共用方式為

使用 Intune 強制執行 BitLocker 原則:已知問題

  • 發行項

本文可協助針對使用 Microsoft Intune 原則管理裝置上的無訊息 BitLocker 加密時可能發生的問題進行疑難解答。 Intune 入口網站指出 BitLocker 是否無法加密一或多個受控裝置。

顯示 Intune 入口網站上 BitLocker 狀態的螢幕快照。

若要開始縮小問題的原因,請檢閱事件記錄檔,如 針對 BitLocker 進行疑難解答中所述。 專注於應用程式和服務記錄Microsoft>Windows>BitLocker-API 資料夾中的管理和作業記錄>。 下列各節提供有關如何解決指出的事件和錯誤訊息的詳細資訊:

如果沒有要追蹤的事件或錯誤訊息的清楚線索,其他要調查的區域包括下列區域:

如需驗證 Intune 原則是否正確強制執行 BitLocker 之程式的相關信息,請參閱驗證 BitLocker 是否正常運作

事件標識碼 853:錯誤:在這部計算機上找不到相容的信任平臺模組 (TPM) 安全性裝置

視內容而定,事件標識碼 853 可能會包含不同的錯誤訊息。 在此情況下,事件標識碼 853 錯誤訊息表示裝置似乎沒有 TPM。 事件資訊將類似下列事件:

無法使用 TPM (事件識別碼 853 的詳細數據螢幕快照,找不到 TPM) 。

事件標識碼 853 的原因:錯誤:在這部電腦上找不到相容的信任平臺模組 (TPM) 安全性裝置

受保護的裝置可能沒有 TPM 晶片,或裝置 BIOS 可能已設定為停用 TPM。

事件標識碼 853 的解決方法:錯誤:在此計算機上找不到相容的信任平臺模組 (TPM) 安全性裝置

若要解決此問題,請確認下列設定:

  • TPM 已在裝置 BIOS 中啟用。
  • TPM 管理控制台中的 TPM 狀態類似下列狀態:
    • 準備 (TPM 2.0)
    • 初始化 (TPM 1.2)

如需詳細資訊,請參閱 針對 TPM 進行疑難解答

事件標識碼 853:錯誤:在計算機中偵測到可開機媒體 (CD 或 DVD) 的 BitLocker 磁碟驅動器加密

在此情況下,會顯示事件標識碼 853,而事件中的錯誤訊息表示可開機媒體可供裝置使用。 事件資訊如下所示。

無法使用 TPM 的事件識別碼 853 (詳細數據螢幕快照,) 找到可開機媒體。

事件標識碼 853 的原因:錯誤:在計算機中偵測到可開機媒體 (CD 或 DVD) 的 BitLocker 磁碟驅動器加密

在布建程式期間,BitLocker 磁碟驅動器加密會記錄裝置的設定,以建立基準。 例如,如果裝置設定稍後變更 (,如果媒體) 移除,BitLocker 恢復模式就會自動啟動。

若要避免這種情況,布建程式會在偵測到卸除式可開機媒體時停止。

事件標識碼 853 的解決方法:錯誤:在計算機中偵測到可開機媒體 (CD 或 DVD) 的 BitLocker 磁碟驅動器加密

拿掉可開機媒體,然後重新啟動裝置。 裝置重新啟動之後,請確認加密狀態。

事件標識碼 854:未設定 WinRE

事件資訊類似下列錯誤訊息:

無法啟用無訊息加密。 未設定 WinRe。

錯誤:此計算機無法支援裝置加密,因為 WinRE 未正確設定。

事件標識碼 854 的原因:未設定 WinRE

Windows Recovery Environment (WinRE) 是以 Windows 預安裝環境 (Windows PE) 為基礎的最低 Windows 操作系統。 WinRE 包含數個工具,可供系統管理員用來復原或重設 Windows 並診斷 Windows 問題。 如果裝置無法啟動一般 Windows 作業系統,裝置會嘗試啟動 WinRE。

在布建 Windows PE 階段期間,布建程式會在操作系統磁碟驅動器上啟用 BitLocker 磁碟驅動器加密。 此動作可確保磁碟驅動器在安裝完整作業系統之前受到保護。 布建程式也會建立系統分割區,讓 WinRE 在系統當機時使用。

如果裝置上無法使用 WinRE,布建就會停止。

事件標識碼 854 的解決方式:未設定 WinRE

您可以依照下列步驟確認磁碟分區設定、WinRE 狀態和 Windows 開機載入器設定,以解決此問題:

步驟 1:驗證磁碟分區的設定

本節所述的程序取決於 Windows 在安裝期間設定的預設磁碟分區。 Windows 11 和 Windows 10 自動建立包含 Winre.wim 檔案的復原分割區。 數據分割組態如下所示。

默認磁碟分區的螢幕快照,包括復原磁碟分區。

若要確認磁碟分區的設定,請開啟提升許可權的 [命令提示字元] 視窗,然後執行下列命令:

diskpart.exe 
list volume

Diskpart 中清單磁碟區命令輸出的螢幕快照。

如果任何磁碟區的狀態狀況不良或復原磁碟分區遺失,則可能需要重新安裝 Windows。 重新安裝 Windows 之前,請檢查所布建之 Windows 映像的設定。 請確定映像使用正確的磁碟設定。 映射組態應該類似下列 (此範例來自 Microsoft Configuration Manager) :

Microsoft Configuration Manager 中 Windows 映射設定的螢幕快照。

步驟 2:確認 WinRE 的狀態

若要確認裝置上的 WinRE 狀態,請開啟提升許可權的 [命令提示字元] 視窗,然後執行下列命令:

reagentc.exe /info

此命令的輸出如下所示。

reagentc.exe /info 命令輸出的螢幕快照。

如果 Windows RE 狀態不是 [已啟用],請執行下列命令加以啟用:

reagentc.exe /enable

步驟 3:驗證 Windows 開機載入器設定

如果資料分割狀態良好,但 reagentc.exe /enable 命令會導致錯誤,請在提升許可權的命令提示字元視窗中執行下列命令,以確認 Windows 開機載入器是否包含復原順序 GUID:

bcdedit.exe /enum all

這個指令輸出將類似下列輸出:

bcdedit /enum all 命令輸出的螢幕快照。

在輸出中,找出包含行標識碼={current}Windows 開機載入器區段。 在該區段中,找出 recoverysequence 屬性。 這個屬性的值應該是 GUID 值,而不是零的字串。

事件標識碼 851:連絡製造商以取得 BIOS 升級指示

事件資訊將類似下列錯誤訊息:

無法啟用無訊息加密。

錯誤:無法在作業系統磁碟驅動器上啟用 BitLocker 磁碟驅動器加密。 請連絡電腦製造商以取得 BIOS 升級指示。

事件標識碼 851 的原因:請連絡製造商以取得 BIOS 升級指示

裝置必須具有整合可延伸韌體介面 (UEFI) BIOS。 無訊息 BitLocker 磁碟驅動器加密不支援舊版 BIOS。

事件標識碼 851 的解決方案:請連絡製造商以取得 BIOS 升級指示

若要確認 BIOS 模式,請遵循下列步驟來使用系統資訊應用程式:

  1. 取 [開始],然後在 [搜尋] 方塊中輸入 msinfo32

  2. 確認 BIOS 模式 設定為 UEFI ,而不是 舊版

    系統資訊應用程式的螢幕快照,其中顯示BIOS模式設定。

  3. 如果 BIOS 模式設定為舊版,則必須將 UEFI 韌體切換為 UEFIEFI 模式。 切換至 UEFIEFI 模式的步驟是裝置特有的。

    注意事項

    如果裝置只支援舊版模式,Intune 無法用來管理裝置上的 BitLocker 裝置加密。

錯誤訊息:無法讀取 UEFI 變數 'SecureBoot'

顯示類似下列錯誤訊息的錯誤訊息:

錯誤: 因為無法讀取 UEFI 變數 'SecureBoot',所以 BitLocker 無法使用安全開機進行完整性。 用戶端不會持有必要的許可權。

錯誤訊息的原因:無法讀取 UEFI 變數 'SecureBoot'

(PCR) 的平台設定快取器是 TPM 中的記憶體位置。 特別是,PCR 7 會測量安全開機的狀態。 無訊息 BitLocker 磁碟驅動器加密需要開啟安全開機。

錯誤訊息的解決方法:無法讀取 UEFI 變數 'SecureBoot'

若要解決此問題,請遵循下列步驟來驗證 TPM 的 PCR 驗證配置檔和安全開機狀態:

步驟 1:驗證 TPM 的 PCR 驗證配置檔

若要確認 PCR 7 正在使用中,請開啟提升許可權的命令提示字元視窗,然後執行下列命令:

Manage-bde.exe -protectors -get %systemdrive%

在此命令輸出的 TPM 區段中,確認 PCR 驗證設定檔 設定是否包含 7,如下所示:

manage-bde.exe 命令輸出的螢幕快照。

例如 ,如果 PCR 驗證配置檔 不包含 7 (,則值包括 02411,但不包括 7) ,則不會開啟安全開機。

當 PCR 7 不存在時,manage-bde 命令輸出的螢幕快照。

2:確認安全開機狀態

若要確認安全開機狀態,請依照下列步驟使用系統資訊應用程式:

  1. 取 [開始],然後在 [搜尋] 方塊中輸入 msinfo32

  2. 確認 [ 安全開機狀態 ] 設定為 [ 開啟],如下所示:

    系統資訊應用程式的螢幕快照,其中顯示不支援的安全開機狀態。

  3. 如果 [ 安全開機狀態 ] 設定 不受支援,裝置上就無法使用無訊息 BitLocker 加密。

    系統資訊應用程式,顯示不支援的安全開機狀態。

注意事項

Confirm-SecureBootUEFI PowerShell Cmdlet 也可用來驗證安全開機狀態,方法是開啟提升許可權的 PowerShell 視窗並執行下列命令:

Confirm-SecureBootUEFI

如果計算機支援安全開機,且已啟用安全開機,此 Cmdlet 會傳回 「True」。

如果計算機支援安全開機,且已停用安全開機,此 Cmdlet 會傳回 「False」。。

如果計算機不支援安全開機或是 BIOS (非 UEFI) 計算機,此 Cmdlet 會傳回「此平臺不支援 Cmdlet」。

事件標識碼 846、778 和 851:錯誤0x80072f9a

請試想下列案例:

Intune 原則正在部署以加密 Windows 10 版本 1809 裝置,且修復密碼會儲存在 Microsoft Entra ID 中。 在原則設定中,已選取 [允許標準使用者在 Microsoft Entra 加入期間啟用加密] 選項。

原則部署失敗,且失敗會在應用程式和服務記錄>> MicrosoftWindows>BitLocker API 資料夾的 事件檢視器 中產生下列事件:

事件標識碼:846

事件:無法將磁碟區 C: 的 BitLocker 磁碟驅動器加密復原資訊備份至您的 Microsoft Entra ID。

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} 錯誤: 未知的 HResult 錯誤碼: 0x80072f9a

事件標識碼:778

事件:BitLocker 磁碟區 C: 已還原為未受保護的狀態。

事件標識碼:851

事件:無法啟用無訊息加密。

錯誤:未知的 HResult 錯誤碼:0x80072f9a。

這些事件參照錯誤碼0x80072f9a。

事件標識碼 846、778 和 851 的原因:錯誤0x80072f9a

這些事件表示登入的用戶沒有在布建和註冊程式中產生的憑證上讀取私鑰的許可權。 因此,BitLocker MDM 原則重新整理會失敗。

此問題會影響 Windows 10 1809 版。

事件標識碼 846、778 和 851 的解決方式:錯誤0x80072f9a

若要解決此問題,請安裝 2019 年 5 月 21 日 更新。

錯誤訊息:操作系統磁碟驅動器上的復原選項有衝突的組策略設定

顯示類似下列錯誤訊息的錯誤訊息:

錯誤:無法將 BitLocker 磁碟驅動器加密套用至此磁碟驅動器,因為作業系統磁碟驅動器上的復原選項 群組原則 設定衝突。 不允許產生修復密碼時,就不需要將復原資訊儲存至 Active Directory 網域服務。 請讓系統管理員先解決這些原則衝突,再嘗試啟用 BitLocker...

錯誤訊息的解決方法:操作系統磁碟驅動器上的復原選項有衝突的組策略設定

若要解決此問題,請檢閱組策略物件 (GPO) 衝突設定。 如需詳細資訊,請參閱下一節 :檢閱 BitLocker 原則設定

如需 GPO 和 BitLocker 的詳細資訊,請參閱 BitLocker 群組原則 參考。

檢閱 BitLocker 原則設定

如需搭配 BitLocker 和 Intune 使用原則的程式相關信息,請參閱下列資源:

Intune 為 BitLocker 提供下列強制執行類型:

  • 自動 (在布建程式期間裝置加入 Microsoft Entra ID 時強制執行。此選項適用於 Windows 10 1703 版和更新版本。)
  • 無訊息 (端點保護原則。此選項適用於 Windows 10 1803 版和更新版本。)
  • Windows 版本早於 Windows 10 1803.) 的互動式 (端點原則

如果裝置執行 Windows 10 1703 版或更新版本,則支援新式待命 (也稱為立即移) 且符合 HSTI 規範,將裝置加入 Microsoft Entra ID 會觸發自動裝置加密。 不需要個別的端點保護原則,即可強制執行裝置加密。

如果裝置符合 HSTI 規範,但不支援新式待命,則必須設定端點保護原則,以強制執行無訊息 BitLocker 磁碟驅動器加密。 此原則的設定應該類似下列設定:

Intune 原則設定的螢幕快照,其中顯示需要加密裝置。

這些設定的 OMA-URI 參考如下:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    值類型: 整數
    值: 1 (1 = 必要,0 = 未設定)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    值類型: 整數
    值: 0 (0 = 已封鎖,1 = 允許)

注意事項

由於 BitLocker 原則 CSP 的更新,如果裝置使用 Windows 10 1809 版或更新版本,則端點保護原則可以用來強制執行無訊息 BitLocker 裝置加密,即使裝置不符合 HSTI 規範也一樣。

注意事項

如果 [ 其他磁碟加密的警告 ] 設定設為 [未設定],則必須手動啟動 BitLocker 磁碟驅動器加密精靈。

如果裝置不支援新式待命,但符合 HSTI 規範,而且使用早於 Windows 10 版本 1803 的 Windows 版本,則具有本文所述設定的端點保護原則會將原則組態傳遞給裝置。 不過,Windows 接著會通知用戶手動啟用 BitLocker 磁碟驅動器加密。 當使用者選取通知時,它會啟動 BitLocker 磁碟驅動器加密精靈。

Intune 提供可用來為標準使用者設定 Autopilot 裝置自動裝置加密的設定。 每個裝置都必須符合下列需求:

  • 符合 HSTI 規範
  • 支援新式待命
  • 使用 Windows 10 1803 版或更新版本

Intune 原則設定的螢幕快照,其中顯示 [允許標準使用者在 Microsoft Entra 加入期間啟用加密]。

這些設定的 OMA-URI 參考如下:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    實值類型: 整數 值: 1

注意事項

此節點可與 RequireDeviceEncryptionAllowWarningForOtherDiskEncryption 節點搭配運作。 因此,設定下列設定時:

  • RequireDeviceEncryption 為1
  • AllowStandardUserEncryption 為1
  • AllowWarningForOtherDiskEncryption 至0

Intune 會針對具有標準使用者配置檔的 Autopilot 裝置強制執行無訊息 BitLocker 加密。

確認 BitLocker 正常運作

在一般作業期間,BitLocker 磁碟驅動器加密會產生事件標識碼 796 和事件標識碼 845 等事件。

事件標識碼 796 的螢幕快照,其中包含詳細資訊。

事件標識碼 845 的螢幕快照,其中包含詳細資訊。

您也可以檢查 [Microsoft Entra 裝置] 區段中的裝置詳細數據,判斷 BitLocker 修復密碼是否已上傳至 Microsoft Entra ID。

在 Microsoft Entra ID 中檢視的 BitLocker 複原資訊螢幕快照。

在裝置上,檢查登錄 編輯器 以確認裝置上的原則設定。 確認下列子機碼下的專案:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

與 Intune 原則相關的登錄子機碼螢幕快照。