dormi98 15 Geschrieben 23. Januar 2023 Melden Teilen Geschrieben 23. Januar 2023 Hallo zusammen! Ich verwalte per Intune for Education ca 200 Schülernotebooks. Die bisherigen Jahrgänge wurden mit Windows10 Geräten ausgeliefert. Der aktuell ausgelieferte Jahrgang hat Windows 11 Geräte bekommen. Auf allen ist Bitlocker aktiviert und die Festplatte verschlüsselt. Das soll auch so bleiben. Was USB Laufwerke betrifft verhalten sich Windows 10 und Windows 11 allerdings unterschiedlich. Während unter Windows 10 USB-Sticks einfach zu verwenden sind, kommt unter Windows 11 beim Anschließen die Frage ob man den USB-Stick per Bitlocker verschlüsseln möchte. Verneint man das wird der USB-Stick nur read-only gemountet. Klickt man auf Laufwerk verschlüsseln, kommt die Meldung: "Die Gruppenrichtlinieneinstellungen für Bitlocker-Startoptionen stehen im Konflikt und können nicht angewendet werden." Ich habe zwar versucht in Intune unter Endpunktsicherheit - Datenträgerverschlüsselung ein Bitlocker Profil anzulegen, aber für Wechseldatenträger ist die Richtlinie ohnehin nicht konfiguriert. Was muss ich einstellen, damit USB-Sticks unverschlüsselt verwendet werden können. Idealerweise überhaupt ohne der Nachfrage ob verschlüsselt werden soll. Danke schon mal im Voraus. Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 23. Januar 2023 Melden Teilen Geschrieben 23. Januar 2023 Hallo dormi98, sind die Geräte AAD-Only oder Hybrid? AD über Gruppenrichtlinien: Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker" Intune CSP Schau mal hier im Bereich "Bitlocker": Deny write access to removable drives not protected by BitLocker Settings you can manage with Intune Endpoint Protection profiles for Windows 10/11 devices | Microsoft Learn BitLocker CSP - Windows Client Management | Microsoft Learn Zitieren Link zu diesem Kommentar
dormi98 15 Geschrieben 24. Januar 2023 Autor Melden Teilen Geschrieben 24. Januar 2023 Die Geräte sind Azure AD only. Ich verwende wie gesagt das gleiche Bitlocker Profil für Windows 10 und Windows 11 in Intune zu finden unter: Endpunktsicherheit - Datenträgerverschlüsselung (oder muss man das noch wo einstellen?) Es sieht so aus: Wenn ich das richtig aus deinen Links lese sollte doch bei "nicht konfiguriert" der Schreibzugriff auf unverschlüsselte Wechseldatenträger möglich sein. Muss ich eine Custom OMA-URI anlgen? Zitieren Link zu diesem Kommentar
Beste Lösung dormi98 15 Geschrieben 23. Februar 2023 Autor Beste Lösung Melden Teilen Geschrieben 23. Februar 2023 So, ich konnte das Problem lösen Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen. Nachdem es aber so ist habe bin ich über eine längere Suche auf den Registy Key gestoßen, der Verantorlich ist: HKLM\System\CurrentControlSet\Policies\Microsoft\FVE hier den Wert RDVDenyWriteAccess anlegen und Wert auf 0 setzen. Das ließ sich einfach per Powershell Script auf alle Windows 11 Rechner verteilen. Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 23. Februar 2023 Melden Teilen Geschrieben 23. Februar 2023 Dann hatte ich also den richtigen Tipp. Am 23.1.2023 um 23:27 schrieb MurdocX: AD über Gruppenrichtlinien: Computer Configuration > Policies > Administrative Templates > Windows Components > Bitlocker Drive Encryption > Removable Data Drives > "Deny write access to removable drives not protected by Bitlocker" Siehe: Schreibzugriff auf Wechseldatenträger verweigern, die nicht durch BitLocker geschützt sind (admx.help) vor 49 Minuten schrieb dormi98: Es sollte tatsächlich so sein, dass USB Datenträger wenn der Wert auf "Nicht konfiguriert" gestellt ist, nicht verschlüsselt werden müssen. Nein, dann hast du die GPO-Technik nicht verstanden. Das bedeutet nur, dass keine Einstellung von der GPO gesetzt wird. Was nicht heißt das schon etwas gesetzt wurde. Um das Gegenteil der Richtlinie zu erreichen, hättest du diese auf "Deaktiviert" setzen müssen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.