Compartir a través de

Solución de problemas de BitLocker con el informe de cifrado de Intune

  • Artículo

Microsoft Intune proporciona un informe de cifrado integrado que proporciona detalles sobre el estado de cifrado en todos los dispositivos administrados. El informe de cifrado de Intune es un punto de partida útil para solucionar errores de cifrado. Puede usar el informe para identificar y aislar los errores de cifrado de BitLocker y ver el estado del módulo de plataforma segura (TPM) y el estado de cifrado de los dispositivos Windows.

En este artículo se explica cómo usar el informe de cifrado de Intune para ayudar a solucionar problemas de cifrado para BitLocker. Para obtener instrucciones de solución de problemas adicionales, consulte Solución de problemas de directivas de BitLocker desde el lado cliente.

Nota:

Para aprovechar al máximo este método de solución de problemas y los detalles de error disponibles en el informe de cifrado, deberá configurar una directiva de BitLocker. Si actualmente usa una directiva de configuración de dispositivos, considere la posibilidad de migrar la directiva. Para obtener más información, consulte Administrar la directiva de BitLocker para dispositivos Windows con Intune y la configuración de directivas de cifrado de disco para la seguridad de los puntos de conexión en Intune.

Requisitos previos de cifrado

De forma predeterminada, el Asistente para la configuración de BitLocker pide a los usuarios que habiliten el cifrado. También puede configurar una directiva de BitLocker que habilita BitLocker de forma silenciosa en un dispositivo. En esta sección se explican los distintos requisitos previos para cada método.

Nota:

El cifrado automático no es lo mismo que el cifrado silencioso. El cifrado automático se realiza durante el modo de configuración rápida (OOBE) de Windows en modo de espera moderno o en dispositivos compatibles con la interfaz de prueba de seguridad de hardware (HSTI). En cifrado silencioso, Intune suprime la interacción del usuario a través de la configuración del proveedor de servicios de configuración (CSP) de BitLocker.

Requisitos previos para el cifrado habilitado para el usuario:

  • El disco duro debe particionarse en una unidad de sistema operativo con formato NTFS y una unidad del sistema de al menos 350 MB con formato FAT32 para UEFI y NTFS para BIOS.
  • El dispositivo debe inscribirse en Intune a través de la unión híbrida de Microsoft Entra, el registro de Microsoft Entra o la unión a Microsoft Entra.
  • No se requiere un chip del módulo de plataforma segura (TPM), pero se recomienda encarecidamente para aumentar la seguridad.

Requisitos previos para el cifrado silencioso de BitLocker:

  • Un chip TPM (versión 1.2 o 2.0) que se debe desbloquear.
  • El entorno de recuperación de Windows (WinRE) debe estar habilitado.
  • El disco duro debe tener particiones en una unidad de sistema operativo con formato NTFS y una unidad del sistema de al menos 350 MB debe tener el formato FAT32 para unified Extensible Firmware Interface (UEFI) y NTFS para BIOS. El BIOS UEFI es necesario para dispositivos TPM versión 2.0. (No se requiere arranque seguro, pero proporcionará más seguridad).
  • El dispositivo inscrito en Intune está conectado a los servicios híbridos de Microsoft Azure o al identificador de Microsoft Entra.

Identificación del estado y los errores de cifrado

Los errores de cifrado de BitLocker en dispositivos Windows 10 inscritos en Intune pueden caer en una de las siguientes categorías:

  • El hardware o software del dispositivo no cumple los requisitos previos para habilitar BitLocker.
  • La directiva de BitLocker de Intune está mal configurada, lo que provoca conflictos de objetos de directiva de grupo (GPO).
  • El dispositivo ya está cifrado y el método de cifrado no coincide con la configuración de directiva.

Para identificar la categoría de un error de cifrado de dispositivos, inicie sesión en el Centro de administración de Microsoft Intune y seleccione Informe de cifrado del monitor>de dispositivos.> El informe mostrará una lista de dispositivos inscritos y mostrará si un dispositivo está cifrado o listo para cifrarse y si tiene un chip TPM.

Ejemplo de informe de cifrado de Intune.

Nota:

Si un dispositivo Windows 10 muestra un estado No listo , es posible que siga admitiendo el cifrado. Para un estado Listo , el dispositivo Windows 10 debe tener activado TPM. Los dispositivos TPM no son necesarios para admitir el cifrado, pero se recomienda encarecidamente para aumentar la seguridad.

En el ejemplo anterior se muestra que un dispositivo con TPM versión 1.2 se ha cifrado correctamente. Además, puede ver dos dispositivos no listos para el cifrado que no podrán cifrarse silenciosamente, así como un dispositivo TPM 2.0 que esté listo para el cifrado, pero que aún no esté cifrado.

Escenarios de error comunes

En las secciones siguientes se describen escenarios de error comunes que puede diagnosticar con detalles del informe de cifrado.

Escenario 1: el dispositivo no está listo para el cifrado y no está cifrado

Al hacer clic en un dispositivo que no está cifrado, Intune muestra un resumen de su estado. En el ejemplo siguiente, hay varios perfiles destinados al dispositivo: una directiva de protección de puntos de conexión, una directiva de sistema operativo Mac (que no es aplicable a este dispositivo) y una línea de base de Protección contra amenazas avanzada (ATP) de Microsoft Defender.

Detalles de estado de Intune que muestran que el dispositivo no está listo para el cifrado y no cifrado.

Estado de cifrado explicado:

Los mensajes en Detalles de estado son códigos devueltos por el nodo estado de CSP de BitLocker desde el dispositivo. El estado de cifrado está en un estado de error porque el volumen del sistema operativo no está cifrado. Además, la directiva de BitLocker tiene requisitos para un TPM, que el dispositivo no cumple.

Los mensajes significan que el dispositivo no está cifrado porque no tiene un TPM presente y la directiva requiere una.

Escenario 2: el dispositivo está listo pero no cifrado

En este ejemplo se muestra que el dispositivo TPM 2.0 no está cifrado.

Detalles de estado de Intune que muestran que el dispositivo está listo para el cifrado, pero no está cifrado.

Estado de cifrado explicado:

Este dispositivo tiene una directiva de BitLocker configurada para la interacción del usuario en lugar de cifrado silencioso. El usuario no ha iniciado ni completado el proceso de cifrado (el usuario recibe un mensaje de notificación), por lo que la unidad permanece sin cifrar.

Escenario 3: el dispositivo no está listo y no se cifrará silenciosamente

Si una directiva de cifrado está configurada para suprimir la interacción del usuario y cifrar silenciosamente y el estado de preparación del cifrado del informe de cifrado No es aplicable o No está listo, es probable que el TPM no esté listo para BitLocker.

Los detalles de estado de Intune que muestran que el dispositivo no está listo y no se cifrarán de forma silenciosa.

Los detalles del estado del dispositivo revelan la causa:

Detalles de estado de cifrado de dispositivos de Intune que muestran que TPM no está listo para BitLocker.

Estado de cifrado explicado:

Si el TPM no está listo en el dispositivo, podría deberse a que está deshabilitado en el firmware o debe borrarse o restablecerse. La ejecución de la consola de administración de TPM (TPM.msc) desde la línea de comandos del dispositivo afectado le ayudará a comprender y resolver el estado de TPM.

Escenario 4: el dispositivo está listo pero no cifrado de forma silenciosa

Hay varias razones por las que un dispositivo destinado a cifrado silencioso está listo, pero aún no cifrado.

Detalles del estado de cifrado de dispositivos de Intune que muestran que el dispositivo está listo para el cifrado silencioso, pero aún no cifrado.

Estado de cifrado explicado:

Una explicación es que WinRE no está habilitado en el dispositivo, que es un requisito previo. Puede validar el estado de WinRE en el dispositivo mediante el comando reagentc.exe/info como administrador.

Salida del símbolo del sistema de reagentc.exe/información.

Si WinRE está deshabilitado, ejecute el comando reagentc.exe/info como administrador para habilitar WinRE.

Habilitación de WinRE en el símbolo del sistema.

La página Detalles del estado mostrará el mensaje siguiente si WinRE no está configurado correctamente:

El usuario que inició sesión en el dispositivo no tiene derechos de administrador.

Otra razón podría ser derechos administrativos. Si la directiva de BitLocker tiene como destino un usuario que no tiene derechos administrativos y Permitir que los usuarios estándar habiliten el cifrado durante Autopilot no está habilitado, verá los siguientes detalles de estado de cifrado.

Estado de cifrado explicado:

Establezca Permitir que los usuarios estándar habiliten el cifrado durante Autopilot en para resolver este problema para los dispositivos unidos a Microsoft Entra.

Escenario 5: el dispositivo está en un estado de error, pero cifrado

En este escenario común, si la directiva de Intune está configurada para el cifrado XTS-AES de 128 bits, pero el dispositivo de destino se cifra mediante el cifrado XTS-AES de 256 bits (o el inverso), recibirá el error que se muestra a continuación.

Detalles del estado de cifrado de dispositivos de Intune que muestran que el dispositivo está en un estado de error pero cifrado.

Estado de cifrado explicado:

Esto sucede cuando un dispositivo que ya se ha cifrado mediante otro método, ya sea manualmente por el usuario, con Microsoft BitLocker Administration and Monitoring (MBAM) o por Microsoft Configuration Manager antes de la inscripción.

Para corregirlo, descifra el dispositivo manualmente o con Windows PowerShell. A continuación, deje que la directiva de BitLocker de Intune cifre el dispositivo de nuevo la próxima vez que la directiva la alcance.

Escenario 6: el dispositivo está cifrado, pero el estado del perfil está en error

En ocasiones, un dispositivo aparece cifrado, pero tiene un estado de error en el resumen de estado del perfil.

Detalles del estado de cifrado de Intune que muestran el resumen del estado del perfil está en estado de error.

Estado de cifrado explicado:

Esto suele ocurrir cuando el dispositivo se ha cifrado por otro medio (posiblemente manualmente). La configuración coincide con la directiva actual, pero Intune no ha iniciado el cifrado.