共用方式為

使用 Intune 強制實施 BitLocker 原則:已知問題

  • 發行項

本文可協助針對使用 Microsoft Intune 原則來管理裝置上的無訊息 BitLocker 加密時可能會遇到的問題進行疑難解答。 Intune 入口網站指出 BitLocker 是否無法加密一或多個受控裝置。

顯示 Intune 入口網站上 BitLocker 狀態索引器的螢幕快照。

若要開始縮小問題的原因,請檢閱事件記錄檔,如針對 BitLocker 進行疑難解答中所述。 將注意力集中在應用程式與服務記錄中的管理和作業記錄>Microsoft>Windows>BitLocker-API 資料夾中。 下列各節提供如何解決指示事件和錯誤訊息的詳細資訊:

如果沒有明確的事件或錯誤訊息追蹤,其他要調查的區域包括下列區域:

如需驗證 Intune 原則是否正確強制執行 BitLocker 的程式相關信息,請參閱 確認 BitLocker 是否正常運作

事件標識碼 853:錯誤:無法在此計算機上找到相容的信任平台模組 (TPM) 安全性裝置

事件標識碼 853 可能會根據內容而攜帶不同的錯誤訊息。 在此情況下,事件標識碼 853 錯誤訊息表示裝置似乎沒有 TPM。 事件資訊會類似下列事件:

事件標識碼 853 的詳細數據螢幕快照(TPM 無法使用,找不到 TPM)。

事件標識碼 853 的原因:錯誤:此電腦上找不到相容的信任平台模組 (TPM) 安全性裝置

受保護的裝置可能沒有 TPM 晶片,或裝置 BIOS 可能已設定為停用 TPM。

事件標識碼 853 的解決方案:錯誤:無法在此電腦上找到相容的信任平台模組 (TPM) 安全性裝置

若要解決此問題,請確認下列設定:

  • 裝置 BIOS 中已啟用 TPM。
  • TPM 管理控制台中的 TPM 狀態類似於下列狀態:
    • 就緒 (TPM 2.0)
    • 初始化 (TPM 1.2)

如需詳細資訊,請參閱 針對 TPM 進行疑難解答。

事件識別碼 853:錯誤:計算機中偵測到 BitLocker 磁碟驅動器加密可開機媒體 (CD 或 DVD)

在此情況下,會顯示事件標識碼 853,而且事件中的錯誤訊息表示裝置可以使用可開機媒體。 事件資訊如下所示。

事件標識碼 853 的詳細數據螢幕快照(找不到 TPM、可開機媒體)。

事件識別碼 853 的原因:錯誤:計算機中偵測到 BitLocker 磁碟驅動器加密可開機媒體 (CD 或 DVD)

在布建程式期間,BitLocker 磁碟驅動器加密會記錄裝置的設定,以建立基準。 如果裝置組態稍後變更(例如,如果移除媒體),BitLocker 修復模式會自動啟動。

為了避免這種情況,布建程式會在偵測到可移動開機媒體時停止。

事件標識碼 853 的解決方法:錯誤:計算機中偵測到可開機媒體 (CD 或 DVD) 的 BitLocker 磁碟驅動器加密

拿掉可開機媒體,然後重新啟動裝置。 裝置重新啟動之後,請確認加密狀態。

事件標識碼 854:未設定 WinRE

事件資訊類似下列錯誤訊息:

無法啟用無訊息加密。 未設定 WinRe。

錯誤:此計算機無法支援裝置加密,因為 WinRE 未正確設定。

事件標識碼 854 的原因:未設定 WinRE

Windows 復原環境 (WinRE) 是以 Windows 預安裝環境 (Windows PE) 為基礎的最小 Windows 操作系統。 WinRE 包含數個工具,系統管理員可用來復原或重設 Windows 並診斷 Windows 問題。 如果裝置無法啟動一般 Windows 作業系統,裝置會嘗試啟動 WinRE。

布建程式會在布建的 Windows PE 階段,在作業系統磁碟驅動器上啟用 BitLocker 磁碟驅動器加密。 此動作可確保磁碟驅動器在安裝完整作業系統之前受到保護。 布建程式也會建立系統分割區,讓 WinRE 在系統當機時使用。

如果裝置上無法使用 WinRE,布建就會停止。

事件標識碼 854 的解決方案:未設定 WinRE

您可以依照下列步驟來確認磁碟分區的設定、WinRE 的狀態,以及 Windows 開機載入器設定,以解決此問題:

步驟 1:確認磁碟分區的設定

本節所述的程序取決於 Windows 在安裝期間設定的預設磁碟分區。 Windows 11 和 Windows 10 會自動建立包含 Winre.wim 檔案的復原分割區。 數據分割組態如下所示。

默認磁碟分區的螢幕快照,包括復原磁碟分區。

若要確認磁碟分區的設定,請開啟提升許可權的 [命令提示字元] 視窗,然後執行下列命令:

diskpart.exe 
list volume

來自 Diskpart 的清單磁碟區命令輸出螢幕快照。

如果任何磁碟區的狀態不良,或復原磁碟分區遺失,可能需要重新安裝 Windows。 重新安裝 Windows 之前,請先檢查正在布建的 Windows 映像設定。 請確定映像使用正確的磁碟組態。 映射組態應該如下所示(此範例來自 Microsoft Configuration Manager):

Microsoft Configuration Manager 中 Windows 映射設定的螢幕快照。

步驟 2:確認 WinRE 的狀態

若要確認裝置上的 WinRE 狀態,請開啟提升許可權的 [命令提示字元] 視窗,然後執行下列命令:

reagentc.exe /info

此命令的輸出如下所示。

reagentc.exe /info 命令輸出的螢幕快照。

如果 Windows RE 狀態啟用,請執行下列命令以啟用它:

reagentc.exe /enable

步驟 3:確認 Windows 開機載入器設定

如果分割區狀態良好,但 reagentc.exe /enable 命令會導致錯誤,請在提升許可權的命令提示字元視窗中執行下列命令,確認 Windows 開機載入器是否包含復原順序 GUID:

bcdedit.exe /enum all

這個指令輸出會類似下列輸出:

bcdedit /enum all 命令輸出的螢幕快照。

在輸出中,找出包含行標識碼={current} 的 Windows 開機載入器區段。 在該區段中,找出 recoverysequence 屬性。 此屬性的值應該是 GUID 值,而不是零的字串。

事件標識碼 851:請連絡製造商以取得 BIOS 升級指示

事件資訊會類似下列錯誤訊息:

無法啟用無訊息加密。

錯誤:無法在作業系統磁碟驅動器上啟用 BitLocker 磁碟驅動器加密。 請連絡電腦製造商以取得 BIOS 升級指示。

事件標識碼 851 的原因:請連絡製造商以取得 BIOS 升級指示

裝置必須具有整合可擴展韌體介面 (UEFI) BIOS。 無訊息 BitLocker 磁碟驅動器加密不支援舊版 BIOS。

事件標識碼 851 的解決方案:請連絡製造商以取得 BIOS 升級指示

若要確認 BIOS 模式,請遵循下列步驟來使用 系統資訊 應用程式:

  1. 選取 [開始],然後在 [搜尋] 方塊中輸入 msinfo32

  2. 確認 BIOS 模式設定為 UEFI,而不是舊版

    系統資訊 應用程式的螢幕快照,其中顯示BIOS模式設定。

  3. 如果 BIOS 模式設定為舊版,則必須將 UEFI 韌體切換至 UEFIEFI 模式。 切換至 UEFI 或 EFI 模式的步驟專屬於裝置。

    注意

    如果裝置僅支援舊版模式,Intune 就無法用來管理裝置上的 BitLocker 裝置加密。

錯誤訊息:無法讀取 UEFI 變數 'SecureBoot'

會顯示類似下列錯誤訊息的錯誤訊息:

錯誤: BitLocker 無法將安全開機用於完整性,因為無法讀取 UEFI 變數 'SecureBoot'。 用戶端不會保留必要的許可權。

錯誤訊息的原因:無法讀取 UEFI 變數 'SecureBoot'

平台組態緩存器 (CER) 是 TPM 中的記憶體位置。 特別是,USB 7 會測量安全開機的狀態。 無訊息 BitLocker 磁碟驅動器加密需要開啟安全開機。

錯誤訊息的解決方案:無法讀取 UEFI 變數 'SecureBoot'

若要解決此問題,請遵循下列步驟來驗證 TPM 的PCR 驗證配置檔和安全開機狀態:

步驟 1:驗證 TPM 的PCR 驗證配置檔

若要確認使用中的PCR 7,請開啟提升許可權的命令提示字元視窗,然後執行下列命令:

Manage-bde.exe -protectors -get %systemdrive%

在此命令輸出的 [TPM] 區段中,確認 [HTTP 驗證配置檔] 設定是否包含 7,如下所示:

manage-bde.exe命令輸出的螢幕快照。

如果PCR 驗證配置檔不包含7(例如,值包括0、2411,但不包含7),則不會開啟安全開機。

當沒有PCR 7 時,manage-bde 命令輸出的螢幕快照。

2:確認安全開機狀態

若要確認安全開機狀態,請遵循下列步驟,使用 系統資訊 應用程式:

  1. 選取 [開始],然後在 [搜尋] 方塊中輸入 msinfo32

  2. 確認 [ 安全開機狀態 ] 設定為 [開啟],如下所示:

    系統資訊 應用程式的螢幕快照,其中顯示不支援的安全開機狀態。

  3. 如果 [安全開機狀態] 設定不受支援,則無法在裝置上使用無訊息 BitLocker 加密。

    系統資訊 應用程式,顯示不支援的安全開機狀態。

注意

Confirm-SecureBootUEFI PowerShell Cmdlet 也可以用來開啟提升許可權的 PowerShell 視窗並執行下列命令來驗證安全開機狀態:

Confirm-SecureBootUEFI

如果計算機支援安全開機且已啟用安全開機,此 Cmdlet 會傳回 「True」。。

如果計算機支援安全開機且安全開機已停用,此 Cmdlet 會傳回 「False」。。

如果計算機不支援安全開機或是 BIOS(非 UEFI)電腦,此 Cmdlet 會傳回「此平臺不支援 Cmdlet」。

事件標識碼 846、778 和 851:錯誤0x80072f9a

請參考下列案例:

Intune 原則正在部署以加密 Windows 10 版本 1809 裝置,並將修復密碼儲存在 Microsoft Entra ID 中。 在原則組態中, 已選取 [允許標準使用者在Microsoft Entra join 選項期間啟用加密。

原則部署失敗,而失敗會在應用程式與服務>記錄Microsoft>Windows>BitLocker API 資料夾中 事件檢視器產生下列事件:

事件標識碼:846

事件:無法將磁碟區 C: 的 BitLocker 磁碟驅動器加密復原資訊備份到您的Microsoft Entra 識別符。

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} 錯誤: 未知 HResult 錯誤碼: 0x80072f9a

事件標識碼:778

事件:BitLocker 磁碟區 C: 已還原為未受保護的狀態。

事件標識碼:851

事件:無法啟用無訊息加密。

錯誤:未知的 HResult 錯誤碼:0x80072f9a。

這些事件是指錯誤碼0x80072f9a。

事件標識碼 846、778 和 851 的原因:錯誤0x80072f9a

這些事件表示登入的用戶沒有許可權讀取在布建和註冊程式所產生的憑證上私鑰。 因此,BitLocker MDM 原則重新整理失敗。

此問題會影響 Windows 10 版本 1809。

事件標識碼 846、778 和 851 的解決方案:錯誤0x80072f9a

若要解決此問題,請安裝 2019 年 5 月 21 日更新。

錯誤訊息:操作系統磁碟驅動器上的復原選項有衝突的組策略設定

會顯示類似下列錯誤訊息的錯誤訊息:

錯誤: 無法將 BitLocker 磁碟驅動器加密套用至此磁碟驅動器,因為操作系統磁碟驅動器上的復原選項有衝突的組策略設定。 不允許產生復原密碼時,無法將復原資訊儲存至 Active Directory 網域服務。 請讓系統管理員先解決這些原則衝突,再嘗試啟用 BitLocker...

錯誤訊息的解決方式:操作系統磁碟驅動器上的復原選項有衝突的組策略設定

若要解決此問題,請檢閱組策略物件 (GPO) 設定中的衝突。 如需詳細資訊,請參閱下一節<檢閱 BitLocker 原則設定>。

如需 GPO 和 BitLocker 的詳細資訊,請參閱 BitLocker 組策略參考

檢閱 BitLocker 原則設定

如需搭配 BitLocker 和 Intune 使用原則的程式相關信息,請參閱下列資源:

Intune 為 BitLocker 提供下列強制類型:

  • 自動 (當裝置在布建程式期間加入Microsoft Entra 標識符時強制執行。此選項適用於 Windows 10 版本 1703 和更新版本。
  • 無訊息 (Endpoint Protection 原則。此選項適用於 Windows 10 版本 1803 和更新版本。
  • 互動式 (Windows 10 版本 1803 之前的 Windows 版本端點原則。

如果裝置執行 Windows 10 1703 版或更新版本,則支援新式待命(也稱為「立即執行」,且符合 HSTI 規範,將裝置加入至Microsoft Entra ID 會觸發自動裝置加密。 不需要個別的端點保護原則來強制執行裝置加密。

如果裝置符合 HSTI 規範,但不支援新式待命,則必須設定端點保護原則,以強制執行無訊息 BitLocker 磁碟驅動器加密。 此原則的設定應該類似下列設定:

Intune 原則設定的螢幕快照,其中顯示加密所需的裝置。

這些設定的 OMA-URI 參考如下所示:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    實值類型: 整數
    值: 1 (1 = 需要,0 = 未設定)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    實值類型: 整數
    值: 0 (0 = 封鎖,1 = 允許)

注意

由於 BitLocker 原則 CSP 的更新,如果裝置使用 Windows 10 1809 版或更新版本,即使裝置不符合 HSTI 規範,端點保護原則仍可用來強制執行無訊息 BitLocker 裝置加密。

注意

如果 [其他磁碟加密警告] 設定設為 [未設定],則必須手動啟動 BitLocker 磁碟驅動器加密精靈。

如果裝置不支援新式待命,但符合 HSTI 規範,而且它會使用早於 Windows 10 版本 1803 的 Windows 版本,此端點保護原則具有本文所述的設定,會將原則設定傳遞給裝置。 不過,Windows 接著會通知用戶手動啟用 BitLocker 磁碟驅動器加密。 當使用者選取通知時,將會啟動 BitLocker 磁碟驅動器加密精靈。

Intune 提供可用於為標準使用者設定 Autopilot 裝置自動裝置加密的設定。 每個裝置都必須符合下列需求:

  • 符合 HSTI 規範
  • 支援新式待命
  • 使用 Windows 10 版本 1803 或更新版本

Intune 原則設定的螢幕快照,其中顯示允許標準使用者在加入Microsoft期間啟用加密。

這些設定的 OMA-URI 參考如下所示:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    實值類型: 整數 值: 1

注意

此節點可與 RequireDeviceEncryptionAllowWarningForOtherDiskEncryption 節點搭配運作。 基於這個理由,設定下列設定時:

  • RequireDeviceEncryption1
  • AllowStandardUserEncryption1
  • AllowWarningForOtherDiskEncryption0

Intune 會針對具有標準使用者配置檔的 Autopilot 裝置強制執行無訊息 BitLocker 加密。

確認 BitLocker 運作正常

在一般作業期間,BitLocker 磁碟驅動器加密會產生事件,例如事件標識碼 796 和事件標識碼 845。

事件標識碼 796 的螢幕快照,其中包含詳細資訊。

事件標識碼 845 的螢幕快照,其中包含詳細資訊。

您也可以檢查 [Microsoft Entra Devices] 區段中的裝置詳細數據,判斷 BitLocker 修復密碼是否已上傳至 Microsoft Entra 標識符。

BitLocker 修復信息的螢幕快照,如Microsoft Entra ID 中所檢視。

在裝置上,檢查註冊表編輯器以確認裝置上的原則設定。 確認下列子機碼底下的專案:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

與 Intune 原則相關的登錄子機碼螢幕快照。