Udostępnij za pośrednictwem

Rozwiązywanie problemów z funkcją BitLocker za pomocą raportu szyfrowania usługi Intune

  • Artykuł

Usługa Microsoft Intune udostępnia wbudowany raport szyfrowania, który zawiera szczegółowe informacje o stanie szyfrowania na wszystkich zarządzanych urządzeniach. Raport szyfrowania usługi Intune jest przydatnym punktem wyjścia do rozwiązywania problemów z błędami szyfrowania. Raport umożliwia identyfikowanie i izolowanie błędów szyfrowania funkcji BitLocker oraz wyświetlanie stanu modułu TPM (Trusted Platform Module) i stanu szyfrowania urządzeń z systemem Windows.

W tym artykule wyjaśniono, jak używać raportu szyfrowania usługi Intune, aby ułatwić rozwiązywanie problemów z szyfrowaniem funkcji BitLocker. Aby uzyskać dodatkowe wskazówki dotyczące rozwiązywania problemów, zobacz Rozwiązywanie problemów z zasadami funkcji BitLocker po stronie klienta.

Uwaga 16.

Aby w pełni wykorzystać tę metodę rozwiązywania problemów i szczegóły błędu dostępne w raporcie szyfrowania, należy skonfigurować zasady funkcji BitLocker. Jeśli obecnie używasz zasad konfiguracji urządzenia, rozważ migrację zasad. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami funkcji BitLocker dla urządzeń z systemem Windows przy użyciu usługi Intune i ustawień zasad szyfrowania dysków dla zabezpieczeń punktu końcowego w usłudze Intune.

Wymagania wstępne dotyczące szyfrowania

Domyślnie kreator konfiguracji funkcji BitLocker monituje użytkowników o włączenie szyfrowania. Można również skonfigurować zasady funkcji BitLocker, które dyskretnie włączają funkcję BitLocker na urządzeniu. W tej sekcji opisano różne wymagania wstępne dla każdej metody.

Uwaga 16.

Automatyczne szyfrowanie nie jest takie samo jak szyfrowanie dyskretne. Automatyczne szyfrowanie jest wykonywane w trybie gotowego środowiska systemu Windows (OOBE) na nowoczesnych urządzeniach rezerwowych lub na urządzeniach zgodnych ze sprzętowym interfejsem zabezpieczeń (HSTI). W przypadku szyfrowania dyskretnego usługa Intune pomija interakcję użytkownika za pośrednictwem ustawień dostawcy usług konfiguracji funkcji BitLocker (CSP).

Wymagania wstępne dotyczące szyfrowania z obsługą użytkownika:

  • Dysk twardy musi być podzielony na dysk systemu operacyjnego sformatowany za pomocą systemu PLIKÓW NTFS i dysk systemowy o rozmiarze co najmniej 350 MB sformatowanym jako FAT32 dla UEFI i NTFS dla systemu BIOS.
  • Urządzenie musi być zarejestrowane w usłudze Intune za pośrednictwem dołączania hybrydowego firmy Microsoft Entra, rejestracji firmy Microsoft Entra lub dołączenia do firmy Microsoft Entra.
  • Mikroukład modułu TPM (Trusted Platform Module) nie jest wymagany, ale zdecydowanie zalecany w celu zwiększenia bezpieczeństwa.

Wymagania wstępne dotyczące szyfrowania dyskretnego funkcji BitLocker:

  • Mikroukład modułu TPM (wersja 1.2 lub 2.0), który musi zostać odblokowany.
  • Należy włączyć środowisko odzyskiwania systemu Windows (WinRE).
  • Dysk twardy musi być podzielony na dysk systemu operacyjnego sformatowany za pomocą systemu PLIKÓW NTFS, a dysk systemowy o rozmiarze co najmniej 350 MB musi być sformatowany jako FAT32 dla ujednoliconego interfejsu UEFI (Extensible Firmware Interface) i SYSTEMU PLIKÓW NTFS dla systemu BIOS. System BIOS interfejsu UEFI jest wymagany dla urządzeń z modułem TPM w wersji 2.0. (Bezpieczny rozruch nie jest wymagany, ale zapewni większe bezpieczeństwo).
  • Urządzenie zarejestrowane w usłudze Intune jest połączone z usługami hybrydowymi platformy Microsoft Azure lub identyfikatorem Entra firmy Microsoft.

Identyfikowanie stanu szyfrowania i niepowodzeń

Błędy szyfrowania funkcji BitLocker na zarejestrowanych urządzeniach z systemem Windows 10 w usłudze Intune mogą należeć do jednej z następujących kategorii:

  • Sprzęt lub oprogramowanie urządzenia nie spełnia wymagań wstępnych dotyczących włączania funkcji BitLocker.
  • Zasady funkcji BitLocker usługi Intune są nieprawidłowo skonfigurowane, powodując konflikty obiektu zasad grupy (GPO).
  • Urządzenie jest już zaszyfrowane, a metoda szyfrowania nie jest zgodna z ustawieniami zasad.

Aby zidentyfikować kategorię niepowodzenia szyfrowania urządzenia, zaloguj się do centrum administracyjnego usługi Microsoft Intune i wybierz pozycję Urządzenia>Monitoruj>raport szyfrowania. Raport wyświetli listę zarejestrowanych urządzeń i pokaże, czy urządzenie jest zaszyfrowane lub gotowe do szyfrowania, a jeśli ma mikroukład TPM.

Przykład raportu szyfrowania w usłudze Intune.

Uwaga 16.

Jeśli na urządzeniu z systemem Windows 10 jest wyświetlany stan Nie wszystko gotowe , może on nadal obsługiwać szyfrowanie. W przypadku stanu Gotowe urządzenie z systemem Windows 10 musi mieć aktywowany moduł TPM. Urządzenia TPM nie są wymagane do obsługi szyfrowania, ale są zdecydowanie zalecane w celu zwiększenia bezpieczeństwa.

W powyższym przykładzie pokazano, że urządzenie z modułem TPM w wersji 1.2 zostało pomyślnie zaszyfrowane. Ponadto można zobaczyć, że dwa urządzenia nie są gotowe do szyfrowania, które nie będą mogły być szyfrowane w trybie dyskretnym, a także jedno urządzenie TPM 2.0, które jest gotowe do szyfrowania, ale nie zostało jeszcze zaszyfrowane.

Typowe scenariusze błędów

W poniższych sekcjach opisano typowe scenariusze błędów, które można zdiagnozować ze szczegółami z raportu szyfrowania.

Scenariusz 1 — urządzenie nie jest gotowe do szyfrowania i nie jest szyfrowane

Po kliknięciu urządzenia, które nie jest zaszyfrowane, usługa Intune wyświetli podsumowanie jego stanu. W poniższym przykładzie istnieje wiele profilów przeznaczonych dla urządzenia: zasady ochrony punktu końcowego, zasady systemu operacyjnego Mac (które nie mają zastosowania do tego urządzenia) i punkt odniesienia zaawansowanej ochrony przed zagrożeniami w usłudze Microsoft Defender (ATP).

Szczegóły stanu usługi Intune pokazujące, że urządzenie nie jest gotowe do szyfrowania i nie jest szyfrowane.

Objaśniono stan szyfrowania:

Komunikaty w obszarze Szczegóły stanu to kody zwracane przez węzeł stanu dostawcy usługi konfiguracji funkcji BitLocker z urządzenia. Stan szyfrowania jest w stanie błędu, ponieważ wolumin systemu operacyjnego nie jest zaszyfrowany. Ponadto zasady funkcji BitLocker mają wymagania dotyczące modułu TPM, które urządzenie nie spełnia.

Komunikaty oznaczają, że urządzenie nie jest zaszyfrowane, ponieważ nie ma modułu TPM, a zasady tego wymagają.

Scenariusz 2 — urządzenie jest gotowe, ale nie jest zaszyfrowane

W tym przykładzie pokazano, że urządzenie TPM 2.0 nie jest szyfrowane.

Szczegóły stanu usługi Intune pokazujące, że urządzenie jest gotowe do szyfrowania, ale nie jest zaszyfrowane.

Objaśniono stan szyfrowania:

To urządzenie ma zasady funkcji BitLocker skonfigurowane do interakcji użytkownika, a nie szyfrowania dyskretnego. Użytkownik nie rozpoczął ani nie ukończył procesu szyfrowania (użytkownik otrzymuje komunikat z powiadomieniem), więc dysk pozostaje niezaszyfrowany.

Scenariusz 3 — urządzenie nie jest gotowe i nie będzie szyfrować dyskretnie

Jeśli zasady szyfrowania są skonfigurowane do pomijania interakcji użytkownika i szyfrowania w trybie dyskretnym, a stan gotowości szyfrowania to Nie dotyczy lub Nie jest gotowy, prawdopodobnie moduł TPM nie jest gotowy do korzystania z funkcji BitLocker.

Szczegóły stanu usługi Intune pokazujące, że urządzenie nie jest gotowe i nie będzie szyfrować w trybie dyskretnym.

Szczegóły stanu urządzenia ujawniają przyczynę:

Szczegóły stanu szyfrowania urządzenia w usłudze Intune pokazujące, że moduł TPM nie jest gotowy do korzystania z funkcji BitLocker.

Objaśniono stan szyfrowania:

Jeśli moduł TPM nie jest gotowy na urządzeniu, może to być spowodowane tym, że jest wyłączony w oprogramowaniu układowym lub musi zostać wyczyszczone lub zresetowane. Uruchomienie konsoli zarządzania modułu TPM (TPM.msc) z wiersza polecenia na urządzeniu, którego dotyczy problem, pomoże Ci zrozumieć i rozwiązać stan modułu TPM.

Scenariusz 4 — urządzenie jest gotowe, ale nie jest szyfrowane w trybie dyskretnym

Istnieje kilka powodów, dla których urządzenie objęte szyfrowaniem dyskretnym jest gotowe, ale nie zostało jeszcze zaszyfrowane.

Szczegóły stanu szyfrowania urządzeń w usłudze Intune pokazujące, że urządzenie jest gotowe do szyfrowania dyskretnego, ale nie zostało jeszcze zaszyfrowane.

Objaśniono stan szyfrowania:

Jednym z wyjaśnień jest to, że usługa WinRE nie jest włączona na urządzeniu, co jest wymaganiem wstępnym. Stan winRE na urządzeniu można zweryfikować przy użyciu polecenia reagentc.exe/info jako administrator.

Dane wyjściowe wiersza polecenia reagentc.exe/info.

Jeśli usługa WinRE jest wyłączona, uruchom polecenie reagentc.exe/info jako administrator, aby włączyć usługę WinRE.

Włączanie winRE w wierszu polecenia.

Na stronie Szczegóły stanu zostanie wyświetlony następujący komunikat, jeśli usługa WinRE nie jest poprawnie skonfigurowana:

Użytkownik zalogowany na urządzeniu nie ma uprawnień administratora.

Innym powodem mogą być prawa administracyjne. Jeśli zasady funkcji BitLocker są przeznaczone dla użytkownika, który nie ma uprawnień administracyjnych i pozycja Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas korzystania z rozwiązania Autopilot nie jest włączona, zostaną wyświetlone następujące szczegóły stanu szyfrowania.

Objaśniono stan szyfrowania:

Ustaw opcję Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas rozwiązania Autopilot na wartość Tak , aby rozwiązać ten problem dla urządzeń dołączonych do firmy Microsoft.

Scenariusz 5 — urządzenie jest w stanie błędu, ale jest zaszyfrowane

W tym typowym scenariuszu, jeśli zasady usługi Intune są skonfigurowane pod kątem szyfrowania 128-bitowego XTS-AES, ale docelowe urządzenie jest szyfrowane przy użyciu szyfrowania XTS-AES 256-bitowego (lub odwrotnego), zostanie wyświetlony poniższy błąd.

Szczegóły stanu szyfrowania urządzenia w usłudze Intune pokazujące, że urządzenie jest w stanie błędu, ale jest zaszyfrowane.

Objaśniono stan szyfrowania:

Dzieje się tak, gdy urządzenie, które zostało już zaszyfrowane przy użyciu innej metody — ręcznie przez użytkownika, przy użyciu programu Microsoft BitLocker Administration and Monitoring (MBAM) lub przez program Microsoft Configuration Manager przed rejestracją.

Aby rozwiązać ten krok, odszyfruj urządzenie ręcznie lub za pomocą programu Windows PowerShell. Następnie za pomocą zasad funkcji BitLocker usługi Intune ponownie zaszyfruj urządzenie przy następnym osiągnięciu zasad.

Scenariusz 6 — urządzenie jest szyfrowane, ale stan profilu jest w błędzie

Czasami urządzenie jest szyfrowane, ale ma stan błędu w podsumowaniu stanu profilu.

Szczegóły stanu szyfrowania usługi Intune przedstawiające podsumowanie stanu profilu są w stanie błędu.

Objaśniono stan szyfrowania:

Zwykle występuje to, gdy urządzenie zostało zaszyfrowane za pomocą innego sposobu (ewentualnie ręcznie). Ustawienia są zgodne z bieżącymi zasadami, ale usługa Intune nie zainicjowała szyfrowania.