Share via

Problembehandlung bei BitLocker mit dem Intune-Verschlüsselungsbericht

  • Artikel

Microsoft Intune bietet einen integrierten Verschlüsselungsbericht, der Details zur Verschlüsselung status auf allen verwalteten Geräten enthält. Der Intune-Verschlüsselungsbericht ist ein nützlicher Ausgangspunkt für die Behandlung von Verschlüsselungsfehlern. Sie können den Bericht verwenden, um BitLocker-Verschlüsselungsfehler zu identifizieren und zu isolieren. Weitere Informationen finden Sie unter Trusted Platform Module (TPM) status und Verschlüsselung status von Windows-Geräten.

In diesem Artikel wird erläutert, wie Sie den Intune-Verschlüsselungsbericht verwenden, um Probleme mit der Verschlüsselung für BitLocker zu beheben. Weitere Anleitungen zur Problembehandlung finden Sie unter Problembehandlung bei BitLocker-Richtlinien auf clientseitiger Seite.

Hinweis

Um diese Problembehandlungsmethode und die im Verschlüsselungsbericht verfügbaren Fehlerdetails in vollem Umfang nutzen zu können, müssen Sie eine BitLocker-Richtlinie konfigurieren. Wenn Sie derzeit eine Gerätekonfigurationsrichtlinie verwenden, sollten Sie die Migration der Richtlinie in Erwägung ziehen. Weitere Informationen finden Sie unter Verwalten der BitLocker-Richtlinie für Windows-Geräte mit Intune- und Datenträgerverschlüsselungsrichtlinieneinstellungen für die Endpunktsicherheit in Intune.

Verschlüsselungsvoraussetzungen

Der BitLocker-Setup-Assistent fordert Benutzer standardmäßig auf, die Verschlüsselung zu aktivieren. Sie können auch eine BitLocker-Richtlinie konfigurieren, die BitLocker automatisch auf einem Gerät aktiviert. In diesem Abschnitt werden die verschiedenen Voraussetzungen für die einzelnen Methoden erläutert.

Hinweis

Die automatische Verschlüsselung ist nicht dasselbe wie die automatische Verschlüsselung. Die automatische Verschlüsselung wird während des Windows-OOBE-Modus (Out-of-the-Box Experience) auf modernen Standby- oder HSTI-kompatiblen Geräten (Hardware Security Test Interface) ausgeführt. Bei der automatischen Verschlüsselung unterdrückt Intune die Benutzerinteraktion über Einstellungen des BitLocker-Konfigurationsdienstanbieters (Configuration Service Provider, CSP).

Voraussetzungen für die benutzerfähige Verschlüsselung:

  • Die Festplatte muss in ein Betriebssystemlaufwerk partitioniert werden, das mit NTFS formatiert ist, und ein Systemlaufwerk von mindestens 350 MB, das als FAT32 für UEFI und NTFS für BIOS formatiert ist.
  • Das Gerät muss über Microsoft Entra Hybrideinbindung, Microsoft Entra Registrierung oder Microsoft Entra Join bei Intune registriert werden.
  • Ein TPM-Chip (Trusted Platform Module) ist nicht erforderlich, wird aber dringend empfohlen, um die Sicherheit zu erhöhen.

Voraussetzungen für die automatische BitLocker-Verschlüsselung:

  • Ein TPM-Chip (Version 1.2 oder 2.0), der entsperrt werden muss.
  • Windows-Wiederherstellungsumgebung (WinRE) muss aktiviert sein.
  • Die Festplatte muss in ein Betriebssystemlaufwerk partitioniert werden, das mit NTFS formatiert ist, und ein Systemlaufwerk von mindestens 350 MB muss als FAT32 für Unified Extensible Firmware Interface (UEFI) und NTFS für BIOS formatiert sein. Das UEFI-BIOS ist für TPM-Geräte der Version 2.0 erforderlich. (Sicherer Start ist nicht erforderlich, bietet aber mehr Sicherheit.)
  • Das Intune registrierte Gerät ist mit Microsoft Azure-Hybriddiensten oder Microsoft Entra ID verbunden.

Identifizieren von verschlüsselungs status und Fehlern

BitLocker-Verschlüsselungsfehler auf Intune registrierten Windows 10 Geräten können in eine der folgenden Kategorien fallen:

  • Die Hardware oder Software des Geräts erfüllt nicht die Voraussetzungen für die Aktivierung von BitLocker.
  • Die Intune BitLocker-Richtlinie ist falsch konfiguriert, sodass Gruppenrichtlinie Object (GPO)-Konflikte verursacht werden.
  • Das Gerät ist bereits verschlüsselt, und die Verschlüsselungsmethode stimmt nicht mit den Richtlinieneinstellungen überein.

Um die Kategorie eines Geräteverschlüsselungsfehlers zu identifizieren, melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Geräte>überwachen>Verschlüsselungsbericht aus. Der Bericht zeigt eine Liste der registrierten Geräte an und zeigt an, ob ein Gerät verschlüsselt oder verschlüsselt werden kann und ob es über einen TPM-Chip verfügt.

Intune Beispiel für einen Verschlüsselungsbericht.

Hinweis

Wenn ein Windows 10 Gerät den status Nicht bereit anzeigt, unterstützt es möglicherweise trotzdem die Verschlüsselung. Für eine bereite status muss tpm auf dem Windows 10 Gerät aktiviert sein. TPM-Geräte sind nicht erforderlich, um die Verschlüsselung zu unterstützen, werden jedoch dringend empfohlen, um die Sicherheit zu erhöhen.

Das obige Beispiel zeigt, dass ein Gerät mit TPM-Version 1.2 erfolgreich verschlüsselt wurde. Darüber hinaus sehen Sie zwei Geräte, die nicht für die Verschlüsselung bereit sind und nicht im Hintergrund verschlüsselt werden können, sowie ein TPM 2.0-Gerät, das für die Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Häufige Fehlerszenarien

In den folgenden Abschnitten werden häufige Fehlerszenarien beschrieben, die Sie mit Details aus dem Verschlüsselungsbericht diagnostizieren können.

Szenario 1: Das Gerät ist nicht für die Verschlüsselung bereit und nicht verschlüsselt

Wenn Sie auf ein gerät klicken, das nicht verschlüsselt ist, zeigt Intune eine Zusammenfassung der status an. Im folgenden Beispiel gibt es mehrere Profile für das Gerät: eine Endpoint Protection-Richtlinie, eine Mac-Betriebssystemrichtlinie (die für dieses Gerät nicht gilt) und eine Microsoft Defender Advanced Threat Protection (ATP)-Baseline.

Intune status Details, die zeigen, dass das Gerät nicht für die Verschlüsselung bereit und nicht verschlüsselt ist.

Verschlüsselung status erläutert:

Bei den Nachrichten unter Statusdetails handelt es sich um Codes, die vom BitLocker-CSP-status Knoten vom Gerät zurückgegeben werden. Die Verschlüsselung status befindet sich in einem Fehlerzustand, da das Betriebssystemvolume nicht verschlüsselt ist. Darüber hinaus enthält die BitLocker-Richtlinie Anforderungen für ein TPM, die das Gerät nicht erfüllt.

Die Nachrichten bedeuten, dass das Gerät nicht verschlüsselt ist, da kein TPM vorhanden ist und die Richtlinie eines erfordert.

Szenario 2: Das Gerät ist bereit, aber nicht verschlüsselt

Dieses Beispiel zeigt, dass das TPM 2.0-Gerät nicht verschlüsselt ist.

Intune status Details, die zeigen, dass das Gerät für die Verschlüsselung bereit, aber nicht verschlüsselt ist.

Verschlüsselung status erläutert:

Dieses Gerät verfügt über eine BitLocker-Richtlinie, die für Benutzerinteraktionen anstelle der automatischen Verschlüsselung konfiguriert ist. Der Benutzer hat den Verschlüsselungsvorgang nicht gestartet oder abgeschlossen (der Benutzer erhält eine Benachrichtigung), sodass das Laufwerk unverschlüsselt bleibt.

Szenario 3: Das Gerät ist nicht bereit und wird nicht automatisch verschlüsselt.

Wenn eine Verschlüsselungsrichtlinie so konfiguriert ist, dass die Benutzerinteraktion unterdrückt und im Hintergrund verschlüsselt wird und der VerschlüsselungsbereitschaftsstatusNicht anwendbar oder Nicht bereit lautet, ist das TPM wahrscheinlich nicht für BitLocker bereit.

Intune status Details, dass das Gerät nicht bereit ist und nicht automatisch verschlüsselt wird.

Gerätedetails status zeigen die Ursache:

Intune Geräteverschlüsselung status Details, die zeigen, dass TPM nicht für BitLocker bereit ist.

Verschlüsselung status erläutert:

Wenn das TPM auf dem Gerät nicht bereit ist, liegt dies möglicherweise daran, dass es in der Firmware deaktiviert ist oder gelöscht oder zurückgesetzt werden muss. Wenn Sie die TPM-Verwaltungskonsole (TPM.msc) über die Befehlszeile auf dem betroffenen Gerät ausführen, können Sie den TPM-Zustand besser verstehen und auflösen.

Szenario 4: Das Gerät ist bereit, aber nicht automatisch verschlüsselt

Es gibt mehrere Gründe dafür, dass ein Gerät mit automatischer Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Intune Geräteverschlüsselung status Details, die zeigen, dass das Gerät für die automatische Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Verschlüsselung status erläutert:

Eine Erklärung ist, dass WinRE auf dem Gerät nicht aktiviert ist, was eine Voraussetzung ist. Sie können die status von WinRE auf dem Gerät überprüfen, indem Sie den Befehl reagentc.exe/info als Administrator verwenden.

Eingabeaufforderungsausgabe von reagentc.exe/info.

Wenn WinRE deaktiviert ist, führen Sie den Befehl reagentc.exe/info als Administrator aus, um WinRE zu aktivieren.

Aktivieren von WinRE in der Eingabeaufforderung.

Auf der Seite Statusdetails wird die folgende Meldung angezeigt, wenn WinRE nicht ordnungsgemäß konfiguriert ist:

Der am Gerät angemeldete Benutzer verfügt nicht über Administratorrechte.

Ein weiterer Grund könnten Administratorrechte sein. Wenn Ihre BitLocker-Richtlinie auf einen Benutzer abzielt, der nicht über Administratorrechte verfügt und Standardbenutzern das Aktivieren der Verschlüsselung während Autopilot erlauben nicht aktiviert ist, werden die folgenden Verschlüsselungsdetails status angezeigt.

Verschlüsselung status erläutert:

Legen Sie Standardbenutzern erlauben, die Verschlüsselung während Autopilot zu aktivieren auf Ja fest, um dieses Problem für Microsoft Entra verbundene Geräte zu beheben.

Szenario 5: Das Gerät befindet sich in einem Fehlerzustand, aber verschlüsselt

Wenn in diesem gängigen Szenario die Intune-Richtlinie für die XTS-AES-128-Bit-Verschlüsselung konfiguriert ist, das Zielgerät jedoch mit XTS-AES 256-Bit-Verschlüsselung (oder umgekehrt) verschlüsselt wird, erhalten Sie die unten gezeigte Fehlermeldung.

Intune Geräteverschlüsselung status Details, die zeigen, dass sich das Gerät in einem Fehlerzustand befindet, aber verschlüsselt ist.

Verschlüsselung status erläutert:

Dies geschieht, wenn ein Gerät, das bereits mit einer anderen Methode verschlüsselt wurde– entweder manuell vom Benutzer, mit Microsoft BitLocker Administration and Monitoring (MBAM) oder durch die Microsoft Configuration Manager vor der Registrierung.

Um dies zu beheben, entschlüsseln Sie das Gerät manuell oder mit Windows PowerShell. Lassen Sie dann die Intune BitLocker-Richtlinie das Gerät erneut verschlüsseln, wenn die Richtlinie es das nächste Mal erreicht.

Szenario 6: Das Gerät ist verschlüsselt, aber der Profilstatus ist fehlerhaft.

Gelegentlich wird ein Gerät verschlüsselt angezeigt, weist aber in der Profilzustandszusammenfassung einen Fehlerstatus auf.

Intune Verschlüsselung status Details, die zeigen, dass sich die Profilstatuszusammenfassung im Fehlerzustand befindet.

Verschlüsselung status erläutert:

Dies tritt in der Regel auf, wenn das Gerät auf andere Weise (möglicherweise manuell) verschlüsselt wurde. Die Einstellungen stimmen mit der aktuellen Richtlinie überein, aber Intune hat die Verschlüsselung nicht initiiert.