Bitlocker Azure Cloud (Bild: Pexels)
Veröffentlicht am von Max Schmidt

Angeschaut: So funktioniert das Bitlocker-Management in der Azure-Cloud

Wie verwaltet man Bitlocker mittels Intune in Azure? Eine Frage, die immer wichtiger wird. Denn die Tage von MBAM sind gezählt. Wir haben uns den aktuellen Stand der Bitlocker-Management-Suite in Microsoft Azure angeschaut.

Inhaltsverzeichnis: Verbergen
1) Warum wandert Bitlocker zu Intune?
2) Schritt 1: Lizenzen aufstocken
3) Schritt 2: Testgerät in Intune verwalten
4) Schritt 3: Recovery Key Management
5) Schritt 4: Reporting und Compliance
6) Unser bisheriges Fazit

Warum wandert Bitlocker zu Intune?

Der Extended Support für das Microsoft Bitlocker Administration and Monitoring läuft im April 2026 aus. Bis dahin wird es durch zwei Lösungen ersetzt: Durch die Integration in …

    1. SCCM (On-Premises) 
    2. Intune (Azure-Cloud)

In unserer “Angeschaut”-Reihe verfolgen wir unter anderem sehr gespannt, wie es mit MBAM weitergeht. So haben wir beispielsweise die SCCM Technical Preview 1909 und SCCM Technical Preview 1910 beleuchtet. 

Nun möchten wir wissen, wie man Bitlocker in Intune bzw. der Azure-Cloud verwaltet. Das geht gegenwärtig folgendermaßen:

Schritt 1: Lizenzen aufstocken

Als erstes schauten wir uns die benötigten Lizenzen für die Azure-Cloud an. Dabei fiel uns auf, das wir nicht nur eine Subscription für Azure selbst brauchen, sondern auch eine Aufstockung auf AZURE AD PREMIUM P2 und eine Lizenz für ENTERPRISE MOBILITY + SECURITY E5, in der auch Microsoft Intune integriert ist.

Den neu erstellten Usern mussten wir diese Lizenzen in der Azure AD zuweisen. Anders war keine Verwaltung der Computer mit den benötigten Funktionalitäten möglich.

Schritt 2: Testgerät in Intune verwalten

Selbstverständlich muss unser Testgerät, ein handelsübliches Windows 10, in Azure AD verwaltete werden. Nach der Installation erfolgt dies unter:

Einstellungen -> Konten -> Auf Arbeits- oder Schulkonto zugreifen -> Verbinden

Bitlocker Microsoft Azure Cloud Integration - Connection to AD (Bild: Microsft / FB Pro)
Client Verbindungseinstellungen

Darauf hin konnten wir das Profil für Bitlocker erstellen. Dies wird unter Intune -> Device Configuration -> Profiles erledigt. 

Momentan (Januar 2020) sich lässt sich als Plattform nur “Windows 10” auswählen, der Profil-Typ ist “Endpoint Protection”.

Folgend ein paar Screenshots, die ausgewählte Konfigurationen zeigen:

Bitlocker Microsoft Azure Cloud Integration - Windows Encryption (Bild: Microsft / FB Pro)
Bitlocker Einstellungen 1/3
Bitlocker Microsoft Azure Cloud Integration - Windows Encryption (Bild: Microsft / FB Pro)
Bitlocker Einstellungen 2/3
Bitlocker Microsoft Azure Cloud Integration - Windows Encryption (Bild: Microsft / FB Pro)
Bitlocker Einstellungen 3/3

Schritt 3: Recovery Key Management

Was uns gleich auffiel: 

    • Es ist mittels Intune bereits heute möglich, weitere Laufwerke zu verschlüsseln. 
    • Aber: Man kann den Zugriff auf Wechseldatenträger, die nicht verschlüsselt sind, nur blockieren. Eine per Richtlinie erzwungene Verschlüsselung für Wechseldatenträger (wie bei MBAM möglich), funktioniert Stand heute noch nicht.
    • Das führt dazu, dass bei Verlust der PIN bzw. des Passworts für Wechseldatenträger der Recovery-Key nicht mittels Intune zur Verfügung gestellt werden kann. Hier müssen andere – sprich technische oder organisatorische – Maßnahmen getroffen werden.

Ein weiterer wichtiger Punkt ist die Speicherung der Recovery Keys in Intune / Azure AD:

Bitlocker Recovery Keys werden als weiteres Attribut im Azure-AD gespeichert. Jedoch konnten wir bisher trotz diverser Versuche nicht ermitteln, wie die Zugriffsrechte seitens des Cloud-Anbieters geregelt sind. Eine Trennung zwischen Cloud-Anbieter, AD-Administration und Key-Verwaltung ist somit derzeit nicht gegeben. Das “least privilege” und damit eine saubere Rollentrennung war und  ist für die Einführung von MBAM ein gewichtiges Argument aus Compliance-Sicht.

Hinweis: Sobald wir mehr über das Recovery Key Management mit Intune erfahren, werden wir diesen Artikel aktualisieren und evtl. noch einen Extra-Beitrag dazu verfassen.

Schritt 4: Reporting und Compliance

Als letzten Schritt erstellten wir eine Compliance Policy. Diese garantiert, dass unser Gerät – sollte Bitlocker nicht aktiviert sein – sofort als nicht-compliant angezeigt wird. Erst dann können entsprechende Maßnahmen gemäß der internen Prozesse von Unternehmen ergriffen werden. 

Bitlocker Microsoft Azure Cloud Integration - Policy (Bild: Microsft / FB Pro)
Erstellen einer Compliance Policy 1/2
Bitlocker Microsoft Azure Cloud Integration - Device Health (Bild: Microsft / FB Pro)
Erstellen einer Compliance Policy 2/2
Bitlocker Microsoft Azure Cloud Integration - Compliance (Bild: Microsft / FB Pro)
Compliance Report
Bitlocker Microsoft Azure Cloud Integration - Encryption Report (Bild: Microsft / FB Pro)
Verschlüsselungs Report

Unser bisheriges Fazit

Die Integration von Bitlocker in die Azure-Cloud ist weiter fortgeschritten, als es derzeit bei SCCM der Fall ist. Jedoch werden im Vergleich zu MBAM nicht alle Funktionen zur Verfügung gestellt. Dies ist bei einem Migrationsprojekt dringend im Detail zu beleuchten.

Ein großer Knackpunkt ist das Compliance-seitig relevante Thema der ungeklärten Zugriffsberechtigungen auf die Recovery Keys – das sind aus unserer Sicht streng vertrauliche Informationen.

Trotzdem wird klar: Microsoft Bitlocker ist und bleibt weiterhin die Schlüsseltechnologie zur Sicherung der Vertraulichkeit von kritischen Unternehmensinformationen. Das Management des Schlüsselmaterials unterliegt derzeit einem größeren Wandel. Wir sind sehr gespannt auf die nächsten Schritte!

Hinweis: In unserem Beitrag “MBAM, SCCM und Intune: Wir vergleichen die Features” stellen wir den aktuellen Stand der Funktionen der drei Systeme gegenüber.

Bilder: Pexels, Microsoft / FB Pro

Schreibe einen Kommentar