使用Intune加密报告对 BitLocker 进行故障排除
Microsoft Intune提供内置加密报告,提供有关所有托管设备的加密状态的详细信息。 Intune加密报告是排查加密失败的有用起点。 可以使用报告来识别和隔离 BitLocker 加密失败,并查看受信任的平台模块 (TPM) Windows 设备的状态和加密状态。
本文介绍如何使用 Intune 加密报告来帮助排查 BitLocker 加密问题。 有关其他故障排除指南,请参阅 从客户端排查 BitLocker 策略问题。
注意
若要充分利用此故障排除方法和加密报告中提供的错误详细信息,需要配置 BitLocker 策略。 如果当前使用的是设备配置策略,请考虑迁移该策略。 有关详细信息,请参阅使用 Intune 管理 Windows 设备的 BitLocker 策略和 Intune 中终结点安全的磁盘加密策略设置。
加密先决条件
默认情况下,BitLocker 安装向导会提示用户启用加密。 还可以配置在设备上以无提示方式启用 BitLocker 的 BitLocker 策略。 本部分介绍每个方法的不同先决条件。
注意
自动加密与无提示加密不同。 在新式待机或硬件安全测试接口 ( (符合 HSTI) 的设备上的 OOBE) 模式的 Windows 全新体验期间执行自动加密。 在无提示加密中,Intune通过 BitLocker 配置服务提供程序 (CSP) 设置来禁止用户交互。
用户启用加密的先决条件:
- 硬盘必须分区到使用 NTFS 格式化的操作系统驱动器和至少 350 MB 的系统驱动器(对于 UEFI 和 BIOS 的 NTFS 格式为 FAT32)。
- 设备必须通过Microsoft Entra混合联接、Microsoft Entra注册或Microsoft Entra联接在 Intune 中注册。
- 不需要受信任的平台模块 (TPM) 芯片,但 强烈建议 使用以提高安全性。
BitLocker 无提示 加密的先决条件:
- 必须解锁的 TPM 芯片 (版本 1.2 或 2.0) 。
- 必须启用 Windows 恢复环境 (WinRE) 。
- 硬盘必须分区到使用 NTFS 格式化的操作系统驱动器中,并且至少 350 MB 的系统驱动器必须格式化为 FAT32,以便统一可扩展固件接口 (UEFI) 和 NTFS for BIOS。 TPM 版本 2.0 设备需要 UEFI BIOS。 (不需要安全启动,但会提供更多安全性。)
- Intune注册的设备已连接到 Microsoft Azure 混合服务或Microsoft Entra ID。
识别加密状态和失败
Intune注册Windows 10设备上的 BitLocker 加密失败可能属于以下类别之一:
- 设备硬件或软件不符合启用 BitLocker 的先决条件。
- Intune BitLocker 策略配置错误,导致组策略对象 (GPO) 冲突。
- 设备已加密,并且加密方法与策略设置不匹配。
若要确定设备加密失败的类别,请登录到Microsoft Intune管理中心,然后选择“设备>监视>加密报告”。 报告将显示已注册设备的列表,并显示设备是否已加密或已准备好进行加密,以及设备是否具有 TPM 芯片。
注意
如果Windows 10设备显示“未就绪”状态,它可能仍支持加密。 对于“就绪”状态,Windows 10设备必须已激活 TPM。 无需 TPM 设备即可支持加密,但强烈建议使用 TPM 设备来提高安全性。
以上示例显示 TPM 版本为 1.2 的设备已成功加密。 此外,可以看到两个无法以静默方式加密的加密设备,以及一台已准备好加密但尚未加密的 TPM 2.0 设备。
常见故障方案
以下部分介绍常见故障方案,你可以使用加密报告中的详细信息进行诊断。
方案 1 - 设备未准备好进行加密且未加密
单击未加密的设备时,Intune显示其状态摘要。 在下面的示例中,有多个面向设备的配置文件:终结点保护策略、不适用于此设备) 的 Mac 操作系统策略 (,以及Microsoft Defender高级威胁防护 (ATP) 基线。
加密状态说明:
“状态详细信息”下的消息是 BitLocker CSP 状态节点从设备返回的代码。 加密状态为错误状态,因为 OS 卷未加密。 此外,BitLocker 策略具有 TPM 的要求,设备不满足这一要求。
消息表示设备未加密,因为它没有 TPM,并且策略需要 TPM。
方案 2 - 设备已准备就绪,但未加密
此示例显示 TPM 2.0 设备未加密。
加密状态说明:
此设备具有针对用户交互而不是无提示加密配置的 BitLocker 策略。 用户尚未启动或完成加密过程, (用户收到) 通知消息,因此驱动器保持未加密状态。
方案 3 - 设备未准备就绪,不会以无提示方式加密
如果加密策略配置为禁止用户交互和无提示加密,并且加密报告 加密就绪 状态为 “不适用 ”或“ 未就绪”,则 TPM 可能尚未准备好用于 BitLocker。
设备状态详细信息显示原因:
加密状态说明:
如果 TPM 在设备上未准备就绪,可能是因为它在固件中被禁用,或者需要清除或重置。 从受影响设备上的命令行运行 TPM 管理控制台 (TPM.msc) 将有助于了解和解决 TPM 状态。
方案 4 - 设备已准备就绪,但未以无提示方式加密
有多种原因导致以无提示加密为目标的设备已准备就绪,但尚未加密。
加密状态说明:
一种解释是,未在设备上启用 WinRE,这是先决条件。 你可以以管理员身份使用 reagentc.exe/info 命令验证设备上的 WinRE 状态。
如果 WinRE 已禁用,请以管理员身份运行 reagentc.exe/info 命令以启用 WinRE。
如果未正确配置 WinRE, “状态详细信息 ”页将显示以下消息:
登录到设备的用户没有管理员权限。
另一个原因可能是管理权限。 如果 BitLocker 策略面向没有管理权限的用户,并且未启用 Autopilot 期间允许标准用户启用加密 ,则会看到以下加密状态详细信息。
加密状态说明:
将“允许标准用户在 Autopilot 期间启用加密”设置为“是”,以解决已加入Microsoft Entra设备的此问题。
方案 5 - 设备处于错误状态,但已加密
在此常见方案中,如果为 XTS-AES 128 位加密配置了Intune策略,但目标设备使用 XTS-AES 256 位加密 (或反向) 进行加密,则会收到如下所示的错误。
加密状态说明:
如果设备已使用另一种方法进行加密(由用户手动加密,使用 Microsoft BitLocker 管理和监视 (MBAM) ),或者在注册前由Microsoft Configuration Manager进行加密。
若要更正此问题,请手动或使用Windows PowerShell解密设备。 然后,让 Intune BitLocker 策略在策略下次到达设备时再次加密设备。
方案 6 - 设备已加密,但配置文件状态为错误
有时,设备显示为已加密,但在配置文件状态摘要中具有错误状态。
加密状态说明:
当设备已通过其他方式加密时,通常会发生这种情况, (可能手动) 。 这些设置与当前策略匹配,但Intune尚未启动加密。