Compartilhar via

Solução de problemas do BitLocker com o relatório de criptografia Intune

  • Artigo

Microsoft Intune fornece um relatório de criptografia interno que fornece detalhes sobre a criptografia status em todos os dispositivos gerenciados. O relatório de criptografia Intune é um ponto de partida útil para solucionar problemas de falha de criptografia. Você pode usar o relatório para identificar e isolar falhas de criptografia do BitLocker e ver o TPM (Trusted Platform Module) status e criptografia status de dispositivos Windows.

Este artigo explica como usar o relatório de criptografia Intune para ajudar a solucionar problemas de criptografia para o BitLocker. Para obter diretrizes adicionais de solução de problemas, consulte Solucionar problemas de políticas do BitLocker do lado do cliente.

Observação

Para aproveitar ao máximo esse método de solução de problemas e os detalhes de erro disponíveis no relatório de criptografia, você precisará configurar uma política do BitLocker. Se você estiver usando uma política de configuração de dispositivo no momento, considere migrar a política. Para obter mais informações, consulte Gerenciar a política do BitLocker para dispositivos Windows com configurações de política de criptografia de Intune e disco para segurança de ponto de extremidade em Intune.

Pré-requisitos de criptografia

Por padrão, o assistente de instalação do BitLocker solicita que os usuários habilitem a criptografia. Você também pode configurar uma política BitLocker que permite silenciosamente o BitLocker em um dispositivo. Esta seção explica os diferentes pré-requisitos para cada método.

Observação

A criptografia automática não é a mesma coisa que a criptografia silenciosa. A criptografia automática é executada durante o modo OOBE (experiência fora da caixa) do Windows em espera moderno ou em dispositivos compatíveis com HSTI (Interface de Teste de Segurança de Hardware). Na criptografia silenciosa, Intune suprime a interação do usuário por meio das configurações do CSP (provedor de serviços de configuração do BitLocker).

Pré-requisitos para criptografia habilitada para o usuário :

  • O disco rígido deve ser particionado em uma unidade do sistema operacional formatada com NTFS e uma unidade do sistema de pelo menos 350 MB formatada como FAT32 para UEFI e NTFS para BIOS.
  • O dispositivo deve ser registrado em Intune por meio de Microsoft Entra junção híbrida, Microsoft Entra registro ou Microsoft Entra junção.
  • Um chip TPM (Módulo de Plataforma Confiável) não é necessário, mas altamente recomendado para aumentar a segurança.

Pré-requisitos para criptografia silenciosa do BitLocker:

  • Um chip TPM (versão 1.2 ou 2.0) que deve ser desbloqueado.
  • O WinRE (Ambiente de Recuperação do Windows) deve estar habilitado.
  • O disco rígido deve ser particionado em uma unidade do sistema operacional formatada com NTFS e uma unidade do sistema de pelo menos 350 MB deve ser formatada como FAT32 para UEFI (Interface de Firmware Extensível Unificado) e NTFS para BIOS. O BIOS UEFI é necessário para dispositivos TPM versão 2.0. (A inicialização segura não é necessária, mas fornecerá mais segurança.)
  • O dispositivo registrado Intune está conectado a serviços híbridos ou Microsoft Entra ID do Microsoft Azure.

Identificar status e falhas de criptografia

Falhas de criptografia do BitLocker em Intune dispositivos Windows 10 registrados podem se enquadrar em uma das seguintes categorias:

  • O hardware ou software do dispositivo não atende aos pré-requisitos para habilitar o BitLocker.
  • A política Intune BitLocker está configurada incorretamente, causando conflitos de GPO (objeto Política de Grupo).
  • O dispositivo já está criptografado e o método de criptografia não corresponde às configurações da política.

Para identificar a categoria de uma falha de criptografia de dispositivo, entre no centro de administração Microsoft Intune eselecioneRelatóriode Criptografia do >Monitor de Dispositivos>. O relatório mostrará uma lista de dispositivos registrados e mostrará se um dispositivo está criptografado ou pronto para ser criptografado e se ele tem um chip TPM.

Intune exemplo de relatório de criptografia.

Observação

Se um dispositivo Windows 10 exibir um status Não pronto, ele ainda poderá dar suporte à criptografia. Para um status Pronto, o dispositivo Windows 10 deve ter o TPM ativado. Os dispositivos TPM não são necessários para dar suporte à criptografia, mas são altamente recomendados para aumentar a segurança.

O exemplo acima mostra que um dispositivo com tpm versão 1.2 foi criptografado com êxito. Além disso, você pode ver dois dispositivos não prontos para criptografia que não poderão ser criptografados silenciosamente, bem como um dispositivo TPM 2.0 pronto para criptografia, mas ainda não criptografado.

Cenários comuns de falha

As seções a seguir descrevem cenários comuns de falha que você pode diagnosticar com detalhes do relatório de criptografia.

Cenário 1 – O dispositivo não está pronto para criptografia e não é criptografado

Quando você clica em um dispositivo que não é criptografado, Intune exibe um resumo de seu status. No exemplo abaixo, há vários perfis direcionados ao dispositivo: uma política de proteção de ponto de extremidade, uma política do sistema operacional Mac (que não é aplicável a este dispositivo) e uma linha de base Microsoft Defender PROTEção Avançada contra Ameaças (ATP).

Intune status detalhes mostrando que o dispositivo não está pronto para criptografia e não criptografado.

O status de criptografia explicou:

As mensagens em Detalhes de status são códigos retornados pelo nó CSP do BitLocker status do dispositivo. O status de criptografia está em um estado de erro porque o volume do sistema operacional não está criptografado. Além disso, a política do BitLocker tem requisitos para um TPM, que o dispositivo não atende.

As mensagens significam que o dispositivo não está criptografado porque não tem um TPM presente e a política requer um.

Cenário 2 – O dispositivo está pronto, mas não criptografado

Este exemplo mostra que o dispositivo TPM 2.0 não está criptografado.

Intune status detalhes mostrando que o dispositivo está pronto para criptografia, mas não é criptografado.

O status de criptografia explicou:

Esse dispositivo tem uma política BitLocker configurada para interação do usuário em vez de criptografia silenciosa. O usuário não iniciou ou concluiu o processo de criptografia (o usuário recebe uma mensagem de notificação), portanto, a unidade permanece não criptografada.

Cenário 3 – O dispositivo não está pronto e não criptografará silenciosamente

Se uma política de criptografia estiver configurada para suprimir a interação do usuário e criptografar silenciosamente e o estado de preparação para criptografianão for aplicável ou Não estiver pronto, é provável que o TPM não esteja pronto para o BitLocker.

Intune status detalhes mostrando que o dispositivo não está pronto e não criptografará silenciosamente.

Os detalhes do status do dispositivo revelam a causa:

Intune a criptografia do dispositivo status detalhes mostrando que o TPM não está pronto para o BitLocker.

O status de criptografia explicou:

Se o TPM não estiver pronto no dispositivo, poderá ser porque ele está desabilitado no firmware ou precisa ser desmarcado ou redefinido. Executar o TPM console de gerenciamento (TPM.msc) da linha de comando no dispositivo afetado ajudará você a entender e resolve o estado do TPM.

Cenário 4 – O dispositivo está pronto, mas não criptografado silenciosamente

Há vários motivos para que um dispositivo direcionado com criptografia silenciosa esteja pronto, mas ainda não criptografado.

Intune criptografia do dispositivo status detalhes mostrando que o dispositivo está pronto para criptografia silenciosa, mas ainda não criptografado.

O status de criptografia explicou:

Uma explicação é que o WinRE não está habilitado no dispositivo, que é um pré-requisito. Você pode validar o status do WinRE no dispositivo usando o comando reagentc.exe/info como administrador.

Saída de prompt de comando de reagentc.exe/info.

Se o WinRE estiver desabilitado, execute o comando reagentc.exe/info como administrador para habilitar o WinRE.

Habilitando o WinRE no Prompt de Comando.

A página Detalhes do Status exibirá a seguinte mensagem se o WinRE não estiver configurado corretamente:

O usuário conectado ao dispositivo não tem direitos de administrador.

Outro motivo pode ser os direitos administrativos. Se sua política do BitLocker estiver direcionando um usuário que não tem direitos administrativos e permitir que usuários padrão habilitem a criptografia durante o Autopilot não estiver habilitado, você verá a criptografia a seguir status detalhes.

O status de criptografia explicou:

Defina Permitir que usuários padrão habilitem a criptografia durante o Autopilot como Sim para resolve esse problema para Microsoft Entra dispositivos ingressados.

Cenário 5 – O dispositivo está em um estado de erro, mas criptografado

Nesse cenário comum, se a política Intune estiver configurada para criptografia XTS-AES de 128 bits, mas o dispositivo de destino for criptografado usando criptografia XTS-AES de 256 bits (ou o inverso), você receberá o erro mostrado abaixo.

Intune criptografia do dispositivo status detalhes mostrando que o dispositivo está em um estado de erro, mas criptografado.

O status de criptografia explicou:

Isso acontece quando um dispositivo que já foi criptografado usando outro método , manualmente pelo usuário, com o MBAM (Administração e Monitoramento do Microsoft BitLocker) ou pelo Microsoft Configuration Manager antes do registro.

Para corrigir isso, descriptografe o dispositivo manualmente ou com Windows PowerShell. Em seguida, deixe que a política Intune BitLocker criptografe o dispositivo novamente na próxima vez que a política o atingir.

Cenário 6 – O dispositivo é criptografado, mas o estado do perfil está em erro

Ocasionalmente, um dispositivo aparece criptografado, mas tem um estado de erro no resumo do estado do perfil.

Intune criptografia status detalhes mostrando que o resumo do estado do perfil está em estado de erro.

O status de criptografia explicou:

Isso geralmente ocorre quando o dispositivo foi criptografado por outro meio (possivelmente manualmente). As configurações correspondem à política atual, mas Intune não iniciou a criptografia.