Risoluzione dei problemi di BitLocker con il report di crittografia di Intune
Microsoft Intune offre un report di crittografia predefinito che fornisce informazioni dettagliate sullo stato di crittografia in tutti i dispositivi gestiti. Il report di crittografia di Intune è un punto di partenza utile per la risoluzione degli errori di crittografia. È possibile usare il report per identificare e isolare gli errori di crittografia BitLocker e visualizzare lo stato di Trusted Platform Module (TPM) e lo stato di crittografia dei dispositivi Windows.
Questo articolo illustra come usare il report di crittografia di Intune per risolvere i problemi di crittografia per BitLocker. Per altre indicazioni sulla risoluzione dei problemi, vedere Risoluzione dei problemi relativi ai criteri di BitLocker dal lato client.
Note
Per sfruttare al meglio questo metodo di risoluzione dei problemi e i dettagli degli errori disponibili nel report di crittografia, è necessario configurare un criterio BitLocker. Se si usa attualmente un criterio di configurazione del dispositivo, valutare la possibilità di eseguire la migrazione dei criteri. Per altre informazioni, vedere Gestire i criteri di BitLocker per i dispositivi Windows con le impostazioni dei criteri di crittografia dischi e Intune per la sicurezza degli endpoint in Intune.
Prerequisiti di crittografia
Per impostazione predefinita, l'installazione guidata di BitLocker richiede agli utenti di abilitare la crittografia. È anche possibile configurare un criterio di BitLocker che abilita BitLocker in modo invisibile all'utente in un dispositivo. In questa sezione vengono illustrati i diversi prerequisiti per ogni metodo.
Note
La crittografia automatica non è la stessa cosa della crittografia invisibile all'utente. La crittografia automatica viene eseguita durante la modalità Guidata di Windows (OOBE) in standby moderno o nei dispositivi conformi a HSTI (Hardware Security Test Interface). Nella crittografia invisibile all'utente, Intune elimina l'interazione dell'utente tramite le impostazioni del provider di servizi di configurazione BitLocker (CSP).
Prerequisiti per la crittografia abilitata per l'utente :
- Il disco rigido deve essere partizionato in un'unità del sistema operativo formattata con NTFS e un'unità di sistema di almeno 350 MB formattata come FAT32 per UEFI e NTFS per BIOS.
- Il dispositivo deve essere registrato in Intune tramite l'aggiunta ibrida a Microsoft Entra, la registrazione di Microsoft Entra o l'aggiunta a Microsoft Entra.
- Non è necessario un chip TPM (Trusted Platform Module), ma consigliato per una maggiore sicurezza.
Prerequisiti per la crittografia invisibile all'utente di BitLocker:
- Un chip TPM (versione 1.2 o 2.0) che deve essere sbloccato.
- È necessario abilitare Windows Recovery Environment (WinRE).
- Il disco rigido deve essere partizionato in un'unità del sistema operativo formattata con NTFS e un'unità di sistema di almeno 350 MB deve essere formattata come FAT32 per UNified Extensible Firmware Interface (UEFI) e NTFS per BIOS. IL BIOS UEFI è necessario per i dispositivi TPM versione 2.0. L'avvio protetto non è obbligatorio, ma offre maggiore sicurezza.
- Il dispositivo registrato da Intune è connesso ai servizi ibridi di Microsoft Azure o all'ID Microsoft Entra.
Identificazione dello stato e degli errori di crittografia
Gli errori di crittografia bitLocker nei dispositivi Windows 10 registrati in Intune possono rientrare in una delle categorie seguenti:
- L'hardware o il software del dispositivo non soddisfa i prerequisiti per l'abilitazione di BitLocker.
- I criteri di BitLocker di Intune non sono configurati correttamente, causando conflitti di oggetti Criteri di gruppo.
- Il dispositivo è già crittografato e il metodo di crittografia non corrisponde alle impostazioni dei criteri.
Per identificare la categoria di un errore di crittografia del dispositivo, accedere all'interfaccia di amministrazione di Microsoft Intune e selezionare Devices Monitor Encryption report (Monitoraggio>dispositivi>). Il report mostrerà un elenco di dispositivi registrati e mostrerà se un dispositivo è crittografato o pronto per essere crittografato e se ha un chip TPM.
Note
Se un dispositivo Windows 10 visualizza lo stato Non pronto , potrebbe comunque supportare la crittografia. Per lo stato Pronto , il dispositivo Windows 10 deve avere attivato il TPM. I dispositivi TPM non sono necessari per supportare la crittografia, ma sono altamente consigliati per una maggiore sicurezza.
L'esempio precedente mostra che un dispositivo con TPM versione 1.2 è stato crittografato correttamente. Inoltre, è possibile vedere due dispositivi non pronti per la crittografia che non saranno in grado di essere crittografati automaticamente, nonché un dispositivo TPM 2.0 pronto per la crittografia ma non ancora crittografato.
Scenari di errore comuni
Le sezioni seguenti descrivono scenari di errore comuni che è possibile diagnosticare con i dettagli del report di crittografia.
Scenario 1: il dispositivo non è pronto per la crittografia e non crittografato
Quando si fa clic su un dispositivo non crittografato, Intune visualizza un riepilogo dello stato. Nell'esempio seguente sono presenti più profili destinati al dispositivo: criteri di Endpoint Protection, criteri del sistema operativo Mac (non applicabili a questo dispositivo) e baseline di Microsoft Defender Advanced Threat Protection (ATP).
Descrizione dello stato della crittografia:
I messaggi in Dettagli stato sono codici restituiti dal nodo di stato CSP BitLocker dal dispositivo. Lo stato della crittografia è in uno stato di errore perché il volume del sistema operativo non è crittografato. Inoltre, i criteri di BitLocker hanno requisiti per un TPM, che il dispositivo non soddisfa.
I messaggi indicano che il dispositivo non è crittografato perché non ha un TPM presente e il criterio ne richiede uno.
Scenario 2: il dispositivo è pronto ma non crittografato
Questo esempio mostra che il dispositivo TPM 2.0 non è crittografato.
Descrizione dello stato della crittografia:
Questo dispositivo dispone di un criterio BitLocker configurato per l'interazione dell'utente anziché per la crittografia invisibile all'utente. L'utente non ha avviato o completato il processo di crittografia (l'utente riceve un messaggio di notifica), quindi l'unità rimane non crittografata.
Scenario 3: il dispositivo non è pronto e non crittograferà automaticamente
Se un criterio di crittografia è configurato per eliminare l'interazione dell'utente e crittografare in modo invisibile all'utente e lo stato di conformità della crittografia crittografia non è applicabile o Non pronto, è probabile che il TPM non sia pronto per BitLocker.
I dettagli sullo stato del dispositivo rivelano la causa:
Descrizione dello stato della crittografia:
Se il TPM non è pronto nel dispositivo, potrebbe essere perché è disabilitato nel firmware o deve essere cancellato o reimpostato. L'esecuzione della console di gestione TPM (TPM.msc) dalla riga di comando nel dispositivo interessato consente di comprendere e risolvere lo stato del TPM.
Scenario 4: il dispositivo è pronto ma non crittografato automaticamente
Esistono diversi motivi per cui un dispositivo destinato alla crittografia invisibile all'utente è pronto ma non ancora crittografato.
Descrizione dello stato della crittografia:
Una spiegazione è che WinRE non è abilitato nel dispositivo, che è un prerequisito. È possibile convalidare lo stato di WinRE nel dispositivo usando il comando reagentc.exe/info come amministratore.
Se WinRE è disabilitato, eseguire il comando reagentc.exe/info come amministratore per abilitare WinRE.
La pagina Dettagli stato visualizzerà il messaggio seguente se WinRE non è configurato correttamente:
L'utente connesso al dispositivo non dispone dei diritti di amministratore.
Un altro motivo potrebbe essere un diritto amministrativo. Se i criteri di BitLocker sono destinati a un utente che non dispone dei diritti amministrativi e Consenti agli utenti standard di abilitare la crittografia durante Autopilot non è abilitato, verranno visualizzati i dettagli dello stato di crittografia seguenti.
Descrizione dello stato della crittografia:
Impostare Consenti agli utenti standard di abilitare la crittografia durante Autopilot su Sì per risolvere questo problema per i dispositivi aggiunti a Microsoft Entra.
Scenario 5: il dispositivo si trova in uno stato di errore ma crittografato
In questo scenario comune, se i criteri di Intune sono configurati per la crittografia XTS-AES a 128 bit, ma il dispositivo di destinazione viene crittografato usando la crittografia XTS-AES a 256 bit (o inversa), si riceverà l'errore riportato di seguito.
Descrizione dello stato della crittografia:
Ciò si verifica quando un dispositivo che è già stato crittografato usando un altro metodo, manualmente dall'utente, con Microsoft BitLocker Administration and Monitoring (MBAM) o da Microsoft Configuration Manager prima della registrazione.
Per risolvere il problema, decrittografare il dispositivo manualmente o con Windows PowerShell. Lasciare quindi che i criteri di Intune BitLocker crittografino nuovamente il dispositivo al successivo raggiungimento del criterio.
Scenario 6: il dispositivo è crittografato ma lo stato del profilo è in errore
In alcuni casi, un dispositivo viene visualizzato crittografato ma presenta uno stato di errore nel riepilogo dello stato del profilo.
Descrizione dello stato della crittografia:
Ciò si verifica in genere quando il dispositivo è stato crittografato con un altro mezzo (possibilmente manualmente). Le impostazioni corrispondono ai criteri correnti, ma Intune non ha avviato la crittografia.