Impor políticas do BitLocker usando o Intune: problemas conhecidos

Este artigo ajuda você a solucionar problemas que podem ser experimentados se você usar Microsoft Intune política para gerenciar a criptografia silenciosa do BitLocker em dispositivos. O portal do Intune indica se o BitLocker falhou ao criptografar um ou mais dispositivos gerenciados.

Os indiciadores de status do BitLocker no portal do Intune.

Para começar a reduzir a causa do problema, revise os logs de eventos conforme descrito em Troubleshoot BitLocker. Concentre-se nos logs de Gerenciamento e Operações nos logs de Aplicativos e Serviços\Microsoft\Windows\BitLocker-API. As seções a seguir fornecem mais informações sobre como resolver os eventos e mensagens de erro indicadas:

Se você não tiver um caminho claro de eventos ou mensagens de erro a seguir, outras áreas a investigar incluem o seguinte:

Para obter informações sobre como verificar se as políticas do Intune estão aplicando o BitLocker corretamente, consulte Verifying that BitLocker is operating corretamente.

ID do Evento 853: Erro: Um dispositivo de segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador

A ID do evento 853 pode carregar mensagens de erro diferentes, dependendo do contexto. Nesse caso, a mensagem de erro ID do Evento 853 indica que o dispositivo não parece ter um TPM. As informações do evento se assemelham ao seguinte:

Detalhes da ID do evento 853 (O TPM não está disponível, não é possível encontrar o TPM).

Causa

O dispositivo que você está tentando proteger pode não ter um chip TPM ou o BIOS do dispositivo pode ser configurado para desabilitar o TPM.

Resolução

Para resolver esse problema, verifique o seguinte:

  • O TPM está habilitado no BIOS do dispositivo.
  • O status do TPM no console de gerenciamento do TPM se parece com o seguinte:
    • Pronto (TPM 2.0)
    • Inicializado (TPM 1.2)

Para obter mais informações, consulte Troubleshoot the TPM.

ID do Evento 853: Erro: Criptografia de Unidade do BitLocker detectada mídia inicializável (CD ou DVD) no computador

Nesse caso, você verá a ID do evento 853 e a mensagem de erro no evento indica que a mídia inicializável está disponível para o dispositivo. As informações do evento se assemelham ao seguinte.

Detalhes da ID do evento 853 (O TPM não está disponível, a mídia inicializável encontrada).

Causa

Durante o processo de provisionamento, a Criptografia de Unidade do BitLocker registra a configuração do dispositivo para estabelecer uma linha de base. Se a configuração do dispositivo for mudada posteriormente (por exemplo, se você remover a mídia), o modo de recuperação do BitLocker será iniciado automaticamente.

Para evitar essa situação, o processo de provisionamento é interrompido se detectar mídia inicializável removível.

Resolução

Remova a mídia inicializável e reinicie o dispositivo. Após a reinicialização do dispositivo, verifique o status da criptografia.

ID do Evento 854: WinRE não está configurado

As informações do evento se assemelham ao seguinte:

Falha ao habilitar a Criptografia Silenciosa. WinRe não está configurado.

Erro: este computador não pode dar suporte à criptografia de dispositivo porque o WinRE não está configurado corretamente.

Causa

Windows O Ambiente de Recuperação (WinRE) é um sistema operacional Windows mínimo que se baseia no Windows Desinstalação (Windows PE). O WinRE inclui várias ferramentas que um administrador pode usar para recuperar ou redefinir Windows e diagnosticar Windows problemas. Se um dispositivo não puder iniciar o sistema operacional Windows regular, o dispositivo tentará iniciar o WinRE.

O processo de provisionamento habilita a Criptografia de Unidade do BitLocker na unidade do sistema operacional durante a fase Windows PE do provisionamento. Essa ação garante que a unidade seja protegida antes que o sistema operacional completo seja instalado. O processo de provisionamento também cria uma partição do sistema para o WinRE usar se o sistema falhar.

Se WinRE não estiver disponível no dispositivo, o provisionamento será interrompido.

Resolução

Você pode resolver esse problema verificando a configuração das partições de disco, o status do WinRE e a configuração Windows carregador de inicialização. Para fazer isso, siga estas etapas.

Etapa 1: Verificar a configuração das partições de disco

Os procedimentos descritos nesta seção dependem das partições de disco padrão Windows configuradas durante a instalação. Windows 11 e Windows 10 criar automaticamente uma partição de recuperação que contém o arquivo Winre.wim. A configuração de partição se parece com o seguinte.

Partições de disco padrão, incluindo a partição de recuperação.

Para verificar a configuração das partições de disco, abra uma janela de Prompt de Comando elevada e execute os seguintes comandos:

diskpart 
list volume

Saída do comando de volume de lista no aplicativo Diskpart.

Se o status de qualquer um dos volumes não estiver ável ou se a partição de recuperação estiver ausente, talvez seja preciso reinstalar Windows. Antes de fazer isso, verifique a configuração da imagem Windows que você está usando para provisionamento. Certifique-se de que a imagem use a configuração de disco correta. A configuração de imagem deve se parecer com o seguinte (este exemplo é de Microsoft Endpoint Configuration Manager).

Windows configuração de imagem no Microsoft Endpoint Configuration Manager.

Etapa 2: Verificar o status do WinRE

Para verificar o status do WinRE no dispositivo, abra uma janela elevada do Prompt de Comando e execute o seguinte comando:

reagentc /info

A saída desse comando se parece com o seguinte.

Saída do comando /info do reativo.

Se o status Windows RE não estiver Habilitado, execute o seguinte comando para habilita-lo:

reagentc /enable

Etapa 3: Verificar a configuração Windows carregador de inicialização

Se o status da partição estiver habilitada, mas o comando /enable do otator resulta em um erro, verifique se Windows Carregador de Inicialização contém o GUID da sequência de recuperação. Para fazer isso, execute o seguinte comando em uma janela de Prompt de Comando elevada:

bcdedit /enum all

A saída desse comando se parece com o seguinte.

Saída do comando bcdedit /enum all.

Na saída, localize a seção Windows carregador de inicialização que inclui o identificador de linha={current}. Nessa seção, localize o atributo recoverysequence. O valor desse atributo deve ser um valor GUID, não uma cadeia de caracteres de zeros.

ID do Evento 851: contate o fabricante para obter instruções de atualização do BIOS

As informações do evento se assemelham ao seguinte:

Falha ao habilitar a Criptografia Silenciosa.

Erro: a Criptografia de Unidade do BitLocker não pode ser habilitada na unidade do sistema operacional. Contate o fabricante do computador para obter instruções de atualização do BIOS.

Causa

O dispositivo deve ter a INTERFACE de Firmware Extensível Unificada (UEFI). A Criptografia de Unidade de BitLocker Silenciosa não dá suporte ao BIOS herdado.

Resolução

Para verificar o modo BIOS, use o Informações do Sistema app. Para fazer isso, siga estas etapas:

  1. Selecione Iniciare insira msinfo32 na caixa Pesquisar.
  2. Verifique se a configuração do modo BIOS é UEFI e não Herdado.
    Informações do Sistema app, mostrando a configuração modo BIOS.
  3. Se a configuração do Modo BIOS for Herdado, você terá que alternar o BIOS para o modo UEFI ou EFI. As etapas para fazer isso são específicas para o dispositivo.

    Observação

    Se o dispositivo oferece suporte apenas ao modo Herdado, não é possível usar o Intune para gerenciar a Criptografia de Dispositivo BitLocker no dispositivo.

Mensagem de erro: a variável UEFI 'SecureBoot' não pôde ser lida

Você recebe uma mensagem de erro que se parece com o seguinte:

Erro: O BitLocker não pode usar a Inicialização Segura para integridade porque a variável UEFI 'SecureBoot' não pôde ser lida. Um privilégio obrigatório não é mantido pelo cliente.

Causa

Um Registro de Configuração de Plataforma (PCR) é um local de memória no TPM. Em particular, o PCR 7 mede o estado de Inicialização Segura. A Criptografia de Unidade de BitLocker Silenciosa exige que a Inicialização Segura está 100% 100%.

Resolução

Você pode resolver esse problema verificando o perfil de validação pcr do TPM e o estado de Inicialização Segura. Para fazer isso, siga estas etapas:

Etapa 1: Verificar o perfil de validação pcr do TPM

Para verificar se o PCR 7 está em uso, abra uma janela elevada do Prompt de Comando e execute o seguinte comando:

Manage-bde -protectors -get %systemdrive%

Na seção TPM da saída deste comando, verifique se a configuração do Perfil de Validação pcr inclui 7, da seguinte forma.

Saída do comando manage-bde.

Se o Perfil de Validação de PCR não incluir 7 (por exemplo, os valores incluem 0, 2, 4e 11, mas não 7), a inicialização segura não será 1.

Saída do comando manage-bde quando o PCR 7 não está presente.

2. Verifique o estado de Inicialização Segura

Para verificar o estado inicialização segura, use o Informações do Sistema aplicativo. Para fazer isso, siga estas etapas:

  1. Selecione Iniciare insira msinfo32 na caixa Pesquisar.
  2. Verifique se a configuração Estado de Inicialização Segura está Em, da seguinte forma:
    Informações do Sistema, mostrando um estado de inicialização seguro com suporte.
  3. Se a configuração De Estado de Inicialização Seguranão for compatível, você não poderá usar a Criptografia Silenciosa do BitLocker neste dispositivo.
    Informações do Sistema, mostrando um estado de inicialização segura sem suporte.

Observação

Você também pode usar o cmdlet Confirm-SecureBootUEFI para verificar o estado de Inicialização Segura. Para fazer isso, abra uma janela elevada do PowerShell e execute o seguinte comando:

PS C:\> Confirm-SecureBootUEFI

Se o computador for compatível com Inicialização Segura e Inicialização Segura estiver habilitado, este cmdlet retornará "True".

Se o computador for compatível com Inicialização Segura e Inicialização Segura estiver desabilitada, este cmdlet retornará "False".

Se o computador não tiver suporte para Inicialização Segura ou for um computador BIOS (não UEFI), este cmdlet retornará "Cmdlet não suportado nesta plataforma".

ID do Evento 846, 778 e 851: Erro 0x80072f9a

Nesse caso, você está implantando a política do Intune para criptografar um dispositivo Windows 11, Windows 10, versão 1809 e armazenar a senha de recuperação no Azure Active Directory (Azure AD). Como parte da configuração da política, você selecionou a opção Permitir que os usuários padrão habilitam a criptografia durante o Azure AD Join.

A implantação de política falha e gera os seguintes eventos (visíveis no Visualizador de Eventos nos Logs de Aplicativos e Serviços\Microsoft\Windows\Pasta da API do BitLocker):

ID do Evento:846

Evento: Falha ao fazer backup das informações de recuperação da Criptografia de Unidade do BitLocker para o volume C: para o Azure AD.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Erro: Código de erro HResult desconhecido: 0x80072f9a

ID do Evento:778

Evento: O volume do BitLocker C: foi revertido para um estado desprotegido.

ID do Evento: 851

Evento: Falha ao habilitar a Criptografia Silenciosa.

Erro: Código de erro HResult desconhecido: 0x80072f9a.

Esses eventos referem-se ao código de 0x80072f9a.

Causa

Esses eventos indicam que o usuário inscreveu não tem permissão para ler a chave privada no certificado gerado como parte do processo de provisionamento e registro. Portanto, a atualização da política MDM do BitLocker falha.

O problema afeta Windows 11 e Windows 10 versão 1809.

Resolução

Para resolver esse problema, instale a atualização de 21 de maio de 2019.

Mensagem de erro: Há configurações conflitantes da Política de Grupo para opções de recuperação em unidades do sistema operacional

Você recebe uma mensagem que se parece com o seguinte:

Erro: A Criptografia de Unidade do BitLocker não pode ser aplicada a essa unidade porque há configurações conflitantes de Política de Grupo para opções de recuperação em unidades do sistema operacional. Não é possível armazenar informações de recuperação para os Serviços de Domínio do Active Directory quando a geração de senhas de recuperação não é permitida. Faça com que o administrador do sistema resolva esses conflitos de política antes de tentar habilitar o BitLocker...

Resolução

Para resolver esse problema, revise as configurações do Objeto de Política de Grupo (GPO) em busca de conflitos. Para obter mais orientações, consulte a próxima seção, Revise sua configuração de política do BitLocker.

Para obter mais informações sobre GPOs e BitLocker, consulte Referência de Política de Grupo do BitLocker.

Revisar a configuração da política do BitLocker

Para obter informações sobre como usar a política junto com o BitLocker e o Intune, consulte os seguintes recursos:

O Intune oferece os seguintes tipos de imposição para o BitLocker:

  • Automático (imposto quando o dispositivo inscreva o Azure AD durante o processo de provisionamento. Essa opção está disponível no Windows 10 versão 1703 e posterior, ou Windows 11.)
  • Silencioso (política de proteção de ponto de extremidade. Essa opção está disponível Windows 10 versão 1803 e posterior, ou Windows 11.)
  • Interativa (política de ponto de extremidade para Windows versões mais antigas do Windows 10 versão 1803 ou Windows 11.)

Se o dispositivo for executado Windows 10 versão 1703 ou posterior, ou Windows 11, oferece suporte a Modern Standby (também conhecido como Instant Go) e é compatível com HSTI, a junção do dispositivo ao Azure AD dispara a criptografia automática de dispositivo. Uma política de proteção de ponto de extremidade separada não é necessária para impor a criptografia de dispositivo.

Se o dispositivo for compatível com HSTI, mas não for compatível com o Modo de Espera Moderno, você terá que configurar uma política de proteção de ponto de extremidade para impor a Criptografia silenciosa de Unidade do BitLocker. As configurações dessa política devem ser semelhantes às seguintes:

Configurações de política do Intune.

As referências do OMA-URI para essas configurações são as seguinte:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo de valor: Integer
    Valor: 1 (1 = Exigir, 0 = Não Configurado)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo de valor: Integer
    Valor: 0 (0 = Bloqueado, 1 = Permitido)

Observação

Por causa de uma atualização para o CSP de Política do BitLocker, se o dispositivo usar a versão 1809 ou posterior do Windows 10 1809 ou Windows 11, você poderá usar uma política de proteção de ponto de extremidade para impor a Criptografia de Dispositivo BitLocker silenciosa, mesmo que o dispositivo não seja compatível com HSTI.

Observação

Se a configuração Aviso para outra criptografia de disco estiver definida como Nãoconfigurado, você terá que iniciar manualmente o assistente de Criptografia de Unidade do BitLocker.

Se o dispositivo não oferecer suporte ao Modo de Espera Moderno, mas for compatível com HSTI e usar uma versão do Windows que seja anterior ao Windows 10, versão 1803 ou Windows 11, uma política de proteção de ponto de extremidade que tenha as configurações descritas neste artigo fornece a configuração da política para o dispositivo. No entanto, Windows notifica o usuário para habilitar manualmente a Criptografia de Unidade do BitLocker. Para fazer isso, o usuário seleciona a notificação. Essa ação inicia o assistente de Criptografia de Unidade do BitLocker.

A versão do Intune 1901 fornece configurações que você pode usar para configurar a criptografia automática de dispositivos para dispositivos autopilot para usuários padrão. Cada dispositivo deve atender aos seguintes requisitos:

  • Ser compatível com HSTI
  • Suporte ao modo de espera moderno
  • Use Windows 10 versão 1803 ou posterior ou Windows 11

Configuração de política do Intune.

As referências do OMA-URI para essas configurações são as seguinte:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo de valor: Valor inteiro: 1

Observação

Esse nó funciona em conjunto com os nós RequireDeviceEncryption e AllowWarningForOtherDiskEncryption. Por esse motivo, quando você definir RequireDeviceEncryption como 1, AllowStandardUserEncryption como 1e AllowWarningForOtherDiskEncryption como 0. O Intune pode impor a criptografia Silenciosa do BitLocker para dispositivos do Autopilot que tenham perfis de usuário padrão.

Verificando se o BitLocker está operando corretamente

Durante operações regulares, a Criptografia de Unidade do BitLocker gera eventos como a ID do Evento 796 e a ID do Evento 845.

ID do evento 796, conforme mostrado no Visualizador de Eventos.

ID do evento 845, conforme mostrado no Visualizador de Eventos.

Você também pode determinar se a senha de recuperação do BitLocker foi carregada no Azure AD verificando os detalhes do dispositivo na seção Dispositivos do Azure AD.

Informações de recuperação do BitLocker exibidas no Azure AD.

No dispositivo, verifique o Editor do Registro para verificar as configurações de política no dispositivo. Verifique as entradas sob as seguintes sub-chaves:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Sub-chaves do Registro relacionadas à política do Intune.