Device Encryption bietet die Möglichkeit, BitLocker Drive Encryption auf Windows-Computern und FileVault auf Macs zu verwalten. Durch die Verschlüsselung von Festplatten sind die Daten auch bei Diebstahl oder Verlust eines Geräts sicher.
Um die Verschlüsselung einzurichten, gehen Sie wie folgt vor:
Detaillierte Informationen zur Verschlüsselung von Computern finden Sie im Dokument Device Encryption Anleitung für Administratoren.
So richten Sie eine Richtlinie ein:
Device Encryption ist aktiviert/deaktiviert: Ein Computer wird verschlüsselt, sobald einer der Benutzer, für den die Richtlinie gilt, sich anmeldet.
Ein Windows-Endpoint bleibt verschlüsselt, auch wenn ein anderer Benutzer, für den die Richtlinie nicht gilt, sich anmeldet.
Nur Startvolume verschlüsseln: Mit dieser Option können Sie festlegen, dass nur das Boot-Laufwerk verschlüsselt wird. Datenlaufwerke werden ignoriert.
Authentifizierung bei Start erforderlich: Diese Option ist standardmäßig aktiviert. Mit ihr wird die Authentifizierung über TPM+PIN, Kennwort oder USB-Stick durchgesetzt. Wenn Sie diese Einstellung deaktivieren, wird der Schutz durch TPM-only-Anmeldung auf unterstützten Computern installiert. Weitere Informationen zu den Authentifizierungsmethoden finden Sie in der Administratoranleitung für Device Encryption.
Ein neues Authentifizierungskennwort/eine neue PIN vom Benutzern anfordern: Diese Option ist standardmäßig deaktiviert. Sie erzwingt eine Änderung des BitLocker-Kennworts oder der PIN nach der angegebenen Zeitspanne. Ein Ereignis wird protokolliert, wenn Benutzer ihr Kennwort oder ihre PIN ändern.
Wenn Benutzer den Dialog schließen, ohne ein neues Kennwort oder eine neue PIN einzugeben, wird der Dialog nach 30 Sekunden erneut angezeigt, bis ein neues eingegeben wird. Nachdem Benutzer den Dialog fünfmal geschlossen haben, ohne das Kennwort oder die PIN zu ändern, wird ein Warnhinweis protokolliert.
Nur genutzte Festplattenbereiche verschlüsseln: Diese Option ist standardmäßig deaktiviert. Mit dieser Option haben Sie die Möglichkeit, anstelle der Verschlüsselung des gesamten Laufwerks lediglich genutzten Speicherplatz zu verschlüsseln. Auf diese Weise können Sie die Erstverschlüsselung (wenn die Richtlinie zum ersten Mal auf einen Computer angewendet wird) beschleunigen.
Sie können Dateien bis zu 50 MB schützen.
Rechtsklick-Kontextmenü aktivieren: Wenn Sie diese Option aktivieren, wird die Option Kennwortgeschützte Datei erstellen dem Rechtsklick-Menü von Dateien hinzugefügt. Benutzer können kennwortgeschützte Dateien an E-Mails anhängen, wenn Sie vertrauliche Daten an Empfänger außerhalb des Unternehmensnetzwerks senden. Die Dateien werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt.
Empfänger können die Datei öffnen, indem Sie darauf doppelklicken und das Kennwort eingeben. Sie können die empfangene Datei zurücksenden und sie mit demselben oder einem neuen Kennwort schützen oder eine neue kennwortgeschützte Datei erstellen.
Outlook Add-in aktivieren: Diese Option fügt die Verschlüsselung von E-Mail-Anhängen zu Outlook hinzu. Benutzer können Anhänge schützen, indem Sie im Outlook-Menüband Anhänge schützen auswählen. Alle ungeschützten Anhänge werden in eine neue HTML-Datei mit verschlüsseltem Inhalt verpackt und die E-Mail wird versendet.
Immer fragen, wie mit angehängten Dateien umgegangen werden soll: Wenn Sie diese Option aktivieren, müssen Benutzer festlegen, wie Anhänge gesendet werden sollen, wenn die Nachricht welche enthält. Sie können die Nachricht kennwortgeschützt oder ungeschützt versenden.
Sie können ausgeschlossene Domänen eingeben, für die die Option Immer fragen, wie mit angehängten Dateien umgegangen werden soll nicht gilt. Zum Beispiel die Domäne Ihrer Organisation. Wenn Empfänger zu einer solchen Domäne gehören, werden die Absender nicht gefragt, wie sie mit Anhängen umgehen möchten.
Geben Sie nur vollständige Domänennamen ein und trennen Sie diese durch Kommas.