Impor políticas do BitLocker usando Intune: problemas conhecidos

  • Artigo

Este artigo ajuda a solucionar problemas que podem ser experimentados se usar Microsoft Intune política para gerenciar a criptografia silenciosa do BitLocker em dispositivos. O portal Intune indica se o BitLocker falhou ao criptografar um ou mais dispositivos gerenciados.

Captura de tela mostrando os índices de status do BitLocker no portal Intune.

Para começar a reduzir a causa do problema, examine os logs de eventos, conforme descrito em Solucionar problemas do BitLocker. Concentre-se nos logs de Gerenciamento e Operações nos logs de Aplicativos e Serviços> da pasta MicrosoftBitLocker-API doMicrosoft>Windows>. As seções a seguir fornecem mais informações sobre como resolve os eventos indicados e as mensagens de erro:

Se não houver nenhum rastro claro de eventos ou mensagens de erro a seguir, outras áreas a serem investigadas incluem as seguintes áreas:

Para obter informações sobre o procedimento para verificar se Intune políticas estão aplicando o BitLocker corretamente, consulte Verificar se o BitLocker está operando corretamente.

ID do evento 853: Erro: um dispositivo de segurança TPM (Módulo de Plataforma Confiável) compatível não pode ser encontrado neste computador

A ID do evento 853 pode levar mensagens de erro diferentes, dependendo do contexto. Nesse caso, a mensagem de erro ID do evento 853 indica que o dispositivo não parece ter um TPM. As informações do evento serão semelhantes ao seguinte evento:

Captura de tela dos detalhes da ID do evento 853 (O TPM não está disponível, não é possível localizar o TPM).

Causa da ID do evento 853: Erro: um dispositivo de segurança TPM (Módulo de Plataforma Confiável) compatível não pode ser encontrado neste computador

O dispositivo que está sendo protegido pode não ter um chip TPM ou o BIOS do dispositivo pode ter sido configurado para desabilitar o TPM.

Resolução para A ID do Evento 853: Erro: um dispositivo de segurança TPM (Módulo de Plataforma Confiável) compatível não pode ser encontrado neste computador

Para resolve esse problema, verifique as seguintes configurações:

  • O TPM está habilitado no BIOS do dispositivo.
  • O TPM status no TPM console de gerenciamento é semelhante aos seguintes status:
    • Pronto (TPM 2.0)
    • Inicializado (TPM 1.2)

Para obter mais informações, consulte Solucionar problemas do TPM.

ID do evento 853: erro: a criptografia de unidade do BitLocker detectou a mídia inicializável (CD ou DVD) no computador

Nesse caso, a ID do evento 853 é exibida e a mensagem de erro no evento indica que a mídia inicializável está disponível para o dispositivo. As informações do evento se assemelham ao seguinte.

Captura de tela dos detalhes da ID do evento 853 (O TPM não está disponível, a mídia inicializável encontrada).

Causa da ID do evento 853: erro: a criptografia de unidade do BitLocker detectou a mídia inicializável (CD ou DVD) no computador

Durante o processo de provisionamento, a criptografia de unidade do BitLocker registra a configuração do dispositivo para estabelecer uma linha de base. Se a configuração do dispositivo for alterada posteriormente (por exemplo, se a mídia for removida), o modo de recuperação do BitLocker será iniciado automaticamente.

Para evitar essa situação, o processo de provisionamento será interrompido se detectar uma mídia inicializável removível.

Resolução para A ID do Evento 853: Erro: a Criptografia de Unidade do BitLocker detectou a mídia inicializável (CD ou DVD) no computador

Remova a mídia inicializável e reinicie o dispositivo. Após a reinicialização do dispositivo, verifique o status de criptografia.

ID do evento 854: o WinRE não está configurado

As informações do evento se assemelham à seguinte mensagem de erro:

Falha ao habilitar a Criptografia Silenciosa. O WinRe não está configurado.

Erro: este computador não pode dar suporte à criptografia do dispositivo porque o WinRE não está configurado corretamente.

Causa da ID do evento 854: o WinRE não está configurado

O WinRE (Ambiente de Recuperação do Windows) é um sistema operacional Windows mínimo baseado no Windows Preinstallation Environment (Windows PE). O WinRE inclui várias ferramentas que um administrador pode usar para recuperar ou redefinir o Windows e diagnosticar problemas do Windows. Se um dispositivo não puder iniciar o sistema operacional Windows regular, o dispositivo tentará iniciar o WinRE.

O processo de provisionamento permite a criptografia de unidade do BitLocker na unidade do sistema operacional durante a fase de provisionamento do Windows PE. Essa ação garante que a unidade esteja protegida antes que o sistema operacional completo seja instalado. O processo de provisionamento também cria uma partição do sistema para WinRE usar se o sistema falhar.

Se o WinRE não estiver disponível no dispositivo, o provisionamento será interrompido.

Resolução para A ID do Evento 854: o WinRE não está configurado

Esse problema pode ser resolvido verificando a configuração das partições de disco, o status do WinRE e a configuração do Carregador de Inicialização do Windows seguindo estas etapas:

Etapa 1: verificar a configuração das partições de disco

Os procedimentos descritos nesta seção dependem das partições de disco padrão que o Windows configura durante a instalação. Windows 11 e Windows 10 criar automaticamente uma partição de recuperação que contém o arquivo Winre.wim. A configuração de partição se assemelha ao seguinte.

Captura de tela das partições de disco padrão, incluindo a partição de recuperação.

Para verificar a configuração das partições de disco, abra uma janela de Prompt de Comando elevada e execute os seguintes comandos:

diskpart.exe 
list volume

Captura de tela da saída do comando volume de lista do Diskpart.

Se o status de qualquer um dos volumes não estiver saudável ou se a partição de recuperação estiver ausente, o Windows poderá precisar ser reinstalado. Antes de reinstalar o Windows, marcar a configuração da imagem do Windows que está sendo provisionada. Verifique se a imagem usa a configuração de disco correta. A configuração de imagem deve se assemelhar ao seguinte (este exemplo é de Microsoft Configuration Manager):

Captura de tela da configuração de imagem do Windows no Microsoft Configuration Manager.

Etapa 2: verificar o status do WinRE

Para verificar o status do WinRE no dispositivo, abra uma janela de Prompt de Comando elevada e execute o seguinte comando:

reagentc.exe /info

A saída desse comando se assemelha ao seguinte.

Captura de tela da saída do comando reagentc.exe /info.

Se o Windows RE status não estiver habilitado, execute o seguinte comando para habilitá-lo:

reagentc.exe /enable

Etapa 3: verificar a configuração do Carregador de Inicialização do Windows

Se o status de partição estiver saudável, mas o comando reagentc.exe /enable resultar em um erro, verifique se o Carregador de Inicialização do Windows contém a sequência de recuperação GUID executando o seguinte comando em uma janela de Prompt de Comando elevada:

bcdedit.exe /enum all

A saída desse comando será semelhante à seguinte saída:

Captura de tela da saída do comando bcdedit /enum all.

Na saída, localize a seção Carregador de Inicialização do Windows que inclui o identificador de linha={current}. Nessa seção, localize o atributo recoverysequence . O valor desse atributo deve ser um valor GUID, não uma cadeia de caracteres de zeros.

ID do evento 851: entre em contato com o fabricante para obter instruções de atualização do BIOS

As informações do evento serão semelhantes à seguinte mensagem de erro:

Falha ao habilitar a Criptografia Silenciosa.

Erro: a Criptografia de Unidade do BitLocker não pode ser habilitada na unidade do sistema operacional. Entre em contato com o fabricante do computador para obter instruções de atualização do BIOS.

Causa da ID do Evento 851: entre em contato com o fabricante para instruções de atualização do BIOS

O dispositivo deve ter BIOS da UEFI (Interface do Firmware Extensível Unificado). A criptografia de unidade do BitLocker silenciosa não dá suporte ao BIOS herdado.

Resolução para ID de Evento 851: entre em contato com o fabricante para instruções de atualização do BIOS

Para verificar o modo BIOS, use o aplicativo Informações do Sistema seguindo estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar .

  2. Verifique se a configuração do modo BIOS é UEFI e não Herdada.

    Captura de tela do aplicativo Informações do Sistema, mostrando a configuração do Modo BIOS.

  3. Se a configuração do modo BIOS for Herdada, o firmware UEFI precisará ser alternado para o modo UEFI ou EFI . As etapas para alternar para o modo UEFI ou EFI são específicas para o dispositivo.

    Observação

    Se o dispositivo for compatível apenas com o modo Herdado, Intune não poderá ser usado para gerenciar a Criptografia de Dispositivo BitLocker no dispositivo.

Mensagem de erro: a variável UEFI 'SecureBoot' não pôde ser lida

Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:

Erro: O BitLocker não pode usar a Inicialização Segura para integridade porque a variável UEFI 'SecureBoot' não pôde ser lida. Um privilégio necessário não é mantido pelo cliente.

Causa da mensagem de erro: a variável UEFI 'SecureBoot' não pôde ser lida

Um PCR (registro de configuração de plataforma) é um local de memória no TPM. Em particular, o PCR 7 mede o estado da inicialização segura. A criptografia de unidade do BitLocker silenciosa requer que a inicialização segura seja ativada.

Resolução para mensagem de erro: a variável UEFI 'SecureBoot' não pôde ser lida

Esse problema pode ser resolvido verificando o perfil de validação do PCR do TPM e o estado de inicialização segura seguindo estas etapas:

Etapa 1: verificar o perfil de validação do PCR do TPM

Para verificar se o PCR 7 está em uso, abra uma janela de Prompt de Comando elevada e execute o seguinte comando:

Manage-bde.exe -protectors -get %systemdrive%

Na seção TPM da saída deste comando, verifique se a configuração do Perfil de Validação do PCR inclui 7, da seguinte maneira:

Captura de tela da saída do comando manage-bde.exe.

Se o Perfil de Validação do PCR não incluir 7 (por exemplo, os valores incluem 0, 2, 4 e 11, mas não 7), a inicialização segura não será ativada.

Captura de tela da saída do comando manage-bde quando o PCR 7 não está presente.

2: Verificar o estado de inicialização seguro

Para verificar o estado de inicialização segura, use o aplicativo Informações do Sistema seguindo estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar .

  2. Verifique se a configuração Estado de Inicialização Segura está Ativada, da seguinte maneira:

    Captura de tela do aplicativo Informações do Sistema, mostrando um estado de inicialização segura sem suporte.

  3. Se a configuração Estado de Inicialização Seguranão for compatível, a Criptografia Silenciosa do BitLocker não poderá ser usada no dispositivo.

    Aplicativo informações do sistema, mostrando um estado de inicialização segura sem suporte.

Observação

O cmdlet Confirm-SecureBootUEFI PowerShell também pode ser usado para verificar o estado de Inicialização Segura abrindo uma janela do PowerShell elevada e executando o seguinte comando:

Confirm-SecureBootUEFI

Se o computador de suporte a Inicialização Segura e Inicialização Segura estiver habilitado, esse cmdlet retornará "True".

Se o computador der suporte a inicialização segura e a inicialização segura estiver desabilitada, esse cmdlet retornará "False".

Se o computador não dá suporte a Inicialização Segura ou for um computador BIOS (não UEFI), esse cmdlet retornará "Cmdlet sem suporte nesta plataforma".

ID do evento 846, 778 e 851: erro 0x80072f9a

Considere o seguinte cenário:

Intune política está sendo implantada para criptografar um dispositivo Windows 10, versão 1809 e a senha de recuperação está sendo armazenada em Microsoft Entra ID. Como parte da configuração da política, a opção Permitir que os usuários padrão habilitem a criptografia durante Microsoft Entra opção de junção foi selecionada.

A implantação da política falha e a falha gera os seguintes eventos no Visualizador de Eventos na pastaAPI do Microsoft BitLocker doMicrosoft>Windows>:>

ID do evento:846

Evento: falha ao fazer backup das informações de recuperação de criptografia de unidade do BitLocker para o volume C: para o Microsoft Entra ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Erro: código de erro HResult desconhecido: 0x80072f9a

ID do evento:778

Evento: o volume C do BitLocker: foi revertido para um estado desprotegido.

ID do evento: 851

Evento: falha ao habilitar a Criptografia Silenciosa.

Erro: código de erro HResult desconhecido: 0x80072f9a.

Esses eventos referem-se a 0x80072f9a de código de erro.

Causa da ID do evento 846, 778 e 851: erro 0x80072f9a

Esses eventos indicam que o usuário conectado não tem permissão para ler a chave privada no certificado gerado como parte do processo de provisionamento e registro. Portanto, a atualização da política de MDM do BitLocker falha.

O problema afeta Windows 10 versão 1809.

Resolução da ID do Evento 846, 778 e 851: Erro 0x80072f9a

Para resolve esse problema, instale a atualização de 21 de maio de 2019.

Mensagem de erro: há configurações de política de grupo conflitantes para opções de recuperação em unidades do sistema operacional

Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:

Erro: A Criptografia de Unidade do BitLocker não pode ser aplicada a essa unidade porque há configurações de Política de Grupo conflitantes para opções de recuperação em unidades do sistema operacional. Não é possível armazenar informações de recuperação para Active Directory Domain Services quando a geração de senhas de recuperação não for permitida. Faça com que o administrador do sistema resolve esses conflitos de política antes de tentar habilitar o BitLocker...

Resolução para mensagem de erro: há configurações de política de grupo conflitantes para opções de recuperação em unidades do sistema operacional

Para resolve esse problema, examine as configurações de GPO (objeto de política de grupo) para conflitos. Para obter mais informações, confira a próxima seção, Examine a configuração da política do BitLocker.

Para obter mais informações sobre GPOs e BitLocker, consulte Referência de Política de Grupo do BitLocker.

Examinar a configuração da política do BitLocker

Para obter informações sobre o procedimento para usar a política junto com o BitLocker e Intune, confira os seguintes recursos:

Intune oferece os seguintes tipos de imposição para o BitLocker:

  • Automático (Imposto quando o dispositivo entra Microsoft Entra ID durante o processo de provisionamento. Essa opção está disponível no Windows 10 versão 1703 e posterior.)
  • Silencioso (política de proteção de ponto de extremidade. Essa opção está disponível no Windows 10 versão 1803 e posterior.)
  • Interativo (política de ponto de extremidade para versões do Windows com mais de Windows 10 versão 1803.)

Se o dispositivo for executado Windows 10 versão 1703 ou posterior, o suporte a Modern Standby (também conhecido como Instant Go) e for compatível com HSTI, unir o dispositivo para Microsoft Entra ID disparará a criptografia automática do dispositivo. Uma política de proteção de ponto de extremidade separada não é necessária para impor a criptografia do dispositivo.

Se o dispositivo for compatível com HSTI, mas não der suporte ao Modern Standby, uma política de proteção de ponto de extremidade deverá ser configurada para impor a criptografia silenciosa de unidade do BitLocker. As configurações dessa política devem ser semelhantes às seguintes configurações:

Captura de tela das configurações de política Intune mostrando dispositivos criptografados necessários.

As referências OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo de valor: inteiro
    Valor: 1 (1 = Obrigatório, 0 = Não Configurado)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo de valor: inteiro
    Valor: 0 (0 = Bloqueado, 1 = Permitido)

Observação

Devido a uma atualização para o CSP da Política do BitLocker, se o dispositivo usar Windows 10 versão 1809 ou posterior, uma política de proteção de ponto de extremidade poderá ser usada para impor a criptografia silenciosa do dispositivo BitLocker, mesmo que o dispositivo não esteja compatível com HSTI.

Observação

Se o Aviso para outra configuração de criptografia de disco estiver definido como Não configurado, o assistente de criptografia de unidade do BitLocker deverá ser iniciado manualmente.

Se o dispositivo não dá suporte ao Standby Moderno, mas é compatível com HSTI, e ele usa uma versão do Windows que é anterior a Windows 10, versão 1803, uma política de proteção de ponto de extremidade que tem as configurações descritas neste artigo fornece a configuração de política para o dispositivo. No entanto, o Windows notifica o usuário para habilitar manualmente a Criptografia de Unidade do BitLocker. Quando o usuário selecionar a notificação, ele iniciará o assistente de Criptografia de Unidade do BitLocker.

Intune fornece configurações que podem ser usadas para configurar a criptografia automática do dispositivo para dispositivos Autopilot para usuários padrão. Cada dispositivo deve atender aos seguintes requisitos:

  • Ser compatível com HSTI
  • Suporte a Espera Moderna
  • Usar Windows 10 versão 1803 ou posterior

Captura de tela da configuração da política de Intune mostrando Permitir que os usuários padrão habilitem a criptografia durante Microsoft Entra junção.

As referências OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo de valor: Valor inteiro : 1

Observação

Esse nó funciona em conjunto com os nós RequireDeviceEncryption e AllowWarningForOtherDiskEncryption . Por esse motivo, quando as seguintes configurações forem definidas:

  • RequireDeviceEncryption para 1
  • AllowStandardUserEncryption para 1
  • AllowWarningForOtherDiskEncryption para 0

Intune impõe criptografia bitlocker silenciosa para dispositivos Autopilot que têm perfis de usuário padrão.

Verificando se o BitLocker está operando corretamente

Durante operações regulares, a criptografia de unidade do BitLocker gera eventos como a ID do Evento 796 e a ID de Evento 845.

Captura de tela da ID do evento 796 com informações detalhadas.

Captura de tela da ID do evento 845 com informações detalhadas.

Também pode ser determinado se a senha de recuperação do BitLocker foi carregada para Microsoft Entra ID verificando os detalhes do dispositivo na seção Dispositivos Microsoft Entra.

Captura de tela das informações de recuperação do BitLocker exibidas em Microsoft Entra ID.

No dispositivo, marcar o Registro Editor para verificar as configurações de política no dispositivo. Verifique as entradas nas seguintes subchaves:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Captura de tela das subchaves do Registro relacionadas à política de Intune.