Das BitLocker auf jedes Gerät gehört ist für mich unbestritten, ob mit einem PIN oder nicht kommt etwas auf das Szenario an.

Seit einiger Zeit bietet der Endpoint Manager den Reiter "Endpunktsicherheit" in welchem Sich die Security Einstellunge wie Defender Settings, Firewall und BitLocker verwalten lassen.

In mehreren Hybrid-Umgebungen ist mir aufgefallen, dass viele Geräte mit der neuen Konfiguration Probleme haben und die BitLocker Aktivierung nicht vornehmen. Darum habe ich begonnen, BitLocker via "Endpunktsicherheit" nur in Umgebungen zu nutzten, in denen ausschliesslich Cloud only Geräte verwendet werden. Für Hybrid Umgebungen (ab einem Azure ADHybrid Join Gerät) nutzte ich weiterhin das klassische "Endpoint protection" "Configuration profile".

BitLocker Policy Cloud only

  • Die Richtlinie erstelle ich unter Endpoint secutity > Disk encryption > Create Policy
  • Als Namen wähle ich "WIN BitLocker" oder falls der Kunde spezielle Namenskonventionen hat, einen gemäss Konzept. Mit den nachstehenden Einstellungen habe ich im vergangenen Jahr gute Erfahrungen gemacht:

BitLocker Policy Hybrid

  • Die Richtlinie erstelle ich unter Devices > Windows > Configuration profiles > Create profile

    • Als Namen wähle ich "WIN BitLocker (Classic)" oder falls der Kunde spezielle Namenskonventionen hat, einen gemäss Konzept. Mit den nachstehenden Einstellungen funktioniert die Konfiguration auch mit via Autopilot deployten Hybrid Geräten und solchen, welche via AD, Hybrid Sync und GPO enrollt wurden:

    1 Response

    1. michi says:
      17. November 2021 at 15:31

      Thanks for your post! had exactly the problem with hybrid devices not activating BitLocker.

      Reply

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    Florian Salzmann
    Senior Workplace Consultant @UMB AG

    Stay in the Loop with My Monthly Newsletter!