgebung nicht aktiviert ist und diese Richtlinie nicht aktiviert ist, können Sie BitLocker nicht auf einem Gerät aktivieren, das die Windows-Bildschirmtastatur verwendet.

Beachten Sie, dass die Optionen in der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich" auf solchen Geräten möglicherweise nicht verfügbar sind, wenn Sie diese Richtlinieneinstellung nicht aktivieren. Zu diesen Optionen gehören:

  • Konfigurieren der TPM-Start-PIN: Erforderlich/Zulässig
  • Konfigurieren des TPM-Startschlüssels und der PIN: Erforderlich/Zulässig
  • Konfigurieren Sie die Verwendung von Kennwörtern für Betriebssystemlaufwerke.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnablePrebootInputProtectorsOnSlates_Name
Anzeigename Aktivieren der Verwendung der BitLocker-Authentifizierung, bei der Tastatureingaben für Slates vor dem Start erforderlich sind
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes OSEnablePrebootInputProtectorsOnSlates
ADMX-Dateiname VolumeEncryption.admx

SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnablePreBootPinExceptionOnDECapableDevice

Diese Richtlinieneinstellung ermöglicht Benutzern auf Geräten, die mit InstantGo oder Microsoft Hardware Security Test Interface (HSTI) kompatibel sind, keine PIN für die Authentifizierung vor dem Start. Dadurch werden die Optionen "Start-PIN mit TPM erforderlich" und "Startschlüssel und PIN mit TPM erforderlich" der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich" auf kompatibler Hardware außer Kraft gesetzt.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, haben Benutzer auf InstantGo- und HSTI-kompatiblen Geräten die Wahl, BitLocker ohne Vorabstartauthentifizierung zu aktivieren.

  • Wenn diese Richtlinie nicht aktiviert ist, gelten die Optionen der Richtlinie "Zusätzliche Authentifizierung beim Start erforderlich".

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnablePreBootPinExceptionOnDECapableDevice_Name
Anzeigename Zulassen, dass Geräte, die mit InstantGo oder HSTI kompatibel sind, die PIN vor dem Start deaktivieren.
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes OSEnablePreBootPinExceptionOnDECapableDevice
ADMX-Dateiname VolumeEncryption.admx

SystemDrivesEncryptionType

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesEncryptionType

Mit dieser Richtlinieneinstellung können Sie den von der BitLocker-Laufwerkverschlüsselung verwendeten Verschlüsselungstyp konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Das Ändern des Verschlüsselungstyps hat keine Auswirkungen, wenn das Laufwerk bereits verschlüsselt ist oder die Verschlüsselung ausgeführt wird. Wählen Sie die vollständige Verschlüsselung aus, um festzulegen, dass das gesamte Laufwerk verschlüsselt wird, wenn BitLocker aktiviert ist. Wählen Sie die Verschlüsselung nur für verwendeten Speicherplatz aus, um festzulegen, dass nur der Teil des Laufwerks, der zum Speichern von Daten verwendet wird, verschlüsselt wird, wenn BitLocker aktiviert ist.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, wird der Verschlüsselungstyp, den BitLocker zum Verschlüsseln von Laufwerken verwendet, durch diese Richtlinie definiert, und die Verschlüsselungstypoption wird im BitLocker-Setup-Assistenten nicht angezeigt.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, fordert der BitLocker-Setup-Assistent den Benutzer auf, den Verschlüsselungstyp auszuwählen, bevor BitLocker aktiviert wird.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/><data id="OSEncryptionTypeDropDown_Name" value="1"/>

Mögliche Werte:

  • 0: Benutzer die Auswahl erlauben.
  • 1: Vollständige Verschlüsselung.
  • 2: Verschlüsselung nur verwendeter Speicherplatz.

Hinweis

Diese Richtlinie wird beim Verkleinern oder Erweitern eines Volumes ignoriert, und der BitLocker-Treiber verwendet die aktuelle Verschlüsselungsmethode. Wenn beispielsweise ein Laufwerk erweitert wird, auf dem nur verwendeter Speicherplatz verwendet wird, wird der neue freie Speicherplatz nicht wie für ein Laufwerk mit vollständiger Verschlüsselung zurückgesetzt. Der Benutzer kann den freien Speicherplatz auf einem Laufwerk mit nur verwendetem Speicherplatz mit dem folgenden Befehl zurücksetzen: manage-bde -w. Wenn das Volume verkleinert wird, wird keine Aktion für den neuen freien Speicherplatz ausgeführt.

Weitere Informationen zum Tool zum Verwalten von BitLocker finden Sie unter manage-bde.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name OSEncryptionType_Name
Anzeigename Erzwingen des Laufwerkverschlüsselungstyps auf Betriebssystemlaufwerken
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes OSEncryptionType
ADMX-Dateiname VolumeEncryption.admx

SystemDrivesEnhancedPIN

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 2004 mit KB5005101 [10.0.19041.1202] und höher
✅ Windows 10, Version 20H2 mit KB5005101 [10.0.19042.1202] und höher
✅ Windows 10, Version 21H1 mit KB5005101 [10.0.19043.1202] und höher
✅ Windows 11, Version 21H2 [10.0.22000] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesEnhancedPIN

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob erweiterte Start-PINs mit BitLocker verwendet werden.

Erweiterte Start-PINs ermöglichen die Verwendung von Zeichen, einschließlich Groß- und Kleinbuchstaben, Symbolen, Zahlen und Leerzeichen. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden alle neuen BitLocker-Start-PINs erweitert.

Hinweis

Nicht alle Computer unterstützen möglicherweise erweiterte PINs in der Umgebung vor dem Start. Es wird dringend empfohlen, dass Benutzer während des BitLocker-Setups eine Systemüberprüfung durchführen.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine erweiterten PINs verwendet.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet: <enabled/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name EnhancedPIN_Name
Anzeigename Zulassen erweiterter PINs für den Start
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
Name des Registrierungswertes UseEnhancedPin
ADMX-Dateiname VolumeEncryption.admx

SystemDrivesMinimumPINLength

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength

Mit dieser Richtlinieneinstellung können Sie eine Mindestlänge für eine TPM-Start-PIN (Trusted Platform Module) konfigurieren. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren. Die Start-PIN muss eine Mindestlänge von vier Ziffern aufweisen und kann eine maximale Länge von 20 Ziffern aufweisen.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie festlegen, dass beim Festlegen der Start-PIN eine Mindestanzahl von Ziffern verwendet wird.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer eine Start-PIN mit einer beliebigen Länge zwischen 6 und 20 Ziffern konfigurieren.

Hinweis

Wenn die minimale PIN-Länge unter 6 Ziffern festgelegt ist, versucht Windows, den TPM 2.0-Sperrzeitraum so zu aktualisieren, dass er größer als der Standard ist, wenn eine PIN geändert wird. Bei erfolgreicher Ausführung setzt Windows den TPM-Sperrzeitraum nur dann auf den Standardwert zurück, wenn das TPM zurückgesetzt wird.

Hinweis

In Windows 10, Version 1703, Version B, können Sie eine mindeste PIN-Länge von vier Ziffern verwenden.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/><data id="MinPINLength" value="xx"/>

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name MinimumPINLength_Name
Anzeigename Konfigurieren der mindesten PIN-Länge für den Start
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryMessage

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage

Mit dieser Richtlinieneinstellung können Sie die gesamte Wiederherstellungsnachricht konfigurieren oder die vorhandene URL ersetzen, die auf dem Bildschirm zur Wiederherstellung des Vorstartschlüssels angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.

Wenn Sie die Option "Standardwiederherstellungsnachricht und -URL verwenden" auswählen, werden die BitLocker-Standardwiederherstellungsmeldung und -URL auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn Sie zuvor eine benutzerdefinierte Wiederherstellungsnachricht oder URL konfiguriert haben und die Standardnachricht wiederherstellen möchten, müssen Sie die Richtlinie aktiviert lassen und die Option "Standardwiederherstellungsnachricht und -URL verwenden" auswählen.

Wenn Sie die Option "Benutzerdefinierte Wiederherstellungsnachricht verwenden" auswählen, wird die Nachricht, die Sie in das Textfeld "Benutzerdefinierte Wiederherstellungsmeldungsoption" eingeben, auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt. Wenn eine Wiederherstellungs-URL verfügbar ist, fügen Sie sie in die Nachricht ein.

Wenn Sie die Option "Benutzerdefinierte Wiederherstellungs-URL verwenden" auswählen, ersetzt die URL, die Sie in das Textfeld "Benutzerdefinierte Wiederherstellungs-URL-Option" eingeben, die Standard-URL in der Standardwiederherstellungsmeldung, die auf dem Bildschirm für die Wiederherstellung vor dem Startschlüssel angezeigt wird.

Hinweis

Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.

Daten-ID-Elemente:

  • PrebootRecoveryInfoDropDown_Name: Wählen Sie eine Option für die Wiederherstellungsnachricht vor dem Start aus.
  • RecoveryMessage_Input: Benutzerdefinierte Wiederherstellungsnachricht
  • RecoveryUrl_Input: Benutzerdefinierte Wiederherstellungs-URL

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="PrebootRecoveryInfoDropDown_Name" value="xx"/>
<data id="RecoveryMessage_Input" value="yy"/>
<data id="RecoveryUrl_Input" value="zz"/>

Mögliche Werte für "xx" sind:

  • 0 = Leer
  • 1 = Standardwiederherstellungsmeldung und -URL verwenden (in diesem Fall müssen Sie keinen Wert für "RecoveryMessage_Input" oder "RecoveryUrl_Input" angeben).
  • 2 = Benutzerdefinierte Wiederherstellungsmeldung ist festgelegt.
  • 3 = Benutzerdefinierte Wiederherstellungs-URL ist festgelegt.

Der mögliche Wert für "yy" und "zz" ist eine Zeichenfolge mit der maximalen Länge 900 bzw. 500.

Hinweis

  • Wenn Sie SystemDrivesRecoveryMessage aktivieren, müssen Sie Werte für alle drei Einstellungen (Wiederherstellungsbildschirm vor dem Start, Wiederherstellungsnachricht und Wiederherstellungs-URL) angeben. Andernfalls tritt ein Fehler auf (Rückgabestatus 500). Wenn Sie beispielsweise nur Werte für Nachricht und URL angeben, erhalten Sie den Rückgabestatus 500.
  • Nicht alle Zeichen und Sprachen werden vor dem Start unterstützt. Es wird dringend empfohlen, zu testen, ob die Zeichen, die Sie für die benutzerdefinierte Nachricht oder URL verwenden, auf dem Wiederherstellungsbildschirm vor dem Start ordnungsgemäß angezeigt werden.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name PrebootRecoveryInfo_Name
Anzeigename Konfigurieren der Wiederherstellungsnachricht und der URL vor dem Start
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname Software\Policies\Microsoft\FVE
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

<Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRecoveryOptions

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions

Mit dieser Richtlinieneinstellung können Sie steuern, wie bitLocker-geschützte Betriebssystemlaufwerke ohne die erforderlichen Startschlüsselinformationen wiederhergestellt werden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Das Kontrollkästchen "Zertifikatbasierter Datenwiederherstellungs-Agent zulassen" wird verwendet, um anzugeben, ob ein Datenwiederherstellungs-Agent mit BitLocker-geschützten Betriebssystemlaufwerken verwendet werden kann. Bevor ein Datenwiederherstellungs-Agent verwendet werden kann, muss er über das Element Richtlinien für öffentliche Schlüssel in der Gruppenrichtlinien-Verwaltungskonsole oder im Editor für lokale Gruppenrichtlinien hinzugefügt werden. Weitere Informationen zum Hinzufügen von Datenwiederherstellungs-Agents finden Sie im Bereitstellungshandbuch zur BitLocker-Laufwerkverschlüsselung auf Microsoft TechNet.

Wählen Sie unter "Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen" aus, ob Benutzer ein 48-stelliges Wiederherstellungskennwort oder einen 256-Bit-Wiederherstellungsschlüssel generieren dürfen, erforderlich oder nicht.

Wählen Sie "Wiederherstellungsoptionen im BitLocker-Setup-Assistenten auslassen" aus, um zu verhindern, dass Benutzer Wiederherstellungsoptionen angeben, wenn sie BitLocker auf einem Laufwerk aktivieren. Dies bedeutet, dass Sie nicht angeben können, welche Wiederherstellungsoption beim Aktivieren von BitLocker verwendet werden soll. Stattdessen werden die BitLocker-Wiederherstellungsoptionen für das Laufwerk durch die Richtlinieneinstellung bestimmt.

Wählen Sie unter "BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern" aus, welche BitLocker-Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert werden sollen. Wenn Sie "Kennwort und Schlüsselpaket für die Wiederherstellung sichern" auswählen, werden sowohl das BitLocker-Wiederherstellungskennwort als auch das Schlüsselpaket in AD DS gespeichert. Das Speichern des Schlüsselpakets unterstützt die Wiederherstellung von Daten von einem Laufwerk, das physisch beschädigt wurde. Wenn Sie "Nur Sicherungswiederherstellungskennwort" auswählen, wird nur das Wiederherstellungskennwort in AD DS gespeichert.

Aktivieren Sie das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind", wenn Sie verhindern möchten, dass Benutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domäne verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in AD DS ist erfolgreich.

Hinweis

Wenn das Kontrollkästchen "BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind" aktiviert ist, wird automatisch ein Wiederherstellungskennwort generiert.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die Für Benutzer verfügbaren Methoden zum Wiederherstellen von Daten von BitLocker-geschützten Betriebssystemlaufwerken steuern.

  • Wenn diese Richtlinieneinstellung deaktiviert oder nicht konfiguriert ist, werden die Standardwiederherstellungsoptionen für die BitLocker-Wiederherstellung unterstützt. Standardmäßig ist eine DRA zulässig, die Wiederherstellungsoptionen können vom Benutzer angegeben werden, einschließlich des Wiederherstellungskennworts und des Wiederherstellungsschlüssels, und Wiederherstellungsinformationen werden nicht in AD DS gesichert.

Daten-ID-Elemente:

  • OSAllowDRA_Name: Zertifikatbasierten Datenwiederherstellungs-Agent zulassen
  • OSRecoveryPasswordUsageDropDown_Name und OSRecoveryKeyUsageDropDown_Name: Konfigurieren des Benutzerspeichers von BitLocker-Wiederherstellungsinformationen
  • OSHideRecoveryPage_Name: Auslassen von Wiederherstellungsoptionen im BitLocker-Setup-Assistenten
  • OSActiveDirectoryBackup_Name und OSActiveDirectoryBackupDropDown_Name: Speichern von BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services
  • OSRequireActiveDirectoryBackup_Name: Aktivieren Sie BitLocker erst, wenn Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="OSAllowDRA_Name" value="xx"/>
<data id="OSRecoveryPasswordUsageDropDown_Name" value="yy"/>
<data id="OSRecoveryKeyUsageDropDown_Name" value="yy"/>
<data id="OSHideRecoveryPage_Name" value="xx"/>
<data id="OSActiveDirectoryBackup_Name" value="xx"/>
<data id="OSActiveDirectoryBackupDropDown_Name" value="zz"/>
<data id="OSRequireActiveDirectoryBackup_Name" value="xx"/>

Mögliche Werte für "xx" sind:

  • true = Explizit zulassen
  • false = Richtlinie nicht festgelegt

Mögliche Werte für "yy" sind:

  • 0 = Unzulässig
  • 1 = Erforderlich
  • 2 = Zulässig

Mögliche Werte für "zz":

  • 1 = Wiederherstellungskennwörter und Schlüsselpakete speichern.
  • 2 = Nur Wiederherstellungskennwörter speichern.

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name OSRecoveryUsage_Name
Anzeigename Auswählen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes OSRecovery
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

SystemDrivesRequireStartupAuthentication

Bereich Editionen Geeignetes Betriebssystem
✅ Gerät
❌ Benutzer
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ Windows 10, Version 1703 [10.0.15063] und höher
./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication

Mit dieser Richtlinieneinstellung können Sie konfigurieren, ob BitLocker bei jedem Computerstart eine zusätzliche Authentifizierung erfordert und ob Sie BitLocker mit oder ohne tpm (Trusted Platform Module) verwenden. Diese Richtlinieneinstellung wird angewendet, wenn Sie BitLocker aktivieren.

Hinweis

Beim Start kann nur eine der zusätzlichen Authentifizierungsoptionen erforderlich sein, andernfalls tritt ein Richtlinienfehler auf.

Wenn Sie BitLocker auf einem Computer ohne TPM verwenden möchten, aktivieren Sie das Kontrollkästchen "BitLocker ohne kompatibles TPM zulassen". In diesem Modus ist entweder ein Kennwort oder ein USB-Laufwerk für den Start erforderlich. Bei Verwendung eines Startschlüssels werden die Schlüsselinformationen, die zum Verschlüsseln des Laufwerks verwendet werden, auf dem USB-Laufwerk gespeichert, wodurch ein USB-Schlüssel erstellt wird. Wenn der USB-Schlüssel eingelegt wird, wird der Zugriff auf das Laufwerk authentifiziert, und auf das Laufwerk kann zugegriffen werden. Wenn der USB-Schlüssel verloren geht oder nicht verfügbar ist oder Sie das Kennwort vergessen haben, müssen Sie eine der BitLocker-Wiederherstellungsoptionen verwenden, um auf das Laufwerk zuzugreifen.

Auf einem Computer mit einem kompatiblen TPM können vier Arten von Authentifizierungsmethoden beim Start verwendet werden, um zusätzlichen Schutz für verschlüsselte Daten bereitzustellen. Wenn der Computer gestartet wird, kann er nur das TPM für die Authentifizierung verwenden, oder es kann auch das Einfügen eines USB-Speichersticks mit einem Startschlüssel, die Eingabe einer 6-stelligen in eine 20-stellige persönliche Identifikationsnummer (PIN) oder beides erfordern.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, können Benutzer erweiterte Startoptionen im BitLocker-Setup-Assistenten konfigurieren.

  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer nur grundlegende Optionen auf Computern mit einem TPM konfigurieren.

Hinweis

Wenn Sie die Verwendung einer Start-PIN und eines USB-Speichersticks benötigen möchten, müssen Sie BitLocker-Einstellungen mithilfe des Befehlszeilentools manage-bde anstelle des Setup-Assistenten für die BitLocker-Laufwerkverschlüsselung konfigurieren.

Hinweis

  • In Windows 10, Version 1703, Version B, können Sie eine PIN mit mindestens vier Ziffern verwenden. Die SystemDrivesMinimumPINLength-Richtlinie muss so festgelegt werden, dass PINs zulässig sind, die kürzer als 6 Ziffern sind.
  • Geräte, die die HSTI-Überprüfung (Hardware Security Testability Specification) oder Modern Standby-Geräte bestehen, können mit diesem CSP keine Start-PIN konfigurieren. Benutzer müssen die PIN manuell konfigurieren. Daten-ID-Elemente:
  • ConfigureNonTPMStartupKeyUsage_Name = BitLocker ohne kompatibles TPM zulassen (erfordert ein Kennwort oder einen Startschlüssel auf einem USB-Speicherstick).
  • ConfigureTPMStartupKeyUsageDropDown_Name = (für Computer mit TPM) TPM-Startschlüssel konfigurieren.
  • ConfigurePINUsageDropDown_Name = (für Computer mit TPM) TPM-Start-PIN konfigurieren.
  • ConfigureTPMPINKeyUsageDropDown_Name = (für Computer mit TPM) Tpm-Startschlüssel und PIN konfigurieren.
  • ConfigureTPMUsageDropDown_Name = (für Computer mit TPM) TPM-Start konfigurieren.

Der Beispielwert für diesen Knoten zum Aktivieren dieser Richtlinie lautet:

<enabled/>
<data id="ConfigureNonTPMStartupKeyUsage_Name" value="xx"/>
<data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigurePINUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMPINKeyUsageDropDown_Name" value="yy"/>
<data id="ConfigureTPMUsageDropDown_Name" value="yy"/>

Mögliche Werte für "xx" sind:

  • true = Explizit zulassen
  • false = Richtlinie nicht festgelegt

Mögliche Werte für "yy" sind:

  • 2 = Optional
  • 1 = Erforderlich
  • 0 = Unzulässig

Beschreibungsframeworkeigenschaften:

Eigenschaftenname Eigenschaftenwert
Format chr (Zeichenfolge)
Zugriffstyp Hinzufügen, Löschen, Abrufen, Ersetzen

Tipp

Dies ist eine ADMX-gestützte Richtlinie, die für die Konfiguration das SyncML-Format erfordert. Ein Beispiel für das SyncML-Format finden Sie unter Aktivieren einer Richtlinie.

ADMX-Zuordnung:

Name Wert
Name ConfigureAdvancedStartup_Name
Anzeigename Zusätzliche Authentifizierung beim Start erforderlich
Position Computerkonfiguration
Pfad Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke
Registrierungsschlüsselname SOFTWARE\Policies\Microsoft\FVE
Name des Registrierungswertes UseAdvancedStartup
ADMX-Dateiname VolumeEncryption.admx

Beispiel:

Verwenden Sie die folgende SyncML-Datei, um diese Richtlinie zu deaktivieren:

 <Replace>
 <CmdID>$CmdID$</CmdID>
   <Item>
     <Target>
         <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
     </Target>
     <Meta>
         <Format xmlns="syncml:metinf">chr</Format>
     </Meta>
     <Data><disabled/></Data>
   </Item>
 </Replace>

Beispiel für SyncML

Das folgende Beispiel wird bereitgestellt, um das richtige Format anzuzeigen und sollte nicht als Empfehlung betrachtet werden.

<SyncML xmlns="SYNCML:SYNCML1.2">
    <SyncBody>

      <!-- Phone only policy -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireStorageCardEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption</LocURI>
          </Target>
          <Meta>
            <Format xmlns="syncml:metinf">int</Format>
          </Meta>
          <Data>1</Data>
        </Item>
      </Replace>

      <!-- All of the following policies are only supported on desktop SKU -->
      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="EncryptionMethodWithXtsOsDropDown_Name" value="4"/>
            <data id="EncryptionMethodWithXtsFdvDropDown_Name" value="7"/>
            <data id="EncryptionMethodWithXtsRdvDropDown_Name" value="4"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRequireStartupAuthentication</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="ConfigureNonTPMStartupKeyUsage_Name" value="true"/>
            <data id="ConfigureTPMStartupKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigurePINUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMPINKeyUsageDropDown_Name" value="2"/>
            <data id="ConfigureTPMUsageDropDown_Name" value="2"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesMinimumPINLength</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="MinPINLength" value="6"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RecoveryMessage_Input" value="blablablabla"/>
            <data id="PrebootRecoveryInfoDropDown_Name" value="2"/>
            <data id="RecoveryUrl_Input" value="blablabla"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="OSAllowDRA_Name" value="true"/>
            <data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="OSRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="OSHideRecoveryPage_Name" value="true"/>
            <data id="OSActiveDirectoryBackup_Name" value="true"/>
            <data id="OSActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="OSRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRecoveryOptions</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="FDVAllowDRA_Name" value="true"/>
            <data id="FDVRecoveryPasswordUsageDropDown_Name" value="2"/>
            <data id="FDVRecoveryKeyUsageDropDown_Name" value="2"/>
            <data id="FDVHideRecoveryPage_Name" value="true"/>
            <data id="FDVActiveDirectoryBackup_Name" value="true"/>
            <data id="FDVActiveDirectoryBackupDropDown_Name" value="2"/>
            <data id="FDVRequireActiveDirectoryBackup_Name" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/FixedDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
          </Data>
        </Item>
      </Replace>

      <Replace>
        <CmdID>$CmdID$</CmdID>
        <Item>
          <Target>
            <LocURI>./Device/Vendor/MSFT/BitLocker/RemovableDrivesRequireEncryption</LocURI>
          </Target>
          <Data>
            <enabled/>
            <data id="RDVCrossOrg" value="true"/>
          </Data>
        </Item>
      </Replace>

      <Final/>
    </SyncBody>
</SyncML>

Referenz zum Konfigurationsdienstanbieter