Принудительное применение политик BitLocker с помощью Intune: известные проблемы

Эта статья поможет устранить неполадки, которые могут возникнуть при использовании политики Microsoft Intune для управления автоматическим шифрованием BitLocker на устройствах. Портал Intune указывает, не удалось ли BitLocker зашифровать одно или несколько управляемых устройств.

Чтобы начать сузить причину проблемы, просмотрите журналы событий, как описано в разделе "Устранение неполадок BitLocker". Сосредоточьтесь на журналах управления и операций в папке Microsoft>Windows>BitLocker-API в журналах>Приложений и служб. В следующих разделах содержатся дополнительные сведения об устранении указанных событий и сообщений об ошибках:

• Идентификатор события 853: ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)
• Идентификатор события 853. Ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (CD или DVD) на компьютере
• Идентификатор события 854: WinRE не настроен
• Идентификатор события 851: обратитесь к изготовителю для обновления BIOS
• Сообщение об ошибке: не удалось прочитать переменную UEFI SecureBoot
• Идентификатор события 846, 778 и 851: ошибка 0x80072f9a
• Сообщение об ошибке: конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы

Если нет четкого следа событий или сообщений об ошибках, другие области для изучения включают следующие области:

• Ознакомьтесь с требованиями к оборудованию для управления BitLocker на устройствах с помощью Intune
• Просмотр конфигурации политики BitLocker

Сведения о процедуре проверки правильности применения политик Intune в BitLocker см. в разделе "Проверка правильности работы BitLocker".

Идентификатор события 853: ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

Идентификатор события 853 может содержать различные сообщения об ошибках в зависимости от контекста. В этом случае сообщение об ошибке Event ID 853 указывает, что устройство не имеет доверенного платформенного модуля. Сведения о событии будут похожи на следующее событие:

Причина идентификатора события 853: ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

Устройство, защищенное, может не иметь микросхему доверенного платформенного модуля или bios устройства, возможно, настроено для отключения доверенного платформенного модуля.

Разрешение для идентификатора события 853: ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

Чтобы устранить эту проблему, проверьте следующие конфигурации:

• TPM включен в BIOS устройства.
• Состояние доверенного платформенного модуля в консоль управления доверенного платформенного модуля аналогично следующим состояниям:
  • Готово (TPM 2.0)
  • Инициализирован (TPM 1.2)

Дополнительные сведения см. в разделе "Устранение неполадок доверенного платформенного модуля".

Идентификатор события 853. Ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (CD или DVD) на компьютере

В этом случае отображается идентификатор события 853, а сообщение об ошибке в событии указывает, что загрузочный носитель доступен для устройства. Сведения о событии похожи на следующие.

Причина события 853: ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (CD или DVD) на компьютере

Во время подготовки шифрование диска BitLocker записывает конфигурацию устройства для установления базовых показателей. Если конфигурация устройства изменится позже (например, если носитель удален), режим восстановления BitLocker автоматически запускается.

Чтобы избежать этой ситуации, процесс подготовки останавливается, если обнаруживает съемный загрузочный носитель.

Разрешение для идентификатора события 853: ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (CD или DVD) на компьютере

Удалите загрузочный носитель и перезапустите устройство. После перезапуска устройства проверьте состояние шифрования.

Идентификатор события 854: WinRE не настроен

Сведения о событии похожи на следующее сообщение об ошибке:

Не удалось включить автоматическое шифрование. WinRe не настроен.

Ошибка. Этот компьютер не может поддерживать шифрование устройств, так как WinRE неправильно настроен.

Причина идентификатора события 854: WinRE не настроена

Среда восстановления Windows (WinRE) — это минимальная операционная система Windows, основанная на среде предустановки Windows (Windows PE). WinRE включает несколько средств, которые администратор может использовать для восстановления или сброса Windows и диагностики проблем с Windows. Если устройство не может запустить обычную операционную систему Windows, устройство пытается запустить WinRE.

Процесс подготовки позволяет шифрованию дисков BitLocker на диске операционной системы во время этапа подготовки Windows PE. Это действие гарантирует, что диск защищен до установки полной операционной системы. Процесс подготовки также создает системную секцию для WinRE, чтобы использовать, если система завершает работу.

Если WinRE недоступен на устройстве, подготовка останавливается.

Разрешение для идентификатора события 854: WinRE не настроен

Эту проблему можно устранить, проверив конфигурацию секций дисков, состояние WinRE и конфигурацию загрузчика Windows, выполнив следующие действия:

Шаг 1. Проверка конфигурации секций диска

Процедуры, описанные в этом разделе, зависят от секций дисков по умолчанию, настроенных Windows во время установки. Windows 11 и Windows 10 автоматически создают раздел восстановления, содержащий файл Winre.wim . Конфигурация секции похожа на следующую.

Чтобы проверить конфигурацию секций диска, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

diskpart.exe 
list volume

Если состояние любого из томов не работоспособно или если раздел восстановления отсутствует, может потребоваться переустановить Windows. Перед повторной установкой Windows проверьте конфигурацию подготовленного образа Windows. Убедитесь, что образ использует правильную конфигурацию диска. Конфигурация образа должна выглядеть следующим образом (в этом примере используется Microsoft Configuration Manager):

Шаг 2. Проверка состояния WinRE

Чтобы проверить состояние WinRE на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

reagentc.exe /info

Выходные данные этой команды похожи на следующие.

Если состояние Windows RE не включено, выполните следующую команду, чтобы включить ее:

reagentc.exe /enable

Шаг 3. Проверка конфигурации загрузчика Windows

Если состояние секции работоспособно, но reagentc.exe команда /enable /enable приводит к ошибке, проверьте, содержит ли загрузчик Windows GUID последовательности восстановления, выполнив следующую команду в окне командной строки с повышенными привилегиями:

bcdedit.exe /enum all

Выходные данные этой команды будут похожи на следующие выходные данные:

В выходных данных найдите раздел загрузчика Windows, содержащий идентификатор строки ={current}. В этом разделе найдите атрибут recoverysequence . Значение этого атрибута должно быть значением GUID, а не строкой нуля.

Идентификатор события 851. Обратитесь к производителю по инструкциям по обновлению BIOS

Сведения о событии будут похожи на следующее сообщение об ошибке:

Не удалось включить автоматическое шифрование.

Ошибка. Шифрование диска BitLocker нельзя включить на диске операционной системы. Обратитесь к изготовителю компьютера по инструкциям по обновлению BIOS.

Причина события 851: обратитесь к изготовителю по инструкциям по обновлению BIOS

Устройство должно иметь объединенный расширяемый интерфейс встроенного ПО (UEFI) BIOS. Шифрование диска BitLocker не поддерживает устаревшую версию BIOS.

Разрешение для идентификатора события 851: обратитесь к изготовителю по инструкциям по обновлению BIOS

Чтобы проверить режим BIOS, используйте приложение Сведения о системе, выполнив следующие действия.

1. Нажмите кнопку "Пуск" и введите msinfo32 в поле поиска.

2. Убедитесь, что параметр режима BIOS является UEFI , а не устаревшим.

   

3. Если параметр режима BIOS является устаревшим, встроенное ПО UEFI необходимо переключиться в режим UEFI или EFI. Действия по переключению в режим UEFI или EFI относятся к устройству.

   Примечание.

   Если устройство поддерживает только устаревший режим, Intune не может использоваться для управления шифрованием устройств BitLocker на устройстве.

Сообщение об ошибке: не удалось прочитать переменную UEFI SecureBoot

Отображается сообщение об ошибке, аналогичное следующему сообщению об ошибке:

Ошибка. BitLocker не может использовать безопасную загрузку для целостности, так как не удалось прочитать переменную UEFI SecureBoot. Клиент не располагает требуемыми правами доступа.

Причина сообщения об ошибке: не удалось прочитать переменную UEFI SecureBoot

Регистр конфигурации платформы (PCR) — это расположение памяти в доверенном платформенного модулях. В частности, PCR 7 измеряет состояние безопасной загрузки. Для шифрования диска BitLocker требуется включить безопасную загрузку.

Разрешение сообщения об ошибке: не удалось прочитать переменную UEFI SecureBoot

Эту проблему можно устранить, проверив профиль проверки PCR доверенного платформенного модуля и состояние безопасной загрузки, выполнив следующие действия.

Шаг 1. Проверка профиля проверки PCR доверенного платформенного модуля

Чтобы убедиться, что PCR 7 используется, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

Manage-bde.exe -protectors -get %systemdrive%

В разделе TPM выходных данных этой команды проверьте, содержит ли параметр профиля проверки PCR значение 7, как показано ниже.

Если профиль проверки PCR не включает 7 (например, значения 0, 2, 4 и 11, но не 7), то безопасная загрузка не включена.

2. Проверка состояния безопасной загрузки

Чтобы проверить состояние безопасной загрузки, используйте приложение Сведения о системе, выполнив следующие действия:

1. Нажмите кнопку "Пуск" и введите msinfo32 в поле поиска.

2. Убедитесь, что параметр "Безопасное состояние загрузки" включен, как показано ниже.

   

3. Если параметр состояния безопасной загрузки не поддерживается, шифрование Silent BitLocker нельзя использовать на устройстве.

   

Примечание.

Командлет PowerShell Confirm-SecureBootUEFI также можно использовать для проверки состояния безопасной загрузки, открыв окно PowerShell с повышенными привилегиями и выполнив следующую команду:

Confirm-SecureBootUEFI

Если компьютер поддерживает безопасную загрузку и безопасную загрузку, этот командлет возвращает значение True.

Если компьютер поддерживает безопасную загрузку и безопасную загрузку отключен, этот командлет возвращает значение False.

Если компьютер не поддерживает безопасную загрузку или является компьютером BIOS (не UEFI), этот командлет возвращает "Командлет не поддерживается на этой платформе".

Идентификатор события 846, 778 и 851: ошибка 0x80072f9a

Рассмотрим следующий сценарий:

Политика Intune развертывается для шифрования устройства Windows 10 версии 1809 и пароля восстановления хранится в идентификаторе Microsoft Entra. В рамках настройки политики выбран параметр "Разрешить стандартным пользователям включить шифрование во время присоединения к Microsoft Entra".

Развертывание политики завершается сбоем, и сбой создает следующие события в Просмотр событий в папке API Microsoft>Windows>BitLocker в журналах>приложений и служб:

Идентификатор события:846

Событие. Не удалось выполнить резервное копирование сведений о восстановлении шифрования диска BitLocker для тома C: в идентификатор Microsoft Entra.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Error: Unknown HResult Error code: 0x80072f9a

Идентификатор события:778

Событие: том BitLocker C: был возвращен в незащищенное состояние.

Идентификатор события: 851

Событие: не удалось включить автоматическое шифрование.

Ошибка: неизвестный код ошибки HResult: 0x80072f9a.

Эти события ссылаются на код ошибки 0x80072f9a.

Причина идентификатора события 846, 778 и 851: ошибка 0x80072f9a

Эти события указывают, что у пользователя, вошедшего в систему, нет разрешения на чтение закрытого ключа сертификата, созданного в рамках процесса подготовки и регистрации. Поэтому обновление политики MDM BitLocker завершается ошибкой.

Проблема влияет на Windows 10 версии 1809.

Разрешение для идентификатора события 846, 778 и 851: ошибка 0x80072f9a

Чтобы устранить эту проблему, установите обновление 21 мая 2019 г.

Сообщение об ошибке: конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы

Отображается сообщение об ошибке, аналогичное следующему сообщению об ошибке:

Ошибка. Шифрование диска BitLocker не может применяться к этому диску, так как конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы. Хранение сведений о восстановлении в службах домен Active Directory не может потребоваться, если создание паролей восстановления запрещено. Перед попыткой включить BitLocker системный администратор устраните эти конфликты политик...

Разрешение сообщения об ошибке: конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы

Чтобы устранить эту проблему, просмотрите параметры объекта групповой политики (GPO) для конфликтов. Дополнительные сведения см. в следующем разделе: проверка конфигурации политики BitLocker.

Дополнительные сведения о группах групповой политики и BitLocker см. в справочнике по групповой политике BitLocker.

Просмотр конфигурации политики BitLocker

Сведения о процедуре использования политики вместе с BitLocker и Intune см. в следующих ресурсах:

• Управление BitLocker для предприятий: управление устройствами, присоединенными к идентификатору Microsoft Entra
• Справочник по групповой политике BitLocker
• Справочник по поставщикам служб конфигурации
• CSP политики — BitLocker
• BitLocker CSP
• Включение политик, поддерживаемых ADMX, в MDM
• gpresult

Intune предлагает следующие типы принудительного применения для BitLocker:

• Автоматическое (принудительное применение при присоединении устройства к идентификатору Microsoft Entra во время процесса подготовки. Этот параметр доступен в Windows 10 версии 1703 и более поздних версий.)
• Автоматическая (политика Endpoint Protection. Этот параметр доступен в Windows 10 версии 1803 и более поздних версий.)
• Интерактивная (политика конечных точек для версий Windows, которые старше Windows 10 версии 1803.)

Если устройство работает под управлением Windows 10 версии 1703 или более поздней, поддерживает современный резервный режим (также известный как Instant Go) и соответствует HSTI, присоединение устройства к идентификатору Microsoft Entra активирует автоматическое шифрование устройств. Для принудительного шифрования устройств не требуется отдельная политика защиты конечных точек.

Если устройство соответствует HSTI, но не поддерживает современную резервную версию, необходимо настроить политику защиты конечных точек для принудительного шифрования диска BitLocker. Параметры для этой политики должны совпадать со следующими параметрами:

Ссылки на OMA-URI для этих параметров приведены следующим образом:

• OMA-URI: ./Device/Provider/MSFT/BitLocker/RequireDeviceEncryption
  Тип значения: целое число
  Значение: 1 (1 = требовать, 0 = не настроено)

• OMA-URI: ./Device/Provider/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
  Тип значения: целое число
  Значение: 0 (0 = заблокировано, 1 = разрешено)

Примечание.

Из-за обновления CSP политики BitLocker, если устройство использует Windows 10 версии 1809 или более поздней версии, политика защиты конечных точек может использоваться для принудительного автоматического шифрования устройств BitLocker, даже если устройство не соответствует HSTI.

Примечание.

Если для параметра шифрования других дисков задано значение "Предупреждение", мастер шифрования дисков BitLocker должен быть запущен вручную.

Если устройство не поддерживает современную резервную версию, но совместимо с HSTI, и она использует версию Windows, которая раньше, чем Windows 10 версии 1803, политика защиты конечных точек с параметрами, описанными в этой статье, предоставляет конфигурацию политики устройству. Однако Windows уведомляет пользователя вручную включить шифрование дисков BitLocker. Когда пользователь выбирает уведомление, он запустит мастер шифрования дисков BitLocker.

Intune предоставляет параметры, которые можно использовать для настройки автоматического шифрования устройств для устройств Autopilot для стандартных пользователей. Каждое устройство должно соответствовать следующим требованиям:

• Соответствие HSTI
• Поддержка современного резервного режима
• Использование Windows 10 версии 1803 или более поздней

Ссылки на OMA-URI для этих параметров приведены следующим образом:

• OMA-URI: ./Device/Provider/MSFT/BitLocker/AllowStandardUserEncryption
  Тип значения: целочисленное значение: 1

Примечание.

Этот узел работает вместе с узлами RequireDeviceEncryption и AllowWarningForOtherDiskEncryption. По этой причине, если заданы следующие параметры:

• RequireDeviceEncryption to 1
• AllowStandardUserEncryption до 1
• AllowWarningForOtherDiskEncryption до 0

Intune применяет автоматическое шифрование BitLocker для устройств Autopilot, имеющих стандартные профили пользователей.

Проверка правильности работы BitLocker

Во время обычных операций шифрование диска BitLocker создает такие события, как идентификатор события 796 и идентификатор события 845.

Также можно определить, был ли пароль восстановления BitLocker отправлен в идентификатор Microsoft Entra, проверив сведения об устройстве в разделе "Устройства Microsoft Entra".

На устройстве проверьте редактор реестра, чтобы проверить параметры политики на устройстве. Проверьте записи в следующих подразделах:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device