共用方式為

針對來自用戶端的 BitLocker 原則進行疑難解答

  • 發行項

本文提供如何針對用戶端上的 BitLocker 加密進行疑難解答的指引。 雖然Microsoft Intune 加密報告 可協助您識別及疑難解答常見的加密問題,但可能無法回報 BitLocker 設定服務提供者 (CSP) 的某些狀態數據。 在這些案例中,您必須存取裝置以進一步調查。

BitLocker 加密程式

下列步驟說明事件流程,這些事件應該會導致先前未使用 BitLocker 加密的 Windows 10 裝置成功加密。

  1. 系統管理員 會在 Intune 中使用所需的設定來設定 BitLocker 原則,並將目標設為使用者群組或裝置群組。
  2. 原則會儲存至 Intune 服務中的租使用者。
  3. Windows 10 行動裝置版 裝置管理 (MDM) 用戶端會與 Intune 服務同步處理,並處理 BitLocker 原則設定。
  4. BitLocker MDM 原則重新整理排程工作會在將 BitLocker 原則設定複寫到完整磁碟區加密 (FVE) 登錄機碼的裝置上執行。
  5. BitLocker 加密會在磁碟驅動器上起始。

加密 報告 會顯示 Intune 中每個目標裝置的加密狀態詳細數據。 如需如何使用這項資訊進行疑難解答的詳細指引,請參閱 使用 Intune 加密報告針對 BitLocker 進行疑難解答。

起始手動同步處理

如果您判斷加密報告中沒有可採取動作的資訊,您必須從受影響的裝置收集數據,才能完成調查。

存取裝置之後,第 一個步驟先手動起始與 Intune 服務的同步 處理,再收集數據。 在您的 Windows 裝置上,選取 [設定>帳戶>存取公司或學校><] 選取您的公司或學校帳戶>>資訊。 然後在 [裝置同步狀態] 底下,選取 [同步]。

同步完成之後,請繼續進行下列各節。

收集事件記錄檔數據

下列各節說明如何從不同的記錄收集數據,以協助針對加密狀態和原則進行疑難解答。 收集記錄數據之前,請務必先完成手動同步處理。

行動裝置管理 (MDM) 代理程式事件記錄檔

MDM 事件記錄檔有助於判斷是否有處理 Intune 原則或套用 CSP 設定的問題。 OMA DM 代理程式會連線到 Intune 服務,並嘗試處理以使用者或裝置為目標的原則。 此記錄會顯示處理 Intune 原則的成功和失敗。

收集或檢閱下列資訊:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider 管理員

  • 位置:以滑鼠右鍵按兩下 [開始] 功能表> 事件檢視器> Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin Microsoft>[應用程式與服務記錄>檔]>
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

若要篩選此記錄檔,請以滑鼠右鍵按下事件記錄檔,然後選取 [篩選目前記錄>嚴重/錯誤/警告]。 然後搜尋已篩選的 BitLocker 記錄檔(按 F3 並輸入文字)。

BitLocker 設定中的錯誤會遵循 BitLocker CSP 的格式,因此您會看到如下的專案:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

注意

您也可以使用 事件檢視器 啟用此事件記錄檔的偵錯記錄以進行疑難解答。

BitLocker-API 管理事件記錄檔

這是 BitLocker 的主要事件記錄檔。 如果 MDM 代理程式已成功處理原則,且 DeviceManagement-Enterprise-Diagnostics-Provider 管理員事件記錄檔中沒有任何錯誤,這是要調查的下一個記錄檔。

LOG>BitLocker-API 管理

  • 位置:以滑鼠右鍵按兩下 [開始] 功能表> 事件檢視器> [應用程式與服務記錄>] Microsoft>Windows>BitLocker-API
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

如果缺少原則所需的硬體或軟體必要條件,例如信賴平臺模組(TPM)或 Windows 復原環境(WinRE),通常會在這裡記錄錯誤。

錯誤:無法啟用無訊息加密

如下列範例所示,在無訊息加密期間無法實作的衝突原則設定,也會記錄為組策略衝突的指令清單:

無法啟用無訊息加密。

錯誤:由於組策略設定衝突,無法將 BitLocker 加密套用至此磁碟驅動器。 當拒絕對不受 BitLocker 保護的磁碟驅動器寫入存取時,就不需要使用 USB 啟動密鑰。 請讓系統管理員先解決這些原則衝突,再嘗試啟用 BitLocker。

解決方案: 將相容的 TPM 啟動 PIN 設定為 [已封鎖]。 這會在使用無訊息加密時解決衝突的組策略設定。

如果需要無訊息加密,您必須將 PIN 和 TPM 啟動金鑰設定為 [已 封鎖]。 將 TPM 啟動 PIN 和啟動金鑰設定為 [允許] 和其他啟動金鑰,並將 [PIN] 設定為 [封鎖] 進行使用者互動,並會導致 BitLocker-AP 事件記錄檔中的組策略錯誤衝突。 此外,如果您將 TPM 啟動 PIN 或啟動金鑰設定為需要使用者互動,則會導致無訊息加密失敗。

將任何相容的 TPM 設定設定設定為 [必要 ] 會導致無訊息加密失敗。

顯示 [兼容的 TPM 啟動] 設定為 [必要] 的 BitLocker OS 磁碟驅動器設定。

錯誤:TPM 無法使用

BitLocker-API 記錄檔中的另一個常見錯誤是 TPM 無法使用。 下列範例顯示 TPM 是無訊息加密的需求:

無法啟用無訊息加密。 TPM 無法使用。

錯誤:無法在此計算機上找到相容的信賴平臺模組 (TPM) 安全性裝置。

解決方案: 確定裝置上有可用的 TPM,如果裝置存在,請透過 TPM.msc 或 PowerShell Cmdlet get-tpm 檢查狀態。

錯誤:不支援 DMA 的總線

如果 BitLocker-API 記錄檔顯示下列狀態,表示 Windows 偵測到可能公開 DMA 威脅的附加直接記憶體存取(DMA)功能裝置。

偵測到未允許的 DMA 支援總線/裝置

解決方案: 若要補救此問題,請先確認裝置沒有原始設備製造商 (OEM) 的外部 DMA 埠。 然後遵循下列步驟,將裝置新增至允許的清單。 注意:如果 DMA 裝置是內部 DMA 介面/總線,則只會將 DMA 裝置新增至允許的清單。

系統事件記錄檔

如果您有硬體相關問題,例如 TPM 問題,錯誤會出現在 TPMProvisioningService 或 TPM-WMI 來源的 TPM 系統事件記錄檔中。

LOG>系統事件

  • 位置:以滑鼠右鍵按兩下 [開始] 選單> 事件檢視器> Windows 記錄系統>
  • 文件系統位置:C:\Windows\System32\winevt\Logs\System.evtx

篩選系統事件記錄檔的屬性。

篩選這些事件來源,以協助識別裝置可能遇到的任何硬體相關問題 TPM,並洽詢 OEM 製造商是否有可用的韌體更新。

工作排程器操作事件記錄檔

工作排程器作業事件記錄檔適用於從 Intune 接收原則的疑難解答案例(已在 DeviceManagement-Enterprise 中處理過),但 BitLocker 加密尚未成功起始。 BitLocker MDM 原則重新整理是排程的工作,當 MDM 代理程式與 Intune 服務同步時,應該會順利執行。

在下列案例中啟用並執行作業記錄:

  • BitLocker 原則會出現在 MDM 診斷和登錄的 DeviceManagement-Enterprise-Diagnostics-Provider 管理員事件記錄檔中。
  • 沒有任何錯誤(已從 Intune 成功挑選原則)。
  • BitLocker-API 事件記錄檔中不會記錄任何專案,以顯示甚至嘗試加密。

LOG>工作排程器操作事件

  • 位置:事件檢視器> Windows>TaskScheduler Microsoft>應用程式與服務記錄>
  • 文件系統位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

啟用並執行作業事件記錄檔

重要

您必須在記錄任何數據之前手動啟用此事件記錄檔,因為記錄檔會識別執行 BitLocker MDM 原則重新整理排程工作的任何問題。

  1. 若要啟用此記錄檔,請以滑鼠右鍵按兩下 [開始] 功能表> 事件檢視器> [應用程式與服務>] Microsoft>[Windows>TaskScheduler>操作]。

    TaskScheduler - 作業記錄的螢幕快照。

  2. 然後在 Windows 搜尋方塊中輸入工作排程器,然後選取 [工作排程器>] Microsoft>Windows>BitLocker。 以滑鼠右鍵按兩下 [BitLocker MDM 原則重新整理],然後選擇 [ 執行]。

  3. 執行完成時,請檢查 [上次執行結果 ] 資料行是否有任何錯誤碼,並檢查工作排程事件記錄檔是否有錯誤。

    工作排程器中 BitLocker 工作的範例螢幕快照。

    在上述範例中,0x0已成功執行。 錯誤0x41303這表示工作從未執行過。

注意

如需工作排程器錯誤訊息的詳細資訊,請參閱 工作排程器錯誤和成功常數

檢查 BitLocker 設定

下列各節說明可用來檢查加密設定和狀態的不同工具。

MDM 診斷報告

您可以建立 MDM 記錄報告,以診斷 Intune 所管理 Windows 10 裝置中的註冊或裝置管理問題。 MDM 診斷報告包含 Intune 註冊裝置及其部署原則的實用資訊。

如需此程式的教學課程,請參閱 YouTube 影片 如何在 Windows 裝置上建立 Intune MDM 診斷報告

  • 文件系統位置:C:\Users\Public\Documents\MDMDiagnostics

操作系統組建和版本

瞭解加密原則為何未正確套用的第一個步驟,是檢查 Windows OS 版本和版本是否支援您設定的設定。 某些 CSP 是在特定版本的 Windows 上引進的,而且只能在特定版本上運作。 例如,Windows 10 版本 1703 引進了大部分的 BitLocker CSP 設定,但在 Windows 10 版本 1809 之前,Windows 10 專業版 不支持這些設定。

此外,還有 AllowStandardUserEncryption(1809 版中新增)、ConfigureRecoveryPasswordRotation (1909 版新增)、RotateRecoveryPasswords(1909 版新增)和 Status (1903 版新增) 等設定。

使用 EntDMID 進行調查

EntDMID 是 Intune 註冊的唯一裝置識別碼。 在 Microsoft Intune 系統管理中心,您可以使用 EntDMID 來搜尋 [所有裝置 ] 檢視並識別特定裝置。 這也是Microsoft支援的重要資訊,可在需要支援案例時啟用服務端的進一步疑難解答。

您也可以使用 MDM 診斷報告來識別原則是否已順利傳送至裝置,以及系統管理員設定的設定。 藉由使用 BitLocker CSP 做為參考,您可以解密與 Intune 服務同步時已挑選的設定。 您可以使用報告來判斷原則是否以裝置為目標,並使用 BitLocker CSP 檔 來識別已設定的設定。

MSINFO32

MSINFO32是一種資訊工具,其中包含可用來判斷裝置是否符合 BitLocker 必要條件的裝置數據。 必要的必要條件將取決於 BitLocker 原則設定和必要結果。 例如,TPM 2.0 的無訊息加密需要 TPM 和整合可擴展韌體介面 (UEFI)。

  • 位置:在 [搜尋] 方塊中,輸入 msinfo32,以滑鼠右鍵按兩下搜尋結果中的 系統資訊,然後選取 [以系統管理員身分執行]。
  • 文件系統位置:C:\Windows\System32\Msinfo32.exe。

不過,如果這個專案不符合必要條件,不一定表示您無法使用 Intune 原則加密裝置。

  • 如果您已將 BitLocker 原則設定為以無訊息方式加密,且裝置使用 TPM 2.0,請務必確認 BIOS 模式為 UEFI。 如果 TPM 是 1.2,則 UEFI 中的 BIOS 模式並非必要專案。
  • 無訊息加密不需要安全開機、DMA 保護和PCR7 設定,但可能會在裝置加密支援反白顯示。 這是為了確保支援自動加密。
  • 設定為不需要 TPM 且具有用戶互動,而不是以無訊息方式加密的 BitLocker 原則,也不會有簽入MSINFO32的必要條件。

TPM。MSC 檔案

TPM.msc 是Microsoft管理控制台 (MMC) 嵌入式管理單元檔案。 您可以使用 TPM.msc 來判斷您的裝置是否有 TPM、識別版本,以及它是否可供使用。

  • 位置:在 [搜尋] 方塊中,輸入 tpm.msc,然後按兩下滑鼠右鍵,然後選取 [ 以系統管理員身分執行]。
  • 文件系統位置:MMC 嵌入式管理單元 C:\Windows\System32\mmc.exe。

TPM 不是 BitLocker 的必要條件,但由於它所提供的安全性增加,因此強烈建議您使用。 不過,需要 TPM 才能進行無訊息和自動加密。 如果您嘗試使用 Intune 以無訊息方式加密,且 BitLocker-API 和系統事件記錄檔中有 TPM 錯誤,TPM.msc 將協助您了解問題。

下列範例顯示狀況良好的 TPM 2.0 狀態。 請注意右下角的規格 2.0 版,且狀態已可供使用。

信賴平臺模組控制台中狀況良好 TPM 2.0 狀態的範例螢幕快照。

此範例會在 BIOS 中停用 TPM 時,顯示狀況不良的狀態:

受信任平臺模組控制台中狀況不良 TPM 2.0 狀態的範例螢幕快照。

設定原則以要求 TPM,且預期 BitLocker 在 TPM 遺失或狀況不良時加密是其中一個最常見的問題。

Get-Tpm Cmdlet

Cmdlet 是 Windows PowerShell 環境中的羽量型命令。 除了執行 TPM.msc 之外,您還可以使用 Get-Tpm Cmdlet 來驗證 TPM。 您必須以系統管理員許可權執行此 Cmdlet。

  • 位置:在 [搜尋] 方塊中輸入 cmd,然後按鼠右鍵,然後選取 [以系統管理員>身分執行 PowerShell>get-tpm]。

PowerShell 視窗中目前和作用中 TPM 的範例螢幕快照。

在上述範例中,您可以看到 TPM 在 PowerShell 視窗中存在且作用中。 值等於 True。 如果值設定為 False,表示 TPM 發生問題。 BitLocker 在 TPM 存在、就緒、啟用、啟用及擁有之前,將無法使用 TPM。

Manage-bde 命令行工具

Manage-bde 是 Windows 中包含的 BitLocker 加密命令行工具。 其設計目的是在啟用 BitLocker 之後協助管理。

  • 位置:在 [搜尋] 方塊中,輸入 cmd,以滑鼠右鍵按兩下並選取 [以系統管理員身分執行],然後輸入 manage-bde -status
  • 文件系統位置:C:\Windows\System32\manage-bde.exe。

命令提示字元視窗中manage-bde.exe命令的範例螢幕快照。

您可以使用 manage-bde 來探索裝置的下列資訊:

  • 是否已加密? 如果在 Microsoft Intune 系統管理中心回報指出裝置未加密,則此命令行工具可以識別加密狀態。
  • 已使用哪一種加密方法? 您可以將工具中的資訊與原則中的加密方法進行比較,以確定它們相符。 例如,如果 Intune 原則設定為 XTS-AES 256 位,且裝置使用 XTS-AES 128 位加密,這會導致Microsoft Intune 系統管理中心原則報告中發生錯誤。
  • 正在使用哪些特定保護裝置? 保護裝置有數種組合。 了解裝置上使用哪一個保護裝置可協助您了解原則是否已正確套用。

在下列範例中,裝置未加密:

未使用 BitLocker 加密之裝置的範例螢幕快照。

BitLocker 登錄位置

當您想要解密 Intune 所挑選的原則設定時,這是登錄中的第一個位置:

  • 位置:以滑鼠右鍵按兩下 [開始>執行],然後輸入 regedit 以開啟註冊表編輯器。
  • 默認文件系統位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM 代理程式登錄機碼可協助您在 PolicyManager 中識別包含實際 BitLocker 原則設定的全域唯一識別碼 (GUID)。

註冊表編輯器中的 BitLocker 登錄位置。

上述範例中會反白顯示 GUID。 您可以在下列登入子機碼中包含 GUID (每個租使用者會有所不同),以針對 BitLocker 原則設定進行疑難解答:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

登錄編輯器的螢幕快照,其中顯示 MDM 代理程式所設定的 BitLocker 原則設定

此報告顯示 MDM 代理程式 (OMADM 用戶端) 已挑選的 BitLocker 原則設定。 這些是您在 MDM 診斷報告中看到的相同設定,因此這是識別用戶端已挑選之設定的替代方式。

EncryptionMethodByDriveType 登錄機碼的範例:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions範例:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker 登錄機碼

原則提供者登錄機碼中的設定將會複製到主要 BitLocker 登錄機碼中。 您可以比較這些設定,以確保它們符合使用者介面(UI)、MDM 記錄檔、MDM 診斷和原則登錄機碼中原則設定中顯示的專案。

  • 登錄機碼位置:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

這是 FVE 登錄機碼的範例:

在註冊表編輯器中找到的 BitLocker 登錄機碼螢幕快照。

  • 答: EncryptionMethodWithXtsOs、EncryptionMethodWithXtsFdv 和 EncryptionMethodWithXtsRdv 具有下列可能的值:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM、UseTPMKey、UseTPMKeyPIN、USeTPMPIN 全部設定為 2,這表示它們全都設定為允許。
  • C: 請注意,大部分的密鑰會分成操作系統磁碟驅動器 (OS)、固定磁碟驅動器 (FDV) 和卸載式磁碟驅動器 (FDVR) 的設定群組。
  • D: OSActiveDirectoryBackup 的值為 1 且已啟用。
  • E: OSHideRecoveryPage 等於 0 且未啟用。

使用 BitLocker CSP 檔來譯碼登錄中的所有設定名稱。

REAgentC.exe命令行工具

REAgentC.exe是命令行可執行工具,可用來設定 Windows 修復環境 (Windows RE)。 WinRE 是在特定案例中啟用 BitLocker 的必要條件,例如無訊息或自動加密。

  • 位置:以滑鼠右鍵按兩下 [開始>執行],輸入 cmd。 然後以滑鼠右鍵按兩下 cmd,然後選取 [以系統管理員身分執行][以系統管理員>身分處理 /info]。
  • 文件系統位置:C:\Windows\System32\ReAgentC.exe。

提示

如果您在 BitLocker-API 中看到有關 WinRe 未啟用的錯誤訊息,請在裝置上執行 走inc /info 命令,以判斷 WinRE 狀態。

命令提示字元中ReAgentC.exe命令的輸出。

如果 WinRE 狀態已停用,請以系統管理員身分執行 解說 /enable 命令,以手動方式啟用它:

在命令提示字元中啟用ReAgentC.exe的範例螢幕快照。執行 commandpetc /enable

摘要

當 BitLocker 無法使用 Intune 原則在 Windows 10 裝置上啟用時,在大部分情況下,硬體或軟體必要條件並未就緒。 檢查 BitLocker-API 記錄可協助您識別不符合哪些必要條件。 最常見的問題包括:

  • TPM 不存在
  • WinRE 未啟用
  • TPM 2.0 裝置未啟用 UEFI BIOS

原則設定錯誤也可能導致加密失敗。 並非所有 Windows 裝置都可以以無訊息方式加密,因此請考慮您鎖定的使用者和裝置。

針對用於無訊息加密的原則設定啟動密鑰或 PIN 將無法運作,因為啟用 BitLocker 時需要用戶互動。 在 Intune 中設定 BitLocker 原則時,請記住這一點。

確認裝置是否已挑選原則設定,以判斷目標是否成功。

您可以使用 MDM 診斷、登錄機碼和裝置管理企業事件記錄檔來識別原則設定,以確認是否已成功套用設定。 BitLocker CSP 檔可協助您解密這些設定,以了解它們是否符合原則中設定的內容。