Application des stratégies de BitLocker à l’aide de Intune : problèmes connus

Cet article vous aide à résoudre les problèmes qui peuvent être rencontrés si vous utilisez la stratégie Microsoft Intune pour gérer le chiffrement BitLocker silencieux sur les appareils. Le portail Intune indique si BitLocker n’a pas pu chiffrer un ou plusieurs appareils gérés.

Pour commencer à limiter la cause du problème, passez en revue les journaux des événements, comme décrit dans Résoudre les problèmes de BitLocker. Concentrez-vous sur les journaux de gestion et d’opérations dans les journaux>des applications et services dans le dossier Microsoft>Windows>BitLocker-API. Les sections suivantes fournissent plus d’informations sur la résolution des événements et messages d’erreur indiqués :

• ID d’événement 853 : Erreur : un appareil de sécurité de module de plateforme sécurisée (TPM) compatible est introuvable sur cet ordinateur
• ID d’événement 853 : Erreur : Chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur
• ID d’événement 854 : WinRE n’est pas configuré
• ID d’événement 851 : Contactez le fabricant pour la mise à niveau du BIOS
• Message d’erreur : Impossible de lire la variable UEFI « SecureBoot »
• ID d’événement 846, 778 et 851 : Erreur 0x80072f9a
• Message d’erreur : Il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation

S’il n’existe aucune trace claire des événements ou des messages d’erreur à suivre, d’autres domaines à examiner incluent les domaines suivants :

• Passez en revue la configuration matérielle requise pour utiliser Intune pour gérer BitLocker sur les appareils
• Passer en revue la configuration de la stratégie BitLocker

Pour plus d’informations sur la procédure permettant de vérifier si les stratégies Intune appliquent correctement BitLocker, consultez Vérifier que BitLocker fonctionne correctement.

ID d’événement 853 : Erreur : un appareil de sécurité de module de plateforme sécurisée (TPM) compatible est introuvable sur cet ordinateur

L’ID d’événement 853 peut contenir différents messages d’erreur, en fonction du contexte. Dans ce cas, le message d’erreur ID d’événement 853 indique que l’appareil n’apparaît pas avoir de module de plateforme sécurisée. Les informations d’événement sont similaires à l’événement suivant :

Cause de l’ID d’événement 853 : Erreur : un appareil de sécurité TPM (Trusted Platform Module) compatible est introuvable sur cet ordinateur

L’appareil sécurisé peut ne pas avoir de puce TPM, ou le BIOS de l’appareil a peut-être été configuré pour désactiver le module TPM.

Résolution de l’ID d’événement 853 : Erreur : un appareil de sécurité de module de plateforme sécurisée compatible (TPM) est introuvable sur cet ordinateur

Pour résoudre ce problème, vérifiez les configurations suivantes :

• Le module TPM est activé dans le BIOS de l’appareil.
• L’état du module TPM dans le module de plateforme sécurisée console de gestion est similaire aux états suivants :
  • Prêt (TPM 2.0)
  • Initialisé (TPM 1.2)

Pour plus d’informations, consultez Résoudre les problèmes du module TPM.

ID d’événement 853 : Erreur : Chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Dans ce cas, l’ID d’événement 853 s’affiche et le message d’erreur dans l’événement indique que le média de démarrage est disponible pour l’appareil. Les informations sur l’événement ressemblent à ce qui suit.

Cause de l’ID d’événement 853 : Erreur : chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Pendant le processus d’approvisionnement, le chiffrement du lecteur BitLocker enregistre la configuration de l’appareil pour établir une base de référence. Si la configuration de l’appareil change ultérieurement (par exemple, si le média est supprimé), le mode de récupération BitLocker démarre automatiquement.

Pour éviter cette situation, le processus d’approvisionnement s’arrête s’il détecte un média de démarrage amovible.

Résolution de l’ID d’événement 853 : Erreur : Chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Supprimez le média de démarrage et redémarrez l’appareil. Une fois l’appareil redémarré, vérifiez l’état du chiffrement.

ID d’événement 854 : WinRE n’est pas configuré

Les informations sur l’événement ressemblent au message d’erreur suivant :

Échec de l’activation du chiffrement silencieux. WinRe n’est pas configuré.

Erreur : ce PC ne peut pas prendre en charge le chiffrement d’appareil, car WinRE n’est pas correctement configuré.

Cause de l’ID d’événement 854 : WinRE n’est pas configuré

L’environnement de récupération Windows (WinRE) est un système d’exploitation Windows minimal basé sur l’environnement de préinstallation Windows (Windows PE). WinRE inclut plusieurs outils qu’un administrateur peut utiliser pour récupérer ou réinitialiser Windows et diagnostiquer les problèmes Windows. Si un appareil ne peut pas démarrer le système d’exploitation Windows standard, l’appareil tente de démarrer WinRE.

Le processus d’approvisionnement active le chiffrement de lecteur BitLocker sur le lecteur du système d’exploitation pendant la phase d’approvisionnement windows PE. Cette action garantit que le lecteur est protégé avant l’installation du système d’exploitation complet. Le processus d’approvisionnement crée également une partition système pour WinRE à utiliser si le système se bloque.

Si WinRE n’est pas disponible sur l’appareil, l’approvisionnement s’arrête.

Résolution de l’ID d’événement 854 : WinRE n’est pas configuré

Ce problème peut être résolu en vérifiant la configuration des partitions de disque, l’état de WinRE et la configuration du chargeur de démarrage Windows en procédant comme suit :

Étape 1 : Vérifier la configuration des partitions de disque

Les procédures décrites dans cette section dépendent des partitions de disque par défaut que Windows configure lors de l’installation. Windows 11 et Windows 10 créent automatiquement une partition de récupération qui contient le fichier Winre.wim . La configuration de partition ressemble à ce qui suit.

Pour vérifier la configuration des partitions de disque, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez les commandes suivantes :

diskpart.exe 
list volume

Si l’état d’un des volumes n’est pas sain ou si la partition de récupération est manquante, Windows peut être réinstallé. Avant de réinstaller Windows, vérifiez la configuration de l’image Windows en cours d’approvisionnement. Vérifiez que l’image utilise la configuration de disque correcte. La configuration de l’image doit ressembler à ce qui suit (cet exemple provient de Microsoft Configuration Manager) :

Étape 2 : Vérifier l’état de WinRE

Pour vérifier l’état de WinRE sur l’appareil, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

reagentc.exe /info

La sortie de cette commande ressemble à ce qui suit.

Si l’état Windows RE n’est pas activé, exécutez la commande suivante pour l’activer :

reagentc.exe /enable

Étape 3 : Vérifier la configuration du chargeur de démarrage Windows

Si l’état de la partition est sain, mais que la commande reagentc.exe /enable génère une erreur, vérifiez si le chargeur de démarrage Windows contient le GUID de séquence de récupération en exécutant la commande suivante dans une fenêtre d’invite de commandes avec élévation de privilèges :

bcdedit.exe /enum all

La sortie de cette commande sera similaire à la sortie suivante :

Dans la sortie, recherchez la section Chargeur de démarrage Windows qui inclut l’identificateur de ligne ={current}. Dans cette section, recherchez l’attribut recoverysequence . La valeur de cet attribut doit être une valeur GUID, et non une chaîne de zéros.

ID d’événement 851 : Contactez le fabricant pour obtenir les instructions de mise à niveau du BIOS

Les informations d’événement sont similaires au message d’erreur suivant :

Échec de l’activation du chiffrement silencieux.

Erreur : Le chiffrement du lecteur BitLocker ne peut pas être activé sur le lecteur du système d’exploitation. Contactez le fabricant de l’ordinateur pour obtenir les instructions de mise à niveau du BIOS.

Cause de l’ID d’événement 851 : Contactez le fabricant pour obtenir les instructions de mise à niveau du BIOS

L’appareil doit avoir un BIOS UEFI (Unified Extensible Firmware Interface). Le chiffrement de lecteur BitLocker silencieux ne prend pas en charge le BIOS hérité.

Résolution de l’ID d’événement 851 : contactez le fabricant pour obtenir les instructions de mise à niveau du BIOS

Pour vérifier le mode BIOS, utilisez l’application Informations système en procédant comme suit :

1. Sélectionnez Démarrer, puis entrez msinfo32 dans la zone de recherche .

2. Vérifiez que le paramètre mode BIOS est UEFI et non hérité.

   

3. Si le paramètre mode BIOS est hérité, le microprogramme UEFI doit être basculé en mode UEFI ou EFI . Les étapes de basculement vers le mode UEFI ou EFI sont spécifiques à l’appareil.

   Note

   Si l’appareil prend uniquement en charge le mode hérité, Intune ne peut pas être utilisé pour gérer bitLocker Device Encryption sur l’appareil.

Message d’erreur : Impossible de lire la variable UEFI « SecureBoot »

Un message d’erreur similaire au message d’erreur suivant s’affiche :

Erreur : BitLocker ne peut pas utiliser le démarrage sécurisé pour l’intégrité, car la variable UEFI « SecureBoot » n’a pas pu être lue. le client ne dispose pas d’un privilège qui est obligatoire.

Cause du message d’erreur : la variable UEFI « SecureBoot » n’a pas pu être lue

Un registre de configuration de plateforme (RPC) est un emplacement de mémoire dans le module TPM. En particulier, LE RPC 7 mesure l’état du démarrage sécurisé. Le chiffrement silencieux du lecteur BitLocker nécessite l’activation du démarrage sécurisé.

Résolution du message d’erreur : impossible de lire la variable UEFI « SecureBoot »

Ce problème peut être résolu en vérifiant le profil de validation RPC du module TPM et l’état de démarrage sécurisé en procédant comme suit :

Étape 1 : Vérifier le profil de validation DE LAP du module de plateforme sécurisée (TPM)

Pour vérifier que LA VERSION 7 est en cours d’utilisation, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

Manage-bde.exe -protectors -get %systemdrive%

Dans la section TPM de la sortie de cette commande, vérifiez si le paramètre de profil de validation RPC inclut 7, comme suit :

Si le profil de validation DE RPC n’inclut pas 7 (par exemple, les valeurs incluent 0, 2, 4 et 11, mais pas 7), le démarrage sécurisé n’est pas activé.

2 : Vérifier l’état de démarrage sécurisé

Pour vérifier l’état de démarrage sécurisé, utilisez l’application Informations système en procédant comme suit :

1. Sélectionnez Démarrer, puis entrez msinfo32 dans la zone de recherche .

2. Vérifiez que le paramètre État de démarrage sécurisé est activé, comme suit :

   

3. Si le paramètre d’état de démarrage sécurisé n’est pas pris en charge, le chiffrement BitLocker silencieux ne peut pas être utilisé sur l’appareil.

   

Note

L’applet de commande PowerShell Confirm-SecureBootUEFI peut également être utilisée pour vérifier l’état de démarrage sécurisé en ouvrant une fenêtre PowerShell avec élévation de privilèges et en exécutant la commande suivante :

Confirm-SecureBootUEFI

Si l’ordinateur prend en charge le démarrage sécurisé et le démarrage sécurisé est activé, cette applet de commande retourne « True ».

Si l’ordinateur prend en charge le démarrage sécurisé et le démarrage sécurisé est désactivé, cette applet de commande retourne « False ».

Si l’ordinateur ne prend pas en charge le démarrage sécurisé ou s’il s’agit d’un ordinateur BIOS (non UEFI), cette applet de commande retourne « Applet de commande non prise en charge sur cette plateforme ».

ID d’événement 846, 778 et 851 : Erreur 0x80072f9a

Examinez le cas suivant :

La stratégie Intune est déployée pour chiffrer un appareil Windows 10 version 1809 et le mot de passe de récupération est stocké dans l’ID Microsoft Entra. Dans le cadre de la configuration de la stratégie, l’option Autoriser les utilisateurs standard à activer le chiffrement pendant l’option de jointure Microsoft Entra a été sélectionnée.

Le déploiement de stratégie échoue et l’échec génère les événements suivants dans l’Observateur d’événements dans le dossier de l’API Microsoft Windows>BitLocker des journaux>>des applications et services :

ID d’événement :846

Événement : Échec de la sauvegarde des informations de récupération du chiffrement de lecteur BitLocker pour le volume C : sur votre ID Microsoft Entra.

TraceId : {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Erreur : Code d’erreur HResult inconnu : 0x80072f9a

ID d’événement :778

Événement : le volume BitLocker C : a été rétabli à un état non protégé.

ID d’événement : 851

Événement : Échec de l’activation du chiffrement silencieux.

Erreur : Code d’erreur HResult inconnu : 0x80072f9a.

Ces événements font référence au code d’erreur 0x80072f9a.

Cause de l’ID d’événement 846, 778 et 851 : Erreur 0x80072f9a

Ces événements indiquent que l’utilisateur connecté n’a pas l’autorisation de lire la clé privée sur le certificat généré dans le cadre du processus d’approvisionnement et d’inscription. Par conséquent, l’actualisation de la stratégie GPM BitLocker échoue.

Le problème affecte Windows 10 version 1809.

Résolution de l’ID d’événement 846, 778 et 851 : Erreur 0x80072f9a

Pour résoudre ce problème, installez la mise à jour du 21 mai 2019 .

Message d’erreur : Il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation

Un message d’erreur similaire au message d’erreur suivant s’affiche :

Erreur : Le chiffrement de lecteur BitLocker ne peut pas être appliqué à ce lecteur, car il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation. Le stockage des informations de récupération dans services de domaine Active Directory ne peut pas être nécessaire lorsque la génération de mots de passe de récupération n’est pas autorisée. Demandez à votre administrateur système de résoudre ces conflits de stratégie avant de tenter d’activer BitLocker...

Résolution du message d’erreur : il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation

Pour résoudre ce problème, passez en revue les paramètres d’objet de stratégie de groupe (GPO) pour les conflits. Pour plus d’informations, consultez la section suivante, vérifier la configuration de la stratégie BitLocker.

Pour plus d’informations sur les objets de stratégie de groupe et BitLocker, consultez Informations de référence sur la stratégie de groupe BitLocker.

Passer en revue la configuration de la stratégie BitLocker

Pour plus d’informations sur la procédure d’utilisation de la stratégie avec BitLocker et Intune, consultez les ressources suivantes :

• Gestion de BitLocker pour les entreprises : gestion des appareils joints à l’ID Microsoft Entra
• Informations de référence sur la stratégie de groupe BitLocker
• Informations de référence sur les fournisseurs de services de configuration
• Fournisseur de services de configuration de stratégie – BitLocker
• Fournisseur de solutions Cloud BitLocker
• Activer les stratégies sauvegardées par ADMX dans mdm
• gpresult

Intune propose les types d’application suivants pour BitLocker :

• Automatique (appliqué lorsque l’appareil joint l’ID Microsoft Entra pendant le processus d’approvisionnement. Cette option est disponible dans Windows 10 version 1703 et ultérieure.)
• Silencieux (stratégie Endpoint Protection. Cette option est disponible dans Windows 10 version 1803 et ultérieure.)
• Interactive (stratégie de point de terminaison pour les versions de Windows antérieures à Windows 10 version 1803.)

Si l’appareil exécute Windows 10 version 1703 ou ultérieure, prend en charge la mise en veille moderne (également appelée Instant Go) et est compatible HSTI, la jonction de l’appareil à l’ID Microsoft Entra déclenche le chiffrement automatique des appareils. Une stratégie de protection des points de terminaison distincte n’est pas nécessaire pour appliquer le chiffrement de l’appareil.

Si l’appareil est conforme À HSTI, mais ne prend pas en charge la veille moderne, une stratégie de protection des points de terminaison doit être configurée pour appliquer le chiffrement silencieux du lecteur BitLocker. Les paramètres de cette stratégie doivent être similaires aux paramètres suivants :

Les références OMA-URI pour ces paramètres sont les suivantes :

• OMA-URI : ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
  Type de valeur : Entier
  Valeur : 1 (1 = Exiger, 0 = Non configuré)

• OMA-URI : ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
  Type de valeur : Entier
  Valeur : 0 (0 = Bloqué, 1 = Autorisé)

Note

En raison d’une mise à jour vers le fournisseur de solutions cloud de stratégie BitLocker, si l’appareil utilise Windows 10 version 1809 ou ultérieure, une stratégie de protection des points de terminaison peut être utilisée pour appliquer le chiffrement d’appareil BitLocker silencieux même si l’appareil n’est pas conforme À HSTI.

Note

Si l’avertissement pour d’autres paramètres de chiffrement de disque est défini sur Non configuré, l’Assistant Chiffrement de lecteur BitLocker doit être démarré manuellement.

Si l’appareil ne prend pas en charge la mise en veille moderne, mais qu’il est conforme à HSTI et utilise une version de Windows antérieure à Windows 10, version 1803, une stratégie de protection des points de terminaison qui contient les paramètres décrits dans cet article remet la configuration de la stratégie à l’appareil. Toutefois, Windows avertit ensuite l’utilisateur d’activer manuellement le chiffrement de lecteur BitLocker. Lorsque l’utilisateur sélectionne la notification, il démarre l’Assistant Chiffrement de lecteur BitLocker.

Intune fournit des paramètres qui peuvent être utilisés pour configurer le chiffrement automatique des appareils Autopilot pour les utilisateurs standard. Chaque appareil doit répondre aux exigences suivantes :

• Être conforme à HSTI
• Prise en charge de la veille moderne
• Utiliser Windows 10 version 1803 ou ultérieure

Les références OMA-URI pour ces paramètres sont les suivantes :

• OMA-URI : ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
  Type de valeur : Valeur entière : 1

Note

Ce nœud fonctionne avec les nœuds RequireDeviceEncryption et AllowWarningForOtherDiskEncryption . Pour cette raison, lorsque les paramètres suivants sont définis :

• RequireDeviceEncryption à 1
• AllowStandardUserEncryption à 1
• AllowWarningForOtherDiskEncryption sur 0

Intune applique le chiffrement BitLocker silencieux pour les appareils Autopilot qui ont des profils utilisateur standard.

Vérification du bon fonctionnement de BitLocker

Pendant les opérations régulières, le chiffrement de lecteur BitLocker génère des événements tels que l’ID d’événement 796 et l’ID d’événement 845.

Il peut également être déterminé si le mot de passe de récupération BitLocker a été chargé sur l’ID Microsoft Entra en vérifiant les détails de l’appareil dans la section Appareils Microsoft Entra.

Sur l’appareil, vérifiez l’Éditeur du Registre pour vérifier les paramètres de stratégie sur l’appareil. Vérifiez les entrées sous les sous-clés suivantes :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device