Delen via

BitLocker-beleid afdwingen met behulp van Intune: bekende problemen

  • Artikel

Dit artikel helpt bij het oplossen van problemen die kunnen optreden als u Microsoft Intune-beleid gebruikt om BitLocker-versleuteling op de achtergrond te beheren op apparaten. De Intune portal geeft aan of BitLocker een of meer beheerde apparaten niet kan versleutelen.

Schermopname van de BitLocker-statusdictors in de Intune portal.

Als u de oorzaak van het probleem wilt beperken, raadpleegt u de gebeurtenislogboeken zoals beschreven in Problemen met BitLocker oplossen. Concentreer u op de logboeken beheer en bewerkingen in de mapMicrosoft>Windows>BitLocker-API in de logboeken> toepassingen en services. In de volgende secties vindt u meer informatie over het oplossen van de aangegeven gebeurtenissen en foutberichten:

Als er geen duidelijk spoor van gebeurtenissen of foutberichten te volgen is, kunt u ook de volgende gebieden onderzoeken:

Zie Controleren of BitLocker correct werkt voor meer informatie over de procedure om te controleren of Intune beleid BitLocker correct afdwingt.

Gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer

Gebeurtenis-id 853 kan verschillende foutberichten bevatten, afhankelijk van de context. In dit geval geeft het foutbericht gebeurtenis-id 853 aan dat het apparaat geen TPM lijkt te hebben. De gebeurtenisgegevens zijn vergelijkbaar met de volgende gebeurtenis:

Schermopname van details van gebeurtenis-id 853 (TPM is niet beschikbaar, kan TPM niet vinden).

Oorzaak van gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer

Het apparaat dat wordt beveiligd, heeft mogelijk geen TPM-chip of het BIOS van het apparaat is geconfigureerd om de TPM uit te schakelen.

Oplossing voor gebeurtenis-id 853: Fout: een compatibel TPM-beveiligingsapparaat (Trusted Platform Module) is niet gevonden op deze computer

Controleer de volgende configuraties om dit probleem op te lossen:

  • De TPM is ingeschakeld in het BIOS van het apparaat.
  • De TPM-status in de TPM-beheerconsole is vergelijkbaar met de volgende statussen:
    • Gereed (TPM 2.0)
    • Geïnitialiseerd (TPM 1.2)

Zie Problemen met de TPM oplossen voor meer informatie.

Gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

In dit geval wordt gebeurtenis-id 853 weergegeven en geeft het foutbericht in de gebeurtenis aan dat opstartbare media beschikbaar zijn voor het apparaat. De gebeurtenisgegevens zien er ongeveer als volgt uit.

Schermopname van details van gebeurtenis-id 853 (TPM is niet beschikbaar, opstartbare media gevonden).

Oorzaak van gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

Tijdens het inrichtingsproces registreert BitLocker-stationsversleuteling de configuratie van het apparaat om een basislijn tot stand te brengen. Als de apparaatconfiguratie later wordt gewijzigd (bijvoorbeeld als de media wordt verwijderd), wordt de BitLocker-herstelmodus automatisch gestart.

Om deze situatie te voorkomen, stopt het inrichtingsproces als er een verwisselbaar opstartbaar medium wordt gedetecteerd.

Oplossing voor gebeurtenis-id 853: Fout: BitLocker-stationsversleuteling gedetecteerd opstartbare media (cd of dvd) op de computer

Verwijder het opstartbare medium en start het apparaat opnieuw op. Nadat het apparaat opnieuw is opgestart, controleert u de versleutelingsstatus.

Gebeurtenis-id 854: WinRE is niet geconfigureerd

De gebeurtenisgegevens lijken op het volgende foutbericht:

Kan Stille versleuteling niet inschakelen. WinRe is niet geconfigureerd.

Fout: deze pc biedt geen ondersteuning voor apparaatversleuteling omdat WinRE niet goed is geconfigureerd.

Oorzaak van gebeurtenis-id 854: WinRE is niet geconfigureerd

Windows Recovery Environment (WinRE) is een minimaal Windows-besturingssysteem dat is gebaseerd op Windows Preinstallation Environment (Windows PE). WinRE bevat verschillende hulpprogramma's die een beheerder kan gebruiken om Windows te herstellen of opnieuw in te stellen en Windows-problemen te diagnosticeren. Als een apparaat het normale Windows-besturingssysteem niet kan starten, probeert het apparaat WinRE te starten.

Het inrichtingsproces maakt BitLocker-stationsversleuteling mogelijk op het besturingssysteemstation tijdens de Windows PE-fase van de inrichting. Deze actie zorgt ervoor dat het station wordt beveiligd voordat het volledige besturingssysteem wordt geïnstalleerd. Tijdens het inrichtingsproces wordt ook een systeempartitie gemaakt die WinRE kan gebruiken als het systeem vastloopt.

Als WinRE niet beschikbaar is op het apparaat, stopt het inrichten.

Oplossing voor gebeurtenis-id 854: WinRE is niet geconfigureerd

Dit probleem kan worden opgelost door de configuratie van de schijfpartities, de status van WinRE en de configuratie van het Windows-opstartlaadprogramma te controleren door de volgende stappen uit te voeren:

Stap 1: de configuratie van de schijfpartities controleren

De procedures die in deze sectie worden beschreven, zijn afhankelijk van de standaardschijfpartities die Windows tijdens de installatie configureert. Windows 11 en Windows 10 automatisch een herstelpartitie maken die het bestand Winre.wim bevat. De partitieconfiguratie ziet er ongeveer als volgt uit.

Schermopname van de standaardschijfpartities, inclusief de herstelpartitie.

Als u de configuratie van de schijfpartities wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdrachten uit:

diskpart.exe 
list volume

Schermopname van de uitvoer van de lijstvolumeopdracht van Diskpart.

Als de status van een van de volumes niet in orde is of als de herstelpartitie ontbreekt, moet Windows mogelijk opnieuw worden geïnstalleerd. Voordat u Windows opnieuw installeert, controleert u de configuratie van de Windows-installatiekopieën die wordt ingericht. Zorg ervoor dat de installatiekopieën de juiste schijfconfiguratie gebruiken. De installatiekopieën moeten er ongeveer als volgt uitzien (dit voorbeeld is afkomstig uit Microsoft Configuration Manager):

Schermopname van configuratie van Windows-installatiekopieën in Microsoft Configuration Manager.

Stap 2: De status van WinRE controleren

Als u de status van WinRE op het apparaat wilt controleren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

reagentc.exe /info

De uitvoer van deze opdracht ziet er ongeveer als volgt uit.

Schermopname van de uitvoer van de opdracht reagentc.exe /info.

Als de status Windows RE niet Is ingeschakeld, voert u de volgende opdracht uit om deze in te schakelen:

reagentc.exe /enable

Stap 3: De configuratie van het Windows-opstartlaadprogramma controleren

Als de partitiestatus in orde is, maar de opdrachtreagentc.exe /enable resulteert in een fout, controleert u of het Windows Boot Loader de herstelreeks-GUID bevat door de volgende opdracht uit te voeren in een opdrachtpromptvenster met verhoogde bevoegdheid:

bcdedit.exe /enum all

De uitvoer van deze opdracht is vergelijkbaar met de volgende uitvoer:

Schermopname van de uitvoer van de opdracht bcdedit /enum all.

Zoek in de uitvoer de sectie Windows Boot Loader met de regel-id={current}. Zoek in die sectie het kenmerk recoverysequence . De waarde van dit kenmerk moet een GUID-waarde zijn, niet een tekenreeks van nullen.

Gebeurtenis-id 851: Neem contact op met de fabrikant voor bios-upgrade-instructies

De gebeurtenisgegevens zijn vergelijkbaar met het volgende foutbericht:

Kan Stille versleuteling niet inschakelen.

Fout: BitLocker-stationsversleuteling kan niet worden ingeschakeld op het besturingssysteemstation. Neem contact op met de fabrikant van de computer voor bios-upgrade-instructies.

Oorzaak van gebeurtenis-id 851: Neem contact op met de fabrikant voor bios-upgrade-instructies

Het apparaat moet een UEFI-BIOS (Unified Extensible Firmware Interface) hebben. Stille BitLocker-stationsversleuteling biedt geen ondersteuning voor verouderde BIOS.

Oplossing voor gebeurtenis-id 851: neem contact op met de fabrikant voor bios-upgrade-instructies

Als u de BIOS-modus wilt controleren, gebruikt u de toepassing Systeeminformatie door de volgende stappen uit te voeren:

  1. Selecteer Start en voer msinfo32 in het vak Zoeken in.

  2. Controleer of de instelling van de BIOS-modusUEFI is en niet verouderd.

    Schermopname van de app Systeemgegevens, met de instelling BIOS-modus.

  3. Als de instelling BIOS-modusVerouderd is, moet de UEFI-firmware worden overgeschakeld naar de UEFI- of EFI-modus . De stappen voor het overschakelen naar de UEFI- of EFI-modus zijn specifiek voor het apparaat.

    Opmerking

    Als het apparaat alleen de verouderde modus ondersteunt, kan Intune niet worden gebruikt voor het beheren van BitLocker-apparaatversleuteling op het apparaat.

Foutbericht: De UEFI-variabele 'SecureBoot' kan niet worden gelezen

Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:

Fout: BitLocker kan Beveiligd opstarten niet gebruiken voor integriteit omdat de UEFI-variabele 'SecureBoot' niet kan worden gelezen. De client beschikt niet over een vereiste bevoegdheid.

Oorzaak van foutbericht: de UEFI-variabele 'SecureBoot' kan niet worden gelezen

Een platformconfiguratieregister (PCR) is een geheugenlocatie in de TPM. Pcr 7 meet met name de status van veilig opstarten. Stille BitLocker-stationsversleuteling vereist dat beveiligd opstarten is ingeschakeld.

Oplossing voor foutbericht: de UEFI-variabele 'SecureBoot' kan niet worden gelezen

Dit probleem kan worden opgelost door het PCR-validatieprofiel van de TPM en de status van beveiligd opstarten te controleren door de volgende stappen uit te voeren:

Stap 1: het PCR-validatieprofiel van de TPM controleren

Als u wilt controleren of PCR 7 wordt gebruikt, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u de volgende opdracht uit:

Manage-bde.exe -protectors -get %systemdrive%

Controleer in de sectie TPM van de uitvoer van deze opdracht of de instelling PCR-validatieprofiel7 bevat, als volgt:

Schermopname van de uitvoer van de opdracht manage-bde.exe.

Als PCR-validatieprofiel geen 7 bevat (de waarden zijn bijvoorbeeld 0, 2, 4 en 11, maar niet 7), is beveiligd opstarten niet ingeschakeld.

Schermopname van de uitvoer van de opdracht manage-bde wanneer PCR 7 niet aanwezig is.

2: De status van beveiligd opstarten controleren

Als u de status van beveiligd opstarten wilt controleren, gebruikt u de toepassing Systeeminformatie door de volgende stappen uit te voeren:

  1. Selecteer Start en voer msinfo32 in het vak Zoeken in.

  2. Controleer als volgt of de instelling Status van beveiligd opstartenaan is:

    Schermopname van de app Systeemgegevens, met een niet-ondersteunde status voor beveiligd opstarten.

  3. Als de instelling Status van beveiligd opstartenniet wordt ondersteund, kan Stille BitLocker-versleuteling niet worden gebruikt op het apparaat.

    Systeeminformatie-app, met een niet-ondersteunde status voor beveiligd opstarten.

Opmerking

De PowerShell-cmdlet Confirm-SecureBootUEFI kan ook worden gebruikt om de status van beveiligd opstarten te controleren door een PowerShell-venster met verhoogde bevoegdheid te openen en de volgende opdracht uit te voeren:

Confirm-SecureBootUEFI

Als de computer Beveiligd opstarten ondersteunt en Beveiligd opstarten is ingeschakeld, retourneert deze cmdlet 'True'.

Als de computer beveiligd opstarten ondersteunt en beveiligd opstarten is uitgeschakeld, retourneert deze cmdlet 'Onwaar'.

Als de computer geen ondersteuning biedt voor Beveiligd opstarten of een BIOS-computer (niet-UEFI) is, retourneert deze cmdlet 'Cmdlet wordt niet ondersteund op dit platform'.

Gebeurtenis-id 846, 778 en 851: fout 0x80072f9a

Neem het volgende scenario:

Intune beleid wordt geïmplementeerd om een Windows 10 versie 1809 apparaat te versleutelen en het herstelwachtwoord wordt opgeslagen in Microsoft Entra ID. Als onderdeel van de beleidsconfiguratie is de optie Standaardgebruikers toestaan versleuteling in te schakelen tijdens Microsoft Entra join geselecteerd.

De beleidsimplementatie mislukt en de fout genereert de volgende gebeurtenissen in Logboeken in de microsoftWindows>BitLocker-API-maptoepassingen en serviceslogboeken>>:

Gebeurtenis-id:846

Gebeurtenis: Kan geen back-up maken van herstelgegevens van BitLocker-stationsversleuteling voor volume C: naar uw Microsoft Entra ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fout: onbekende HResult Foutcode: 0x80072f9a

Gebeurtenis-id:778

Gebeurtenis: Het BitLocker-volume C: is teruggezet naar een niet-beveiligde status.

Gebeurtenis-id: 851

Gebeurtenis: Kan Stille versleuteling niet inschakelen.

Fout: Onbekende HResult Foutcode: 0x80072f9a.

Deze gebeurtenissen verwijzen naar foutcode 0x80072f9a.

Oorzaak van gebeurtenis-id 846, 778 en 851: fout 0x80072f9a

Deze gebeurtenissen geven aan dat de aangemelde gebruiker niet gemachtigd is om de persoonlijke sleutel te lezen op het certificaat dat wordt gegenereerd als onderdeel van het inrichtings- en inschrijvingsproces. Daarom mislukt het vernieuwen van het BitLocker MDM-beleid.

Het probleem is van invloed op Windows 10 versie 1809.

Oplossing voor gebeurtenis-id 846, 778 en 851: fout 0x80072f9a

U kunt dit probleem oplossen door de update van 21 mei 2019 te installeren.

Foutbericht: Er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations

Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:

Fout: BitLocker-stationsversleuteling kan niet worden toegepast op dit station omdat er conflicterende groepsbeleid-instellingen zijn voor herstelopties op besturingssysteemstations. Het opslaan van herstelgegevens naar Active Directory Domain Services kan niet worden vereist wanneer het genereren van herstelwachtwoorden niet is toegestaan. Laat uw systeembeheerder deze beleidsconflicten oplossen voordat u BitLocker probeert in te schakelen...

Oplossing voor foutbericht: er zijn conflicterende groepsbeleidsinstellingen voor herstelopties op besturingssysteemstations

U kunt dit probleem oplossen door de instellingen van het groepsbeleidsobject (GPO) te controleren op conflicten. Zie de volgende sectie, BitLocker-beleidsconfiguratie controleren voor meer informatie.

Zie Referentie voor BitLocker groepsbeleid voor meer informatie over GPO's en BitLocker.

Configuratie van BitLocker-beleid controleren

Zie de volgende resources voor informatie over de procedure voor het gebruik van beleid in combinatie met BitLocker en Intune:

Intune biedt de volgende afdwingingstypen voor BitLocker:

  • Automatisch (afgedwongen wanneer het apparaat lid wordt van Microsoft Entra ID tijdens het inrichtingsproces. Deze optie is beschikbaar in Windows 10 versie 1703 en hoger.)
  • Stil (Endpoint Protection-beleid. Deze optie is beschikbaar in Windows 10 versie 1803 en hoger.)
  • Interactief (eindpuntbeleid voor Windows-versies die ouder zijn dan Windows 10 versie 1803.)

Als het apparaat wordt uitgevoerd Windows 10 versie 1703 of hoger, moderne stand-by ondersteunt (ook wel bekend als Instant Go) en HSTI-compatibel is, activeert het koppelen van het apparaat aan Microsoft Entra ID automatische apparaatversleuteling. Er is geen afzonderlijk beleid voor eindpuntbeveiliging vereist om apparaatversleuteling af te dwingen.

Als het apparaat HSTI-compatibel is, maar geen ondersteuning biedt voor moderne stand-by, moet er een beleid voor eindpuntbeveiliging worden geconfigureerd om stille BitLocker-stationsversleuteling af te dwingen. De instellingen voor dit beleid moeten vergelijkbaar zijn met de volgende instellingen:

Schermopname van de Intune beleidsinstellingen met apparaten versleutelen vereist.

De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Waardetype: Geheel getal
    Waarde: 1 (1 = Vereisen, 0 = Niet geconfigureerd)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Waardetype: Geheel getal
    Waarde: 0 (0 = Geblokkeerd, 1 = Toegestaan)

Opmerking

Als het apparaat Windows 10 versie 1809 of hoger gebruikt, kan vanwege een update van de BitLocker-beleids-CSP een eindpuntbeveiligingsbeleid worden gebruikt om bitLocker-apparaatversleuteling op de achtergrond af te dwingen, zelfs als het apparaat niet compatibel is met HSTI.

Opmerking

Als de instelling Waarschuwing voor andere schijfversleuteling is ingesteld op Niet geconfigureerd, moet de wizard BitLocker-stationsversleuteling handmatig worden gestart.

Als het apparaat geen ondersteuning biedt voor Moderne stand-by, maar HSTI-compatibel is en een versie van Windows gebruikt die ouder is dan Windows 10, versie 1803, levert een beleid voor eindpuntbeveiliging met de instellingen die in dit artikel worden beschreven de beleidsconfiguratie aan het apparaat. Windows geeft de gebruiker vervolgens echter een bericht om BitLocker-stationsversleuteling handmatig in te schakelen. Wanneer de gebruiker de melding selecteert, wordt de wizard BitLocker-stationsversleuteling gestart.

Intune biedt instellingen die kunnen worden gebruikt voor het configureren van automatische apparaatversleuteling voor Autopilot-apparaten voor standaardgebruikers. Elk apparaat moet voldoen aan de volgende vereisten:

  • HSTI-compatibel zijn
  • Ondersteuning voor moderne stand-by
  • Gebruik Windows 10 versie 1803 of hoger

Schermopname van de beleidsinstelling Intune met Standaardgebruikers toestaan versleuteling in te schakelen tijdens Microsoft Entra deelnemen.

De OMA-URI-verwijzingen voor deze instellingen zijn als volgt:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Waardetype: Geheel getal : 1

Opmerking

Dit knooppunt werkt samen met de knooppunten RequireDeviceEncryption en AllowWarningForOtherDiskEncryption . Om deze reden, wanneer de volgende instellingen zijn ingesteld:

  • RequireDeviceEncryption naar 1
  • AllowStandardUserEncryption naar 1
  • AllowWarningForOtherDiskEncryption naar 0

Intune dwingt bitLocker-versleuteling op de achtergrond af voor Autopilot-apparaten met standaardgebruikersprofielen.

Controleren of BitLocker correct werkt

Tijdens normale bewerkingen genereert BitLocker-stationsversleuteling gebeurtenissen zoals gebeurtenis-id 796 en gebeurtenis-id 845.

Schermopname van gebeurtenis-id 796 met gedetailleerde informatie.

Schermopname van gebeurtenis-id 845 met gedetailleerde informatie.

U kunt ook bepalen of het BitLocker-herstelwachtwoord is geüpload naar Microsoft Entra ID door de apparaatgegevens te controleren in de sectie Microsoft Entra Apparaten.

Schermopname van de BitLocker-herstelgegevens zoals weergegeven in Microsoft Entra ID.

Controleer op het apparaat de register-Editor om de beleidsinstellingen op het apparaat te controleren. Controleer de vermeldingen onder de volgende subsleutels:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Schermopname van de registersubsleutels die betrekking hebben op Intune beleid.