Wymuszanie zasad funkcji BitLocker przy użyciu Intune: znane problemy
Ten artykuł ułatwia rozwiązywanie problemów, które mogą wystąpić w przypadku używania zasad Microsoft Intune do zarządzania dyskretnym szyfrowaniem funkcji BitLocker na urządzeniach. Portal Intune wskazuje, czy funkcja BitLocker nie może zaszyfrować co najmniej jednego zarządzanego urządzenia.
Aby rozpocząć zawężenie przyczyny problemu, przejrzyj dzienniki zdarzeń zgodnie z opisem w temacie Rozwiązywanie problemów z funkcją BitLocker. Skoncentruj się na dziennikach zarządzania i operacji w folderze MicrosoftWindows>BitLocker-APIdzienników>> aplikacji i usług. Poniższe sekcje zawierają więcej informacji o sposobie rozwiązywania wskazanych zdarzeń i komunikatów o błędach:
- Identyfikator zdarzenia 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)
- Identyfikator zdarzenia 853: Błąd: Wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze
- Identyfikator zdarzenia 854: Nie skonfigurowano usługi WinRE
- Identyfikator zdarzenia 851: Skontaktuj się z producentem w celu uaktualnienia systemu BIOS
- Komunikat o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"
- Identyfikator zdarzenia 846, 778 i 851: błąd 0x80072f9a
- Komunikat o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego
Jeśli nie ma wyraźnego śladu zdarzeń lub komunikatów o błędach do naśladowania, inne obszary do zbadania obejmują następujące obszary:
- Zapoznaj się z wymaganiami sprzętowymi dotyczącymi używania Intune do zarządzania funkcją BitLocker na urządzeniach
- Zapoznaj się z konfiguracją zasad funkcji BitLocker
Aby uzyskać informacje o procedurze sprawdzania, czy zasady Intune poprawnie wymuszają funkcję BitLocker, zobacz Sprawdzanie, czy funkcja BitLocker działa poprawnie.
Identyfikator zdarzenia 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)
Identyfikator zdarzenia 853 może zawierać różne komunikaty o błędach, w zależności od kontekstu. W takim przypadku komunikat o błędzie o identyfikatorze zdarzenia 853 wskazuje, że urządzenie nie ma modułu TPM. Informacje o zdarzeniu będą podobne do następującego zdarzenia:
Przyczyna zdarzenia o identyfikatorze 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)
Zabezpieczone urządzenie może nie mieć mikroukładu modułu TPM lub system BIOS urządzenia mógł zostać skonfigurowany do wyłączenia modułu TPM.
Rozwiązanie problemu o identyfikatorze zdarzenia 853: Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczającego modułu TPM (Trusted Platform Module)
Aby rozwiązać ten problem, sprawdź następujące konfiguracje:
- Moduł TPM jest włączony w systemie BIOS urządzenia.
- Stan modułu TPM w konsoli zarządzania modułu TPM jest podobny do następujących stanów:
- Gotowe (TPM 2.0)
- Zainicjowano (TPM 1.2)
Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z modułem TPM.
Identyfikator zdarzenia 853: Błąd: Wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze
W takim przypadku jest wyświetlany identyfikator zdarzenia 853, a komunikat o błędzie w zdarzeniu wskazuje, że nośnik rozruchowy jest dostępny dla urządzenia. Informacje o zdarzeniu są podobne do następujących.
Przyczyna zdarzenia o identyfikatorze 853: Błąd: wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze
Podczas procesu aprowizacji szyfrowanie dysków funkcji BitLocker rejestruje konfigurację urządzenia w celu ustanowienia punktu odniesienia. Jeśli konfiguracja urządzenia zmieni się później (na przykład jeśli nośnik zostanie usunięty), tryb odzyskiwania funkcji BitLocker zostanie automatycznie uruchomiony.
Aby uniknąć tej sytuacji, proces aprowizacji zatrzymuje się, jeśli wykryje wymienny nośnik rozruchowy.
Rozwiązanie dla zdarzenia o identyfikatorze 853: błąd: wykryto szyfrowanie dysków funkcją BitLocker nośnika rozruchowego (CD lub DVD) na komputerze
Usuń nośnik rozruchowy i uruchom ponownie urządzenie. Po ponownym uruchomieniu urządzenia sprawdź stan szyfrowania.
Identyfikator zdarzenia 854: Nie skonfigurowano usługi WinRE
Informacje o zdarzeniu są podobne do następującego komunikatu o błędzie:
Nie można włączyć szyfrowania dyskretnego. Funkcja WinRe nie jest skonfigurowana.
Błąd: Ten komputer nie może obsługiwać szyfrowania urządzenia, ponieważ funkcja WinRE nie jest prawidłowo skonfigurowana.
Przyczyna zdarzenia o identyfikatorze 854: Nie skonfigurowano usługi WinRE
Środowisko odzyskiwania systemu Windows (WinRE) to minimalny system operacyjny Windows oparty na środowisku preinstalacji systemu Windows (Windows PE). Usługa WinRE zawiera kilka narzędzi, za pomocą których administrator może odzyskać lub zresetować system Windows i zdiagnozować problemy z systemem Windows. Jeśli urządzenie nie może uruchomić zwykłego systemu operacyjnego Windows, urządzenie próbuje uruchomić usługę WinRE.
Proces aprowizacji umożliwia szyfrowanie dysków funkcji BitLocker na dysku systemu operacyjnego w fazie aprowizacji środowiska Windows PE. Ta akcja zapewnia ochronę dysku przed zainstalowaniem pełnego systemu operacyjnego. Proces aprowizacji tworzy również partycję systemową dla usługi WinRE do użycia w przypadku awarii systemu.
Jeśli usługa WinRE nie jest dostępna na urządzeniu, aprowizowanie zostanie zatrzymane.
Rozwiązanie dla zdarzenia o identyfikatorze 854: Nie skonfigurowano usługi WinRE
Ten problem można rozwiązać, sprawdzając konfigurację partycji dysków, stan winRE i konfigurację modułu ładującego rozruchu systemu Windows, wykonując następujące kroki:
Krok 1. Weryfikowanie konfiguracji partycji dysków
Procedury opisane w tej sekcji zależą od domyślnych partycji dysków konfigurowanych przez system Windows podczas instalacji. Windows 11 i Windows 10 automatycznie utworzyć partycję odzyskiwania zawierającą plik Winre.wim. Konfiguracja partycji jest podobna do poniższej.
Aby zweryfikować konfigurację partycji dysku, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenia:
diskpart.exe
list volume
Jeśli stan dowolnego woluminu nie jest w dobrej kondycji lub brakuje partycji odzyskiwania, może być konieczne ponowne zainstalowanie systemu Windows. Przed ponownym zainstalowaniem systemu Windows sprawdź konfigurację aprowizowanego obrazu systemu Windows. Upewnij się, że obraz używa poprawnej konfiguracji dysku. Konfiguracja obrazu powinna wyglądać podobnie do poniższej (ten przykład pochodzi z Microsoft Configuration Manager):
Krok 2. Weryfikowanie stanu usługi WinRE
Aby sprawdzić stan usługi WinRE na urządzeniu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
reagentc.exe /info
Dane wyjściowe tego polecenia są podobne do następujących.
Jeśli stan Windows RE nie jest włączony, uruchom następujące polecenie, aby go włączyć:
reagentc.exe /enable
Krok 3. Weryfikowanie konfiguracji modułu ładującego rozruchu systemu Windows
Jeśli stan partycji jest w dobrej kondycji, ale poleceniereagentc.exe /enable powoduje błąd, sprawdź, czy moduł ładujący rozruchu systemu Windows zawiera identyfikator GUID sekwencji odzyskiwania, uruchamiając następujące polecenie w oknie wiersza polecenia z podwyższonym poziomem uprawnień:
bcdedit.exe /enum all
Dane wyjściowe tego polecenia będą podobne do następujących danych wyjściowych:
W danych wyjściowych znajdź sekcję Moduł ładujący rozruchu systemu Windows , która zawiera identyfikator wiersza ={current}. W tej sekcji znajdź atrybut recoverysequence . Wartość tego atrybutu powinna być wartością identyfikatora GUID, a nie ciągiem zer.
Identyfikator zdarzenia 851: Skontaktuj się z producentem w celu uzyskania instrukcji uaktualnienia systemu BIOS
Informacje o zdarzeniu będą podobne do następującego komunikatu o błędzie:
Nie można włączyć szyfrowania dyskretnego.
Błąd: Nie można włączyć szyfrowania dysków funkcji BitLocker na dysku systemu operacyjnego. Skontaktuj się z producentem komputera, aby uzyskać instrukcje dotyczące uaktualniania systemu BIOS.
Przyczyna zdarzenia o identyfikatorze 851: Skontaktuj się z producentem w celu uzyskania instrukcji uaktualnienia systemu BIOS
Urządzenie musi mieć system BIOS ujednoliconego rozszerzalnego interfejsu układowego (UEFI). Szyfrowanie dysków dyskretnej funkcji BitLocker nie obsługuje starszego systemu BIOS.
Rozwiązanie problemu z identyfikatorem zdarzenia 851: Skontaktuj się z producentem w celu uzyskania instrukcji dotyczących uaktualniania systemu BIOS
Aby zweryfikować tryb BIOS, użyj aplikacji Informacje o systemie, wykonując następujące kroki:
Wybierz pozycję Start i wprowadź msinfo32 w polu Wyszukaj .
Sprawdź, czy ustawienie Tryb BIOS to UEFI , a nie starsza wersja.
Jeśli ustawienie Tryb BIOS to Starsza wersja, oprogramowanie układowe UEFI musi zostać przełączone do trybu UEFI lub EFI . Kroki przełączania do trybu UEFI lub EFI są specyficzne dla urządzenia.
Uwaga
Jeśli urządzenie obsługuje tylko tryb starszej wersji, Intune nie może służyć do zarządzania szyfrowaniem urządzeń funkcji BitLocker na urządzeniu.
Komunikat o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"
Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:
Błąd: Funkcja BitLocker nie może używać bezpiecznego rozruchu w celu zapewnienia integralności, ponieważ nie można odczytać zmiennej UEFI "SecureBoot". Klient nie posiada wymaganego uprawnienia.
Przyczyna komunikatu o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"
Rejestr konfiguracji platformy (PCR) to lokalizacja pamięci w programie TPM. W szczególności PCR 7 mierzy stan bezpiecznego rozruchu. Szyfrowanie dysków funkcji BitLocker w trybie dyskretnym wymaga włączenia bezpiecznego rozruchu.
Rozwiązanie komunikatu o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"
Ten problem można rozwiązać, sprawdzając profil weryfikacji pcr modułu TPM i stan bezpiecznego rozruchu, wykonując następujące kroki:
Krok 1. Weryfikowanie profilu weryfikacji pcr modułu TPM
Aby sprawdzić, czy pcr 7 jest w użyciu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:
Manage-bde.exe -protectors -get %systemdrive%
W sekcji modułu TPM danych wyjściowych tego polecenia sprawdź, czy ustawienie Profil weryfikacji pcr zawiera 7, w następujący sposób:
Jeśli profil weryfikacji pcr nie zawiera 7 (na przykład wartości obejmują 0, 2, 4 i 11, ale nie 7), bezpieczny rozruch nie jest włączony.
2: Sprawdź stan bezpiecznego rozruchu
Aby sprawdzić stan bezpiecznego rozruchu, użyj aplikacji System Information, wykonując następujące kroki:
Wybierz pozycję Start i wprowadź msinfo32 w polu Wyszukaj .
Sprawdź, czy ustawienie Bezpieczny stan rozruchu jest włączone w następujący sposób:
Jeśli ustawienie Bezpieczny stan rozruchu to Nieobsługiwany, na urządzeniu nie można używać szyfrowania dyskretnego funkcji BitLocker.
Uwaga
Polecenia cmdlet Confirm-SecureBootUEFI programu PowerShell można również użyć do zweryfikowania stanu bezpiecznego rozruchu, otwierając okno programu PowerShell z podwyższonym poziomem uprawnień i uruchamiając następujące polecenie:
Confirm-SecureBootUEFI
Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest włączony, to polecenie cmdlet zwraca wartość "True".
Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest wyłączony, to polecenie cmdlet zwraca wartość "False".
Jeśli komputer nie obsługuje bezpiecznego rozruchu lub jest komputerem z systemem BIOS (innym niż UEFI), to polecenie cmdlet zwraca wartość "Polecenie cmdlet nie jest obsługiwane na tej platformie".
Identyfikator zdarzenia 846, 778 i 851: błąd 0x80072f9a
Rozpatrzmy następujący scenariusz:
Intune zasady są wdrażane w celu szyfrowania urządzenia Windows 10, wersja 1809, a hasło odzyskiwania jest przechowywane w Tożsamość Microsoft Entra. W ramach konfiguracji zasad wybrano opcję Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas Microsoft Entra sprzężenia.
Wdrożenie zasad kończy się niepowodzeniem, a błąd generuje następujące zdarzenia w Podgląd zdarzeń w folderzeInterfejs API funkcji BitLocker systemuMicrosoft>Windows> w dziennikach> aplikacji i usług:
Identyfikator zdarzenia:846
Zdarzenie: Nie można utworzyć kopii zapasowej informacji odzyskiwania szyfrowania dysków funkcji BitLocker dla woluminu C: do Tożsamość Microsoft Entra.
TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Błąd: Nieznany kod błędu HResult: 0x80072f9a
Identyfikator zdarzenia:778
Zdarzenie: Wolumin funkcji BitLocker C: został przywrócony do stanu niechronionego.
Identyfikator zdarzenia: 851
Zdarzenie: Nie można włączyć szyfrowania dyskretnego.
Błąd: Nieznany kod błędu HResult: 0x80072f9a.
Te zdarzenia dotyczą 0x80072f9a kodu błędu.
Przyczyna zdarzenia o identyfikatorze 846, 778 i 851: błąd 0x80072f9a
Te zdarzenia wskazują, że zalogowany użytkownik nie ma uprawnień do odczytu klucza prywatnego na certyfikacie wygenerowanym w ramach procesu aprowizacji i rejestracji. W związku z tym odświeżanie zasad MDM funkcji BitLocker kończy się niepowodzeniem.
Problem dotyczy Windows 10 wersji 1809.
Rozpoznawanie identyfikatora zdarzenia 846, 778 i 851: błąd 0x80072f9a
Aby rozwiązać ten problem, zainstaluj aktualizację z 21 maja 2019 r .
Komunikat o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego
Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:
Błąd: Nie można zastosować szyfrowania dysków funkcji BitLocker do tego dysku, ponieważ występują konflikty zasady grupy ustawień opcji odzyskiwania na dyskach systemu operacyjnego. Przechowywanie informacji odzyskiwania do Active Directory Domain Services nie może być wymagane, gdy generowanie haseł odzyskiwania jest niedozwolone. Poproś administratora systemu o rozwiązanie tych konfliktów zasad przed podjęciem próby włączenia funkcji BitLocker...
Rozwiązanie problemu z komunikatem o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego
Aby rozwiązać ten problem, przejrzyj ustawienia obiektu zasad grupy (GPO) pod kątem konfliktów. Aby uzyskać więcej informacji, zobacz następną sekcję Przeglądanie konfiguracji zasad funkcji BitLocker.
Aby uzyskać więcej informacji na temat obiektów zasad grupy i funkcji BitLocker, zobacz Dokumentacja zasady grupy funkcji BitLocker.
Zapoznaj się z konfiguracją zasad funkcji BitLocker
Aby uzyskać informacje o procedurze używania zasad razem z funkcją BitLocker i Intune, zobacz następujące zasoby:
- Zarządzanie funkcją BitLocker dla przedsiębiorstw: zarządzanie urządzeniami przyłączonymi do Tożsamość Microsoft Entra
- Dokumentacja zasady grupy funkcji BitLocker
- Dokumentacja dostawcy usług konfiguracji
- Dostawca CSP zasad — funkcja BitLocker
- BitLocker CSP
- Włączanie zasad opartych na programie ADMX w usłudze MDM
- Gpresult
Intune oferuje następujące typy wymuszania funkcji BitLocker:
- Automatyczne (wymuszane, gdy urządzenie przyłącza się do Tożsamość Microsoft Entra podczas procesu aprowizacji. Ta opcja jest dostępna w Windows 10 wersji 1703 lub nowszej).
- Dyskretne (zasady ochrony punktu końcowego. Ta opcja jest dostępna w Windows 10 wersji 1803 lub nowszej).
- Interakcyjne (zasady punktu końcowego dla wersji systemu Windows starszych niż Windows 10 wersji 1803).
Jeśli urządzenie działa Windows 10 wersji 1703 lub nowszej, obsługuje nowoczesną rezerwę (znaną również jako Instant Go) i jest zgodne z hsti, dołączanie urządzenia do Tożsamość Microsoft Entra wyzwala automatyczne szyfrowanie urządzeń. Oddzielne zasady ochrony punktu końcowego nie są wymagane do wymuszania szyfrowania urządzeń.
Jeśli urządzenie jest zgodne ze standardem HSTI, ale nie obsługuje nowoczesnej rezerwy, należy skonfigurować zasady ochrony punktu końcowego w celu wymuszania dyskretnego szyfrowania dysków funkcji BitLocker. Ustawienia tych zasad powinny być podobne do następujących ustawień:
Odwołania OMA-URI dla tych ustawień są następujące:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Typ wartości: Liczba całkowita
Wartość: 1 (1 = Wymagaj, 0 = Nie skonfigurowano)OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Typ wartości: Liczba całkowita
Wartość: 0 (0 = zablokowane, 1 = dozwolone)
Uwaga
Ze względu na aktualizację dostawcy CSP zasad funkcji BitLocker, jeśli urządzenie używa Windows 10 wersji 1809 lub nowszej, zasady ochrony punktu końcowego mogą służyć do wymuszania dyskretnego szyfrowania urządzeń funkcją BitLocker, nawet jeśli urządzenie nie jest zgodne ze standardem HSTI.
Uwaga
Jeśli ustawienie Ostrzeżenie dla innego szyfrowania dysku ma wartość Nieskonfigurowane, kreator szyfrowania dysków funkcji BitLocker musi zostać uruchomiony ręcznie.
Jeśli urządzenie nie obsługuje nowoczesnej rezerwy, ale jest zgodne ze standardem HSTI i używa wersji systemu Windows starszej niż Windows 10, wersja 1803, zasady ochrony punktu końcowego z ustawieniami opisanymi w tym artykule dostarczają konfigurację zasad do urządzenia. Jednak system Windows powiadamia użytkownika o ręcznym włączeniu szyfrowania dysków funkcją BitLocker. Gdy użytkownik wybierze powiadomienie, uruchomi kreatora szyfrowania dysków funkcji BitLocker.
Intune udostępnia ustawienia, których można użyć do konfigurowania automatycznego szyfrowania urządzeń rozwiązania Autopilot dla użytkowników standardowych. Każde urządzenie musi spełniać następujące wymagania:
- Zgodność ze standardem HSTI
- Obsługa nowoczesnego rezerwy
- Używanie Windows 10 wersji 1803 lub nowszej
Odwołania OMA-URI dla tych ustawień są następujące:
- OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Typ wartości: Wartość całkowita : 1
Uwaga
Ten węzeł współpracuje z węzłami RequireDeviceEncryption i AllowWarningForOtherDiskEncryption . Z tego powodu po ustawieniu następujących ustawień:
- RequireDeviceEncryption do 1
- AllowStandardUserEncryption do 1
- AllowWarningForOtherDiskEncryption do 0
Intune wymusza dyskretne szyfrowanie funkcją BitLocker dla urządzeń rozwiązania Autopilot, które mają standardowe profile użytkowników.
Sprawdzanie, czy funkcja BitLocker działa prawidłowo
Podczas regularnych operacji szyfrowanie dysków funkcji BitLocker generuje zdarzenia, takie jak identyfikator zdarzenia 796 i identyfikator zdarzenia 845.
Można również określić, czy hasło odzyskiwania funkcji BitLocker zostało przekazane do Tożsamość Microsoft Entra, sprawdzając szczegóły urządzenia w sekcji Microsoft Entra Urządzenia.
Na urządzeniu sprawdź Redaktor Rejestru, aby zweryfikować ustawienia zasad na urządzeniu. Sprawdź wpisy w następujących podkluczach:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla