Compartilhar via

Impor políticas do BitLocker usando o Intune: problemas conhecidos

  • Artigo

Este artigo ajuda a solucionar problemas que podem ocorrer ao usar a política do Microsoft Intune para gerenciar a criptografia silenciosa do BitLocker em dispositivos. O portal do Intune indica se o BitLocker falhou ao criptografar um ou mais dispositivos gerenciados.

Captura de tela mostrando os indicadores de status do BitLocker no portal do Intune.

Para começar a restringir a causa do problema, examine os logs de eventos conforme descrito em Solucionar problemas do BitLocker. Concentre-se nos logs de Gerenciamento e Operações na pasta API BitLocker do Microsoft>Windows>de logs>de Aplicativos e Serviços. As seções a seguir fornecem mais informações sobre como resolver os eventos e mensagens de erro indicados:

Se não houver um rastro claro de eventos ou mensagens de erro a seguir, outras áreas a serem investigadas incluem as seguintes áreas:

Para obter informações sobre o procedimento para verificar se as políticas do Intune estão impondo o BitLocker corretamente, consulte Verificando se o BitLocker está operando corretamente.

ID do Evento 853: Erro: Um Dispositivo de Segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador

A ID do evento 853 pode conter mensagens de erro diferentes, dependendo do contexto. Nesse caso, a mensagem de erro da ID do Evento 853 indica que o dispositivo não parece ter um TPM. As informações do evento serão semelhantes ao seguinte evento:

Captura de tela dos detalhes da ID de evento 853 (o TPM não está disponível, não é possível encontrar o TPM).

Causa da ID do evento 853: Erro: Um dispositivo de segurança TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador

O dispositivo que está sendo protegido pode não ter um chip TPM ou o BIOS do dispositivo pode ter sido configurado para desabilitar o TPM.

Resolução para a ID do Evento 853: Erro: Não foi possível encontrar um dispositivo de segurança TPM (Trusted Platform Module) compatível neste computador

Para resolver esse problema, verifique as seguintes configurações:

  • O TPM está habilitado no BIOS do dispositivo.
  • O status do TPM no console de gerenciamento do TPM é semelhante aos seguintes status:
    • Pronto (TPM 2.0)
    • Inicializado (TPM 1.2)

Para obter mais informações, consulte Solucionar problemas do TPM.

ID do Evento 853: Erro: a Criptografia de Unidade de Disco BitLocker detectou mídia inicializável (CD ou DVD) no computador

Nesse caso, a ID do evento 853 é exibida e a mensagem de erro no evento indica que a mídia inicializável está disponível para o dispositivo. As informações do evento são semelhantes às seguintes.

Captura de tela dos detalhes da ID do evento 853 (TPM não está disponível, mídia inicializável encontrada).

Causa da ID do evento 853: Erro: a Criptografia de Unidade de Disco BitLocker detectou mídia inicializável (CD ou DVD) no computador

Durante o processo de provisionamento, a criptografia de unidade do BitLocker registra a configuração do dispositivo para estabelecer uma linha de base. Se a configuração do dispositivo for alterada posteriormente (por exemplo, se a mídia for removida), o modo de recuperação do BitLocker será iniciado automaticamente.

Para evitar essa situação, o processo de provisionamento será interrompido se detectar uma mídia inicializável removível.

Resolução para a ID do Evento 853: Erro: a Criptografia de Unidade de Disco BitLocker detectou mídia inicializável (CD ou DVD) no computador

Remova a mídia inicializável e reinicie o dispositivo. Depois que o dispositivo for reiniciado, verifique o status da criptografia.

ID do evento 854: o WinRE não está configurado

As informações do evento são semelhantes à seguinte mensagem de erro:

Falha ao habilitar a criptografia silenciosa. O WinRe não está configurado.

Erro: Este PC não pode suportar a criptografia de dispositivo porque o WinRE não está configurado corretamente.

Causa da ID do evento 854: o WinRE não está configurado

O WinRE (Ambiente de Recuperação do Windows) é um sistema operacional Windows mínimo baseado no Windows PE (Ambiente de Pré-Instalação do Windows). O WinRE inclui várias ferramentas que um administrador pode usar para recuperar ou redefinir o Windows e diagnosticar problemas do Windows. Se um dispositivo não puder iniciar o sistema operacional Windows normal, o dispositivo tentará iniciar o WinRE.

O processo de provisionamento habilita a criptografia de unidade do BitLocker na unidade do sistema operacional durante a fase de provisionamento do Windows PE. Essa ação garante que a unidade esteja protegida antes que o sistema operacional completo seja instalado. O processo de provisionamento também cria uma partição do sistema para o WinRE usar se o sistema falhar.

Se o WinRE não estiver disponível no dispositivo, o provisionamento será interrompido.

Resolução para a ID do evento 854: o WinRE não está configurado

Esse problema pode ser resolvido verificando a configuração das partições de disco, o status do WinRE e a configuração do Carregador de Inicialização do Windows seguindo estas etapas:

Etapa 1: verificar a configuração das partições de disco

Os procedimentos descritos nesta seção dependem das partições de disco padrão que o Windows configura durante a instalação. Windows 11 e Windows 10 criam automaticamente uma partição de recuperação que contém o arquivo Winre.wim . A configuração da partição é semelhante à seguinte.

Captura de tela das partições de disco padrão, incluindo a partição de recuperação.

Para verificar a configuração das partições de disco, abra uma janela elevada do Prompt de Comando e execute os seguintes comandos:

diskpart.exe 
list volume

Captura de tela da saída do comando list volume do Diskpart.

Se o status de qualquer um dos volumes não estiver íntegro ou se a partição de recuperação estiver ausente, talvez seja necessário reinstalar o Windows. Antes de reinstalar o Windows, verifique a configuração da imagem do Windows que está sendo provisionada. Verifique se a imagem usa a configuração de disco correta. A configuração da imagem deve ser semelhante à seguinte (este exemplo é do Microsoft Configuration Manager):

Captura de tela da configuração de imagem do Windows no Microsoft Configuration Manager.

Etapa 2: Verificar o status do WinRE

Para verificar o status do WinRE no dispositivo, abra uma janela do Prompt de Comando com privilégios elevados e execute o seguinte comando:

reagentc.exe /info

A saída desse comando é semelhante à seguinte.

Captura de tela da saída do comando reagentc.exe /info.

Se o status do Windows RE não for Habilitado, execute o seguinte comando para habilitá-lo:

reagentc.exe /enable

Etapa 3: verificar a configuração do carregador de inicialização do Windows

Se o status da partição estiver íntegro, mas o comando reagentc.exe /enable resultar em um erro, verifique se o Carregador de Inicialização do Windows contém o GUID da sequência de recuperação executando o seguinte comando em uma janela de Prompt de Comando com privilégios elevados:

bcdedit.exe /enum all

A saída desse comando será semelhante à seguinte saída:

Captura de tela da saída do comando bcdedit /enum all.

Na saída, localize a seção Carregador de Inicialização do Windows que inclui a linha identifier={current}. Nessa seção, localize o atributo recoverysequence . O valor desse atributo deve ser um valor GUID, não uma cadeia de caracteres de zeros.

ID do Evento 851: Entre em contato com o fabricante para obter instruções de atualização do BIOS

As informações do evento serão semelhantes à seguinte mensagem de erro:

Falha ao habilitar a criptografia silenciosa.

Erro: A Criptografia de Unidade de Disco BitLocker não pode ser habilitada na unidade do sistema operacional. Entre em contato com o fabricante do computador para obter instruções de atualização do BIOS.

Causa do evento ID 851: Entre em contato com o fabricante para obter instruções de atualização do BIOS

O dispositivo deve ter BIOS UEFI (Unified Extensible Firmware Interface). A criptografia de unidade silenciosa do BitLocker não dá suporte ao BIOS herdado.

Resolução para a ID de evento 851: entre em contato com o fabricante para obter instruções de atualização do BIOS

Para verificar o modo BIOS, use o aplicativo Informações do sistema seguindo estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar.

  2. Verifique se a configuração do modo BIOS é UEFI e não Legacy.

    Captura de tela do aplicativo Informações do sistema, mostrando a configuração do modo BIOS.

  3. Se a configuração do modo BIOS for Legacy, o firmware UEFI precisará ser alternado para o modo UEFI ou EFI . As etapas para alternar para o modo UEFI ou EFI são específicas para o dispositivo.

    Observação

    Se o dispositivo der suporte apenas ao modo herdado, o Intune não poderá ser usado para gerenciar a criptografia de dispositivo BitLocker no dispositivo.

Mensagem de erro: A variável UEFI 'SecureBoot' não pôde ser lida

Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:

Erro: o BitLocker não pode usar a Inicialização Segura para integridade porque a variável UEFI 'SecureBoot' não pôde ser lida. O cliente não tem um privilégio obrigatório.

Causa da mensagem de erro: A variável UEFI 'SecureBoot' não pôde ser lida

Um PCR (registro de configuração de plataforma) é um local de memória no TPM. Em particular, o PCR 7 mede o estado da inicialização segura. A criptografia de unidade silenciosa do BitLocker requer que a inicialização segura seja ativada.

Resolução para a mensagem de erro: a variável UEFI 'SecureBoot' não pôde ser lida

Esse problema pode ser resolvido verificando o perfil de validação de PCR do TPM e o estado de inicialização segura seguindo estas etapas:

Etapa 1: Verificar o perfil de validação de PCR do TPM

Para verificar se o PCR 7 está em uso, abra uma janela de Prompt de Comando com privilégios elevados e execute o seguinte comando:

Manage-bde.exe -protectors -get %systemdrive%

Na seção TPM da saída desse comando, verifique se a configuração do Perfil de Validação de PCR inclui 7, da seguinte maneira:

Captura de tela da saída do comando manage-bde.exe.

Se o Perfil de Validação de PCR não incluir 7 (por exemplo, os valores incluem 0, 2, 4 e 11, mas não 7), a inicialização segura não será ativada.

Captura de tela da saída do comando manage-bde quando o PCR 7 não está presente.

2: Verificar o estado de inicialização segura

Para verificar o estado de inicialização segura, use o aplicativo Informações do Sistema seguindo estas etapas:

  1. Selecione Iniciar e insira msinfo32 na caixa Pesquisar.

  2. Verifique se a configuração do Estado de Inicialização Segura está Ativada, da seguinte maneira:

    Captura de tela do aplicativo Informações do sistema, mostrando um estado de inicialização segura não suportado.

  3. Se a configuração do Estado de Inicialização Segura não tiver suporte, a Criptografia Silenciosa do BitLocker não poderá ser usada no dispositivo.

    Aplicativo Informações do sistema, mostrando um estado de inicialização segura sem suporte.

Observação

O cmdlet Confirm-SecureBootUEFI do PowerShell também pode ser usado para verificar o estado de Inicialização Segura abrindo uma janela do PowerShell com privilégios elevados e executando o seguinte comando:

Confirm-SecureBootUEFI

Se o computador der suporte à Inicialização Segura e a Inicialização Segura estiver habilitada, esse cmdlet retornará "True".

Se o computador der suporte à inicialização segura e a inicialização segura estiver desabilitada, esse cmdlet retornará "False".

Se o computador não der suporte à Inicialização Segura ou for um computador BIOS (não UEFI), esse cmdlet retornará "Cmdlet sem suporte nesta plataforma".

ID do evento 846, 778 e 851: Erro 0x80072f9a

Considere o cenário a seguir.

A política do Intune está sendo implantada para criptografar um dispositivo Windows 10, versão 1809, e a senha de recuperação está sendo armazenada na ID do Microsoft Entra. Como parte da configuração da política, a opção Permitir que usuários padrão habilitem a criptografia durante o ingresso no Microsoft Entra foi selecionada.

A implantação da política falha e gera os seguintes eventos no Visualizador de Eventos na pasta API do BitLocker do Microsoft>Windows>de Logs de Aplicativos>e Serviços:

ID do evento:846

Evento: Falha ao fazer backup das informações de recuperação da Criptografia de Unidade de Disco BitLocker para o volume C: para sua ID do Microsoft Entra.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Erro: HResult desconhecido Código de erro: 0x80072f9a

ID do evento:778

Evento: O volume C: do BitLocker foi revertido para um estado desprotegido.

ID do evento: 851

Evento: Falha ao ativar a criptografia silenciosa.

Erro: Desconhecido HResult Código de erro: 0x80072f9a.

Esses eventos referem-se ao código de erro 0x80072f9a.

Causa da ID de evento 846, 778 e 851: erro 0x80072f9a

Esses eventos indicam que o usuário conectado não tem permissão para ler a chave privada no certificado gerado como parte do processo de provisionamento e registro. Portanto, a atualização da política de MDM do BitLocker falha.

O problema afeta o Windows 10 versão 1809.

Resolução para ID de evento 846, 778 e 851: erro 0x80072f9a

Para resolver esse problema, instale a atualização de 21 de maio de 2019 .

Mensagem de erro: há configurações de política de grupo conflitantes para opções de recuperação em unidades do sistema operacional

Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:

Erro: a Criptografia de Unidade de Disco BitLocker não pode ser aplicada a esta unidade porque há configurações conflitantes de Política de Grupo para opções de recuperação em unidades do sistema operacional. O armazenamento de informações de recuperação nos Serviços de Domínio Active Directory não pode ser necessário quando a geração de senhas de recuperação não é permitida. Peça ao administrador do sistema para resolver esses conflitos de política antes de tentar habilitar o BitLocker...

Resolução para mensagem de erro: há configurações de política de grupo conflitantes para opções de recuperação em unidades do sistema operacional

Para resolver esse problema, examine as configurações de GPO (objeto de política de grupo) para conflitos. Para obter mais informações, consulte a próxima seção, Examinar a configuração da política do BitLocker.

Para obter mais informações sobre GPOs e BitLocker, consulte Referência de Política de Grupo do BitLocker.

Examinar a configuração da política do BitLocker

Para obter informações sobre o procedimento para usar a política junto com o BitLocker e o Intune, consulte os seguintes recursos:

O Intune oferece os seguintes tipos de imposição para o BitLocker:

  • Automático (Imposto quando o dispositivo ingressa na ID do Microsoft Entra durante o processo de provisionamento. Essa opção está disponível no Windows 10 versão 1703 e posterior.)
  • Silencioso (política de proteção de ponto de extremidade. Essa opção está disponível no Windows 10 versão 1803 e posterior.)
  • Interativo (política de ponto de extremidade para versões do Windows anteriores ao Windows 10 versão 1803.)

Se o dispositivo executar o Windows 10 versão 1703 ou posterior, der suporte ao Modo de Espera Moderno (também conhecido como Instant Go) e for compatível com HSTI, ingressar o dispositivo na ID do Microsoft Entra disparará a criptografia automática do dispositivo. Uma política de proteção de ponto de extremidade separada não é necessária para impor a criptografia do dispositivo.

Se o dispositivo for compatível com HSTI, mas não der suporte ao Modo de Espera Moderno, uma política de proteção de ponto de extremidade deverá ser configurada para impor a criptografia de unidade silenciosa do BitLocker. As configurações dessa política devem ser semelhantes às seguintes configurações:

Captura de tela das configurações de política do Intune mostrando Criptografar dispositivos necessários.

As referências OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Tipo de valor: Inteiro
    Valor: 1 (1 = Exigir, 0 = Não configurado)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Tipo de valor: Inteiro
    Valor: 0 (0 = Bloqueado, 1 = Permitido)

Observação

Devido a uma atualização do CSP da Política do BitLocker, se o dispositivo usar Windows 10 versão 1809 ou posterior, uma política de proteção de ponto de extremidade poderá ser usada para impor a Criptografia de Dispositivo BitLocker silenciosa, mesmo que o dispositivo não seja compatível com HSTI.

Observação

Se a configuração Aviso para outra criptografia de disco estiver definida como Não configurada, o assistente de criptografia de unidade BitLocker deverá ser iniciado manualmente.

Se o dispositivo não der suporte ao Modo de Espera Moderno, mas for compatível com HSTI e usar uma versão do Windows anterior ao Windows 10, versão 1803, uma política de proteção de ponto de extremidade com as configurações descritas neste artigo fornecerá a configuração de política ao dispositivo. No entanto, o Windows notifica o usuário para habilitar manualmente a Criptografia de Unidade de Disco BitLocker. Quando o usuário selecionar a notificação, ele iniciará o assistente de Criptografia de Unidade de Disco BitLocker.

O Intune fornece configurações que podem ser usadas para configurar a criptografia automática de dispositivos para dispositivos Autopilot para usuários padrão. Cada dispositivo deve atender aos seguintes requisitos:

  • Ser compatível com HSTI
  • Suporte ao modo de espera moderno
  • Usar o Windows 10 versão 1803 ou posterior

Captura de tela da configuração de política do Intune mostrando Permitir que usuários padrão habilitem a criptografia durante o ingresso no Microsoft Entra.

As referências OMA-URI para essas configurações são as seguintes:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Tipo de valor: Valor inteiro : 1

Observação

Esse nó funciona em conjunto com os nós RequireDeviceEncryption e AllowWarningForOtherDiskEncryption . Por esse motivo, quando as seguintes configurações são definidas:

  • RequireDeviceEncryption para 1
  • AllowStandardUserEncryption para 1
  • AllowWarningForOtherDiskEncryption para 0

O Intune impõe a criptografia silenciosa do BitLocker para dispositivos do Autopilot que têm perfis de usuário padrão.

Verificando se o BitLocker está funcionando corretamente

Durante operações regulares, a criptografia de unidade do BitLocker gera eventos como a ID do Evento 796 e a ID do Evento 845.

Captura de tela do ID do evento 796 com informações detalhadas.

Captura de tela do ID do evento 845 com informações detalhadas.

Também pode ser determinado se a senha de recuperação do BitLocker foi carregada na ID do Microsoft Entra verificando os detalhes do dispositivo na seção Dispositivos do Microsoft Entra.

Captura de tela das informações de recuperação do BitLocker, conforme exibido na ID do Microsoft Entra.

No dispositivo, verifique o Editor do Registro para verificar as configurações de política no dispositivo. Verifique as entradas nas seguintes subchaves:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Captura de tela das subchaves do Registro relacionadas à política do Intune.