Partager via

Résolution des problèmes liés aux stratégies BitLocker côté client

  • Article

Cet article fournit des conseils sur la résolution des problèmes de chiffrement BitLocker côté client. Bien que le rapport de chiffrement Microsoft Intune puisse vous aider à identifier et à résoudre les problèmes de chiffrement courants, certaines données d’état du fournisseur de services de configuration BitLocker (CSP) peuvent ne pas être signalées. Dans ces scénarios, vous devez accéder à l’appareil pour examiner plus en détail.

Processus de chiffrement BitLocker

Les étapes suivantes décrivent le flux d’événements qui doivent entraîner un chiffrement réussi d’un appareil Windows 10 qui n’a pas été précédemment chiffré avec BitLocker.

  1. Un administrateur configure une stratégie BitLocker dans Intune avec les paramètres souhaités et cible un groupe d’utilisateurs ou un groupe d’appareils.
  2. La stratégie est enregistrée dans un locataire dans le service Intune.
  3. Un client Windows 10 Mobile Gestion des appareils (MDM) se synchronise avec le service Intune et traite les paramètres de stratégie BitLocker.
  4. La tâche planifiée d’actualisation de la stratégie GPM BitLocker s’exécute sur l’appareil qui réplique les paramètres de stratégie BitLocker vers la clé de Registre FVE (Full Volume Encryption).
  5. Le chiffrement BitLocker est lancé sur les lecteurs.

Le rapport de chiffrement affiche les détails de l’état du chiffrement pour chaque appareil ciblé dans Intune. Pour obtenir des conseils détaillés sur l’utilisation de ces informations pour la résolution des problèmes, consultez Résolution des problèmes de BitLocker avec le rapport de chiffrement Intune.

Lancer une synchronisation manuelle

Si vous avez déterminé qu’il n’existe aucune information exploitable dans le rapport de chiffrement, vous devez collecter des données à partir de l’appareil concerné pour effectuer l’investigation.

Une fois que vous avez accès à l’appareil, la première étape consiste à lancer une synchronisation avec le service Intune manuellement avant de collecter les données. Sur votre appareil Windows, sélectionnez Paramètres>d’accès aux comptes>professionnels ou scolaires><Sélectionnez les informations de votre compte>>professionnel ou scolaire. Ensuite, sous État de synchronisation de l’appareil, sélectionnez Synchroniser.

Une fois la synchronisation terminée, passez aux sections suivantes.

Collecte des données du journal des événements

Les sections suivantes expliquent comment collecter des données à partir de différents journaux pour résoudre les problèmes d’état et de stratégies de chiffrement. Veillez à effectuer une synchronisation manuelle avant de collecter les données de journal.

Journal des événements de l’agent de gestion des appareils mobiles (MDM)

Le journal des événements MDM est utile pour déterminer s’il y a eu un problème lors du traitement de la stratégie Intune ou de l’application des paramètres CSP. L’agent DM OMA se connecte au service Intune et tente de traiter les stratégies ciblées sur l’utilisateur ou l’appareil. Ce journal affiche la réussite et les échecs de traitement des stratégies Intune.

Collectez ou passez en revue les informations suivantes :

LOG>DeviceManagement-Enterprise-Diagnostics-Provider admin

  • Emplacement : cliquez avec le bouton droit sur Les applications de l’Observateur d’événements du menu>Démarrer et journaux> de service Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin>>
  • Emplacement du système de fichiers : C :\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Pour filtrer ce journal, cliquez avec le bouton droit sur le journal des événements, puis sélectionnez Filtrer l’état critique/erreur/avertissement du journal>actuel. Effectuez ensuite une recherche dans les journaux filtrés pour BitLocker (appuyez sur F3 et entrez le texte).

Les erreurs dans les paramètres BitLocker suivent le format du fournisseur de solutions Cloud BitLocker. Vous verrez donc des entrées comme suit :

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

ou

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Note

Vous pouvez également activer la journalisation du débogage pour ce journal des événements à l’aide de l’Observateur d’événements pour la résolution des problèmes.

Journal des événements de gestion de BitLocker-API

Il s’agit du journal des événements principal pour BitLocker. Si l’agent MDM a traité la stratégie correctement et qu’il n’y a aucune erreur dans le journal des événements d’administrateur deviceManagement-Enterprise-Diagnostics-Provider, il s’agit du journal suivant à examiner.

Gestion log>BitLocker-API

  • Emplacement : Cliquez avec le bouton droit sur Les applications de l’Observateur d’événements du menu>Démarrer et journaux> de service Microsoft>Windows>BitLocker-API>
  • Emplacement du système de fichiers : C :\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

En règle générale, les erreurs sont consignées ici s’il existe des prérequis matériels ou logiciels manquants que la stratégie requiert, comme le module de plateforme sécurisée (TPM) ou l’environnement de récupération Windows (WinRE).

Erreur : Échec de l’activation du chiffrement silencieux

Comme illustré dans l’exemple suivant, les paramètres de stratégie en conflit qui ne peuvent pas être implémentés pendant le chiffrement silencieux et le manifeste en tant que conflits de stratégie de groupe sont également enregistrés :

Échec de l’activation du chiffrement silencieux.

Erreur : Le chiffrement BitLocker ne peut pas être appliqué à ce lecteur en raison de paramètres de stratégie de groupe en conflit. Lorsque l’accès en écriture aux lecteurs non protégés par BitLocker est refusé, l’utilisation d’une clé de démarrage USB ne peut pas être requise. Demandez à votre administrateur système de résoudre ces conflits de stratégie avant de tenter d’activer BitLocker.

Solution : configurez le code confidentiel de démarrage TPM compatible sur Bloqué. Cela permet de résoudre les paramètres de stratégie de groupe en conflit lors de l’utilisation du chiffrement silencieux.

Vous devez définir le code confidentiel et la clé de démarrage du module TPM sur Bloqué si le chiffrement silencieux est requis. La configuration du code confidentiel de démarrage et de la clé de démarrage TPM sur Autorisés et autres paramètres de clé de démarrage et de code confidentiel sur Bloqué pour l’interaction utilisateur et entraîne une erreur de stratégie de groupe en conflit dans le journal des événements BitLocker-AP. En outre, si vous configurez le code confidentiel de démarrage du module TPM ou la clé de démarrage pour exiger une interaction utilisateur, le chiffrement silencieux échoue.

La configuration de l’un des paramètres TPM compatibles sur Obligatoire entraîne l’échec du chiffrement silencieux.

Paramètres du lecteur de système d’exploitation BitLocker qui affiche le démarrage du module TPM compatible défini sur Obligatoire.

Erreur : TPM non disponible

Une autre erreur courante dans le journal BitLocker-API est que le module de plateforme sécurisée n’est pas disponible. L’exemple suivant montre que le TPM est requis pour le chiffrement silencieux :

Échec de l’activation du chiffrement silencieux. Le module de plateforme sécurisée n’est pas disponible.

Erreur : un appareil de sécurité TPM (Trusted Platform Module) compatible est introuvable sur cet ordinateur.

Solution : vérifiez qu’il existe un module de plateforme sécurisée disponible sur l’appareil et, s’il est présent, vérifiez l’état via TPM.msc ou l’applet de commande PowerShell get-tpm.

Erreur : bus compatible DMA non autorisé

Si le journal BitLocker-API affiche l’état suivant, cela signifie que Windows a détecté un appareil compatible avec l’accès direct à la mémoire (DMA) attaché susceptible d’exposer une menace DMA.

Détection d’un ou plusieurs appareils compatibles DMA non autorisés

Solution : Pour résoudre ce problème, vérifiez d’abord que l’appareil n’a pas de ports DMA externes avec le fabricant d’équipement d’origine (OEM). Suivez ensuite ces étapes pour ajouter l’appareil à la liste autorisée. Remarque : ajoutez uniquement un appareil DMA à la liste autorisée s’il s’agit d’une interface/bus DMA interne.

Journal des événements système

Si vous rencontrez des problèmes matériels, tels que des problèmes avec le module TPM, des erreurs s’affichent dans le journal des événements système pour TPM à partir de la source TPMProvisioningService ou TPM-WMI.

Événement LOG>System

  • Emplacement : cliquez avec le bouton droit sur le système de journaux>Windows de l’Observateur>d’événements du menu Démarrer>
  • Emplacement du système de fichiers : C :\Windows\System32\winevt\Logs\System.evtx

Filtrage des propriétés du journal des événements système.

Filtrez sur ces sources d’événements pour identifier les problèmes matériels rencontrés par l’appareil avec le module TPM et vérifiez auprès du fabricant OEM s’il existe des mises à jour de microprogramme disponibles.

Journal des événements opérationnels du planificateur de tâches

Le journal des événements opérationnels du planificateur de tâches est utile pour résoudre les problèmes dans lesquels la stratégie a été reçue d’Intune (a été traitée dans DeviceManagement-Enterprise), mais le chiffrement BitLocker n’a pas été lancé avec succès. L’actualisation de la stratégie GPM BitLocker est une tâche planifiée qui doit s’exécuter correctement lorsque l’agent MDM se synchronise avec le service Intune.

Activez et exécutez le journal opérationnel dans les scénarios suivants :

  • La stratégie BitLocker apparaît dans le journal des événements d’administrateur DeviceManagement-Enterprise-Diagnostics-Provider, dans les diagnostics MDM et le Registre.
  • Il n’existe aucune erreur (la stratégie a été récupérée avec succès à partir d’Intune).
  • Rien n’est consigné dans le journal des événements BitLocker-API pour montrer que le chiffrement a même été tenté.

Événement opérationnel du planificateur de tâches LOG>

  • Emplacement : Applications et journaux>de service de l’Observateur>d’événements Microsoft>Windows>TaskScheduler
  • Emplacement du système de fichiers : C :\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Activer et exécuter le journal des événements opérationnels

Important

Vous devez activer manuellement ce journal des événements avant de journaliser les données, car le journal identifie les problèmes rencontrés lors de l’exécution de la tâche planifiée d’actualisation de la stratégie MDM BitLocker.

  1. Pour activer ce journal, cliquez avec le bouton droit sur Les applications et services>de l’Observateur>d’événements du menu>Démarrer Microsoft>Windows>TaskScheduler>Operational.

    Capture d’écran de TaskScheduler - Journaux opérationnels.

  2. Entrez ensuite le planificateur de tâches dans la zone de recherche Windows, puis sélectionnez Planificateur de>tâches Microsoft>Windows>BitLocker. Cliquez avec le bouton droit sur l’actualisation de la stratégie GPM BitLocker, puis choisissez Exécuter.

  3. Une fois l’exécution terminée, inspectez la colonne Résultat de la dernière exécution pour obtenir des codes d’erreur et examinez le journal des événements de planification des tâches pour les erreurs.

    Exemple de capture d’écran des tâches BitLocker dans le Planificateur de tâches.

    Dans l’exemple ci-dessus, 0x0 s’exécute correctement. L’erreur 0x41303 cela signifie que la tâche n’a jamais été exécutée précédemment.

Note

Pour plus d’informations sur les messages d’erreur du planificateur de tâches, consultez Erreurs du planificateur de tâches et constantes de réussite.

Vérification des paramètres BitLocker

Les sections suivantes expliquent les différents outils que vous pouvez utiliser pour vérifier vos paramètres de chiffrement et votre état.

Rapport sur les diagnostics MDM

Vous pouvez créer un rapport des journaux GPM pour diagnostiquer les problèmes d’inscription ou de gestion des appareils dans les appareils Windows 10 gérés par Intune. Le rapport de diagnostic MDM contient des informations utiles sur un appareil inscrit à Intune et les stratégies déployées sur celui-ci.

Pour obtenir un didacticiel sur ce processus, consultez la vidéo YouTube Guide pratique pour créer un rapport de diagnostic MDM Intune sur les appareils Windows

  • Emplacement du système de fichiers : C :\Users\Public\Documents\MDMDiagnostics

Build et édition du système d’exploitation

La première étape de la compréhension de la raison pour laquelle votre stratégie de chiffrement ne s’applique pas correctement consiste à vérifier si la version et l’édition du système d’exploitation Windows prennent en charge les paramètres que vous avez configurés. Certains fournisseurs de services cloud ont été introduits sur des versions spécifiques de Windows et fonctionneront uniquement sur une certaine édition. Par exemple, la majeure partie des paramètres csp BitLocker ont été introduits dans Windows 10, version 1703, mais ces paramètres n’ont pas été pris en charge sur Windows 10 Professionnel jusqu’à windows 10, version 1809.

En outre, il existe des paramètres tels que AllowStandardUserEncryption (ajouté dans la version 1809), ConfigureRecoveryPasswordRotation (ajouté dans la version 1909), RotateRecoveryPasswords (ajouté dans la version 1909) et Status (ajouté dans la version 1903).

Examen avec l’EntDMID

L’EntDMID est un ID d’appareil unique pour l’inscription Intune. Dans le Centre d’administration Microsoft Intune, vous pouvez utiliser l’EntDMID pour rechercher dans l’affichage Tous les appareils et identifier un appareil spécifique. Il s’agit également d’une information cruciale pour le support Microsoft afin d’activer la résolution des problèmes supplémentaires côté service si un cas de support est requis.

Vous pouvez également utiliser le rapport de diagnostic MDM pour déterminer si une stratégie a été correctement envoyée à l’appareil avec les paramètres configurés par l’administrateur. En utilisant le fournisseur de solutions Cloud BitLocker comme référence, vous pouvez déchiffrer les paramètres qui ont été récupérés lors de la synchronisation avec le service Intune. Vous pouvez utiliser le rapport pour déterminer si la stratégie cible l’appareil et utilisez la documentation du fournisseur de solutions Cloud BitLocker pour identifier les paramètres qui ont été configurés.

MSINFO32

MSINFO32 est un outil d’information qui contient des données d’appareil que vous pouvez utiliser pour déterminer si un appareil satisfait aux prérequis BitLocker. Les conditions préalables requises dépendent des paramètres de stratégie BitLocker et du résultat requis. Par exemple, le chiffrement silencieux pour TPM 2.0 nécessite un module TPM et une interface UEFI (Unified Extensible Firmware Interface).

  • Emplacement : dans la zone de recherche, entrez msinfo32, cliquez avec le bouton droit sur Informations système dans les résultats de la recherche, puis sélectionnez Exécuter en tant qu’administrateur.
  • Emplacement du système de fichiers : C :\Windows\System32\Msinfo32.exe.

Toutefois, si cet élément ne répond pas aux conditions préalables, cela ne signifie pas nécessairement que vous ne pouvez pas chiffrer l’appareil à l’aide d’une stratégie Intune.

  • Si vous avez configuré la stratégie BitLocker pour chiffrer en mode silencieux et que l’appareil utilise TPM 2.0, il est important de vérifier que le mode BIOS est UEFI. Si le module de plateforme sécurisée est 1.2, le mode BIOS dans UEFI n’est pas obligatoire.
  • Le démarrage sécurisé, la protection DMA et la configuration DE RPC7 ne sont pas requis pour le chiffrement silencieux, mais peuvent être mis en surbrillance dans la prise en charge du chiffrement des appareils. Cela permet de garantir la prise en charge du chiffrement automatique.
  • Les stratégies BitLocker configurées pour ne pas nécessiter de module de plateforme sécurisée et qui ont une interaction utilisateur plutôt que de chiffrer en mode silencieux n’ont pas non plus de conditions préalables à l’archivage de MSINFO32.

TPM. Fichier MSC

TPM.msc est un fichier enfichable MMC (Microsoft Management Console). Vous pouvez utiliser TPM.msc pour déterminer si votre appareil a un module TPM, pour identifier la version et s’il est prêt à être utilisé.

  • Emplacement : dans la zone de recherche, entrez tpm.msc, puis cliquez avec le bouton droit et sélectionnez Exécuter en tant qu’administrateur.
  • Emplacement du système de fichiers : composant logiciel enfichable MMC C :\Windows\System32\mmc.exe.

Le module de plateforme sécurisée n’est pas un prérequis pour BitLocker, mais il est vivement recommandé en raison de la sécurité accrue qu’il fournit. Toutefois, le module de plateforme sécurisée est requis pour le chiffrement silencieux et automatique. Si vous essayez de chiffrer en mode silencieux avec Intune et qu’il existe des erreurs TPM dans les journaux d’événements BitLocker-API et système, TPM.msc vous aidera à comprendre le problème.

L’exemple suivant montre un état TPM 2.0 sain. Notez la version 2.0 de la spécification en bas à droite et que l’état est prêt à être utilisé.

Exemple de capture d’écran d’un état TPM 2.0 sain dans la console module de plateforme sécurisée.

Cet exemple montre un état non sain lorsque le module de plateforme sécurisée est désactivé dans le BIOS :

Exemple de capture d’écran d’un état TPM 2.0 non sain dans la console module de plateforme sécurisée.

La configuration d’une stratégie pour exiger un module TPM et s’attendre à ce que BitLocker chiffre lorsque le module de plateforme sécurisée est manquant ou non sain est l’un des problèmes les plus courants.

Applet de commande Get-Tpm

Une applet de commande est une commande légère dans l’environnement Windows PowerShell. Outre l’exécution de TPM.msc, vous pouvez vérifier le module TPM à l’aide de l’applet de commande Get-Tpm. Vous devez exécuter cette applet de commande avec des droits d’administrateur.

  • Emplacement : dans la zone de recherche, entrez cmd, puis cliquez avec le bouton droit et sélectionnez Exécuter en tant qu’administrateur>PowerShell>get-tpm.

Exemple de capture d’écran d’un module TPM présent et actif dans une fenêtre PowerShell.

Dans l’exemple ci-dessus, vous pouvez voir que le module de plateforme sécurisée est présent et actif dans la fenêtre PowerShell. Les valeurs sont égales à True. Si les valeurs étaient définies sur False, cela indiquerait un problème avec le module TPM. BitLocker ne pourra pas utiliser le module TPM tant qu’il n’est pas présent, prêt, activé, activé et détenu.

Outil en ligne de commande Manage-bde

Manage-bde est un outil de ligne de commande de chiffrement BitLocker inclus dans Windows. Il est conçu pour faciliter l’administration une fois BitLocker activé.

  • Emplacement : dans la zone de recherche, entrez cmd, cliquez avec le bouton droit et sélectionnez Exécuter en tant qu’administrateur, puis entrez manage-bde -status.
  • Emplacement du système de fichiers : C :\Windows\System32\manage-bde.exe.

Exemple de capture d’écran de la commande manage-bde.exe dans une fenêtre d’invite de commandes.

Vous pouvez utiliser manage-bde pour découvrir les informations suivantes sur un appareil :

  • Est-ce chiffré ? Si la création de rapports dans le Centre d’administration Microsoft Intune indique qu’un appareil n’est pas chiffré, cet outil en ligne de commande peut identifier l’état du chiffrement.
  • Quelle méthode de chiffrement a été utilisée ? Vous pouvez comparer les informations de l’outil à la méthode de chiffrement dans la stratégie pour vous assurer qu’elles correspondent. Par exemple, si la stratégie Intune est configurée sur XTS-AES 256 bits et que l’appareil est chiffré à l’aide de XTS-AES 128 bits, cela entraîne des erreurs dans les rapports de stratégie du Centre d’administration Microsoft Intune.
  • Quels logiciels de protection spécifiques sont utilisés ? Il existe plusieurs combinaisons de protecteurs. Le fait de savoir quel logiciel de protection est utilisé sur un appareil vous aidera à comprendre si la stratégie a été appliquée correctement.

Dans l’exemple suivant, l’appareil n’est pas chiffré :

Exemple de capture d’écran d’un appareil non chiffré avec BitLocker.

Emplacements du Registre BitLocker

Il s’agit de la première place dans le Registre à rechercher lorsque vous souhaitez déchiffrer les paramètres de stratégie récupérés par Intune :

  • Emplacement : cliquez avec le bouton droit sur Démarrer>l’exécution, puis entrez regedit pour ouvrir l’Éditeur du Registre.
  • Emplacement du système de fichiers par défaut : Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

La clé de Registre de l’agent MDM vous aidera à identifier l’identificateur global unique (GUID) dans PolicyManager qui contient les paramètres de stratégie BitLocker réels.

Emplacement du Registre BitLocker dans l’Éditeur du Registre.

Le GUID est mis en surbrillance dans l’exemple ci-dessus. Vous pouvez inclure le GUID (il sera différent pour chaque locataire) dans la sous-clé de Registre suivante pour résoudre les problèmes de paramètres de stratégie BitLocker :

Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

Capture d’écran de l’Éditeur de Registre affichant les paramètres de stratégie BitLocker configurés par l’agent MDM

Ce rapport affiche les paramètres de stratégie BitLocker qui ont été récupérés par l’agent MDM (client OMADM). Il s’agit des mêmes paramètres que ceux que vous verrez dans le rapport de diagnostic MDM. Il s’agit donc d’une autre façon d’identifier les paramètres que le client a récupérés.

Exemple de clé de Registre EncryptionMethodByDriveType :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Exemple de SystemDrivesRecoveryOptions :

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

Clé de Registre BitLocker

Les paramètres de la clé de Registre du fournisseur de stratégie sont dupliqués dans la clé de Registre BitLocker principale. Vous pouvez comparer les paramètres pour s’assurer qu’ils correspondent à ce qui apparaît dans les paramètres de stratégie dans l’interface utilisateur, le journal MDM, les diagnostics MDM et la clé de Registre de stratégie.

  • Emplacement de la clé de Registre : Ordinateur\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Voici un exemple de clé de Registre FVE :

Capture d’écran des clés de Registre BitLocker trouvées dans l’Éditeur du Registre.

  • R : EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv et EncryptionMethodWithXtsRdv ont les valeurs possibles suivantes :
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B : UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN sont tous définis sur 2, ce qui signifie qu’ils sont tous définis pour autoriser.
  • C : Notez que la plupart des clés sont divisées en groupes de paramètres pour le lecteur de système d’exploitation (SYSTÈME d’exploitation), le lecteur fixe (FDV) et le lecteur amovible (FDVR).
  • D : OSActiveDirectoryBackup a la valeur 1 et est activé.
  • E : OSHideRecoveryPage est égal à 0 et n’est pas activé.

Utilisez la documentation du fournisseur de solutions Cloud BitLocker pour décoder tous les noms de paramètres dans le Registre.

outil en ligne de commande REAgentC.exe

REAgentC.exe est un outil exécutable en ligne de commande que vous pouvez utiliser pour configurer l’environnement de récupération Windows (Windows RE). WinRE est un prérequis pour activer BitLocker dans certains scénarios tels que le chiffrement silencieux ou automatique.

  • Emplacement : cliquez avec le bouton droit sur Démarrer>l’exécution, entrez cmd. Cliquez ensuite avec le bouton droit sur cmd et sélectionnez Exécuter en tant qu’administrateur>reagentc /info.
  • Emplacement du système de fichiers : C :\Windows\System32\ReAgentC.exe.

Conseil

Si vous voyez des messages d’erreur dans l’API BitLocker sur WinRe non activé, exécutez la commande /info de reagentc sur l’appareil pour déterminer l’état WinRE.

Sortie de la commande ReAgentC.exe dans l’invite de commandes.

Si l’état WinRE est désactivé, exécutez la commande reagentc /enable en tant qu’administrateur pour l’activer manuellement :

Exemple de capture d’écran pour activer ReAgentC.exe dans l’invite de commandes. Exécuter la commande reagentc /enable

Résumé

Lorsque BitLocker ne parvient pas à activer sur un appareil Windows 10 à l’aide d’une stratégie Intune, dans la plupart des cas, les prérequis matériels ou logiciels ne sont pas en place. L’examen du journal BitLocker-API vous aidera à identifier les prérequis qui ne sont pas satisfaits. Les tâches les plus courantes sont :

  • Le module de plateforme sécurisée n’est pas présent
  • WinRE n’est pas activé
  • LE BIOS UEFI n’est pas activé pour les appareils TPM 2.0

La configuration incorrecte de la stratégie peut également entraîner des échecs de chiffrement. Tous les appareils Windows ne peuvent pas chiffrer en mode silencieux afin de réfléchir aux utilisateurs et aux appareils que vous ciblez.

La configuration d’une clé de démarrage ou d’un code confidentiel pour une stratégie destinée au chiffrement silencieux ne fonctionnera pas en raison de l’interaction utilisateur requise lors de l’activation de BitLocker. Gardez cela à l’esprit lors de la configuration de la stratégie BitLocker dans Intune.

Vérifiez si les paramètres de stratégie ont été récupérés par l’appareil pour déterminer si le ciblage a réussi.

Il est possible d’identifier les paramètres de stratégie à l’aide des diagnostics MDM, des clés de Registre et du journal des événements d’entreprise de gestion des appareils pour vérifier si les paramètres ont été appliqués avec succès. La documentation du fournisseur de solutions Cloud BitLocker peut vous aider à déchiffrer ces paramètres pour comprendre s’ils correspondent à ce qui a été configuré dans la stratégie.