Anleitung Bitlocker auf privaten Geräten (BYOD)

Kurzbeschrieb

Dieses Dokument beschreibt die automatische Aktivierung der BitLocker- Laufwerkverschlüsselung bei privaten Geräten sowie deren Auswirkungen.

Zielgruppe

Lehrpersonen / Dozierende

Lernende / Studierende

Gerätetyp

Private Geräte (BYOD) Betriebssystem: Microsoft Windows

Automatische Aktivierung der BitLocker- Laufwerkverschlüsselung

Ab Windows 10 wurde die automatische Bitlocker-Laufwerkverschlüsselung eingeführt. Sofern das Gerät bestimmte Voraussetzungen erfüllt, wird die BitLocker-Laufwerkverschlüsselung automatisch eingerichtet.

Die BitLocker-Laufwerkverschlüsselung wird automatisch aktiviert, sobald dem Gerät ein Arbeits- oder Schulkonto hinzugefügt wird. Dies geschieht unter anderem bei der Installation/Anmeldung von Microsoft 365 (Office, Word, etc.).

Weitere Informationen zu den Einstellungsmöglichkeiten und weiterem Vorgehen erhaltest Du im Kapitel 2. Hinzufügen des Arbeits- oder Schulkonto, Seite 6.

Voraussetzungen / Betroffene Geräte

Betroffen sind vor allem modernere Geräte, welche die Hardwareanforderungen für BitLocker erfüllen und eine Edition folgender Betriebssysteme besitzen:

Windows 10 Pro, Education oder Enterprise Edition
Windows 11 Pro, Education oder Enterprise Edition

BitLocker steht in der Windows 10/11 Home Edition nicht zur Verfügung. Somit sind Geräte mit dieser Edition nicht betroffen.

Weitere Informationen zu den Hardwareanforderungen finden Sie unter:
https://docs.microsoft.com/de-de/windows-hardware/design/device-experiences/oem-bitlocker

Prüfen ob BitLocker aktiv ist

BitLocker-Einstellungen öffnen

Gib im Suchfeld auf der Taskleiste BitLocker verwalten ein.
Oder wähle die Schaltfläche Start aus und wähle dann im Ordner Windows-System, Systemsteuerung aus. Wechsele die Anzeige zu Kleine Symbole und wähle BitLocker- Laufwerkverschlüsselung aus.

Hinweis: Diese Option wird nur angezeigt, wenn BitLocker für Dein Gerät verfügbar ist. Die Funktion steht für Windows 10 Home Edition nicht zur Verfügung.
Du siehst nun, ob die BitLocker- Laufwerkverschlüsselung aktiviert ist und für welches Laufwerk.

Sichern des BitLocker-Schlüssels

Der BitLocker-Wiederherstellungsschlüssel muss selbstständig vor Austritt aus der gibb gesichert werden. Die Sicherung des BitLocker-Schlüssels liegt in der Verantwortung des Benutzers. Bei Deinem Austritt wird Dein gibb-Konto und somit alle gespeicherten Daten (inkl. allenfalls hinterlegter BitLocker-Schlüssel) gelöscht. Wenn Du Deinen BitLocker-Schlüssel nicht besitzt, besteht im Zweifelsfall keine Möglichkeit mehr auf das verschlüsselte Gerät zuzugreifen.

Die folgenden Schritte zeigen zwei Varianten zur Sicherung des Schlüssels auf:

Variante 1 - Mein Konto

Nach der Anmeldung mit Deinem gibb -Konto auf der Seite https://myaccount.microsoft.com/device-list kannst du unter Geräte den BitLocker- Schlüssel Deines Geräts anzeigen.

Kopiere den Schlüssel und speichere diesen in einem Passwort- Manager, einer Datei oder drucke ihn aus.

Falls kein BitLocker-Schlüssel angezeigt wird, ist dein Schlüssel möglicherweise in einem anderen verknüpften Konto gespeichert.

Variante 2 - Systemsteuerung

Suche in der Windows-Suche nach BitLocker verwalten.

Wähle anschliessend unter dem verschlüsselten Laufwerk die Option Wiederherstellungsschlüssel sichern.

Speicher den Schlüssel in einer Datei, auf einem USB-Speicherstick oder drucke ihn aus.

Hinzufügen des Arbeits- oder Schulkonto

Die "Arbeitszugriff"-Optionen sind für Situationen gedacht, in denen Du Deinen eigenen Computer besitzt und damit auf Arbeits- oder Schulressourcen zugreifen musst. Dies wird als Szenario "bring your own device" oder BYOD bezeichnet. Die gibb stellt Dir dabei ein Konto und verschiedene Ressourcen (wie Microsoft 365, OneDrive, Teams, etc.) zur Verfügung.

Was geschieht, wenn Du ein Arbeits- oder Schulkonto hinzufügst?

Windows registriert Dein Gerät im Netzwerk Deiner Schule (gibb)
Nachdem Dein Gerät registriert wurde, kann es auf Ressourcen (wie Microsoft 365, OneDrive, Teams, etc.) zugreifen
Die BitLocker-Laufwerkverschlüsselung wird automatisch aktiviert (falls vorhanden)

Bei der gibb werden private Geräte, welche durch Benutzer selbst registriert worden sind, nicht automatisch dem Verwaltungssystem hinzugefügt. Die Geräte werden somit nicht von der gibb verwaltet und es werden auch keine Konfigurationsrichtlinien oder Einstellungen auf den privaten Geräten seitens gibb vorgenommen.

In einigen Situationen wirst Du automatisch dazu aufgefordert, Dein Arbeits- oder Schulkonto auf dem Gerät zu hinterlegen. Dies geschieht unter anderem bei der Installation oder Anmeldung bei Microsoft 365 Apps (wie Word, OneDrive, Teams, etc.).

Vor dem Hinzufügen beachten

Beachte die Hinweise zur automatischen Aktivierung der BitLocker- Laufwerkverschlüsselung beim Hinzufügen des Arbeits- oder Schulkonto.
Nach dem Hinzufügen: Stelle sicher, dass Du Deinen BitLocker-Schlüssel (falls BitLocker aktiviert wurde) abgespeichert hast.

Einstellungsmöglichkeiten

Wird dem Gerät ein Arbeits- oder Schulkonto hinzugefügt, wird die BitLocker-Laufwerkverschlüsselung automatisch aktiviert. Dies geschieht unter anderem bei der Installation/Anmeldung von Microsoft 365 (Office, Word, etc.).

Die Auswirkungen und Einstellungsmöglichkeiten werden in den folgenden Optionen beschrieben:

Option 1

Verwaltung meines Gerätes durch meine Organisation zulassen [aktiviert]

Dein gibb-Konto wird mit Deinem Gerät verknüpft
Beim nächsten Neustart aktiviert sich die Bitlocker-Verschlüsselung automatisch

Diese Option ermöglicht Dir, dass Du bei Microsoft 365 Apps automatisch angemeldet wirst ohne erneute Eingabe Deines Kennworts.

Der BitLocker-Schlüssel muss vor Austritt aus der gibb durch dich gesichert werden.

Bei dieser Auswahl gibst Du der gibb die Erlaubnis, Einstellungen an Deinem Gerät vorzunehmen. Daher wird diese Variante nicht empfohlen.

Option 2

Verwaltung meines Gerätes durch meine Organisation zulassen [nicht aktiviert]

Dein gibb-Konto wird mit Deinem Gerät verknüpft
Beim nächsten Neustart aktiviert sich die Bitlocker-Verschlüsselung automatisch

Diese Option ermöglicht Dir, dass Du bei Microsoft 365 Apps automatisch angemeldet wirst ohne erneute Eingabe Deines Kennworts.

Der BitLocker-Schlüssel muss vor Austritt aus der gibb durch dich gesichert werden.

Option 3

Nur bei dieser App anmelden

Dein gibb-Konto wird nicht mit Deinem Gerät verknüpft
Die BitLocker-Verschlüsselung wird nicht automatisch aktiviert

Der BitLocker-Schlüssel muss nicht gespeichert werden, weil BitLocker nicht aktiviert wurde.

Bei dieser Option wirst Du nur bei dieser App angemeldet. Bei anderen Microsoft 365 Apps musst Du dich erneut anmelden.

Trennen des Arbeits- oder Schulkontos

Falls Dein privates Gerät bereits vor Eintritt an einer anderen Schule verwendet wurde, ist möglicherweise noch ein altes Arbeits- oder Schulkonto hinterlegt.

Es empfiehlt sich, nach dem Austritt das Arbeits- oder Schulkonto zu trennen.

Vor dem Trennen beachten

Prüfe vor dem Trennen des Kontos, ob die BitLocker-Laufwerkverschlüsselung auf Deinem Gerät aktiv ist (siehe weiter oben). Stelle sicher, dass Du nach dem Trennen (z.B. bei einem Austritt) Zugriff auf Deinen BitLocker-Schlüssel hast!

Wähle die Schaltfläche Start aus, und klicke dann Einstellungen → Konten → Auf Arbeits- oder Schulkonto zugreifen.
Wähle anschliessend das zu trennende Konto aus und klicke auf Trennen.

Dein (altes) Microsoft-Konto ist nun von diesem Gerät getrennt.