Condividi tramite

Applicazione dei criteri di BitLocker tramite Intune: problemi noti

  • Articolo

Questo articolo illustra la risoluzione dei problemi che possono verificarsi se si usano i criteri di Microsoft Intune per gestire la crittografia BitLocker invisibile all'utente nei dispositivi. Il portale di Intune indica se BitLocker non è riuscito a crittografare uno o più dispositivi gestiti.

Screenshot che mostra gli incriminatori di stato di BitLocker nel portale di Intune.

Per iniziare a restringere la causa del problema, esaminare i registri eventi come descritto in Risolvere i problemi di BitLocker. Concentrarsi sui log di gestione e operazioni nella cartella Applicazioni e servizi di>Microsoft>Windows>BitLocker-API. Le sezioni seguenti forniscono altre informazioni su come risolvere gli eventi e i messaggi di errore indicati:

Se non sono presenti tracce chiare di eventi o messaggi di errore da seguire, altre aree da analizzare includono le aree seguenti:

Per informazioni sulla procedura per verificare se i criteri di Intune applicano correttamente BitLocker, vedere Verifica del corretto funzionamento di BitLocker.

ID evento 853: Errore: Non è possibile trovare un dispositivo di sicurezza TPM (Trusted Platform Module) compatibile in questo computer

L'ID evento 853 può contenere messaggi di errore diversi, a seconda del contesto. In questo caso, il messaggio di errore id evento 853 indica che il dispositivo non sembra avere un TPM. Le informazioni sull'evento saranno simili all'evento seguente:

Screenshot dei dettagli dell'ID evento 853 (TPM non disponibile, non è possibile trovare TPM).

Causa dell'ID evento 853: Errore: Non è possibile trovare un dispositivo di sicurezza TPM (Trusted Platform Module) compatibile in questo computer

Il dispositivo protetto potrebbe non avere un chip TPM o il BIOS del dispositivo potrebbe essere stato configurato per disabilitare il TPM.

Risoluzione per l'ID evento 853: Errore: Non è possibile trovare un dispositivo di sicurezza TPM (Trusted Platform Module) compatibile in questo computer

Per risolvere questo problema, verificare le configurazioni seguenti:

  • Il TPM è abilitato nel BIOS del dispositivo.
  • Lo stato del TPM nella console di gestione TPM è simile agli stati seguenti:
    • Pronto (TPM 2.0)
    • Inizializzato (TPM 1.2)

Per altre informazioni, vedere Risolvere i problemi relativi al TPM.

ID evento 853: Errore: Crittografia unità BitLocker ha rilevato supporti di avvio (CD o DVD) nel computer

In questo caso, viene visualizzato l'ID evento 853 e il messaggio di errore nell'evento indica che il supporto di avvio è disponibile per il dispositivo. Le informazioni sull'evento sono simili alle seguenti.

Screenshot dei dettagli dell'ID evento 853 (TPM non è disponibile, trovato il supporto di avvio).

Causa dell'ID evento 853: Errore: Crittografia unità BitLocker rilevato supporti di avvio (CD o DVD) nel computer

Durante il processo di provisioning, la crittografia unità BitLocker registra la configurazione del dispositivo per stabilire una linea di base. Se la configurazione del dispositivo viene modificata in un secondo momento (ad esempio, se il supporto viene rimosso), la modalità di ripristino di BitLocker viene avviata automaticamente.

Per evitare questa situazione, il processo di provisioning si arresta se rileva un supporto di avvio rimovibile.

Risoluzione per l'ID evento 853: Errore: Crittografia unità BitLocker rilevato supporti di avvio (CD o DVD) nel computer

Rimuovere il supporto di avvio e riavviare il dispositivo. Dopo il riavvio del dispositivo, verificare lo stato di crittografia.

ID evento 854: WinRE non è configurato

Le informazioni sull'evento sono simili al seguente messaggio di errore:

Impossibile abilitare Crittografia invisibile all'utente. WinRe non è configurato.

Errore: questo PC non può supportare la crittografia del dispositivo perché WinRE non è configurato correttamente.

Causa dell'ID evento 854: WinRE non è configurato

Windows Recovery Environment (WinRE) è un sistema operativo Windows minimo basato su Windows Preinstallation Environment (Windows PE). WinRE include diversi strumenti che un amministratore può usare per ripristinare o reimpostare Windows e diagnosticare i problemi di Windows. Se un dispositivo non può avviare il normale sistema operativo Windows, il dispositivo tenta di avviare WinRE.

Il processo di provisioning abilita la crittografia delle unità BitLocker nell'unità del sistema operativo durante la fase di provisioning di Windows PE. Questa azione assicura che l'unità sia protetta prima dell'installazione del sistema operativo completo. Il processo di provisioning crea anche una partizione di sistema per WinRE da usare se il sistema si arresta in modo anomalo.

Se WinRE non è disponibile nel dispositivo, il provisioning si arresta.

Risoluzione per l'ID evento 854: WinRE non è configurato

Questo problema può essere risolto verificando la configurazione delle partizioni del disco, lo stato di WinRE e la configurazione del caricatore di avvio di Windows seguendo questa procedura:

Passaggio 1: Verificare la configurazione delle partizioni del disco

Le procedure descritte in questa sezione dipendono dalle partizioni disco predefinite configurate da Windows durante l'installazione. Windows 11 e Windows 10 creano automaticamente una partizione di ripristino contenente il file Winre.wim . La configurazione della partizione è simile alla seguente.

Screenshot delle partizioni disco predefinite, inclusa la partizione di ripristino.

Per verificare la configurazione delle partizioni del disco, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire i comandi seguenti:

diskpart.exe 
list volume

Screenshot dell'output del comando list volume da Diskpart.

Se lo stato di uno dei volumi non è integro o se manca la partizione di ripristino, potrebbe essere necessario reinstallare Windows. Prima di reinstallare Windows, controllare la configurazione dell'immagine di Windows di cui è in corso il provisioning. Assicurarsi che l'immagine usi la configurazione del disco corretta. La configurazione dell'immagine dovrebbe essere simile alla seguente (questo esempio proviene da Microsoft Configuration Manager):

Screenshot della configurazione dell'immagine di Windows in Microsoft Configuration Manager.

Passaggio 2: Verificare lo stato di WinRE

Per verificare lo stato di WinRE nel dispositivo, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

reagentc.exe /info

L'output di questo comando è simile al seguente.

Screenshot dell'output del comando reagentc.exe /info.

Se lo stato Ambiente ripristino Windows non è Abilitato, eseguire il comando seguente per abilitarlo:

reagentc.exe /enable

Passaggio 3: Verificare la configurazione del caricatore di avvio di Windows

Se lo stato della partizione è integro, ma il comando reagentc.exe /enable genera un errore, verificare se il caricatore di avvio di Windows contiene il GUID della sequenza di ripristino eseguendo il comando seguente in una finestra del prompt dei comandi con privilegi elevati:

bcdedit.exe /enum all

L'output di questo comando sarà simile all'output seguente:

Screenshot dell'output del comando bcdedit /enum all.

Nell'output individuare la sezione Caricatore di avvio di Windows che include l'identificatore di riga ={current}. In questa sezione individuare l'attributo recoverysequence . Il valore di questo attributo deve essere un valore GUID, non una stringa di zeri.

ID evento 851: contattare il produttore per istruzioni di aggiornamento del BIOS

Le informazioni sull'evento saranno simili al seguente messaggio di errore:

Impossibile abilitare Crittografia invisibile all'utente.

Errore: Crittografia unità BitLocker non può essere abilitata nell'unità del sistema operativo. Per istruzioni sull'aggiornamento del BIOS, contattare il produttore del computer.

Causa dell'ID evento 851: contattare il produttore per le istruzioni di aggiornamento del BIOS

Il dispositivo deve avere un BIOS UEFI (Unified Extensible Firmware Interface). La crittografia dell'unità BitLocker invisibile all'utente non supporta il BIOS legacy.

Risoluzione per l'ID evento 851: contattare il produttore per le istruzioni di aggiornamento del BIOS

Per verificare la modalità BIOS, usare l'applicazione System Information seguendo questa procedura:

  1. Selezionare Start e immettere msinfo32 nella casella Cerca.

  2. Verificare che l'impostazione Modalità BIOS sia UEFI e non Legacy.

    Screenshot dell'app System Information che mostra l'impostazione Modalità BIOS.

  3. Se l'impostazione Modalità BIOS è Legacy, il firmware UEFI deve essere passato alla modalità UEFI o EFI. I passaggi per passare alla modalità UEFI o EFI sono specifici del dispositivo.

    Note

    Se il dispositivo supporta solo la modalità legacy, Intune non può essere usato per gestire Crittografia dispositivo BitLocker nel dispositivo.

Messaggio di errore: Impossibile leggere la variabile UEFI 'SecureBoot'

Viene visualizzato un messaggio di errore simile al seguente:

Errore: BitLocker non può usare l'avvio protetto per l'integrità perché non è stato possibile leggere la variabile UEFI 'SecureBoot'. Il client non dispone di un privilegio necessario.

Causa del messaggio di errore: Impossibile leggere la variabile UEFI 'SecureBoot'

Un registro di configurazione della piattaforma (PCR) è un percorso di memoria nel TPM. In particolare, PCR 7 misura lo stato di avvio protetto. La crittografia dell'unità BitLocker invisibile all'utente richiede l'attivazione dell'avvio protetto.

Risoluzione del messaggio di errore: Impossibile leggere la variabile UEFI 'SecureBoot'

Questo problema può essere risolto verificando il profilo di convalida PCR del TPM e lo stato di avvio protetto seguendo questa procedura:

Passaggio 1: Verificare il profilo di convalida PCR del TPM

Per verificare che PCR 7 sia in uso, aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:

Manage-bde.exe -protectors -get %systemdrive%

Nella sezione TPM dell'output di questo comando verificare se l'impostazione del profilo di convalida PCR include 7, come indicato di seguito:

Screenshot dell'output del comando manage-bde.exe.

Se il profilo di convalida PCR non include 7 (ad esempio, i valori includono 0, 2, 4 e 11, ma non 7), l'avvio protetto non viene attivato.

Screenshot dell'output del comando manage-bde quando PCR 7 non è presente.

2: Verificare lo stato di avvio protetto

Per verificare lo stato di avvio protetto, usare l'applicazione System Information seguendo questa procedura:

  1. Selezionare Start e immettere msinfo32 nella casella Cerca.

  2. Verificare che l'impostazione Secure Boot State (Stato di avvio protetto) sia Attivata, come indicato di seguito:

    Screenshot dell'app System Information che mostra uno stato di avvio protetto non supportato.

  3. Se l'impostazione Stato di avvio protetto non è supportata, la crittografia BitLocker invisibile all'utente non può essere usata nel dispositivo.

    App Informazioni di sistema, che mostra uno stato di avvio protetto non supportato.

Note

Il cmdlet Di PowerShell Confirm-SecureBootUEFI può essere usato anche per verificare lo stato di avvio protetto aprendo una finestra di PowerShell con privilegi elevati ed eseguendo il comando seguente:

Confirm-SecureBootUEFI

Se il computer supporta l'avvio protetto e l'avvio protetto è abilitato, questo cmdlet restituisce "True".

Se il computer supporta l'avvio protetto e l'avvio protetto è disabilitato, questo cmdlet restituisce "False".

Se il computer non supporta l'avvio protetto o è un computer BIOS (non UEFI), questo cmdlet restituisce "Cmdlet non supportato in questa piattaforma".

ID evento 846, 778 e 851: errore 0x80072f9a

Prendi in considerazione lo scenario seguente:

I criteri di Intune vengono distribuiti per crittografare un dispositivo Windows 10 versione 1809 e la password di ripristino viene archiviata in Microsoft Entra ID. Come parte della configurazione dei criteri, l'opzione Consenti agli utenti standard di abilitare la crittografia durante l'aggiunta a Microsoft Entra è stata selezionata.

La distribuzione dei criteri ha esito negativo e l'errore genera gli eventi seguenti in Visualizzatore eventi nella cartella dell'API Microsoft>Windows>BitLocker registri>applicazioni e servizi:

ID evento:846

Evento: non è stato possibile eseguire il backup delle informazioni di ripristino di Crittografia unità BitLocker per il volume C: all'ID Microsoft Entra.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Errore: Codice errore HResult sconosciuto: 0x80072f9a

ID evento:778

Evento: il volume BitLocker C: è stato ripristinato a uno stato non protetto.

ID evento: 851

Evento: non è stato possibile abilitare la crittografia invisibile all'utente.

Errore: Codice errore HResult sconosciuto: 0x80072f9a.

Questi eventi fanno riferimento al codice di errore 0x80072f9a.

Causa dell'ID evento 846, 778 e 851: errore 0x80072f9a

Questi eventi indicano che l'utente connesso non dispone dell'autorizzazione per leggere la chiave privata nel certificato generato come parte del processo di provisioning e registrazione. Pertanto, l'aggiornamento dei criteri MDM di BitLocker ha esito negativo.

Il problema riguarda Windows 10 versione 1809.

Risoluzione per l'ID evento 846, 778 e 851: errore 0x80072f9a

Per risolvere questo problema, installare l'aggiornamento del 21 maggio 2019 .

Messaggio di errore: sono presenti impostazioni di Criteri di gruppo in conflitto per le opzioni di ripristino nelle unità del sistema operativo

Viene visualizzato un messaggio di errore simile al seguente:

Errore: La crittografia unità BitLocker non può essere applicata a questa unità perché sono presenti impostazioni di Criteri di gruppo in conflitto per le opzioni di ripristino nelle unità del sistema operativo. Non è possibile archiviare le informazioni di ripristino per Dominio di Active Directory Servizi quando la generazione di password di ripristino non è consentita. Chiedere all'amministratore di sistema di risolvere questi conflitti di criteri prima di tentare di abilitare BitLocker...

Risoluzione del messaggio di errore: sono presenti impostazioni di Criteri di gruppo in conflitto per le opzioni di ripristino nelle unità del sistema operativo

Per risolvere questo problema, esaminare le impostazioni dell'oggetto Criteri di gruppo per individuare i conflitti. Per altre informazioni, vedere la sezione successiva Esaminare la configurazione dei criteri di BitLocker.

Per altre informazioni sugli oggetti Criteri di gruppo e BitLocker, vedere Informazioni di riferimento sui Criteri di gruppo di BitLocker.

Esaminare la configurazione dei criteri di BitLocker

Per informazioni sulla procedura per usare i criteri insieme a BitLocker e Intune, vedere le risorse seguenti:

Intune offre i tipi di imposizione seguenti per BitLocker:

  • Automatico (applicato quando il dispositivo aggiunge l'ID Microsoft Entra durante il processo di provisioning. Questa opzione è disponibile in Windows 10 versione 1703 e successive.
  • Invisibile all'utente (criteri di Endpoint Protection. Questa opzione è disponibile in Windows 10 versione 1803 e successive.
  • Interattivo (criteri endpoint per le versioni di Windows precedenti a Windows 10 versione 1803).

Se il dispositivo esegue Windows 10 versione 1703 o successiva, supporta Modern Standby (noto anche come Instant Go) ed è conforme a HSTI, aggiungendo il dispositivo a Microsoft Entra ID attiva la crittografia automatica del dispositivo. Non è necessario un criterio di Endpoint Protection separato per applicare la crittografia del dispositivo.

Se il dispositivo è conforme a HSTI ma non supporta Modern Standby, è necessario configurare un criterio di endpoint protection per applicare la crittografia automatica delle unità BitLocker. Le impostazioni per questo criterio devono essere simili alle impostazioni seguenti:

Screenshot delle impostazioni dei criteri di Intune che mostrano Crittografa i dispositivi necessari.

I riferimenti URI OMA per queste impostazioni sono i seguenti:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo valore: Integer
    Valore: 1 (1 = Richiedi, 0 = Non configurato)

  • URI OMA: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo valore: Integer
    Valore: 0 (0 = Bloccato, 1 = Consentito)

Note

A causa di un aggiornamento del provider di servizi di configurazione dei criteri di BitLocker, se il dispositivo usa Windows 10 versione 1809 o successiva, è possibile usare un criterio di protezione degli endpoint per applicare crittografia del dispositivo BitLocker invisibile all'utente anche se il dispositivo non è conforme a HSTI.

Note

Se l'impostazione Avviso per altre impostazioni di crittografia del disco è impostata su Non configurato, è necessario avviare manualmente la crittografia guidata unità BitLocker.

Se il dispositivo non supporta modern standby ma è conforme a HSTI e usa una versione di Windows precedente a Windows 10, versione 1803, un criterio di endpoint protection con le impostazioni descritte in questo articolo fornisce la configurazione dei criteri al dispositivo. Tuttavia, Windows invia una notifica all'utente di abilitare manualmente la crittografia unità BitLocker. Quando l'utente seleziona la notifica, avvia la procedura guidata Crittografia unità BitLocker.

Intune fornisce impostazioni che possono essere usate per configurare la crittografia automatica dei dispositivi per i dispositivi Autopilot per gli utenti standard. Ogni dispositivo deve soddisfare i requisiti seguenti:

  • Essere conforme a HSTI
  • Supporto dello standby moderno
  • Usare Windows 10 versione 1803 o successiva

Screenshot dell'impostazione dei criteri di Intune che mostra Consenti agli utenti standard di abilitare la crittografia durante l'aggiunta a Microsoft Entra.

I riferimenti URI OMA per queste impostazioni sono i seguenti:

  • URI OMA: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo valore: Valore intero : 1

Note

Questo nodo interagisce con i nodi RequireDeviceEncryption e AllowWarningForOtherDiskEncryption . Per questo motivo, quando vengono impostate le impostazioni seguenti:

  • RequireDeviceEncryption su 1
  • AllowStandardUserEncryption su 1
  • AllowWarningForOtherDiskEncryption su 0

Intune applica la crittografia BitLocker invisibile all'utente per i dispositivi Autopilot con profili utente standard.

Verifica del corretto funzionamento di BitLocker

Durante le normali operazioni, la crittografia dell'unità BitLocker genera eventi come ID evento 796 e ID evento 845.

Screenshot dell'ID evento 796 con informazioni dettagliate.

Screenshot dell'ID evento 845 con informazioni dettagliate.

Può anche essere determinato se la password di ripristino di BitLocker è stata caricata in Microsoft Entra ID controllando i dettagli del dispositivo nella sezione Dispositivi Microsoft Entra.

Screenshot delle informazioni di ripristino di BitLocker visualizzate in Microsoft Entra ID.

Nel dispositivo controllare l'Editor del Registro di sistema per verificare le impostazioni dei criteri nel dispositivo. Verificare le voci nelle sottochiavi seguenti:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Screenshot delle sottochiavi del Registro di sistema correlate ai criteri di Intune.