Freigeben über

Erzwingen von BitLocker-Richtlinien mithilfe von Intune: bekannte Probleme

  • Artikel

Dieser Artikel hilft bei der Behandlung von Problemen, die auftreten können, wenn Sie die Microsoft Intune-Richtlinie zum Verwalten der automatischen BitLocker-Verschlüsselung auf Geräten verwenden. Das Intune-Portal gibt an, ob BitLocker mindestens ein verwaltetes Gerät nicht verschlüsseln konnte.

Screenshot der BitLocker-Statusanzeiger im Intune-Portal.

Wenn Sie mit der Eingrenzung der Ursache des Problems beginnen möchten, überprüfen Sie die Ereignisprotokolle, wie unter "Problembehandlung bei BitLocker" beschrieben. Konzentrieren Sie sich auf die Verwaltungs- und Betriebsprotokolle in den Anwendungs- und Dienstprotokollen>im Ordner "Microsoft>Windows>BitLocker-API". In den folgenden Abschnitten finden Sie weitere Informationen zum Beheben der angegebenen Ereignisse und Fehlermeldungen:

Wenn keine eindeutigen Folgen von Ereignissen oder Fehlermeldungen vorliegen, umfassen andere Zu untersuchende Bereiche die folgenden Bereiche:

Informationen zum Verfahren zum Überprüfen, ob Intune-Richtlinien BitLocker ordnungsgemäß erzwingen, finden Sie unter Überprüfen, ob BitLocker ordnungsgemäß funktioniert.

Ereignis-ID 853: Fehler: Ein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) kann auf diesem Computer nicht gefunden werden.

Die Ereignis-ID 853 kann je nach Kontext unterschiedliche Fehlermeldungen enthalten. In diesem Fall gibt die Ereignis-ID 853-Fehlermeldung an, dass das Gerät kein TPM aufweist. Die Ereignisinformationen ähneln dem folgenden Ereignis:

Screenshot der Details der Ereignis-ID 853 (TPM ist nicht verfügbar, TPM kann nicht gefunden werden).

Ursache der Ereignis-ID 853: Fehler: Ein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) wurde auf diesem Computer nicht gefunden.

Das gesicherte Gerät verfügt möglicherweise nicht über einen TPM-Chip, oder das Geräte-BIOS wurde zum Deaktivieren des TPM konfiguriert.

Lösung für Ereignis-ID 853: Fehler: Ein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) kann auf diesem Computer nicht gefunden werden.

Um dieses Problem zu beheben, überprüfen Sie die folgenden Konfigurationen:

  • Das TPM ist im Geräte-BIOS aktiviert.
  • Der TPM-Status im TPM-Verwaltungskonsole ähnelt den folgenden Status:
    • Bereit (TPM 2.0)
    • Initialisiert (TPM 1.2)

Weitere Informationen finden Sie unter Problembehandlung für das TPM.

Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung erkannte startbare Medien (CD oder DVD) auf dem Computer

In diesem Fall wird die Ereignis-ID 853 angezeigt, und die Fehlermeldung im Ereignis gibt an, dass startbare Medien für das Gerät verfügbar sind. Die Ereignisinformationen ähneln den folgenden.

Screenshot der Details zur Ereignis-ID 853 (TPM ist nicht verfügbar, startbare Medien gefunden).

Ursache der Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung erkannte startbare Medien (CD oder DVD) auf dem Computer

Während des Bereitstellungsprozesses zeichnet die BitLocker-Laufwerkverschlüsselung die Konfiguration des Geräts auf, um einen Basisplan einzurichten. Wenn sich die Gerätekonfiguration später ändert (z. B. wenn das Medium entfernt wird), wird der BitLocker-Wiederherstellungsmodus automatisch gestartet.

Um diese Situation zu vermeiden, wird der Bereitstellungsprozess beendet, wenn er ein wechselbares startbares Medium erkennt.

Auflösung für Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung erkannte startbare Medien (CD oder DVD) auf dem Computer

Entfernen Sie das startbare Medium, und starten Sie das Gerät neu. Überprüfen Sie nach dem Neustart des Geräts den Verschlüsselungsstatus.

Ereignis-ID 854: WinRE ist nicht konfiguriert

Die Ereignisinformationen ähneln der folgenden Fehlermeldung:

Fehler beim Aktivieren der automatischen Verschlüsselung. WinRe ist nicht konfiguriert.

Fehler: Dieser PC kann die Geräteverschlüsselung nicht unterstützen, da WinRE nicht ordnungsgemäß konfiguriert ist.

Ursache der Ereignis-ID 854: WinRE ist nicht konfiguriert

Windows Recovery Environment (WinRE) ist ein minimales Windows-Betriebssystem, das auf Windows Preinstallation Environment (Windows PE) basiert. WinRE enthält mehrere Tools, mit denen ein Administrator Windows-Probleme wiederherstellen oder zurücksetzen und Windows-Probleme diagnostizieren kann. Wenn ein Gerät das normale Windows-Betriebssystem nicht starten kann, versucht das Gerät, WinRE zu starten.

Der Bereitstellungsprozess ermöglicht die BitLocker-Laufwerkverschlüsselung auf dem Betriebssystemlaufwerk während der Bereitstellungsphase von Windows PE. Diese Aktion stellt sicher, dass das Laufwerk vor der Installation des vollständigen Betriebssystems geschützt ist. Der Bereitstellungsprozess erstellt außerdem eine Systempartition für WinRE, die verwendet werden soll, wenn das System abstürzt.

Wenn WinRE nicht auf dem Gerät verfügbar ist, wird die Bereitstellung beendet.

Auflösung für Ereignis-ID 854: WinRE ist nicht konfiguriert

Dieses Problem kann behoben werden, indem sie die Konfiguration der Datenträgerpartitionen, den Status von WinRE und die Konfiguration des Windows-Startladeprogramms überprüfen, indem Sie die folgenden Schritte ausführen:

Schritt 1: Überprüfen der Konfiguration der Datenträgerpartitionen

Die in diesem Abschnitt beschriebenen Verfahren hängen von den Standarddatenträgerpartitionen ab, die Windows während der Installation konfiguriert. Windows 11 und Windows 10 erstellen automatisch eine Wiederherstellungspartition, die die Winre.wim-Datei enthält. Die Partitionskonfiguration sieht wie folgt aus.

Screenshot der Standardmäßigen Datenträgerpartitionen, einschließlich der Wiederherstellungspartition.

Um die Konfiguration der Datenträgerpartitionen zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:

diskpart.exe 
list volume

Screenshot der Ausgabe des Listenvolumebefehls von Diskpart.

Wenn der Status eines der Volumes nicht fehlerfrei ist oder die Wiederherstellungspartition fehlt, muss Windows möglicherweise neu installiert werden. Überprüfen Sie vor der Neuinstallation von Windows die Konfiguration des bereitgestellten Windows-Images. Stellen Sie sicher, dass das Image die richtige Datenträgerkonfiguration verwendet. Die Imagekonfiguration sollte wie folgt aussehen (dieses Beispiel stammt aus Microsoft Configuration Manager):

Screenshot der Windows-Imagekonfiguration in Microsoft Configuration Manager.

Schritt 2: Überprüfen des Status von WinRE

Um den Status von WinRE auf dem Gerät zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

reagentc.exe /info

Die Ausgabe dieses Befehls sieht wie folgt aus.

Screenshot der Ausgabe des Befehls

Wenn der Windows RE-Status nicht aktiviert ist, führen Sie den folgenden Befehl aus, um ihn zu aktivieren:

reagentc.exe /enable

Schritt 3: Überprüfen der Konfiguration des Windows-Startladeprogramms

Wenn der Partitionsstatus fehlerfrei ist, aber der reagentc.exe befehl "/enable " zu einem Fehler führt, überprüfen Sie, ob das Windows-Startladeprogramm die GUID der Wiederherstellungssequenz enthält, indem Sie den folgenden Befehl in einem Eingabeaufforderungsfenster mit erhöhten Rechten ausführen:

bcdedit.exe /enum all

Die Ausgabe dieses Befehls ähnelt der folgenden Ausgabe:

Screenshot der Ausgabe des Befehls

Suchen Sie in der Ausgabe den Abschnitt "Windows-Startladeprogramm ", der den Zeilenbezeichner ={current} enthält. Suchen Sie in diesem Abschnitt das Recoverysequence-Attribut . Der Wert dieses Attributs sollte ein GUID-Wert und keine Zeichenfolge von Nullen sein.

Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten

Die Ereignisinformationen ähneln der folgenden Fehlermeldung:

Fehler beim Aktivieren der automatischen Verschlüsselung.

Fehler: Die BitLocker-Laufwerkverschlüsselung kann auf dem Betriebssystemlaufwerk nicht aktiviert werden. Wenden Sie sich an den Computerhersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Ursache der Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Das Gerät muss über das Unified Extensible Firmware Interface (UEFI)-BIOS verfügen. Die automatische BitLocker-Laufwerkverschlüsselung unterstützt kein älteres BIOS.

Lösung für Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Um den BIOS-Modus zu überprüfen, verwenden Sie die Systeminformationen Anwendung, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie "Start" aus, und geben Sie "msinfo32" in das Suchfeld ein.

  2. Stellen Sie sicher, dass die EINSTELLUNG für den BIOS-Modus UEFI und nicht "Legacy" ist.

    Screenshot der Systeminformationen-App mit der Einstellung für den BIOS-Modus.

  3. Wenn die Einstellung für den BIOS-Modus legacy ist, muss die UEFI-Firmware in den UEFI- oder EFI-Modus umgestellt werden. Die Schritte zum Wechseln zum UEFI - oder EFI-Modus sind spezifisch für das Gerät.

    Notiz

    Wenn das Gerät nur den Legacymodus unterstützt, kann Intune nicht zum Verwalten der BitLocker-Geräteverschlüsselung auf dem Gerät verwendet werden.

Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Es wird eine Fehlermeldung angezeigt, die der folgenden Fehlermeldung ähnelt:

Fehler: BitLocker kann den sicheren Start nicht für die Integrität verwenden, da die UEFI-Variable "SecureBoot" nicht gelesen werden konnte. A required privilege is not held by the client. (System.ComponentModel.Win32Exception: Dem Client fehlt ein erforderliches Recht.)

Ursache der Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Ein Plattformkonfigurationsregister (PCR) ist ein Speicherspeicherort im TPM. Insbesondere misst PCR 7 den Zustand des sicheren Starts. Die automatische BitLocker-Laufwerkverschlüsselung erfordert, dass der sichere Start aktiviert ist.

Lösung für Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Dieses Problem kann behoben werden, indem Sie das PCR-Überprüfungsprofil des TPM und den sicheren Startstatus überprüfen, indem Sie die folgenden Schritte ausführen:

Schritt 1: Überprüfen des PCR-Überprüfungsprofils des TPM

Um zu überprüfen, ob PCR 7 verwendet wird, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

Manage-bde.exe -protectors -get %systemdrive%

Überprüfen Sie im TPM-Abschnitt der Ausgabe dieses Befehls, ob die PCR-Überprüfungsprofileinstellung 7 enthält, wie folgt:

Screenshot der Ausgabe des Befehls manage-bde.exe.

Wenn DAS PCR-Überprüfungsprofil nicht 7 enthält (z. B. enthalten die Werte 0, 2, 4 und 11, aber nicht 7), ist der sichere Start nicht aktiviert.

Screenshot der Ausgabe des Befehls

2: Überprüfen des sicheren Startzustands

Verwenden Sie zum Überprüfen des sicheren Startzustands die Systeminformationen Anwendung, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie "Start" aus, und geben Sie "msinfo32" in das Suchfeld ein.

  2. Vergewissern Sie sich, dass die Einstellung "Sicherer Startstatus" wie folgt aktiviert ist:

    Screenshot der Systeminformationen-App mit einem nicht unterstützten Sicheren Startstatus.

  3. Wenn die Einstellung für den sicheren Startstatus nicht unterstützt wird, kann die automatische BitLocker-Verschlüsselung nicht auf dem Gerät verwendet werden.

    Systeminformationen App mit einem nicht unterstützten Zustand für den sicheren Start.

Notiz

Das PowerShell-Cmdlet Confirm-SecureBootUEFI kann auch verwendet werden, um den Status des sicheren Starts zu überprüfen, indem ein PowerShell-Fenster mit erhöhten Rechten geöffnet und der folgende Befehl ausgeführt wird:

Confirm-SecureBootUEFI

Wenn der Computer den sicheren Start unterstützt und der sichere Start aktiviert ist, gibt dieses Cmdlet "True" zurück.

Wenn der Computer den sicheren Start unterstützt und der sichere Start deaktiviert ist, gibt dieses Cmdlet "False" zurück.

Wenn der Computer den sicheren Start nicht unterstützt oder ein BIOS-Computer (nicht UEFI) ist, gibt dieses Cmdlet "Cmdlet wird auf dieser Plattform nicht unterstützt" zurück.

Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Nehmen Sie das folgende Szenario als Beispiel:

Intune-Richtlinie wird bereitgestellt, um ein Windows 10, Version 1809-Gerät zu verschlüsseln, und das Wiederherstellungskennwort wird in der Microsoft Entra-ID gespeichert. Als Teil der Richtlinienkonfiguration wurde die Option "Standardbenutzern die Aktivierung der Verschlüsselung während der Microsoft Entra-Verknüpfungsoption erlauben" ausgewählt.

Die Richtlinienbereitstellung schlägt fehl, und der Fehler generiert die folgenden Ereignisse in Ereignisanzeige im Ordner "Anwendungen und Diensteprotokolle>Microsoft>Windows>BitLocker-API":

Ereignis-ID:846

Ereignis: Fehler beim Sichern der BitLocker-Laufwerkverschlüsselungs-Wiederherstellungsinformationen für Volume C: auf Ihre Microsoft Entra-ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fehler: Unbekannter HResult-Fehlercode: 0x80072f9a

Ereignis-ID:778

Ereignis: Das BitLocker-Volume C: wurde auf einen nicht geschützten Zustand zurückgesetzt.

Ereignis-ID: 851

Ereignis: Fehler beim Aktivieren der automatischen Verschlüsselung.

Fehler: Unbekannter HResult-Fehlercode: 0x80072f9a.

Diese Ereignisse beziehen sich auf fehlercode-0x80072f9a.

Ursache der Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Diese Ereignisse deuten darauf hin, dass der angemeldete Benutzer nicht über die Berechtigung zum Lesen des privaten Schlüssels im Zertifikat verfügt, das als Teil des Bereitstellungs- und Registrierungsprozesses generiert wird. Daher schlägt die BitLocker-MDM-Richtlinienaktualisierung fehl.

Das Problem betrifft Windows 10, Version 1809.

Auflösung für Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Um dieses Problem zu beheben, installieren Sie das Update vom 21. Mai 2019 .

Fehlermeldung: Es gibt widersprüchliche Gruppenrichtlinieneinstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken.

Es wird eine Fehlermeldung angezeigt, die der folgenden Fehlermeldung ähnelt:

Fehler: Die BitLocker-Laufwerkverschlüsselung kann nicht auf dieses Laufwerk angewendet werden, da es widersprüchliche Gruppenrichtlinieneinstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken gibt. Das Speichern von Wiederherstellungsinformationen in Active Directory-Domäne Services kann nicht erforderlich sein, wenn die Generierung von Wiederherstellungs-Kennwörtern nicht zulässig ist. Bitte lassen Sie den Systemadministrator diese Richtlinienkonflikte beheben, bevor Sie versuchen, BitLocker zu aktivieren...

Lösung für Fehlermeldung: Es gibt widersprüchliche Gruppenrichtlinieneinstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken.

Um dieses Problem zu beheben, überprüfen Sie die Gruppenrichtlinienobjekteinstellungen (GPO) auf Konflikte. Weitere Informationen finden Sie im nächsten Abschnitt: Überprüfen der BitLocker-Richtlinienkonfiguration.

Weitere Informationen zu GPOs und BitLocker finden Sie in der BitLocker-Gruppenrichtlinienreferenz.

Überprüfen der BitLocker-Richtlinienkonfiguration

Informationen zum Verfahren zur Verwendung von Richtlinien zusammen mit BitLocker und Intune finden Sie in den folgenden Ressourcen:

Intune bietet die folgenden Erzwingungstypen für BitLocker:

  • Automatisch (wird erzwungen, wenn das Gerät microsoft Entra-ID während des Bereitstellungsprozesses verknüpft. Diese Option ist in Windows 10, Version 1703 und höher verfügbar.)
  • Silent (Endpoint Protection-Richtlinie. Diese Option ist in Windows 10, Version 1803 und höher verfügbar.)
  • Interaktiv (Endpunktrichtlinie für Windows-Versionen, die älter als Windows 10, Version 1803 sind.)

Wenn das Gerät Windows 10, Version 1703 oder höher ausführt, modern Standby (auch als Instant Go bezeichnet) unterstützt und HSTI-kompatibel ist, löst das Verbinden des Geräts mit microsoft Entra ID die automatische Geräteverschlüsselung aus. Zum Erzwingen der Geräteverschlüsselung ist keine separate Endpunktschutzrichtlinie erforderlich.

Wenn das Gerät HSTI-kompatibel ist, modern Standby jedoch nicht unterstützt, muss eine Endpunktschutzrichtlinie konfiguriert werden, um die automatische BitLocker-Laufwerkverschlüsselung zu erzwingen. Die Einstellungen für diese Richtlinie sollten den folgenden Einstellungen ähneln:

Screenshot der Intune-Richtlinieneinstellungen mit erforderlicher Verschlüsselung von Geräten.

Die OMA-URI-Verweise für diese Einstellungen sind wie folgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Werttyp: Ganze Zahl
    Wert: 1 (1 = Erforderlich, 0 = Nicht konfiguriert)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Werttyp: Ganze Zahl
    Wert: 0 (0 = Blockiert, 1 = Zulässig)

Notiz

Aufgrund eines Updates für den BitLocker-Richtlinien-CSP kann eine Endpunktschutzrichtlinie verwendet werden, auch wenn das Gerät Windows 10, Version 1809 oder höher verwendet, um die automatische BitLocker-Geräteverschlüsselung zu erzwingen, auch wenn das Gerät nicht HSTI-kompatibel ist.

Notiz

Wenn die Warnung für andere Datenträgerverschlüsselungseinstellungen auf " Nicht konfiguriert" festgelegt ist, muss der BitLocker-Laufwerkverschlüsselungs-Assistent manuell gestartet werden.

Wenn das Gerät den modernen Standbymodus nicht unterstützt, aber HSTI-kompatibel ist und eine Version von Windows verwendet, die älter als Windows 10, Version 1803, ist, wird eine Endpunktschutzrichtlinie mit den einstellungen, die in diesem Artikel beschrieben sind, die Richtlinienkonfiguration an das Gerät übermittelt. Windows benachrichtigt den Benutzer jedoch, die BitLocker-Laufwerkverschlüsselung manuell zu aktivieren. Wenn der Benutzer die Benachrichtigung auswählt, wird der BitLocker-Laufwerkverschlüsselungs-Assistent gestartet.

Intune stellt Einstellungen bereit, die zum Konfigurieren der automatischen Geräteverschlüsselung für Autopilot-Geräte für Standardbenutzer verwendet werden können. Jedes Gerät muss die folgenden Anforderungen erfüllen:

  • HSTI-kompatibel sein
  • Unterstützung des modernen Standbymodus
  • Verwenden von Windows 10, Version 1803 oder höher

Screenshot der Intune-Richtlinieneinstellung mit

Die OMA-URI-Verweise für diese Einstellungen sind wie folgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Werttyp: Ganzzahliger Wert: 1

Notiz

Dieser Knoten arbeitet mit den Knoten RequireDeviceEncryption und AllowWarningForOtherDiskEncryption zusammen. Aus diesem Grund, wenn die folgenden Einstellungen festgelegt werden:

  • RequireDeviceEncryption auf 1
  • AllowStandardUserEncryption auf 1
  • AllowWarningForOtherDiskEncryption auf 0

Intune erzwingt die automatische BitLocker-Verschlüsselung für Autopilot-Geräte mit Standardbenutzerprofilen.

Überprüfen, ob BitLocker ordnungsgemäß funktioniert

Während regulärer Vorgänge generiert die BitLocker-Laufwerkverschlüsselung Ereignisse wie Ereignis-ID 796 und Ereignis-ID 845.

Screenshot der Ereignis-ID 796 mit detaillierten Informationen.

Screenshot der Ereignis-ID 845 mit detaillierten Informationen.

Es kann auch bestimmt werden, ob das BitLocker-Wiederherstellungskennwort in die Microsoft Entra-ID hochgeladen wurde, indem die Gerätedetails im Abschnitt "Microsoft Entra Devices" überprüft werden.

Screenshot der BitLocker-Wiederherstellungsinformationen, die in der Microsoft Entra-ID angezeigt werden.

Überprüfen Sie auf dem Gerät den Registrierungs-Editor, um die Richtlinieneinstellungen auf dem Gerät zu überprüfen. Überprüfen Sie die Einträge unter den folgenden Unterschlüsseln:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Screenshot der Registrierungsunterschlüssel, die sich auf die Intune-Richtlinie beziehen.