BitLocker configureren op Windows 10- of 11-apparaten

Ondersteunde edities voor deze functie: Frontline Starter, Frontline Standard en Frontline Plus; Business Plus; Enterprise Standard en Enterprise Plus; Education Standard, Education Plus en Endpoint Education Upgrade; Enterprise Essentials en Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Als beheerder kunt u instellen hoe Microsoft Windows 10- of 11-apparaten die zijn ingeschreven bij Windows-apparaatbeheer, worden versleuteld. De instellingen die u kiest, worden van kracht als BitLocker-schijfversleuteling op het apparaat is ingeschakeld. De meest voorkomende instellingen om te configureren zijn:

  • Schijfversleuteling
  • Aanvullende opstartauthenticatie
  • Preboot-herstelopties
  • Versleuteling van vaste schijven
  • Herstelopties voor vaste schijven
  • Versleuteling van verwijderbare schijven

Voordat je begint

Apparaten moeten geregistreerd zijn in Windows-apparaatbeheer om deze instellingen te kunnen toepassen. Meer informatie

BitLocker-schijfversleuteling configureren

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingen en dan Windows .

    Hiervoor is beheerdersrechten voor services en apparaten vereist.

  2. Klik op BitLocker-instellingen .
  3. (Optioneel) Om de instelling op een afdeling of team toe te passen, selecteert u aan de zijkant een organisatie-eenheid .
  4. Selecteer onder Schijfversleuteling de optie Ingeschakeld in de lijst.
  5. Configureer de opties:

    Schijfversleuteling

    • Versleutelingsoptie voor systeemstations – Selecteer de versleutelingsmethode en de versleutelingssterkte van de sleutel voor de schijven van het besturingssysteem.
    • Aanvullende opstartverificatie – Selecteer of BitLocker aanvullende verificatie vereist telkens wanneer de computer opstart en geef aan of u een Trusted Platform Module (TPM) gebruikt. Indien ingeschakeld, kunt u de volgende instellingen configureren:
      • BitLocker toestaan ​​zonder compatibele TPM – Vink het vakje aan om te vereisen dat er een wachtwoord of een USB-schijf nodig is om op te starten.
      • TPM-opstart configureren zonder pincode of sleutel – U kunt TPM als opstartauthenticatie vereisen in plaats van een pincode of sleutel.
      • TPM-opstart-PIN – U kunt vereisen dat er een PIN-code van 6 tot 20 cijfers wordt ingevoerd vóór het opstarten. U kunt ook de minimale PIN-lengte configureren.
      • TPM-opstartsleutel – U kunt vereisen dat gebruikers zich authenticeren met een TPM-opstartsleutel om toegang te krijgen tot een schijf. Een opstartsleutel is een USB-stick met de informatie om de schijf te versleutelen. Wanneer deze USB-stick in het apparaat wordt geplaatst, wordt de toegang tot de schijf geverifieerd en is de schijf toegankelijk.
      • TPM-opstartsleutel en pincode – U kunt zowel een opstartsleutel als een pincode vereisen.
    • Opties voor herstel vóór het opstarten – Schakel deze optie in om het herstelbericht in te stellen of de URL aan te passen die wordt weergegeven op het scherm voor herstel vóór het opstarten wanneer de schijf met het besturingssysteem is vergrendeld.
    • Opties voor het herstellen van systeemstations – Schakel deze optie in om gebruikers de mogelijkheid te bieden gegevens te herstellen van besturingssysteemstations die door BitLocker worden beschermd. Indien ingeschakeld, kunt u de volgende opties instellen:
      • Gegevensherstelagent toestaan ​​– Gegevensherstelagenten zijn personen van wie de PKI-certificaten (Public Key Infrastructure) worden gebruikt om een ​​BitLocker-sleutelbeveiliger te creëren. Indien toegestaan, kunnen deze personen hun PKI-gegevens gebruiken om schijven te ontgrendelen die door BitLocker worden beveiligd.
      • Geef een herstelwachtwoord van 48 cijfers op – Selecteer of gebruikers een herstelwachtwoord van 48 cijfers mogen, moeten of niet mogen genereren.
      • 256-bits herstelsleutel – Selecteer of gebruikers een 256-bits herstelsleutel mogen, moeten of niet mogen genereren.
      • Verberg herstelopties in de BitLocker-installatiewizard – Vink dit vakje aan om te voorkomen dat gebruikers herstelopties kunnen opgeven wanneer ze BitLocker inschakelen.
      • BitLocker-herstelgegevens opslaan in Active Directory-domeinservices – Indien aangevinkt, kunt u kiezen welke BitLocker-herstelgegevens u in Active Directory wilt opslaan. U kunt kiezen voor het pakket met het back-upwachtwoord en de bijbehorende sleutel, of alleen voor het back-upwachtwoord. Indien ingeschakeld, kunt u de volgende instellingen configureren:
        • Schakel BitLocker niet in totdat de herstelgegevens in Active Directory zijn opgeslagen. Vink dit vakje aan om te voorkomen dat gebruikers BitLocker inschakelen tenzij de computer is verbonden met het domein en de back-up van de BitLocker-herstelgegevens naar Active Directory is geslaagd.

    Versleuteling van vaste schijven

    • Versleuteling van vaste schijven – Schakel deze optie in om te vereisen dat vaste schijven worden versleuteld voordat schrijftoegang wordt verleend. Indien ingeschakeld, kunt u de volgende instellingen configureren:
      • Versleuteling voor vaste schijven – Selecteer de versleutelingsmethode en de sleutelsterkte voor vaste schijven.
      • Herstelopties voor vaste schijven – Schakel deze optie in om gebruikers de mogelijkheid te bieden gegevens te herstellen van vaste schijven die door BitLocker worden beschermd. Indien ingeschakeld, kunt u de volgende opties instellen:
        • Gegevensherstelagent toestaan ​​– Gegevensherstelagenten zijn personen van wie de PKI-certificaten (Public Key Infrastructure) worden gebruikt om een ​​BitLocker-sleutelbeveiliger te creëren. Indien toegestaan, kunnen deze personen hun PKI-gegevens gebruiken om schijven te ontgrendelen die door BitLocker worden beveiligd.
        • 48-cijferig herstelwachtwoord – Selecteer of gebruikers een 48-cijferig herstelwachtwoord mogen, moeten of niet mogen genereren.
        • 256-bits herstelsleutel – Selecteer of gebruikers een 256-bits herstelsleutel mogen, moeten of niet mogen genereren.
        • Verberg herstelopties in de BitLocker-installatiewizard – Vink dit vakje aan om te voorkomen dat gebruikers herstelopties kunnen opgeven wanneer ze BitLocker inschakelen.
        • BitLocker-herstelgegevens opslaan in Active Directory-domeinservices – Indien aangevinkt, kunt u kiezen welke BitLocker-herstelgegevens u in Active Directory wilt opslaan. U kunt kiezen voor het pakket met het back-upwachtwoord en de bijbehorende sleutel, of alleen voor het back-upwachtwoord. Indien ingeschakeld, kunt u de volgende instellingen configureren:
          • Schakel BitLocker niet in totdat de herstelgegevens in Active Directory zijn opgeslagen. Vink dit vakje aan om te voorkomen dat gebruikers BitLocker inschakelen tenzij de computer is verbonden met het domein en de back-up van de BitLocker-herstelgegevens naar Active Directory is geslaagd.

    Versleuteling van verwijderbare schijven

    • Versleuteling van verwisselbare schijven – Schakel deze optie in om te vereisen dat alle verwisselbare schijven worden versleuteld voordat schrijftoegang wordt verleend. Indien ingeschakeld, kunt u de volgende instellingen configureren:
      • Versleuteling voor verwisselbare schijven – Selecteer het versleutelingsalgoritme en de sleutelsterkte voor verwisselbare schijven.
      • Schrijftoegang tot apparaten die in een andere organisatie zijn geconfigureerd, weigeren – Indien aangevinkt, krijgen alleen schijven met identificatievelden die overeenkomen met de identificatievelden van de computer schrijftoegang. Deze velden worden gedefinieerd door het groepsbeleid van uw organisatie.
  6. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

    Om de overgeërfde waarde later te herstellen, klikt u op Overnemen .

Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

Stel schijfversleuteling in op Niet geconfigureerd

Als u ' Niet geconfigureerd voor schijfversleuteling' selecteert, wordt het BitLocker-beleid dat u in de beheerdersconsole hebt ingesteld niet langer afgedwongen. Op gebruikersapparaten wordt het beleid teruggezet naar de eerdere instelling. Als de gebruiker het apparaat heeft versleuteld, worden er geen wijzigingen aangebracht aan het apparaat of aan de gegevens op het apparaat.

BitLocker-schijfversleuteling uitschakelen

  1. Ga in de Google Admin-console naar Menu. en dan Apparaten en dan Mobiel & eindpunten en dan Instellingen en dan Windows .

    Hiervoor is beheerdersrechten voor services en apparaten vereist.

  2. Klik op BitLocker-instellingen .
  3. Als u een profiel alleen voor bepaalde gebruikers wilt uitschakelen, selecteert u een organisatie-eenheid in de lijst aan de linkerkant. Anders geldt de instelling voor iedereen.
  4. Selecteer onder Schijfversleuteling de optie Uitgeschakeld in de lijst.
  5. Klik op Opslaan. Of u kunt voor een organisatie-eenheid op Overschrijven klikken.

    Om de overgeërfde waarde later te herstellen, klikt u op Overnemen .


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.