Comentários

Impor políticas do BitLocker usando o Intune: problemas conhecidos

  • Artigo
  • 13 minutos para ler

Este artigo ajuda você a solucionar problemas que podem ocorrer se você usar Microsoft Intune política para gerenciar a criptografia silenciosa do BitLocker em dispositivos. O Intune portal indica se o BitLocker falhou ao criptografar um ou mais dispositivos gerenciados.

Os indiciadores de status do BitLocker no Intune portal.

Para começar a restringir a causa do problema, examine os logs de eventos, conforme descrito em Solucionar problemas do BitLocker. Concentre-se nos logs de Gerenciamento e Operações nos logs de Aplicativos e Serviços \Microsoft\Windows\BitLocker-API . As seções a seguir fornecem mais informações sobre como resolver os eventos indicados e as mensagens de erro:

Se você não tiver uma trilha clara de eventos ou mensagens de erro a seguir, outras áreas a serem investigadas incluirão o seguinte:

Para obter informações sobre o procedimento para verificar se as Intune estão impondo o BitLocker corretamente, consulte Verificando se o BitLocker está funcionando corretamente.

ID do evento 853: Erro: um dispositivo de segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador

A ID do evento 853 pode carregar mensagens de erro diferentes, dependendo do contexto. Nesse caso, a mensagem de erro ID do Evento 853 indica que o dispositivo não parece ter um TPM. As informações do evento são semelhantes às seguintes:

Detalhes da ID do evento 853 (o TPM não está disponível, não é possível localizar o TPM).

Causa

O dispositivo que você está tentando proteger pode não ter um chip TPM ou o BIOS do dispositivo pode ter sido configurado para desabilitar o TPM.

Resolução

Para resolver esse problema, verifique o seguinte:

  • O TPM está habilitado no BIOS do dispositivo.
  • O status do TPM no console de gerenciamento do TPM é semelhante ao seguinte:
    • Pronto (TPM 2.0)
    • Inicializado (TPM 1.2)

Para obter mais informações, consulte Solucionar problemas do TPM.

ID do Evento 853: Erro: A Criptografia de Unidade de Disco BitLocker detectou mídia inicializável (CD ou DVD) no computador

Nesse caso, você verá a ID do evento 853 e a mensagem de erro no evento indica que a mídia inicializável está disponível para o dispositivo. As informações do evento são semelhantes às seguintes.

Detalhes da ID do evento 853 (O TPM não está disponível, mídia inicializável encontrada).

Causa

Durante o processo de provisionamento, a criptografia de unidade do BitLocker registra a configuração do dispositivo para estabelecer uma linha de base. Se a configuração do dispositivo for alterada posteriormente (por exemplo, se você remover a mídia), o modo de recuperação do BitLocker será iniciado automaticamente.

Para evitar essa situação, o processo de provisionamento será interrompido se detectar uma mídia inicializável removível.

Resolução

Remova a mídia inicializável e reinicie o dispositivo. Depois que o dispositivo for reiniciado, verifique o status da criptografia.

ID do evento 854: WinRE não está configurado

As informações do evento são semelhantes às seguintes:

Falha ao habilitar a Criptografia Silenciosa. O WinRe não está configurado.

Erro: este computador não pode dar suporte à criptografia de dispositivo porque o WinRE não está configurado corretamente.

Causa

O WinRE (Ambiente de Recuperação do Windows) é um sistema operacional Windows mínimo baseado no Windows PE (Ambiente de Pré-Instalação do Windows). O WinRE inclui várias ferramentas que um administrador pode usar para recuperar ou redefinir o Windows e diagnosticar problemas do Windows. Se um dispositivo não puder iniciar o sistema operacional Windows normal, o dispositivo tentará iniciar o WinRE.

O processo de provisionamento habilita a criptografia de unidade do BitLocker na unidade do sistema operacional durante a fase de provisionamento do Windows PE. Essa ação garante que a unidade esteja protegida antes que o sistema operacional completo seja instalado. O processo de provisionamento também cria uma partição do sistema para o WinRE usar se o sistema falhar.

Se o WinRE não estiver disponível no dispositivo, o provisionamento será interrompido.

Resolução

Você pode resolver esse problema verificando a configuração das partições de disco, o status do WinRE e a configuração do Carregador de Inicialização do Windows. Para fazer isso, siga estas etapas.

Etapa 1: Verificar a configuração das partições de disco

Os procedimentos descritos nesta seção dependem das partições de disco padrão que o Windows configura durante a instalação. Windows 11 e Windows 10 criar automaticamente uma partição de recuperação que contém o arquivo Winre.wim. A configuração da partição é semelhante à seguinte.

Partições de disco padrão, incluindo a partição de recuperação.

Para verificar a configuração das partições de disco, abra uma janela de Prompt de Comando com privilégios elevados e execute os seguintes comandos:

diskpart 
list volume

Saída do comando de volume de lista no aplicativo Diskpart.

Se o status de qualquer um dos volumes não estiver íntegro ou se a partição de recuperação estiver ausente, talvez seja necessário reinstalar o Windows. Antes de fazer isso, verifique a configuração da imagem do Windows que você está usando para provisionamento. Verifique se a imagem usa a configuração de disco correta. A configuração de imagem deve ser semelhante ao seguinte (este exemplo é do Microsoft Endpoint Configuration Manager):

Configuração de imagem do Windows no Microsoft Endpoint Configuration Manager.

Etapa 2: Verificar o status do WinRE

Para verificar o status do WinRE no dispositivo, abra uma janela de Prompt de Comando com privilégios elevados e execute o seguinte comando:

reagentc /info

A saída desse comando é semelhante à seguinte.

Saída do comando /info/ do sistema.

Se o Windows RE status não estiver Habilitado, execute o seguinte comando para habilite-o:

reagentc /enable

Etapa 3: Verificar a configuração do Carregador de Inicialização do Windows

Se o status da partição estiver íntegro, mas o comando /enable for resultante de um erro, verifique se o Carregador de Inicialização do Windows contém o GUID da sequência de recuperação. Para fazer isso, execute o seguinte comando em uma janela de Prompt de Comando com privilégios elevados:

bcdedit /enum all

A saída desse comando é semelhante à seguinte:

Saída do comando bcdedit /enum all.

Na saída, localize a seção carregador de inicialização do Windows que inclui o identificador de linha={current}. Nessa seção, localize o atributo recoverysequence . O valor desse atributo deve ser um valor GUID, não uma cadeia de caracteres de zeros.

ID do evento 851: Contate o fabricante para obter instruções de atualização do BIOS

As informações do evento são semelhantes às seguintes:

Falha ao habilitar a Criptografia Silenciosa.

Erro: a Criptografia de Unidade de Disco BitLocker não pode ser habilitada na unidade do sistema operacional. Entre em contato com o fabricante do computador para obter instruções de atualização do BIOS.

Causa

O dispositivo deve ter o BIOS da UEFI (Unified Extensible Firmware Interface). A criptografia de unidade do BitLocker silenciosa não dá suporte ao BIOS herdado.

Resolução

Para verificar o modo BIOS, use o aplicativo Informações do Sistema. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar .

  2. Verifique se a configuração do Modo BIOS é UEFI e não Herdada.

    Aplicativo de Informações do Sistema, mostrando a configuração do Modo BIOS.

  3. Se a configuração do Modo BIOS for Herdada, você precisará alternar o BIOS para o modo UEFI ou EFI . As etapas para fazer isso são específicas para o dispositivo.

    Observação

    Se o dispositivo der suporte apenas ao modo Herdado, você não poderá Intune para gerenciar a criptografia de dispositivo BitLocker no dispositivo.

Mensagem de erro: Não foi possível ler a variável UEFI 'SecureBoot'

Você recebe uma mensagem de erro semelhante à seguinte:

Erro: O BitLocker não pode usar a Inicialização Segura para integridade porque a variável UEFI 'SecureBoot' não pôde ser lida. Um privilégio obrigatório não é mantido pelo cliente.

Causa

Um PCR (registro de configuração de plataforma) é um local de memória no TPM. Em particular, o PCR 7 mede o estado da inicialização segura. A criptografia de unidade bitLocker silenciosa exige que a inicialização segura seja ativada.

Resolução

Você pode resolver esse problema verificando o perfil de validação pcr do TPM e o estado de inicialização seguro. Para fazer isso, siga estas etapas:

Etapa 1: Verificar o perfil de validação de PCR do TPM

Para verificar se o PCR 7 está em uso, abra uma janela de Prompt de Comando com privilégios elevados e execute o seguinte comando:

Manage-bde -protectors -get %systemdrive%

Na seção TPM da saída deste comando, verifique se a configuração do Perfil de Validação do PCR inclui 7, da seguinte maneira:

Saída do comando manage-bde.

Se o Perfil de Validação de PCR não incluir 7 (por exemplo, os valores incluem 0, 2, 4 e 11, mas não 7), a inicialização segura não será ativada.

Saída do comando manage-bde quando PCR 7 não está presente.

2. Verificar o estado de inicialização segura

Para verificar o estado de inicialização seguro, use o aplicativo Informações do Sistema. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar .

  2. Verifique se a configuração de Estado de Inicialização Segura está Ativada, da seguinte maneira:

    Aplicativo de Informações do Sistema, mostrando um Estado de Inicialização Segura com suporte.

  3. Se a configuração de Estado de Inicialização Segura não for compatível, você não poderá usar a Criptografia BitLocker Silenciosa neste dispositivo.

    Aplicativo informações do sistema, mostrando um estado de inicialização segura sem suporte.

Observação

Você também pode usar o cmdlet Confirm-SecureBootUEFI para verificar o estado de Inicialização Segura. Para fazer isso, abra uma janela do PowerShell com privilégios elevados e execute o seguinte comando:

PS C:\> Confirm-SecureBootUEFI

Se o computador der suporte à Inicialização Segura e a Inicialização Segura estiver habilitada, esse cmdlet retornará "True".

Se o computador der suporte à inicialização segura e a inicialização segura estiver desabilitada, esse cmdlet retornará "False".

Se o computador não for compatível com Inicialização Segura ou for um computador BIOS (não UEFI), esse cmdlet retornará "Cmdlet sem suporte nesta plataforma".

ID do evento 846, 778 e 851: erro 0x80072f9a

Nesse caso, você está implantando uma política de Intune para criptografar um dispositivo Windows 11, Windows 10, versão 1809 e armazenar a senha de recuperação no Azure Active Directory (Azure AD). Como parte da configuração da política, você selecionou a opção Permitir que os usuários padrão habilitem a criptografia durante Azure AD de junção.

A implantação de política falha e a falha gera os seguintes eventos (visíveis no Visualizador de Eventos na pasta Logs de Aplicativos e Serviços**\Microsoft\Windows\BitLocker API**):

ID do evento:846

Evento: Falha ao fazer backup das informações de recuperação da Criptografia de Unidade de Disco BitLocker para o volume C: para o Azure AD.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3}: Código de erro HResult desconhecido: 0x80072f9a

ID do evento:778

Evento: O volume do BitLocker C: foi revertido para um estado desprotegido.

ID do evento: 851

Evento: Falha ao habilitar a Criptografia Silenciosa.

Erro: Código de erro HResult desconhecido: 0x80072f9a.

Esses eventos referem-se ao código de 0x80072f9a.

Causa

Esses eventos indicam que o usuário conectado não tem permissão para ler a chave privada no certificado gerado como parte do processo de provisionamento e registro. Portanto, a atualização da política de MDM do BitLocker falha.

O problema afeta Windows 11 e Windows 10 versão 1809.

Resolução

Para resolver esse problema, instale a atualização de 21 de maio de 2019 .

Mensagem de erro: há configurações de política de grupo conflitantes para opções de recuperação em unidades do sistema operacional

Você recebe uma mensagem semelhante à seguinte:

Erro: A Criptografia de Unidade de Disco BitLocker não pode ser aplicada a essa unidade porque há configurações Política de Grupo conflitantes para opções de recuperação em unidades do sistema operacional. O armazenamento de informações de recuperação Active Directory Domain Services não pode ser necessário quando a geração de senhas de recuperação não é permitida. Peça ao administrador do sistema para resolver esses conflitos de política antes de tentar habilitar o BitLocker...

Resolução

Para resolver esse problema, examine as configurações do GPO (objeto de política de grupo) em caso de conflitos. Para obter mais diretrizes, consulte a próxima seção, Examinar a configuração da política do BitLocker.

Para obter mais informações sobre GPOs e BitLocker, consulte Referência de Política de Grupo BitLocker.

Examinar a configuração da política do BitLocker

Para obter informações sobre o procedimento para usar a política junto com o BitLocker e Intune, consulte os seguintes recursos:

Intune oferece os seguintes tipos de imposição para o BitLocker:

  • Automático (imposto quando o dispositivo ingressa Azure AD durante o processo de provisionamento. Essa opção está disponível na Windows 10 1703 e posteriores ou Windows 11.)
  • Silencioso (política de proteção de ponto de extremidade. Essa opção está disponível no Windows 10 versão 1803 e posteriores ou Windows 11.)
  • Interativo (política de ponto de extremidade para versões do Windows mais antigas Windows 10 versão 1803 ou Windows 11.)

Se o dispositivo for executado Windows 10 versão 1703 ou posterior, ou Windows 11, será compatível com o Modo de Espera Moderno (também conhecido como Go Instantâneo) e for compatível com HSTI, unir o dispositivo ao Azure AD disparará a criptografia automática do dispositivo. Uma política de proteção de ponto de extremidade separada não é necessária para impor a criptografia do dispositivo.

Se o dispositivo for compatível com HSTI, mas não for compatível com o Modo de Espera Moderno, você precisará configurar uma política de proteção de ponto de extremidade para impor a criptografia silenciosa de unidade do BitLocker. As configurações dessa política devem ser semelhantes às seguintes:

Intune configurações de política.

As referências de OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo de Valor: Inteiro
    Valor: 1 (1 = Exigir, 0 = Não configurado)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo de Valor: Inteiro
    Valor: 0 (0 = Bloqueado, 1 = Permitido)

Observação

Devido a uma atualização para o CSP de Política do BitLocker, se o dispositivo usar o Windows 10 versão 1809 ou posterior ou Windows 11, você poderá usar uma política de proteção de ponto de extremidade para impor a Criptografia de Dispositivo BitLocker silenciosa, mesmo que o dispositivo não seja compatível com HSTI.

Observação

Se o Aviso para outra configuração de criptografia de disco estiver definido como Não configurado, você precisará iniciar manualmente o assistente de criptografia de unidade do BitLocker.

Se o dispositivo não oferecer suporte ao Modo de Espera Moderno, mas for compatível com HSTI e usar uma versão do Windows anterior ao Windows 10, versão 1803 ou Windows 11, uma política de proteção de ponto de extremidade que tenha as configurações descritas neste artigo fornecerá a configuração de política para o dispositivo. No entanto, o Windows notifica o usuário para habilitar manualmente a Criptografia de Unidade de Disco BitLocker. Para fazer isso, o usuário seleciona a notificação. Essa ação inicia o assistente de Criptografia de Unidade de Disco BitLocker.

A Intune versão 1901 fornece configurações que você pode usar para configurar a criptografia automática de dispositivo para dispositivos Autopilot para usuários padrão. Cada dispositivo deve atender aos seguintes requisitos:

  • Ser compatível com HSTI
  • Suporte a modo de espera moderno
  • Use Windows 10 versão 1803 ou posterior ou Windows 11

Intune configuração de política.

As referências de OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo de valor: valor inteiro: 1

Observação

Esse nó funciona em conjunto com os nós RequireDeviceEncryption e AllowWarningForOtherDiskEncryption . Por esse motivo, quando você define RequireDeviceEncryption como 1, AllowStandardUserEncryption como 1 e AllowWarningForOtherDiskEncryption como 0, o Intune impõe criptografia bitLocker silenciosa para dispositivos do Autopilot que têm perfis de usuário padrão.

Verificando se o BitLocker está funcionando corretamente

Durante operações regulares, a criptografia de unidade do BitLocker gera eventos como id de evento 796 e ID de evento 845.

ID do evento 796, conforme mostrado Visualizador de Eventos.

ID do evento 845, conforme mostrado Visualizador de Eventos.

Você também pode determinar se a senha de recuperação do BitLocker foi carregada no Azure AD verificando os detalhes do dispositivo na seção Azure AD Dispositivos.

Informações de recuperação do BitLocker conforme exibidas Azure AD.

No dispositivo, verifique o Editor do Registro para verificar as configurações de política no dispositivo. Verifique as entradas nas seguintes subchaves:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Subchaves do Registro relacionadas Intune política.