sarekhl
Goto Top

AzureAD - Bitlocker ohne TPM möglich?

Hallo zusammen,

unser Bistum verwaltet Windows-Rechner mit AzureAD, wobei Bitlocker zwingend aktiv sein muss. Weiß jemand, ob in der Konstellation ein TPM erforderlich ist? Normalerweise kann Bitlocker ja auch ohne TPM genutzt werden, aber ich finde keine Aussage darüber, ob das auch bei Verwaltung über AzureAD gilt.

Danke im Voraus,
Sarek \\//_

Content-Key: 1411457463

Url: https://administrator.de/contentid/1411457463

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Tezzla
Tezzla 20.10.2021 um 22:16:48 Uhr
Goto Top
Moin,

Bitlocker lässt sich auch über Powershell nutzen und verwalten.
Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.

VG
Mitglied: SarekHL
SarekHL 20.10.2021 um 22:24:51 Uhr
Goto Top
Zitat von @Tezzla:

Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.

Darum geht es ja gar nicht. AzureAD ist gegeben, das schreibt das Bistum vor. Und die Sicherheitsrichtlinie sieht vor, dass Bitlocker bei der Installation aktiviert wird, sonst scheitert die Einbindung. Die Frage ist also nur: Lässt sich Bitlocker in dem Setting (also mit AzureAD) auch ohne TPM nutzen? Sonst müssten wir nämlich einige Rechner erneuern, die eigentlich noch ganz gut sind, aber eben kein TPM haben.
Mitglied: Visucius
Visucius 20.10.2021 um 23:15:15 Uhr
Goto Top
Mitglied: StefanKittel
StefanKittel 20.10.2021 um 23:25:55 Uhr
Goto Top
Hallo,

lest Ihr nicht?
BL ohne TPM ist ja nicht das Problem, sondern die Frage ob das mit AzureAD funktioniert.

Zur Frage.
Ich kann sie nicht beantworten.

Wenn man nach den deutschen Begriffen sucht findet man: 2x diesen Thread, eine Seite mit 404 und eine Seite die Problem nicht löst.

Das einzige was ich gefunden habe ist: "BitLocker can be implemented without TPM for example with startup password but this is not supported with Intune. This must be scripted."
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.

Also bleiben 2 Möglichkeiten:
a) Ausprobieren mit einem PC
b) Jemanden bei MS finden der Dir dies sagen kann

Sorry wenn meine gebrauchten PCs zu alt waren. Die nächsten sind dafür nicht Windows 11 tauglich face-smile

Stefan
Mitglied: Visucius
Visucius 21.10.2021 um 00:06:22 Uhr
Goto Top
Jo hast Recht. Wer lesen kann ist klar im Vorteil. 🤭
Mitglied: SarekHL
SarekHL 21.10.2021 um 07:33:40 Uhr
Goto Top
Hallo Stefan,

Das einzige was ich gefunden habe ist: "BitLocker can be implemented without TPM for example with startup password but this is not supported with Intune. This must be scripted."
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.

hm, das könnte schon die Antwort sein. Intune ist eng mit AzureAD verbandelt. Ob es direkt dazugehört, weiß ich nicht, aber das Bistum verwaltet seine Rechner über Intune. Und ob der eh schon gut ausgelastete Bistums-Admin Lust hat, da groß was zu scripten (und ob er das überhaupt kann), weiß ich nicht.


Sorry wenn meine gebrauchten PCs zu alt waren.

Alles gut - das ist eine ganz andere Baustelle, hier geht es um Gemeindebüros. Deine gebrauchten Rechner waren ja für ein soziales Projekt bestimmt und sind teilweise schon im Einsatz (hatte ich Dir ja schon mal per PN geschrieben).
Mitglied: StefanKittel
StefanKittel 21.10.2021 um 10:40:35 Uhr
Goto Top
Schreib mal wenn Du das Ergebnis hast.
Ich vermute MS kann Dir das auch nicht sagen, weil es zu trivial ist und mit aktuellen PCs ja nicht auftreten kann (Windows 11, neue CPU, TMP zwang, etc).
Mitglied: 149569
149569 21.10.2021 aktualisiert um 10:50:29 Uhr
Goto Top
Über Intune Deployment von BitLocker ist es Voraussetzung

https://systemcenterdudes.com/create-intune-bitlocker-policy-windows-10- ...

In addition, Microsoft documentation state that the device must meet the following requirements for silent installation:

If end users log in to the devices as Administrators, they must run Windows 10 version 1803 or later.
If end users log in to the devices as Standard Users, they must run Windows 10 version 1809 or later.
The device must be Azure AD Joined
The device must contain TPM (Trusted Platform Module) 2.0
The BIOS mode must be set to Native UEFI only
Mitglied: DerWoWusste
DerWoWusste 21.10.2021 aktualisiert um 11:17:36 Uhr
Goto Top
Ich sehe keinen Zusammenhang zu Azure AD.
Müsste gehen, probier es aus, was hindert dich?
Mitglied: SarekHL
SarekHL 21.10.2021 um 17:32:16 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich sehe keinen Zusammenhang zu Azure AD.

Na der ist schon da, hatte ich ja geschrieben.

Müsste gehen, probier es aus, was hindert dich?

Dass ich keinen Zugriff darauf habe?
Mitglied: DerWoWusste
DerWoWusste 21.10.2021 um 17:39:05 Uhr
Goto Top
Na der ist schon da, hatte ich ja geschrieben.
Ich meine damit "kein technischer Zusammenhang Bitlocker <-> Azure AD
AAD zwingt dir keinen Bitlocker auf und AAD sagt auch in keinem Fall, wie Du bitlocker nutzt.
Mitglied: SarekHL
SarekHL 21.10.2021 um 17:47:15 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich meine damit "kein technischer Zusammenhang Bitlocker <-> Azure AD
AAD zwingt dir keinen Bitlocker auf und AAD sagt auch in keinem Fall, wie Du bitlocker nutzt.

In Verbindung mit Intune offenbar schon ...
Mitglied: DerWoWusste
DerWoWusste 21.10.2021 aktualisiert um 18:28:05 Uhr
Goto Top
Gib mal Background dazu
Mitglied: SarekHL
SarekHL 21.10.2021 um 18:33:55 Uhr
Goto Top
siehe PN
Mitglied: DerWoWusste
DerWoWusste 21.10.2021 um 21:02:14 Uhr
Goto Top
Ich werde nicht in PNs weitermachen.

Ich sehe zwar keine Hinweise darauf, dass die (generelle) Administration von AAD-Clients via Intune TPMs voraussetzt, lasse mich gerne eines Besseren belehren. Jedenfalls werde ich mich nicht weiter durch das AAD-Geschwurbel fräsen, was man im Netz so findet. Vielleicht sollte Sarek mal ein AAD-MS-Forum suchen und da fragen, wer Intune nutzt ohne TPMs zu nutzen.
Mitglied: 148656
148656 21.10.2021 um 21:57:07 Uhr
Goto Top
Mal eine ganz perfide Idee. Man nehme das Telefon und wähle die Nummer des UHD/SD des Bistums. Sollte der Teufel im Detail stecken, wird man ein Ticket eröffnen und dem zuständigen Admin vorlegen.
Mitglied: SarekHL
SarekHL 21.10.2021 um 22:07:14 Uhr
Goto Top
Zitat von @148656:

Man nehme das Telefon und wähle die Nummer des UHD/SD des Bistums. Sollte der Teufel im Detail stecken, wird man ein Ticket eröffnen und dem zuständigen Admin vorlegen.

Ich weiß zwar nicht, was ein UHD/SD ist, aber mit dem Leiter IT bin ich natürlich im Kontakt - dafür braucht man heutzutage kein Telephon mehr, dafür haben wir Teams face-smile Aber ich erwähnte oben glaube ich schon, dass der es auch nicht sicher weiß. Vielleicht machen wir in absehbarer Zeit mal einen Test, aber wenn es stimmt, was auf https://oliverkieselbach.com/2018/10/23/enabling-bitlocker-on-non-hsti-d ... steht, nämlich:

BitLocker can be implemented without TPM for example with startup
password but this is not supported with Intune. This must be scripted.

dann ist das nicht mal nebenbei getestet, sondern kostet Zeit. Und die hat die Abteilung zur Zeit nicht.
Mitglied: 148656
148656 21.10.2021 aktualisiert um 22:12:26 Uhr
Goto Top
UHD = User Helpdesk
SD = Servicedesk

In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.
Mitglied: SarekHL
SarekHL 21.10.2021 aktualisiert um 22:19:56 Uhr
Goto Top
Zitat von @148656:

UHD = User Helpdesk
SD = Servicedesk

In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.

Was auch immer SPoC jetzt wieder ist, ich habe keinen AküFi ... aber wir reden hier nicht von kommerziellen Strukturen, die ihre IT-Kosten in ihre Waren oder Dienstleistungen einpreisen können, sondern vom kleinsten Bistum Deutschlands mit entsprechend wenig finanziellen und personellen Ressourcen.
Mitglied: 149569
149569 22.10.2021 aktualisiert um 07:47:35 Uhr
Goto Top
Zitat von @DerWoWusste:

Gib mal Background dazu

Lest doch mal oben meinen geposteten Link und den Auszug... Da stehts doch.
Mitglied: DerWoWusste
DerWoWusste 22.10.2021 um 09:03:24 Uhr
Goto Top
Da stehts doch
Hi. Dort steht, "for silent installation" wird das TPM vorausgesetzt. Dass es für Intune-Management generell benötigt wird, habe ich wie gesagt noch nicht bestätigt gesehen.
Mitglied: 149569
149569 22.10.2021 aktualisiert um 11:35:41 Uhr
Goto Top
Zitat von @DerWoWusste:
Hi. Dort steht, "for silent installation" wird das TPM vorausgesetzt.
Richtig, das dachte ich ja auch das das gemeint ist, geht aber nicht so ganz klar aus dem Beitrag des TO hervor.
Dass es für Intune-Management generell benötigt wird, habe ich wie gesagt noch nicht bestätigt gesehen.
Auch richtig, es gilt nur für das unbeaufsichtigte Einrichten via Intune Policy, wenn man BitLocker selbst/manuell/Script einrichtet ist das unabhängig von Intune natürlich auch ohne TPM möglich (gerade auch testweise mal mit einer an Intune angebundenen VM verifiziert).