Поделиться через


Устранение неполадок с BitLocker с помощью отчета о шифровании Intune

Microsoft Intune предоставляет встроенный отчет о шифровании, который содержит сведения о состоянии шифрования на всех управляемых устройствах. Отчет о шифровании Intune является полезной отправной точкой для устранения неполадок шифрования. Отчет можно использовать для выявления и изоляции сбоев шифрования BitLocker, а также просмотра состояния доверенного платформенного модуля (TPM) и состояния шифрования устройств Windows.

В этой статье объясняется, как использовать отчет о шифровании Intune для устранения неполадок с шифрованием BitLocker. Дополнительные рекомендации по устранению неполадок см. в статье Устранение неполадок с политиками BitLocker на стороне клиента.

Примечание.

Чтобы в полной мере воспользоваться этим методом устранения неполадок и сведениями об ошибках, доступными в отчете о шифровании, необходимо настроить политику BitLocker. Если в настоящее время вы используете политику конфигурации устройств, рассмотрите возможность переноса политики. Дополнительные сведения см. в разделах Управление политикой BitLocker для устройств Windows с помощью Intune и Параметры политики шифрования дисков для безопасности конечных точек в Intune.

Предварительные требования к шифрованию

По умолчанию мастер настройки BitLocker предлагает пользователям включить шифрование. Вы также можете настроить политику BitLocker, которая автоматически включает BitLocker на устройстве. В этом разделе описаны различные предварительные требования для каждого метода.

Примечание.

Автоматическое шифрование — это не то же самое, что и автоматическое шифрование. Автоматическое шифрование выполняется во время готового режима windows (OOBE) на современных устройствах в режиме ожидания или на устройствах, совместимых с аппаратным интерфейсом безопасности (HSTI). При автоматическом шифровании Intune подавляет взаимодействие с пользователем с помощью параметров поставщика службы конфигурации BitLocker (CSP).

Необходимые условия для шифрования с поддержкой пользователя :

  • Жесткий диск должен быть секционирован на диск операционной системы, отформатированный с NTFS, и системный диск размером не менее 350 МБ в формате FAT32 для UEFI и NTFS для BIOS.
  • Устройство должно быть зарегистрировано в Intune путем Microsoft Entra гибридного присоединения, Microsoft Entra регистрации или Microsoft Entra присоединения.
  • Микросхема доверенного платформенного модуля (TPM) не требуется, но настоятельно рекомендуется для повышения безопасности.

Предварительные требования для автоматического шифрования BitLocker:

  • Микросхема доверенного платформенного модуля (версии 1.2 или 2.0), которую необходимо разблокировать.
  • Среда восстановления Windows (WinRE) должна быть включена.
  • Жесткий диск должен быть секционирован на диск операционной системы, отформатированный с помощью NTFS, а системный диск размером не менее 350 МБ должен быть отформатирован как FAT32 для единого интерфейса расширяемого встроенного ПО (UEFI) и NTFS для BIOS. UEFI BIOS требуется для устройств доверенного платформенного модуля версии 2.0. (Безопасная загрузка не требуется, но обеспечивает большую безопасность.)
  • Зарегистрированное Intune устройство подключено к гибридным службам Microsoft Azure или Microsoft Entra ID.

Определение состояния и сбоев шифрования

Сбои шифрования BitLocker на Intune зарегистрированных Windows 10 устройствах могут быть одной из следующих категорий:

  • Оборудование или программное обеспечение устройства не соответствует предварительным требованиям для включения BitLocker.
  • Политика BitLocker Intune настроена неправильно, что приводит к конфликтам объектов групповая политика .
  • Устройство уже зашифровано, а метод шифрования не соответствует параметрам политики.

Чтобы определить категорию сбоя шифрования устройств, войдите в центр администрирования Microsoft Intune и выберитеОтчет о шифрованиимонитора>устройств>. В отчете отобразится список зарегистрированных устройств и показано, зашифровано ли устройство или готово к шифрованию и имеет ли оно микросхему доверенного платформенного модуля.

Intune пример отчета о шифровании.

Примечание.

Если на устройстве Windows 10 отображается состояние Не готово, оно по-прежнему может поддерживать шифрование. Для состояния "Готово" на устройстве Windows 10 должен быть активирован доверенный платформенный модуль. Устройства доверенного платформенного модуля не требуются для поддержки шифрования, но настоятельно рекомендуется для повышения безопасности.

В приведенном выше примере показано, что устройство с TPM версии 1.2 успешно зашифровано. Кроме того, можно увидеть два устройства, которые не готовы к шифрованию, которые не смогут быть зашифрованы автоматически, а также одно устройство TPM 2.0, которое готово к шифрованию, но еще не зашифровано.

Распространенные сценарии сбоя

В следующих разделах описаны распространенные сценарии сбоя, которые можно диагностировать с помощью подробных сведений из отчета о шифровании.

Сценарий 1. Устройство не готово к шифрованию и не зашифровано

При выборе незашифрованного устройства Intune отображает сводку его состояния. В приведенном ниже примере существует несколько профилей, предназначенных для устройства: политика защиты конечных точек, политика операционной системы Mac (которая не применима к этому устройству) и базовый план Microsoft Defender Advanced Threat Protection (ATP).

Intune сведения о состоянии, показывающие, что устройство не готово к шифрованию и не зашифровано.

Описано состояние шифрования:

Сообщения в разделе Сведения о состоянии — это коды, возвращаемые узлом состояния bitLocker CSP с устройства. Состояние шифрования находится в состоянии ошибки, так как том ОС не зашифрован. Кроме того, политика BitLocker имеет требования для доверенного платформенного модуля, которые устройство не удовлетворяет.

Сообщения означают, что устройство не зашифровано, так как на нем нет доверенного платформенного модуля и политика требует его.

Сценарий 2. Устройство готово, но не зашифровано

В этом примере показано, что устройство TPM 2.0 не зашифровано.

Intune сведения о состоянии, показывающие, что устройство готово к шифрованию, но не зашифровано.

Описано состояние шифрования:

Это устройство имеет политику BitLocker, настроенную для взаимодействия с пользователем, а не для автоматического шифрования. Пользователь не запустил или не завершил процесс шифрования (пользователь получает уведомление), поэтому диск остается незашифрованным.

Сценарий 3. Устройство не готово и не шифруется автоматически

Если политика шифрования настроена для подавления взаимодействия с пользователем и автоматического шифрования, а состояние готовности отчета о шифрованииНеприменимо или Не готово, скорее всего, доверенный платформенный модуль не готов к BitLocker.

Intune сведения о состоянии, показывающие, что устройство не готово и не шифруется автоматически.

Сведения о состоянии устройства показывают причину:

Intune сведения о состоянии шифрования устройства, показывающие, что TPM не готов к BitLocker.

Описано состояние шифрования:

Если TPM не готов на устройстве, это может быть связано с тем, что он отключен во встроенном ПО или должен быть очищен или сброшен. Запуск консоль управления доверенного платформенного модуля (TPM.msc) из командной строки на затронутом устройстве поможет вам понять и устранить состояние доверенного платформенного модуля.

Сценарий 4. Устройство готово, но не шифруется автоматически

Существует несколько причин, по которым устройство, предназначенное для автоматического шифрования, готово, но еще не зашифровано.

Intune сведения о состоянии шифрования устройства, показывающие, что устройство готово к автоматическому шифрованию, но еще не зашифровано.

Описано состояние шифрования:

Одним из объяснений является то, что WinRE не включен на устройстве, что является предварительным условием. Вы можете проверить состояние WinRE на устройстве с помощью команды reagentc.exe/info в качестве администратора.

Выходные данные командной строки reagentc.exe/info.

Если WinRE отключена, выполните команду reagentc.exe/info от имени администратора, чтобы включить WinRE.

Включение WinRE в командной строке.

Если WinRE настроен неправильно, на странице Сведений о состоянии отобразится следующее сообщение:

Пользователь, вошедший в устройство, не имеет прав администратора.

Другой причиной могут быть права администратора. Если политика BitLocker ориентирована на пользователя, у которого нет прав администратора, и запретить стандартным пользователям включать шифрование во время Autopilot , вы увидите следующие сведения о состоянии шифрования.

Описано состояние шифрования:

Установите для параметра Разрешить стандартным пользователям включать шифрование во время Autopilotзначение Да, чтобы устранить эту проблему для устройств, присоединенных к Microsoft Entra.

Сценарий 5. Устройство находится в состоянии ошибки, но зашифровано

В этом распространенном сценарии, если политика Intune настроена для 128-разрядного шифрования XTS-AES, но целевое устройство шифруется с помощью 256-разрядного шифрования XTS-AES (или обратного), вы получите ошибку, показанную ниже.

Intune сведения о состоянии шифрования устройства, показывающие, что устройство находится в состоянии ошибки, но зашифровано.

Описано состояние шифрования:

Это происходит, когда устройство, которое уже было зашифровано с помощью другого метода— вручную пользователем, с помощью администрирования и мониторинга Microsoft BitLocker (MBAM) или Microsoft Configuration Manager перед регистрацией.

Чтобы исправить это, расшифруйте устройство вручную или с помощью Windows PowerShell. Затем позвольте политике BitLocker Intune снова зашифровать устройство при следующем достижении политики.

Сценарий 6. Устройство зашифровано, но состояние профиля находится в ошибке

Иногда устройство отображается в зашифрованном виде, но в сводке состояния профиля отображается состояние ошибки.

Intune сведения о состоянии шифрования, показывающие, что сводка состояния профиля находится в состоянии ошибки.

Описано состояние шифрования:

Обычно это происходит, когда устройство было зашифровано другим способом (возможно, вручную). Параметры соответствуют текущей политике, но Intune не инициировал шифрование.