Dela via

Felsöka BitLocker med Intune-krypteringsrapporten

  • Artikel

Microsoft Intune tillhandahåller en inbyggd krypteringsrapport som ger information om krypteringsstatus för alla hanterade enheter. Intune-krypteringsrapporten är en användbar startpunkt för felsökning av krypteringsfel. Du kan använda rapporten för att identifiera och isolera BitLocker-krypteringsfel och se TPM-status (Trusted Platform Module) och krypteringsstatus för Windows-enheter.

Den här artikeln beskriver hur du använder Intune-krypteringsrapporten för att felsöka kryptering för BitLocker. Ytterligare felsökningsvägledning finns i Felsöka BitLocker-principer från klientsidan.

Kommentar

Om du vill dra full nytta av den här felsökningsmetoden och felinformationen som är tillgänglig i krypteringsrapporten måste du konfigurera en BitLocker-princip. Om du för närvarande använder en enhetskonfigurationsprincip kan du överväga att migrera principen. Mer information finns i Hantera BitLocker-princip för Windows-enheter med Intune - och Diskkrypteringsprincipinställningar för slutpunktssäkerhet i Intune.

Krav för kryptering

Som standard uppmanas användarna att aktivera kryptering i installationsguiden för BitLocker. Du kan också konfigurera en BitLocker-princip som tyst aktiverar BitLocker på en enhet. I det här avsnittet beskrivs de olika förutsättningarna för varje metod.

Kommentar

Automatisk kryptering är inte samma sak som tyst kryptering. Automatisk kryptering utförs under OOBE-läget (Windows Out-of-the-Box Experience) i modernt vänteläge eller på HSTI-kompatibla enheter (Hardware Security Test Interface). I tyst kryptering undertrycker Intune användarinteraktionen via CSP-inställningar (BitLocker Configuration Service Provider).

Krav för användaraktiverad kryptering:

  • Hårddisken måste partitioneras till en operativsystemenhet formaterad med NTFS och en systemenhet på minst 350 MB formaterad som FAT32 för UEFI och NTFS för BIOS.
  • Enheten måste registreras i Intune via Microsoft Entra-hybridanslutning, Microsoft Entra-registrering eller Microsoft Entra-anslutning.
  • Ett TPM-chip (Trusted Platform Module) krävs inte, men rekommenderas starkt för ökad säkerhet.

Förutsättningar för tyst BitLocker-kryptering:

  • Ett TPM-chip (version 1.2 eller 2.0) som måste låsas upp.
  • Windows Recovery Environment (WinRE) måste vara aktiverat.
  • Hårddisken måste partitioneras till en operativsystemenhet formaterad med NTFS och en systemenhet på minst 350 MB måste formateras som FAT32 för Unified Extensible Firmware Interface (UEFI) och NTFS för BIOS. UEFI BIOS krävs för TPM version 2.0-enheter. (Säker start krävs inte men ger mer säkerhet.)
  • Den Intune-registrerade enheten är ansluten till Microsoft Azure-hybridtjänster eller Microsoft Entra-ID.

Identifiera krypteringsstatus och fel

BitLocker-krypteringsfel på Intune-registrerade Windows 10-enheter kan ingå i någon av följande kategorier:

  • Enhetens maskinvara eller programvara uppfyller inte kraven för att aktivera BitLocker.
  • Intune BitLocker-principen är felkonfigurerad, vilket orsakar konflikter mellan grupprincip objekt (GPO).
  • Enheten är redan krypterad och krypteringsmetoden matchar inte principinställningarna.

Om du vill identifiera kategorin för ett enhetskrypteringsfel loggar du in på administrationscentret för Microsoft Intune och väljer Enheter>Övervaka>krypteringsrapport. Rapporten visar en lista över registrerade enheter och visar om en enhet är krypterad eller redo att krypteras och om den har ett TPM-chip.

Exempel på Intune-krypteringsrapport.

Kommentar

Om en Windows 10-enhet visar statusen Inte klar kan den fortfarande ha stöd för kryptering. För statusen Klar måste Windows 10-enheten ha TPM aktiverat. TPM-enheter krävs inte för att stödja kryptering, men rekommenderas starkt för ökad säkerhet.

Exemplet ovan visar att en enhet med TPM version 1.2 har krypterats. Dessutom kan du se två enheter som inte är redo för kryptering som inte kan krypteras tyst, samt en TPM 2.0-enhet som är redo för kryptering men ännu inte krypterats.

Vanliga felscenarier

I följande avsnitt beskrivs vanliga felscenarier som du kan diagnostisera med information från krypteringsrapporten.

Scenario 1 – Enheten är inte redo för kryptering och inte krypterad

När du klickar på en enhet som inte är krypterad visar Intune en sammanfattning av dess status. I exemplet nedan finns det flera profiler som är riktade mot enheten: en slutpunktsskyddsprincip, en Mac-operativsystemprincip (som inte gäller för den här enheten) och en AtP-baslinje (Microsoft Defender Advanced Threat Protection).

Intune-statusinformation som visar att enheten inte är redo för kryptering och inte krypterad.

Krypteringsstatus förklaras:

Meddelandena under Statusinformation är koder som returneras av BitLocker CSP-statusnoden från enheten. Krypteringsstatusen är i ett feltillstånd eftersom OS-volymen inte är krypterad. Dessutom har BitLocker-principen krav för en TPM som enheten inte uppfyller.

Meddelandena innebär att enheten inte är krypterad eftersom den inte har en TPM närvarande och principen kräver en.

Scenario 2 – Enheten är klar men inte krypterad

Det här exemplet visar att TPM 2.0-enheten inte är krypterad.

Intune-statusinformation som visar att enheten är redo för kryptering, men den är inte krypterad.

Krypteringsstatus förklaras:

Den här enheten har en BitLocker-princip som är konfigurerad för användarinteraktion i stället för tyst kryptering. Användaren har inte startat eller slutfört krypteringsprocessen (användaren får ett meddelande), så enheten förblir okrypterad.

Scenario 3 – Enheten är inte klar och krypteras inte tyst

Om en krypteringsprincip har konfigurerats för att förhindra användarinteraktion och kryptera tyst och krypteringsrapporten Krypteringsberedskapstillståndet inte är tillämpligt eller Inte redo, är det troligt att TPM inte är redo för BitLocker.

Intune-statusinformation som visar att enheten inte är klar och inte krypterar tyst.

Information om enhetsstatus visar orsaken:

Information om intune-enhetskrypteringsstatus som visar att TPM inte är redo för BitLocker.

Krypteringsstatus förklaras:

Om TPM inte är redo på enheten kan det bero på att den är inaktiverad i den inbyggda programvaran eller måste rensas eller återställas. Om du kör TPM-hanteringskonsolen (TPM.msc) från kommandoraden på den berörda enheten kan du förstå och lösa TPM-tillståndet.

Scenario 4 – Enheten är klar men krypteras inte tyst

Det finns flera orsaker till att en enhet som är mål för tyst kryptering är klar men ännu inte krypterad.

Information om intune-enhetskrypteringsstatus som visar att enheten är redo för tyst kryptering men ännu inte krypterad.

Krypteringsstatus förklaras:

En förklaring är att WinRE inte är aktiverat på enheten, vilket är en förutsättning. Du kan verifiera statusen för WinRE på enheten med hjälp av kommandot reagentc.exe/info som administratör.

Kommandotolkens utdata för reagentc.exe/info.

Om WinRE är inaktiverat kör du kommandot reagentc.exe/info som administratör för att aktivera WinRE.

Aktivera WinRE i kommandotolken.

Sidan Statusinformation visar följande meddelande om WinRE inte är korrekt konfigurerat:

Användaren som är inloggad på enheten har inte administratörsbehörighet.

En annan orsak kan vara administrativa rättigheter. Om din BitLocker-princip riktar sig till en användare som inte har administrativa rättigheter och Tillåt standardanvändare att aktivera kryptering under Autopilot inte är aktiverad visas följande information om krypteringsstatus.

Krypteringsstatus förklaras:

Ställ in Tillåt standardanvändare att aktivera kryptering under Autopilot till Ja för att lösa det här problemet för Microsoft Entra-anslutna enheter.

Scenario 5 – Enheten är i ett feltillstånd men krypterad

Om Intune-principen är konfigurerad för XTS-AES 128-bitars kryptering i det här vanliga scenariot, men målenheten krypteras med XTS-AES 256-bitars kryptering (eller tvärtom), får du felet som visas nedan.

Information om intune-enhetskrypteringsstatus som visar att enheten är i ett feltillstånd men krypterad.

Krypteringsstatus förklaras:

Detta inträffar när en enhet som redan har krypterats med en annan metod – antingen manuellt av användaren, med Microsoft BitLocker Administration och övervakning (MBAM) eller av Microsoft Configuration Manager före registreringen.

Korrigera detta genom att dekryptera enheten manuellt eller med Windows PowerShell. Låt sedan Intune BitLocker-principen kryptera enheten igen nästa gång principen når den.

Scenario 6 – Enheten är krypterad men profiltillståndet är fel

Ibland visas en enhet krypterad men har ett feltillstånd i profiltillståndssammanfattningen.

Information om Intune-krypteringsstatus som visar att sammanfattningen av profiltillståndet är i feltillstånd.

Krypteringsstatus förklaras:

Detta inträffar vanligtvis när enheten har krypterats på ett annat sätt (eventuellt manuellt). Inställningarna matchar den aktuella principen, men Intune har inte initierat krypteringen.