BitLocker auf Windows 10- oder Windows 11-Geräten konfigurieren

Unterstützte Versionen für diese Funktion: Frontline Starter, Frontline Standard und Frontline Plus; Business Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Enterprise Essentials und Enterprise Essentials Plus; Cloud Identity Premium.  Versionen vergleichen

Als Administrator können Sie festlegen, wie Microsoft Windows 10- oder 11-Geräte verschlüsselt werden, die in der Windows-Geräteverwaltung registriert sind. Die von Ihnen ausgewählten Einstellungen werden wirksam, wenn auf dem Gerät die BitLocker-Laufwerkverschlüsselung aktiviert ist. Die am häufigsten zu konfigurierenden Einstellungen sind:

  • Laufwerksverschlüsselung
  • Zusätzliche Authentifizierung beim Start
  • Wiederherstellungsoptionen vor dem Start
  • Verschlüsselung von Festplatten
  • Wiederherstellungsoptionen für Festplatten
  • Verschlüsselung von Wechseldatenträgern

Hinweis

Geräte müssen in der Windows-Geräteverwaltung registriert sein, damit diese Einstellungen angewendet werden. Weitere Informationen

BitLocker-Datenträgerverschlüsselung konfigurieren

  1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü  und dann Geräte und dannMobilgeräte und Endpunkte und dannEinstellungen und dannWindows

    Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

  2. Klicken Sie auf BitLocker-Einstellungen.
  3. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  4. Wählen Sie unter Datenträgerverschlüsselung aus der Liste der Elemente die Option Aktiviert aus.
  5. Konfigurieren Sie die Optionen:

    Laufwerksverschlüsselung

    • Verschlüsselungsoption für Systemlaufwerke: Wählen Sie die Verschlüsselungsmethode und die Stärke der Schlüsselchiffre für Festplatten mit Betriebssystemen aus.
    • Zusätzliche Authentifizierung beim Start: Wählen Sie aus, ob BitLocker bei jedem Start des Computers eine zusätzliche Authentifizierung erfordert und ob Sie ein Trusted Platform Module (TPM) verwenden. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
      • BitLocker ohne kompatibles TPM zulassen: Klicken Sie das Kästchen an, um für den Start entweder ein Passwort oder einen USB-Speicher erforderlich zu machen.
      • Mit dieser Einstellung konfigurieren Sie, dass für TPM beim Start weder eine PIN noch ein Schlüssel erforderlich ist: Stattdessen können Sie ein TPM als Startauthentifizierung erforderlich machen.
      • TPM-Start-PIN: Sie haben die Möglichkeit, vor dem Start die Eingabe einer 6- bis 20-stelligen PIN zu verlangen. Sie können auch die PIN-Mindestlänge konfigurieren.
      • TPM-Startschlüssel: Sie können von Nutzern verlangen, dass sie sich mit einem TPM-Startschlüssel authentifizieren, um auf ein Laufwerk zuzugreifen. Ein Startschlüssel ist ein USB-Stick mit den Informationen zum Verschlüsseln des Laufwerks. Wird der USB-Stick in das Gerät eingesteckt, ist das Laufwerk authentifiziert und der Zugriff darauf möglich.
      • TPM-Startschlüssel und ‑PIN: Sie können sowohl einen Startschlüssel als auch eine PIN erforderlich machen.
    • Wiederherstellungsoptionen vor dem Start: Damit können Sie die Wiederherstellungsnachricht konfigurieren oder die URL anpassen, die auf dem Bildschirm zur Wiederherstellung des Schlüssels vor dem Start angezeigt wird, wenn das Betriebssystemlaufwerk gesperrt ist.
    • Wiederherstellungsoptionen für Systemlaufwerke: Damit legen Sie Optionen für die Wiederherstellung von Daten von Betriebssystemlaufwerken fest, die durch BitLocker geschützt sind. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
      • Datenwiederherstellungs-Agent zulassen: Datenwiederherstellungs-Agents sind Personen, deren Public-Key-Infrastruktur-Zertifikate (PKI) zum Erstellen eines Schutzes durch BitLocker-Schlüssel verwendet werden. Sofern zulässig, können sie mit ihren PKI-Anmeldedaten Laufwerke freischalten, die durch BitLocker geschützt sind.
      • 48-stelliges Wiederherstellungspasswort festlegen: Wählen Sie aus, ob die Nutzer ein 48-stelliges Wiederherstellungspasswort erstellen dürfen, müssen oder nicht dürfen.
      • 256-Bit-Wiederherstellungsschlüssel: Wählen Sie aus, ob Nutzer einen 256-Bit-Wiederherstellungsschlüssel erstellen dürfen, müssen oder nicht dürfen.
      • Wiederherstellungsoptionen aus dem BitLocker-Einrichtungsassistenten ausblenden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer bei der Aktivierung von BitLocker Wiederherstellungsoptionen angeben.
      • BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern: Wenn die Option aktiviert ist, können Sie auswählen, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden sollen. Sie können entweder das Wiederherstellungspasswort mit Schlüssel im Paket für die Datensicherung auswählen oder nur das Wiederherstellungspasswort. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
        • BitLocker erst dann aktivieren, wenn die Wiederherstellungsinformationen in Active Directory gespeichert wurden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domain verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory ist erfolgreich.

    Verschlüsselung von Festplatten

    • Verschlüsselung von Festplatten: Damit geben Sie an, dass Festplatten verschlüsselt werden müssen, bevor Schreibzugriff gewährt wird. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
      • Verschlüsselung für Festplatten: Wählen Sie die Verschlüsselungsmethode und ‑stärke für Festplatten aus.
      • Wiederherstellungsoptionen für Festplatten: Damit legen Sie Optionen für die Wiederherstellung von Daten von Festplatten fest, die durch BitLocker geschützt sind. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
        • Datenwiederherstellungs-Agent zulassen: Datenwiederherstellungs-Agents sind Personen, deren Public-Key-Infrastruktur-Zertifikate (PKI) zum Erstellen eines Schutzes durch BitLocker-Schlüssel verwendet werden. Sofern zulässig, können sie mit ihren PKI-Anmeldedaten Laufwerke freischalten, die durch BitLocker geschützt sind.
        • 48-stelliges Wiederherstellungspasswort: Wählen Sie aus, ob die Nutzer ein 48-stelliges Wiederherstellungspasswort erstellen dürfen, müssen oder nicht dürfen.
        • 256-Bit-Wiederherstellungsschlüssel: Wählen Sie aus, ob Nutzer einen 256-Bit-Wiederherstellungsschlüssel erstellen dürfen, müssen oder nicht dürfen.
        • Wiederherstellungsoptionen aus dem BitLocker-Einrichtungsassistenten ausblenden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer bei der Aktivierung von BitLocker Wiederherstellungsoptionen angeben.
        • BitLocker-Wiederherstellungsinformationen in Active Directory Domain Services speichern: Wenn die Option aktiviert ist, können Sie auswählen, welche BitLocker-Wiederherstellungsinformationen in Active Directory gespeichert werden sollen. Sie können entweder das Wiederherstellungspasswort mit Schlüssel im Paket für die Datensicherung auswählen oder nur das Wiederherstellungspasswort. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
          • BitLocker erst dann aktivieren, wenn die Wiederherstellungsinformationen in Active Directory gespeichert wurden: Klicken Sie das Kästchen an, damit verhindert wird, dass Nutzer BitLocker aktivieren, es sei denn, der Computer ist mit der Domain verbunden und die Sicherung der BitLocker-Wiederherstellungsinformationen in Active Directory ist erfolgreich.

    Verschlüsselung von Wechseldatenträgern

    • Verschlüsselung von Wechseldatenträgern: Damit geben Sie an, dass alle Wechseldatenträger verschlüsselt werden müssen, bevor Schreibzugriff gewährt wird. Wenn die Option aktiviert ist, können Sie Folgendes festlegen:
      • Verschlüsselung für Wechseldatenträger: Wählen Sie den Verschlüsselungsalgorithmus und die Verschlüsselungsstärke für Wechseldatenträger aus.
      • Schreibzugriff auf Geräte verweigern, die in einer anderen Organisation konfiguriert wurden: Wenn diese Option aktiviert ist, erhalten nur Laufwerke Schreibzugriff, deren Identifikationsfelder mit denen des Computers übereinstimmen. Diese Felder sind in den Gruppenrichtlinien der Organisation festgelegt.
  6. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Datenträgerverschlüsselung auf „Nicht konfiguriert“ setzen

Wenn Sie bei Datenträgerverschlüsselung die Option Nicht konfiguriert auswählen, wird die BitLocker-Richtlinie, die Sie in der Admin-Konsole festgelegt haben, nicht mehr erzwungen. Auf den Geräten der Nutzer wird die Richtlinie auf die vorherige Einstellung zurückgesetzt. Wenn der Nutzer das Gerät verschlüsselt hat, werden keine Änderungen am Gerät oder den Daten auf dem Gerät vorgenommen.

BitLocker-Datenträgerverschlüsselung deaktivieren

  1. Klicken Sie in der Admin-Konsole auf das Dreistrichmenü  und dann Geräte und dannMobilgeräte und Endpunkte und dannEinstellungen und dannWindows

    Hierfür benötigen Sie die Administratorberechtigung „Dienste und Geräte“.

  2. Klicken Sie auf BitLocker-Einstellungen.
  3. Wenn Sie ein Profil nur für bestimmte Nutzer deaktivieren möchten, wählen Sie in der Liste links eine Organisationseinheit aus. Andernfalls gilt diese Einstellung für alle.
  4. Wählen Sie unter Datenträgerverschlüsselung aus der Liste der Elemente die Option Deaktiviert aus.
  5. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.