Intune を使用した BitLocker ポリシーの適用: 既知の問題
この記事は、Microsoft Intune ポリシーを使用してデバイスでサイレント BitLocker 暗号化を管理する場合に発生する可能性がある問題のトラブルシューティングに役立ちます。 Intune ポータルは、BitLocker が 1 つ以上の管理対象デバイスの暗号化に失敗したかどうかを示します。
問題の原因を絞り込むには、「 BitLocker のトラブルシューティング」の説明に従ってイベント ログを確認します。 Applications および Services ログMicrosoft>Windows>BitLocker-API フォルダーにある Management> および Operations ログに集中します。 次のセクションでは、指定されたイベントとエラー メッセージを解決する方法について詳しく説明します。
- イベント ID 853: エラー: 互換性のあるトラステッド プラットフォーム モジュール (TPM) セキュリティ デバイスがこのコンピューターで見つかりません
- イベント ID 853: エラー: BitLocker ドライブ暗号化がコンピューターで起動可能なメディア (CD または DVD) を検出しました
- イベント ID 854: WinRE が構成されていません
- イベント ID 851: BIOS アップグレードの製造元に問い合わせる
- エラー メッセージ: UEFI 変数 'SecureBoot' を読み取れませんでした
- イベント ID 846、778、851: エラー 0x80072f9a
- エラー メッセージ: オペレーティング システム ドライブの回復オプションのグループ ポリシー設定が競合しています
フォローするイベントやエラー メッセージの明確な証跡がない場合は、調査する他の領域に次の領域があります。
Intune ポリシーが BitLocker を正しく適用しているかどうかを確認する手順については、「 BitLocker が正常に動作していることを確認するを参照してください。
イベント ID 853: エラー: 互換性のあるトラステッド プラットフォーム モジュール (TPM) セキュリティ デバイスがこのコンピューターで見つかりません
イベント ID 853 は、コンテキストに応じて異なるエラー メッセージを送信できます。 この場合、イベント ID 853 エラー メッセージは、デバイスが TPM を持っていないように見えるかどうかを示します。 イベント情報は、次のイベントのようになります。
イベント ID 853 の原因: エラー: 互換性のあるトラステッド プラットフォーム モジュール (TPM) セキュリティ デバイスがこのコンピューターで見つかりません
セキュリティで保護されているデバイスに TPM チップがない場合や、デバイス BIOS が TPM を無効にするように構成されている可能性があります。
イベント ID 853 の解決策: エラー: 互換性のあるトラステッド プラットフォーム モジュール (TPM) セキュリティ デバイスがこのコンピューターで見つかりません
この問題を解決するには、次の構成を確認します。
- デバイス BIOS で TPM が有効になっています。
- TPM 管理コンソールの TPM の状態は、次の状態のようになります。
- 準備完了 (TPM 2.0)
- 初期化済み (TPM 1.2)
詳細については、「 TPM をトラブルシューティングする」を参照してください。
イベント ID 853: エラー: BitLocker ドライブ暗号化がコンピューターで起動可能なメディア (CD または DVD) を検出しました
この場合、イベント ID 853 が表示され、イベント内のエラー メッセージは、起動可能なメディアがデバイスで使用可能であることを示します。 イベント情報は次のようになります。
イベント ID 853 の原因: エラー: BitLocker ドライブ暗号化がコンピューターで起動可能なメディア (CD または DVD) を検出しました
プロビジョニング プロセス中に、BitLocker ドライブの暗号化によって、ベースラインを確立するためのデバイスの構成が記録されます。 デバイス構成が後で変更された場合 (メディアが削除された場合など)、BitLocker 回復モードが自動的に開始されます。
この状況を回避するために、リムーバブル起動可能なメディアが検出されると、プロビジョニング プロセスは停止します。
イベント ID 853 の解決策: エラー: BitLocker ドライブ暗号化がコンピューターで起動可能なメディア (CD または DVD) を検出しました
起動可能なメディアを削除し、デバイスを再起動します。 デバイスが再起動したら、暗号化の状態を確認します。
イベント ID 854: WinRE が構成されていません
イベント情報は、次のエラー メッセージのようになります。
サイレント暗号化を有効にできませんでした。 WinRe が構成されていません。
エラー: WinRE が正しく構成されていないため、この PC ではデバイス暗号化をサポートできません。
イベント ID 854 の原因: WinRE が構成されていません
Windows Recovery Environment (WinRE) は、Windows プレインストール環境 (Windows PE) に基づく最小限の Windows オペレーティング システムです。 WinRE には、管理者が Windows の回復またはリセットや Windows の問題の診断に使用できるツールがいくつか含まれています。 デバイスが通常の Windows オペレーティング システムを起動できない場合、デバイスは WinRE の起動を試みます。
プロビジョニング プロセスでは、プロビジョニングの Windows PE フェーズ中にオペレーティング システム ドライブで BitLocker ドライブの暗号化が有効になります。 この操作により、完全なオペレーティング システムがインストールされる前にドライブが保護されます。 プロビジョニング プロセスでは、システムがクラッシュした場合に使用する WinRE 用のシステム パーティションも作成されます。
デバイスで WinRE を使用できない場合、プロビジョニングは停止します。
イベント ID 854 の解決: WinRE が構成されていません
この問題は、次の手順に従って、ディスク パーティションの構成、WinRE の状態、および Windows ブート ローダーの構成を確認することで解決できます。
手順 1: ディスク パーティションの構成を確認する
このセクションで説明する手順は、インストール時に Windows によって構成される既定のディスク パーティションによって異なります。 Windows 11 と Windows 10 では、 Winre.wim ファイルを含む回復パーティションが自動的に作成されます。 パーティション構成は次のようになります。
ディスク パーティションの構成を確認するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
diskpart.exe
list volume
いずれかのボリュームの状態が正常でない場合、または回復パーティションが見つからない場合は、Windows を再インストールする必要があります。 Windows を再インストールする前に、プロビジョニングされている Windows イメージの構成を確認します。 イメージで正しいディスク構成が使用されていることを確認します。 イメージの構成は次のようになります (この例は Microsoft Configuration Manager の例です)。
手順 2: WinRE の状態を確認する
デバイス上の WinRE の状態を確認するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
reagentc.exe /info
このコマンドの出力は次のようになります。
Windows RE の状態が Enabled でない場合は、次のコマンドを実行して有効にします。
reagentc.exe /enable
手順 3: Windows ブート ローダーの構成を確認する
パーティションの状態が正常であっても、 reagentc.exe /enable コマンドでエラーが発生する場合は、管理者特権のコマンド プロンプト ウィンドウで次のコマンドを実行して、Windows ブート ローダーに回復シーケンス GUID が含まれているかどうかを確認します。
bcdedit.exe /enum all
このコマンドの出力は、次の出力のようになります。
出力で、行 identifier={current}を含む Windows ブート ローダー セクションを見つけます。 そのセクションで、 recoverysequence 属性を見つけます。 この属性の値は、0 の文字列ではなく GUID 値にする必要があります。
イベント ID 851: BIOS のアップグレード手順については、製造元にお問い合わせください
イベント情報は、次のエラー メッセージのようになります。
サイレント暗号化を有効にできませんでした。
エラー: オペレーティング システム ドライブで BitLocker ドライブ暗号化を有効にできません。 BIOS のアップグレード手順については、コンピューターの製造元にお問い合わせください。
イベント ID 851 の原因: BIOS のアップグレード手順については、製造元にお問い合わせください
デバイスには、Unified Extensible Firmware Interface (UEFI) BIOS が必要です。 サイレント BitLocker ドライブ暗号化では、レガシ BIOS はサポートされていません。
イベント ID 851 の解決策: BIOS のアップグレード手順については、製造元にお問い合わせください
BIOS モードを確認するには、次の手順に従ってシステム情報 アプリケーションを使用します。
Start を選択し、Search ボックスに「msinfo32」と入力します。
BIOS モード設定が Legacy ではなく、UEFI であることを確認します。
BIOS モード設定が Legacy の場合、UEFI ファームウェアを UEFI または EFI モードに切り替える必要があります。 UEFI または EFI モードに切り替える手順は、デバイスに固有です。
Note
デバイスがレガシ モードのみをサポートしている場合、Intune を使用してデバイス上の BitLocker デバイス暗号化を管理することはできません。
エラー メッセージ: UEFI 変数 'SecureBoot' を読み取れませんでした
次のようなエラー メッセージが表示されます。
エラー: BitLocker は、UEFI 変数 'SecureBoot' を読み取れなかったため、整合性のためにセキュア ブートを使用できません。 クライアントは要求された特権を保有していません。
エラー メッセージの原因: UEFI 変数 'SecureBoot' を読み取れませんでした
プラットフォーム構成レジスタ (PCR) は、TPM 内のメモリ位置です。 特に、PCR7はセキュアブートの状態を測定する。 BitLocker ドライブのサイレント暗号化では、セキュア ブートを有効にする必要があります。
エラー メッセージの解決策: UEFI 変数 'SecureBoot' を読み取れませんでした
この問題は、次の手順に従って、TPM の PCR 検証プロファイルとセキュア ブート状態を確認することで解決できます。
手順 1: TPM の PCR 検証プロファイルを確認する
PCR 7 が使用中であることを確認するには、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
Manage-bde.exe -protectors -get %systemdrive%
このコマンドの出力の TPM セクションで、次のように、 PCR 検証プロファイル 設定に 7 が含まれているかどうかを確認します。
PCR 検証プロファイルに 7 が含まれていない場合 (たとえば、0、2、4、11 が含まれますが、7 は含まれません)、セキュア ブートはオンになりません。
2: セキュア ブートの状態を確認する
セキュア ブートの状態を確認するには、次の手順に従ってシステム情報 アプリケーションを使用します。
Start を選択し、Search ボックスに「msinfo32」と入力します。
セキュア ブート状態設定が次のようにOnであることを確認します。
セキュア ブート状態設定が Unsupported デバイスではサイレント BitLocker 暗号化を使用できません。
Note
Confirm-SecureBootUEFI PowerShell コマンドレットを使用して、管理者特権の PowerShell ウィンドウを開き、次のコマンドを実行することで、セキュア ブートの状態を確認することもできます。
Confirm-SecureBootUEFI
コンピューターがセキュア ブートをサポートし、セキュア ブートが有効になっている場合、このコマンドレットは "True" を返します。
コンピューターがセキュア ブートをサポートしていて、セキュア ブートが無効になっている場合、このコマンドレットは "False" を返します。
コンピューターがセキュア ブートをサポートしていない場合、または BIOS (UEFI 以外) コンピューターの場合、このコマンドレットは "このプラットフォームでサポートされていないコマンドレット" を返します。
イベント ID 846、778、851: エラー 0x80072f9a
以下のシナリオについて考えてみます。
Intune ポリシーは、Windows 10 バージョン 1809 デバイスを暗号化するために展開されており、回復パスワードは Microsoft Entra ID に格納されています。 ポリシー構成の一環として、 Microsoft Entra 参加中に暗号化を有効にする標準ユーザー オプションが選択されています。
ポリシーの展開が失敗し、エラーにより Applications and Services Logs>Microsoft>Windows>BitLocker API フォルダーのイベント ビューアーに次のイベントが生成されます。
イベント ID:846
イベント: ボリューム C: の BitLocker ドライブ暗号化回復情報を Microsoft Entra ID にバックアップできませんでした。
TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} エラー: 不明な HResult エラー コード: 0x80072f9a
イベント ID:778
イベント: BitLocker ボリューム C: が保護されていない状態に戻されました。
イベント ID: 851
イベント: サイレント暗号化を有効にできませんでした。
エラー: 不明な HResult エラー コード: 0x80072f9a。
これらのイベントは、エラー コードの0x80072f9aを参照します。
イベント ID 846、778、851 の原因: エラー 0x80072f9a
これらのイベントは、サインインしているユーザーが、プロビジョニングと登録プロセスの一部として生成された証明書の秘密キーを読み取るアクセス許可を持っていないことを示します。 そのため、BitLocker MDM ポリシーの更新が失敗します。
この問題は、Windows 10 バージョン 1809 に影響します。
イベント ID 846、778、および 851 の解決: エラー 0x80072f9a
この問題を解決するには、 May 21、2019 更新プログラムをインストールします。
エラー メッセージ: オペレーティング システム ドライブの回復オプションのグループ ポリシー設定が競合しています
次のようなエラー メッセージが表示されます。
エラー: BitLocker ドライブ暗号化は、オペレーティング システム ドライブの回復オプションのグループ ポリシー設定が競合しているため、このドライブに適用できません。 回復パスワードの生成が許可されていない場合、Active Directory ドメイン サービスへの復旧情報の格納は必要ありません。 BitLocker を有効にする前に、システム管理者にこれらのポリシーの競合を解決してください。
エラー メッセージの解決策: オペレーティング システム ドライブの回復オプションのグループ ポリシー設定が競合しています
この問題を解決するには、グループ ポリシー オブジェクト (GPO) の設定で競合を確認します。 詳細については、次のセクション「 Review BitLocker ポリシーの構成を参照してください。
GPO と BitLocker の詳細については、「 BitLocker グループ ポリシー リファレンスを参照してください。
BitLocker ポリシーの構成を確認する
BitLocker および Intune と共にポリシーを使用する手順については、次のリソースを参照してください。
- 企業向けの BitLocker 管理: Microsoft Entra ID に参加しているデバイスの管理
- BitLocker グループ ポリシー リファレンス
- 構成サービス プロバイダーのリファレンス
- ポリシー CSP – BitLocker
- BitLocker CSP
- MDM で ADMX ベースのポリシーを有効にする
- gpresult
Intune には、BitLocker に対して次の適用の種類が用意されています。
- 自動 (プロビジョニング プロセス中にデバイスが Microsoft Entra ID に参加するときに適用されます。このオプションは、Windows 10 バージョン 1703 以降で使用できます)。
- サイレント (エンドポイント保護ポリシー。このオプションは、Windows 10 バージョン 1803 以降で使用できます)。
- 対話型 (Windows 10 バージョン 1803 より古い Windows バージョンのエンドポイント ポリシー)。
デバイスが Windows 10 バージョン 1703 以降を実行している場合、Modern Standby (Instant Go とも呼ばれます) がサポートされ、HSTI に準拠している場合、デバイスを Microsoft Entra ID に参加すると、デバイスの自動暗号化がトリガーされます。 デバイスの暗号化を適用するために、個別のエンドポイント保護ポリシーは必要ありません。
デバイスが HSTI に準拠しているが、モダン スタンバイをサポートしていない場合は、サイレント BitLocker ドライブ暗号化を適用するようにエンドポイント保護ポリシーを構成する必要があります。 このポリシーの設定は、次の設定のようになります。
![[デバイスの暗号化が必要] を示す Intune ポリシー設定のスクリーンショット。](media/enforcing-bitlocker-policies-by-using-intune-known-issues/bitlocker-drive-encryption.png)
これらの設定の OMA-URI リファレンスは次のとおりです。
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
値の型: Integer
値: 1 (1 = 必須、0 = 未構成)OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
値の型: Integer
値: 0 (0 = ブロック、1 = 許可)
Note
BitLocker ポリシー CSP の更新により、デバイスが Windows 10 バージョン 1809 以降を使用している場合、デバイスが HSTI に準拠していない場合でも、エンドポイント保護ポリシーを使用してサイレント BitLocker デバイス暗号化を適用できます。
Note
[他のディスク暗号化の 警告 設定が 未構成に設定されている場合は、BitLocker ドライブ暗号化ウィザードを手動で開始する必要があります。
デバイスがモダン スタンバイをサポートしていないが HSTI に準拠していて、Windows 10 バージョン 1803 より前のバージョンの Windows を使用している場合は、この記事で説明されている設定を持つエンドポイント保護ポリシーによって、ポリシー構成がデバイスに配信されます。 ただし、Windows は BitLocker ドライブ暗号化を手動で有効にするようユーザーに通知します。 ユーザーが通知を選択すると、BitLocker ドライブ暗号化ウィザードが起動します。
Intune には、標準ユーザー向けの Autopilot デバイスの自動デバイス暗号化を構成するために使用できる設定が用意されています。 各デバイスは、次の要件を満たしている必要があります。
- HSTI に準拠している
- モダン スタンバイのサポート
- Windows 10 バージョン 1803 以降を使用する
これらの設定の OMA-URI リファレンスは次のとおりです。
- OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
値の型: Integer 値: 1
Note
このノードは、 RequireDeviceEncryption および AllowWarningForOtherDiskEncryption ノードと連携します。 このため、次の設定が設定されている場合:
- RequireDeviceEncryption to 1
- AllowStandardUserEncryption から 1 へ
- AllowWarningForOtherDiskEncryption to 0
Intune では、標準のユーザー プロファイルを持つ Autopilot デバイスに対してサイレント BitLocker 暗号化が適用されます。
BitLocker が正しく動作していることを確認する
通常の操作中、BitLocker ドライブ暗号化では、イベント ID 796 やイベント ID 845 などのイベントが生成されます。
また、BitLocker 回復パスワードが Microsoft Entra ID にアップロードされたかどうかを確認するには、Microsoft Entra Devices セクションでデバイスの詳細を確認します。
デバイスで、レジストリ エディターを調べて、デバイスのポリシー設定を確認します。 次のサブキーの下のエントリを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLockerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device
