共用方式為

使用 Intune 加密報告對 BitLocker 進行疑難解答

  • 發行項

Microsoft Intune 提供內 建加密報告 ,可提供所有受管理裝置加密狀態的詳細數據。 Intune 加密報告是針對加密失敗進行疑難解答的有用起點。 您可以使用報告來識別和隔離 BitLocker 加密失敗,並查看 Windows 裝置的信任平台模組 (TPM) 狀態和加密狀態。

本文說明如何使用 Intune 加密報告來協助針對 BitLocker 的加密進行疑難解答。 如需其他疑難解答指引,請參閱 針對用戶端的 BitLocker 原則進行疑難解答。

注意

若要充分利用此疑難解答方法,以及加密報告中可用的錯誤詳細數據,您必須設定 BitLocker 原則。 如果您目前使用裝置設定原則,請考慮移轉原則。 如需詳細資訊,請參閱使用 Intune 管理 Windows 裝置的 BitLocker 原則和 Intune 中端點安全性的磁碟加密原則設定。

加密必要條件

根據預設,BitLocker 安裝精靈會提示用戶啟用加密。 您也可以設定以無訊息方式在裝置上啟用 BitLocker 的 BitLocker 原則。 本節說明每個方法的不同必要條件。

注意

自動加密與無訊息加密不同。 自動加密會在新式待命或硬體安全性測試介面 (HSTI) 相容裝置的 Windows 現用體驗 (OOBE) 模式期間執行。 在無訊息加密中,Intune 會透過 BitLocker 設定服務提供者 (CSP) 設定隱藏用戶互動。

使用者啟用加密的必要條件:

  • 硬碟必須分割成以 NTFS 格式化的操作系統磁碟驅動器,且系統磁碟驅動器至少格式化為 UEFI 的 FAT32 和 BIOS 的 NTFS。
  • 裝置必須透過 Microsoft Entra 混合式聯結、Microsoft Entra 註冊或Microsoft Entra join 在 Intune 中註冊。
  • 不需要信任的平台模組 (TPM) 晶片,但 強烈建議 您提高安全性。

BitLocker 無訊息 加密的必要條件:

  • 必須解除鎖定的 TPM 晶片(1.2 版或 2.0 版)。
  • 必須啟用 Windows 復原環境 (WinRE)。
  • 硬碟必須分割成以NTFS格式化的操作系統磁碟驅動器,且至少350 MB的系統磁碟驅動器必須格式化為適用於整合可擴展韌體介面 (UEFI) 和BIOS的NTFS的FAT32。 TPM 2.0 版裝置需要 UEFI BIOS。 (不需要安全開機,但將提供更多的安全性。
  • 已註冊 Intune 的裝置會連線至 azure 混合式服務或Microsoft Entra 標識碼Microsoft。

識別加密狀態和失敗

Intune 註冊的 Windows 10 裝置上的 BitLocker 加密失敗可能屬於下列其中一個類別:

  • 裝置硬體或軟體不符合啟用 BitLocker 的必要條件。
  • Intune BitLocker 原則設定錯誤,導致組策略物件 (GPO) 衝突。
  • 裝置已加密,且加密方法不符合原則設定。

若要識別裝置加密失敗的類別,請登入 Microsoft Intune 系統管理中心,然後選取 [裝置>監視器>加密報告]。 報告會顯示已註冊的裝置清單,並顯示裝置是否已加密或準備好加密,以及是否有 TPM 晶片。

Intune 加密報告範例。

注意

如果 Windows 10 裝置顯示 [ 尚未就緒 ] 狀態,它仍可能支援加密。 針對 \[ 就緒 \] 狀態,Windows 10 裝置必須已啟用 TPM。 不需要 TPM 裝置才能支援加密,但強烈建議您提高安全性。

上述範例顯示 TPM 1.2 版的裝置已成功加密。 此外,您可以看到兩個裝置尚未準備好進行加密,無法以無訊息方式加密,以及一個已準備好進行加密但尚未加密的 TPM 2.0 裝置。

常見失敗案例

下列各節說明常見失敗案例,您可以從加密報告診斷詳細數據。

案例 1 – 裝置尚未準備好進行加密,且未加密

當您按下未加密的裝置時,Intune 會顯示其狀態摘要。 在下列範例中,有多個以裝置為目標的配置檔:端點保護原則、Mac 操作系統原則(不適用於此裝置),以及Microsoft Defender 進階威脅防護 (ATP) 基準。

顯示裝置尚未準備好進行加密且未加密的 Intune 狀態詳細數據。

加密狀態說明:

[狀態詳細數據] 底下的訊息是來自裝置的 BitLocker CSP 狀態節點所傳回的代碼。 加密狀態處於錯誤狀態,因為OS磁碟區未加密。 此外,BitLocker 原則具有 TPM 的需求,裝置無法滿足此需求。

訊息表示裝置未加密,因為它沒有 TPM,且原則需要一個。

案例 2 – 裝置已就緒,但尚未加密

此範例顯示 TPM 2.0 裝置未加密。

Intune 狀態詳細數據,顯示裝置已準備好進行加密,但尚未加密。

加密狀態說明:

此裝置具有針對用戶互動而非無訊息加密所設定的 BitLocker 原則。 使用者尚未啟動或完成加密程式(使用者收到通知訊息),因此磁碟驅動器會保持未加密狀態。

案例 3 – 裝置尚未就緒,且不會以無訊息方式加密

如果加密原則設定為隱藏用戶互動,並以無訊息方式加密,且加密報告加密整備狀態不適用未就緒,則 TPM 可能尚未準備好供 BitLocker 使用。

顯示裝置尚未就緒且不會以無訊息方式加密的 Intune 狀態詳細數據。

裝置狀態詳細資料會顯示原因:

Intune 裝置加密狀態詳細數據,顯示 TPM 尚未準備好用於 BitLocker。

加密狀態說明:

如果裝置上的 TPM 尚未就緒,可能是因為韌體中已停用,或需要清除或重設。 從受影響裝置上的命令行執行 TPM 管理主控台 (TPM.msc),可協助您了解並解決 TPM 狀態。

案例 4 – 裝置已就緒,但未以無訊息方式加密

有數個原因導致以無訊息加密為目標的裝置已就緒,但尚未加密。

Intune 裝置加密狀態詳細數據,顯示裝置已準備好進行無訊息加密,但尚未加密。

加密狀態說明:

其中一個說明是 WinRE 未在裝置上啟用,這是必要條件。 您可以使用系統管理員身分使用 reagentc.exe/info 命令,驗證裝置上的 WinRE 狀態。

reagentc.exe/info 的命令提示字元輸出。

如果 WinRE 已停用,請以系統管理員身分執行 reagentc.exe/info 命令,以啟用 WinRE。

在命令提示字元中啟用 WinRE。

如果未正確設定 WinRE,[狀態詳細資料] 頁面會顯示下列訊息:

登入裝置的用戶沒有系統管理員許可權。

另一個原因可能是系統管理許可權。 如果您的 BitLocker 原則是以沒有系統管理許可權的使用者為目標,且 未啟用 Autopilot 期間允許標準使用者啟用加密,您會看到下列加密狀態詳細數據。

加密狀態說明:

[允許標準使用者在 Autopilot 期間啟用加密] 設定為 [是 ],以解決此問題,Microsoft已加入 Entra 的裝置。

案例 5 – 裝置處於錯誤狀態,但已加密

在此常見案例中,如果 Intune 原則已針對 XTS-AES 128 位加密設定,但目標裝置使用 XTS-AES 256 位加密進行加密(或相反),您會收到如下所示的錯誤。

Intune 裝置加密狀態詳細數據,顯示裝置處於錯誤狀態,但已加密。

加密狀態說明:

當已使用另一種方法加密的裝置時,就會發生此情況:使用者手動使用 Microsoft BitLocker Administration and Monitoring (MBAM),或註冊之前Microsoft Configuration Manager。

若要修正此問題,請手動或使用 Windows PowerShell 將裝置解密。 然後,讓 Intune BitLocker 原則在下一次原則到達裝置時再次加密裝置。

案例 6 – 裝置已加密,但配置文件狀態發生錯誤

有時候,裝置會出現已加密,但在配置檔狀態摘要中有錯誤狀態。

Intune 加密狀態詳細數據,其中顯示配置檔狀態摘要處於錯誤狀態。

加密狀態說明:

這通常發生在裝置已透過另一種方式加密時(可能手動)。 這些設定符合目前的原則,但 Intune 尚未起始加密。