# Häufig gestellte Fragen (FAQ)

## Allgemein

### Wie migriere ich von Verschlüsselungssoftware von Drittanbietern zu Endpoint Central BitLocker Management?

Um von einem Verschlüsselungstool eines Drittanbieters zu Endpoint Central BitLocker Management zu migrieren, führen Sie die folgenden Schritte aus:

1. **Bereiten Sie die Endpunkte vor**
   - Stellen Sie sicher, dass der Endpoint-Central-Agent auf allen Zielgeräten installiert ist.
   - Bestätigen Sie, dass BitLocker Management auf diesen Agenten aktiviert ist.
2. **Überprüfen Sie die Sicherung des Wiederherstellungsschlüssels**
   - Navigieren Sie zu [Verwaltete Computer](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-audit-reports.html#manage) und suchen Sie nach dem Gerät.
   - Bestätigen Sie, dass der Bezeichner des BitLocker-Wiederherstellungsschlüssels sichtbar ist; dies zeigt an, dass er erfolgreich auf dem Server gesichert wurde.
3. **Entfernen Sie den Verschlüsselungsagenten des Drittanbieters**
   - Deinstallieren Sie die vorhandene Verschlüsselungssoftware des Drittanbieters von den Endpunkten.
4. **Stellen Sie die Endpoint-Central-BitLocker-Richtlinie bereit**
   - [Erstellen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-creation.html) und [bereitstellen](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-policy-deployment.html) Sie eine BitLocker-Richtlinie aus Endpoint Central.
   - Stellen Sie sicher, dass die Richtlinienkonfiguration mit den aktuellen Verschlüsselungseinstellungen auf den Geräten übereinstimmt, um eine erneute Verschlüsselung zu vermeiden.

**Wichtig:** Wenn das Tool des Drittanbieters den Export von Wiederherstellungsschlüsseln unterstützt, exportieren Sie diese und bewahren Sie sie sicher auf, bevor Sie mit der Migration beginnen, um Datenverlust zu vermeiden.

### Warum ist das BitLocker-Management-Modul nach Aktivierung der Testversion der Security Edition nicht sichtbar?

Wenn das BitLocker-Management-Modul nach Aktivierung der Testversion der Security Edition nicht sichtbar ist:

- Löschen Sie den Browser-Cache und laden Sie die Konsole neu.
- Wenn das Problem weiterhin besteht, wenden Sie sich für weitere Unterstützung an den [Support](https://www.manageengine.com/products/desktop-central/support.html).

## Erstellung von BitLocker-Richtlinien

### Was passiert mit Geräten unter einer Richtlinie, wenn die Richtlinie geändert wird?

Jegliche Änderungen an den Verschlüsselungseinstellungen erzeugen eine Abweichung zwischen der neuen und der alten Richtlinie. Dies führt dazu, dass alle Geräte unter dieser Richtlinie entschlüsselt und mit den neuen Einstellungen erneut verschlüsselt werden. Änderungen nur an erweiterten Einstellungen, wie der Rotation des Wiederherstellungsschlüssels oder der Sicherung im Domänencontroller, werden ohne Entschlüsselung und erneute Verschlüsselung angewendet.

### Was passiert, wenn TPM aufgrund eines Hardwarefehlers auf einem Gerät nicht erkannt wird?

Wenn TPM nicht erkannt wird, geht der Endpoint Central-Agent davon aus, dass kein TPM vorhanden ist, und wendet die Verschlüsselungseinstellungen für Geräte ohne TPM an. Wenn der Fehler behoben ist und TPM erkannt wird, wird das Gerät entschlüsselt und die Verschlüsselungseinstellungen für TPM-Geräte werden angewendet.

Bei Geräten ohne TPM erfordert die Verschlüsselung eine Passphrase. Erst nachdem das Passwort angegeben wurde, beginnt die Verschlüsselung.

Eine einzige Richtlinie ist sowohl für TPM- als auch für Nicht-TPM-Geräte ausreichend.

### Was passiert, wenn Sie eine Richtlinie löschen?

Die Richtlinie wird von den Geräten entfernt, die Verschlüsselung bleibt jedoch bestehen. Geräte werden beim Entfernen der Richtlinie nicht entschlüsselt.

### Was passiert, wenn mehrere Richtlinien auf demselben Endpunkt bereitgestellt werden?

Die zuletzt bereitgestellte Richtlinie wird wirksam. Die aktive Richtlinie kann in der Ansicht der verwalteten Systeme überprüft werden.

### Was passiert, wenn eine neue BitLocker-Verschlüsselungsrichtlinie auf Geräte angewendet wird, die bereits verschlüsselt sind?

Wenn sich die Verschlüsselungseinstellungen der neuen Richtlinie von den aktuellen Einstellungen unterscheiden, wird die neue Richtlinie durchgesetzt.

### Ich habe meine Geräte mit Startschlüsseln oder Network Unlock (getrennt von BitLocker) verschlüsselt. Was passiert, sobald ich den BitLocker-Management-Agenten installiere?

BitLocker erzwingt Änderungen des Verschlüsselungsstatus nur auf Geräten, auf die eine BitLocker-Richtlinie angewendet wird.

### Was passiert, wenn ein Gerät aus einer benutzerdefinierten Gruppe entfernt wird oder die Kriterien einer dynamischen CG nicht mehr erfüllt?

Die Richtlinie wird widerrufen, die Verschlüsselung bleibt jedoch bestehen. Das Gerät wird nicht entschlüsselt.

### Wie kann ein vollständig entschlüsselter Computer vollständig aus BitLocker Management entfernt werden, damit keine Aufforderung zur Verschlüsselung mehr erscheint?

So entfernen Sie einen vollständig entschlüsselten Computer und verhindern Verschlüsselungsaufforderungen:

- Entfernen Sie das Zielgerät aus der benutzerdefinierten Gruppe (Admin → Benutzerdefinierte Gruppe).
- Ändern Sie die vorhandene BitLocker-Richtlinie, indem Sie die benutzerdefinierte Gruppe erneut anhängen und die Richtlinie erneut bereitstellen.

### Was passiert mit verschlüsselten Datenlaufwerken, wenn „Nur Betriebssystemlaufwerk verschlüsseln“ ausgewählt ist?

Verschlüsselte Datenlaufwerke werden entschlüsselt. Der Computer bleibt teilweise verschlüsselt.

### Wie wirkt sich das Ändern der „Verschlüsselungseinstellungen“ einer bereitgestellten Richtlinie auf die Funktionalität aus?

Das Ändern der Verschlüsselungseinstellungen löst eine erneute Verschlüsselung der Laufwerke aus.

### Wie werden Laufwerke vollständig verschlüsselt, ohne die Richtlinie bereitzustellen?

Endpoint Central verschlüsselt Laufwerke nicht ohne eine bereitgestellte Richtlinie. Eine vollständige Verschlüsselung kann auftreten durch:

- [Windows-Geräteverschlüsselung](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/#device-encryption) während einer frischen Betriebssysteminstallation.
- Software von Drittanbietern.
- Manuelle Verschlüsselung.

### Ist es möglich, die TPM-PIN zurückzusetzen?

Ja. Melden Sie sich mit dem Wiederherstellungsschlüssel an. Nach der Anmeldung wird der Benutzer aufgefordert, das Passwort oder die PIN neu zu konfigurieren oder zu ändern.

### Welche Kriterien gelten für die Erstellung eines Passworts?

1. **TPM und PIN**: 6—20 Ziffern, keine fortlaufende Sequenz von 3 oder mehr Ziffern, keine sich wiederholende 2-Ziffern-Sequenz.
2. **TPM und erweiterte PIN**: 6—20 Zeichen, muss 1 Großbuchstaben, 1 Kleinbuchstaben, 1 Ziffer und 1 Sonderzeichen enthalten; keine fortlaufende Sequenz von 3 oder mehr Zeichen, keine sich wiederholende 2-Zeichen-Sequenz.
3. **Passphrase**: 8—255 Zeichen, gleiche Komplexität wie bei der erweiterten PIN.

## BitLocker-Richtlinienzuordnung & Bereitstellung

### Wann beginnt der BitLocker-Verschlüsselungs-/Entschlüsselungsprozess?

Der Agent initiiert BitLocker-Prozesse während seines Aktualisierungszyklus. Die Ausführungszeit hängt vom jeweiligen Gerät ab. Die Verschlüsselung beginnt erst, nachdem der Wiederherstellungsschlüssel erfolgreich auf dem Server gespeichert wurde.

### Gibt es einen aktiven Zeitraum für die Bereitstellung bzw. das Starten von BitLocker?

Nein. BitLocker kann jederzeit aktiviert und Richtlinien können jederzeit bereitgestellt werden.

### Was passiert, wenn sich das Laufwerk im Zustand „Schutz ausgesetzt“ befindet?

Wenn sich ein Laufwerk im Modus „Schutz ausgesetzt“ befindet, ist es verschlüsselt, aber nicht geschützt. Um dies zu überprüfen, gehen Sie zur Endpoint Central-Webkonsole, navigieren Sie zur BitLocker-Verwaltung, suchen Sie den Computer unter „Verwaltete Computer“ und prüfen Sie, ob der Schutzstatus „Deaktiviert“ ist.

### Was ist das Ergebnis, wenn eine Richtlinie auf Datenlaufwerke angewendet wird, die bereits manuell geschützt wurden?

Wenn der Benutzer Datenlaufwerke manuell schützt und später eine BitLocker-Richtlinie bereitgestellt wird, ändert sich der Schutzmechanismus zu „Automatisch entsperren“.

### Ist ein Systemneustart erforderlich, damit die BitLocker-Verschlüsselung wirksam wird?

Nein. Ein Neustart ist nicht erforderlich. Sobald die Richtlinie bereitgestellt ist, beginnt die Verschlüsselung sofort im Hintergrund.

### Ist es in Ordnung, sowohl eine Gruppenrichtlinienkonfiguration als auch eine BitLocker-Richtlinie gleichzeitig anzuwenden?

Das gleichzeitige Anwenden beider Konfigurationen kann zu Konflikten führen. Es wird nicht empfohlen.

### Wie entferne ich eine BitLocker-Richtlinie?

So heben Sie die Zuordnung einer BitLocker-Richtlinie zu einem Gerät auf:

1. Navigieren Sie zu Admin → Benutzerdefinierte Gruppe.
2. Bearbeiten Sie die entsprechende benutzerdefinierte Gruppe und entfernen Sie den Zielcomputer.

So entschlüsseln Sie Laufwerke mithilfe der BitLocker-Verwaltung:

1. Gehen Sie zu BitLocker Management → Richtlinienerstellung → Richtlinie erstellen. Geben Sie einen Namen ein (und bei Bedarf eine Beschreibung).
2. Stellen Sie sicher, dass die Option Laufwerksverschlüsselung deaktiviert ist. Wenn sie deaktiviert ist, werden alle Laufwerke entschlüsselt.
3. Speichern und veröffentlichen Sie die Richtlinie. Stellen Sie sie für die Zielgeräte bereit.

### Warum wird die BitLocker-Richtlinie nicht auf neu installierte Laptops in Active Directory angewendet, obwohl sie für andere Geräte zugewiesen und aktualisiert wird?

Überprüfen Sie, ob die BitLocker-Richtlinie korrekt angewendet wird und die Geräte ordnungsgemäß synchronisiert sind:

1. Bestätigen Sie, dass neu installierte Laptops Teil der richtigen Active-Directory-OUs und Gruppen sind, denen die Richtlinie zugewiesen ist.
2. Suchen und überprüfen Sie den/die Computer unter der Ansicht „Verwaltete Computer“.
3. Prüfen Sie, ob der Endpoint-Central-Agent auf diesen Geräten installiert ist und erfolgreich aktualisiert wird.
4. Stellen Sie sicher, dass die richtige Lizenz (Security Edition) verwendet wird.

Wenn das Problem weiterhin besteht, wenden Sie sich an den [Support](https://www.manageengine.com/products/desktop-central/support.html).

## BitLocker-Voraussetzungen

### Welche Windows-Versionen werden von BitLocker unterstützt?

BitLocker unterstützt Windows 7 und höher.

### Warum werden portable Laufwerke nicht verschlüsselt?

Die Verschlüsselung portabler Laufwerke wird von der BitLocker-Verwaltung von Endpoint Central nicht unterstützt.

## BitLocker-Audit & Berichte

### Wie kann ich den aktuellen BitLocker-Status für jedes Gerät finden?

Der aktuelle Status wird während des Aktualisierungszyklus aktualisiert. Ein On-Demand-Status kann abgerufen werden, indem Sie zu Einblicke → Verwaltete Systeme navigieren und auf „Jetzt aktualisieren“ klicken.

**Hinweis:** Für zeitnahe Datenaktualisierungen ist eine Agent-Server-Kommunikation erforderlich. Unterbrechungen können Aktualisierungen verzögern.

### Warum ist mein Gerät nicht unter verwalteten Systemen aufgeführt oder im BitLocker-Bericht enthalten?

Mögliche Gründe:

- Der Endpoint Central-Agent ist nicht verfügbar, wodurch Scans verhindert werden.
- Unterbrechungen der Agent-Server-Kommunikation.
- Der Server ist ausgelastet und Daten befinden sich in der Warteschlange; sie werden später aktualisiert.
- Die Windows-Version ist 7 oder niedriger.
- BitLocker ist per GPO deaktiviert.

Wenden Sie sich an den [Support](https://www.manageengine.com/products/desktop-central/support.html), wenn diese Probleme auftreten.

### Warum wird der Verschlüsselungsstatus als „Teilweise verschlüsselt“ angezeigt?

Wenn bei der Richtlinienerstellung die Option „Nur Betriebssystemlaufwerk verschlüsseln“ ausgewählt ist, wird der Verschlüsselungsstatus als „Teilweise verschlüsselt“ angezeigt.

### Warum ist der Schutzstatus für vollständig verschlüsselte Laufwerke deaktiviert?

Der Schutzstatus zeigt an, ob BitLocker aktiv ist. Wenn er bei vollständig verschlüsselten Laufwerken als „Deaktiviert“ angezeigt wird, ist BitLocker ausgesetzt. Endpoint Central setzt BitLocker nicht aus. Mögliche Ursachen sind:

- [Windows-Geräteverschlüsselung](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/#device-encryption), die ausgesetzt wird, bis der Wiederherstellungsschlüssel gesichert ist.
- Manuelles Aussetzen.
- Software von Drittanbietern im Zusammenhang mit BitLocker.

Die Bereitstellung der Verschlüsselungsrichtlinie über Endpoint Central aktiviert den BitLocker-Schutz erneut.

### Wie plane ich automatisierte BitLocker-Berichte und empfange sie?

Um automatisierte [BitLocker-Berichte](https://www.manageengine.com/de/desktop-central/help/reports/bitlocker-reports.html) zu erhalten, navigieren Sie zu [Geplante Berichte](https://www.manageengine.com/de/desktop-central/help/reports/scheduled_reports.html), um die vordefinierten Berichte für den Versand zu konfigurieren.

### Warum zeigt das Inventar den BitLocker-Status falsch an?

Der BitLocker-Status für das Inventarmodul wird nur durch die [Inventarscans](https://www.manageengine.com/de/desktop-central/help/inventory/scan_systems_for_inventory.html) erkannt. Der Status wird erst beim nächsten Inventarscan angezeigt.

## BitLocker-Wiederherstellungsschlüssel

### Warum wird der Wiederherstellungsschlüssel nicht mit dem Domänencontroller synchronisiert, obwohl die Option aktiviert ist?

Wenn der Domänencontroller nicht erreichbar ist oder Berechtigungen Aktualisierungen verhindern, kann der Wiederherstellungsschlüssel dort nicht gespeichert werden.

### Wird BitLocker verwaltete Geräte verschlüsseln, auch wenn der Wiederherstellungsschlüssel nicht mit dem Domänencontroller synchronisiert wird?

Ja. BitLocker verschlüsselt Laufwerke auch dann, wenn keine Synchronisierung mit dem Domänencontroller erfolgt.

### Verwaltet der Central Server Wiederherstellungskennwörter von Computern, die durch andere Software als BitLocker Management verschlüsselt wurden?

Ja. Der Central Server verwaltet alle Wiederherstellungskennwörter.

### Wie rufe ich den Wiederherstellungsschlüssel ab, wenn die Serverhardware ausfällt?

Konfigurieren Sie eine geplante Datenbanksicherung, die an einem sicheren Speicherort abgelegt wird. Anweisungen finden Sie [hier](https://www.manageengine.com/de/desktop-central/help/misc/desktop_central_data_backup_restore.html). Wiederherstellungsschlüssel können aus den Sicherungsdateien abgerufen werden.

### Was passiert, wenn Active Directory (AD) beim Aktualisieren des Wiederherstellungsschlüssels nicht erreichbar ist?

Wenn AD nicht erreichbar ist, versucht ManageEngine BitLocker während seines Aktualisierungszyklus bis zu fünfmal pro Tag, den Wiederherstellungsschlüssel zu aktualisieren, bis AD wieder erreichbar ist.

### Beeinflusst das Entfernen eines Geräts die Aufbewahrung des BitLocker-Wiederherstellungsschlüssels?

Wenn die [Aufbewahrung des Wiederherstellungsschlüssels](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/recovery-key.html#retentionpolicy) aktiviert ist, wird der Wiederherstellungsschlüssel auch nach dem Entfernen des Geräts **bis zu einem Jahr** auf dem Server aufbewahrt. Wenn sie deaktiviert ist, werden die Wiederherstellungsschlüssel des entfernten Geräts nach 30 Tagen verworfen. Wenn der Agent des Geräts deinstalliert wurde, das Gerät aber unter Scope of Management (SoM) auf der Registerkarte „Agent“ ausgegraut angezeigt wird, kann sein Wiederherstellungsschlüssel über den Gerätenamen abgerufen werden. Wenn der Agent des Geräts jedoch deinstalliert und das Gerät auch aus SoM entfernt wurde, kann der Wiederherstellungsschlüssel nur über die Wiederherstellungsschlüssel-ID abgerufen werden. Die Wiederherstellungsschlüssel-ID finden Sie im angezeigten Dialogfeld für den Wiederherstellungsschlüssel.

### Wie entsperre ich ein mit BitLocker geschütztes Laufwerk?

Das mit BitLocker geschützte Laufwerk kann durch Eingabe der PIN oder Passphrase entsperrt werden. Wenn Sie das Entsperrungskennwort vergessen haben, kann es durch Eingabe des Wiederherstellungsschlüssels entsperrt werden.

### Was passiert, wenn der Wiederherstellungsschlüssel in der Konsole angezeigt wird?

Sobald der Wiederherstellungsschlüssel in der Konsole angezeigt wird, wird ein neuer Wiederherstellungsschlüssel generiert, und der Agent ändert den Wiederherstellungsschlüssel beim nächsten Start.

### Was passiert, wenn der Wiederherstellungsschlüssel gemäß der konfigurierten Richtlinie rotiert wird, während der Agent offline ist?

Im aktuellen Workflow wird ein neuer Wiederherstellungsschlüssel nach seiner Generierung auf den Server hochgeladen. Nachdem der Server den neuen Schlüssel erfolgreich gespeichert hat, wird der alte Wiederherstellungsschlüssel gelöscht. Diese Abfolge erfolgt während des Aktualisierungszyklus des Agenten.

Wenn der Agent offline ist, kann er den neu generierten Wiederherstellungsschlüssel aufgrund fehlender Konnektivität nicht auf den Server hochladen. Daher bleibt der vorhandene Wiederherstellungsschlüssel gültig und unverändert. Sobald der Agent wieder verbunden ist, wird der Rotationsprozess während des nächsten Aktualisierungszyklus fortgesetzt und der neue Wiederherstellungsschlüssel generiert und auf den Server hochgeladen.

### Warum werden auf der Seite „Wiederherstellungsschlüssel abrufen“ mehrere Wiederherstellungsschlüssel-Bezeichner für ein einzelnes Laufwerk angezeigt?

Beim Anzeigen der Seite „Wiederherstellungsschlüssel abrufen“ werden möglicherweise mehrere Wiederherstellungsschlüssel-Bezeichner für dasselbe Laufwerk aufgelistet. Dies geschieht, weil zuvor rotierte Wiederherstellungsschlüssel ebenfalls aufbewahrt und angezeigt werden. Der aktuell in der Ansicht „Verwaltete Computer“ angezeigte Bezeichner stellt den aktiven Wiederherstellungsschlüssel für dieses Laufwerk dar.

### Warum werden in der Ansicht „Verwaltete Computer“ mehrere Wiederherstellungsschlüssel-Bezeichner für ein einzelnes Laufwerk angezeigt?

Ein einzelnes Laufwerk kann mehrere zugeordnete Wiederherstellungsschlüssel haben. Alle in der Ansicht „Verwaltete Computer“ angezeigten Wiederherstellungsschlüssel sind gültig und können zum Entsperren des Laufwerks verwendet werden.

Beim Entsperren eines Laufwerks zeigt Windows den Wiederherstellungsschlüssel-Bezeichner an. Dieser Bezeichner kann verwendet werden, um den entsprechenden Wiederherstellungsschlüssel in der Konsole abzurufen.

In Standardszenarien generiert das BitLocker-Add-on einen Wiederherstellungsschlüssel pro Laufwerk. Mehrere Schlüssel können erscheinen, wenn zusätzliche Schlüssel aufgrund manueller Unterbrechungen während der Verschlüsselung oder infolge von Interaktionen mit Software von Drittanbietern erstellt wurden.

### Warum wird der Wiederherstellungsschlüssel bei jedem Start angefordert?

Wenn der Wiederherstellungsschlüssel bei jedem Start abgefragt wird, liegt dies in der Regel an einem umgebungs- oder systembezogenen Problem und nicht am Verschlüsselungsworkflow selbst. Es wird empfohlen, dass sich der Kunde für weitere Unterstützung an den Microsoft-Support wendet, da dieses Verhalten häufig mit Faktoren des Betriebssystems oder der Hardwarekonfiguration zusammenhängt.

### Warum fehlen BitLocker-Wiederherstellungsschlüssel in Endpoint Central?

Überprüfen Sie, ob sich das Laufwerk derzeit im gesperrten Zustand befindet. Wenn das Laufwerk gesperrt ist, kann Endpoint Central den BitLocker-Wiederherstellungsschlüssel nicht abrufen. Entsperren Sie das Laufwerk und versuchen Sie den Abruf erneut. Um zu prüfen, ob sich das Laufwerk im gesperrten Zustand befindet, navigieren Sie zu [Verwaltete Computer](https://www.manageengine.com/de/desktop-central/help/bitlocker-management/bitlocker-audit-reports.html#manage) und klicken Sie auf das jeweilige Gerät. Der Sperrstatus der Laufwerke des Geräts wird dort angezeigt.

### Wie behebe ich BitLocker-Probleme, wenn der Wiederherstellungsschlüssel nicht funktioniert?

1. Überprüfen Sie, ob der richtige Wiederherstellungsschlüssel eingegeben wird. Die auf dem gesperrten Laufwerk angezeigte Recovery Key ID (RKI) muss mit dem Schlüssel übereinstimmen, der aus der Verwaltungskonsole abgerufen wurde.
2. Wenn der richtige Wiederherstellungsschlüssel weiterhin nicht funktioniert, hängt das Problem nicht mit der BitLocker-Verwaltung von Endpoint Central zusammen. BitLocker-Operationen verwenden Windows-APIs, um die Ver- und Entschlüsselung zu starten, daher liegt das Problem wahrscheinlich speziell bei dem betroffenen Gerät.

### Wie stelle ich einen BitLocker-Wiederherstellungsschlüssel nach einer Neuinstallation des Agenten wieder her?

Wenn der Agent neu installiert wurde, wird das Gerät unter „Verwaltete Computer“ aufgeführt. Sie können den Bezeichner des Wiederherstellungsschlüssels für das jeweilige Gerät abrufen und den Wiederherstellungsschlüssel über die Registerkarte „Wiederherstellungsschlüssel abrufen“ abrufen.