BitLocker-beleid afdwingen met behulp van Intune: bekende problemen
Dit artikel helpt bij het oplossen van problemen die kunnen optreden als u Microsoft Intune-beleid gebruikt om BitLocker-versleuteling op de achtergrond te beheren op apparaten. De Intune portal geeft aan of BitLocker een of meer beheerde apparaten niet kan versleutelen.
Als u de oorzaak van het probleem wilt beperken, raadpleegt u de gebeurtenislogboeken zoals beschreven in Problemen met BitLocker oplossen. Concentreer u op de logboeken beheer en bewerkingen in de mapMicrosoft>Windows>BitLocker-API in de logboeken> toepassingen en services. In de volgende secties vindt u meer informatie over het oplossen van de aangegeven gebeurtenissen en foutberichten:
- Gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer
- Gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer
- Gebeurtenis-id 854: WinRE is niet geconfigureerd
- Gebeurtenis-id 851: Neem contact op met de fabrikant voor een BIOS-upgrade
- Foutbericht: De UEFI-variabele 'SecureBoot' kan niet worden gelezen
- Gebeurtenis-id 846, 778 en 851: fout 0x80072f9a
- Foutbericht: Er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations
Als er geen duidelijk spoor van gebeurtenissen of foutberichten te volgen is, kunt u ook de volgende gebieden onderzoeken:
- Bekijk de hardwarevereisten voor het gebruik van Intune voor het beheren van BitLocker op apparaten
- Configuratie van BitLocker-beleid controleren
Zie Controleren of BitLocker correct werkt voor meer informatie over de procedure om te controleren of Intune beleid BitLocker correct afdwingt.
Gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer
Gebeurtenis-id 853 kan verschillende foutberichten bevatten, afhankelijk van de context. In dit geval geeft het foutbericht gebeurtenis-id 853 aan dat het apparaat geen TPM lijkt te hebben. De gebeurtenisgegevens zijn vergelijkbaar met de volgende gebeurtenis:
Oorzaak van gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer
Het apparaat dat wordt beveiligd, heeft mogelijk geen TPM-chip of het BIOS van het apparaat is geconfigureerd om de TPM uit te schakelen.
Oplossing voor gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer
Controleer de volgende configuraties om dit probleem op te lossen:
- De TPM is ingeschakeld in het BIOS van het apparaat.
- De TPM-status in de TPM-beheerconsole is vergelijkbaar met de volgende statussen:
- Gereed (TPM 2.0)
- Geïnitialiseerd (TPM 1.2)
Zie Problemen met de TPM oplossen voor meer informatie.
Gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer
In dit geval wordt gebeurtenis-id 853 weergegeven en geeft het foutbericht in de gebeurtenis aan dat opstartbare media beschikbaar zijn voor het apparaat. De gebeurtenisgegevens zien er ongeveer als volgt uit.
Oorzaak van gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer
Tijdens het inrichtingsproces registreert BitLocker-stationsversleuteling de configuratie van het apparaat om een basislijn tot stand te brengen. Als de apparaatconfiguratie later wordt gewijzigd (bijvoorbeeld als de media wordt verwijderd), wordt de BitLocker-herstelmodus automatisch gestart.
Om deze situatie te voorkomen, stopt het inrichtingsproces als er een verwisselbaar opstartbaar medium wordt gedetecteerd.
Oplossing voor gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer
Verwijder het opstartbare medium en start het apparaat opnieuw op. Nadat het apparaat opnieuw is opgestart, controleert u de versleutelingsstatus.
Gebeurtenis-id 854: WinRE is niet geconfigureerd
De gebeurtenisgegevens lijken op het volgende foutbericht:
Kan Stille versleuteling niet inschakelen. WinRe is niet geconfigureerd.
Fout: deze pc biedt geen ondersteuning voor apparaatversleuteling omdat WinRE niet goed is geconfigureerd.
Oorzaak van gebeurtenis-id 854: WinRE is niet geconfigureerd
Windows Recovery Environment (WinRE) is een minimaal Windows-besturingssysteem dat is gebaseerd op Windows Preinstallation Environment (Windows PE). WinRE bevat verschillende hulpprogramma's die een beheerder kan gebruiken om Windows te herstellen of opnieuw in te stellen en Windows-problemen te diagnosticeren. Als een apparaat het normale Windows-besturingssysteem niet kan starten, probeert het apparaat WinRE te starten.
Het inrichtingsproces maakt BitLocker-stationsversleuteling mogelijk op het besturingssysteemstation tijdens de Windows PE-fase van de inrichting. Deze actie zorgt ervoor dat het station wordt beveiligd voordat het volledige besturingssysteem wordt geïnstalleerd. Tijdens het inrichtingsproces wordt ook een systeempartitie gemaakt die WinRE kan gebruiken als het systeem vastloopt.
Als WinRE niet beschikbaar is op het apparaat, stopt het inrichten.
Oplossing voor gebeurtenis-id 854: WinRE is niet geconfigureerd
Dit probleem kan worden opgelost door de configuratie van de schijfpartities, de status van WinRE en de configuratie van het Windows-opstartlaadprogramma te controleren door de volgende stappen uit te voeren:
Stap 1: de configuratie van de schijfpartities controleren
De procedures die in deze sectie worden beschreven, zijn afhankelijk van de standaardschijfpartities die Windows tijdens de installatie configureert. Windows 11 en Windows 10 automatisch een herstelpartitie maken die het bestand Winre.wim bevat. De partitieconfiguratie ziet er ongeveer als volgt uit.
Als u de configuratie van de schijfpartities wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdrachten uit:
diskpart.exe
list volume
Als de status van een van de volumes niet in orde is of als de herstelpartitie ontbreekt, moet Windows mogelijk opnieuw worden geïnstalleerd. Voordat u Windows opnieuw installeert, controleert u de configuratie van de Windows-installatiekopieën die wordt ingericht. Zorg ervoor dat de installatiekopieën de juiste schijfconfiguratie gebruiken. De installatiekopieën moeten er ongeveer als volgt uitzien (dit voorbeeld is afkomstig uit Microsoft Configuration Manager):
Stap 2: De status van WinRE controleren
Als u de status van WinRE op het apparaat wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:
reagentc.exe /info
De uitvoer van deze opdracht ziet er ongeveer als volgt uit.
Als de status Windows RE niet Is ingeschakeld, voert u de volgende opdracht uit om deze in te schakelen:
reagentc.exe /enable
Stap 3: De configuratie van het Windows-opstartlaadprogramma controleren
Als de partitiestatus in orde is, maar de opdrachtreagentc.exe /enable resulteert in een fout, controleert u of het Windows Boot Loader de herstelreeks-GUID bevat door de volgende opdracht uit te voeren in een opdrachtpromptvenster met verhoogde bevoegdheid:
bcdedit.exe /enum all
De uitvoer van deze opdracht is vergelijkbaar met de volgende uitvoer:
Zoek in de uitvoer de sectie Windows Boot Loader met de regel-id={current}. Zoek in die sectie het kenmerk recoverysequence . De waarde van dit kenmerk moet een GUID-waarde zijn, niet een tekenreeks van nullen.
Gebeurtenis-id 851: Neem contact op met de fabrikant voor bios-upgrade-instructies
De gebeurtenisgegevens zijn vergelijkbaar met het volgende foutbericht:
Kan Stille versleuteling niet inschakelen.
Fout: BitLocker-stationsversleuteling kan niet worden ingeschakeld op het besturingssysteemstation. Neem contact op met de fabrikant van de computer voor bios-upgrade-instructies.
Oorzaak van gebeurtenis-id 851: Neem contact op met de fabrikant voor bios-upgrade-instructies
Het apparaat moet een UEFI-BIOS (Unified Extensible Firmware Interface) hebben. Stille BitLocker-stationsversleuteling biedt geen ondersteuning voor verouderde BIOS.
Oplossing voor gebeurtenis-id 851: neem contact op met de fabrikant voor bios-upgrade-instructies
Als u de BIOS-modus wilt controleren, gebruikt u de toepassing Systeeminformatie door de volgende stappen uit te voeren:
Selecteer Start en voer msinfo32 in het vak Zoeken in.
Controleer of de instelling van de BIOS-modusUEFI is en niet verouderd.
Als de instelling BIOS-modusVerouderd is, moet de UEFI-firmware worden overgeschakeld naar de UEFI- of EFI-modus . De stappen voor het overschakelen naar de UEFI- of EFI-modus zijn specifiek voor het apparaat.
Opmerking
Als het apparaat alleen de verouderde modus ondersteunt, kan Intune niet worden gebruikt voor het beheren van BitLocker-apparaatversleuteling op het apparaat.
Foutbericht: De UEFI-variabele 'SecureBoot' kan niet worden gelezen
Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:
Fout: BitLocker kan Beveiligd opstarten niet gebruiken voor integriteit omdat de UEFI-variabele 'SecureBoot' niet kan worden gelezen. De client beschikt niet over een vereiste bevoegdheid.
Oorzaak van foutbericht: de UEFI-variabele 'SecureBoot' kan niet worden gelezen
Een platformconfiguratieregister (PCR) is een geheugenlocatie in de TPM. Pcr 7 meet met name de status van veilig opstarten. Stille BitLocker-stationsversleuteling vereist dat beveiligd opstarten is ingeschakeld.
Oplossing voor foutbericht: de UEFI-variabele 'SecureBoot' kan niet worden gelezen
Dit probleem kan worden opgelost door het PCR-validatieprofiel van de TPM en de status van beveiligd opstarten te controleren door de volgende stappen uit te voeren:
Stap 1: het PCR-validatieprofiel van de TPM controleren
Als u wilt controleren of PCR 7 wordt gebruikt, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:
Manage-bde.exe -protectors -get %systemdrive%
Controleer in de sectie TPM van de uitvoer van deze opdracht of de instelling PCR-validatieprofiel7 bevat, als volgt:
Als PCR-validatieprofiel geen 7 bevat (de waarden zijn bijvoorbeeld 0, 2, 4 en 11, maar niet 7), is beveiligd opstarten niet ingeschakeld.
2: De status van beveiligd opstarten controleren
Als u de status van beveiligd opstarten wilt controleren, gebruikt u de toepassing Systeeminformatie door de volgende stappen uit te voeren:
Selecteer Start en voer msinfo32 in het vak Zoeken in.
Controleer als volgt of de instelling Status van beveiligd opstartenaan is:
Als de instelling Status van beveiligd opstartenniet wordt ondersteund, kan Stille BitLocker-versleuteling niet worden gebruikt op het apparaat.
Opmerking
De PowerShell-cmdlet Confirm-SecureBootUEFI kan ook worden gebruikt om de status van beveiligd opstarten te controleren door een PowerShell-venster met verhoogde bevoegdheid te openen en de volgende opdracht uit te voeren:
Confirm-SecureBootUEFI
Als de computer Beveiligd opstarten ondersteunt en Beveiligd opstarten is ingeschakeld, retourneert deze cmdlet 'True'.
Als de computer beveiligd opstarten ondersteunt en beveiligd opstarten is uitgeschakeld, retourneert deze cmdlet 'Onwaar'.
Als de computer geen ondersteuning biedt voor Beveiligd opstarten of een BIOS-computer (niet-UEFI) is, retourneert deze cmdlet 'Cmdlet wordt niet ondersteund op dit platform'.
Gebeurtenis-id 846, 778 en 851: fout 0x80072f9a
Neem het volgende scenario:
Intune beleid wordt geïmplementeerd om een Windows 10 versie 1809 apparaat te versleutelen en het herstelwachtwoord wordt opgeslagen in Microsoft Entra ID. Als onderdeel van de beleidsconfiguratie is de optie Standaardgebruikers toestaan versleuteling in te schakelen tijdens Microsoft Entra join geselecteerd.
De beleidsimplementatie mislukt en de fout genereert de volgende gebeurtenissen in Logboeken in de microsoftWindows>BitLocker-API-maptoepassingen en serviceslogboeken>>:
Gebeurtenis-id:846
Gebeurtenis: Kan geen back-up maken van herstelgegevens van BitLocker-stationsversleuteling voor volume C: naar uw Microsoft Entra ID.
TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fout: onbekende HResult Foutcode: 0x80072f9a
Gebeurtenis-id:778
Gebeurtenis: Het BitLocker-volume C: is teruggezet naar een niet-beveiligde status.
Gebeurtenis-id: 851
Gebeurtenis: Kan Stille versleuteling niet inschakelen.
Fout: Onbekende HResult Foutcode: 0x80072f9a.
Deze gebeurtenissen verwijzen naar foutcode 0x80072f9a.
Oorzaak van gebeurtenis-id 846, 778 en 851: fout 0x80072f9a
Deze gebeurtenissen geven aan dat de aangemelde gebruiker niet gemachtigd is om de persoonlijke sleutel te lezen op het certificaat dat wordt gegenereerd als onderdeel van het inrichtings- en inschrijvingsproces. Daarom mislukt het vernieuwen van het BitLocker MDM-beleid.
Het probleem is van invloed op Windows 10 versie 1809.
Oplossing voor gebeurtenis-id 846, 778 en 851: fout 0x80072f9a
U kunt dit probleem oplossen door de update van 21 mei 2019 te installeren.
Foutbericht: Er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations
Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:
Fout: BitLocker-stationsversleuteling kan niet worden toegepast op dit station omdat er conflicterende groepsbeleid-instellingen zijn voor herstelopties op besturingssysteemstations. Het opslaan van herstelgegevens naar Active Directory Domain Services kan niet worden vereist wanneer het genereren van herstelwachtwoorden niet is toegestaan. Laat uw systeembeheerder deze beleidsconflicten oplossen voordat u BitLocker probeert in te schakelen...
Oplossing voor foutbericht: er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations
U kunt dit probleem oplossen door de instellingen van het groepsbeleidsobject (GPO) te controleren op conflicten. Zie de volgende sectie, BitLocker-beleidsconfiguratie controleren voor meer informatie.
Zie Referentie voor BitLocker groepsbeleid voor meer informatie over GPO's en BitLocker.
Configuratie van BitLocker-beleid controleren
Zie de volgende resources voor informatie over de procedure voor het gebruik van beleid in combinatie met BitLocker en Intune:
- BitLocker-beheer voor ondernemingen: apparaten beheren die zijn gekoppeld aan Microsoft Entra ID
- BitLocker groepsbeleid-verwijzing
- Referentie voor configuratieserviceprovider
- Beleids-CSP – BitLocker
- BitLocker CSP
- Beleid met ADMX-ondersteuning inschakelen in MDM
- Gpresult
Intune biedt de volgende afdwingingstypen voor BitLocker:
- Automatisch (afgedwongen wanneer het apparaat lid wordt van Microsoft Entra ID tijdens het inrichtingsproces. Deze optie is beschikbaar in Windows 10 versie 1703 en hoger.)
- Stil (Endpoint Protection-beleid. Deze optie is beschikbaar in Windows 10 versie 1803 en hoger.)
- Interactief (eindpuntbeleid voor Windows-versies die ouder zijn dan Windows 10 versie 1803.)
Als het apparaat wordt uitgevoerd Windows 10 versie 1703 of hoger, moderne stand-by ondersteunt (ook wel bekend als Instant Go) en HSTI-compatibel is, activeert het koppelen van het apparaat aan Microsoft Entra ID automatische apparaatversleuteling. Er is geen afzonderlijk beleid voor eindpuntbeveiliging vereist om apparaatversleuteling af te dwingen.
Als het apparaat HSTI-compatibel is, maar geen ondersteuning biedt voor moderne stand-by, moet er een beleid voor eindpuntbeveiliging worden geconfigureerd om stille BitLocker-stationsversleuteling af te dwingen. De instellingen voor dit beleid moeten vergelijkbaar zijn met de volgende instellingen:
De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
Waardetype: Geheel getal
Waarde: 1 (1 = Vereisen, 0 = Niet geconfigureerd)OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
Waardetype: Geheel getal
Waarde: 0 (0 = Geblokkeerd, 1 = Toegestaan)
Opmerking
Als het apparaat Windows 10 versie 1809 of hoger gebruikt, kan vanwege een update van de BitLocker-beleids-CSP een eindpuntbeveiligingsbeleid worden gebruikt om bitLocker-apparaatversleuteling op de achtergrond af te dwingen, zelfs als het apparaat niet compatibel is met HSTI.
Opmerking
Als de instelling Waarschuwing voor andere schijfversleuteling is ingesteld op Niet geconfigureerd, moet de wizard BitLocker-stationsversleuteling handmatig worden gestart.
Als het apparaat geen ondersteuning biedt voor Moderne stand-by, maar HSTI-compatibel is en een versie van Windows gebruikt die ouder is dan Windows 10, versie 1803, levert een beleid voor eindpuntbeveiliging met de instellingen die in dit artikel worden beschreven de beleidsconfiguratie aan het apparaat. Windows geeft de gebruiker vervolgens echter een bericht om BitLocker-stationsversleuteling handmatig in te schakelen. Wanneer de gebruiker de melding selecteert, wordt de wizard BitLocker-stationsversleuteling gestart.
Intune biedt instellingen die kunnen worden gebruikt voor het configureren van automatische apparaatversleuteling voor Autopilot-apparaten voor standaardgebruikers. Elk apparaat moet voldoen aan de volgende vereisten:
- HSTI-compatibel zijn
- Ondersteuning voor moderne stand-by
- Gebruik Windows 10 versie 1803 of hoger
De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:
- OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
Waardetype: Geheel getal : 1
Opmerking
Dit knooppunt werkt samen met de knooppunten RequireDeviceEncryption en AllowWarningForOtherDiskEncryption . Om deze reden, wanneer de volgende instellingen zijn ingesteld:
- RequireDeviceEncryption naar 1
- AllowStandardUserEncryption naar 1
- AllowWarningForOtherDiskEncryption naar 0
Intune dwingt bitLocker-versleuteling op de achtergrond af voor Autopilot-apparaten met standaardgebruikersprofielen.
Controleren of BitLocker correct werkt
Tijdens normale bewerkingen genereert BitLocker-stationsversleuteling gebeurtenissen zoals gebeurtenis-id 796 en gebeurtenis-id 845.
U kunt ook bepalen of het BitLocker-herstelwachtwoord is geüpload naar Microsoft Entra ID door de apparaatgegevens te controleren in de sectie Microsoft Entra Apparaten.
Controleer op het apparaat de register-Editor om de beleidsinstellingen op het apparaat te controleren. Controleer de vermeldingen onder de volgende subsleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device