Compartir a través de

Aplicación de directivas de BitLocker con Intune: problemas conocidos

  • Artículo

Este artículo ayuda a solucionar problemas que pueden experimentarse si se usa la directiva de Microsoft Intune para administrar el cifrado silencioso de BitLocker en los dispositivos. El portal de Intune indica si BitLocker no pudo cifrar uno o varios dispositivos administrados.

Captura de pantalla que muestra los indictores de estado de BitLocker en el portal de Intune.

Para empezar a restringir la causa del problema, revise los registros de eventos como se describe en Solución de problemas de BitLocker. Céntrese en los registros de administración y operaciones en los registros de aplicaciones y servicios de>Microsoft>Windows>BitLocker-API. En las secciones siguientes se proporciona más información sobre cómo resolver los eventos indicados y los mensajes de error:

Si no hay ningún rastro claro de eventos o mensajes de error que seguir, otras áreas para investigar incluyen las siguientes áreas:

Para obtener información sobre el procedimiento para comprobar si las directivas de Intune están aplicando BitLocker correctamente, consulte Comprobación de que BitLocker funciona correctamente.

Id. de evento 853: Error: No se encuentra un dispositivo de seguridad del módulo de plataforma segura (TPM) compatible en este equipo

El id. de evento 853 puede llevar mensajes de error diferentes, en función del contexto. En este caso, el mensaje de error id. de evento 853 indica que el dispositivo no parece tener un TPM. La información del evento será similar al siguiente evento:

Captura de pantalla de los detalles del identificador de evento 853 (TPM no está disponible, no se encuentra TPM).

Causa del identificador de evento 853: Error: No se encuentra un dispositivo de seguridad del módulo de plataforma segura (TPM) compatible en este equipo

Es posible que el dispositivo protegido no tenga un chip TPM o que el BIOS del dispositivo se haya configurado para deshabilitar el TPM.

Resolución del identificador de evento 853: Error: No se encuentra un dispositivo de seguridad del módulo de plataforma segura (TPM) compatible en este equipo

Para resolver este problema, compruebe las siguientes configuraciones:

  • El TPM está habilitado en el BIOS del dispositivo.
  • El estado de TPM en la consola de administración de TPM es similar a los siguientes estados:
    • Listo (TPM 2.0)
    • Inicializado (TPM 1.2)

Para obtener más información, consulte Solución de problemas del TPM.

Id. de evento 853: Error: Cifrado de unidad BitLocker detectado medios de arranque (CD o DVD) en el equipo

En este caso, se muestra el identificador de evento 853 y el mensaje de error en el evento indica que los medios de arranque están disponibles para el dispositivo. La información del evento es similar a la siguiente.

Captura de pantalla de los detalles del identificador de evento 853 (TPM no está disponible, se encontró un medio de arranque).

Causa del identificador de evento 853: Error: Cifrado de unidad BitLocker detectado medios de arranque (CD o DVD) en el equipo

Durante el proceso de aprovisionamiento, el cifrado de unidad BitLocker registra la configuración del dispositivo para establecer una línea base. Si la configuración del dispositivo cambia más adelante (por ejemplo, si se quita el medio), se inicia automáticamente el modo de recuperación de BitLocker.

Para evitar esta situación, el proceso de aprovisionamiento se detiene si detecta un medio de arranque extraíble.

Resolución del identificador de evento 853: Error: Cifrado de unidad BitLocker detectado medios de arranque (CD o DVD) en el equipo

Quite el medio de arranque y reinicie el dispositivo. Una vez reiniciado el dispositivo, compruebe el estado de cifrado.

Id. de evento 854: WinRE no está configurado

La información del evento es similar al siguiente mensaje de error:

No se pudo habilitar el cifrado silencioso. WinRe no está configurado.

Error: Este equipo no puede admitir el cifrado de dispositivos porque WinRE no está configurado correctamente.

Causa del identificador de evento 854: WinRE no está configurado

Windows Recovery Environment (WinRE) es un sistema operativo Windows mínimo basado en el entorno de preinstalación de Windows (Windows PE). WinRE incluye varias herramientas que un administrador puede usar para recuperar o restablecer Windows y diagnosticar problemas de Windows. Si un dispositivo no puede iniciar el sistema operativo Windows normal, el dispositivo intenta iniciar WinRE.

El proceso de aprovisionamiento habilita el cifrado de unidad BitLocker en la unidad del sistema operativo durante la fase de aprovisionamiento de Windows PE. Esta acción garantiza que la unidad esté protegida antes de instalar el sistema operativo completo. El proceso de aprovisionamiento también crea una partición del sistema para WinRE que se usará si el sistema se bloquea.

Si WinRE no está disponible en el dispositivo, el aprovisionamiento se detiene.

Resolución del identificador de evento 854: WinRE no está configurado

Este problema se puede resolver comprobando la configuración de las particiones de disco, el estado de WinRE y la configuración del cargador de arranque de Windows siguiendo estos pasos:

Paso 1: Comprobar la configuración de las particiones de disco

Los procedimientos descritos en esta sección dependen de las particiones de disco predeterminadas que Windows configura durante la instalación. Windows 11 y Windows 10 crean automáticamente una partición de recuperación que contiene el archivo Winre.wim . La configuración de partición es similar a la siguiente.

Captura de pantalla de las particiones de disco predeterminadas, incluida la partición de recuperación.

Para comprobar la configuración de las particiones de disco, abra una ventana del símbolo del sistema con privilegios elevados y ejecute los comandos siguientes:

diskpart.exe 
list volume

Captura de pantalla de la salida del comando list volume de Diskpart.

Si el estado de cualquiera de los volúmenes no es correcto o si falta la partición de recuperación, es posible que Windows tenga que volver a instalarse. Antes de reinstalar Windows, compruebe la configuración de la imagen de Windows que se está aprovisionando. Asegúrese de que la imagen usa la configuración de disco correcta. La configuración de la imagen debe ser similar a la siguiente (este ejemplo es de Microsoft Configuration Manager):

Captura de pantalla de la configuración de la imagen de Windows en Microsoft Configuration Manager.

Paso 2: Comprobar el estado de WinRE

Para comprobar el estado de WinRE en el dispositivo, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

reagentc.exe /info

La salida de este comando es similar a la siguiente.

Captura de pantalla de la salida del comando reagentc.exe /info.

Si el estado de Windows RE no es Habilitado, ejecute el siguiente comando para habilitarlo:

reagentc.exe /enable

Paso 3: Comprobar la configuración del cargador de arranque de Windows

Si el estado de la partición es correcto, pero el comando reagentc.exe /enable produce un error, compruebe si el cargador de arranque de Windows contiene el GUID de secuencia de recuperación ejecutando el siguiente comando en una ventana del símbolo del sistema con privilegios elevados:

bcdedit.exe /enum all

La salida de este comando será similar a la siguiente salida:

Captura de pantalla de la salida del comando bcdedit /enum all.

En la salida, busque la sección Cargador de arranque de Windows que incluye el identificador de línea ={current}. En esa sección, busque el atributo recoverysequence . El valor de este atributo debe ser un valor GUID, no una cadena de ceros.

Id. de evento 851: Póngase en contacto con el fabricante para obtener instrucciones de actualización del BIOS.

La información del evento será similar al siguiente mensaje de error:

No se pudo habilitar el cifrado silencioso.

Error: El cifrado de unidad BitLocker no se puede habilitar en la unidad del sistema operativo. Póngase en contacto con el fabricante del equipo para obtener instrucciones de actualización del BIOS.

Causa del identificador de evento 851: póngase en contacto con el fabricante para obtener instrucciones de actualización del BIOS.

El dispositivo debe tener bios de unified Extensible Firmware Interface (UEFI). El cifrado silencioso de unidad BitLocker no admite bios heredado.

Resolución del identificador de evento 851: póngase en contacto con el fabricante para obtener instrucciones de actualización del BIOS.

Para comprobar el modo BIOS, siga estos pasos para usar la aplicación Información del sistema:

  1. Seleccione Inicio y escriba msinfo32 en el cuadro Buscar .

  2. Compruebe que la configuración del modo BIOS sea UEFI y no heredado.

    Captura de pantalla de la aplicación Información del sistema, en la que se muestra la configuración del modo BIOS.

  3. Si la configuración del modo BIOS es Heredada, el firmware UEFI debe cambiarse al modo UEFI o EFI . Los pasos para cambiar al modo UEFI o EFI son específicos del dispositivo.

    Nota:

    Si el dispositivo solo admite el modo heredado, Intune no se puede usar para administrar el cifrado de dispositivos BitLocker en el dispositivo.

Mensaje de error: No se pudo leer la variable UEFI "SecureBoot"

Se muestra un mensaje de error similar al siguiente:

Error: BitLocker no puede usar el arranque seguro para la integridad porque no se pudo leer la variable UEFI "SecureBoot". El cliente no dispone de un privilegio requerido.

Causa del mensaje de error: no se pudo leer la variable UEFI "SecureBoot"

Un registro de configuración de plataforma (PCR) es una ubicación de memoria en el TPM. En concreto, la PCR 7 mide el estado de arranque seguro. El cifrado silencioso de unidad BitLocker requiere que se active el arranque seguro.

Resolución del mensaje de error: No se pudo leer la variable UEFI "SecureBoot"

Este problema se puede resolver mediante la comprobación del perfil de validación de PCR del TPM y el estado de arranque seguro siguiendo estos pasos:

Paso 1: Comprobar el perfil de validación de PCR del TPM

Para comprobar que PCR 7 está en uso, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

Manage-bde.exe -protectors -get %systemdrive%

En la sección TPM de la salida de este comando, compruebe si la configuración perfil de validación de PCR incluye 7, como se indica a continuación:

Captura de pantalla de la salida del comando manage-bde.exe.

Si el perfil de validación de PCR no incluye 7 (por ejemplo, los valores incluyen 0, 2, 4 y 11, pero no 7), el arranque seguro no está activado.

Captura de pantalla de la salida del comando manage-bde cuando la PCR 7 no está presente.

2: Comprobación del estado de arranque seguro

Para comprobar el estado de arranque seguro, siga estos pasos para usar la aplicación Información del sistema:

  1. Seleccione Inicio y escriba msinfo32 en el cuadro Buscar .

  2. Compruebe que la configuración estado de arranque seguro está activada, como se indica a continuación:

    Captura de pantalla de la aplicación Información del sistema, que muestra un estado de arranque seguro no admitido.

  3. Si la configuración estado de arranque seguro no es compatible, el cifrado silencioso de BitLocker no se puede usar en el dispositivo.

    Información del sistema aplicación, que muestra un estado de arranque seguro no compatible.

Nota:

El cmdlet Confirm-SecureBootUEFI de PowerShell también se puede usar para comprobar el estado de arranque seguro abriendo una ventana de PowerShell con privilegios elevados y ejecutando el siguiente comando:

Confirm-SecureBootUEFI

Si el equipo admite arranque seguro y arranque seguro está habilitado, este cmdlet devuelve "True".

Si el equipo admite arranque seguro y arranque seguro está deshabilitado, este cmdlet devuelve "False".

Si el equipo no admite arranque seguro o es un equipo bios (no UEFI), este cmdlet devuelve "Cmdlet no compatible con esta plataforma".

Id. de evento 846, 778 y 851: Error 0x80072f9a

Considere el caso siguiente:

La directiva de Intune se está implementando para cifrar un dispositivo Windows 10, versión 1809 y la contraseña de recuperación se almacena en el identificador de Microsoft Entra. Como parte de la configuración de directiva, se ha seleccionado la opción Permitir que los usuarios estándar habiliten el cifrado durante la unión a Microsoft Entra.

Se produce un error en la implementación de directivas y el error genera los siguientes eventos en Visor de eventos en la carpeta Aplicaciones y servicios Registra>la API de Microsoft>Windows>BitLocker:

Id. de evento:846

Evento: No se pudo realizar una copia de seguridad de la información de recuperación del cifrado de unidad BitLocker para el volumen C: al identificador de Microsoft Entra.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Error: Código de error HResult desconocido: 0x80072f9a

Id. de evento:778

Evento: El volumen de BitLocker C: se revierte a un estado desprotegido.

Identificador de evento: 851

Evento: No se pudo habilitar el cifrado silencioso.

Error: Código de error HResult desconocido: 0x80072f9a.

Estos eventos hacen referencia al código de error 0x80072f9a.

Causa del identificador de evento 846, 778 y 851: Error 0x80072f9a

Estos eventos indican que el usuario que inició sesión no tiene permiso para leer la clave privada en el certificado que se genera como parte del proceso de aprovisionamiento e inscripción. Por lo tanto, se produce un error en la actualización de la directiva MDM de BitLocker.

El problema afecta a Windows 10 versión 1809.

Resolución del identificador de evento 846, 778 y 851: error 0x80072f9a

Para resolver este problema, instale la actualización del 21 de mayo de 2019 .

Mensaje de error: Hay una configuración de directiva de grupo en conflicto para las opciones de recuperación en las unidades del sistema operativo.

Se muestra un mensaje de error similar al siguiente:

Error: El cifrado de unidad BitLocker no se puede aplicar a esta unidad porque hay configuraciones de directiva de grupo en conflicto para las opciones de recuperación en las unidades del sistema operativo. No es necesario almacenar información de recuperación en Servicios de dominio de Active Directory cuando no se permite la generación de contraseñas de recuperación. Haga que el administrador del sistema resuelva estos conflictos de directivas antes de intentar habilitar BitLocker...

Resolución del mensaje de error: Hay opciones de directiva de grupo en conflicto para las opciones de recuperación en unidades del sistema operativo.

Para resolver este problema, revise la configuración del objeto de directiva de grupo (GPO) en busca de conflictos. Para obtener más información, consulte la sección siguiente, Revisar la configuración de directivas de BitLocker.

Para obtener más información sobre los GPO y BitLocker, consulte Referencia de directiva de grupo de BitLocker.

Revisar la configuración de la directiva de BitLocker

Para obtener información sobre el procedimiento para usar la directiva junto con BitLocker e Intune, consulte los siguientes recursos:

Intune ofrece los siguientes tipos de cumplimiento para BitLocker:

  • Automático (aplicado cuando el dispositivo se une a Microsoft Entra ID durante el proceso de aprovisionamiento. Esta opción está disponible en Windows 10 versión 1703 y posteriores).
  • Silencioso (directiva de Endpoint Protection. Esta opción está disponible en Windows 10, versión 1803 y posteriores).
  • Interactivo (directiva de punto de conexión para versiones de Windows anteriores a la versión 1803 de Windows 10).

Si el dispositivo ejecuta Windows 10 versión 1703 o posterior, admite modern standby (también conocido como Instant Go) y es compatible con HSTI, unir el dispositivo a Microsoft Entra ID desencadena el cifrado automático de dispositivos. No se requiere una directiva de protección de puntos de conexión independiente para aplicar el cifrado de dispositivos.

Si el dispositivo es compatible con HSTI, pero no admite el modo de espera moderno, se debe configurar una directiva de protección de puntos de conexión para aplicar el cifrado silencioso de la unidad BitLocker. La configuración de esta directiva debe ser similar a la siguiente configuración:

Captura de pantalla de la configuración de directiva de Intune que muestra Cifrar dispositivos necesarios.

Las referencias de OMA-URI para esta configuración son las siguientes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo de valor: entero
    Valor: 1 (1 = Requerir, 0 = No configurado)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo de valor: entero
    Valor: 0 (0 = Bloqueado, 1 = Permitido)

Nota:

Debido a una actualización del CSP de directiva de BitLocker, si el dispositivo usa Windows 10 versión 1809 o posterior, se puede usar una directiva de protección de puntos de conexión para aplicar el cifrado silencioso de dispositivos BitLocker incluso si el dispositivo no es compatible con HSTI.

Nota:

Si la opción Advertencia para otro cifrado de disco está establecida en No configurado, el Asistente para cifrado de unidad BitLocker debe iniciarse manualmente.

Si el dispositivo no admite el modo de espera moderno, pero es compatible con HSTI, y usa una versión de Windows anterior a Windows 10, versión 1803, una directiva de protección de puntos de conexión que tiene la configuración que se describe en este artículo entrega la configuración de directiva al dispositivo. Sin embargo, Windows notifica al usuario que habilite manualmente el cifrado de unidad BitLocker. Cuando el usuario seleccione la notificación, iniciará el Asistente para cifrado de unidad BitLocker.

Intune proporciona opciones que se pueden usar para configurar el cifrado automático de dispositivos para dispositivos Autopilot para usuarios estándar. Cada dispositivo debe cumplir los siguientes requisitos:

  • Ser compatible con HSTI
  • Compatibilidad con el modo de espera moderno
  • Usar Windows 10 versión 1803 o posterior

Captura de pantalla de la configuración de directiva de Intune que muestra Permitir que los usuarios estándar habiliten el cifrado durante la unión a Microsoft Entra.

Las referencias de OMA-URI para esta configuración son las siguientes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo de valor: Valor entero : 1

Nota:

Este nodo funciona junto con los nodos RequireDeviceEncryption y AllowWarningForOtherDiskEncryption . Por este motivo, cuando se establecen las siguientes opciones de configuración:

  • RequireDeviceEncryption a 1
  • AllowStandardUserEncryption a 1
  • AllowWarningForOtherDiskEncryption a 0

Intune aplica el cifrado silencioso de BitLocker para dispositivos Autopilot que tienen perfiles de usuario estándar.

Comprobación de que BitLocker funciona correctamente

Durante las operaciones normales, el cifrado de unidad BitLocker genera eventos como el identificador de evento 796 y el identificador de evento 845.

Captura de pantalla del identificador de evento 796 con información detallada.

Captura de pantalla del identificador de evento 845 con información detallada.

También se puede determinar si la contraseña de recuperación de BitLocker se ha cargado en microsoft Entra ID comprobando los detalles del dispositivo en la sección Dispositivos de Microsoft Entra.

Captura de pantalla de la información de recuperación de BitLocker tal como se ve en Microsoft Entra ID.

En el dispositivo, compruebe el Editor del Registro para comprobar la configuración de directiva en el dispositivo. Compruebe las entradas en las siguientes subclaves:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Captura de pantalla de las subclaves del Registro relacionadas con la directiva de Intune.