Problembehandlung für BitLocker mit dem Intune-Verschlüsselungsbericht

  • Artikel
  • 6 Minuten Lesedauer

Microsoft Intune bietet einen integrierten Verschlüsselungsbericht, der Details zum Verschlüsselungsstatus auf allen verwalteten Geräten bereitstellt. Der Intune-Verschlüsselungsbericht ist ein nützlicher Ausgangspunkt für die Problembehandlung bei Verschlüsselungsfehlern. Sie können den Bericht verwenden, um BitLocker-Verschlüsselungsfehler zu identifizieren und zu isolieren und den TPM-Status (Trusted Platform Module) und den Verschlüsselungsstatus von Windows-Geräten anzuzeigen.

In diesem Artikel wird erläutert, wie Sie den Intune-Verschlüsselungsbericht verwenden, um die Problembehandlung bei der Verschlüsselung für BitLocker zu unterstützen. Weitere Anleitungen zur Problembehandlung finden Sie auf clientseitiger Seite unter Problembehandlung bei BitLocker-Richtlinien.

Hinweis

Um diese Problembehandlungsmethode und die im Verschlüsselungsbericht verfügbaren Fehlerdetails in vollem Umfang nutzen zu können, müssen Sie eine BitLocker-Richtlinie konfigurieren. Wenn Sie derzeit eine Gerätekonfigurationsrichtlinie verwenden, sollten Sie die Migration der Richtlinie in Betracht ziehen. Weitere Informationen finden Sie unter Verwalten der BitLocker-Richtlinie für Windows-Geräte mit Intune- und Datenträgerverschlüsselungsrichtlinieneinstellungen für die Endpunktsicherheit in Intune.

Voraussetzungen für die Verschlüsselung

Standardmäßig fordert der BitLocker-Setup-Assistent Benutzer auf, die Verschlüsselung zu aktivieren. Sie können auch eine BitLocker-Richtlinie konfigurieren, die BitLocker automatisch auf einem Gerät aktiviert. In diesem Abschnitt werden die verschiedenen Voraussetzungen für jede Methode erläutert.

Hinweis

Die automatische Verschlüsselung ist nicht dasselbe wie die automatische Verschlüsselung. Die automatische Verschlüsselung erfolgt während des Windows Out-of-the-Box Experience(OOBE)-Modus auf modernen Standby- oder HSTI-kompatiblen Geräten (Hardware Security Test Interface). Bei der automatischen Verschlüsselung unterdrückt Intune die Benutzerinteraktion über Die Einstellungen des BitLocker-Konfigurationsdienstanbieters (CSP).

Voraussetzungen für die vom Benutzer aktivierte Verschlüsselung:

  • Die Festplatte muss in ein Betriebssystemlaufwerk partitioniert werden, das mit NTFS formatiert ist, und ein Systemlaufwerk mit mindestens 350 MB, das als FAT32 für UEFI und NTFS für BIOS formatiert ist.
  • Thee muss in Intune über den Azure Active Directory(Azure AD)-Hybridbeitritt, die Azure AD-Registrierung oder den Azure AD-Beitritt registriert werden.
  • Ein TPM-Chip (Trusted Platform Module) ist nicht erforderlich, wird jedoch dringend für erhöhte Sicherheit empfohlen.

Voraussetzungen für die automatische BitLocker-Verschlüsselung:

  • Ein TPM-Chip (Version 1.2 oder 2.0), der entsperrt werden muss.
  • Windows Recovery Environment (WinRE) muss aktiviert sein.
  • Die Festplatte muss in ein Betriebssystemlaufwerk partitioniert werden, das mit NTFS formatiert ist, und ein Systemlaufwerk mit mindestens 350 MB muss als FAT32 für Unified Extensible Firmware Interface (UEFI) und NTFS für BIOS formatiert sein. UEFI-BIOS ist für TPM-Geräte der Version 2.0 erforderlich. (Sicherer Start ist nicht erforderlich, bietet aber mehr Sicherheit.)
  • Das Intune-registrierte Gerät ist mit Microsoft Azure-Hybriddiensten oder Azure AD verbunden.

Identifizieren von Verschlüsselungsstatus und Fehlern

BitLocker-Verschlüsselungsfehler auf Intune registrierten Windows 10 Geräten können in eine der folgenden Kategorien fallen:

  • Die Gerätehardware oder -software erfüllt nicht die Voraussetzungen für die Aktivierung von BitLocker.
  • Die Intune BitLocker-Richtlinie ist falsch konfiguriert, was Gruppenrichtlinie Object (GPO)-Konflikte verursacht.
  • Das Gerät ist bereits verschlüsselt, und die Verschlüsselungsmethode stimmt nicht mit den Richtlinieneinstellungen überein.

Um die Kategorie eines Geräteverschlüsselungsfehlers zu identifizieren, melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und wählen Sie den Bericht **"**Gerätemonitorverschlüsselung > > " aus. Der Bericht zeigt eine Liste der registrierten Geräte und zeigt an, ob ein Gerät verschlüsselt oder verschlüsselt werden kann und ob es über einen TPM-Chip verfügt.

Beispiel für Intune Verschlüsselungsbericht.

Hinweis

Wenn ein Windows 10 Gerät den Status "Nicht bereit" anzeigt, unterstützt es möglicherweise weiterhin die Verschlüsselung. Für den Status "Bereit" muss auf dem Windows 10 Gerät TPM aktiviert sein. TPM-Geräte müssen keine Verschlüsselung unterstützen, werden jedoch dringend für erhöhte Sicherheit empfohlen.

Das obige Beispiel zeigt, dass ein Gerät mit TPM Version 1.2 erfolgreich verschlüsselt wurde. Darüber hinaus können Sie zwei Geräte sehen, die nicht für die Verschlüsselung bereit sind, die nicht im Hintergrund verschlüsselt werden können, sowie ein TPM 2.0-Gerät, das für die Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Häufige Fehlerszenarien

In den folgenden Abschnitten werden häufige Fehlerszenarien beschrieben, die Sie mit Details aus dem Verschlüsselungsbericht diagnostizieren können.

Szenario 1 – Das Gerät ist nicht für die Verschlüsselung bereit und nicht verschlüsselt

Wenn Sie auf ein gerät klicken, das nicht verschlüsselt ist, zeigt Intune eine Zusammenfassung des Status an. Im folgenden Beispiel gibt es mehrere Profile für das Gerät: eine Endpunktschutzrichtlinie, eine Mac-Betriebssystemrichtlinie (die für dieses Gerät nicht gilt) und eine Microsoft Defender Advanced Threat Protection (ATP)-Basislinie.

Intune status details showing device is not ready for encryption and not encrypted.

Verschlüsselungsstatus erläutert:

Die Meldungen unter "Statusdetails" sind Codes, die vom BitLocker-CSP-Statusknoten vom Gerät zurückgegeben werden. Der Verschlüsselungsstatus befindet sich in einem Fehlerstatus, da das Betriebssystemvolume nicht verschlüsselt ist. Darüber hinaus enthält die BitLocker-Richtlinie Anforderungen für ein TPM, das vom Gerät nicht erfüllt wird.

Die Nachrichten bedeuten, dass das Gerät nicht verschlüsselt ist, da kein TPM vorhanden ist und die Richtlinie eines erfordert.

Szenario 2 – Das Gerät ist bereit, aber nicht verschlüsselt

Dieses Beispiel zeigt, dass das TPM 2.0-Gerät nicht verschlüsselt ist.

Intune status details showing device is ready for encryption but it is not encrypted.

Verschlüsselungsstatus erläutert:

Dieses Gerät verfügt über eine BitLocker-Richtlinie, die für Benutzerinteraktionen und nicht für die automatische Verschlüsselung konfiguriert ist. Der Benutzer hat den Verschlüsselungsprozess nicht gestartet oder abgeschlossen (der Benutzer erhält eine Benachrichtigung), sodass das Laufwerk unverschlüsselt bleibt.

Szenario 3: Das Gerät ist nicht bereit und verschlüsselt nicht automatisch

Wenn eine Verschlüsselungsrichtlinie so konfiguriert ist, dass Benutzerinteraktionen unterdrückt und automatisch verschlüsselt werden und der Verschlüsselungsbericht "Verschlüsselungsbereitschaft" nicht anwendbar oder nicht bereit ist, ist das TPM wahrscheinlich nicht bereit für BitLocker.

Intune status details showing device is not ready and will not encrypt silently.

Gerätestatusdetails geben die Ursache offen:

Intune Details zum Geräteverschlüsselungsstatus mit TPM sind für BitLocker nicht bereit.

Verschlüsselungsstatus erläutert:

Wenn das TPM auf dem Gerät nicht bereit ist, liegt dies möglicherweise daran, dass es in der Firmware deaktiviert ist oder gelöscht oder zurückgesetzt werden muss. Wenn Sie die TPM-Verwaltungskonsole (TPM.msc) über die Befehlszeile auf dem betroffenen Gerät ausführen, können Sie den TPM-Zustand besser verstehen und auflösen.

Szenario 4– Das Gerät ist bereit, aber nicht im Hintergrund verschlüsselt

Es gibt mehrere Gründe dafür, dass ein Gerät mit automatischer Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Intune Details zum Geräteverschlüsselungsstatus, die zeigen, dass das Gerät für die automatische Verschlüsselung bereit, aber noch nicht verschlüsselt ist.

Verschlüsselungsstatus erläutert:

Eine Erklärung ist, dass WinRE auf dem Gerät nicht aktiviert ist, was eine Voraussetzung ist. Sie können den Status von WinRE auf dem Gerät mithilfe des Befehls reagentc.exe/info als Administrator überprüfen.

Eingabeaufforderungsausgabe von reagentc.exe/info.

Wenn WinRE deaktiviert ist, führen Sie den Befehl reagentc.exe/info als Administrator aus, um WinRE zu aktivieren.

Aktivieren von WinRE in der Eingabeaufforderung.

Auf der Seite " Statusdetails " wird die folgende Meldung angezeigt, wenn WinRE nicht ordnungsgemäß konfiguriert ist:

Der am Gerät angemeldete Benutzer verfügt nicht über Administratorrechte.

Ein weiterer Grund könnten verwaltungsrechtliche Rechte sein. Wenn Ihre BitLocker-Richtlinie auf einen Benutzer ausgerichtet ist, der nicht über Administratorrechte verfügt und standardmäßige Benutzer die Aktivierung der Verschlüsselung während Autopilot nicht zulassen , werden die folgenden Verschlüsselungsstatusdetails angezeigt.

Intune Details zum Geräteverschlüsselungsstatus, die zeigen, dass der Benutzer nicht über Administratorrechte verfügt.

Verschlüsselungsstatus erläutert:

Legen Sie "Zulassen, dass Standardbenutzer die Verschlüsselung während Autopilot aktivieren " auf "Ja " fest, um dieses Problem für in Azure AD eingebundene Geräte zu beheben.

Szenario 5 – Das Gerät befindet sich in einem Fehlerstatus, ist aber verschlüsselt.

Wenn in diesem allgemeinen Szenario die Intune-Richtlinie für die XTS-AES-128-Bit-Verschlüsselung konfiguriert ist, das Zielgerät jedoch mithilfe der 256-Bit-XTS-AES-Verschlüsselung (oder umgekehrt) verschlüsselt wird, wird der unten gezeigte Fehler angezeigt.

Intune Details zum Geräteverschlüsselungsstatus, die zeigen, dass sich das Gerät in einem Fehlerstatus befindet, aber verschlüsselt ist.

Verschlüsselungsstatus erläutert:

Dies geschieht, wenn ein Gerät, das bereits mit einer anderen Methode—verschlüsselt wurde, entweder manuell vom Benutzer, mit Microsoft BitLocker Administration and Monitoring (MBAM) oder vom Microsoft Endpoint Configuration Manager vor der Registrierung.

Um dies zu beheben, entschlüsseln Sie das Gerät manuell oder mit Windows PowerShell. Lassen Sie dann die Intune BitLocker-Richtlinie das Gerät beim nächsten Erreichen der Richtlinie erneut verschlüsseln.

Szenario 6– Das Gerät ist verschlüsselt, aber der Profilstatus ist fehlerhaft.

Gelegentlich wird ein Gerät verschlüsselt angezeigt, weist aber in der Zusammenfassung des Profilstatus einen Fehlerstatus auf.

Intune Verschlüsselungsstatusdetails, in denen die Zusammenfassung des Profilstatus angezeigt wird, befindet sich im Fehlerstatus.

Verschlüsselungsstatus erläutert:

Dies geschieht in der Regel, wenn das Gerät auf andere Weise (möglicherweise manuell) verschlüsselt wurde. Die Einstellungen stimmen mit der aktuellen Richtlinie überein, aber Intune hat die Verschlüsselung nicht initiiert.