Solucionar problemas de políticas do BitLocker Microsoft Intune

Este artigo pode ajudar os administradores do Intune a entender como Windows 10 dispositivos configuram o BitLocker com base na política do Intune. Este artigo também fornece orientações sobre como solucionar problemas com as configurações do BitLocker em dispositivos que você gerencia com o Intune.

Noções básicas sobre o BitLocker

A criptografia de unidade do BitLocker é um serviço oferecido pela Microsoft Windows sistemas operacionais que permitem aos usuários criptografar dados em seus discos rígidos. O BitLocker oferece suporte à criptografia para unidades do sistema operacional, unidades de mídia removíveis e unidades de dados fixas. O BitLocker também oferece suporte ao uso de criptografia de 256 bits para melhor proteção de dados confidenciais.

Com Microsoft Intune, você tem os seguintes métodos para gerenciar o BitLocker em Windows 10 dispositivos:

  • Políticas de Configuração de Dispositivo - Determinadas opções de política internas estão disponíveis no Intune quando você cria um perfil de configuração de dispositivo para gerenciar a proteção do ponto de extremidade. Para encontrar essas opções, crie um perfil de dispositivo para proteção de ponto de extremidade, selecionando Windows 10 e posterior para a Plataforma e, em seguida, selecionando acategoria Windows Criptografia para Configurações.

    Você pode ler sobre as opções e recursos disponíveis aqui: Windows Criptografia.

  • Políticas de Segurança de Ponto de Extremidade - Determinadas opções de política internas estão disponíveis no Intune quando você cria um perfil de Segurança do Ponto de Extremidade para criptografia de disco. Para encontrar essas opções, crieum perfil para criptografia de disco, selecionando Windows 10 e posterior para a Plataforma e, em seguida, selecionando o BitLocker para o tipo De perfil.

    Você pode ler sobre as opções e recursos disponíveis aqui: Criptografia de Disco.

  • Linhas de base de segurança - As linhas de base de segurança são grupos conhecidos de configurações e valores padrão recomendados pela equipe de segurança relevante para ajudar a proteger Windows dispositivos. Fontes de linha de base diferentes, como a Linha de Base de Segurança do MDM ou a Linha de Base do Microsoft Defender ATP podem gerenciar as mesmas configurações, bem como configurações diferentes umas das outras. Eles também podem gerenciar as mesmas configurações que você gerencia com políticas de configuração de dispositivo.

Além do Intune, para hardware compatível com o Modern Standby e o HSTI, ao usar qualquer um desses recursos, a Criptografia de Dispositivo BitLocker é automaticamente ligada sempre que o usuário inser um dispositivo no Azure AD. O Azure AD fornece um portal onde as chaves de recuperação também são backup, para que os usuários possam recuperar sua própria chave de recuperação para autoatendados, se necessário.

Também é possível que as configurações do BitLocker sejam gerenciadas por outros meios, como a Política de Grupo, ou definidas manualmente por um usuário de dispositivo.

Não importa como as configurações são aplicadas a um dispositivo, as políticas do BitLocker usam o CSP do BitLocker para configurar a criptografia no dispositivo. O CSP do BitLocker é integrado ao Windows e, quando o Intune implanta uma política do BitLocker em um dispositivo atribuído, é o CSP do BitLocker no dispositivo que grava os valores apropriados no registro Windows para que as configurações da política possam entrar em vigor.

Se você quiser saber mais sobre o BitLocker, confira os seguintes recursos:

Agora que você tem uma compreensão geral sobre o que essas políticas fazem e como elas funcionam, veja como você pode verificar se as configurações do BitLocker se aplicam com êxito a um cliente Windows cliente.

Verificar a origem das configurações do BitLocker

Quando você investiga um problema do BitLocker em um dispositivo Windows 10, é importante primeiro determinar se o problema está relacionado ao Intune ou Windows relacionado. Depois que a fonte provável de falha for conhecida, você poderá concentrar seus esforços de solução de problemas no lugar certo e, se necessário, obter suporte da equipe correta.

Como primeira etapa, determine se a política do Intune foi implantada com êxito no dispositivo de destino. No exemplo a seguir, você tem uma política de configuração de dispositivo que implanta as configurações de criptografia Windows (BitLocker), conforme mostrado:

Windows Política de configuração de dispositivo de criptografia com as configurações

Como confirmar se as configurações foram aplicadas ao dispositivo direcionado? A seguir estão algumas maneiras de fazer isso.

Status do dispositivo de política de configuração de dispositivo

Ao usar a política de Configuração de Dispositivo para configurar o BitLocker, você pode verificar o status da política no portal do Intune.

  1. Entre no centro de administração Microsoft Endpoint Manager.

  2. Selecione Perfis > de Configuração de Dispositivos e selecione o perfil que contém as configurações do BitLocker.

  3. Depois de selecionar o perfil que deseja exibir, selecione Status do Dispositivo. Os dispositivos atribuídos ao perfil são listados e a coluna de status do dispositivo indica se um dispositivo implantou com êxito o perfil.

Lembre-se de que pode haver um atraso entre um dispositivo que recebe uma política do BitLocker e a unidade que está sendo totalmente criptografada.

Usar Painel de Controle no cliente

Em um dispositivo que habilitar o BitLocker e criptografar uma unidade, você pode exibir o status do BitLocker a partir de um Painel de Controle de dispositivos. No dispositivo, abra o Sistema do Painel de Controle e a > Criptografia de Unidade de > BitLocker de Segurança. A confirmação aparece como vista na imagem a seguir.

BitLocker está ligado no Painel de Controle

Usar um prompt de comando

Em um dispositivo que habilitar o BitLocker e criptografar uma unidade, iniciar o Prompt de Comando com credenciais de administrador e, em seguida, executar manage-bde -status . Os resultados devem se parecer com o exemplo a seguir:
Um resultado do comando de status

No exemplo:

  • A proteção do BitLocker está on
  • Porcentagem criptografada é 100%
  • Método Encryption é XTS-AES 256

Você também pode verificar Os Protetores de Chaves executando o seguinte comando:

Manage-bde -protectors -get c:

Ou com o PowerShell:

Confirm-SecureBootUEFI

Revisar a configuração da chave do Registro de dispositivos

Depois que a política do BitLocker for implantada com êxito em um dispositivo, veja a seguinte chave do Registro no dispositivo onde você pode revisar a configuração das configurações do BitLocker: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker. Veja um exemplo:

Chave de Registro do BitLocker

Esses valores são configurados pelo CSP BitLocker. Verifique se os valores das chaves corresponderão às configurações especificadas na origem da sua política de criptografia do Intune Windows. Para obter mais informações sobre cada uma dessas configurações, consulte CSP do BitLocker.

Observação

O Windows visualizador de eventos também conterá várias informações relacionadas ao Bitlocker. Há muitos para listar aqui, mas procurar a API do Bitlocker fornecerá muitas informações úteis.

Verifique o relatório de diagnóstico do MDM

Em um dispositivo que tenha habilitado o BitLocker, você pode gerar e exibir um relatório de diagnóstico MDM do dispositivo direcionado para confirmar que a política do BitLocker está presente. Se você puder ver as configurações de política no relatório, é outra indicação de que a política foi implantada com êxito. O vídeo ajuda da Microsoft no link a seguir explica como capturar um relatório de diagnóstico MDM de um Windows dispositivo.

Quando você analisa o relatório de diagnóstico do MDM, o conteúdo pode parecer um pouco confuso no início. A seguir está um exemplo que mostra como correlacionar o que está no relatório com as configurações de uma política:

Exemplo do relatório de diagnóstico do MDM

O resultado de saída mostra os valores que correspondem aos valores de sua política do BitLocker:

Resultado de saída mostra os valores

Resultados de saída de diagnóstico do MDM:

EncryptionMethodWithXtsOsDropDown: 7 (The value 7 refers to the 256 bit encryption)
EncryptionMethodWithXtsFdvDropDown: 6 (The value 6 refers to the 128 bit encryption)
EncryptionMethodWithXtsRdvDropDown: 6 (The value 6 refers to the 128 bit encryption)

Você pode fazer referência à documentação do CSP do BitLocker para ver o que cada valor significa. Para este exemplo, um trecho é compartilhado na imagem a seguir.

Finalidades de valores

Da mesma forma, você pode ver todos os valores e confirmá-los no link CSP do BitLocker.

Dica

O principal objetivo do relatório de diagnóstico do MDM é ajudar o Suporte da Microsoft na solução de problemas. Se você abrir um caso de suporte para o Intune e o problema envolver Windows clientes, é sempre uma boa ideia reunir esse relatório e incluí-lo em sua solicitação de suporte.

Solução de problemas da política do BitLocker

Agora você deve ter uma boa ideia de como confirmar se a política do BitLocker foi implantada com êxito pelo Intune, que entrega a configuração do BitLocker para o CSP do BitLocker no Windows.

Política falha ao chegar ao dispositivo - Quando sua política do Intune não está presente em nenhuma capacidade:

  • O dispositivo está corretamente inscrito no Microsoft Intune? Caso não seja, você precisará resolver isso antes de solucionar problemas específicos da política. Ajuda para solucionar problemas Windows problemas de registro podem ser encontrados aqui.

  • Há uma conexão de rede ativa no dispositivo? Se o dispositivo estiver no modo de avião ou desligado, ou se o usuário tiver o dispositivo em um local sem serviço, a política não será entregue ou aplicada até que a conectividade de rede seja restaurada.

  • A política do BitLocker foi implantada no usuário ou grupo de dispositivos correto? Verifique se o usuário ou dispositivo correto é um membro dos grupos que você direciona.

A política está presente, mas não todas as configurações configuradas com êxito - Quando sua política do Intune atinge o dispositivo, mas nem todas as configurações são definidas:

  • A implantação de toda a política falha ou são apenas determinadas configurações que não se aplicam? Se você se deparar com um cenário em que apenas algumas configurações de política não se aplicam, verifique as seguintes considerações:

    1. Nem todas as configurações do BitLocker são suportadas em todas as Windows versões. A política se resume a um dispositivo como uma única unidade, portanto, se algumas configurações se aplicarem e outras não, você poderá ter certeza de que a política em si é recebida. Nesse cenário, é possível que a versão do Windows no dispositivo não suporte as configurações problemáticas. Consulte O CSP do BitLocker na documentação Windows para obter detalhes sobre os requisitos de versão para cada configuração.

    2. O BitLocker não tem suporte em todo o hardware. Mesmo que você tenha a versão certa do Windows, é possível que o hardware do dispositivo subjacente não atender aos requisitos da criptografia BitLocker. Você pode encontrar os requisitos do sistema para o BitLocker na documentação do Windows, mas o principal a verificar é que o dispositivo tem um chip TPM compatível (1.2 ou posterior) e um BIOS ou firmware UEFI compatível com o Grupo de Computação Confiável (TCG).

Criptografia do Bitlocker não é executada silenciosamente - Você configurou uma política de Endpoint Protection com a configuração "Aviso para outra criptografia de disco" definida para bloquear e o assistente de criptografia ainda será exibido:

  • Confirme se Windows versão suporta criptografia silenciosa Isso requer, no mínimo, a versão 1803. Se o usuário não for um administrador no dispositivo do que exigir uma versão mínima de 1809. Além disso, o 1809 adicionou suporte para dispositivos que não suportam o Modo de Espera Moderno

O dispositivo criptografado bitLocker mostra como Não compatível com políticas de Conformidade do Intune - O problema ocorre quando a criptografia BitLocker não é concluída. Com base em fatores como o tamanho do disco, o número de arquivos e as configurações do BitLocker, a criptografia BitLocker pode levar muito tempo. Depois que a criptografia for concluída, o dispositivo será mostrado como compatível. Os dispositivos também podem se tornar temporariamente não compatíveis imediatamente após uma instalação recente de Windows Atualizações.

Os dispositivos são criptografados usando algoritmo de 128 bits quando a política especifica 256 bits -- Por padrão, o Windows 10 criptografa uma unidade com criptografia XTS-AES de 128 bits. Consulte este guia para Configuração de criptografia de 256 bits para o BitLocker durante o Autopilot.

Exemplo de investigação

  • Você implanta uma política do BitLocker em um dispositivo Windows 10 e a configuração Criptografar dispositivos mostra um status de Erro no portal.

  • Como o nome sugere, essa configuração permite que um administrador exige que a criptografia seja ativas usando o BitLocker > Criptografia de Dispositivo. Usando as dicas de solução de problemas mencionadas anteriormente, você primeiro verifica o relatório de Diagnóstico do MDM. O relatório confirma que a política correta foi implantada no dispositivo:

    O relatório confirma que a política correta foi implantada no dispositivo

  • Você também verifica o sucesso no Registro:

    O valor do Registro RequiredDeviceEncryption mostra 1

  • Em seguida, você verifica o status do TPM usando o PowerShell e descobre que o TPM não está disponível no dispositivo:

    Status do TPM verificado usando o PowerShell

  • Como o BitLocker depende do TPM, você pode concluir que o BitLocker não falha devido a um problema com o Intune ou a política, mas sim porque o dispositivo em si não tem um chip TPM ou O TPM está desabilitado no BIOS.

    Como uma dica adicional, você pode confirmar o mesmo no Visualizador de Eventos Windows em Aplicativos e Serviços log > Microsoft > Windows API > bitLocker. No log de eventos da API BitLocker, você encontrará uma ID de Evento 853 que significa que o TPM não está disponível:

    ID do Evento 853

    Observação

    Você também pode verificar o status do TPM executando tpm.msc no dispositivo.

Resumo

Quando você soluciona problemas de política do BitLocker com o Intune e pode confirmar que a política atinge o dispositivo pretendido, é seguro supor que o problema não está diretamente relacionado ao Intune. O problema é mais provável que seja um problema com o sistema operacional Windows ou o hardware. Nesse caso, comece a procurar em outras áreas, como configuração do TPM ou UEFI e inicialização segura).

Próximas etapas

Veja a seguir mais recursos que podem ajudar quando você trabalha com o BitLocker: