Intune şifreleme raporuyla BitLocker sorunlarını giderme

  • Makale

Microsoft Intune, tüm yönetilen cihazlarda şifreleme durumu hakkında ayrıntılı bilgi veren yerleşik bir şifreleme raporu sağlar. Intune şifreleme raporu, şifreleme hatasını gidermek için yararlı bir başlangıç noktasıdır. BitLocker şifreleme hatalarını belirlemek ve yalıtmak için raporu kullanabilir ve Windows cihazlarının Güvenilir Platform Modülü (TPM) durumunu ve şifreleme durumunu görebilirsiniz.

Bu makalede, BitLocker şifreleme sorunlarını gidermeye yardımcı olmak için Intune şifreleme raporunun nasıl kullanılacağı açıklanmaktadır. Ek sorun giderme yönergeleri için bkz. İstemci tarafından BitLocker ilkeleriyle ilgili sorunları giderme.

Not

Bu sorun giderme yönteminden ve şifreleme raporunda bulunan hata ayrıntılarından tam olarak yararlanmak için bir BitLocker ilkesi yapılandırmanız gerekir. Şu anda bir cihaz yapılandırma ilkesi kullanıyorsanız, ilkeyi geçirmeyi göz önünde bulundurun. Daha fazla bilgi için bkz. Intune ile Windows cihazları için BitLocker ilkesini yönetme ve Intune'da uç nokta güvenliği için Disk şifreleme ilkesi ayarları.

Şifreleme önkoşulları

Varsayılan olarak, BitLocker kurulum sihirbazı kullanıcılardan şifrelemeyi etkinleştirmelerini ister. Cihazda BitLocker'ı sessizce etkinleştiren bir BitLocker ilkesi de yapılandırabilirsiniz. Bu bölümde her yöntem için farklı önkoşullar açıklanmaktadır.

Not

Otomatik şifreleme, sessiz şifreleme ile aynı şey değildir. Otomatik şifreleme, modern bekleme modunda veya Donanım Güvenliği Test Arabirimi (HSTI) uyumlu cihazlarda Windows kullanıma hazır deneyimi (OOBE) modu sırasında gerçekleştirilir. Sessiz şifrelemede Intune, BitLocker yapılandırma hizmeti sağlayıcısı (CSP) ayarları aracılığıyla kullanıcı etkileşimini gizler.

Kullanıcı etkin şifreleme için önkoşullar:

  • Sabit disk, NTFS ile biçimlendirilmiş bir işletim sistemi sürücüsüne ve UEFI için FAT32 ve BIOS için NTFS olarak biçimlendirilmiş en az 350 MB'lık bir sistem sürücüsüne bölümlenmelidir.
  • Cihazın Intune Microsoft Entra karma birleştirme, Microsoft Entra kaydı veya Microsoft Entra katılma yoluyla kaydedilmesi gerekir.
  • Güvenilir Platform Modülü (TPM) yongası gerekli değildir, ancak daha fazla güvenlik için kesinlikle önerilir .

BitLocker sessiz şifrelemesi için önkoşullar:

  • Kilidinin açılması gereken bir TPM yongası (sürüm 1.2 veya 2.0).
  • Windows Kurtarma Ortamı (WinRE) etkinleştirilmelidir.
  • Sabit disk NTFS ile biçimlendirilmiş bir işletim sistemi sürücüsüne bölümlenmeli ve en az 350 MB'lık bir sistem sürücüsü Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) için FAT32 ve BIOS için NTFS olarak biçimlendirilmelidir. TPM sürüm 2.0 cihazları için UEFI BIOS gereklidir. (Güvenli önyükleme gerekli değildir, ancak daha fazla güvenlik sağlar.)
  • Intune kayıtlı cihaz Microsoft Azure hibrit hizmetlerine veya Microsoft Entra ID bağlıdır.

Şifreleme durumunu ve hatalarını belirleme

Kayıtlı Windows 10 cihazlardaki Intune BitLocker şifreleme hataları aşağıdaki kategorilerden birine düşebilir:

  • Cihaz donanımı veya yazılımı BitLocker'ı etkinleştirme önkoşullarını karşılamıyor.
  • Intune BitLocker ilkesi yanlış yapılandırılmış ve grup ilkesi Nesne (GPO) çakışmalarına neden oluyor.
  • Cihaz zaten şifrelenmiştir ve şifreleme yöntemi ilke ayarlarıyla eşleşmiyor.

Cihaz şifreleme hatası kategorisini belirlemek için Microsoft Intune yönetim merkezinde oturum açın ve Cihazlar>şifreleme raporunuizleyin'i> seçin. Rapor, kayıtlı cihazların listesini gösterir ve bir cihazın şifrelenip şifrelenmediğini veya şifrelenmeye hazır olup olmadığını ve TPM yongası olup olmadığını gösterir.

Intune şifreleme raporu örneği.

Not

Windows 10 bir cihaz Hazır değil durumu görüntülüyorsa şifrelemeyi desteklemeye devam edebilir. Hazır durumu için Windows 10 cihazda TPM'nin etkinleştirilmesi gerekir. Şifrelemeyi desteklemek için TPM cihazlarının kullanılması gerekmez, ancak daha fazla güvenlik için kesinlikle önerilir.

Yukarıdaki örnekte TPM sürüm 1.2'ye sahip bir cihazın başarıyla şifrelendiği gösterilmektedir. Ayrıca, şifreleme için hazır olmayan ve sessizce şifrelenemeyecek iki cihazın yanı sıra şifreleme için hazır ancak henüz şifrelenmemiş bir TPM 2.0 cihazı görebilirsiniz.

Yaygın hata senaryoları

Aşağıdaki bölümlerde, şifreleme raporundan ayrıntıları tanılayabileceğiniz yaygın hata senaryoları açıklanmaktadır.

Senaryo 1 – Cihaz şifreleme için hazır değil ve şifrelenmiyor

Şifrelenmemiş bir cihaza tıkladığınızda, Intune durumunun özetini görüntüler. Aşağıdaki örnekte, cihazı hedefleyen birden çok profil vardır: uç nokta koruma ilkesi, Mac işletim sistemi ilkesi (bu cihaz için geçerli değildir) ve Microsoft Defender Gelişmiş Tehdit Koruması (ATP) temeli.

Cihazın şifreleme için hazır olmadığını ve şifrelenmediğini gösteren Intune durum ayrıntıları.

Şifreleme durumu açıklandı:

Durum ayrıntıları altındaki iletiler, cihazdan BitLocker CSP durum düğümü tarafından döndürülen kodlardır. İşletim sistemi birimi şifrelenmediğinden şifreleme durumu bir hata durumundadır. Buna ek olarak, BitLocker ilkesinde cihazın karşılamadığı bir TPM gereksinimleri vardır.

İletiler, tpm bulunmadığından ve ilke için bir tane gerektirdiğinden cihazın şifrelenmediği anlamına gelir.

Senaryo 2 – Cihaz hazır ancak şifrelenmemiş

Bu örnekte TPM 2.0 cihazının şifrelenmediği gösterilmektedir.

Cihazın şifreleme için hazır olduğunu ancak şifrelenmediğini gösteren Intune durum ayrıntıları.

Şifreleme durumu açıklandı:

Bu cihaz, sessiz şifreleme yerine kullanıcı etkileşimi için yapılandırılmış bir BitLocker ilkesine sahiptir. Kullanıcı şifreleme işlemini başlatmadı veya tamamlamadı (kullanıcı bir bildirim iletisi alır), bu nedenle sürücü şifrelenmemiş olarak kalır.

Senaryo 3 – Cihaz hazır değil ve sessizce şifrelenmez

Şifreleme ilkesi kullanıcı etkileşimini engelleyip sessizce şifrelemek üzere yapılandırılmışsa ve şifreleme raporu Şifreleme hazır olma durumu Geçerli değil veya Hazır değil ise, büyük olasılıkla TPM BitLocker için hazır değildir.

Cihazın hazır olmadığını ve sessizce şifrelenmediğini gösteren Intune durum ayrıntıları.

Cihaz durumu ayrıntıları nedenini ortaya koyuyor:

TPM'nin BitLocker için hazır olmadığını gösteren Intune cihaz şifreleme durumu ayrıntıları.

Şifreleme durumu açıklandı:

TPM cihazda hazır değilse, bunun nedeni üretici yazılımında devre dışı bırakılması veya temizlenmesi veya sıfırlanması gerekebilir. Etkilenen cihazda komut satırından TPM yönetim konsolunu (TPM.msc) çalıştırmak TPM durumunu anlamanıza ve çözmenize yardımcı olur.

Senaryo 4 – Cihaz hazır ancak sessizce şifrelenmiyor

Sessiz şifreleme ile hedeflenen bir cihazın hazır ancak henüz şifrelenmemiş olmasının çeşitli nedenleri vardır.

Cihazın sessiz şifreleme için hazır olduğunu ancak henüz şifrelenmediğini gösteren Intune cihaz şifreleme durumu ayrıntıları.

Şifreleme durumu açıklandı:

Bunun bir açıklaması, WinRE'nin cihazda etkinleştirilmemiş olmasıdır ve bu bir önkoşuldur. Yönetici olarak reagentc.exe/info komutunu kullanarak cihazda WinRE'nin durumunu doğrulayabilirsiniz.

reagentc.exe/info komut istemi çıkışı.

WinRE devre dışı bırakılırsa, WinRE'yi etkinleştirmek için yönetici olarak reagentc.exe/info komutunu çalıştırın.

Komut İsteminde WinRE'yi etkinleştirme.

WinRE doğru yapılandırılmamışsa Durum ayrıntıları sayfası aşağıdaki iletiyi görüntüler:

Cihazda oturum açan kullanıcının yönetici hakları yok.

Bir diğer neden de yönetim hakları olabilir. BitLocker ilkeniz yönetici haklarına sahip olmayan bir kullanıcıyı hedefleiyorsa ve Autopilot sırasında standart kullanıcıların şifrelemeyi etkinleştirmesine izin ver etkin değilse, aşağıdaki şifreleme durumu ayrıntılarını görürsünüz.

Şifreleme durumu açıklandı:

Standart kullanıcıların Autopilot sırasında şifrelemeyi etkinleştirmesine izin ver'iEvet olarak ayarlayarak birleştirilmiş Microsoft Entra cihazlarda bu sorunu çözebilirsiniz.

Senaryo 5 – Cihaz bir hata durumunda ama şifrelenmiş

Bu yaygın senaryoda, Intune ilkesi XTS-AES 128 bit şifreleme için yapılandırıldıysa ancak hedeflenen cihaz XTS-AES 256 bit şifreleme (veya tersi) kullanılarak şifrelendiyse, aşağıda gösterilen hatayı alırsınız.

Intune cihazın hata durumunda olduğunu ancak şifrelendiğini gösteren cihaz şifreleme durumu ayrıntıları.

Şifreleme durumu açıklandı:

Bu durum, kullanıcı tarafından el ile, Microsoft BitLocker Yönetim ve İzleme (MBAM) ile veya kayıt öncesinde Microsoft Configuration Manager kullanılarak başka bir yöntem kullanılarak şifrelenmiş bir cihaz olduğunda gerçekleşir.

Bunu düzeltmek için cihazın şifresini el ile veya Windows PowerShell ile çözebilirsiniz. Ardından Intune BitLocker ilkesinin, ilke bir sonraki eriştiğinde cihazı yeniden şifrelemesine izin verin.

Senaryo 6 – Cihaz şifrelenir ancak profil durumu hatayla karşılanır

Bazen bir cihaz şifreli görünür ancak profil durumu özetinde hata durumu vardır.

Intune profil durumu özetini gösteren şifreleme durumu ayrıntıları hata durumunda.

Şifreleme durumu açıklandı:

Bu durum genellikle cihaz başka bir yolla (muhtemelen el ile) şifrelendiğinde oluşur. Ayarlar geçerli ilkeyle eşleşse de Intune şifrelemeyi başlatmadı.