22
AzureAD - Bitlocker ohne TPM möglich?
Hallo zusammen,
unser Bistum verwaltet Windows-Rechner mit AzureAD, wobei Bitlocker zwingend aktiv sein muss. Weiß jemand, ob in der Konstellation ein TPM erforderlich ist? Normalerweise kann Bitlocker ja auch ohne TPM genutzt werden, aber ich finde keine Aussage darüber, ob das auch bei Verwaltung über AzureAD gilt.
Danke im Voraus,
Sarek \\//_
unser Bistum verwaltet Windows-Rechner mit AzureAD, wobei Bitlocker zwingend aktiv sein muss. Weiß jemand, ob in der Konstellation ein TPM erforderlich ist? Normalerweise kann Bitlocker ja auch ohne TPM genutzt werden, aber ich finde keine Aussage darüber, ob das auch bei Verwaltung über AzureAD gilt.
Danke im Voraus,
Sarek \\//_
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1411457463
Url: https://administrator.de/forum/azuread-bitlocker-ohne-tpm-moeglich-1411457463.html
Ausgedruckt am: 01.04.2025 um 03:04 Uhr
22 Kommentare
Neuester Kommentar
Moin,
Bitlocker lässt sich auch über Powershell nutzen und verwalten.
Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.
VG
Bitlocker lässt sich auch über Powershell nutzen und verwalten.
Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.
VG
Zitat von @Tezzla:
Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.
Genau genommen ist da überhaupt kein AD für notwendig, außer zum Ablegen des RecoveryKeys. Aber den kann man auch mit PS auslesen und speichern.
Darum geht es ja gar nicht. AzureAD ist gegeben, das schreibt das Bistum vor. Und die Sicherheitsrichtlinie sieht vor, dass Bitlocker bei der Installation aktiviert wird, sonst scheitert die Einbindung. Die Frage ist also nur: Lässt sich Bitlocker in dem Setting (also mit AzureAD) auch ohne TPM nutzen? Sonst müssten wir nämlich einige Rechner erneuern, die eigentlich noch ganz gut sind, aber eben kein TPM haben.
erster googletreffer
https://docs.microsoft.com/de-de/windows/security/information-protection ...
https://docs.microsoft.com/de-de/windows/security/information-protection ...
Hallo,
lest Ihr nicht?
BL ohne TPM ist ja nicht das Problem, sondern die Frage ob das mit AzureAD funktioniert.
Zur Frage.
Ich kann sie nicht beantworten.
Wenn man nach den deutschen Begriffen sucht findet man: 2x diesen Thread, eine Seite mit 404 und eine Seite die Problem nicht löst.
Das einzige was ich gefunden habe ist: "BitLocker can be implemented without TPM for example with startup password but this is not supported with Intune. This must be scripted."
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.
Also bleiben 2 Möglichkeiten:
a) Ausprobieren mit einem PC
b) Jemanden bei MS finden der Dir dies sagen kann
Sorry wenn meine gebrauchten PCs zu alt waren. Die nächsten sind dafür nicht Windows 11 tauglich
Stefan
lest Ihr nicht?
BL ohne TPM ist ja nicht das Problem, sondern die Frage ob das mit AzureAD funktioniert.
Zur Frage.
Ich kann sie nicht beantworten.
Wenn man nach den deutschen Begriffen sucht findet man: 2x diesen Thread, eine Seite mit 404 und eine Seite die Problem nicht löst.
Das einzige was ich gefunden habe ist: "BitLocker can be implemented without TPM for example with startup password but this is not supported with Intune. This must be scripted."
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.
Also bleiben 2 Möglichkeiten:
a) Ausprobieren mit einem PC
b) Jemanden bei MS finden der Dir dies sagen kann
Sorry wenn meine gebrauchten PCs zu alt waren. Die nächsten sind dafür nicht Windows 11 tauglich
Stefan
Jo hast Recht. Wer lesen kann ist klar im Vorteil. 🤭
Hallo Stefan,
hm, das könnte schon die Antwort sein. Intune ist eng mit AzureAD verbandelt. Ob es direkt dazugehört, weiß ich nicht, aber das Bistum verwaltet seine Rechner über Intune. Und ob der eh schon gut ausgelastete Bistums-Admin Lust hat, da groß was zu scripten (und ob er das überhaupt kann), weiß ich nicht.
Alles gut - das ist eine ganz andere Baustelle, hier geht es um Gemeindebüros. Deine gebrauchten Rechner waren ja für ein soziales Projekt bestimmt und sind teilweise schon im Einsatz (hatte ich Dir ja schon mal per PN geschrieben).
Das einzige was ich gefunden habe ist: "BitLocker can be implemented without TPM for example with startup password but this is not supported with Intune. This must be scripted."
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.
Ich weiß nun nicht wieviel intune mit AzureAD zu tun hat.
hm, das könnte schon die Antwort sein. Intune ist eng mit AzureAD verbandelt. Ob es direkt dazugehört, weiß ich nicht, aber das Bistum verwaltet seine Rechner über Intune. Und ob der eh schon gut ausgelastete Bistums-Admin Lust hat, da groß was zu scripten (und ob er das überhaupt kann), weiß ich nicht.
Sorry wenn meine gebrauchten PCs zu alt waren.
Alles gut - das ist eine ganz andere Baustelle, hier geht es um Gemeindebüros. Deine gebrauchten Rechner waren ja für ein soziales Projekt bestimmt und sind teilweise schon im Einsatz (hatte ich Dir ja schon mal per PN geschrieben).
Schreib mal wenn Du das Ergebnis hast.
Ich vermute MS kann Dir das auch nicht sagen, weil es zu trivial ist und mit aktuellen PCs ja nicht auftreten kann (Windows 11, neue CPU, TMP zwang, etc).
Ich vermute MS kann Dir das auch nicht sagen, weil es zu trivial ist und mit aktuellen PCs ja nicht auftreten kann (Windows 11, neue CPU, TMP zwang, etc).
Über Intune Deployment von BitLocker ist es Voraussetzung
https://systemcenterdudes.com/create-intune-bitlocker-policy-windows-10- ...
https://systemcenterdudes.com/create-intune-bitlocker-policy-windows-10- ...
In addition, Microsoft documentation state that the device must meet the following requirements for silent installation:
If end users log in to the devices as Administrators, they must run Windows 10 version 1803 or later.
If end users log in to the devices as Standard Users, they must run Windows 10 version 1809 or later.
The device must be Azure AD Joined
The device must contain TPM (Trusted Platform Module) 2.0
The BIOS mode must be set to Native UEFI only
If end users log in to the devices as Standard Users, they must run Windows 10 version 1809 or later.
The device must be Azure AD Joined
The device must contain TPM (Trusted Platform Module) 2.0
The BIOS mode must be set to Native UEFI only
Ich sehe keinen Zusammenhang zu Azure AD.
Müsste gehen, probier es aus, was hindert dich?
Müsste gehen, probier es aus, was hindert dich?
Na der ist schon da, hatte ich ja geschrieben.
Müsste gehen, probier es aus, was hindert dich?
Dass ich keinen Zugriff darauf habe?
Na der ist schon da, hatte ich ja geschrieben.
Ich meine damit "kein technischer Zusammenhang Bitlocker <-> Azure ADAAD zwingt dir keinen Bitlocker auf und AAD sagt auch in keinem Fall, wie Du bitlocker nutzt.
Zitat von @DerWoWusste:
Ich meine damit "kein technischer Zusammenhang Bitlocker <-> Azure AD
AAD zwingt dir keinen Bitlocker auf und AAD sagt auch in keinem Fall, wie Du bitlocker nutzt.
Ich meine damit "kein technischer Zusammenhang Bitlocker <-> Azure AD
AAD zwingt dir keinen Bitlocker auf und AAD sagt auch in keinem Fall, wie Du bitlocker nutzt.
In Verbindung mit Intune offenbar schon ...
Gib mal Background dazu
siehe PN
Ich werde nicht in PNs weitermachen.
Ich sehe zwar keine Hinweise darauf, dass die (generelle) Administration von AAD-Clients via Intune TPMs voraussetzt, lasse mich gerne eines Besseren belehren. Jedenfalls werde ich mich nicht weiter durch das AAD-Geschwurbel fräsen, was man im Netz so findet. Vielleicht sollte Sarek mal ein AAD-MS-Forum suchen und da fragen, wer Intune nutzt ohne TPMs zu nutzen.
Ich sehe zwar keine Hinweise darauf, dass die (generelle) Administration von AAD-Clients via Intune TPMs voraussetzt, lasse mich gerne eines Besseren belehren. Jedenfalls werde ich mich nicht weiter durch das AAD-Geschwurbel fräsen, was man im Netz so findet. Vielleicht sollte Sarek mal ein AAD-MS-Forum suchen und da fragen, wer Intune nutzt ohne TPMs zu nutzen.
Mal eine ganz perfide Idee. Man nehme das Telefon und wähle die Nummer des UHD/SD des Bistums. Sollte der Teufel im Detail stecken, wird man ein Ticket eröffnen und dem zuständigen Admin vorlegen.
Zitat von @148656:
Man nehme das Telefon und wähle die Nummer des UHD/SD des Bistums. Sollte der Teufel im Detail stecken, wird man ein Ticket eröffnen und dem zuständigen Admin vorlegen.
Man nehme das Telefon und wähle die Nummer des UHD/SD des Bistums. Sollte der Teufel im Detail stecken, wird man ein Ticket eröffnen und dem zuständigen Admin vorlegen.
Ich weiß zwar nicht, was ein UHD/SD ist, aber mit dem Leiter IT bin ich natürlich im Kontakt - dafür braucht man heutzutage kein Telephon mehr, dafür haben wir Teams
Aber ich erwähnte oben glaube ich schon, dass der es auch nicht sicher weiß. Vielleicht machen wir in absehbarer Zeit mal einen Test, aber wenn es stimmt, was auf https://oliverkieselbach.com/2018/10/23/enabling-bitlocker-on-non-hsti-d ... steht, nämlich:BitLocker can be implemented without TPM for example with startup
password but this is not supported with Intune. This must be scripted.
password but this is not supported with Intune. This must be scripted.
dann ist das nicht mal nebenbei getestet, sondern kostet Zeit. Und die hat die Abteilung zur Zeit nicht.
UHD = User Helpdesk
SD = Servicedesk
In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.
SD = Servicedesk
In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.
Zitat von @148656:
UHD = User Helpdesk
SD = Servicedesk
In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.
UHD = User Helpdesk
SD = Servicedesk
In grösseren IT-Umgebungen fungieren die als SPoC. Damit der Admin auch mal zum Arbeiten kommt.
Was auch immer SPoC jetzt wieder ist, ich habe keinen AküFi ... aber wir reden hier nicht von kommerziellen Strukturen, die ihre IT-Kosten in ihre Waren oder Dienstleistungen einpreisen können, sondern vom kleinsten Bistum Deutschlands mit entsprechend wenig finanziellen und personellen Ressourcen.
Lest doch mal oben meinen geposteten Link und den Auszug... Da stehts doch.
Da stehts doch
Hi. Dort steht, "for silent installation" wird das TPM vorausgesetzt. Dass es für Intune-Management generell benötigt wird, habe ich wie gesagt noch nicht bestätigt gesehen.
Richtig, das dachte ich ja auch das das gemeint ist, geht aber nicht so ganz klar aus dem Beitrag des TO hervor.
Dass es für Intune-Management generell benötigt wird, habe ich wie gesagt noch nicht bestätigt gesehen.
Auch richtig, es gilt nur für das unbeaufsichtigte Einrichten via Intune Policy, wenn man BitLocker selbst/manuell/Script einrichtet ist das unabhängig von Intune natürlich auch ohne TPM möglich (gerade auch testweise mal mit einer an Intune angebundenen VM verifiziert).
