共用方式為

從用戶端對 BitLocker 原則進行疑難解答

  • 發行項

本文提供如何針對用戶端上的 BitLocker 加密進行疑難解答的指引。 雖然 Microsoft Intune 加密報告可協助您識別常見加密問題並進行疑難解答,但可能無法回報 BitLocker 設定服務提供者 (CSP) 的某些狀態數據。 在這些案例中,您必須存取裝置才能進一步調查。

BitLocker 加密程式

下列步驟說明事件的流程,這些事件應該會導致先前未使用 BitLocker 加密的 Windows 10 裝置成功加密。

  1. 系統管理員會在 Intune 中使用所需的設定來設定 BitLocker 原則,並將目標設為使用者群組或裝置群組。
  2. 原則會儲存至 Intune 服務中的租使用者。
  3. Windows 10 行動裝置版 裝置管理 (MDM) 用戶端會與 Intune 服務同步,並處理 BitLocker 原則設定。
  4. BitLocker MDM 原則重新整理排程工作會在將 BitLocker 原則設定複寫至完整磁碟區加密的裝置上執行, (FVE) 登錄機碼。
  5. BitLocker 加密是在磁碟驅動器上起始。

加密報告會顯示 Intune 中每個目標裝置的加密狀態詳細數據。 如需如何使用此資訊進行疑難解答的詳細指引,請參閱使用 Intune 加密報告對 BitLocker 進行疑難解答

起始手動同步處理

如果您判斷加密報告中沒有可採取動作的資訊,您必須從受影響的裝置收集數據,才能完成調查。

一旦您擁有裝置的存取權,第一個步驟是先手動起始與 Intune 服務的同步處理,再收集數據。 在您的 Windows 裝置上,選取 [ 設定>帳戶>存取公司或學校><][選取您的公司或學校帳戶>>資訊]。 然後在 [ 裝置同步狀態] 下,選取 [ 同步]

同步處理完成之後,請繼續進行下列各節。

收集事件記錄檔數據

下列各節說明如何從不同的記錄收集數據,以協助針對加密狀態和原則進行疑難解答。 請務必先完成手動同步處理,再收集記錄數據。

MDM) 代理程式事件記錄檔 (行動裝置管理

MDM 事件記錄檔有助於判斷處理 Intune 原則或套用 CSP 設定時是否有問題。 OMA DM 代理程式會連線到 Intune 服務,並嘗試處理以使用者或裝置為目標的原則。 此記錄會顯示處理 Intune 原則的成功和失敗。

收集或檢閱下列資訊:

日誌>DeviceManagement-Enterprise-Diagnostics-Provider 系統管理員

  • 位置:以滑鼠右鍵按兩下 [開始] 功能表>事件檢視器>應用程式和服務記錄>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>管理員
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

若要篩選此記錄檔,請以滑鼠右鍵按下事件記錄檔,然後選 取 [篩選目前的記錄>嚴重/錯誤/警告]。 然後在篩選過的記錄中搜尋 BitLocker (按 F3 鍵,然後輸入文字) 。

BitLocker 設定中的錯誤會遵循 BitLocker CSP 的格式,因此您會看到如下的專案:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

注意事項

您也可以使用疑難解答的 事件檢視器,針對此事件記錄檔啟用偵錯記錄。

BitLocker-API 管理事件記錄檔

這是 BitLocker 的主要事件記錄檔。 如果 MDM 代理程式已成功處理原則,而且 DeviceManagement-Enterprise-Diagnostics-Provider 系統管理事件記錄檔中沒有任何錯誤,則這是要調查的下一個記錄檔。

日誌>BitLocker-API 管理

  • 位置:以滑鼠右鍵按兩下 [開始] 功能表>事件檢視器>應用程式和服務記錄>Microsoft>Windows>BitLocker-API
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

如果缺少原則所需的硬體或軟體必要條件,例如信賴平臺模組 (TPM) 或 Windows Recovery Environment (WinRE) ,通常會在此記錄錯誤。

錯誤:無法啟用無訊息加密

如下列範例所示,也會記錄在無訊息加密期間無法實作的衝突原則設定,以及當做組策略衝突的指令清單:

無法啟用無訊息加密。

錯誤:因為設定 群組原則 衝突,所以無法將 BitLocker 加密套用至此磁碟驅動器。 當未受 BitLocker 保護的磁碟驅動器的寫入存取遭到拒絕時,就不需要使用 USB 啟動密鑰。 請讓系統管理員先解決這些原則衝突,再嘗試啟用 BitLocker。

解決方案: 將相容的 TPM 啟動 PIN 設定為 [已封鎖]。 這會解決使用無訊息加密時的衝突 群組原則 設定。

如果需要無訊息加密,您必須將 PIN 和 TPM 啟動金鑰設定為 [已 封鎖 ]。 將 TPM 啟動 PIN 和啟動金鑰設定為 [允許],並將其他啟動密鑰和 PIN 設定設為 [封鎖] 以進行使用者互動,並會導致 BitLocker-AP 事件記錄檔中發生衝突的 群組原則 錯誤。 此外,如果您將 TPM 啟動 PIN 或啟動金鑰設定為需要使用者互動,則會導致無訊息加密失敗。

將任何相容的 TPM 設定設定為 [必要] 會導致無訊息加密失敗。

顯示相容 TPM 啟動設定設為 [必要] 的 BitLocker OS 磁碟驅動器設定。

錯誤:TPM 無法使用

BitLocker-API 記錄檔中的另一個常見錯誤是 TPM 無法使用。 下列範例顯示 TPM 是無訊息加密的需求:

無法啟用無訊息加密。 TPM 無法使用。

錯誤:在這部計算機上找不到相容的信任平臺模組 (TPM) 安全性裝置。

解決方案: 請確定裝置上有可用的 TPM,如果存在,請透過 TPM.msc 或 PowerShell Cmdlet get-tpm 檢查狀態。

錯誤:Un-Allowed 支援 DMA 的公交車

如果 BitLocker-API 記錄檔顯示下列狀態,表示 Windows 已偵測到附加的直接記憶體存取 (可能公開 DMA 威脅的 DMA) 裝置。

Un-Allowed 偵測到支援 DMA 的公交車/裝置 ()

解決方案: 若要補救此問題,請先確認裝置沒有外部 DMA 埠,原始設備製造商 (OEM) 。 然後遵循下列步驟,將裝置新增至允許的清單。 注意:只有當 DMA 裝置是內部 DMA 介面/總線時,才將 DMA 裝置新增至允許的清單。

系統事件記錄檔

如果您遇到硬體相關問題,例如 TPM 的問題,TPM 的系統事件記錄檔中會出現 TPMProvisioningService 或 TPM-WMI 來源的錯誤。

日誌>系統事件

  • 位置:以滑鼠右鍵按兩下 [開始] 選單>事件檢視器>Windows> 記錄系統
  • 文件系統位置:C:\Windows\System32\winevt\Logs\System.evtx

篩選系統事件記錄檔的屬性。

篩選這些事件來源,以協助識別裝置在 TPM 上可能遇到的任何硬體相關問題,並向 OEM 製造商確認是否有任何可用的韌體更新。

工作排程器作業事件記錄檔

工作排程器作業事件記錄檔適用於疑難解答案例,其中已從 DeviceManagement-Enterprise) 中處理 Intune (收到原則,但 BitLocker 加密尚未成功起始。 BitLocker MDM 原則重新整理是當 MDM 代理程式與 Intune 服務同步時,應該會順利執行的排程工作。

在下列案例中啟用與執行作業記錄:

  • BitLocker 原則會出現在 DeviceManagement-Enterprise-Diagnostics-Provider 系統管理事件記錄檔、MDM 診斷和登錄中。
  • 從 Intune) 成功挑選原則 (沒有任何錯誤。
  • BitLocker-API 事件記錄檔中不會記錄任何內容,以顯示甚至已嘗試加密。

日誌>工作排程器作業事件

  • 位置:事件檢視器>應用程式和服務記錄>Microsoft>Windows>TaskScheduler
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

啟用並執行作業事件記錄檔

重要事項

您必須在記錄任何數據之前手動啟用此事件記錄檔,因為記錄檔會識別執行 BitLocker MDM 原則重新整理排程工作的任何問題。

  1. 若要啟用此記錄,請以滑鼠右鍵按兩下 [開始] 功能表>事件檢視器>[應用程式和服務>] [Microsoft>Windows>工作][排程器>操作]

    TaskScheduler - 作業記錄的螢幕快照。

  2. 然後在 Windows 搜尋方塊中輸入工作排程器,然後選取 [ 工作排程器>][Microsoft>Windows>BitLocker]。 以滑鼠右鍵按兩下 [BitLocker MDM 原則重新整理],然後選擇 [ 執行]

  3. 當執行完成時,檢查 [ 上次執行結果] 資料 行中是否有任何錯誤碼,並檢查工作排程事件記錄檔中是否有錯誤。

    工作排程器中 BitLocker 工作的範例螢幕快照。

    在上述範例中,0x0已成功執行。 此錯誤0x41303表示工作先前從未執行過。

注意事項

如需工作排程器錯誤訊息的詳細資訊,請參閱 工作排程器錯誤和成功常數

檢查 BitLocker 設定

下列各節說明可用來檢查加密設定和狀態的不同工具。

MDM 診斷報告

您可以建立 MDM 記錄報告,以診斷 Intune 所管理 Windows 10 裝置中的註冊或裝置管理問題。 MDM 診斷報告包含已註冊 Intune 裝置及其部署原則的實用資訊。

如需此程式的教學課程,請參閱YouTube影片如何在Windows裝置上建立 Intune MDM 診斷報告

  • 文件系統位置:C:\Users\Public\Documents\MDMDiagnostics

OS 組建和版本

瞭解加密原則為何未正確套用的第一個步驟,是檢查 Windows OS 版本和版本是否支援您設定的設定。 某些 CSP 是在特定版本的 Windows 上引進,而且只能在特定版本上運作。 例如,大部分的 BitLocker CSP 設定是在 Windows 10 1703 版中引進,但在 Windows 10 版本 1809 之前,Windows 10 專業版 不支持這些設定。

此外,還有在 1809) 版中新增 AllowStandardUserEncryption (、在 1909) 版中新增 ConfigureRecoveryPasswordRotation (、在版本 1909) 中新增 RotateRecoveryPasswords (,以及在版本 1903) 中新增 Status (等設定。

使用 EntDMID 調查

EntDMID 是 Intune 註冊的唯一裝置標識碼。 在 Microsoft Intune 系統管理中心,您可以使用 EntDMID 來搜尋 [所有裝置] 檢視,並識別特定裝置。 如果需要支援案例,這也是 Microsoft 支援服務在服務端啟用進一步疑難解答的重要資訊。

您也可以使用 MDM 診斷報告來識別是否已使用系統管理員所設定的設定,將原則成功傳送至裝置。 藉由使用 BitLocker CSP 作為參考,您可以解密與 Intune 服務同步處理時已挑選的設定。 您可以使用報告來判斷原則是否以裝置為目標,並使用 BitLocker CSP 檔 來識別已設定的設定。

MSINFO32

MSINFO32是一種資訊工具,其中包含可用來判斷裝置是否符合 BitLocker 必要條件的裝置數據。 必要的必要條件將取決於 BitLocker 原則設定和必要結果。 例如,TPM 2.0 的無訊息加密需要 TPM 和整合可擴展固件介面 (UEFI) 。

  • 位置:在 [搜尋] 方塊中,輸入 msinfo32,以滑鼠右鍵按兩下搜尋結果中的 [系統資訊 ],然後選取 [ 以系統管理員身分執行]
  • 檔系統位置:C:\Windows\System32\Msinfo32.exe。

不過,如果此專案不符合必要條件,不一定表示您無法使用 Intune 原則來加密裝置。

  • 如果您已設定 BitLocker 原則以無訊息方式加密,且裝置使用 TPM 2.0,請務必確認 BIOS 模式為 UEFI。 如果 TPM 是 1.2,則不需要在 UEFI 中使用 BIOS 模式。
  • 無訊息加密不需要安全開機、DMA 保護和 PCR7 設定,但可能會在 裝置加密支援中反白顯示。 這是為了確保支援自動加密。
  • 設定為不需要 TPM 且具有用戶互動而非以無訊息方式加密的 BitLocker 原則,也不會有簽入MSINFO32的必要條件。

Tpm。MSC 檔案

TPM.msc 是 Microsoft Management Console (MMC) 嵌入式管理單元檔案。 您可以使用 TPM.msc 來判斷您的裝置是否具有 TPM、識別版本,以及是否已準備好可供使用。

  • 位置:在 [搜尋] 方塊中,輸入 tpm.msc,然後以滑鼠右鍵按兩下並選取 [ 以系統管理員身分執行]。
  • 檔系統位置:MMC 嵌入式管理單元 C:\Windows\System32\mmc.exe。

TPM 不是 BitLocker 的必要條件,但強烈建議使用,因為它所提供的安全性增加。 不過,無訊息和自動加密需要 TPM。 如果您嘗試使用 Intune 以無訊息方式加密,而且 BitLocker-API 和系統事件記錄檔中有 TPM 錯誤,TPM.msc 將協助您了解問題。

下列範例顯示狀況良好的 TPM 2.0 狀態。 請注意右下方的規格 2.0 版,且狀態已準備好可供使用。

信賴平臺模組控制台中狀況良好的 TPM 2.0 狀態的範例螢幕快照。

此範例顯示在 BIOS 中停用 TPM 時的狀況不良狀態:

受信任平臺模組控制台中 TPM 2.0 狀態不良的範例螢幕快照。

將原則設定為需要 TPM,並預期 BitLocker 在 TPM 遺失或狀況不良時加密是最常見的問題之一。

Get-Tpm Cmdlet

Cmdlet 是 Windows PowerShell 環境中的輕量型命令。 除了執行 TPM.msc 之外,您還可以使用 Get-Tpm Cmdlet 來驗證 TPM。 您必須以系統管理員許可權執行此 Cmdlet。

  • 位置:在 [搜尋] 方塊中輸入 cmd,然後按鼠右鍵,然後選取 [以系統管理員>身分執行PowerShell>get-tpm]

PowerShell 視窗中現存和作用中 TPM 的範例螢幕快照。

在上述範例中,您可以在PowerShell視窗中看到TPM存在且作用中。 值等於 True。 如果值設定為 False,則表示 TPM 發生問題。 在 TPM 存在、就緒、啟用、啟用及擁有之前,BitLocker 將無法使用它。

Manage-bde 命令行工具

Manage-bde 是 Windows 中包含的 BitLocker 加密命令行工具。 其設計目的是在啟用 BitLocker 之後協助管理。

  • 位置:在 [搜尋] 方塊中,輸入 cmd,按鼠右鍵並選取 [ 以系統管理員身分執行],然後輸入 manage-bde -status
  • 檔系統位置:C:\Windows\System32\manage-bde.exe。

命令提示字元視窗中 manage-bde.exe 命令的範例螢幕快照。

您可以使用 manage-bde 來探索裝置的下列相關信息:

  • 是否已加密? 如果 Microsoft Intune 系統管理中心的報告指出裝置未加密,此命令行工具可以識別加密狀態。
  • 已使用哪一種加密方法? 您可以比較工具中的資訊與原則中的加密方法,以確保它們相符。 例如,如果 Intune 原則設定為 XTS-AES 256 位,且裝置使用 XTS-AES 128 位加密,這會導致 Microsoft Intune 系統管理中心原則報告中發生錯誤。
  • 正在使用哪些特定保護工具? 保護裝置有數種組合。 了解裝置上使用的保護裝置,可協助您瞭解是否已正確套用原則。

在下列範例中,裝置未加密:

未使用 BitLocker 加密之裝置的範例螢幕快照。

BitLocker 登錄位置

當您想要解密 Intune 所挑選的原則設定時,這是登錄中要查看的第一個位置:

  • 位置:以滑鼠右鍵按兩下 [開始>執行],然後輸入 regedit 以開啟登錄 編輯器。
  • 默認檔案系統位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM 代理程式登錄機碼可協助您識別 PolicyManager 中包含實際 BitLocker 原則設定的全域唯一識別碼 (GUID) 。

登錄 編輯器 中的 BitLocker 登錄位置。

上述範例中會醒目提示 GUID。 您可以在下列登錄子機碼中包含 GUID (每個租使用者) 會有所不同,以針對 BitLocker 原則設定進行疑難解答:

<Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\ProvidersGUID>\default\Device\BitLocker

登錄 編輯器 的螢幕快照,其中顯示 MDM 代理程式所設定的 BitLocker 原則設定

此報表顯示 MDM 代理程式 (OMADM 用戶端) 所挑選的 BitLocker 原則設定。 這些設定與您在 MDM 診斷報告中看到的設定相同,因此這是識別用戶端已挑選之設定的替代方式。

EncryptionMethodByDriveType 登錄機碼的範例:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions 的範例

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker 登錄機碼

原則提供者登錄機碼中的設定會複製到主要 BitLocker 登錄機碼中。 您可以比較設定,以確保它們符合使用者介面中的原則設定, (UI) 、MDM 記錄、MDM 診斷和原則登錄機碼。

  • 登錄機碼位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

這是 FVE 登錄機碼的範例:

在登錄 編輯器 中找到 BitLocker 登錄機碼的螢幕快照。

  • 答: EncryptionMethodWithXtsOs、EncryptionMethodWithXtsFdv 和 EncryptionMethodWithXtsRdv 具有下列可能值:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM、UseTPMKey、UseTPMKeyPIN、USeTPMPIN 全都設定為 2,這表示它們全都設定為允許。
  • C: 請注意,大部分的金鑰會分成操作系統磁碟驅動器 (OS) 、固定磁碟驅動器 (FDV) 和卸載式磁碟驅動器 (FDVR) 的設定群組。
  • D: OSActiveDirectoryBackup 的值為 1 且已啟用。
  • E: OSHideRecoveryPage 等於 0 且未啟用。

使用 BitLocker CSP 檔 來譯碼登錄中的所有設定名稱。

REAgentC.exe 命令行工具

REAgentC.exe 是命令行可執行檔工具,可用來設定 Windows Recovery Environment (Windows RE) 。 WinRE 是在某些情況下啟用 BitLocker 的必要條件,例如無訊息或自動加密。

  • 位置:以滑鼠右鍵按兩下 [開始>執行],輸入 cmd。 然後以滑鼠右鍵按兩下 cmd ,然後選取 [ 以系統管理員>reagentc /info 身分執行]。
  • 檔系統位置:C:\Windows\System32\ReAgentC.exe。

提示

如果您在 BitLocker-API 中看到有關 WinRe 未啟用的錯誤訊息,請在裝置上執行 reagentc /info 命令來判斷 WinRE 狀態。

命令提示字元中 ReAgentC.exe 命令的輸出。

如果 WinRE 狀態已停用,請以系統管理員身分執行 reagentc /enable 命令,以手動加以啟用:

在命令提示字元中啟用 ReAgentC.exe 的範例螢幕快照。執行命令 reagentc /enable

摘要

當 BitLocker 無法使用 Intune 原則在 Windows 10 裝置上啟用時,大部分情況下,硬體或軟體必要條件都不存在。 檢查 BitLocker-API 記錄可協助您識別哪些先決條件不符合。 最常見的問題是:

  • TPM 不存在
  • 未啟用 WinRE
  • TPM 2.0 裝置未啟用 UEFI BIOS

原則設定錯誤也可能導致加密失敗。 並非所有 Windows 裝置都可以以無訊息方式加密,因此請考慮您的目標使用者和裝置。

針對用於無訊息加密的原則設定啟動密鑰或 PIN 將無法運作,因為啟用 BitLocker 時需要用戶互動。 在 Intune 中設定 BitLocker 原則時,請記住這一點。

確認裝置是否已挑選原則設定,以判斷目標是否成功。

您可以使用 MDM 診斷、登錄機碼和裝置管理企業事件記錄檔來識別原則設定,以確認是否已成功套用設定。 BitLocker CSP 檔可協助您解密這些設定,以了解這些設定是否符合原則中所設定的內容。