Compartir a través de


Solución de problemas de BitLocker con el informe de cifrado de Intune

Microsoft Intune proporciona un informe de cifrado integrado que proporciona detalles sobre el estado del cifrado en todos los dispositivos administrados. El informe de cifrado de Intune es un punto de partida útil para solucionar errores de cifrado. Puede usar el informe para identificar y aislar errores de cifrado de BitLocker y ver el estado del módulo de plataforma segura (TPM) y el estado de cifrado de los dispositivos Windows.

En este artículo se explica cómo usar el informe de cifrado de Intune para ayudar a solucionar problemas de cifrado de BitLocker. Para obtener instrucciones adicionales sobre la solución de problemas, consulte Solución de problemas de directivas de BitLocker desde el lado cliente.

Nota:

Para aprovechar al máximo este método de solución de problemas y los detalles de error disponibles en el informe de cifrado, deberá configurar una directiva de BitLocker. Si actualmente usa una directiva de configuración de dispositivos, considere la posibilidad de migrar la directiva. Para obtener más información, vea Administrar la directiva de BitLocker para dispositivos Windows con Intune y configuración de directivas de cifrado de disco para la seguridad de los puntos de conexión en Intune.

Requisitos previos de cifrado

De forma predeterminada, el asistente para la instalación de BitLocker solicita a los usuarios que habiliten el cifrado. También puede configurar una directiva de BitLocker que habilite BitLocker de forma silenciosa en un dispositivo. En esta sección se explican los distintos requisitos previos para cada método.

Nota:

El cifrado automático no es lo mismo que el cifrado silencioso. El cifrado automático se realiza durante el modo de experiencia integrada de Windows (OOBE) en dispositivos modernos en espera o en dispositivos compatibles con la Interfaz de prueba de seguridad de hardware (HSTI). En el cifrado silencioso, Intune suprime la interacción del usuario mediante la configuración del proveedor de servicios de configuración (CSP) de BitLocker.

Requisitos previos para el cifrado habilitado para el usuario :

  • El disco duro debe estar particionado en una unidad de sistema operativo con formato NTFS y una unidad del sistema de al menos 350 MB con formato FAT32 para UEFI y NTFS para BIOS.
  • El dispositivo debe inscribirse en Intune a través de Microsoft Entra unión híbrida, registro Microsoft Entra o Microsoft Entra unión.
  • No se requiere un chip de módulo de plataforma segura (TPM), pero se recomienda encarecidamente para aumentar la seguridad.

Requisitos previos para el cifrado silencioso de BitLocker:

  • Un chip TPM (versión 1.2 o 2.0) que se debe desbloquear.
  • El entorno de recuperación de Windows (WinRE) debe estar habilitado.
  • El disco duro debe estar particionado en una unidad de sistema operativo con formato NTFS y una unidad del sistema de al menos 350 MB debe tener el formato FAT32 para unified Extensible Firmware Interface (UEFI) y NTFS para BIOS. UEFI BIOS es necesario para dispositivos tpm versión 2.0. (El arranque seguro no es necesario, pero proporcionará más seguridad).
  • El dispositivo inscrito en Intune está conectado a los servicios híbridos de Microsoft Azure o a Microsoft Entra ID.

Identificación del estado y los errores de cifrado

Los errores de cifrado de BitLocker en Intune dispositivos Windows 10 inscritos pueden dividirse en una de las categorías siguientes:

  • El hardware o software del dispositivo no cumple los requisitos previos para habilitar BitLocker.
  • La directiva de BitLocker de Intune está mal configurada, lo que provoca conflictos directiva de grupo objeto (GPO).
  • El dispositivo ya está cifrado y el método de cifrado no coincide con la configuración de directiva.

Para identificar la categoría de un error de cifrado de dispositivo, inicie sesión en el centro de administración de Microsoft Intune y seleccioneInforme de cifradode monitor>de dispositivos>. El informe mostrará una lista de dispositivos inscritos y mostrará si un dispositivo está cifrado o listo para cifrarse y si tiene un chip TPM.

Intune ejemplo de informe de cifrado.

Nota:

Si un dispositivo Windows 10 muestra un estado No listo, es posible que siga admitiendo el cifrado. Para un estado Listo, el dispositivo Windows 10 debe tener tpm activado. Los dispositivos TPM no son necesarios para admitir el cifrado, pero se recomienda encarecidamente para aumentar la seguridad.

En el ejemplo anterior se muestra que un dispositivo con TPM versión 1.2 se ha cifrado correctamente. Además, puede ver dos dispositivos que no están listos para el cifrado que no podrán cifrarse de forma silenciosa, así como un dispositivo TPM 2.0 que está listo para el cifrado pero que aún no está cifrado.

Escenarios de error comunes

En las secciones siguientes se describen escenarios comunes de error que puede diagnosticar con detalles del informe de cifrado.

Escenario 1: el dispositivo no está listo para el cifrado y no está cifrado

Al hacer clic en un dispositivo que no está cifrado, Intune muestra un resumen de su estado. En el ejemplo siguiente, hay varios perfiles destinados al dispositivo: una directiva de endpoint protection, una directiva de sistema operativo Mac (que no es aplicable a este dispositivo) y una línea base Microsoft Defender Advanced Threat Protection (ATP).

Intune detalles de estado que muestran que el dispositivo no está listo para el cifrado y no está cifrado.

Estado de cifrado explicado:

Los mensajes de Detalles de estado son códigos devueltos por el nodo de estado de CSP de BitLocker desde el dispositivo. El estado de cifrado está en un estado de error porque el volumen del sistema operativo no está cifrado. Además, la directiva de BitLocker tiene requisitos para un TPM, que el dispositivo no satisface.

Los mensajes significan que el dispositivo no está cifrado porque no tiene un TPM presente y la directiva requiere uno.

Escenario 2: el dispositivo está listo pero no cifrado

En este ejemplo se muestra que el dispositivo TPM 2.0 no está cifrado.

Intune detalles de estado que muestran que el dispositivo está listo para el cifrado, pero no está cifrado.

Estado de cifrado explicado:

Este dispositivo tiene una directiva de BitLocker que está configurada para la interacción del usuario en lugar del cifrado silencioso. El usuario no ha iniciado ni completado el proceso de cifrado (el usuario recibe un mensaje de notificación), por lo que la unidad permanece sin cifrar.

Escenario 3: el dispositivo no está listo y no se cifrará de forma silenciosa

Si una directiva de cifrado está configurada para suprimir la interacción del usuario y cifrar de forma silenciosa y el estado de preparación de cifrado del informe de cifrado es No aplicable o No listo, es probable que el TPM no esté listo para BitLocker.

Intune detalles de estado que muestran que el dispositivo no está listo y no se cifrará de forma silenciosa.

Los detalles del estado del dispositivo revelan la causa:

Intune detalles del estado de cifrado del dispositivo que muestran que TPM no está listo para BitLocker.

Estado de cifrado explicado:

Si el TPM no está listo en el dispositivo, podría deberse a que está deshabilitado en el firmware o debe borrarse o restablecerse. La ejecución de la consola de administración de TPM (TPM.msc) desde la línea de comandos del dispositivo afectado le ayudará a comprender y resolver el estado del TPM.

Escenario 4: el dispositivo está listo pero no cifrado de forma silenciosa

Hay varias razones por las que un dispositivo destinado a cifrado silencioso está listo pero aún no cifrado.

Intune detalles del estado de cifrado del dispositivo que muestran que el dispositivo está listo para el cifrado silencioso, pero aún no está cifrado.

Estado de cifrado explicado:

Una explicación es que WinRE no está habilitado en el dispositivo, que es un requisito previo. Puede validar el estado de WinRE en el dispositivo mediante el comando reagentc.exe/info como administrador.

Salida del símbolo del sistema de reagentc.exe/info.

Si WinRE está deshabilitado, ejecute el comando reagentc.exe/info como administrador para habilitar WinRE.

Habilitar WinRE en el símbolo del sistema.

La página Detalles del estado mostrará el siguiente mensaje si WinRE no está configurado correctamente:

El usuario que ha iniciado sesión en el dispositivo no tiene derechos de administrador.

Otra razón podría ser los derechos administrativos. Si la directiva de BitLocker se dirige a un usuario que no tiene derechos administrativos y permitir que los usuarios estándar habiliten el cifrado durante Autopilot no está habilitado, verá los siguientes detalles de estado de cifrado.

Estado de cifrado explicado:

Establezca Permitir que los usuarios estándar habiliten el cifrado durante Autopilot en para resolver este problema para Microsoft Entra dispositivos unidos.

Escenario 5: el dispositivo está en un estado de error, pero cifrado

En este escenario común, si la directiva de Intune está configurada para el cifrado XTS-AES de 128 bits, pero el dispositivo de destino se cifra mediante cifrado XTS-AES de 256 bits (o inverso), recibirá el error que se muestra a continuación.

Intune detalles del estado de cifrado del dispositivo que muestran que el dispositivo está en un estado de error, pero cifrado.

Estado de cifrado explicado:

Esto sucede cuando un dispositivo que ya se ha cifrado mediante otro método, ya sea manualmente por el usuario, con Microsoft BitLocker Administration and Monitoring (MBAM) o por el Microsoft Configuration Manager antes de la inscripción.

Para corregir esto, descifre el dispositivo manualmente o con Windows PowerShell. A continuación, deje que la directiva Intune BitLocker cifre el dispositivo de nuevo la próxima vez que la directiva lo alcance.

Escenario 6: el dispositivo está cifrado, pero el estado del perfil está en error

En ocasiones, un dispositivo aparece cifrado, pero tiene un estado de error en el resumen de estado de perfil.

Intune detalles de estado de cifrado que muestran que el resumen de estado del perfil está en estado de error.

Estado de cifrado explicado:

Esto suele ocurrir cuando el dispositivo se ha cifrado por otro medio (posiblemente manualmente). La configuración coincide con la directiva actual, pero Intune no ha iniciado el cifrado.