Share via

Wymuszanie zasad funkcji BitLocker przy użyciu Intune: znane problemy

  • Artykuł

Ten artykuł ułatwia rozwiązywanie problemów, które mogą wystąpić w przypadku używania zasad Microsoft Intune do zarządzania dyskretnym szyfrowaniem funkcji BitLocker na urządzeniach. Portal Intune wskazuje, czy funkcja BitLocker nie może zaszyfrować co najmniej jednego zarządzanego urządzenia.

Zrzut ekranu przedstawiający oskarżenia o stan funkcji BitLocker w portalu Intune.

Aby rozpocząć zawężenie przyczyny problemu, przejrzyj dzienniki zdarzeń zgodnie z opisem w temacie Rozwiązywanie problemów z funkcją BitLocker. Skoncentruj się na dziennikach zarządzania i operacji w folderze MicrosoftWindows>BitLocker-APIdzienników>> aplikacji i usług. Poniższe sekcje zawierają więcej informacji o sposobie rozwiązywania wskazanych zdarzeń i komunikatów o błędach:

Jeśli nie ma wyraźnego śladu zdarzeń lub komunikatów o błędach do naśladowania, inne obszary do zbadania obejmują następujące obszary:

Aby uzyskać informacje o procedurze sprawdzania, czy zasady Intune poprawnie wymuszają funkcję BitLocker, zobacz Sprawdzanie, czy funkcja BitLocker działa poprawnie.

Identyfikator zdarzenia 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)

Identyfikator zdarzenia 853 może zawierać różne komunikaty o błędach, w zależności od kontekstu. W takim przypadku komunikat o błędzie o identyfikatorze zdarzenia 853 wskazuje, że urządzenie nie ma modułu TPM. Informacje o zdarzeniu będą podobne do następującego zdarzenia:

Zrzut ekranu przedstawiający szczegóły zdarzenia o identyfikatorze 853 (moduł TPM jest niedostępny, nie można odnaleźć modułu TPM).

Przyczyna zdarzenia o identyfikatorze 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)

Zabezpieczone urządzenie może nie mieć mikroukładu modułu TPM lub system BIOS urządzenia mógł zostać skonfigurowany do wyłączenia modułu TPM.

Rozwiązanie problemu o identyfikatorze zdarzenia 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)

Aby rozwiązać ten problem, sprawdź następujące konfiguracje:

  • Moduł TPM jest włączony w systemie BIOS urządzenia.
  • Stan modułu TPM w konsoli zarządzania modułu TPM jest podobny do następujących stanów:
    • Gotowe (TPM 2.0)
    • Zainicjowano (TPM 1.2)

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z modułem TPM.

Identyfikator zdarzenia 853: Błąd: Wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze

W takim przypadku jest wyświetlany identyfikator zdarzenia 853, a komunikat o błędzie w zdarzeniu wskazuje, że nośnik rozruchowy jest dostępny dla urządzenia. Informacje o zdarzeniu są podobne do następujących.

Zrzut ekranu przedstawiający szczegóły zdarzenia o identyfikatorze 853 (moduł TPM jest niedostępny, znaleziono nośnik rozruchowy).

Przyczyna zdarzenia o identyfikatorze 853: Błąd: wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze

Podczas procesu aprowizacji szyfrowanie dysków funkcji BitLocker rejestruje konfigurację urządzenia w celu ustanowienia punktu odniesienia. Jeśli konfiguracja urządzenia zmieni się później (na przykład jeśli nośnik zostanie usunięty), tryb odzyskiwania funkcji BitLocker zostanie automatycznie uruchomiony.

Aby uniknąć tej sytuacji, proces aprowizacji zatrzymuje się, jeśli wykryje wymienny nośnik rozruchowy.

Rozwiązanie dla zdarzenia o identyfikatorze 853: błąd: wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze

Usuń nośnik rozruchowy i uruchom ponownie urządzenie. Po ponownym uruchomieniu urządzenia sprawdź stan szyfrowania.

Identyfikator zdarzenia 854: Nie skonfigurowano usługi WinRE

Informacje o zdarzeniu są podobne do następującego komunikatu o błędzie:

Nie można włączyć szyfrowania dyskretnego. Funkcja WinRe nie jest skonfigurowana.

Błąd: Ten komputer nie może obsługiwać szyfrowania urządzenia, ponieważ funkcja WinRE nie jest prawidłowo skonfigurowana.

Przyczyna zdarzenia o identyfikatorze 854: Nie skonfigurowano usługi WinRE

Środowisko odzyskiwania systemu Windows (WinRE) to minimalny system operacyjny Windows oparty na środowisku preinstalacji systemu Windows (Windows PE). Usługa WinRE zawiera kilka narzędzi, za pomocą których administrator może odzyskać lub zresetować system Windows i zdiagnozować problemy z systemem Windows. Jeśli urządzenie nie może uruchomić zwykłego systemu operacyjnego Windows, urządzenie próbuje uruchomić usługę WinRE.

Proces aprowizacji umożliwia szyfrowanie dysków funkcji BitLocker na dysku systemu operacyjnego w fazie aprowizacji środowiska Windows PE. Ta akcja zapewnia ochronę dysku przed zainstalowaniem pełnego systemu operacyjnego. Proces aprowizacji tworzy również partycję systemową dla usługi WinRE do użycia w przypadku awarii systemu.

Jeśli usługa WinRE nie jest dostępna na urządzeniu, aprowizowanie zostanie zatrzymane.

Rozwiązanie dla zdarzenia o identyfikatorze 854: Nie skonfigurowano usługi WinRE

Ten problem można rozwiązać, sprawdzając konfigurację partycji dysków, stan winRE i konfigurację modułu ładującego rozruchu systemu Windows, wykonując następujące kroki:

Krok 1. Weryfikowanie konfiguracji partycji dysków

Procedury opisane w tej sekcji zależą od domyślnych partycji dysków konfigurowanych przez system Windows podczas instalacji. Windows 11 i Windows 10 automatycznie utworzyć partycję odzyskiwania zawierającą plik Winre.wim. Konfiguracja partycji jest podobna do poniższej.

Zrzut ekranu przedstawiający domyślne partycje dysków, w tym partycję odzyskiwania.

Aby zweryfikować konfigurację partycji dysku, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenia:

diskpart.exe 
list volume

Zrzut ekranu przedstawiający dane wyjściowe polecenia woluminu listy z elementu Diskpart.

Jeśli stan dowolnego woluminu nie jest w dobrej kondycji lub brakuje partycji odzyskiwania, może być konieczne ponowne zainstalowanie systemu Windows. Przed ponownym zainstalowaniem systemu Windows sprawdź konfigurację aprowizowanego obrazu systemu Windows. Upewnij się, że obraz używa poprawnej konfiguracji dysku. Konfiguracja obrazu powinna wyglądać podobnie do poniższej (ten przykład pochodzi z Microsoft Configuration Manager):

Zrzut ekranu przedstawiający konfigurację obrazu systemu Windows w Microsoft Configuration Manager.

Krok 2. Weryfikowanie stanu usługi WinRE

Aby sprawdzić stan usługi WinRE na urządzeniu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

reagentc.exe /info

Dane wyjściowe tego polecenia są podobne do następujących.

Zrzut ekranu przedstawiający dane wyjściowe polecenia reagentc.exe /info.

Jeśli stan Windows RE nie jest włączony, uruchom następujące polecenie, aby go włączyć:

reagentc.exe /enable

Krok 3. Weryfikowanie konfiguracji modułu ładującego rozruchu systemu Windows

Jeśli stan partycji jest w dobrej kondycji, ale poleceniereagentc.exe /enable powoduje błąd, sprawdź, czy moduł ładujący rozruchu systemu Windows zawiera identyfikator GUID sekwencji odzyskiwania, uruchamiając następujące polecenie w oknie wiersza polecenia z podwyższonym poziomem uprawnień:

bcdedit.exe /enum all

Dane wyjściowe tego polecenia będą podobne do następujących danych wyjściowych:

Zrzut ekranu przedstawiający dane wyjściowe polecenia bcdedit /enum all.

W danych wyjściowych znajdź sekcję Moduł ładujący rozruchu systemu Windows , która zawiera identyfikator wiersza ={current}. W tej sekcji znajdź atrybut recoverysequence . Wartość tego atrybutu powinna być wartością identyfikatora GUID, a nie ciągiem zer.

Identyfikator zdarzenia 851: Skontaktuj się z producentem w celu uzyskania instrukcji uaktualnienia systemu BIOS

Informacje o zdarzeniu będą podobne do następującego komunikatu o błędzie:

Nie można włączyć szyfrowania dyskretnego.

Błąd: Nie można włączyć szyfrowania dysków funkcji BitLocker na dysku systemu operacyjnego. Skontaktuj się z producentem komputera, aby uzyskać instrukcje dotyczące uaktualniania systemu BIOS.

Przyczyna zdarzenia o identyfikatorze 851: Skontaktuj się z producentem w celu uzyskania instrukcji uaktualnienia systemu BIOS

Urządzenie musi mieć system BIOS ujednoliconego rozszerzalnego interfejsu układowego (UEFI). Szyfrowanie dysków dyskretnej funkcji BitLocker nie obsługuje starszego systemu BIOS.

Rozwiązanie problemu z identyfikatorem zdarzenia 851: Skontaktuj się z producentem w celu uzyskania instrukcji dotyczących uaktualniania systemu BIOS

Aby zweryfikować tryb BIOS, użyj aplikacji Informacje o systemie, wykonując następujące kroki:

  1. Wybierz pozycję Start i wprowadź msinfo32 w polu Wyszukaj .

  2. Sprawdź, czy ustawienie Tryb BIOS to UEFI , a nie starsza wersja.

    Zrzut ekranu przedstawiający aplikację Informacje o systemie z ustawieniem Tryb BIOS.

  3. Jeśli ustawienie Tryb BIOS to Starsza wersja, oprogramowanie układowe UEFI musi zostać przełączone do trybu UEFI lub EFI . Kroki przełączania do trybu UEFI lub EFI są specyficzne dla urządzenia.

    Uwaga

    Jeśli urządzenie obsługuje tylko tryb starszej wersji, Intune nie może służyć do zarządzania szyfrowaniem urządzeń funkcji BitLocker na urządzeniu.

Komunikat o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"

Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:

Błąd: Funkcja BitLocker nie może używać bezpiecznego rozruchu w celu zapewnienia integralności, ponieważ nie można odczytać zmiennej UEFI "SecureBoot". Klient nie posiada wymaganego uprawnienia.

Przyczyna komunikatu o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"

Rejestr konfiguracji platformy (PCR) to lokalizacja pamięci w programie TPM. W szczególności PCR 7 mierzy stan bezpiecznego rozruchu. Szyfrowanie dysków funkcji BitLocker w trybie dyskretnym wymaga włączenia bezpiecznego rozruchu.

Rozwiązanie komunikatu o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"

Ten problem można rozwiązać, sprawdzając profil weryfikacji pcr modułu TPM i stan bezpiecznego rozruchu, wykonując następujące kroki:

Krok 1. Weryfikowanie profilu weryfikacji pcr modułu TPM

Aby sprawdzić, czy pcr 7 jest w użyciu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

Manage-bde.exe -protectors -get %systemdrive%

W sekcji modułu TPM danych wyjściowych tego polecenia sprawdź, czy ustawienie Profil weryfikacji pcr zawiera 7, w następujący sposób:

Zrzut ekranu przedstawiający dane wyjściowe polecenia manage-bde.exe.

Jeśli profil weryfikacji pcr nie zawiera 7 (na przykład wartości obejmują 0, 2, 4 i 11, ale nie 7), bezpieczny rozruch nie jest włączony.

Zrzut ekranu przedstawiający dane wyjściowe polecenia manage-bde, gdy pcr 7 nie jest obecny.

2: Sprawdź stan bezpiecznego rozruchu

Aby sprawdzić stan bezpiecznego rozruchu, użyj aplikacji System Information, wykonując następujące kroki:

  1. Wybierz pozycję Start i wprowadź msinfo32 w polu Wyszukaj .

  2. Sprawdź, czy ustawienie Bezpieczny stan rozruchu jest włączone w następujący sposób:

    Zrzut ekranu aplikacji Informacje o systemie przedstawiający nieobsługiwany stan bezpiecznego rozruchu.

  3. Jeśli ustawienie Bezpieczny stan rozruchu to Nieobsługiwany, na urządzeniu nie można używać szyfrowania dyskretnego funkcji BitLocker.

    Aplikacja System Information z nieobsługiwanym bezpiecznym stanem rozruchu.

Uwaga

Polecenia cmdlet Confirm-SecureBootUEFI programu PowerShell można również użyć do zweryfikowania stanu bezpiecznego rozruchu, otwierając okno programu PowerShell z podwyższonym poziomem uprawnień i uruchamiając następujące polecenie:

Confirm-SecureBootUEFI

Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest włączony, to polecenie cmdlet zwraca wartość "True".

Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest wyłączony, to polecenie cmdlet zwraca wartość "False".

Jeśli komputer nie obsługuje bezpiecznego rozruchu lub jest komputerem z systemem BIOS (innym niż UEFI), to polecenie cmdlet zwraca wartość "Polecenie cmdlet nie jest obsługiwane na tej platformie".

Identyfikator zdarzenia 846, 778 i 851: błąd 0x80072f9a

Rozpatrzmy następujący scenariusz:

Intune zasady są wdrażane w celu szyfrowania urządzenia Windows 10, wersja 1809, a hasło odzyskiwania jest przechowywane w Tożsamość Microsoft Entra. W ramach konfiguracji zasad wybrano opcję Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas Microsoft Entra sprzężenia.

Wdrożenie zasad kończy się niepowodzeniem, a błąd generuje następujące zdarzenia w Podgląd zdarzeń w folderzeInterfejs API funkcji BitLocker systemuMicrosoft>Windows> w dziennikach> aplikacji i usług:

Identyfikator zdarzenia:846

Zdarzenie: Nie można utworzyć kopii zapasowej informacji odzyskiwania szyfrowania dysków funkcji BitLocker dla woluminu C: do Tożsamość Microsoft Entra.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Błąd: Nieznany kod błędu HResult: 0x80072f9a

Identyfikator zdarzenia:778

Zdarzenie: Wolumin funkcji BitLocker C: został przywrócony do stanu niechronionego.

Identyfikator zdarzenia: 851

Zdarzenie: Nie można włączyć szyfrowania dyskretnego.

Błąd: Nieznany kod błędu HResult: 0x80072f9a.

Te zdarzenia dotyczą 0x80072f9a kodu błędu.

Przyczyna zdarzenia o identyfikatorze 846, 778 i 851: błąd 0x80072f9a

Te zdarzenia wskazują, że zalogowany użytkownik nie ma uprawnień do odczytu klucza prywatnego na certyfikacie wygenerowanym w ramach procesu aprowizacji i rejestracji. W związku z tym odświeżanie zasad MDM funkcji BitLocker kończy się niepowodzeniem.

Problem dotyczy Windows 10 wersji 1809.

Rozpoznawanie identyfikatora zdarzenia 846, 778 i 851: błąd 0x80072f9a

Aby rozwiązać ten problem, zainstaluj aktualizację z 21 maja 2019 r .

Komunikat o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego

Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:

Błąd: Nie można zastosować szyfrowania dysków funkcji BitLocker do tego dysku, ponieważ występują konflikty zasady grupy ustawień opcji odzyskiwania na dyskach systemu operacyjnego. Przechowywanie informacji odzyskiwania do Active Directory Domain Services nie może być wymagane, gdy generowanie haseł odzyskiwania jest niedozwolone. Poproś administratora systemu o rozwiązanie tych konfliktów zasad przed podjęciem próby włączenia funkcji BitLocker...

Rozwiązanie problemu z komunikatem o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego

Aby rozwiązać ten problem, przejrzyj ustawienia obiektu zasad grupy (GPO) pod kątem konfliktów. Aby uzyskać więcej informacji, zobacz następną sekcję Przeglądanie konfiguracji zasad funkcji BitLocker.

Aby uzyskać więcej informacji na temat obiektów zasad grupy i funkcji BitLocker, zobacz Dokumentacja zasady grupy funkcji BitLocker.

Zapoznaj się z konfiguracją zasad funkcji BitLocker

Aby uzyskać informacje o procedurze używania zasad razem z funkcją BitLocker i Intune, zobacz następujące zasoby:

Intune oferuje następujące typy wymuszania funkcji BitLocker:

  • Automatyczne (wymuszane, gdy urządzenie przyłącza się do Tożsamość Microsoft Entra podczas procesu aprowizacji. Ta opcja jest dostępna w Windows 10 wersji 1703 lub nowszej).
  • Dyskretne (zasady ochrony punktu końcowego. Ta opcja jest dostępna w Windows 10 wersji 1803 lub nowszej).
  • Interakcyjne (zasady punktu końcowego dla wersji systemu Windows starszych niż Windows 10 wersji 1803).

Jeśli urządzenie działa Windows 10 wersji 1703 lub nowszej, obsługuje nowoczesną rezerwę (znaną również jako Instant Go) i jest zgodne z hsti, dołączanie urządzenia do Tożsamość Microsoft Entra wyzwala automatyczne szyfrowanie urządzeń. Oddzielne zasady ochrony punktu końcowego nie są wymagane do wymuszania szyfrowania urządzeń.

Jeśli urządzenie jest zgodne ze standardem HSTI, ale nie obsługuje nowoczesnej rezerwy, należy skonfigurować zasady ochrony punktu końcowego w celu wymuszania dyskretnego szyfrowania dysków funkcji BitLocker. Ustawienia tych zasad powinny być podobne do następujących ustawień:

Zrzut ekranu przedstawiający ustawienia zasad Intune z wymaganymi urządzeniami szyfruj.

Odwołania OMA-URI dla tych ustawień są następujące:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Typ wartości: Liczba całkowita
    Wartość: 1 (1 = Wymagaj, 0 = Nie skonfigurowano)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Typ wartości: Liczba całkowita
    Wartość: 0 (0 = zablokowane, 1 = dozwolone)

Uwaga

Ze względu na aktualizację dostawcy CSP zasad funkcji BitLocker, jeśli urządzenie używa Windows 10 wersji 1809 lub nowszej, zasady ochrony punktu końcowego mogą służyć do wymuszania dyskretnego szyfrowania urządzeń funkcją BitLocker, nawet jeśli urządzenie nie jest zgodne ze standardem HSTI.

Uwaga

Jeśli ustawienie Ostrzeżenie dla innego szyfrowania dysku ma wartość Nieskonfigurowane, kreator szyfrowania dysków funkcji BitLocker musi zostać uruchomiony ręcznie.

Jeśli urządzenie nie obsługuje nowoczesnej rezerwy, ale jest zgodne ze standardem HSTI i używa wersji systemu Windows starszej niż Windows 10, wersja 1803, zasady ochrony punktu końcowego z ustawieniami opisanymi w tym artykule dostarczają konfigurację zasad do urządzenia. Jednak system Windows powiadamia użytkownika o ręcznym włączeniu szyfrowania dysków funkcją BitLocker. Gdy użytkownik wybierze powiadomienie, uruchomi kreatora szyfrowania dysków funkcji BitLocker.

Intune udostępnia ustawienia, których można użyć do konfigurowania automatycznego szyfrowania urządzeń rozwiązania Autopilot dla użytkowników standardowych. Każde urządzenie musi spełniać następujące wymagania:

  • Zgodność ze standardem HSTI
  • Obsługa nowoczesnego rezerwy
  • Używanie Windows 10 wersji 1803 lub nowszej

Zrzut ekranu przedstawiający ustawienie zasad Intune z opcją Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania Microsoft Entra.

Odwołania OMA-URI dla tych ustawień są następujące:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Typ wartości: Wartość całkowita : 1

Uwaga

Ten węzeł współpracuje z węzłami RequireDeviceEncryption i AllowWarningForOtherDiskEncryption . Z tego powodu po ustawieniu następujących ustawień:

  • RequireDeviceEncryption do 1
  • AllowStandardUserEncryption do 1
  • AllowWarningForOtherDiskEncryption do 0

Intune wymusza dyskretne szyfrowanie funkcją BitLocker dla urządzeń rozwiązania Autopilot, które mają standardowe profile użytkowników.

Sprawdzanie, czy funkcja BitLocker działa prawidłowo

Podczas regularnych operacji szyfrowanie dysków funkcji BitLocker generuje zdarzenia, takie jak identyfikator zdarzenia 796 i identyfikator zdarzenia 845.

Zrzut ekranu przedstawiający identyfikator zdarzenia 796 ze szczegółowymi informacjami.

Zrzut ekranu przedstawiający identyfikator zdarzenia 845 ze szczegółowymi informacjami.

Można również określić, czy hasło odzyskiwania funkcji BitLocker zostało przekazane do Tożsamość Microsoft Entra, sprawdzając szczegóły urządzenia w sekcji Microsoft Entra Urządzenia.

Zrzut ekranu przedstawiający informacje odzyskiwania funkcji BitLocker wyświetlane w Tożsamość Microsoft Entra.

Na urządzeniu sprawdź Redaktor Rejestru, aby zweryfikować ustawienia zasad na urządzeniu. Sprawdź wpisy w następujących podkluczach:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Zrzut ekranu przedstawiający podklucze rejestru powiązane z zasadami Intune.