Sie können mit der Option Authentifizierung bei Start erforderlich in den Einstellungen unter Geräteverschlüsselung steuern, ob sich Benutzer bei jeder Anmeldung an ihrem Computer authentisieren müssen.
Welcher Authentisierungsmodus auf einem Computer installiert wird ist abhängig vom System, den BitLocker-Gruppenrichtlinien und der konfigurierten Device Encryption-Richtlinie. Abhängig von der Device Encryption Systemkompatibilität wird einer der folgenden Authentisierungsmodi auf den Endpoints installiert:
Auf Endpoints, die bereits mit BitLocker verschlüsselt sind, werden Benutzer mittels einer Nachricht über die erforderlichen Schritte informiert.
Wenn Sie die Option Authentifizierung bei Start erforderlich aktivieren, werden Benutzer aufgefordert, PIN, Passphrase oder USB-Schlüssel zu definieren und auf Anwenden zu klicken. Die PIN, die Passphrase oder der USB-Schlüssel muss dann bei jedem Start des Computers verwendet werden. Wenn Sie Authentifizierung bei Start erforderlich ausschalten, wird automatisch der Modus Nur TPM angewandt und es ist keine zusätzliche Authentisierung erforderlich. Benutzer werden informiert, dass ihr Laufwerk automatisch beim Start des Computers entsperrt wird.
Sophos Device Encryption kann das Gruppenrichtlinienobjekt (GPO) automatisch so konfigurieren, dass alle Authentisierungsmodi erlaubt sind, sofern die entsprechende Einstellung auf Nicht konfiguriert gesetzt ist. Wenn Sie die Einstellung manuell konfiguriert haben, werden diese Definitionen nicht überschrieben. Für weitere Informationen, siehe BitLocker-Gruppenrichtlinien.
Benutzer können die Installation der Authentisierungsmodi aufschieben. In diesem Fall findet keine Verschlüsselung statt. Sobald sich ein Benutzer wieder an Windows anmeldet oder wenn Sie eine neue Verschlüsselungsrichtlinie bereitstellen, wird der Benutzer aufgefordert, den Computer neu zu starten. Nach diesem Neustart ist der Authentisierungsmodus installiert und Device Encryption startet. Danach können Benutzer ihre Geräte nicht wieder entschlüsseln.