通过

使用 Intune 实施 BitLocker 策略:已知问题

  • 项目

本文可帮助排查在使用 Microsoft Intune 策略管理设备上的无提示 BitLocker 加密时可能会遇到的问题。 Intune 门户指示 BitLocker 是否未能加密一个或多个托管设备。

显示 Intune 门户中 BitLocker 状态索引器的屏幕截图。

若要开始缩小问题原因的范围,请查看 BitLocker 故障排除中所述的事件日志。 专注于应用程序和服务日志中的管理和操作日志>Microsoft>Windows>BitLocker-API 文件夹。 以下部分提供了有关如何解决指示的事件和错误消息的详细信息:

如果没有要跟踪的事件或错误消息的明确线索,其他要调查的区域包括以下区域:

有关验证 Intune 策略是否正确强制实施 BitLocker 的过程的信息,请参阅 验证 BitLocker 是否正常运行

事件 ID 853:错误:无法在此计算机上找到兼容的受信任平台模块(TPM)安全设备

事件 ID 853 可以携带不同的错误消息,具体取决于上下文。 在这种情况下,事件 ID 853 错误消息指示设备似乎没有 TPM。 事件信息将类似于以下事件:

事件 ID 853(TPM 不可用,找不到 TPM)的详细信息的屏幕截图。

事件 ID 853 的原因:错误:无法在此计算机上找到兼容的受信任平台模块(TPM)安全设备

正在保护的设备可能没有 TPM 芯片,或者设备 BIOS 可能已配置为禁用 TPM。

事件 ID 853 的解决方法:错误:无法在此计算机上找到兼容的受信任平台模块(TPM)安全设备

若要解决此问题,请验证以下配置:

  • TPM 在设备 BIOS 中启用。
  • TPM 管理控制台中的 TPM 状态类似于以下状态:
    • 就绪 (TPM 2.0)
    • 初始化 (TPM 1.2)

有关详细信息,请参阅 TPM 疑难解答。

事件 ID 853:错误:计算机中检测到 BitLocker 驱动器加密可启动媒体(CD 或 DVD)

在这种情况下,将显示事件 ID 853,并且该事件中的错误消息指示可启动媒体可供设备使用。 事件信息如下所示。

事件 ID 853(找不到 TPM、可启动媒体)的详细信息的屏幕截图。

事件 ID 853 的原因:错误:在计算机中检测到 BitLocker 驱动器加密检测到可启动媒体(CD 或 DVD)

在预配过程中,BitLocker 驱动器加密会记录设备配置以建立基线。 如果设备配置稍后发生更改(例如,如果删除媒体),则 BitLocker 恢复模式会自动启动。

为了避免这种情况,如果预配进程检测到可移动的可启动媒体,则会停止该进程。

事件 ID 853 的解决方法:错误:计算机中检测到 BitLocker 驱动器加密检测到可启动媒体(CD 或 DVD)

删除可启动媒体,然后重启设备。 设备重启后,验证加密状态。

事件 ID 854:未配置 WinRE

事件信息类似于以下错误消息:

未能启用无提示加密。 未配置 WinRe。

错误:此电脑不支持设备加密,因为 WinRE 未正确配置。

事件 ID 854 的原因:未配置 WinRE

Windows 恢复环境(WinRE)是基于 Windows 预安装环境(Windows PE)的最小 Windows 操作系统。 WinRE 包括管理员可用于恢复或重置 Windows 和诊断 Windows 问题的多个工具。 如果设备无法启动常规 Windows 操作系统,设备将尝试启动 WinRE。

预配过程在预配的 Windows PE 阶段在操作系统驱动器上启用 BitLocker 驱动器加密。 此操作可确保在安装完整操作系统之前保护驱动器。 预配过程还会为 WinRE 创建一个系统分区,以便在系统崩溃时使用。

如果 WinRE 在设备上不可用,预配将停止。

事件 ID 854 的解决方法:未配置 WinRE

可以通过按照以下步骤验证磁盘分区的配置、WinRE 的状态和 Windows 启动加载程序配置来解决此问题:

步骤 1:验证磁盘分区的配置

本节中所述的过程取决于 Windows 在安装期间配置的默认磁盘分区。 Windows 11 和 Windows 10 会自动创建包含 Winre.wim 文件的恢复分区。 分区配置如下所示。

默认磁盘分区的屏幕截图,包括恢复分区。

若要验证磁盘分区的配置,请打开提升的命令提示符窗口并运行以下命令:

diskpart.exe 
list volume

Diskpart 中列表卷命令的输出的屏幕截图。

如果任何卷的状态不正常,或者恢复分区缺失,则可能需要重新安装 Windows。 重新安装 Windows 之前,请检查正在预配的 Windows 映像的配置。 确保映像使用正确的磁盘配置。 映像配置应如下所示(此示例来自 Microsoft Configuration Manager):

Microsoft Configuration Manager 中 Windows 映像配置的屏幕截图。

步骤 2:验证 WinRE 的状态

若要验证设备上的 WinRE 状态,请打开提升的命令提示符窗口并运行以下命令:

reagentc.exe /info

此命令的输出如下所示。

reagentc.exe /info 命令的输出的屏幕截图。

如果未启用 Windows RE 状态,请运行以下命令以启用它:

reagentc.exe /enable

步骤 3:验证 Windows 启动加载程序配置

如果分区状态正常,但 reagentc.exe /enable 命令会导致错误,请在提升的命令提示符窗口中运行以下命令来验证 Windows 启动加载程序是否包含恢复序列 GUID:

bcdedit.exe /enum all

此命令的输出将类似于以下输出:

bcdedit /enum all 命令的输出的屏幕截图。

在输出中,找到包含行标识符={current}Windows 启动加载程序部分。 在该部分中,找到 recoverysequence 属性。 此属性的值应该是 GUID 值,而不是零的字符串。

事件 ID 851:请联系制造商获取 BIOS 升级说明

事件信息将类似于以下错误消息:

未能启用无提示加密。

错误:无法在操作系统驱动器上启用 BitLocker 驱动器加密。 请联系计算机制造商获取 BIOS 升级说明。

事件 ID 851 的原因:请联系制造商以获取 BIOS 升级说明

设备必须具有统一可扩展固件接口 (UEFI) BIOS。 无提示 BitLocker 驱动器加密不支持旧版 BIOS。

事件 ID 851 的解决方法:请联系制造商获取 BIOS 升级说明

若要验证 BIOS 模式,请执行以下步骤,使用 系统信息 应用程序:

  1. 选择“开始”,然后在“搜索”框中输入 msinfo32

  2. 验证 BIOS 模式设置是否为 UEFI,而不是旧版

    系统信息应用的屏幕截图,其中显示了 BIOS 模式设置。

  3. 如果 BIOS 模式设置为,则需要将 UEFI 固件切换到 UEFIEFI 模式。 切换到 UEFIEFI 模式的步骤特定于设备。

    注意

    如果设备仅支持旧模式,则 Intune 不能用于管理设备上的 BitLocker 设备加密。

错误消息:无法读取 UEFI 变量“SecureBoot”

将显示类似于以下错误消息的错误消息:

错误: BitLocker 无法将安全启动用于完整性,因为无法读取 UEFI 变量“SecureBoot”。 客户端没有所需的特权。

错误消息的原因:无法读取 UEFI 变量“SecureBoot”

平台配置寄存器(PIN)是 TPM 中的内存位置。 特别是,RF 7 测量安全启动的状态。 无提示 BitLocker 驱动器加密要求启用安全启动。

错误消息的解决方法:无法读取 UEFI 变量“SecureBoot”

可以通过按照以下步骤验证 TPM 的BP 验证配置文件和安全启动状态来解决此问题:

步骤 1:验证 TPM 的RF 验证配置文件

若要验证正在使用的RF 7,请打开提升的命令提示符窗口并运行以下命令:

Manage-bde.exe -protectors -get %systemdrive%

在此命令输出的 TPM 部分中,验证RF 验证配置文件设置是否包括 7,如下所示:

manage-bde.exe命令的输出的屏幕截图。

如果 RF验证配置文件 不包含 7 (例如,值包括 02411,但不包括 7),则不会打开安全启动。

当不存在RF 7时,manage-bde 命令的输出的屏幕截图。

2:验证安全启动状态

若要验证安全启动状态,请执行以下步骤,使用系统信息应用程序:

  1. 选择“开始”,然后在“搜索”框中输入 msinfo32

  2. 验证安全启动状态设置是否为“打开”,如下所示:

    系统信息应用的屏幕截图,其中显示了不受支持的安全启动状态。

  3. 如果“安全启动状态”设置不受支持,则无法在设备上使用无提示 BitLocker 加密。

    系统信息应用,显示不受支持的安全启动状态。

注意

Confirm-SecureBootUEFI PowerShell cmdlet 还可用于通过打开提升的 PowerShell 窗口并运行以下命令来验证安全启动状态:

Confirm-SecureBootUEFI

如果计算机支持安全启动和安全启动,则此 cmdlet 返回“True”。

如果计算机支持安全启动且安全启动已禁用,则此 cmdlet 返回“False”。

如果计算机不支持安全启动或 BIOS(非 UEFI)计算机,则此 cmdlet 将返回“此平台上不支持 Cmdlet”。

事件 ID 846、778 和 851:错误0x80072f9a

假设出现了下面这种情景:

Intune 策略正在部署以加密 Windows 10 版本 1809 设备,恢复密码存储在 Microsoft Entra ID 中。 作为策略配置的一部分, 已选择“允许标准用户在Microsoft Entra 联接 选项期间启用加密”。

策略部署失败,失败会在应用程序和服务日志>Microsoft> Windows>BitLocker API 文件夹中事件查看器生成以下事件:

事件 ID:846

事件:无法将卷 C: 的 BitLocker 驱动器加密恢复信息备份到 Microsoft Entra ID。

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} 错误: 未知 HResult 错误代码: 0x80072f9a

事件 ID:778

事件:BitLocker 卷 C: 已还原为未受保护的状态。

事件 ID:851

事件:无法启用无提示加密。

错误:未知 HResult 错误代码:0x80072f9a。

这些事件引用错误代码0x80072f9a。

事件 ID 846、778 和 851 的原因:错误0x80072f9a

这些事件表示登录用户无权读取在预配和注册过程中生成的证书上的私钥。 因此,BitLocker MDM 策略刷新失败。

此问题会影响 Windows 10 版本 1809。

事件 ID 846、778 和 851 的解决方法:错误0x80072f9a

若要解决此问题,请安装 2019 年 5 月 21 日更新。

错误消息:操作系统驱动器上的恢复选项存在冲突的组策略设置

将显示类似于以下错误消息的错误消息:

错误: 无法将此驱动器应用 BitLocker 驱动器加密,因为操作系统驱动器上的恢复选项存在冲突的组策略设置。 不允许生成恢复密码时,无法将恢复信息存储到Active Directory 域服务。 在尝试启用 BitLocker 之前,请让系统管理员解决这些策略冲突...

错误消息的解决方法:操作系统驱动器上的恢复选项存在冲突的组策略设置

若要解决此问题,请查看组策略对象(GPO)设置,了解冲突。 有关详细信息,请参阅下一部分, 查看 BitLocker 策略配置

有关 GPO 和 BitLocker 的详细信息,请参阅 BitLocker 组策略参考

查看 BitLocker 策略配置

有关将策略与 BitLocker 和 Intune 一起使用的过程的信息,请参阅以下资源:

Intune 为 BitLocker 提供以下强制类型:

  • 自动 (在预配过程中设备加入Microsoft Entra ID 时强制实施。此选项在 Windows 10 版本 1703 及更高版本中可用。
  • 无提示 (Endpoint Protection 策略)。此选项在 Windows 10 版本 1803 及更高版本中可用。
  • 交互式 (早于 Windows 10 版本 1803 的 Windows 版本的终结点策略)。

如果设备运行 Windows 10 版本 1703 或更高版本,则支持新式待机(也称为“即时转到”),并且符合 HSTI 要求,将设备加入 Microsoft Entra ID 会触发自动设备加密。 不需要单独的终结点保护策略来强制实施设备加密。

如果设备符合 HSTI,但不支持新式待机,则必须将终结点保护策略配置为强制实施无提示 BitLocker 驱动器加密。 此策略的设置应类似于以下设置:

Intune 策略设置的屏幕截图,其中显示了需要加密设备。

这些设置的 OMA-URI 引用如下所示:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    值类型: 整数
    值: 1(1 = 必需,0 = 未配置)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    值类型: 整数
    值: 0 (0 = 阻止,1 = 允许)

注意

由于对 BitLocker 策略 CSP 的更新,如果设备使用 Windows 10 版本 1809 或更高版本,则终结点保护策略可用于强制实施无提示 BitLocker 设备加密,即使设备不符合 HSTI。

注意

如果其他磁盘加密设置的警告设置为“未配置”,则必须手动启动 BitLocker 驱动器加密向导。

如果设备不支持新式待机,但符合 HSTI 要求,并且它使用早于 Windows 10 版本 1803 的 Windows 版本,则具有本文中所述设置的终结点保护策略将策略配置传递到设备。 但是,Windows 随后通知用户手动启用 BitLocker 驱动器加密。 当用户选择通知时,它将启动 BitLocker 驱动器加密向导。

Intune 提供可用于为标准用户为 Autopilot 设备配置自动设备加密的设置。 每个设备必须满足以下要求:

  • 符合 HSTI
  • 支持新式待机
  • 使用 Windows 10 版本 1803 或更高版本

Intune 策略设置的屏幕截图,其中显示了允许标准用户在Microsoft Entra 加入期间启用加密。

这些设置的 OMA-URI 引用如下所示:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    值类型: 整数 值: 1

注意

此节点与 RequireDeviceEncryptionAllowWarningForOtherDiskEncryption 节点协同工作。 因此,设置以下设置时:

  • RequireDeviceEncryption1
  • AllowStandardUserEncryption1
  • AllowWarningForOtherDiskEncryption0

Intune 对具有标准用户配置文件的 Autopilot 设备强制实施无提示 BitLocker 加密。

验证 BitLocker 是否正常运行

在常规操作期间,BitLocker 驱动器加密将生成事件 ID 796 和事件 ID 845 等事件。

事件 ID 796 的屏幕截图,其中包含详细信息。

事件 ID 845 的屏幕截图,其中包含详细信息。

还可以通过检查“Microsoft Entra Devices”部分中的设备详细信息来确定 BitLocker 恢复密码是否已上传到 Microsoft Entra ID。

Microsoft Entra ID 中查看的 BitLocker 恢复信息的屏幕截图。

在设备上,检查注册表编辑器以验证设备上的策略设置。 验证以下子项下的条目:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

与 Intune 策略相关的注册表子项的屏幕截图。