Поделиться через


Применение политик BitLocker с помощью Intune: известные проблемы

Эта статья поможет устранить неполадки, которые могут возникнуть при использовании политики Microsoft Intune для управления автоматическим шифрованием BitLocker на устройствах. Портал Intune указывает, не удалось ли BitLocker зашифровать одно или несколько управляемых устройств.

Снимок экрана: дикторы состояния BitLocker на портале Intune.

Чтобы сузить причину проблемы, просмотрите журналы событий, как описано в разделе Устранение неполадок BitLocker. Сосредоточьтесь на журналах управления и операций в папке Журналы> приложений и службMicrosoft>Windows>BitLocker-API. В следующих разделах содержатся дополнительные сведения о том, как устранить указанные события и сообщения об ошибках.

Если нет четкого следа событий или сообщений об ошибках, другие области для изучения включают следующие области:

Сведения о процедуре проверки правильности применения BitLocker Intune политиками см. в разделе Проверка правильной работы BitLocker.

Идентификатор события 853: Ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

Событие с идентификатором 853 может содержать различные сообщения об ошибках в зависимости от контекста. В этом случае сообщение об ошибке с идентификатором события 853 указывает, что устройство не имеет доверенного платформенного модуля. Сведения о событии будут похожи на следующее событие:

Снимок экрана: сведения о событии с идентификатором 853 (TPM недоступен, не удается найти TPM).

Причина события с идентификатором 853: ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

На защищенном устройстве может не быть микросхемы доверенного платформенного модуля или bios устройства может быть настроен для отключения доверенного платформенного модуля.

Решение для события с идентификатором 853: Ошибка: на этом компьютере не удается найти совместимое устройство безопасности доверенного платформенного модуля (TPM)

Чтобы устранить эту проблему, проверьте следующие конфигурации:

  • TPM включен в BIOS устройства.
  • Состояние доверенного платформенного модуля в консоль управления доверенного платформенного модуля похоже на следующие состояния:
    • Готово (TPM 2.0)
    • Инициализировано (TPM 1.2)

Дополнительные сведения см. в статье Устранение неполадок доверенного платформенного модуля.

Идентификатор события 853: ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (компакт-диск или DVD-диск) на компьютере

В этом случае отображается событие с идентификатором 853, а сообщение об ошибке в событии указывает, что устройство доступно загрузочному носителю. Сведения о событии выглядят следующим образом.

Снимок экрана: сведения о событии с идентификатором 853 (TPM недоступен, загрузочный носитель найден).

Причина события с идентификатором 853: Ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (компакт-диск или DVD-диск) на компьютере

Во время подготовки шифрование диска BitLocker записывает конфигурацию устройства, чтобы установить базовый план. Если конфигурация устройства изменится позже (например, при удалении носителя), автоматически запускается режим восстановления BitLocker.

Чтобы избежать этой ситуации, процесс подготовки останавливается, если обнаруживает съемный загрузочный носитель.

Разрешение для события с идентификатором 853: ошибка: шифрование диска BitLocker обнаружило загрузочный носитель (КОМПАКТ-диск или DVD-диск) на компьютере

Удалите загрузочный носитель и перезапустите устройство. После перезапуска устройства проверьте состояние шифрования.

Идентификатор события 854: WinRE не настроен

Сведения о событии похожи на следующее сообщение об ошибке:

Не удалось включить автоматическое шифрование. WinRe не настроен.

Ошибка. Этот компьютер не поддерживает шифрование устройства, так как WinRE настроен неправильно.

Причина события с идентификатором 854: WinRE не настроен

Среда восстановления Windows (WinRE) — это минимальная операционная система Windows, основанная на среде предустановки Windows (Windows PE). WinRE включает несколько средств, которые администратор может использовать для восстановления или сброса Windows и диагностики проблем с Windows. Если устройство не может запустить обычную операционную систему Windows, оно пытается запустить WinRE.

Процесс подготовки включает шифрование диска BitLocker на диске операционной системы на этапе подготовки Среды предустановки Windows. Это действие гарантирует, что диск защищен до установки полной операционной системы. Процесс подготовки также создает системный раздел для WinRE, который будет использоваться в случае сбоя системы.

Если WinRE недоступен на устройстве, подготовка прекращается.

Разрешение для события с идентификатором 854: WinRE не настроен

Эту проблему можно устранить, проверив конфигурацию разделов диска, состояние WinRE и конфигурацию загрузчика Windows, выполнив следующие действия.

Шаг 1. Проверка конфигурации секций диска

Процедуры, описанные в этом разделе, зависят от секций диска по умолчанию, которые Windows настраивает во время установки. Windows 11 и Windows 10 автоматически создают раздел восстановления, содержащий файл Winre.wim. Конфигурация секции выглядит следующим образом.

Снимок экрана: разделы диска по умолчанию, включая раздел восстановления.

Чтобы проверить конфигурацию разделов диска, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

diskpart.exe 
list volume

Снимок экрана: выходные данные команды тома списка из Diskpart.

Если состояние любого тома не работоспособно или раздел восстановления отсутствует, может потребоваться переустановка Windows. Перед переустановкой Windows проверка конфигурацию подготавливаемого образа Windows. Убедитесь, что образ использует правильную конфигурацию диска. Конфигурация образа должна выглядеть следующим образом (пример из Microsoft Configuration Manager):

Снимок экрана: конфигурация образа Windows в Microsoft Configuration Manager.

Шаг 2. Проверка состояния WinRE

Чтобы проверить состояние WinRE на устройстве, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

reagentc.exe /info

Выходные данные этой команды выглядят следующим образом.

Снимок экрана: выходные данные команды reagentc.exe /info.

Если состояние Windows RE не включено, выполните следующую команду, чтобы включить его:

reagentc.exe /enable

Шаг 3. Проверка конфигурации загрузчика Windows

Если состояние секции работоспособно, но команда reagentc.exe /enable приводит к ошибке, проверьте, содержит ли загрузчик Windows GUID последовательности восстановления, выполнив следующую команду в окне командной строки с повышенными привилегиями:

bcdedit.exe /enum all

Выходные данные этой команды будут похожи на следующие выходные данные:

Снимок экрана: выходные данные команды bcdedit /enum all.

В выходных данных найдите раздел Загрузчик Windows , содержащий идентификатор строки ={current}. В этом разделе найдите атрибут recoverysequence . Значение этого атрибута должно быть значением GUID, а не строкой нулей.

Идентификатор события 851. Обратитесь к производителю за инструкциями по обновлению BIOS

Сведения о событии будут похожи на следующее сообщение об ошибке:

Не удалось включить автоматическое шифрование.

Ошибка. Шифрование диска BitLocker не может быть включено на диске операционной системы. Обратитесь к производителю компьютера для получения инструкций по обновлению BIOS.

Причина события с идентификатором 851: обратитесь к производителю за инструкциями по обновлению BIOS

Устройство должно иметь BIOS UEFI. Автоматическое шифрование диска BitLocker не поддерживает устаревшую версию BIOS.

Решение для события с идентификатором 851: обратитесь к производителю за инструкциями по обновлению BIOS

Чтобы проверить режим BIOS, используйте приложение Сведения о системе, выполнив следующие действия.

  1. Нажмите кнопку Пуск и введите msinfo32 в поле Поиска .

  2. Убедитесь, что для параметра Режим BIOS задано значение UEFI , а не устаревшая версия.

    Снимок экрана: приложение

  3. Если для параметра Режим BIOS задано значение Устаревшая версия, встроенное ПО UEFI необходимо переключить в режим UEFI или EFI . Действия по переключению в режим UEFI или EFI относятся только к устройству.

    Примечание.

    Если устройство поддерживает только устаревший режим, Intune нельзя использовать для управления шифрованием bitLocker на устройстве.

Сообщение об ошибке: не удалось прочитать переменную UEFI SecureBoot

Отображается сообщение об ошибке, аналогичное следующему:

Ошибка: BitLocker не может использовать безопасную загрузку для обеспечения целостности, так как не удалось прочитать переменную UEFI SecureBoot. Клиент не имеет необходимых привилегий.

Причина сообщения об ошибке: не удалось прочитать переменную UEFI "SecureBoot"

Регистр конфигурации платформы (PCR) — это расположение памяти в TPM. В частности, PCR 7 измеряет состояние безопасной загрузки. Для автоматического шифрования диска BitLocker требуется включить безопасную загрузку.

Решение для сообщения об ошибке: не удалось прочитать переменную UEFI "SecureBoot"

Эту проблему можно устранить, проверив профиль проверки PCR доверенного платформенного модуля и состояние безопасной загрузки, выполнив следующие действия.

Шаг 1. Проверка профиля проверки PCR доверенного платформенного модуля

Чтобы убедиться, что используется PCR 7, откройте окно командной строки с повышенными привилегиями и выполните следующую команду:

Manage-bde.exe -protectors -get %systemdrive%

В разделе TPM выходных данных этой команды убедитесь, что параметр профиля проверки PCR содержит значение 7, как показано ниже.

Снимок экрана: выходные данные команды manage-bde.exe.

Если профиль проверки PCR не содержит 7 (например, значения 0, 2, 4 и 11, но не 7), безопасная загрузка не включена.

Снимок экрана: выходные данные команды manage-bde, когда отсутствует PCR 7.

2. Проверка состояния безопасной загрузки

Чтобы проверить состояние безопасной загрузки, используйте приложение System Information, выполнив следующие действия.

  1. Нажмите кнопку Пуск и введите msinfo32 в поле Поиска .

  2. Убедитесь, что для параметра Состояние безопасной загрузкизадано значение Включено, как показано ниже.

    Снимок экрана: приложение

  3. Если параметр Состояние безопасной загрузкине поддерживается, на устройстве невозможно использовать автоматическое шифрование BitLocker.

    Приложение

Примечание.

Командлет PowerShell Confirm-SecureBootUEFI также можно использовать для проверки состояния безопасной загрузки, открыв окно PowerShell с повышенными привилегиями и выполнив следующую команду:

Confirm-SecureBootUEFI

Если компьютер поддерживает безопасную загрузку и включена безопасная загрузка, этот командлет возвращает значение True.

Если компьютер поддерживает безопасную загрузку и безопасная загрузка отключена, этот командлет возвращает значение False.

Если компьютер не поддерживает безопасную загрузку или является компьютером BIOS (не UEFI), этот командлет возвращает значение "Командлет не поддерживается на этой платформе".

События с идентификаторами 846, 778 и 851: ошибка 0x80072f9a

Рассмотрим следующий сценарий.

Intune политика развертывается для шифрования Windows 10, версия 1809 устройства, а пароль восстановления хранится в Microsoft Entra ID. В рамках конфигурации политики был выбран параметр Разрешить стандартным пользователям включать шифрование во время присоединения Microsoft Entra.

Развертывание политики завершается сбоем, и в Просмотр событий в папке APIMicrosoft >Windows>BitLockerжурналы приложений и служб возникают> следующие события:

Идентификатор события:846

Событие. Не удалось создать резервную копию сведений о восстановлении шифрования диска BitLocker для тома C: на Microsoft Entra ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Ошибка: Неизвестный код ошибки HResult: 0x80072f9a

Идентификатор события:778

Событие. Том BitLocker C: был возвращен в незащищенное состояние.

Идентификатор события: 851

Событие: не удалось включить автоматическое шифрование.

Ошибка: Неизвестный код ошибки HResult: 0x80072f9a.

Эти события относятся к коду ошибки 0x80072f9a.

Причина событий с идентификаторами 846, 778 и 851: ошибка 0x80072f9a

Эти события указывают на то, что у пользователя, выполнившего вход, нет разрешения на чтение закрытого ключа сертификата, созданного в процессе подготовки и регистрации. Поэтому обновление политики MDM BitLocker завершается сбоем.

Эта проблема затрагивает Windows 10 версии 1809.

Решение для событий с идентификаторами 846, 778 и 851: ошибка 0x80072f9a

Чтобы устранить эту проблему, установите обновление от 21 мая 2019 г.

Сообщение об ошибке. Существуют конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы

Отображается сообщение об ошибке, аналогичное следующему:

Ошибка: Шифрование диска BitLocker не может быть применено к этому диску, так как на дисках операционной системы существуют конфликтующие параметры групповая политика для параметров восстановления. Хранение сведений о восстановлении в доменные службы Active Directory не может требоваться, если создание паролей восстановления запрещено. Перед включением BitLocker попросите системного администратора устранить эти конфликты политик...

Решение сообщения об ошибке: существуют конфликтующие параметры групповой политики для параметров восстановления на дисках операционной системы

Чтобы устранить эту проблему, просмотрите параметры объекта групповой политики на наличие конфликтов. Дополнительные сведения см. в следующем разделе Проверка конфигурации политики BitLocker.

Дополнительные сведения о объектов групповой политики и BitLocker см. в справочнике по BitLocker групповая политика.

Просмотр конфигурации политики BitLocker

Сведения о процедуре использования политики вместе с BitLocker и Intune см. в следующих ресурсах:

Intune предлагает следующие типы принудительного применения для BitLocker:

  • Автоматический (применяется при присоединении устройства Microsoft Entra ID во время процесса подготовки. Этот параметр доступен в Windows 10 версии 1703 и более поздних.)
  • Автоматическая (политика защиты конечных точек. Этот параметр доступен в Windows 10 версии 1803 и более поздних.)
  • Interactive (политика конечных точек для версий Windows, которые старше Windows 10 версии 1803.)

Если устройство работает Windows 10 версии 1703 или более поздней, поддерживает современный режим ожидания (также известный как Instant Go) и совместимо с HSTI, присоединение устройства к Microsoft Entra ID активирует автоматическое шифрование устройства. Для принудительного шифрования устройства не требуется отдельная политика защиты конечных точек.

Если устройство совместимо с HSTI, но не поддерживает современный режим ожидания, необходимо настроить политику защиты конечных точек для принудительного шифрования диска BitLocker без автоматического режима. Параметры для этой политики должны выглядеть следующим образом:

Снимок экрана: параметры политики Intune с обязательным шифрованием устройств.

Ниже приведены ссылки OMA-URI для этих параметров:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Тип значения: Integer
    Значение: 1 (1 = требовать, 0 = не настроено)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Тип значения: Integer
    Значение: 0 (0 = заблокировано, 1 = разрешено)

Примечание.

Из-за обновления CSP политики BitLocker, если устройство использует Windows 10 версии 1809 или более поздней, можно использовать политику защиты конечных точек для принудительного шифрования устройств BitLocker, даже если устройство не соответствует HSTI.

Примечание.

Если для параметра Предупреждение для другого шифрования дисков задано значение Не настроено, мастер шифрования дисков BitLocker необходимо запустить вручную.

Если устройство не поддерживает современный режим ожидания, но совместимо с HSTI и использует версию Windows, более раннюю, чем Windows 10 версии 1803, политика защиты конечных точек с параметрами, описанными в этой статье, доставляет конфигурацию политики на устройство. Однако Затем Windows уведомляет пользователя о том, чтобы вручную включить шифрование диска BitLocker. Когда пользователь выберет уведомление, он запустит мастер шифрования диска BitLocker.

Intune предоставляет параметры, которые можно использовать для настройки автоматического шифрования устройств Autopilot для обычных пользователей. Каждое устройство должно соответствовать следующим требованиям:

  • Быть совместимым с HSTI
  • Поддержка современного режима ожидания
  • Использование Windows 10 версии 1803 или более поздней

Снимок экрана: параметр политики Intune, на котором показано, как разрешить стандартным пользователям включать шифрование во время присоединения Microsoft Entra.

Ниже приведены ссылки OMA-URI для этих параметров:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Тип значения: Целочисленное значение: 1

Примечание.

Этот узел работает вместе с узлами RequireDeviceEncryption и AllowWarningForOtherDiskEncryption . По этой причине, если заданы следующие параметры:

  • RequireDeviceEncryption до 1
  • AllowStandardUserEncryption до 1
  • AllowWarningForOtherDiskEncryption to 0

Intune применяет автоматическое шифрование BitLocker для устройств Autopilot со стандартными профилями пользователей.

Проверка правильности работы BitLocker

Во время обычных операций шифрование диска BitLocker создает такие события, как событие с идентификатором 796 и событием 845.

Снимок экрана: идентификатор события 796 с подробными сведениями.

Снимок экрана: код события 845 с подробными сведениями.

Кроме того, можно определить, был ли передан пароль восстановления BitLocker в Microsoft Entra ID, проверив сведения об устройстве в разделе Microsoft Entra устройства.

Снимок экрана: сведения о восстановлении BitLocker, как показано в Microsoft Entra ID.

На устройстве проверка Редактор реестра, чтобы проверить параметры политики на устройстве. Проверьте записи в следующих подразделах:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Снимок экрана: подразделы реестра, связанные с Intune политикой.