Delen via

Problemen met BitLocker-beleid oplossen vanaf de clientzijde

  • Artikel

Dit artikel bevat richtlijnen voor het oplossen van problemen met BitLocker-versleuteling aan de clientzijde. Hoewel het Microsoft Intune versleutelingsrapport u kan helpen bij het identificeren en oplossen van veelvoorkomende versleutelingsproblemen, worden sommige statusgegevens van de BitLocker-configuratieserviceprovider (CSP) mogelijk niet gerapporteerd. In deze scenario's moet u toegang krijgen tot het apparaat om dit verder te onderzoeken.

BitLocker-versleutelingsproces

In de volgende stappen wordt de stroom van gebeurtenissen beschreven die moet resulteren in een geslaagde versleuteling van een Windows 10 apparaat dat niet eerder is versleuteld met BitLocker.

  1. Een beheerder configureert een BitLocker-beleid in Intune met de gewenste instellingen en richt zich op een gebruikersgroep of apparaatgroep.
  2. Het beleid wordt opgeslagen in een tenant in de Intune-service.
  3. Een Windows 10 Mobile Apparaatbeheer-client (MDM) synchroniseert met de Intune-service en verwerkt de BitLocker-beleidsinstellingen.
  4. De geplande taak BitLocker MDM-beleid vernieuwen wordt uitgevoerd op het apparaat dat de BitLocker-beleidsinstellingen repliceert naar de registersleutel FVE (Full Volume Encryption).
  5. BitLocker-versleuteling wordt gestart op de stations.

In het versleutelingsrapport worden de details van de versleutelingsstatus weergegeven voor elk doelapparaat in Intune. Zie Problemen met BitLocker oplossen met het rapport Intune versleuteling voor gedetailleerde richtlijnen over het gebruik van deze informatie voor probleemoplossing.

Een handmatige synchronisatie starten

Als u hebt vastgesteld dat het versleutelingsrapport geen bruikbare informatie bevat, moet u gegevens van het betrokken apparaat verzamelen om het onderzoek te voltooien.

Zodra u toegang hebt tot het apparaat, moet u eerst handmatig een synchronisatie met de Intune-service starten voordat u de gegevens verzamelt. Selecteer op uw Windows-apparaat Instellingen>Accounts>Toegang tot werk of school><Selecteer uw werk- of schoolaccountGegevens>>. Selecteer vervolgens onder Synchronisatiestatus apparaat de optie Synchroniseren.

Nadat de synchronisatie is voltooid, gaat u verder met de volgende secties.

Gebeurtenislogboekgegevens verzamelen

In de volgende secties wordt uitgelegd hoe u gegevens uit verschillende logboeken verzamelt om problemen met de versleutelingsstatus en -beleidsregels op te lossen. Zorg ervoor dat u een handmatige synchronisatie voltooit voordat u logboekgegevens verzamelt.

Gebeurtenislogboek van MDM-agent (Mobile Device Management)

Het MDM-gebeurtenislogboek is handig om te bepalen of er een probleem is opgetreden bij het verwerken van het Intune-beleid of het toepassen van CSP-instellingen. De OMA DM-agent maakt verbinding met de Intune-service en probeert het beleid te verwerken dat is gericht op de gebruiker of het apparaat. In dit logboek worden geslaagde en mislukte verwerking van Intune beleid weergegeven.

Verzamel of controleer de volgende informatie:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider admin

  • Locatie: klik met de rechtermuisknop op startmenu>Logboeken>Toepassingen en servicelogboeken>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider>Beheer
  • Bestandssysteemlocatie: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Als u dit logboek wilt filteren, klikt u met de rechtermuisknop op het gebeurtenislogboek en selecteert u Huidig logboek>kritiek/fout/waarschuwing filteren. Zoek vervolgens in de gefilterde logboeken naar BitLocker (druk op F3 en voer de tekst in).

Fouten in BitLocker-instellingen volgen de indeling van de BitLocker-CSP, dus u ziet vermeldingen als deze:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

of

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Opmerking

U kunt ook logboekregistratie voor foutopsporing inschakelen voor dit gebeurtenislogboek met behulp van de Logboeken voor probleemoplossing.

Gebeurtenislogboek voor BitLocker-API-beheer

Dit is het belangrijkste gebeurtenislogboek voor BitLocker. Als de MDM-agent het beleid heeft verwerkt en er geen fouten zijn in het gebeurtenislogboek DeviceManagement-Enterprise-Diagnostics-Provider, is dit het volgende logboek dat moet worden onderzocht.

LOG>BitLocker-API-beheer

  • Locatie: Klik met de rechtermuisknop op startmenu>Logboeken>Toepassingen en servicelogboeken>Microsoft>Windows>BitLocker-API
  • Bestandssysteemlocatie: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

Fouten worden hier meestal geregistreerd als er hardware- of softwarevereisten ontbreken die voor het beleid zijn vereist, zoals Trusted Platform Module (TPM) of Windows Recovery Environment (WinRE).

Fout: Kan Stille versleuteling niet inschakelen

Zoals in het volgende voorbeeld wordt weergegeven, worden conflicterende beleidsinstellingen die niet kunnen worden geïmplementeerd tijdens versleuteling op de achtergrond en manifest als groepsbeleidsconflicten ook vastgelegd:

Kan Stille versleuteling niet inschakelen.

Fout: BitLocker-versleuteling kan niet worden toegepast op dit station vanwege conflicterende groepsbeleid-instellingen. Wanneer schrijftoegang tot stations die niet door BitLocker worden beveiligd, wordt geweigerd, kan het gebruik van een USB-opstartsleutel niet worden vereist. Laat uw systeembeheerder deze beleidsconflicten oplossen voordat u BitLocker inschakelt.

Oplossing: Configureer de compatibele TPM-opstartpincode op Geblokkeerd. Hiermee worden conflicterende groepsbeleid instellingen opgelost bij het gebruik van stille versleuteling.

U moet de pincode en TPM-opstartsleutel instellen op Geblokkeerd als versleuteling op de achtergrond is vereist. Als u de tpm-opstartpincode en opstartsleutel configureert op Toegestaan en andere opstartsleutel en pincode op Geblokkeerd voor gebruikersinteractie, resulteert dit in een conflicterende groepsbeleid fout in het BitLocker-AP-gebeurtenislogboek. Als u een TPM-opstartpincode of opstartsleutel configureert om gebruikersinteractie te vereisen, mislukt de versleuteling op de achtergrond.

Als u een van de compatibele TPM-instellingen configureert op Vereist , mislukt de versleuteling op de achtergrond.

BitLocker-instellingen voor besturingssysteemstation met compatibele TPM-opstartinstellingen ingesteld op Vereist.

Fout: TPM niet beschikbaar

Een andere veelvoorkomende fout in het BitLocker-API-logboek is dat de TPM niet beschikbaar is. In het volgende voorbeeld ziet u dat TPM een vereiste is voor versleuteling op de achtergrond:

Kan Stille versleuteling niet inschakelen. TPM is niet beschikbaar.

Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) kan niet worden gevonden op deze computer.

Oplossing: Zorg ervoor dat er een TPM beschikbaar is op het apparaat en als deze aanwezig is, controleert u de status via TPM.msc of de PowerShell-cmdlet get-tpm.

Fout: Un-Allowed DMA-compatibele bus

Als in het BitLocker-API-logboek de volgende status wordt weergegeven, betekent dit dat Windows een gekoppeld apparaat met directe geheugentoegang (DMA) heeft gedetecteerd dat een DMA-bedreiging kan blootstellen.

Un-Allowed DMA-compatibele bus/apparaat(en) gedetecteerd

Oplossing: Als u dit probleem wilt oplossen, controleert u eerst of het apparaat geen externe DMA-poorten heeft met de OEM (Original Equipment Manufacturer). Volg vervolgens deze stappen om het apparaat toe te voegen aan de lijst met toegestane apparaten. Opmerking: voeg alleen een DMA-apparaat toe aan de lijst met toegestane apparaten als het een interne DMA-interface/-bus is.

Systeem gebeurtenislogboek

Als u hardwaregerelateerde problemen hebt, zoals problemen met de TPM, worden er fouten weergegeven in het systeemgebeurtenislogboek voor TPM uit de TPMProvisioningService- of TPM-WMI-bron.

LOG>Systeem gebeurtenis

  • Locatie: Klik met de rechtermuisknop op startmenu>Logboeken>Windows-logboekensysteem>
  • Bestandssysteemlocatie: C:\Windows\System32\winevt\Logs\System.evtx

Filtereigenschappen voor het gebeurtenislogboek systeem.

Filter op deze gebeurtenisbronnen om hardwaregerelateerde problemen te identificeren die het apparaat mogelijk ondervindt met de TPM en neem contact op met de OEM-fabrikant of er firmware-updates beschikbaar zijn.

Operationeel gebeurtenislogboek taakplanner

Het operationele gebeurtenislogboek van task scheduler is handig voor probleemoplossingsscenario's waarbij het beleid is ontvangen van Intune (is verwerkt in DeviceManagement-Enterprise), maar BitLocker-versleuteling niet is gestart. Het vernieuwen van het Mdm-beleid van BitLocker is een geplande taak die moet worden uitgevoerd wanneer de MDM-agent wordt gesynchroniseerd met de Intune-service.

Schakel het operationele logboek in en voer het uit in de volgende scenario's:

  • Het BitLocker-beleid wordt weergegeven in het gebeurtenislogboek DeviceManagement-Enterprise-Diagnostics-Provider, in MDM-diagnostische gegevens en het register.
  • Er zijn geen fouten (het beleid is opgehaald uit Intune).
  • Er wordt niets vastgelegd in het Gebeurtenislogboek van de BitLocker-API om aan te geven dat er zelfs maar een versleutelingspoging is uitgevoerd.

LOG>Operationele taakplanner-gebeurtenis

  • Locatie: Logboeken>Applications and Service Logs>Microsoft>Windows>TaskScheduler
  • Bestandssysteemlocatie: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Het operationele gebeurtenislogboek inschakelen en uitvoeren

Belangrijk

U moet dit gebeurtenislogboek handmatig inschakelen voordat u gegevens gaat registreren, omdat in het logboek eventuele problemen worden geïdentificeerd bij het uitvoeren van de geplande taak Voor het vernieuwen van het BitLocker MDM-beleid.

  1. Als u dit logboek wilt inschakelen, klikt u met de rechtermuisknop op Startmenu>Logboeken>Toepassingen en services>Microsoft>Windows>TaskScheduler>Operational.

    Schermopname van de TaskScheduler - Operationele logboeken.

  2. Voer vervolgens taakplanner in het zoekvak van Windows in en selecteer Taakplanner>Microsoft>Windows>BitLocker. Klik met de rechtermuisknop op BitLocker MDM-beleid vernieuwen en kies Uitvoeren.

  3. Wanneer de uitvoering is voltooid, controleert u de kolom Resultaat van laatste uitvoering op foutcodes en controleert u het gebeurtenislogboek van de taakplanning op fouten.

    Voorbeeldschermopname van BitLocker-taken in Task Scheduler.

    In het bovenstaande voorbeeld is 0x0 uitgevoerd. De fout 0x41303 dit betekent dat de taak nog nooit eerder is uitgevoerd.

Opmerking

Zie Task Scheduler-fout en succesconstanten voor meer informatie over task scheduler-foutberichten.

BitLocker-instellingen controleren

In de volgende secties worden de verschillende hulpprogramma's uitgelegd die u kunt gebruiken om uw versleutelingsinstellingen en -status te controleren.

MDM-diagnoserapport

U kunt een rapport met MDM-logboeken maken om registratie- of apparaatbeheerproblemen te diagnosticeren in Windows 10 apparaten die worden beheerd door Intune. Het diagnostische MDM-rapport bevat nuttige informatie over een Intune ingeschreven apparaat en het beleid dat erop is geïmplementeerd.

Zie voor een zelfstudie van dit proces de YouTube-video Een Intune MDM-diagnostisch rapport maken op Windows-apparaten

  • Bestandssysteemlocatie: C:\Users\Public\Documents\MDMDiagnostics

Build en editie van het besturingssysteem

De eerste stap bij het begrijpen waarom uw versleutelingsbeleid niet correct wordt toegepast, is controleren of de versie en editie van het Windows-besturingssysteem de instellingen ondersteunen die u hebt geconfigureerd. Sommige CSP's zijn geïntroduceerd in specifieke versies van Windows en werken alleen op een bepaalde editie. Het grootste deel van de BitLocker CSP-instellingen is bijvoorbeeld geïntroduceerd in Windows 10 versie 1703, maar deze instellingen werden pas ondersteund op Windows 10 Pro totdat Windows 10 versie 1809.

Daarnaast zijn er instellingen zoals AllowStandardUserEncryption (toegevoegd in versie 1809), ConfigureRecoveryPasswordRotation (toegevoegd in versie 1909), RotateRecoveryPasswords (toegevoegd in versie 1909) en Status (toegevoegd in versie 1903).

Onderzoeken met de EntDMID

De EntDMID is een unieke apparaat-id voor Intune inschrijving. In het Microsoft Intune-beheercentrum kunt u de EntDMID gebruiken om de weergave Alle apparaten te doorzoeken en een specifiek apparaat te identificeren. Het is ook een cruciaal stukje informatie voor Microsoft-ondersteuning om verdere probleemoplossing aan de servicezijde mogelijk te maken als een ondersteuningsaanvraag is vereist.

U kunt ook het diagnostische MDM-rapport gebruiken om te bepalen of een beleid naar het apparaat is verzonden met de instellingen die de beheerder heeft geconfigureerd. Door de BitLocker-CSP als referentie te gebruiken, kunt u ontcijferen welke instellingen zijn opgehaald bij het synchroniseren met de Intune-service. U kunt het rapport gebruiken om te bepalen of het beleid is gericht op het apparaat en de BitLocker CSP-documentatie gebruiken om te bepalen welke instellingen zijn geconfigureerd.

MSINFO32

MSINFO32 is een informatiehulpprogramma dat apparaatgegevens bevat die u kunt gebruiken om te bepalen of een apparaat voldoet aan de BitLocker-vereisten. De vereiste vereisten zijn afhankelijk van de BitLocker-beleidsinstellingen en het vereiste resultaat. Voor stille versleuteling voor TPM 2.0 is bijvoorbeeld een TPM en UEFI (Unified Extensible Firmware Interface) vereist.

  • Locatie: voer in het zoekvak msinfo32 in, klik met de rechtermuisknop op Systeemgegevens in de zoekresultaten en selecteer Als administrator uitvoeren.
  • Bestandssysteemlocatie: C:\Windows\System32\Msinfo32.exe.

Als dit item echter niet voldoet aan de vereisten, betekent dit niet noodzakelijkerwijs dat u het apparaat niet kunt versleutelen met behulp van een Intune-beleid.

  • Als u het BitLocker-beleid hebt geconfigureerd om op de achtergrond te versleutelen en het apparaat TPM 2.0 gebruikt, is het belangrijk om te controleren of de BIOS-modus UEFI is. Als de TPM 1.2 is, is het niet nodig om de BIOS-modus in UEFI te hebben.
  • Beveiligd opstarten, DMA-beveiliging en PCR7-configuratie zijn niet vereist voor versleuteling op de achtergrond, maar zijn mogelijk gemarkeerd in Ondersteuning voor apparaatversleuteling. Dit is om ondersteuning voor automatische versleuteling te garanderen.
  • BitLocker-beleid dat is geconfigureerd om geen TPM te vereisen en gebruikersinteractie te hebben in plaats van op de achtergrond te versleutelen, heeft ook geen vereisten voor het inchecken van MSINFO32.

TPM. MSC-bestand

TPM.msc is een MMC-modulebestand (Microsoft Management Console). U kunt TPM.msc gebruiken om te bepalen of uw apparaat een TPM heeft, om de versie te bepalen en of deze gereed is voor gebruik.

  • Locatie: typ tpm.msc in het zoekvak, klik met de rechtermuisknop en selecteer Als administrator uitvoeren.
  • Bestandssysteemlocatie: MMC-module C:\Windows\System32\mmc.exe.

TPM is geen vereiste voor BitLocker, maar wordt sterk aanbevolen vanwege de verhoogde beveiliging die het biedt. TPM is echter vereist voor stille en automatische versleuteling. Als u op de achtergrond probeert te versleutelen met Intune en er TPM-fouten in de BitLocker-API- en systeemgebeurtenislogboeken staan, helpt TPM.msc u het probleem te begrijpen.

In het volgende voorbeeld ziet u de TPM 2.0-status in orde. Let op de specificatieversie 2.0 rechtsonder en dat de status gereed is voor gebruik.

Voorbeeldschermopname van een goede TPM 2.0-status in de console Trusted Platform Module.

In dit voorbeeld ziet u een beschadigde status wanneer de TPM is uitgeschakeld in het BIOS:

Voorbeeldschermopname van een beschadigde TPM 2.0-status in de console Trusted Platform Module.

Het configureren van een beleid om een TPM te vereisen en te verwachten dat BitLocker wordt versleuteld wanneer de TPM ontbreekt of beschadigd is, is een van de meest voorkomende problemen.

cmdlet Get-Tpm

Een cmdlet is een lichtgewicht opdracht in de Windows PowerShell omgeving. Naast het uitvoeren van TPM.msc kunt u de TPM controleren met behulp van de cmdlet Get-Tpm. U moet deze cmdlet uitvoeren met beheerdersrechten.

  • Locatie: voer in het zoekvak cmd in, klik met de rechtermuisknop en selecteer Uitvoeren als administrator>PowerShell>get-tpm.

Voorbeeldschermopname van een actieve TPM in een PowerShell-venster.

In het bovenstaande voorbeeld ziet u dat de TPM aanwezig en actief is in het PowerShell-venster. De waarden zijn gelijk aan Waar. Als de waarden zijn ingesteld op Onwaar, duidt dit op een probleem met de TPM. BitLocker kan de TPM pas gebruiken als deze aanwezig, gereed, ingeschakeld, geactiveerd en eigendom is.

Opdrachtregelprogramma Beheren-bde

Manage-bde is een bitLocker-opdrachtregelprogramma voor versleuteling dat is opgenomen in Windows. Het is ontworpen om te helpen bij het beheer nadat BitLocker is ingeschakeld.

  • Locatie: voer in het zoekvak cmd in, klik met de rechtermuisknop en selecteer Uitvoeren als beheerder en voer vervolgens manage-bde -status in.
  • Bestandssysteemlocatie: C:\Windows\System32\manage-bde.exe.

Voorbeeldschermopname van de opdracht manage-bde.exe in een opdrachtpromptvenster.

U kunt manage-bde gebruiken om de volgende informatie over een apparaat te detecteren:

  • Is het versleuteld? Als rapportage in het Microsoft Intune-beheercentrum aangeeft dat een apparaat niet is versleuteld, kan dit opdrachtregelprogramma de versleutelingsstatus identificeren.
  • Welke versleutelingsmethode is gebruikt? U kunt informatie uit het hulpprogramma vergelijken met de versleutelingsmethode in het beleid om ervoor te zorgen dat deze overeenkomen. Als het Intune-beleid bijvoorbeeld is geconfigureerd naar XTS-AES 256-bits en het apparaat is versleuteld met XTS-AES 128-bits, resulteert dit in fouten in Microsoft Intune beleidsrapportage van het beheercentrum.
  • Welke specifieke beschermers worden gebruikt? Er zijn verschillende combinaties van beschermers. Als u weet welke beveiliging op een apparaat wordt gebruikt, kunt u beter begrijpen of het beleid correct is toegepast.

In het volgende voorbeeld is het apparaat niet versleuteld:

Voorbeeldschermopname van een apparaat dat niet is versleuteld met BitLocker.

BitLocker-registerlocaties

Dit is de eerste plaats in het register om te kijken wanneer u de beleidsinstellingen wilt ontcijferen die zijn opgehaald door Intune:

  • Locatie: klik met de rechtermuisknop op Start>Uitvoeren en voer regedit in om de register-Editor te openen.
  • Standaardlocatie van bestandssysteem: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

De registersleutel van de MDM-agent helpt u bij het identificeren van de GUID (Globally Unique Identifier) in PolicyManager die de werkelijke BitLocker-beleidsinstellingen bevat.

BitLocker-registerlocatie in het register Editor.

De GUID is gemarkeerd in het bovenstaande voorbeeld. U kunt de GUID (deze is voor elke tenant anders) opnemen in de volgende registersubsleutel om problemen met BitLocker-beleidsinstellingen op te lossen:

<Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\ProvidersGUID>\default\Device\BitLocker

Schermopname van de register-Editor met de BitLocker-beleidsinstellingen die zijn geconfigureerd door de MDM-agent

Dit rapport bevat de BitLocker-beleidsinstellingen die zijn opgehaald door de MDM-agent (OMADM-client). Dit zijn dezelfde instellingen die u ziet in het mdm-diagnostische rapport, dus dit is een alternatieve manier om instellingen te identificeren die de client heeft opgehaald.

Voorbeeld van registersleutel EncryptionMethodByDriveType :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Voorbeeld van SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker-registersleutel

De instellingen in de registersleutel van de beleidsprovider worden gedupliceerd in de hoofdregistersleutel van BitLocker. U kunt de instellingen vergelijken om ervoor te zorgen dat ze overeenkomen met wat wordt weergegeven in de beleidsinstellingen in de gebruikersinterface (UI), HET MDM-logboek, MDM-diagnostische gegevens en de beleidsregistersleutel.

  • Locatie van registersleutel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Dit is een voorbeeld van de FVE-registersleutel:

Schermopname van de BitLocker-registersleutels in het register Editor.

  • A: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv en EncryptionMethodWithXtsRdv hebben de volgende mogelijke waarden:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN zijn allemaal ingesteld op 2, wat betekent dat ze allemaal zijn ingesteld op toestaan.
  • C: U ziet dat de meeste sleutels zijn onderverdeeld in groepen instellingen voor het besturingssysteemstation (OS), vaste schijf (FDV) en verwisselbaar station (FDVR).
  • D: OSActiveDirectoryBackup heeft de waarde 1 en is ingeschakeld.
  • E: OSHideRecoveryPage is gelijk aan 0 en niet ingeschakeld.

Gebruik de Documentatie voor BitLocker CSP om alle instellingsnamen in het register te decoderen.

opdrachtregelprogramma REAgentC.exe

REAgentC.exe is een uitvoerbaar opdrachtregelprogramma dat u kunt gebruiken om de Windows-herstelomgeving (Windows RE) te configureren. WinRE is een vereiste voor het inschakelen van BitLocker in bepaalde scenario's, zoals stille of automatische versleuteling.

  • Locatie: klik met de rechtermuisknop op Start>Run en voer cmd in. Klik vervolgens met de rechtermuisknop op cmd en selecteer Uitvoeren alsadministrator-reagentc> /info.
  • Bestandssysteemlocatie: C:\Windows\System32\ReAgentC.exe.

Tip

Als u in de BitLocker-API foutberichten ziet dat WinRe niet is ingeschakeld, voert u de opdracht reagentc /info uit op het apparaat om de WinRE-status te bepalen.

Uitvoer van de opdracht ReAgentC.exe in opdrachtprompt.

Als de WinRE-status is uitgeschakeld, voert u de opdracht reagentc /enable uit als beheerder om deze handmatig in te schakelen:

Voorbeeldschermopname van het inschakelen van ReAgentC.exe in de opdrachtprompt. Voer de opdracht reagentc /enable uit

Samenvatting

Wanneer BitLocker niet kan worden ingeschakeld op een Windows 10 apparaat met behulp van een Intune-beleid, zijn de hardware- of softwarevereisten in de meeste gevallen niet aanwezig. Als u het BitLocker-API-logboek bekijkt, kunt u bepalen aan welke vereiste niet wordt voldaan. De meest voorkomende problemen zijn:

  • TPM is niet aanwezig
  • WinRE is niet ingeschakeld
  • UEFI BIOS is niet ingeschakeld voor TPM 2.0-apparaten

Onjuiste configuratie van beleid kan ook leiden tot versleutelingsfouten. Niet alle Windows-apparaten kunnen op de achtergrond worden versleuteld, dus denk na over de gebruikers en apparaten waarop u zich richt.

Het configureren van een opstartsleutel of pincode voor een beleid dat is bedoeld voor versleuteling op de achtergrond werkt niet vanwege de gebruikersinteractie die is vereist bij het inschakelen van BitLocker. Houd hier rekening mee bij het configureren van het BitLocker-beleid in Intune.

Controleer of de beleidsinstellingen zijn opgehaald door het apparaat om te bepalen of de targeting is geslaagd.

Het is mogelijk om de beleidsinstellingen te identificeren met behulp van MDM-diagnostische gegevens, registersleutels en het bedrijfsgebeurtenislogboek voor apparaatbeheer om te controleren of de instellingen zijn toegepast. De BitLocker CSP-documentatie kan u helpen deze instellingen te ontcijferen om te begrijpen of ze overeenkomen met wat is geconfigureerd in het beleid.