Delen via

Problemen met BitLocker oplossen met het Intune-versleutelingsrapport

  • Artikel

Microsoft Intune biedt een ingebouwd versleutelingsrapport met informatie over de versleutelingsstatus op alle beheerde apparaten. Het Intune-versleutelingsrapport is een handig startpunt voor het oplossen van problemen met versleutelingsfouten. U kunt het rapport gebruiken om BitLocker-versleutelingsfouten te identificeren en te isoleren en de TPM-status (Trusted Platform Module) en versleutelingsstatus van Windows-apparaten te bekijken.

In dit artikel wordt uitgelegd hoe u het Intune-versleutelingsrapport gebruikt om problemen met versleuteling voor BitLocker op te lossen. Zie Het oplossen van BitLocker-beleid aan de clientzijde voor aanvullende richtlijnen voor probleemoplossing.

Notitie

Als u optimaal gebruik wilt maken van deze probleemoplossingsmethode en de foutdetails die beschikbaar zijn in het versleutelingsrapport, moet u een BitLocker-beleid configureren. Als u momenteel een apparaatconfiguratiebeleid gebruikt, kunt u overwegen het beleid te migreren. Zie BitLocker-beleid voor Windows-apparaten beheren met intune - en schijfversleutelingsbeleidsinstellingen voor eindpuntbeveiliging in Intune voor meer informatie.

Versleutelingsvereisten

De BitLocker-installatiewizard vraagt gebruikers standaard om versleuteling in te schakelen. U kunt ook een BitLocker-beleid configureren waarmee BitLocker op de achtergrond op een apparaat wordt ingeschakeld. In deze sectie worden de verschillende vereisten voor elke methode uitgelegd.

Notitie

Automatische versleuteling is niet hetzelfde als stille versleuteling. Automatische versleuteling wordt uitgevoerd tijdens de out-of-the-box experience-modus (OOBE) van Windows op moderne stand-by of op HSTI-compatibele apparaten (Hardware Security Test Interface). Bij stille versleuteling onderdrukt Intune de interactie van de gebruiker via de CSP-instellingen (Configuration Service Provider) van BitLocker.

Vereisten voor door de gebruiker ingeschakelde versleuteling:

  • De harde schijf moet worden gepartitioneerd in een besturingssysteemstation geformatteerd met NTFS en een systeemstation van ten minste 350 MB geformatteerd als FAT32 voor UEFI en NTFS voor BIOS.
  • Het apparaat moet zijn ingeschreven bij Intune via Microsoft Entra hybrid join, Microsoft Entra-registratie of Microsoft Entra join.
  • Een TPM-chip (Trusted Platform Module) is niet vereist, maar wordt ten zeerste aanbevolen voor betere beveiliging.

Vereisten voor BitLocker-versleuteling op de achtergrond :

  • Een TPM-chip (versie 1.2 of 2.0) die moet worden ontgrendeld.
  • Windows Recovery Environment (WinRE) moet zijn ingeschakeld.
  • De harde schijf moet worden gepartitioneerd in een besturingssysteemstation geformatteerd met NTFS en een systeemstation van ten minste 350 MB moet worden geformatteerd als FAT32 voor Unified Extensible Firmware Interface (UEFI) en NTFS voor BIOS. UEFI BIOS is vereist voor TPM-versie 2.0-apparaten. (Beveiligd opstarten is niet vereist, maar biedt meer beveiliging.)
  • Het door Intune ingeschreven apparaat is verbonden met hybride Microsoft Azure-services of Microsoft Entra-id.

Versleutelingsstatus en -fouten identificeren

BitLocker-versleutelingsfouten op door Intune ingeschreven Windows 10-apparaten kunnen in een van de volgende categorieën vallen:

  • De hardware of software van het apparaat voldoet niet aan de vereisten voor het inschakelen van BitLocker.
  • Het Intune BitLocker-beleid is onjuist geconfigureerd, waardoor groepsbeleidsobjectconflicten (Group Policy Object) ontstaan.
  • Het apparaat is al versleuteld en de versleutelingsmethode komt niet overeen met beleidsinstellingen.

Als u de categorie van een apparaatversleutelingsfout wilt identificeren, meldt u zich aan bij het Microsoft Intune-beheercentrum en selecteert u Het rapport Apparaatversleuteling>bewaken>. Het rapport toont een lijst met ingeschreven apparaten en geeft aan of een apparaat is versleuteld of gereed is om te worden versleuteld en of het een TPM-chip heeft.

Voorbeeld van Intune-versleutelingsrapport.

Notitie

Als op een Windows 10-apparaat de status Niet gereed wordt weergegeven, wordt versleuteling mogelijk nog steeds ondersteund. Voor een status Gereed moet tpm zijn geactiveerd op het Windows 10-apparaat. TPM-apparaten zijn niet vereist ter ondersteuning van versleuteling, maar worden ten zeerste aanbevolen voor betere beveiliging.

In het bovenstaande voorbeeld ziet u dat een apparaat met TPM-versie 1.2 is versleuteld. Daarnaast kunt u zien dat twee apparaten niet gereed zijn voor versleuteling die niet op de achtergrond kunnen worden versleuteld, evenals één TPM 2.0-apparaat dat gereed is voor versleuteling, maar nog niet is versleuteld.

Veelvoorkomende foutscenario's

In de volgende secties worden veelvoorkomende foutscenario's beschreven die u kunt diagnosticeren met details uit het versleutelingsrapport.

Scenario 1: apparaat is niet gereed voor versleuteling en niet versleuteld

Wanneer u op een apparaat klikt dat niet is versleuteld, wordt in Intune een samenvatting van de status weergegeven. In het onderstaande voorbeeld zijn er meerdere profielen gericht op het apparaat: een eindpuntbeveiligingsbeleid, een Mac-besturingssysteembeleid (dat niet van toepassing is op dit apparaat) en een Basislijn voor Microsoft Defender Advanced Threat Protection (ATP).

Intune-statusdetails waarin wordt weergegeven dat het apparaat niet gereed is voor versleuteling en niet versleuteld.

Uitleg over de versleutelingsstatus:

De berichten onder Statusdetails zijn codes die worden geretourneerd door het BitLocker CSP-statusknooppunt van het apparaat. De versleutelingsstatus heeft een foutstatus omdat het besturingssysteemvolume niet is versleuteld. Daarnaast heeft het BitLocker-beleid vereisten voor een TPM, waaraan het apparaat niet voldoet.

De berichten betekenen dat het apparaat niet is versleuteld omdat er geen TPM aanwezig is en het beleid er een vereist.

Scenario 2: apparaat is gereed, maar is niet versleuteld

In dit voorbeeld ziet u dat het TPM 2.0-apparaat niet is versleuteld.

Intune-statusdetails waarin wordt weergegeven dat het apparaat gereed is voor versleuteling, maar dat het niet is versleuteld.

Uitleg over de versleutelingsstatus:

Dit apparaat heeft een BitLocker-beleid dat is geconfigureerd voor gebruikersinteractie in plaats van stille versleuteling. De gebruiker is het versleutelingsproces niet gestart of voltooid (de gebruiker ontvangt een meldingsbericht), zodat het station niet versleuteld blijft.

Scenario 3: apparaat is niet gereed en versleutelt niet op de achtergrond

Als een versleutelingsbeleid is geconfigureerd om interactie van gebruikers te onderdrukken en op de achtergrond te versleutelen en de status Versleutelingsrapport gereed is niet van toepassing of niet gereed is, is de TPM waarschijnlijk niet gereed voor BitLocker.

Intune-statusdetails waarin wordt weergegeven dat het apparaat niet gereed is en niet op de achtergrond wordt versleuteld.

Details van de apparaatstatus geven de oorzaak aan:

Details van de intune-apparaatversleutelingsstatus met TPM is niet gereed voor BitLocker.

Uitleg over de versleutelingsstatus:

Als de TPM niet gereed is op het apparaat, kan het zijn dat deze is uitgeschakeld in de firmware of moet worden gewist of opnieuw moet worden ingesteld. Als u de TPM-beheerconsole (TPM.msc) uitvoert vanaf de opdrachtregel op het betreffende apparaat, kunt u de TPM-status begrijpen en oplossen.

Scenario 4: het apparaat is gereed, maar wordt niet op de achtergrond versleuteld

Er zijn verschillende redenen waarom een apparaat waarop stille versleuteling is gericht, gereed is, maar nog niet is versleuteld.

Details van de intune-apparaatversleutelingsstatus waarin wordt weergegeven dat het apparaat gereed is voor stille versleuteling, maar nog niet versleuteld.

Uitleg over de versleutelingsstatus:

Een uitleg is dat WinRE niet is ingeschakeld op het apparaat. Dit is een vereiste. U kunt de status van WinRE op het apparaat valideren met behulp van de opdracht reagentc.exe/info als beheerder.

Opdrachtpromptuitvoer van reagentc.exe/info.

Als WinRE is uitgeschakeld, voert u de opdracht reagentc.exe/info uit als beheerder om WinRE in te schakelen.

WinRE inschakelen in de opdrachtprompt.

Op de pagina Statusdetails wordt het volgende bericht weergegeven als WinRE niet juist is geconfigureerd:

De gebruiker die zich bij het apparaat heeft aangemeld, heeft geen beheerdersrechten.

Een andere reden kan administratieve rechten zijn. Als uw BitLocker-beleid is gericht op een gebruiker die geen beheerdersrechten heeft en Standaardgebruikers toestaan om versleuteling in te schakelen tijdens Autopilot niet is ingeschakeld, ziet u de volgende details van de versleutelingsstatus.

Uitleg over de versleutelingsstatus:

Stel Standaardgebruikers toestaan in om versleuteling in te schakelen tijdens Autopilot op Ja om dit probleem op te lossen voor aan Microsoft Entra gekoppelde apparaten.

Scenario 5: het apparaat heeft een foutstatus, maar is versleuteld

Als in dit veelvoorkomende scenario het Intune-beleid is geconfigureerd voor XTS-AES 128-bits versleuteling, maar het doelapparaat is versleuteld met XTS-AES 256-bits versleuteling (of omgekeerd), wordt de onderstaande fout weergegeven.

Details van de intune-apparaatversleutelingsstatus die laat zien dat het apparaat een foutstatus heeft, maar is versleuteld.

Uitleg over de versleutelingsstatus:

Dit gebeurt wanneer een apparaat dat al is versleuteld met behulp van een andere methode, handmatig door de gebruiker, met Microsoft BitLocker Administration and Monitoring (MBAM) of door Microsoft Configuration Manager vóór de inschrijving.

Om dit te corrigeren, ontsleutelt u het apparaat handmatig of met Windows PowerShell. Laat vervolgens het Intune BitLocker-beleid het apparaat opnieuw versleutelen wanneer het beleid de volgende keer het bereikt.

Scenario 6: het apparaat is versleuteld, maar de profielstatus is fout

Af en toe wordt een apparaat versleuteld weergegeven, maar heeft een foutstatus in de samenvatting van de profielstatus.

Details van de Intune-versleutelingsstatus waarin de statussamenvatting van het profiel wordt weergegeven, heeft de foutstatus.

Uitleg over de versleutelingsstatus:

Dit gebeurt meestal wanneer het apparaat op een andere manier is versleuteld (mogelijk handmatig). De instellingen komen overeen met het huidige beleid, maar Intune heeft de versleuteling niet gestart.