Erzwingen von BitLocker-Richtlinien mithilfe von Intune: bekannte Probleme

  • Artikel

Dieser Artikel hilft bei der Behandlung von Problemen, die auftreten können, wenn Microsoft Intune Richtlinie zum Verwalten der automatischen BitLocker-Verschlüsselung auf Geräten verwendet wird. Das Intune-Portal gibt an, ob BitLocker ein oder mehrere verwaltete Geräte nicht verschlüsseln konnte.

Screenshot: BitLocker-status-Diktoren im Intune-Portal

Um die Ursache des Problems einzugrenzen, überprüfen Sie die Ereignisprotokolle, wie unter Problembehandlung bei BitLocker beschrieben. Konzentrieren Sie sich auf die Verwaltungs- und Betriebsprotokolle im Ordner Anwendungs- und Dienstprotokolle>von Microsoft>Windows>BitLocker-API . Die folgenden Abschnitte enthalten weitere Informationen zum Auflösen der angegebenen Ereignisse und Fehlermeldungen:

Wenn es keine eindeutige Spur von Ereignissen oder Fehlermeldungen gibt, die folgen müssen, sind die folgenden Bereiche zu untersuchen:

Informationen zum Verfahren zum Überprüfen, ob Intune Richtlinien BitLocker ordnungsgemäß erzwingen, finden Sie unter Überprüfen, ob BitLocker ordnungsgemäß funktioniert.

Ereignis-ID 853: Fehler: Auf diesem Computer wurde kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden.

Die Ereignis-ID 853 kann je nach Kontext unterschiedliche Fehlermeldungen enthalten. In diesem Fall gibt die Fehlermeldung Ereignis-ID 853 an, dass das Gerät anscheinend kein TPM hat. Die Ereignisinformationen ähneln dem folgenden Ereignis:

Screenshot: Details der Ereignis-ID 853 (TPM ist nicht verfügbar, TPM kann nicht gefunden werden)

Ursache der Ereignis-ID 853: Fehler: Auf diesem Computer wurde kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden.

Das zu sichernde Gerät verfügt möglicherweise nicht über einen TPM-Chip, oder das Geräte-BIOS wurde möglicherweise so konfiguriert, dass das TPM deaktiviert wird.

Lösung für Ereignis-ID 853: Fehler: Auf diesem Computer wurde kein kompatibles TPM-Sicherheitsgerät (Trusted Platform Module) gefunden.

Überprüfen Sie die folgenden Konfigurationen, um dieses Problem zu beheben:

  • Das TPM ist im Bios des Geräts aktiviert.
  • Die TPM-status im TPM-Verwaltungskonsole ähnelt den folgenden Status:
    • Bereit (TPM 2.0)
    • Initialisiert (TPM 1.2)

Weitere Informationen finden Sie unter Problembehandlung beim TPM.

Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung hat startbare Medien (CD oder DVD) auf dem Computer erkannt

In diesem Fall wird die Ereignis-ID 853 angezeigt, und die Fehlermeldung im -Ereignis gibt an, dass startbare Medien für das Gerät verfügbar sind. Die Ereignisinformationen ähneln den folgenden.

Screenshot: Details der Ereignis-ID 853 (TPM ist nicht verfügbar, startbare Medien gefunden)

Ursache der Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung hat startbare Medien (CD oder DVD) auf dem Computer erkannt

Während des Bereitstellungsprozesses zeichnet die BitLocker-Laufwerkverschlüsselung die Konfiguration des Geräts auf, um eine Baseline einzurichten. Wenn sich die Gerätekonfiguration später ändert (z. B. wenn die Medien entfernt werden), wird der BitLocker-Wiederherstellungsmodus automatisch gestartet.

Um diese Situation zu vermeiden, wird der Bereitstellungsprozess beendet, wenn ein startbares Wechselmedium erkannt wird.

Lösung für Ereignis-ID 853: Fehler: BitLocker-Laufwerkverschlüsselung hat startbare Medien (CD oder DVD) auf dem Computer erkannt

Entfernen Sie die startbaren Medien, und starten Sie das Gerät neu. Überprüfen Sie nach dem Neustart des Geräts die Verschlüsselung status.

Ereignis-ID 854: WinRE ist nicht konfiguriert

Die Ereignisinformationen ähneln der folgenden Fehlermeldung:

Fehler beim Aktivieren der automatischen Verschlüsselung. WinRe ist nicht konfiguriert.

Fehler: Dieser PC kann die Geräteverschlüsselung nicht unterstützen, da WinRE nicht ordnungsgemäß konfiguriert ist.

Ursache der Ereignis-ID 854: WinRE ist nicht konfiguriert

Windows Recovery Environment (WinRE) ist ein minimales Windows-Betriebssystem, das auf Windows Preinstallation Environment (Windows PE) basiert. WinRE enthält mehrere Tools, mit denen ein Administrator Windows wiederherstellen oder zurücksetzen und Windows-Probleme diagnostizieren kann. Wenn ein Gerät das normale Windows-Betriebssystem nicht starten kann, versucht das Gerät, WinRE zu starten.

Der Bereitstellungsprozess aktiviert die BitLocker-Laufwerkverschlüsselung auf dem Betriebssystemlaufwerk während der Windows PE-Bereitstellungsphase. Durch diese Aktion wird sichergestellt, dass das Laufwerk geschützt ist, bevor das vollständige Betriebssystem installiert wird. Der Bereitstellungsprozess erstellt auch eine Systempartition, die WinRE verwenden kann, wenn das System abstürzt.

Wenn WinRE auf dem Gerät nicht verfügbar ist, wird die Bereitstellung beendet.

Lösung für Ereignis-ID 854: WinRE ist nicht konfiguriert

Dieses Problem kann behoben werden, indem Sie die Konfiguration der Datenträgerpartitionen, die status von WinRE und die Konfiguration des Windows-Startladeprogramms überprüfen, indem Sie die folgenden Schritte ausführen:

Schritt 1: Überprüfen der Konfiguration der Datenträgerpartitionen

Die in diesem Abschnitt beschriebenen Verfahren hängen von den Standarddatenträgerpartitionen ab, die Windows während der Installation konfiguriert. Windows 11 und Windows 10 automatisch eine Wiederherstellungspartition erstellen, die die Datei Winre.wim enthält. Die Partitionskonfiguration sieht wie folgt aus.

Screenshot der Standarddatenträgerpartitionen, einschließlich der Wiederherstellungspartition.

Um die Konfiguration der Datenträgerpartitionen zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:

diskpart.exe 
list volume

Screenshot der Ausgabe des Befehls

Wenn die status eines der Volumes nicht fehlerfrei ist oder die Wiederherstellungspartition fehlt, muss Windows möglicherweise neu installiert werden. Überprüfen Sie vor der Neuinstallation von Windows die Konfiguration des bereitgestellten Windows-Images. Stellen Sie sicher, dass das Image die richtige Datenträgerkonfiguration verwendet. Die Imagekonfiguration sollte wie folgt aussehen (dieses Beispiel stammt aus Microsoft Configuration Manager):

Screenshot der Windows-Imagekonfiguration in Microsoft Configuration Manager.

Schritt 2: Überprüfen der status von WinRE

Um die status von WinRE auf dem Gerät zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

reagentc.exe /info

Die Ausgabe dieses Befehls sieht wie folgt aus.

Screenshot der Ausgabe des Befehls

Wenn die Windows RE status nicht aktiviert ist, führen Sie den folgenden Befehl aus, um sie zu aktivieren:

reagentc.exe /enable

Schritt 3: Überprüfen der Konfiguration des Windows-Startladeprogramms

Wenn die Partition status fehlerfrei ist, der Befehlreagentc.exe /enable jedoch zu einem Fehler führt, überprüfen Sie, ob das Windows-Startladeprogramm die GUID der Wiederherstellungssequenz enthält, indem Sie den folgenden Befehl in einem Eingabeaufforderungsfenster mit erhöhten Rechten ausführen:

bcdedit.exe /enum all

Die Ausgabe dieses Befehls ähnelt der folgenden Ausgabe:

Screenshot der Ausgabe des Befehls bcdedit /enum all.

Suchen Sie in der Ausgabe den Abschnitt Windows-Startladeprogramm , der den Zeilenbezeichner={current}enthält. Suchen Sie in diesem Abschnitt das Recoverysequence-Attribut . Der Wert dieses Attributs sollte ein GUID-Wert und keine Zeichenfolge von Nullen sein.

Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Die Ereignisinformationen ähneln der folgenden Fehlermeldung:

Fehler beim Aktivieren der automatischen Verschlüsselung.

Fehler: Die BitLocker-Laufwerkverschlüsselung kann auf dem Betriebssystemlaufwerk nicht aktiviert werden. Wenden Sie sich an den Computerhersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Ursache der Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Das Gerät muss über das UEFI-BIOS (Unified Extensible Firmware Interface) verfügen. Die automatische BitLocker-Laufwerkverschlüsselung unterstützt kein Legacy-BIOS.

Lösung für Ereignis-ID 851: Wenden Sie sich an den Hersteller, um Anweisungen zum BIOS-Upgrade zu erhalten.

Um den BIOS-Modus zu überprüfen, verwenden Sie die Anwendung Systeminformationen, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie Start aus, und geben Sie msinfo32 in das Suchfeld ein.

  2. Vergewissern Sie sich, dass die Einstellung für den BIOS-ModusUEFI und nicht Legacy ist.

    Screenshot der Systeminformations-App mit der Einstellung

  3. Wenn die BIOS-ModuseinstellungLegacy ist, muss die UEFI-Firmware in den UEFI - oder EFI-Modus umgeschaltet werden. Die Schritte zum Wechseln in den UEFI- oder EFI-Modus sind gerätespezifisch.

    Hinweis

    Wenn das Gerät nur den Legacymodus unterstützt, kann Intune nicht zum Verwalten der BitLocker-Geräteverschlüsselung auf dem Gerät verwendet werden.

Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Eine Fehlermeldung ähnlich der folgenden Fehlermeldung wird angezeigt:

Fehler: BitLocker kann den sicheren Start nicht für die Integrität verwenden, da die UEFI-Variable "SecureBoot" nicht gelesen werden konnte. Der Client verfügt nicht über eine erforderliche Berechtigung.

Ursache der Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Ein Plattformkonfigurationsregister (Platform Configuration Register, PCR) ist ein Speicherort im TPM. PcR 7 misst insbesondere den Zustand des sicheren Starts. Die automatische BitLocker-Laufwerkverschlüsselung erfordert, dass der sichere Start aktiviert ist.

Lösung für Fehlermeldung: Die UEFI-Variable "SecureBoot" konnte nicht gelesen werden.

Dieses Problem kann behoben werden, indem Sie das PCR-Überprüfungsprofil des TPM und den sicheren Startstatus überprüfen, indem Sie die folgenden Schritte ausführen:

Schritt 1: Überprüfen des PCR-Überprüfungsprofils des TPM

Um zu überprüfen, ob PCR 7 verwendet wird, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

Manage-bde.exe -protectors -get %systemdrive%

Überprüfen Sie im Abschnitt TPM der Ausgabe dieses Befehls wie folgt, ob die Einstellung PCR-Validierungsprofil7 enthält:

Screenshot: Ausgabe des Befehls

Wenn das PCR-Validierungsprofil nicht 7 enthält (z. B. enthalten die Werte 0, 2, 4 und 11, aber nicht 7), ist der sichere Start nicht aktiviert.

Screenshot der Ausgabe des Befehls

2: Überprüfen des sicheren Startzustands

Um den sicheren Startstatus zu überprüfen, verwenden Sie die Anwendung Systeminformationen, indem Sie die folgenden Schritte ausführen:

  1. Wählen Sie Start aus, und geben Sie msinfo32 in das Suchfeld ein.

  2. Vergewissern Sie sich, dass die Einstellung Sicherer Startstatus wie folgt auf Ein festgelegt ist:

    Screenshot der Systeminformations-App mit einem nicht unterstützten sicheren Startstatus.

  3. Wenn die Einstellung Sicherer Startstatusnicht unterstützt ist, kann die automatische BitLocker-Verschlüsselung nicht auf dem Gerät verwendet werden.

    Systeminformations-App, die einen nicht unterstützten sicheren Startstatus anzeigt.

Hinweis

Das PowerShell-Cmdlet Confirm-SecureBootUEFI kann auch verwendet werden, um den Sicheren Startstatus zu überprüfen, indem ein PowerShell-Fenster mit erhöhten Rechten geöffnet und der folgende Befehl ausgeführt wird:

Confirm-SecureBootUEFI

Wenn der Computer den sicheren Start unterstützt und der sichere Start aktiviert ist, gibt dieses Cmdlet "True" zurück.

Wenn der Computer den sicheren Start unterstützt und der sichere Start deaktiviert ist, gibt dieses Cmdlet "False" zurück.

Wenn der Computer den sicheren Start nicht unterstützt oder ein BIOS-Computer (nicht UEFI) ist, gibt dieses Cmdlet "Cmdlet wird auf dieser Plattform nicht unterstützt" zurück.

Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Stellen Sie sich folgendes Szenario vor:

Intune Richtlinie wird bereitgestellt, um ein Windows 10, Version 1809 Gerät zu verschlüsseln, und das Wiederherstellungskennwort wird in Microsoft Entra ID gespeichert. Im Rahmen der Richtlinienkonfiguration wurde die Option Standardbenutzern das Aktivieren der Verschlüsselung während Microsoft Entra Join erlauben ausgewählt.

Die Richtlinienbereitstellung schlägt fehl, und der Fehler generiert die folgenden Ereignisse in Ereignisanzeige im MicrosoftWindows>BitLocker-API-OrdnerAnwendungs- und Dienstprotokolle>>:

Ereignis-ID:846

Ereignis: Fehler beim Sichern der BitLocker-Laufwerkverschlüsselungswiederherstellungsinformationen für Volume C: in Ihrem Microsoft Entra ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fehler: Unbekannter HResult-Fehlercode: 0x80072f9a

Ereignis-ID:778

Ereignis: Das BitLocker-Volume C: wurde in einen ungeschützten Zustand zurückgesetzt.

Ereignis-ID: 851

Ereignis: Fehler beim Aktivieren der automatischen Verschlüsselung.

Fehler: Unbekannter HResult-Fehlercode: 0x80072f9a.

Diese Ereignisse beziehen sich auf fehlercode 0x80072f9a.

Ursache der Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Diese Ereignisse weisen darauf hin, dass der angemeldete Benutzer nicht über die Berechtigung zum Lesen des privaten Schlüssels für das Zertifikat verfügt, das im Rahmen des Bereitstellungs- und Registrierungsprozesses generiert wird. Daher schlägt die BitLocker-MDM-Richtlinienaktualisierung fehl.

Das Problem betrifft Windows 10 Version 1809.

Lösung für Ereignis-ID 846, 778 und 851: Fehler 0x80072f9a

Installieren Sie das Update vom 21. Mai 2019, um dieses Problem zu beheben.

Fehlermeldung: Es gibt in Konflikt stehende Gruppenrichtlinieneinstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken.

Eine Fehlermeldung ähnlich der folgenden Fehlermeldung wird angezeigt:

Fehler: Die BitLocker-Laufwerkverschlüsselung kann nicht auf dieses Laufwerk angewendet werden, da Gruppenrichtlinie Einstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken in Konflikt stehen. Das Speichern von Wiederherstellungsinformationen in Active Directory Domain Services kann nicht erforderlich sein, wenn die Generierung von Wiederherstellungskennwörtern nicht zulässig ist. Bitten Sie Ihren Systemadministrator, diese Richtlinienkonflikte zu beheben, bevor Sie versuchen, BitLocker zu aktivieren...

Lösung für Fehlermeldung: Es gibt in Konflikt stehende Gruppenrichtlinieneinstellungen für Wiederherstellungsoptionen auf Betriebssystemlaufwerken.

Um dieses Problem zu beheben, überprüfen Sie die Einstellungen des Gruppenrichtlinienobjekts (GPO) auf Konflikte. Weitere Informationen finden Sie im nächsten Abschnitt Überprüfen der BitLocker-Richtlinienkonfiguration.

Weitere Informationen zu Gruppenrichtlinienobjekten und BitLocker finden Sie unter BitLocker Gruppenrichtlinie Reference.For more information about GPOs and BitLocker, see BitLocker Gruppenrichtlinie Reference.

Überprüfen der BitLocker-Richtlinienkonfiguration

Informationen zum Verfahren zur Verwendung von Richtlinien zusammen mit BitLocker und Intune finden Sie in den folgenden Ressourcen:

Intune bietet die folgenden Erzwingungstypen für BitLocker:

  • Automatisch (Wird erzwungen, wenn das Gerät während des Bereitstellungsprozesses Microsoft Entra ID beitritt. Diese Option ist in Windows 10 Version 1703 und höher verfügbar.)
  • Silent (Endpoint Protection-Richtlinie. Diese Option ist in Windows 10 Version 1803 und höher verfügbar.)
  • Interaktiv (Endpunktrichtlinie für Windows-Versionen, die älter als Windows 10 Version 1803 sind.)

Wenn das Gerät Windows 10 Version 1703 oder höher ausgeführt wird, den modernen Standbymodus (auch als Instant Go bezeichnet) unterstützt und HSTI-kompatibel ist, löst das Verbinden des Geräts mit Microsoft Entra ID die automatische Geräteverschlüsselung aus. Eine separate Endpoint Protection-Richtlinie ist nicht erforderlich, um die Geräteverschlüsselung zu erzwingen.

Wenn das Gerät HSTI-kompatibel ist, aber den modernen Standbymodus nicht unterstützt, muss eine Endpoint Protection-Richtlinie konfiguriert werden, um die automatische BitLocker-Laufwerkverschlüsselung zu erzwingen. Die Einstellungen für diese Richtlinie sollten den folgenden Einstellungen ähneln:

Screenshot der Intune Richtlinieneinstellungen mit erforderlichem Verschlüsseln von Geräten.

Die OMA-URI-Verweise für diese Einstellungen sind wie folgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Werttyp: Integer
    Wert: 1 (1 = Erforderlich, 0 = Nicht konfiguriert)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Werttyp: Integer
    Wert: 0 (0 = Blockiert, 1 = Zulässig)

Hinweis

Aufgrund einer Aktualisierung des BitLocker-Richtlinien-CSP kann, wenn das Gerät Windows 10 Version 1809 oder höher verwendet, eine Endpoint Protection-Richtlinie verwendet werden, um die automatische BitLocker-Geräteverschlüsselung auch dann zu erzwingen, wenn das Gerät nicht HSTI-kompatibel ist.

Hinweis

Wenn die Einstellung Warnung für andere Datenträgerverschlüsselung auf Nicht konfiguriert festgelegt ist, muss der Assistent für die BitLocker-Laufwerkverschlüsselung manuell gestartet werden.

Wenn das Gerät den modernen Standbymodus nicht unterstützt, aber HSTI-kompatibel ist und eine frühere Windows-Version als Windows 10 Version 1803 verwendet, übermittelt eine Endpoint Protection-Richtlinie mit den in diesem Artikel beschriebenen Einstellungen die Richtlinienkonfiguration an das Gerät. Windows benachrichtigt den Benutzer dann jedoch, die BitLocker-Laufwerkverschlüsselung manuell zu aktivieren. Wenn der Benutzer die Benachrichtigung auswählt, wird der Assistent für die BitLocker-Laufwerkverschlüsselung gestartet.

Intune stellt Einstellungen bereit, die zum Konfigurieren der automatischen Geräteverschlüsselung für Autopilot-Geräte für Standardbenutzer verwendet werden können. Jedes Gerät muss die folgenden Anforderungen erfüllen:

  • HSTI-konform sein
  • Unterstützung des modernen Standbymodus
  • Verwenden Windows 10 Version 1803 oder höher

Screenshot der Intune-Richtlinieneinstellung, die Standardbenutzern das Aktivieren der Verschlüsselung während Microsoft Entra Join erlauben zeigt.

Die OMA-URI-Verweise für diese Einstellungen sind wie folgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Werttyp: Ganzzahliger Wert: 1

Hinweis

Dieser Knoten arbeitet mit den Knoten RequireDeviceEncryption und AllowWarningForOtherDiskEncryption zusammen. Aus diesem Grund werden die folgenden Einstellungen festgelegt:

  • RequireDeviceEncryption auf 1
  • AllowStandardUserEncryption auf 1
  • AllowWarningForOtherDiskEncryption auf 0

Intune erzwingt die automatische BitLocker-Verschlüsselung für Autopilot-Geräte mit Standardbenutzerprofilen.

Überprüfen, ob BitLocker ordnungsgemäß funktioniert

Während des regulären Betriebs generiert die BitLocker-Laufwerkverschlüsselung Ereignisse wie die Ereignis-ID 796 und die Ereignis-ID 845.

Screenshot der Ereignis-ID 796 mit detaillierten Informationen.

Screenshot der Ereignis-ID 845 mit detaillierten Informationen.

Es kann auch ermittelt werden, ob das BitLocker-Wiederherstellungskennwort in Microsoft Entra ID hochgeladen wurde, indem Sie die Gerätedetails im Abschnitt Microsoft Entra Geräte überprüfen.

Screenshot der BitLocker-Wiederherstellungsinformationen, wie in Microsoft Entra ID angezeigt.

Überprüfen Sie auf dem Gerät die Registrierungs-Editor, um die Richtlinieneinstellungen auf dem Gerät zu überprüfen. Überprüfen Sie die Einträge unter den folgenden Unterschlüsseln:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Screenshot der Registrierungsunterschlüssel, die sich auf Intune Richtlinie beziehen.