Udostępnij za pośrednictwem

Wymuszanie zasad funkcji BitLocker przy użyciu usługi Intune: znane problemy

  • Artykuł

Ten artykuł ułatwia rozwiązywanie problemów, które mogą wystąpić w przypadku korzystania z zasad usługi Microsoft Intune w celu zarządzania dyskretnym szyfrowaniem funkcji BitLocker na urządzeniach. Portal usługi Intune wskazuje, czy funkcja BitLocker nie może zaszyfrować co najmniej jednego zarządzanego urządzenia.

Zrzut ekranu przedstawiający dyktatory stanu funkcji BitLocker w portalu usługi Intune.

Aby rozpocząć zawężenie przyczyny problemu, przejrzyj dzienniki zdarzeń zgodnie z opisem w temacie Rozwiązywanie problemów z funkcją BitLocker. Skoncentruj się na dziennikach zarządzania i operacji w folderze Aplikacje i usługi>Microsoft>Windows>BitLocker-API. Poniższe sekcje zawierają więcej informacji na temat sposobu rozwiązywania wskazanych zdarzeń i komunikatów o błędach:

Jeśli nie ma jasnego dziennika zdarzeń lub komunikatów o błędach do naśladowania, inne obszary do zbadania obejmują następujące obszary:

Aby uzyskać informacje na temat procedury sprawdzania, czy zasady usługi Intune wymuszają funkcję BitLocker poprawnie, zobacz Weryfikowanie, czy funkcja BitLocker działa poprawnie.

Identyfikator zdarzenia 853: Błąd: na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczeń modułu TPM (Trusted Platform Module)

Identyfikator zdarzenia 853 może prowadzić różne komunikaty o błędach w zależności od kontekstu. W takim przypadku komunikat o błędzie o identyfikatorze zdarzenia 853 wskazuje, że urządzenie nie ma modułu TPM. Informacje o zdarzeniu będą podobne do następującego zdarzenia:

Zrzut ekranu przedstawiający szczegóły zdarzenia o identyfikatorze 853 (moduł TPM jest niedostępny, nie można odnaleźć modułu TPM).

Przyczyna zdarzenia o identyfikatorze 853: Błąd: na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczeń modułu TPM (Trusted Platform Module)

Urządzenie, które jest zabezpieczone, może nie mieć mikroukładu modułu TPM lub system BIOS urządzenia mógł zostać skonfigurowany do wyłączenia modułu TPM.

Rozwiązanie problemu dla zdarzenia o identyfikatorze 853: Błąd: na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczeń modułu TPM (Trusted Platform Module)

Aby rozwiązać ten problem, sprawdź następujące konfiguracje:

  • Moduł TPM jest włączony w systemie BIOS urządzenia.
  • Stan modułu TPM w konsoli zarządzania modułu TPM jest podobny do następujących stanów:
    • Gotowe (TPM 2.0)
    • Zainicjowane (MODUŁ TPM 1.2)

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z modułem TPM.

Identyfikator zdarzenia 853: Błąd: Szyfrowanie dysków funkcją BitLocker wykryło nośnik rozruchowy (CD lub DVD) na komputerze

W takim przypadku jest wyświetlany identyfikator zdarzenia 853, a komunikat o błędzie w zdarzeniu wskazuje, że nośnik rozruchowy jest dostępny dla urządzenia. Informacje o zdarzeniu są podobne do następujących.

Zrzut ekranu przedstawiający szczegóły zdarzenia o identyfikatorze 853 (moduł TPM jest niedostępny, znaleziono nośnik rozruchowy).

Przyczyna zdarzenia o identyfikatorze 853: Błąd: Szyfrowanie dysków funkcją BitLocker wykryło nośnik rozruchowy (CD lub DVD) na komputerze

Podczas procesu aprowizacji szyfrowanie dysków funkcją BitLocker rejestruje konfigurację urządzenia w celu ustanowienia punktu odniesienia. Jeśli konfiguracja urządzenia zmieni się później (na przykład w przypadku usunięcia nośnika), zostanie automatycznie uruchomiony tryb odzyskiwania funkcji BitLocker.

Aby uniknąć takiej sytuacji, proces aprowizacji zostanie zatrzymany, jeśli wykryje wymienny nośnik rozruchowy.

Rozwiązanie problemu dla zdarzenia o identyfikatorze 853: Błąd: Szyfrowanie dysków funkcją BitLocker wykryło nośnik rozruchowy (CD lub DVD) na komputerze

Usuń nośnik rozruchowy i uruchom ponownie urządzenie. Po ponownym uruchomieniu urządzenia sprawdź stan szyfrowania.

Identyfikator zdarzenia 854: Usługa WinRE nie jest skonfigurowana

Informacje o zdarzeniu przypominają następujący komunikat o błędzie:

Nie można włączyć szyfrowania dyskretnego. Usługa WinRe nie jest skonfigurowana.

Błąd: ten komputer nie może obsługiwać szyfrowania urządzenia, ponieważ usługa WinRE nie jest poprawnie skonfigurowana.

Przyczyna zdarzenia o identyfikatorze 854: Usługa WinRE nie jest skonfigurowana

Środowisko odzyskiwania systemu Windows (WinRE) to minimalny system operacyjny Windows oparty na środowisku preinstalacji systemu Windows (Windows PE). Usługa WinRE zawiera kilka narzędzi, których administrator może użyć do odzyskania lub zresetowania systemu Windows i zdiagnozowania problemów z systemem Windows. Jeśli urządzenie nie może uruchomić zwykłego systemu operacyjnego Windows, urządzenie próbuje uruchomić winRE.

Proces aprowizacji umożliwia szyfrowanie dysków funkcją BitLocker na dysku systemu operacyjnego w fazie aprowizacji systemu Windows PE. Ta akcja zapewnia ochronę dysku przed zainstalowaniem pełnego systemu operacyjnego. Proces aprowizacji tworzy również partycję systemową dla systemu WinRE, która ma być używana w przypadku awarii systemu.

Jeśli usługa WinRE nie jest dostępna na urządzeniu, aprowizowanie zostanie zatrzymane.

Rozwiązanie dla zdarzenia o identyfikatorze 854: Usługa WinRE nie jest skonfigurowana

Ten problem można rozwiązać, sprawdzając konfigurację partycji dysku, stan winRE i konfigurację modułu ładującego rozruchu systemu Windows, wykonując następujące kroki:

Krok 1. Weryfikowanie konfiguracji partycji dysku

Procedury opisane w tej sekcji zależą od domyślnych partycji dysków skonfigurowanych przez system Windows podczas instalacji. Systemy Windows 11 i Windows 10 automatycznie tworzą partycję odzyskiwania zawierającą plik Winre.wim . Konfiguracja partycji jest podobna do poniższej.

Zrzut ekranu przedstawiający domyślne partycje dysku, w tym partycję odzyskiwania.

Aby sprawdzić konfigurację partycji dysku, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenia:

diskpart.exe 
list volume

Zrzut ekranu przedstawiający dane wyjściowe polecenia woluminu listy z narzędzia Diskpart.

Jeśli stan dowolnego woluminu nie jest w dobrej kondycji lub jeśli brakuje partycji odzyskiwania, może być konieczne ponowne zainstalowanie systemu Windows. Przed ponowną instalacją systemu Windows sprawdź konfigurację obrazu systemu Windows, który jest aprowizowany. Upewnij się, że obraz używa prawidłowej konfiguracji dysku. Konfiguracja obrazu powinna przypominać następujące (ten przykład pochodzi z programu Microsoft Configuration Manager):

Zrzut ekranu przedstawiający konfigurację obrazu systemu Windows w programie Microsoft Configuration Manager.

Krok 2. Weryfikowanie stanu usługi WinRE

Aby sprawdzić stan winRE na urządzeniu, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

reagentc.exe /info

Dane wyjściowe tego polecenia są podobne do następujących.

Zrzut ekranu przedstawiający dane wyjściowe polecenia reagentc.exe /info.

Jeśli stan systemu Windows RE nie jest włączony, uruchom następujące polecenie, aby go włączyć:

reagentc.exe /enable

Krok 3. Weryfikowanie konfiguracji modułu ładującego rozruchu systemu Windows

Jeśli stan partycji jest w dobrej kondycji, ale polecenie reagentc.exe /enable powoduje błąd, sprawdź, czy moduł ładujący rozruchu systemu Windows zawiera identyfikator GUID sekwencji odzyskiwania, uruchamiając następujące polecenie w oknie wiersza polecenia z podwyższonym poziomem uprawnień:

bcdedit.exe /enum all

Dane wyjściowe tego polecenia będą podobne do następujących danych wyjściowych:

Zrzut ekranu przedstawiający dane wyjściowe polecenia bcdedit /enum all.

W danych wyjściowych znajdź sekcję modułu ładującego rozruchu systemu Windows zawierającą identyfikator wiersza ={current}. W tej sekcji znajdź atrybut recoverysequence . Wartość tego atrybutu powinna być wartością identyfikatora GUID, a nie ciągiem zer.

Identyfikator zdarzenia 851: Skontaktuj się z producentem, aby uzyskać instrukcje dotyczące uaktualniania systemu BIOS

Informacje o zdarzeniu będą podobne do następującego komunikatu o błędzie:

Nie można włączyć szyfrowania dyskretnego.

Błąd: Nie można włączyć szyfrowania dysków funkcją BitLocker na dysku systemu operacyjnego. Skontaktuj się z producentem komputera, aby uzyskać instrukcje uaktualniania systemu BIOS.

Przyczyna zdarzenia o identyfikatorze 851: Skontaktuj się z producentem, aby uzyskać instrukcje dotyczące uaktualniania systemu BIOS

Urządzenie musi mieć system BIOS ujednoliconego rozszerzalnego oprogramowania układowego (UEFI). Szyfrowanie dysków funkcją BitLocker w trybie dyskretnym nie obsługuje starszego systemu BIOS.

Rozwiązanie problemu dla zdarzenia o identyfikatorze 851: skontaktuj się z producentem, aby uzyskać instrukcje dotyczące uaktualniania systemu BIOS

Aby sprawdzić tryb BIOS, użyj aplikacji Informacje o systemie, wykonując następujące kroki:

  1. Wybierz pozycję Start, a następnie wprowadź ciąg msinfo32 w polu Wyszukaj .

  2. Sprawdź, czy ustawienie tryb biosu ma wartość UEFI, a nie starsze.

    Zrzut ekranu przedstawiający aplikację Informacje o systemie z ustawieniem Tryb systemu BIOS.

  3. Jeśli ustawienie Tryb BIOS ma wartość Starsza wersja, oprogramowanie układowe UEFI musi zostać przełączone na tryb UEFI lub EFI. Kroki przełączania do trybu UEFI lub EFI są specyficzne dla urządzenia.

    Uwaga 16.

    Jeśli urządzenie obsługuje tylko tryb starsza wersja, usługa Intune nie może służyć do zarządzania szyfrowaniem urządzeń funkcją BitLocker na urządzeniu.

Komunikat o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"

Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:

Błąd: Funkcja BitLocker nie może użyć bezpiecznego rozruchu do integralności, ponieważ nie można odczytać zmiennej UEFI "SecureBoot". Wymagane uprawnienia nie są przechowywane przez klienta.

Przyczyna komunikatu o błędzie: Nie można odczytać zmiennej UEFI "SecureBoot"

Rejestr konfiguracji platformy (PCR) to lokalizacja pamięci w module TPM. W szczególności PCR 7 mierzy stan bezpiecznego rozruchu. Szyfrowanie dysków funkcji BitLocker w trybie dyskretnym wymaga włączenia bezpiecznego rozruchu.

Rozwiązanie komunikatu o błędzie: nie można odczytać zmiennej UEFI "SecureBoot"

Ten problem można rozwiązać, sprawdzając profil weryfikacji pcR modułu TPM i stanu bezpiecznego rozruchu, wykonując następujące kroki:

Krok 1. Weryfikowanie profilu weryfikacji pcR modułu TPM

Aby sprawdzić, czy komputer PCR 7 jest używany, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

Manage-bde.exe -protectors -get %systemdrive%

W sekcji modułu TPM danych wyjściowych tego polecenia sprawdź, czy ustawienie profilu weryfikacji PCR zawiera wartość 7 w następujący sposób:

Zrzut ekranu przedstawiający dane wyjściowe polecenia manage-bde.exe.

Jeśli profil weryfikacji pcR nie zawiera 7 (na przykład wartości obejmują 0, 2, 4 i 11, ale nie 7), bezpieczny rozruch nie jest włączony.

Zrzut ekranu przedstawiający dane wyjściowe polecenia manage-bde, gdy komputer PCR 7 nie jest obecny.

2: Weryfikowanie stanu bezpiecznego rozruchu

Aby sprawdzić stan bezpiecznego rozruchu, użyj aplikacji Informacje o systemie, wykonując następujące kroki:

  1. Wybierz pozycję Start, a następnie wprowadź ciąg msinfo32 w polu Wyszukaj .

  2. Sprawdź, czy ustawienie Stan bezpiecznego rozruchu jest włączone w następujący sposób:

    Zrzut ekranu przedstawiający aplikację Informacje o systemie z nieobsługiwanym stanem bezpiecznego rozruchu.

  3. Jeśli ustawienie Stan bezpiecznego rozruchu jest nieobsługiwane, na urządzeniu nie można używać szyfrowania dyskretnego funkcji BitLocker.

    Informacje o systemie aplikacji z nieobsługiwanym stanem bezpiecznego rozruchu.

Uwaga 16.

Polecenia cmdlet Confirm-SecureBootUEFI programu PowerShell można również użyć do zweryfikowania stanu bezpiecznego rozruchu, otwierając okno programu PowerShell z podwyższonym poziomem uprawnień i uruchamiając następujące polecenie:

Confirm-SecureBootUEFI

Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest włączony, to polecenie cmdlet zwraca wartość "True".

Jeśli komputer obsługuje bezpieczny rozruch i bezpieczny rozruch jest wyłączony, to polecenie cmdlet zwraca wartość "Fałsz".

Jeśli komputer nie obsługuje bezpiecznego rozruchu lub jest komputerem BIOS (innym niż UEFI), to polecenie cmdlet zwraca wartość "Polecenie cmdlet nie jest obsługiwane na tej platformie".

Identyfikator zdarzenia 846, 778 i 851: błąd 0x80072f9a

Rozważmy następujący scenariusz:

Zasady usługi Intune są wdrażane w celu zaszyfrowania urządzenia z systemem Windows 10 w wersji 1809, a hasło odzyskiwania jest przechowywane w usłudze Microsoft Entra ID. W ramach konfiguracji zasad wybrano opcję Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania do firmy Microsoft Entra.

Wdrożenie zasad kończy się niepowodzeniem i błąd generuje następujące zdarzenia w Podgląd zdarzeń w folderze Aplikacje i usługi Dzienniki>interfejsu API funkcji Microsoft>Windows>BitLocker:

Identyfikator zdarzenia:846

Zdarzenie: Nie można utworzyć kopii zapasowej informacji odzyskiwania szyfrowania dysków funkcją BitLocker dla woluminu C: do identyfikatora Entra firmy Microsoft.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Błąd: Nieznany kod błędu HResult: 0x80072f9a

Identyfikator zdarzenia:778

Zdarzenie: wolumin funkcji BitLocker C: został przywrócony do stanu niechronionego.

Identyfikator zdarzenia: 851

Zdarzenie: nie można włączyć szyfrowania dyskretnego.

Błąd: Nieznany kod błędu HResult: 0x80072f9a.

Te zdarzenia odnoszą się do 0x80072f9a kodu błędu.

Przyczyna zdarzenia o identyfikatorze 846, 778 i 851: błąd 0x80072f9a

Te zdarzenia wskazują, że zalogowany użytkownik nie ma uprawnień do odczytu klucza prywatnego na certyfikacie wygenerowanym w ramach procesu aprowizacji i rejestracji. W związku z tym odświeżanie zasad MDM funkcji BitLocker kończy się niepowodzeniem.

Problem dotyczy systemu Windows 10 w wersji 1809.

Rozwiązanie dla zdarzenia o identyfikatorze 846, 778 i 851: Błąd 0x80072f9a

Aby rozwiązać ten problem, zainstaluj aktualizację z 21 maja 2019 r.

Komunikat o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego

Zostanie wyświetlony komunikat o błędzie podobny do następującego komunikatu o błędzie:

Błąd: Nie można zastosować szyfrowania dysków funkcją BitLocker do tego dysku, ponieważ istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego. Przechowywanie informacji odzyskiwania w usługach domena usługi Active Directory nie może być wymagane, jeśli generowanie haseł odzyskiwania jest niedozwolone. Przed podjęciem próby włączenia funkcji BitLocker administrator systemu rozwiąż te konflikty zasad...

Rozwiązanie dla komunikatu o błędzie: Istnieją sprzeczne ustawienia zasad grupy dla opcji odzyskiwania na dyskach systemu operacyjnego

Aby rozwiązać ten problem, przejrzyj ustawienia obiektu zasad grupy (GPO) pod kątem konfliktów. Aby uzyskać więcej informacji, zobacz następną sekcję Przejrzyj konfigurację zasad funkcji BitLocker.

Aby uzyskać więcej informacji na temat obiektów zasad grupy i funkcji BitLocker, zobacz Dokumentacja zasad grupy funkcji BitLocker.

Przejrzyj konfigurację zasad funkcji BitLocker

Aby uzyskać informacje o procedurze używania zasad razem z funkcją BitLocker i usługą Intune, zobacz następujące zasoby:

Usługa Intune oferuje następujące typy wymuszania dla funkcji BitLocker:

  • Automatyczne (wymuszane, gdy urządzenie dołącza do identyfikatora Firmy Microsoft Entra podczas procesu aprowizacji. Ta opcja jest dostępna w systemie Windows 10 w wersji 1703 lub nowszej).
  • Dyskretne (zasady ochrony punktu końcowego. Ta opcja jest dostępna w systemie Windows 10 w wersji 1803 lub nowszej).
  • Interactive (zasady punktu końcowego dla wersji systemu Windows starszych niż Windows 10 w wersji 1803).

Jeśli na urządzeniu działa system Windows 10 w wersji 1703 lub nowszej, obsługuje funkcję Nowoczesne wstrzymanie (znane również jako Instant Go) i jest zgodne ze standardem HSTI, dołączając urządzenie do usługi Microsoft Entra ID wyzwala automatyczne szyfrowanie urządzenia. Oddzielne zasady ochrony punktu końcowego nie są wymagane do wymuszania szyfrowania urządzeń.

Jeśli urządzenie jest zgodne ze standardem HSTI, ale nie obsługuje nowoczesnego trybu wstrzymania, należy skonfigurować zasady ochrony punktu końcowego w celu wymuszania dyskretnego szyfrowania dysków funkcją BitLocker. Ustawienia tych zasad powinny być podobne do następujących ustawień:

Zrzut ekranu przedstawiający ustawienia zasad usługi Intune z wyświetloną pozycją Szyfruj wymagane urządzenia.

Odwołania OMA-URI dla tych ustawień są następujące:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Typ wartości: liczba całkowita
    Wartość: 1 (1 = Wymagaj, 0 = Nieskonfigurowane)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Typ wartości: liczba całkowita
    Wartość: 0 (0 = zablokowane, 1 = dozwolone)

Uwaga 16.

Ze względu na aktualizację dostawcy usługi konfiguracji zasad funkcji BitLocker, jeśli urządzenie korzysta z systemu Windows 10 w wersji 1809 lub nowszej, zasady ochrony punktu końcowego mogą służyć do wymuszania dyskretnego szyfrowania urządzeń funkcją BitLocker, nawet jeśli urządzenie nie jest zgodne z modułem HSTI.

Uwaga 16.

Jeśli ustawienie Ostrzeżenie dotyczące innego szyfrowania dysków ma wartość Nieskonfigurowane, kreator szyfrowania dysków funkcją BitLocker musi zostać uruchomiony ręcznie.

Jeśli urządzenie nie obsługuje nowoczesnego wstrzymania, ale jest zgodne ze standardem HSTI i używa wersji systemu Windows starszej niż Windows 10 w wersji 1803, zasady ochrony punktu końcowego, które mają ustawienia opisane w tym artykule, dostarcza konfigurację zasad do urządzenia. Jednak system Windows powiadamia użytkownika o ręcznym włączeniu szyfrowania dysków funkcją BitLocker. Gdy użytkownik wybierze powiadomienie, uruchomi kreatora szyfrowania dysków funkcją BitLocker.

Usługa Intune udostępnia ustawienia, które mogą służyć do konfigurowania automatycznego szyfrowania urządzeń dla urządzeń rozwiązania Autopilot dla użytkowników standardowych. Każde urządzenie musi spełniać następujące wymagania:

  • Być zgodnym ze standardem HSTI
  • Obsługa nowoczesnego wstrzymania
  • Korzystanie z systemu Windows 10 w wersji 1803 lub nowszej

Zrzut ekranu przedstawiający ustawienie zasad usługi Intune z ustawieniem Zezwalaj użytkownikom standardowym na włączanie szyfrowania podczas dołączania do firmy Microsoft Entra.

Odwołania OMA-URI dla tych ustawień są następujące:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Typ wartości: Wartość całkowita : 1

Uwaga 16.

Ten węzeł współpracuje z węzłami RequireDeviceEncryption i AllowWarningForOtherDiskEncryption . Z tego powodu po ustawieniu następujących ustawień:

  • RequireDeviceEncryption do 1
  • AllowStandardUserEncryption do 1
  • AllowWarningForOtherDiskEncryption do 0

Usługa Intune wymusza dyskretne szyfrowanie funkcją BitLocker dla urządzeń rozwiązania Autopilot, które mają standardowe profile użytkowników.

Sprawdzanie, czy funkcja BitLocker działa prawidłowo

Podczas regularnych operacji szyfrowanie dysków funkcją BitLocker generuje zdarzenia, takie jak identyfikator zdarzenia 796 i identyfikator zdarzenia 845.

Zrzut ekranu przedstawiający zdarzenie o identyfikatorze 796 ze szczegółowymi informacjami.

Zrzut ekranu przedstawiający zdarzenie o identyfikatorze 845 ze szczegółowymi informacjami.

Można również określić, czy hasło odzyskiwania funkcji BitLocker zostało przekazane do identyfikatora entra firmy Microsoft, sprawdzając szczegóły urządzenia w sekcji Urządzenia Firmy Microsoft Entra.

Zrzut ekranu przedstawiający informacje odzyskiwania funkcji BitLocker wyświetlane w identyfikatorze Entra firmy Microsoft.

Na urządzeniu sprawdź Edytor rejestru, aby zweryfikować ustawienia zasad na urządzeniu. Sprawdź wpisy w następujących podkluczach:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Zrzut ekranu przedstawiający podklucze rejestru odnoszące się do zasad usługi Intune.