Delen via

BitLocker-beleid afdwingen met behulp van Intune: bekende problemen

  • Artikel

Dit artikel helpt bij het oplossen van problemen die kunnen optreden als u Microsoft Intune-beleid gebruikt voor het beheren van stille BitLocker-versleuteling op apparaten. De Intune-portal geeft aan of BitLocker een of meer beheerde apparaten niet kan versleutelen.

Schermopname van de BitLocker-statusdictors in de Intune-portal.

Als u de oorzaak van het probleem wilt beperken, raadpleegt u de gebeurtenislogboeken zoals beschreven in Problemen met BitLocker oplossen. Richt u op de logboeken beheer en bewerkingen in de logboeken toepassingen en services van>Microsoft>Windows>BitLocker-API. In de volgende secties vindt u meer informatie over het oplossen van de aangegeven gebeurtenissen en foutberichten:

Als er geen duidelijk spoor van gebeurtenissen of foutberichten te volgen is, zijn andere gebieden die moeten worden onderzocht de volgende gebieden:

Zie Controleren of BitLocker correct wordt uitgevoerd voor informatie over de procedure om te controleren of Het Intune-beleid BitLocker correct afdwingt.

Gebeurtenis-id 853: Fout: Een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) kan niet worden gevonden op deze computer

Gebeurtenis-id 853 kan verschillende foutberichten bevatten, afhankelijk van de context. In dit geval geeft het foutbericht Gebeurtenis-id 853 aan dat het apparaat geen TPM lijkt te hebben. De gebeurtenisgegevens zijn vergelijkbaar met de volgende gebeurtenis:

Schermopname van details van gebeurtenis-id 853 (TPM is niet beschikbaar, KAN TPM niet vinden).

Oorzaak van gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) kan niet worden gevonden op deze computer

Het apparaat dat wordt beveiligd, heeft mogelijk geen TPM-chip of het BIOS van het apparaat is geconfigureerd om de TPM uit te schakelen.

Oplossing voor gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) kan niet worden gevonden op deze computer

Controleer de volgende configuraties om dit probleem op te lossen:

  • De TPM is ingeschakeld in het BIOS van het apparaat.
  • De TPM-status in de TPM-beheerconsole is vergelijkbaar met de volgende statussen:
    • Gereed (TPM 2.0)
    • Geïnitialiseerd (TPM 1.2)

Zie Problemen met de TPM oplossen voor meer informatie.

Gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

In dit geval wordt gebeurtenis-id 853 weergegeven en het foutbericht in de gebeurtenis geeft aan dat opstartbare media beschikbaar zijn voor het apparaat. De gebeurtenisgegevens lijken op het volgende.

Schermopname van details van gebeurtenis-id 853 (TPM is niet beschikbaar, opstartbare media gevonden).

Oorzaak van gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

Tijdens het inrichtingsproces registreert BitLocker-stationsversleuteling de configuratie van het apparaat om een basislijn tot stand te brengen. Als de apparaatconfiguratie later wordt gewijzigd (bijvoorbeeld als de media worden verwijderd), wordt de BitLocker-herstelmodus automatisch gestart.

Om deze situatie te voorkomen, stopt het inrichtingsproces als er een verwisselbaar opstartbaar medium wordt gedetecteerd.

Oplossing voor gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

Verwijder de opstartbare media en start het apparaat opnieuw op. Nadat het apparaat opnieuw is opgestart, controleert u de versleutelingsstatus.

Gebeurtenis-id 854: WinRE is niet geconfigureerd

De gebeurtenisgegevens lijken op het volgende foutbericht:

Kan stille versleuteling niet inschakelen. WinRe is niet geconfigureerd.

Fout: deze pc biedt geen ondersteuning voor apparaatversleuteling omdat WinRE niet juist is geconfigureerd.

Oorzaak van gebeurtenis-id 854: WinRE is niet geconfigureerd

Windows Recovery Environment (WinRE) is een minimaal Windows-besturingssysteem dat is gebaseerd op Windows Preinstallation Environment (Windows PE). WinRE bevat verschillende hulpprogramma's die een beheerder kan gebruiken om Windows te herstellen of opnieuw in te stellen en Windows-problemen vast te stellen. Als een apparaat het normale Windows-besturingssysteem niet kan starten, probeert het apparaat WinRE te starten.

Met het inrichtingsproces wordt BitLocker-stationsversleuteling op het besturingssysteemstation ingeschakeld tijdens de Windows PE-fase van het inrichten. Deze actie zorgt ervoor dat het station is beveiligd voordat het volledige besturingssysteem is geïnstalleerd. Het inrichtingsproces maakt ook een systeempartitie voor WinRE die moet worden gebruikt als het systeem vastloopt.

Als WinRE niet beschikbaar is op het apparaat, stopt het inrichten.

Oplossing voor gebeurtenis-id 854: WinRE is niet geconfigureerd

Dit probleem kan worden opgelost door de configuratie van de schijfpartities, de status van WinRE en de Windows Boot Loader-configuratie te controleren door de volgende stappen uit te voeren:

Stap 1: De configuratie van de schijfpartities controleren

De procedures die in deze sectie worden beschreven, zijn afhankelijk van de standaardschijfpartities die windows tijdens de installatie configureert. Windows 11 en Windows 10 maken automatisch een herstelpartitie die het Winre.wim-bestand bevat. De partitieconfiguratie lijkt op het volgende.

Schermopname van de standaardschijfpartities, inclusief de herstelpartitie.

Als u de configuratie van de schijfpartities wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdrachten uit:

diskpart.exe 
list volume

Schermopname van de uitvoer van de opdracht list volume van Diskpart.

Als de status van een van de volumes niet in orde is of als de herstelpartitie ontbreekt, moet Windows mogelijk opnieuw worden geïnstalleerd. Voordat u Windows opnieuw installeert, controleert u de configuratie van de Windows-installatiekopieën die worden ingericht. Zorg ervoor dat de installatiekopieën de juiste schijfconfiguratie gebruiken. De configuratie van de installatiekopieën moet er ongeveer als volgt uitzien (dit voorbeeld is afkomstig van Microsoft Configuration Manager):

Schermopname van de configuratie van Windows-installatiekopieën in Microsoft Configuration Manager.

Stap 2: De status van WinRE controleren

Als u de status van WinRE op het apparaat wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

reagentc.exe /info

De uitvoer van deze opdracht lijkt op het volgende.

Schermopname van de uitvoer van de opdracht reagentc.exe /info.

Als de Windows RE-status niet is ingeschakeld, voert u de volgende opdracht uit om deze in te schakelen:

reagentc.exe /enable

Stap 3: De configuratie van het Windows-opstartlaadprogramma controleren

Als de partitiestatus in orde is, maar de opdracht reagentc.exe /enable resulteert in een fout, controleert u of de Windows Boot Loader de herstelreeks-GUID bevat door de volgende opdracht uit te voeren in een opdrachtpromptvenster met verhoogde bevoegdheid:

bcdedit.exe /enum all

De uitvoer van deze opdracht is vergelijkbaar met de volgende uitvoer:

Schermopname van de uitvoer van de opdracht bcdedit /enum all.

Zoek in de uitvoer de sectie Windows Boot Loader die de regel-id ={current} bevat. Zoek in deze sectie het kenmerk recoverysequence . De waarde van dit kenmerk moet een GUID-waarde zijn, niet een tekenreeks van nullen.

Gebeurtenis-id 851: Neem contact op met de fabrikant voor BIOS-upgrade-instructies

De gebeurtenisgegevens zijn vergelijkbaar met het volgende foutbericht:

Kan stille versleuteling niet inschakelen.

Fout: BitLocker-stationsversleuteling kan niet worden ingeschakeld op het besturingssysteemstation. Neem contact op met de fabrikant van de computer voor BIOS-upgrade-instructies.

Oorzaak van gebeurtenis-id 851: neem contact op met de fabrikant voor BIOS-upgrade-instructies

Het apparaat moet UEFI BIOS (Unified Extensible Firmware Interface) hebben. BitLocker-stationsversleuteling op de achtergrond biedt geen ondersteuning voor verouderde BIOS.

Oplossing voor gebeurtenis-id 851: neem contact op met de fabrikant voor BIOS-upgrade-instructies

Als u de BIOS-modus wilt controleren, gebruikt u de Systeeminformatie-toepassing door de volgende stappen uit te voeren:

  1. Selecteer Start en voer msinfo32 in het zoekvak in.

  2. Controleer of de instelling BIOS-modus UEFI is en niet verouderd.

    Schermopname van de Systeeminformatie-app met de instelling BIOS-modus.

  3. Als de instelling BIOS-modus verouderd is, moet de UEFI-firmware worden overgeschakeld naar de UEFI- of EFI-modus. De stappen voor het overschakelen naar de UEFI - of EFI-modus zijn specifiek voor het apparaat.

    Notitie

    Als het apparaat alleen ondersteuning biedt voor de verouderde modus, kan Intune niet worden gebruikt om BitLocker-apparaatversleuteling op het apparaat te beheren.

Foutbericht: De UEFI-variabele SecureBoot kan niet worden gelezen

Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:

Fout: BitLocker kan Beveiligd opstarten niet gebruiken voor integriteit omdat de UEFI-variabele SecureBoot niet kan worden gelezen. Een vereiste bevoegdheid wordt niet bewaard door de client.

Oorzaak van foutbericht: De UEFI-variabele SecureBoot kan niet worden gelezen

Een PCR (Platform Configuration Register) is een geheugenlocatie in de TPM. PcR 7 meet met name de status van beveiligd opstarten. BitLocker-stationsversleuteling op de achtergrond vereist dat beveiligd opstarten is ingeschakeld.

Oplossing voor foutbericht: De UEFI-variabele SecureBoot kan niet worden gelezen

Dit probleem kan worden opgelost door het PCR-validatieprofiel van de TPM en de status beveiligd opstarten te controleren door de volgende stappen uit te voeren:

Stap 1: het PCR-validatieprofiel van de TPM controleren

Als u wilt controleren of PCR 7 wordt gebruikt, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

Manage-bde.exe -protectors -get %systemdrive%

Controleer in de TPM-sectie van de uitvoer van deze opdracht of de instelling pcR-validatieprofiel 7 bevat, als volgt:

Schermopname van de uitvoer van de opdracht manage-bde.exe.

Als het PCR-validatieprofiel geen 7 bevat (de waarden zijn bijvoorbeeld 0, 2, 4 en 11, maar niet 7), is beveiligd opstarten niet ingeschakeld.

Schermopname van de uitvoer van de opdracht manage-bde wanneer PCR 7 niet aanwezig is.

2: De status van beveiligd opstarten controleren

Gebruik de Systeeminformatie-toepassing om de status van beveiligd opstarten te controleren door de volgende stappen uit te voeren:

  1. Selecteer Start en voer msinfo32 in het zoekvak in.

  2. Controleer als volgt of de instelling Beveiligd opstarten is ingeschakeld:

    Schermopname van de Systeeminformatie-app met een niet-ondersteunde status voor beveiligd opstarten.

  3. Als de instelling Beveiligd opstarten niet wordt ondersteund, kan BitLocker-versleuteling op de achtergrond niet worden gebruikt op het apparaat.

    Systeeminformatie app met een niet-ondersteunde status voor beveiligd opstarten.

Notitie

De PowerShell-cmdlet Confirm-SecureBootUEFI kan ook worden gebruikt om de status Beveiligd opstarten te controleren door een PowerShell-venster met verhoogde bevoegdheid te openen en de volgende opdracht uit te voeren:

Confirm-SecureBootUEFI

Als de computer beveiligd opstarten en beveiligd opstarten ondersteunt, retourneert deze cmdlet 'True'.

Als de computer beveiligd opstarten ondersteunt en beveiligd opstarten is uitgeschakeld, retourneert deze cmdlet 'False'.

Als de computer beveiligd opstarten niet ondersteunt of een BIOS-computer (niet-UEFI) is, retourneert deze cmdlet 'Cmdlet niet ondersteund op dit platform'.

Gebeurtenis-id 846, 778 en 851: Fout 0x80072f9a

Bekijk het volgende scenario:

Intune-beleid wordt geïmplementeerd om een Windows 10-, versie 1809-apparaat te versleutelen en het herstelwachtwoord wordt opgeslagen in Microsoft Entra-id. Als onderdeel van de beleidsconfiguratie is de optie Standaardgebruikers toestaan om versleuteling in te schakelen tijdens microsoft Entra join geselecteerd.

De beleidsimplementatie mislukt en de fout genereert de volgende gebeurtenissen in Logboeken in de >>microsoft Windows>BitLocker-API-map:

Gebeurtenis-id:846

Gebeurtenis: Kan geen back-up maken van bitLocker-stationsversleutelingsherstelgegevens voor volume C: naar uw Microsoft Entra-id.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fout: Onbekende HResult-foutcode: 0x80072f9a

Gebeurtenis-id:778

Gebeurtenis: Het BitLocker-volume C: is teruggezet naar een niet-beveiligde status.

Gebeurtenis-id: 851

Gebeurtenis: Kan stille versleuteling niet inschakelen.

Fout: Onbekende HResult-foutcode: 0x80072f9a.

Deze gebeurtenissen verwijzen naar foutcode 0x80072f9a.

Oorzaak van gebeurtenis-id 846, 778 en 851: Fout 0x80072f9a

Deze gebeurtenissen geven aan dat de aangemelde gebruiker niet gemachtigd is om de persoonlijke sleutel te lezen op het certificaat dat wordt gegenereerd als onderdeel van het inrichtings- en inschrijvingsproces. Daarom mislukt het vernieuwen van het BitLocker MDM-beleid.

Het probleem is van invloed op Windows 10 versie 1809.

Oplossing voor gebeurtenis-id 846, 778 en 851: fout 0x80072f9a

Installeer de update van 21 mei 2019 om dit probleem op te lossen.

Foutbericht: Er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations

Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:

Fout: BitLocker-stationsversleuteling kan niet worden toegepast op dit station omdat er conflicterende groepsbeleidsinstellingen zijn voor herstelopties op besturingssysteemstations. Het opslaan van herstelgegevens naar Active Directory-domein Services kan niet worden vereist wanneer het genereren van herstelwachtwoorden niet is toegestaan. Laat uw systeembeheerder deze beleidsconflicten oplossen voordat u BitLocker probeert in te schakelen...

Oplossing voor foutbericht: Er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations

Bekijk de instellingen voor groepsbeleidsobjecten (GPO) voor conflicten om dit probleem op te lossen. Zie de volgende sectie, BitLocker-beleidsconfiguratie controleren voor meer informatie.

Zie Referentie voor BitLocker-groepsbeleid voor meer informatie over GPO's en BitLocker.

BitLocker-beleidsconfiguratie controleren

Zie de volgende bronnen voor informatie over de procedure voor het gebruik van beleid samen met BitLocker en Intune:

Intune biedt de volgende afdwingingstypen voor BitLocker:

  • Automatisch (afgedwongen wanneer het apparaat deelneemt aan De Microsoft Entra-id tijdens het inrichtingsproces. Deze optie is beschikbaar in Windows 10 versie 1703 en hoger.)
  • Stil (Endpoint Protection-beleid. Deze optie is beschikbaar in Windows 10 versie 1803 en hoger.)
  • Interactief (eindpuntbeleid voor Windows-versies die ouder zijn dan Windows 10 versie 1803.)

Als op het apparaat Windows 10 versie 1703 of hoger wordt uitgevoerd, wordt moderne stand-by (ook wel Instant Go genoemd) ondersteund en wordt het apparaat gekoppeld aan Microsoft Entra ID, waardoor automatische apparaatversleuteling wordt geactiveerd. Er is geen afzonderlijk eindpuntbeveiligingsbeleid vereist om apparaatversleuteling af te dwingen.

Als het apparaat compatibel is met HSTI, maar geen ondersteuning biedt voor Modern Stand-by, moet een eindpuntbeveiligingsbeleid worden geconfigureerd om stille BitLocker-stationsversleuteling af te dwingen. De instellingen voor dit beleid moeten vergelijkbaar zijn met de volgende instellingen:

Schermopname van de Intune-beleidsinstellingen met Apparaten versleutelen vereist.

De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Waardetype: Geheel getal
    Waarde: 1 (1 = Vereisen, 0 = Niet geconfigureerd)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Waardetype: Geheel getal
    Waarde: 0 (0 = Geblokkeerd, 1 = Toegestaan)

Notitie

Als het apparaat Windows 10 versie 1809 of hoger gebruikt, kan een endpoint protection-beleid worden gebruikt om bitLocker-apparaatversleuteling af te dwingen, zelfs als het apparaat niet compatibel is met HSTI.

Notitie

Als de waarschuwing voor andere schijfversleutelingsinstelling is ingesteld op Niet geconfigureerd, moet de wizard BitLocker-stationsversleuteling handmatig worden gestart.

Als het apparaat geen ondersteuning biedt voor Modern Stand-by, maar HSTI-compatibel is en een versie van Windows gebruikt die ouder is dan Windows 10, versie 1803, biedt een eindpuntbeveiligingsbeleid met de instellingen die in dit artikel worden beschreven, de beleidsconfiguratie aan het apparaat. Windows meldt vervolgens de gebruiker vervolgens handmatig BitLocker-stationsversleuteling in te schakelen. Wanneer de gebruiker de melding selecteert, wordt de wizard BitLocker-stationsversleuteling gestart.

Intune biedt instellingen die kunnen worden gebruikt voor het configureren van automatische apparaatversleuteling voor Autopilot-apparaten voor standaardgebruikers. Elk apparaat moet voldoen aan de volgende vereisten:

  • Voldoen aan HSTI
  • Ondersteuning voor moderne stand-by
  • Windows 10 versie 1803 of hoger gebruiken

Schermopname van de Intune-beleidsinstelling met Standaardgebruikers toestaan om versleuteling in te schakelen tijdens Microsoft Entra Join.

De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Waardetype: Integerwaarde : 1

Notitie

Dit knooppunt werkt samen met de knooppunten RequireDeviceEncryption en AllowWarningForOtherDiskEncryption . Daarom worden de volgende instellingen ingesteld:

  • RequireDeviceEncryption naar 1
  • AllowStandardUserEncryption naar 1
  • AllowWarningForOtherDiskEncryption naar 0

Intune dwingt stille BitLocker-versleuteling af voor Autopilot-apparaten met standaardgebruikersprofielen.

Controleren of BitLocker correct werkt

Tijdens normale bewerkingen genereert BitLocker-stationsversleuteling gebeurtenissen zoals gebeurtenis-id 796 en gebeurtenis-id 845.

Schermopname van de gebeurtenis-id 796 met gedetailleerde informatie.

Schermopname van de gebeurtenis-id 845 met gedetailleerde informatie.

U kunt ook bepalen of het BitLocker-herstelwachtwoord is geüpload naar Microsoft Entra ID door de apparaatgegevens in de sectie Microsoft Entra-apparaten te controleren.

Schermopname van de BitLocker-herstelgegevens zoals weergegeven in Microsoft Entra-id.

Controleer op het apparaat de Register-editor om de beleidsinstellingen op het apparaat te controleren. Controleer de vermeldingen onder de volgende subsleutels:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Schermopname van de registersubsleutels die betrekking hebben op Intune-beleid.