Freigeben über

Problembehandlung von BitLocker-Richtlinien auf clientseitiger Seite

  • Artikel

Dieser Artikel enthält Anleitungen zum Behandeln von Problemen mit der BitLocker-Verschlüsselung auf clientseitiger Seite. Der Microsoft Intune-Verschlüsselungsbericht kann Ihnen zwar helfen, häufige Verschlüsselungsprobleme zu identifizieren und zu beheben, einige Statusdaten des BitLocker-Konfigurationsdienstanbieters (CSP) werden möglicherweise nicht gemeldet. In diesen Szenarien müssen Sie auf das Gerät zugreifen, um es weiter zu untersuchen.

BitLocker-Verschlüsselungsprozess

Die folgenden Schritte beschreiben den Ablauf von Ereignissen, die zu einer erfolgreichen Verschlüsselung eines Windows 10-Geräts führen sollten, das zuvor nicht mit BitLocker verschlüsselt wurde.

  1. Ein Administrator konfiguriert eine BitLocker-Richtlinie in Intune mit den gewünschten Einstellungen und richtet sich an eine Benutzergruppe oder Gerätegruppe.
  2. Die Richtlinie wird in einem Mandanten im Intune-Dienst gespeichert.
  3. Ein Windows 10 Mobile Geräteverwaltung (MDM)-Client synchronisiert sich mit dem Intune-Dienst und verarbeitet die BitLocker-Richtlinieneinstellungen.
  4. Die geplante Aktualisierung der BitLocker-MDM-Richtlinie wird auf dem Gerät ausgeführt, auf dem die BitLocker-Richtlinieneinstellungen in den Vollvolumeverschlüsselungsregistrierungsschlüssel (Full Volume Encryption, FVE) repliziert werden.
  5. Die BitLocker-Verschlüsselung wird auf den Laufwerken initiiert.

Im Verschlüsselungsbericht werden Verschlüsselungsstatusdetails für jedes Zielgerät in Intune angezeigt. Ausführliche Anleitungen zur Verwendung dieser Informationen zur Problembehandlung finden Sie unter "Problembehandlung von BitLocker mit dem Intune-Verschlüsselungsbericht".

Initiieren einer manuellen Synchronisierung

Wenn Sie festgestellt haben, dass im Verschlüsselungsbericht keine umsetzbaren Informationen vorhanden sind, müssen Sie Daten vom betroffenen Gerät sammeln, um die Untersuchung abzuschließen.

Sobald Sie Zugriff auf das Gerät haben, besteht der erste Schritt darin, eine Synchronisierung mit dem Intune-Dienst manuell zu initiieren, bevor die Daten gesammelt werden. Wählen Sie auf Ihrem Windows-Gerät "Kontozugriffseinstellungen>>" "Geschäfts-, Schul><- oder Unikontoinformationen>> auswählen" aus. Wählen Sie dann unter "Gerätesynchronisierungsstatus" die Option "Synchronisieren" aus.

Fahren Sie nach Abschluss der Synchronisierung mit den folgenden Abschnitten fort.

Sammeln von Ereignisprotokolldaten

In den folgenden Abschnitten wird erläutert, wie Daten aus verschiedenen Protokollen gesammelt werden, um die Behandlung von Verschlüsselungsstatus und Richtlinien zu unterstützen. Stellen Sie sicher, dass Sie eine manuelle Synchronisierung abschließen, bevor Sie Protokolldaten sammeln.

Mdm-Agentereignisprotokoll (Mobile Device Management)

Das MDM-Ereignisprotokoll ist nützlich, um festzustellen, ob ein Problem bei der Verarbeitung der Intune-Richtlinie oder beim Anwenden von CSP-Einstellungen aufgetreten ist. Der OMA DM-Agent stellt eine Verbindung mit dem Intune-Dienst her und versucht, die richtlinien für den Benutzer oder das Gerät zu verarbeiten. In diesem Protokoll werden Erfolgs- und Fehler bei der Verarbeitung von Intune-Richtlinien angezeigt.

Sammeln oder überprüfen Sie die folgenden Informationen:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider-Administrator

  • Speicherort: Klicken Sie mit der rechten Maustaste auf das Startmenü> Ereignisanzeige> Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider-Administrator>
  • Speicherort des Dateisystems: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Um dieses Protokoll zu filtern, klicken Sie mit der rechten Maustaste auf das Ereignisprotokoll, und wählen Sie "Aktuelles Protokoll>kritisch/Fehler/Warnung filtern" aus. Durchsuchen Sie dann die gefilterten Protokolle nach BitLocker (drücken Sie F3, und geben Sie den Text ein).

Fehler in den BitLocker-Einstellungen folgen dem Format des BitLocker-CSP, sodass Einträge wie folgt angezeigt werden:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

oder

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Notiz

Sie können auch die Debugprotokollierung für dieses Ereignisprotokoll aktivieren, indem Sie die Ereignisanzeige zur Problembehandlung verwenden.

BitLocker-API-Verwaltungsereignisprotokoll

Dies ist das Hauptereignisprotokoll für BitLocker. Wenn der MDM-Agent die Richtlinie erfolgreich verarbeitet hat und keine Fehler im DeviceManagement-Enterprise-Diagnostics-Provider-Administratorprotokoll vorhanden sind, ist dies das nächste Zu untersuchende Protokoll.

LOG>BitLocker-API-Verwaltung

  • Speicherort: Klicken Sie mit der rechten Maustaste auf das Startmenü> Ereignisanzeige> Applications and Service Logs>Microsoft>Windows>BitLocker-API
  • Speicherort des Dateisystems: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

In der Regel werden hier Fehler protokolliert, wenn Hardware- oder Softwarevoraussetzungen fehlen, die für die Richtlinie erforderlich sind, z. B. Trusted Platform Module (TPM) oder Windows Recovery Environment (WinRE).

Fehler: Fehler beim Aktivieren der automatischen Verschlüsselung

Wie im folgenden Beispiel gezeigt, werden konfliktierende Richtlinieneinstellungen, die während der automatischen Verschlüsselung und des Manifests nicht implementiert werden können, als Gruppenrichtlinienkonflikte protokolliert werden:

Fehler beim Aktivieren der automatischen Verschlüsselung.

Fehler: Die BitLocker-Verschlüsselung kann aufgrund von in Konflikt stehenden Gruppenrichtlinieneinstellungen nicht auf dieses Laufwerk angewendet werden. Wenn schreibzugriff auf Laufwerke, die nicht durch BitLocker geschützt sind, verweigert wird, kann die Verwendung eines USB-Startschlüssels nicht erforderlich sein. Bitte lassen Sie den Systemadministrator diese Richtlinienkonflikte beheben, bevor Sie versuchen, BitLocker zu aktivieren.

Lösung: Konfigurieren Sie die kompatible TPM-Start-PIN für blockiert. Dadurch werden in Konflikt stehenden Gruppenrichtlinieneinstellungen bei Verwendung der automatischen Verschlüsselung aufgelöst.

Sie müssen den PIN- und TPM-Startschlüssel auf "Blockiert " festlegen, wenn die automatische Verschlüsselung erforderlich ist. Konfigurieren der TPM-Start-PIN und des Startschlüssels auf zulässige und andere Startschlüssel und PIN-Einstellung für die Benutzerinteraktion blockiert und führt zu einem konfliktierenden Gruppenrichtlinienfehler im BitLocker-AP-Ereignisprotokoll. Wenn Sie die TPM-Start-PIN oder den Startschlüssel so konfigurieren, dass eine Benutzerinteraktion erforderlich ist, schlägt die automatische Verschlüsselung fehl.

Wenn Sie eine der kompatiblen TPM-Einstellungen auf "Erforderlich " konfigurieren, schlägt die automatische Verschlüsselung fehl.

BitLocker-Betriebssystemlaufwerkeinstellungen, die den kompatiblen TPM-Start auf

Fehler: TPM nicht verfügbar

Ein weiterer häufiger Fehler im BitLocker-API-Protokoll besteht darin, dass das TPM nicht verfügbar ist. Das folgende Beispiel zeigt, dass TPM eine Anforderung für die automatische Verschlüsselung ist:

Fehler beim Aktivieren der automatischen Verschlüsselung. TPM ist nicht verfügbar.

Fehler: Ein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) wurde auf diesem Computer nicht gefunden.

Lösung: Stellen Sie sicher, dass auf dem Gerät ein TPM verfügbar ist und ob es vorhanden ist, überprüfen Sie den Status über TPM.msc oder das PowerShell-Cmdlet get-tpm.

Fehler: Nicht zulässiger DMA-fähiger Bus

Wenn das BitLocker-API-Protokoll den folgenden Status anzeigt, bedeutet dies, dass Windows ein angefügtes DMA-fähiges Gerät (Direct Memory Access) erkannt hat, das möglicherweise eine DMA-Bedrohung verfügbar macht.

Nicht zulässige DMA-fähige Bus/Geräte erkannt

Lösung: Um dieses Problem zu beheben, überprüfen Sie zuerst, ob das Gerät keine externen DMA-Ports mit dem Originalgerätehersteller (OEM) hat. Führen Sie dann die folgenden Schritte aus, um das Gerät zur Liste zugelassener Geräte hinzuzufügen. Hinweis: Fügen Sie der Liste nur ein DMA-Gerät hinzu, wenn es sich um eine interne DMA-Schnittstelle/einen internen DMA-Bus handelt.

Systemereignisprotokoll

Wenn Hardwareprobleme auftreten , z. B. Probleme mit dem TPM, werden Fehler im Systemereignisprotokoll für TPM aus der TPMProvisioningService- oder TPM-WMI-Quelle angezeigt.

LOG>System-Ereignis

  • Speicherort: Klicken Sie mit der rechten Maustaste auf das Startmenü> Ereignisanzeige> Windows Logs System>
  • Speicherort des Dateisystems: C:\Windows\System32\winevt\Logs\System.evtx

Filtereigenschaften für das Systemereignisprotokoll.

Filtern Sie nach diesen Ereignisquellen, um hardwarebezogene Probleme zu identifizieren, die das Gerät möglicherweise mit dem TPM auftritt, und wenden Sie sich an den OEM-Hersteller, ob Firmwareupdates verfügbar sind.

Vorgangsplanungsereignisprotokoll

Das Betriebsereignisprotokoll für den Aufgabenplaner eignet sich für Problembehandlungsszenarien, in denen die Richtlinie von Intune empfangen wurde (wurde in DeviceManagement-Enterprise verarbeitet), die BitLocker-Verschlüsselung wurde jedoch nicht erfolgreich initiiert. Die BitLocker-MDM-Richtlinienaktualisierung ist eine geplante Aufgabe, die erfolgreich ausgeführt werden soll, wenn der MDM-Agent mit dem Intune-Dienst synchronisiert wird.

Aktivieren und Ausführen des Betriebsprotokolls in den folgenden Szenarien:

  • Die BitLocker-Richtlinie wird im DeviceManagement-Enterprise-Diagnostics-Provider-Administratorereignisprotokoll, in der MDM-Diagnose und in der Registrierung angezeigt.
  • Es gibt keine Fehler (die Richtlinie wurde erfolgreich von Intune abgerufen).
  • Im BitLocker-API-Ereignisprotokoll wird nichts protokolliert, um anzuzeigen, dass die Verschlüsselung sogar versucht wurde.

LOG>Task scheduler operational event

  • Ort: Ereignisanzeige> Anwendungs- und Dienstprotokolle>Microsoft>Windows>TaskScheduler
  • Speicherort des Dateisystems: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Aktivieren und Ausführen des Betriebsereignisprotokolls

Wichtig

Sie müssen dieses Ereignisprotokoll manuell aktivieren, bevor Sie Daten protokollieren, da das Protokoll probleme beim Ausführen der geplanten Aktualisierung der BitLocker-MDM-Richtlinie erkennt.

  1. Um dieses Protokoll zu aktivieren, klicken Sie mit der rechten Maustaste auf das Startmenü> Ereignisanzeige> Applications and Services>Microsoft>Windows>TaskScheduler>Operational.

    Screenshot des TaskScheduler - Betriebsprotokolle.

  2. Geben Sie dann den Aufgabenplaner in das Windows-Suchfeld ein, und wählen Sie "Taskplaner>Microsoft>Windows>BitLocker" aus. Klicken Sie mit der rechten Maustaste auf die BitLocker-MDM-Richtlinie Aktualisieren, und wählen Sie "Ausführen" aus.

  3. Überprüfen Sie nach Abschluss der Ausführung die Spalte "Ergebnis der letzten Ausführung " auf fehlercodes, und überprüfen Sie das Ereignisprotokoll für den Vorgangszeitplan auf Fehler.

    Beispielfoto von BitLocker-Aufgaben im Taskplaner.

    Im obigen Beispiel wurde 0x0 erfolgreich ausgeführt. Der Fehler 0x41303 dies bedeutet, dass die Aufgabe noch nie ausgeführt wurde.

Notiz

Weitere Informationen zu Fehlermeldungen für den Vorgangsplaner finden Sie unter "Vorgangsplanerfehler" und "Erfolgskonstanten".

Überprüfen der BitLocker-Einstellungen

In den folgenden Abschnitten werden die verschiedenen Tools erläutert, mit denen Sie Ihre Verschlüsselungseinstellungen und den Status überprüfen können.

MDM-Diagnosebericht

Sie können einen Bericht über MDM-Protokolle erstellen, um Registrierungs- oder Geräteverwaltungsprobleme auf von Intune verwalteten Windows 10-Geräten zu diagnostizieren. Der MDM-Diagnosebericht enthält nützliche Informationen zu einem intune registrierten Gerät und zu den darin bereitgestellten Richtlinien.

Ein Lernprogramm dieses Prozesses finden Sie im YouTube-Video zum Erstellen eines Intune-MDM-Diagnoseberichts auf Windows-Geräten

  • Speicherort des Dateisystems: C:\Users\Public\Documents\MDMDiagnostics

Betriebssystembuild und -edition

Der erste Schritt, um zu verstehen, warum Ihre Verschlüsselungsrichtlinie nicht ordnungsgemäß angewendet wird, besteht darin, zu überprüfen, ob die Windows-Betriebssystemversion und -Edition die von Ihnen konfigurierten Einstellungen unterstützt. Einige CSPs wurden in bestimmten Versionen von Windows eingeführt und funktionieren nur für eine bestimmte Edition. Beispielsweise wurden die Meisten BitLocker-CSP-Einstellungen in Windows 10, Version 1703, eingeführt, diese Einstellungen wurden jedoch erst unter Windows 10 Pro, Version 1809, unterstützt.

Darüber hinaus gibt es Einstellungen wie AllowStandardUserEncryption (hinzugefügt in Version 1809), ConfigureRecoveryPasswordRotation (hinzugefügt in Version 1909), RotateRecoveryPasswords (hinzugefügt in Version 1909) und Status (hinzugefügt in Version 1903).

Untersuchung mit der EntDMID

Die EntDMID ist eine eindeutige Geräte-ID für die Intune-Registrierung. Im Microsoft Intune Admin Center können Sie die EntDMID verwenden, um die Ansicht "Alle Geräte" zu durchsuchen und ein bestimmtes Gerät zu identifizieren. Es ist auch eine wichtige Information für den Microsoft-Support, um eine weitere Problembehandlung auf der Dienstseite zu ermöglichen, wenn ein Supportfall erforderlich ist.

Sie können auch den MDM-Diagnosebericht verwenden, um zu ermitteln, ob eine Richtlinie erfolgreich an das Gerät gesendet wurde, mit den Einstellungen, die der Administrator konfiguriert hat. Mithilfe des BitLocker-Konfigurationsdienstanbieters als Referenz können Sie ermitteln, welche Einstellungen beim Synchronisieren mit dem Intune-Dienst aufgenommen wurden. Mit dem Bericht können Sie ermitteln, ob die Richtlinie auf das Gerät ausgerichtet ist, und die BitLocker-CSP-Dokumentation verwenden, um zu ermitteln, welche Einstellungen konfiguriert wurden.

MSINFO32

MSINFO32 ist ein Informationstool, das Gerätedaten enthält, mit denen Sie ermitteln können, ob ein Gerät die BitLocker-Voraussetzungen erfüllt. Die erforderlichen Voraussetzungen hängen von den BitLocker-Richtlinieneinstellungen und dem erforderlichen Ergebnis ab. Für die automatische Verschlüsselung für TPM 2.0 ist beispielsweise ein TPM und eine Unified Extensible Firmware Interface (UEFI) erforderlich.

  • Speicherort: Geben Sie im Suchfeld "msinfo32" ein, klicken Sie mit der rechten Maustaste auf Systeminformationen in den Suchergebnissen, und wählen Sie "Als Administrator ausführen" aus.
  • Dateisystemspeicherort: C:\Windows\System32\Msinfo32.exe.

Wenn dieses Element die Voraussetzungen jedoch nicht erfüllt, bedeutet dies nicht unbedingt, dass Sie das Gerät nicht mithilfe einer Intune-Richtlinie verschlüsseln können.

  • Wenn Sie die BitLocker-Richtlinie so konfiguriert haben, dass sie im Hintergrund verschlüsselt wird und das Gerät TPM 2.0 verwendet, ist es wichtig zu überprüfen, ob der BIOS-Modus UEFI ist. Wenn das TPM 1.2 ist, ist der BIOS-Modus in UEFI keine Voraussetzung.
  • Sichere Start-, DMA-Schutz- und PCR7-Konfiguration sind für die automatische Verschlüsselung nicht erforderlich, werden aber möglicherweise in der Geräteverschlüsselungsunterstützung hervorgehoben. Dies ist die Sicherstellung der Unterstützung für die automatische Verschlüsselung.
  • BitLocker-Richtlinien, die so konfiguriert sind, dass kein TPM erforderlich ist und keine Benutzerinteraktion erforderlich ist, anstatt im Hintergrund zu verschlüsseln, sind ebenfalls nicht erforderlich, um MSINFO32 einzuchecken.

TPM. MSC-Datei

TPM.msc ist eine MmC-Snap-In-Datei (Microsoft Management Console). Sie können TPM.msc verwenden, um zu ermitteln, ob Ihr Gerät über ein TPM verfügt, um die Version zu identifizieren und ob es einsatzbereit ist.

  • Speicherort: Geben Sie im Suchfeld "tpm.msc" ein, und klicken Sie dann mit der rechten Maustaste, und wählen Sie "Als Administrator ausführen" aus.
  • Speicherort des Dateisystems: MMC-Snap-In C:\Windows\System32\mmc.exe.

TPM ist keine Voraussetzung für BitLocker, wird jedoch aufgrund der erhöhten Sicherheit dringend empfohlen. Tpm ist jedoch für die automatische und automatische Verschlüsselung erforderlich. Wenn Sie versuchen, im Hintergrund mit Intune zu verschlüsseln, und es gibt TPM-Fehler in den BitLocker-API- und Systemereignisprotokollen, hilft TPM.msc Ihnen, das Problem zu verstehen.

Das folgende Beispiel zeigt einen fehlerfreien TPM 2.0-Status. Beachten Sie die Spezifikation Version 2.0 unten rechts und dass der Status einsatzbereit ist.

Beispielfoto eines fehlerfreien TPM 2.0-Status in der Konsole

Dieses Beispiel zeigt einen fehlerhaften Status, wenn das TPM im BIOS deaktiviert ist:

Beispielfoto eines fehlerhaften TPM 2.0-Status in der Konsole

Das Konfigurieren einer Richtlinie, die ein TPM erfordert und erwartet, dass BitLocker verschlüsselt wird, wenn das TPM fehlt oder fehlerhaft ist, eines der häufigsten Probleme ist.

Get-Tpm-Cmdlet

Ein Cmdlet ist ein einfacher Befehl in der Windows PowerShell-Umgebung. Zusätzlich zur Ausführung von TPM.msc können Sie das TPM mithilfe des Get-Tpm-Cmdlets überprüfen. Sie müssen dieses Cmdlet mit Administratorrechten ausführen.

  • Speicherort: Geben Sie im Suchfeld cmd ein, und klicken Sie dann mit der rechten Maustaste, und wählen Sie "Als Administrator-PowerShell>>get-tpm ausführen" aus.

Beispielfoto eines vorhandenen und aktiven TPM in einem PowerShell-Fenster.

Im obigen Beispiel können Sie sehen, dass das TPM im PowerShell-Fenster vorhanden und aktiv ist. Die Werte entsprechen "True". Wenn die Werte auf "False" festgelegt wurden, würde es auf ein Problem mit dem TPM hinweisen. BitLocker kann das TPM erst verwenden, wenn es vorhanden, bereit, aktiviert, aktiviert und im Besitz ist.

Manage-bde-Befehlszeilentool

Manage-bde ist ein BitLocker-Verschlüsselungs-Befehlszeilentool, das in Windows enthalten ist. Es wurde entwickelt, um bei der Verwaltung zu helfen, nachdem BitLocker aktiviert wurde.

  • Ort: Geben Sie im Suchfeld cmd ein, klicken Sie mit der rechten Maustaste, und wählen Sie "Als Administrator ausführen" aus, und geben Sie dann "manage-bde -status" ein.
  • Speicherort des Dateisystems: C:\Windows\System32\manage-bde.exe.

Beispielfoto des Befehls manage-bde.exe in einem Eingabeaufforderungsfenster.

Mithilfe von manage-bde können Sie die folgenden Informationen zu einem Gerät ermitteln:

  • Ist sie verschlüsselt? Wenn die Berichterstellung im Microsoft Intune Admin Center angibt, dass ein Gerät nicht verschlüsselt ist, kann dieses Befehlszeilentool den Verschlüsselungsstatus identifizieren.
  • Welche Verschlüsselungsmethode wurde verwendet? Sie können Informationen vom Tool mit der Verschlüsselungsmethode in der Richtlinie vergleichen, um sicherzustellen, dass sie übereinstimmen. Wenn die Intune-Richtlinie beispielsweise auf XTS-AES 256-Bit konfiguriert ist und das Gerät mit XTS-AES 128-Bit verschlüsselt wird, führt dies zu Fehlern in der Microsoft Intune Admin Center-Richtlinienberichterstattung.
  • Welche spezifischen Schutzkomponenten werden verwendet? Es gibt mehrere Kombinationen von Schutzkomponenten. Wenn Sie wissen, welche Schutzkomponente auf einem Gerät verwendet wird, können Sie verstehen, ob die Richtlinie ordnungsgemäß angewendet wurde.

Im folgenden Beispiel wird das Gerät nicht verschlüsselt:

Beispielfoto eines Geräts, das nicht mit BitLocker verschlüsselt ist.

BitLocker-Registrierungsspeicherorte

Dies ist der erste Ort in der Registrierung, der angezeigt werden soll, wenn Sie die von Intune abgerufenen Richtlinieneinstellungen entschlüsseln möchten:

  • Ort: Klicken Sie mit der rechten Maustaste auf "Start>ausführen", und geben Sie dann "regedit" ein, um den Registrierungs-Editor zu öffnen.
  • Standardspeicherort des Dateisystems: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

Der MDM-Agent-Registrierungsschlüssel hilft Ihnen, den GUID (Globally Unique Identifier) im PolicyManager zu identifizieren, der die tatsächlichen BitLocker-Richtlinieneinstellungen enthält.

BitLocker-Registrierungsspeicherort im Registrierungs-Editor.

Die GUID ist im obigen Beispiel hervorgehoben. Sie können die GUID (sie wird für jeden Mandanten unterschiedlich sein) in den folgenden Registrierungsunterschlüssel einschließen, um die Problembehandlung bei BitLocker-Richtlinieneinstellungen zu beheben:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

Screenshot des Registrierungs-Editors mit den BitLocker-Richtlinieneinstellungen, die vom MDM-Agent konfiguriert wurden

Dieser Bericht zeigt die BitLocker-Richtlinieneinstellungen, die vom MDM-Agent (OMADM-Client) abgerufen wurden. Dies sind die gleichen Einstellungen, die Sie im MDM-Diagnosebericht sehen, daher ist dies eine alternative Möglichkeit zum Identifizieren von Einstellungen, die der Client aufgenommen hat.

Beispiel für den EncryptionMethodByDriveType-Registrierungsschlüssel :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Beispiel für SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker-Registrierungsschlüssel

Die Einstellungen im Registrierungsschlüssel des Richtlinienanbieters werden im BitLocker-Hauptregistrierungsschlüssel dupliziert. Sie können die Einstellungen vergleichen, um sicherzustellen, dass sie mit den Richtlinieneinstellungen in der Benutzeroberfläche (UI), MDM-Protokoll, MDM-Diagnose und dem Richtlinienregistrierungsschlüssel übereinstimmen.

  • Speicherort des Registrierungsschlüssels: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Dies ist ein Beispiel für den FVE-Registrierungsschlüssel:

Screenshot der BitLocker-Registrierungsschlüssel im Registrierungs-Editor.

  • A: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv und EncryptionMethodWithXtsRdv haben die folgenden möglichen Werte:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN sind alle auf 2 festgelegt, was bedeutet, dass sie alle auf "Zulassen" festgelegt sind.
  • C: Beachten Sie, dass die meisten Schlüssel in Gruppen von Einstellungen für das Betriebssystemlaufwerk (BETRIEBSSYSTEM), festes Laufwerk (FDV) und Wechseldatenträger (FDVR) unterteilt sind.
  • D: OSActiveDirectoryBackup hat den Wert 1 und ist aktiviert.
  • E: OSHideRecoveryPage ist gleich 0 und nicht aktiviert.

Verwenden Sie die BitLocker-CSP-Dokumentation , um alle Einstellungsnamen in der Registrierung zu decodieren.

REAgentC.exe Befehlszeilentool

REAgentC.exe ist ein ausführbares Befehlszeilentool, mit dem Sie die Windows-Wiederherstellungsumgebung (Windows RE) konfigurieren können. WinRE ist eine Voraussetzung für die Aktivierung von BitLocker in bestimmten Szenarien wie automatische oder automatische Verschlüsselung.

  • Ort: Klicken Sie mit der rechten Maustaste auf "Start>ausführen", geben Sie "cmd" ein. Klicken Sie dann mit der rechten Maustaste auf cmd, und wählen Sie "Als Administrator>reagentc /info" aus.
  • Dateisystemspeicherort: C:\Windows\System32\ReAgentC.exe.

Tipp

Wenn Fehlermeldungen in der BitLocker-API angezeigt werden, dass WinRe nicht aktiviert ist, führen Sie den Befehl "reagentc /info " auf dem Gerät aus, um den WinRE-Status zu ermitteln.

Ausgabe des Befehls ReAgentC.exe in der Eingabeaufforderung.

Wenn der WinRE-Status deaktiviert ist, führen Sie den Befehl "reagentc /enable " als Administrator aus, um ihn manuell zu aktivieren:

Beispielfoto zum Aktivieren von ReAgentC.exe in der Eingabeaufforderung. Ausführen des Befehls reagentc /enable

Zusammenfassung

Wenn BitLocker auf einem Windows 10-Gerät mit einer Intune-Richtlinie nicht aktiviert werden kann, sind die Hardware- oder Softwarevoraussetzungen in den meisten Fällen nicht vorhanden. Wenn Sie das BitLocker-API-Protokoll untersuchen, können Sie ermitteln, welche Voraussetzung nicht erfüllt ist. Folgende Probleme treten am häufigsten auf:

  • TPM ist nicht vorhanden
  • WinRE ist nicht aktiviert
  • UEFI BIOS ist für TPM 2.0-Geräte nicht aktiviert

Richtlinienfehler können auch zu Verschlüsselungsfehlern führen. Nicht alle Windows-Geräte können im Hintergrund verschlüsselt werden, also denken Sie an die Benutzer und Geräte, auf die Sie abzielen.

Das Konfigurieren eines Startschlüssels oder einer PIN für eine Richtlinie, die für die automatische Verschlüsselung vorgesehen ist, funktioniert nicht aufgrund der Benutzerinteraktion, die beim Aktivieren von BitLocker erforderlich ist. Beachten Sie dies beim Konfigurieren der BitLocker-Richtlinie in Intune.

Überprüfen Sie, ob die Richtlinieneinstellungen vom Gerät aufgenommen wurden, um festzustellen, ob die Zielbestimmung erfolgreich war.

Es ist möglich, die Richtlinieneinstellungen mithilfe von MDM-Diagnose, Registrierungsschlüsseln und dem Ereignisprotokoll des Unternehmens für die Geräteverwaltung zu identifizieren, um zu überprüfen, ob die Einstellungen erfolgreich angewendet wurden. Die BitLocker-CSP-Dokumentation kann Ihnen helfen, diese Einstellungen zu entschlüsseln, um zu verstehen, ob sie mit der Konfiguration in der Richtlinie übereinstimmen.