BitLocker für Unternehmen: BitLocker und Intune

In diesem Teil der Blogserie geht es um die Konfiguration der BitLocker-AD-Integration mittels Intune und den Fragen: Welche Möglichkeiten bietet Intune in diesem Zusammenhang? Welche Voraussetzungen muss ein Gerät erfüllen, damit BitLocker per Intune verwaltet werden kann?

Blogeintragsserie BitLocker für Unternehmen:

  1. Einführung und Integration ins Active Directory

  2. Widerherstellungsschlüssel im AD auslesen

  3. BitLocker und Intune

  4. Verwaltung mittels Gruppenrichtlinien: Allgemeine Richtlinien & Best Practices

  5. Verwaltung mittels Gruppenrichtlinien: Verschlüsselung (demnächst)

Um BitLocker auf Geräten auszurollen, kann Intune verwendet werden. Intune ist mittlerweile Teil des Microsoft Endpoint Managers. Das Adminportal kann über office.com -> Admin -> Microsoft Endpoint Manager oder endpoint.microsoft.com aufgerufen werden. Um BitLocker für Geräte zu konfigurieren, wird zunächst ein Configuration Profile benötigt. Die Einstellung befindet sich unter Devices -> Configuration Profiles oder alternativ mit der Auswahl der Plattform, auf welcher BitLocker verwendet werden soll, in diesem Fall Windows Geräten: Devices -> Windows (oder eine andere Plattform wie z. B. Android) -> Configuration Profiles.

1 - Create Profile.png

Damit das Gerät mit Intune verwaltet werden kann, muss das Gerät in Intune registriert sein. Es gibt viele Möglichkeiten, um dies durchzuführen, unter Windows z. B. über die Settings App -> Accounts -> Access work or school -> Connect. 

Ein Nutzer kann standardmäßig 15 Geräte registrieren, außer der Nutzer ist Device enrollment manager, dann liegt die Limitierung bei 1000 Geräten. Der Nutzer kann über Devices -> Enroll Devices -> Device enrollment managers hinzugefügt werden.

In diesem Blogeintrag wird das Configuration Profile am Beispiel eines Windows Gerätes im Adminportal wie folgt aufgebaut, da BitLocker für andere Geräte wie Android nicht verfügbar ist:

  • Plattform: Windows 10 and later
    Profile type: Endpoint Protection
    BitLocker ist Teil der Endpoint Protection, die Endpoint Protection umfasst jedoch deutlich mehr Konfigurationsmöglichkeiten als BitLocker, wie z. B. Windows Defender

  • Vergabe eines intuitiven Namens wie z. B. Win 10 BitLocker

  • In den Configuration settings sind alle Einstellungsmöglichkeiten gelistet, welche die Endpoint protection zur Verfügung stellt. Für BitLocker ist die Windows Encryption interessant. Die Einstellungsmöglichkeiten sind wie bei den GPOs auch, in allgemeine Einstellungen und nach Laufwerkstypen unterteilt (Betriebssystemverschlüsselung, interne Festplatten und Wechseldatenträger (removable data-drives).

  • Der wichtigste Unterschied zu GPOs ist das Erzwingen der Geräteverschlüsselung über die Auswahlmöglichkeit:
    Encrypt devices: Require

  • D. h. wenn dem Windows Gerät das Configuration Profile zugewiesen wird, wird es direkt verschlüsselt.

2 - Encrypt Devices.png
  • Wiederherstellungsinformationen können ins Azure Active Directory für verschlüsselte Betriebssysteme und interne Festplatten gespeichert werden, Wechseldatenträger haben diese Möglichkeit nicht.
    Um die Wiederherstellungsinformationen im Azure Active Directory zu speichern, werden die folgenden Einstellungen benötigt:

  1. OS drive recovery: Enabled
    und ggf.
    Fixed drive recovery: Enabled
    Ohne diese Option wählt der Endnutzer die Wiederherstellungseinstellungen selbst. D. h. der Wiederherstellungsschlüssel kann nicht im Azure Active Directory gespeichert und die Festplatte im Fehlerfall nicht vom Administrator entschlüsselt werden.

  2. Save BitLocker recovery information to Azure Active Directory: Enabled
    Wichtigster Unterschied zu on-premise Einstellungen ist, dass die Informationen im Azure Active Directory und nicht im Active Directory (on premise) gespeichert werden.

  3. Store recovery information in Azure Active Directory before enabling BitLocker: Require
    Mit dieser Einstellung wird sichergestellt, dass die Wiederherstellungsinformationen erst im Azure Active Directory angekommen sind, bevor verschlüsselt wird. Info: Eine Übersicht der verfügbaren Einstellungen finden Sie in den folgenden Blogeinträgen.

  4. Bzgl. Wechseldatenträgern (removable data-drives) kann unterbunden werden, dass Unternehmensdaten auf nicht verschlüsselte Geräte geschrieben werden darf
    Write access to removable data-drive not protected by BitLocker: Block

  5. Mit der Einstellung
    Write access to devices configured in another organization: Block
    wird zudem verhindert, dass auch auf verschlüsselte Geräte nicht geschrieben werden darf, um so Ihre Unternehmensdaten gegen Diebstahl zu sichern.

3 - Recovery to AD Settings.png
  • Im nächsten Reiter unter Assignments wird das Configuration Profile Microsoft 365 oder Security Groups zugewiesen. Eine Zuweisung an Nutzer, die keiner Gruppe zugewiesen sind, funktioniert nicht. Soll ein Configuration Profile lediglich für eine Person verwendet werden, muss sich die Person in einer Gruppe befinden, die nur auf sie wirkt.

  • Im Reiter Applicability Rules können weitere Bedingung für das Ausrollen des Configuration Profiles zugewiesen werden. Eine typische Konfiguration wäre das Profil nur anzuwenden, wenn eine bestimmte Betriebssystemversion verwendet wird, die ggf. bereits im Unternehmen getestet wurde.

4 - Applicability Rules.png
  • Im letzten Reiter ist eine Übersicht der gewählten Einstellungen aufgelistet und das Profil kann erstellt werden. Jetzt muss lediglich gewartet werden, bis die Geräte sich mit Azure Active Directory synchronisieren. Anschließend wird das Profil angewendet.