Wenn ein Windows Gerät, das die Festplatte mit Bitlocker verschlüsselt hat, verloren geht, gestohlen wird oder verkauft wird, kann der neue „Besitzer“ keine Daten auslesen (weil sie eben verschlüsselt sind).
Wenn Bitlocker aber über Intune konfiguriert wurde und das Gerät aus Intune gelöscht wird, verliert es die Verschlüsselung. Ja, richtig gelesen – unglaublich.
In Intune lassen geht aber nicht. Zum einen verliert man sehr schnell den Überblick und das Inventar und Intune sind innert Kürze nicht mehr überschaubar. Und wenn das Gerät weiterverkauft wird, muss ich es wegen Autopilot löschen, da es sonst der Käufer nicht normal aufsetzen kann – es wird sonst wieder zu unserer Organisation hinzugefügt.
Das Problem habe ich hier beschrieben. Darauf aufmerksam gemacht, hat es Rudy Ooms in diesem Blogpost noch viel besser beschrieben, als ich das könnte.
Der Microsoft Support meint das selbe wie hier auf meinen Q&A Beitrag geantwortet wurde: Es ist einfach so… Wir schreiben das in die Dokumentation… Für uns erledigt…
Bitte um Unterstützung
Der einzige Weg das Problem zu beheben ist nun einen Feedback Eintrag zu erstellen und dann zu warten, dass der so viele Stimmen erhält, dass Microsoft sich das Ganze nochmals überlegt…
Daher bitte diesen Link…
https://feedbackportal.microsoft.com/feedback/idea/420483d6-84d7-ec11-a81b-000d3a00c008
NACHTRAG
Microsoft hat meinen Link von oben „verloren“. Nach langem hin und her habe ich die Antwort vom Support, dass er (und die Stimmen, die dafür gestimmt haben) nicht mehr zu retten ist. Ich musste einen neuen Eintrag verfassen: Allow Bitlocker enabled when deleting a device from Intune · Community (microsoft.com)
…öffnen und unten links auf den Pfeil gegen oben und „Votes“ klicken. Man muss sich mit einem Microsoft Konto anmelden. Allenfalls nach der Anmeldung den Link nochmals öffnen, scheinbar geht nicht beides im gleichen Mal.
ictschule 
Hab meine Stimme abgegeben :-).
Ich denke, die ersten beiden von dir beschrieben Punkte sind nicht ganz so schlimm:
-Sell devices at end of life without the need to wipe them.
-Dispose of devices that are discarded for technical reasons (broken display,…) to recycling without the need to wipe them.
(im zweiten Fall mit angeschlossenem externen Display) sollte man doch im BIOS den TPM zurücksetzen können. Dann muss man nicht extra wipen oder sehe ich das falsch? Wir machen das zumindest so.
Gruss und danke für all die Artikel!
Stefan
Vielen Dank für die Stimme.
Na ja, es geht eben auch darum, dass man nicht mit diesem Verhalten rechnet. Wenn ja die Festplatte verschlüsselt ist, müsste man gar keinen Wipe mehr machen, die Daten wären ja nicht mehr lesbar. Dieser Wipe vor dem Weiterverkauf hat mich früher jeweils einige Stunden gekostet.
Ich glaube nicht, dass es genügt, das TPM zurückzusetzen. Aber das müsste man mal testen. Sobald das Gerät aus Intune gelöscht wurde (und wieder eine Internetverbindung hat) wird Bitlocker „suspended“, die Festplatte ist also entschlüsselt und man kann sie auslesen.
Der Idealfall und meiner Meinung nach das zu erwartende Verhalten wäre, dass das Gerät verschlüsselt bleibt. Nachdem man den Schlüssel „wegwirft“ (also das Gerät aus Intune und AAD entfernt) kann niemand mehr die Daten auslesen.
Danke für die Antwort
>Ich glaube nicht, dass es genügt, das TPM zurückzusetzen. Aber das müsste man mal testen.
Haben wir gemacht. Das Notebook bleibt dann beim Bildschirm, in welchem man den Bitlockercode eingeben muss, stehen (kann sich somit auch nicht wieder mit dem Internet verbinden und bekommt das Löschen aus dem AAD gar nicht mit).
Ich finde das Verhalten aber insbesondere bei „verschwundenen“ Geräten problematisch. Diese starten das OS normal (weil Bitlockerkey in TPM gespeichert) und der neue „Besitzer“ kann sich einfach wieder per WLAN mit dem Internet verbinden –> nicht mehr in AAD –> keine Bitlocker-Policy –> entschlüsselt.
Vielen Dank für den Hinweis, das wusste ich nicht.
Bin ganz gleicher Meinung. Das wirkliche Problem sind verschwundene Geräte. Ist ja ein Hauptgrund für Verschlüsselung.
Bei den anderen Szenarien wäre es einfach sehr komfortabel (zero touch auch beim Ende der Nutzung). Dort ist dann eher das Problem, das man nicht mit diesem Verhalten rechnet. Wäre interessant zu erfahren, wie viele Admins beim Ende der Nutzung keinen Wipe durchführen, weil sie annehmen, dass die Daten ja verschlüsselt sind (und bleiben).
>Wäre interessant zu erfahren, wie viele Admins beim Ende der Nutzung keinen Wipe durchführen, weil sie annehmen, dass die Daten ja verschlüsselt sind (und bleiben).
Ich wäre ein solcher Admin gewesen, hätte ich nicht den Artikel auf ictschule gelesen!
Das nehme ich als Kompliment, vielen Dank.
Bin aber auch nur zufällig darüber gestolpert. Schade, dass Microsoft dann einfach die Dokumentation entsprechend anpasst, statt das Problem anzugehen.
Vielen Dank Christian, dass du an dem Thema dranbleibst. Zero Touch am Ende der Nutzung sollte doch unbedingt möglich sein. Bei unserer Schule sind es ja nur 100 Geräte am Ende des Schuljahres, aber an grösseren Schulen kann das ein wesentlicher Mehraufwand sein.
Vielen Dank.
Na ja, schon bei 100 Geräten kommt einiges an Zeit zusammen. Mehr dran bleiben kann ich nicht, ich habe den Intune Account auf Twitter bemüht, die Q&A Seite von Microsoft und einen Case eröffnet. Am Schluss wurde bestätigt, dass es so ist und die Dokumentation wurde angepasst. Der einzige Weg, der nun noch bleibt, ist den Eintrag so „hochzuvoten“, dass Microsoft allenfalls doch noch tätig wird. Das wird aber schwierig sein, daher teilen, wo immer man kann…
Der Feedback Eintrag scheint nicht mehr zu bestehen…
Ja, echt mühsam. Er existiert schon noch, aber man bekommt beim Direktaufruf eine Fehlermeldung. Habe mich an den Support gewendet und hoffe, dass dies so schnell wie möglich geklärt wird. Der Vorschlag hatte relativ schnell knapp 80 Stimmen und steht nun seit einigen Tagen, weil er nicht mehr aufgerufen werden kann.