Dela via

Tillämpa BitLocker-principer med hjälp av Intune: kända problem

  • Artikel

Den här artikeln hjälper dig att felsöka problem som kan uppstå om du använder Microsoft Intune princip för att hantera tyst BitLocker-kryptering på enheter. Intune-portalen anger om BitLocker har misslyckats med att kryptera en eller flera hanterade enheter.

Skärmbild som visar BitLocker-statusdiktorerna på Intune-portalen.

Börja begränsa orsaken till problemet genom att granska händelseloggarna enligt beskrivningen i Felsöka BitLocker. Koncentrera dig på hanterings- och driftloggarna i mappen Program- och tjänstloggar>i Microsoft>Windows>BitLocker-API . Följande avsnitt innehåller mer information om hur du löser de angivna händelserna och felmeddelandena:

Om det inte finns några tydliga spår av händelser eller felmeddelanden att följa, inkluderar andra områden att undersöka följande områden:

Information om proceduren för att kontrollera om Intune principer tillämpar BitLocker korrekt finns i Kontrollera att BitLocker fungerar korrekt.

Händelse-ID 853: Fel: Det går inte att hitta en kompatibel TPM-säkerhetsenhet (Trusted Platform Module) på den här datorn

Händelse-ID 853 kan innehålla olika felmeddelanden, beroende på kontexten. I det här fallet anger händelse-ID 853-felmeddelandet att enheten inte verkar ha en TPM. Händelseinformationen liknar följande händelse:

Skärmbild av information om händelse-ID 853 (TPM är inte tillgängligt, det går inte att hitta TPM).

Orsak till händelse-ID 853: Fel: Det går inte att hitta en kompatibel TPM-säkerhetsenhet (Trusted Platform Module) på den här datorn

Enheten som skyddas kanske inte har något TPM-chip, eller så kan enhetens BIOS ha konfigurerats för att inaktivera TPM.

Lösning för händelse-ID 853: Fel: Det går inte att hitta en kompatibel TPM-säkerhetsenhet (Trusted Platform Module) på den här datorn

Lös problemet genom att kontrollera följande konfigurationer:

  • TPM är aktiverat i enhetens BIOS.
  • TPM-statusen i TPM-hanteringskonsolen liknar följande statusar:
    • Klar (TPM 2.0)
    • Initierad (TPM 1.2)

Mer information finns i Felsöka TPM.

Händelse-ID 853: Fel: BitLocker-diskkryptering identifierade startbara medier (CD eller DVD) på datorn

I det här fallet visas händelse-ID 853 och felmeddelandet i händelsen anger att startbart medium är tillgängligt för enheten. Händelseinformationen liknar följande.

Skärmbild av information om händelse-ID 853 (TPM är inte tillgängligt, startbara medier hittades).

Orsak till händelse-ID 853: Fel: BitLocker-diskkryptering identifierade startbara medier (CD eller DVD) på datorn

Under etableringsprocessen registrerar BitLocker-enhetskryptering enhetens konfiguration för att upprätta en baslinje. Om enhetskonfigurationen ändras senare (till exempel om mediet tas bort) startar BitLocker-återställningsläget automatiskt.

För att undvika den här situationen stoppas etableringsprocessen om den identifierar ett flyttbart startbart medium.

Lösning för händelse-ID 853: Fel: BitLocker-diskkryptering identifierade startbara medier (CD eller DVD) på datorn

Ta bort det startbara mediet och starta om enheten. När enheten har startats om kontrollerar du krypteringsstatusen.

Händelse-ID 854: WinRE har inte konfigurerats

Händelseinformationen liknar följande felmeddelande:

Det gick inte att aktivera tyst kryptering. WinRe har inte konfigurerats.

Fel: Den här datorn stöder inte enhetskryptering eftersom WinRE inte har konfigurerats korrekt.

Orsak till händelse-ID 854: WinRE har inte konfigurerats

Windows Recovery Environment (WinRE) är ett minimalt Windows-operativsystem som baseras på Windows Preinstallation Environment (Windows PE). WinRE innehåller flera verktyg som en administratör kan använda för att återställa Windows och diagnostisera Windows-problem. Om en enhet inte kan starta det vanliga Windows-operativsystemet försöker enheten starta WinRE.

Etableringsprocessen aktiverar BitLocker-diskkryptering på operativsystemenheten under Etableringsfasen för Windows PE. Den här åtgärden ser till att enheten skyddas innan det fullständiga operativsystemet installeras. Etableringsprocessen skapar också en systempartition som WinRE kan använda om systemet kraschar.

Om WinRE inte är tillgängligt på enheten stoppas etableringen.

Lösning för händelse-ID 854: WinRE har inte konfigurerats

Det här problemet kan lösas genom att verifiera konfigurationen av diskpartitionerna, statusen för WinRE och Windows Boot Loader-konfigurationen genom att följa dessa steg:

Steg 1: Kontrollera konfigurationen av diskpartitionerna

Procedurerna som beskrivs i det här avsnittet beror på standarddiskpartitionerna som Windows konfigurerar under installationen. Windows 11 och Windows 10 automatiskt skapa en återställningspartition som innehåller Winre.wim-filen. Partitionskonfigurationen liknar följande.

Skärmbild av standarddiskpartitionerna, inklusive återställningspartitionen.

Kontrollera konfigurationen av diskpartitionerna genom att öppna ett upphöjt kommandotolkfönster och köra följande kommandon:

diskpart.exe 
list volume

Skärmbild av utdata från listvolymkommandot från Diskpart.

Om statusen för någon av volymerna inte är felfri eller om återställningspartitionen saknas kan Windows behöva installeras om. Kontrollera konfigurationen av Den Windows-avbildning som etableras innan du installerar om Windows. Kontrollera att avbildningen använder rätt diskkonfiguration. Avbildningskonfigurationen bör likna följande (det här exemplet är från Microsoft Configuration Manager):

Skärmbild av Windows-avbildningskonfigurationen i Microsoft Configuration Manager.

Steg 2: Kontrollera statusen för WinRE

Om du vill kontrollera statusen för WinRE på enheten öppnar du ett upphöjt kommandotolksfönster och kör följande kommando:

reagentc.exe /info

Utdata för det här kommandot liknar följande.

Skärmbild av utdata från kommandot reagentc.exe /info.

Om Windows RE status inte är Aktiverad kör du följande kommando för att aktivera den:

reagentc.exe /enable

Steg 3: Verifiera Windows Boot Loader-konfigurationen

Om partitionsstatusen är felfri, men kommandot reagentc.exe /enable resulterar i ett fel, kontrollerar du om Windows Boot Loader innehåller återställningssekvensens GUID genom att köra följande kommando i ett upphöjt kommandotolkfönster:

bcdedit.exe /enum all

Utdata för det här kommandot liknar följande utdata:

Skärmbild av utdata från kommandot bcdedit /enum all.

I utdata letar du upp avsnittet Windows Boot Loader som innehåller radidentifieraren={current}. Leta upp attributet recoverysequence i det avsnittet. Värdet för det här attributet ska vara ett GUID-värde, inte en sträng med nollor.

Händelse-ID 851: Kontakta tillverkaren för BIOS-uppgraderingsinstruktioner

Händelseinformationen liknar följande felmeddelande:

Det gick inte att aktivera tyst kryptering.

Fel: BitLocker-diskkryptering kan inte aktiveras på operativsystemenheten. Kontakta datortillverkaren om du vill ha instruktioner för BIOS-uppgradering.

Orsak till händelse-ID 851: Kontakta tillverkaren för BIOS-uppgraderingsinstruktioner

Enheten måste ha UEFI BIOS (Unified Extensible Firmware Interface). Tyst BitLocker-diskkryptering stöder inte äldre BIOS.

Lösning för händelse-ID 851: Kontakta tillverkaren för BIOS-uppgraderingsinstruktioner

Om du vill verifiera BIOS-läget använder du programmet Systeminformation genom att följa dessa steg:

  1. Välj Start och ange msinfo32i sökrutan .

  2. Kontrollera att INSTÄLLNINGEN BIOS-läge är UEFI och inte äldre.

    Skärmbild av systeminformationsappen som visar inställningen BIOS-läge.

  3. Om BIOS-lägesinställningen är Äldre måste UEFI:s inbyggda programvara växlas till UEFI - eller EFI-läge . Stegen för att växla till UEFI - eller EFI-läge är specifika för enheten.

    Obs!

    Om enheten endast stöder äldre läge kan Intune inte användas för att hantera BitLocker-enhetskryptering på enheten.

Felmeddelande: UEFI-variabeln "SecureBoot" kunde inte läsas

Ett felmeddelande som liknar följande felmeddelande visas:

Fel: BitLocker kan inte använda Säker start för integritet eftersom UEFI-variabeln "SecureBoot" inte kunde läsas. Klienten har inte den behörighet som krävs.

Orsak till felmeddelande: UEFI-variabeln "SecureBoot" kunde inte läsas

Ett plattformskonfigurationsregister (PCR) är en minnesplats i TPM. I synnerhet mäter PCR 7 tillståndet för säker start. Tyst BitLocker-diskkryptering kräver att säker start är aktiverat.

Lösning för felmeddelande: UEFI-variabeln "SecureBoot" kunde inte läsas

Det här problemet kan lösas genom att verifiera PCR-valideringsprofilen för TPM och det säkra starttillståndet genom att följa dessa steg:

Steg 1: Verifiera PCR-valideringsprofilen för TPM

Kontrollera att PCR 7 används genom att öppna ett upphöjt kommandotolkfönster och köra följande kommando:

Manage-bde.exe -protectors -get %systemdrive%

I avsnittet TPM i utdata från det här kommandot kontrollerar du om inställningen för PCR-valideringsprofil innehåller 7 på följande sätt:

Skärmbild av utdata från kommandot manage-bde.exe.

Om PCR-valideringsprofilen inte innehåller 7 (till exempel värdena 0, 2, 4 och 11, men inte 7), aktiveras inte säker start.

Skärmbild av utdata från kommandot manage-bde när PCR 7 inte finns.

2: Verifiera tillståndet för säker start

Om du vill verifiera det säkra starttillståndet använder du systeminformationsprogrammet genom att följa dessa steg:

  1. Välj Start och ange msinfo32i sökrutan .

  2. Kontrollera att inställningen För säker startstatus är , enligt följande:

    Skärmbild av systeminformationsappen som visar ett tillstånd för säker start som inte stöds.

  3. Om inställningen För säker startstatusinte stöds kan inte Tyst BitLocker-kryptering användas på enheten.

    Systeminformationsapp som visar ett tillstånd för säker start som inte stöds.

Obs!

PowerShell-cmdleten Confirm-SecureBootUEFI kan också användas för att verifiera tillståndet säker start genom att öppna ett upphöjt PowerShell-fönster och köra följande kommando:

Confirm-SecureBootUEFI

Om datorn stöder säker start och säker start är aktiverat returnerar den här cmdleten "True".

Om datorn stöder säker start och säker start är inaktiverad returnerar den här cmdleten "False".

Om datorn inte stöder Säker start eller är en BIOS-dator (inte UEFI) returnerar denna cmdlet "Cmdlet stöds inte på den här plattformen".

Händelse-ID 846, 778 och 851: Fel 0x80072f9a

Tänk dig följande situation:

Intune princip distribueras för att kryptera en Windows 10 version 1809 enhet och återställningslösenordet lagras i Microsoft Entra ID. Som en del av principkonfigurationen har alternativet Tillåt standardanvändare att aktivera kryptering under Microsoft Entra koppling valts.

Principdistributionen misslyckas och felet genererar följande händelser i Loggboken i mappen Program- och tjänstloggar>i Microsoft>Windows>BitLocker API:

Händelse-ID:846

Händelse: Det gick inte att säkerhetskopiera återställningsinformation för BitLocker-diskkryptering för volym C: till din Microsoft Entra ID.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Fel: Okänd HResult-felkod: 0x80072f9a

Händelse-ID:778

Händelse: BitLocker-volymen C: återställdes till ett oskyddat tillstånd.

Händelse-ID: 851

Händelse: Det gick inte att aktivera tyst kryptering.

Fel: Okänd HResult-felkod: 0x80072f9a.

Dessa händelser refererar till Felkod 0x80072f9a.

Orsak till händelse-ID 846, 778 och 851: Fel 0x80072f9a

Dessa händelser indikerar att den inloggade användaren inte har behörighet att läsa den privata nyckeln på certifikatet som genereras som en del av etablerings- och registreringsprocessen. Därför misslyckas bitLocker MDM-principuppdateringen.

Problemet påverkar Windows 10 version 1809.

Lösning för händelse-ID 846, 778 och 851: Fel 0x80072f9a

Lös problemet genom att installera uppdateringen den 21 maj 2019 .

Felmeddelande: Det finns motstridiga grupprincipinställningar för återställningsalternativ på operativsystemenheter

Ett felmeddelande som liknar följande felmeddelande visas:

Fel: BitLocker-diskkryptering kan inte tillämpas på den här enheten eftersom det finns motstridiga grupprincip inställningar för återställningsalternativ på operativsystemenheter. Det går inte att lagra återställningsinformation till Active Directory Domain Services när det inte är tillåtet att generera återställningslösenord. Be systemadministratören lösa dessa principkonflikter innan du försöker aktivera BitLocker...

Lösning för felmeddelande: Det finns motstridiga grupprincipinställningar för återställningsalternativ på operativsystemenheter

Lös problemet genom att granska inställningarna för grupprincipobjekt (GPO) för konflikter. Mer information finns i nästa avsnitt Granska BitLocker-principkonfiguration.

Mer information om grupprincipobjekt och BitLocker finns i BitLocker grupprincip-referens.

Granska BitLocker-principkonfigurationen

Information om proceduren för att använda principer tillsammans med BitLocker och Intune finns i följande resurser:

Intune erbjuder följande tillämpningstyper för BitLocker:

  • Automatisk (framtvingas när enheten ansluter Microsoft Entra ID under etableringsprocessen. Det här alternativet är tillgängligt i Windows 10 version 1703 och senare.)
  • Tyst (Endpoint Protection-princip. Det här alternativet är tillgängligt i Windows 10 version 1803 och senare.)
  • Interaktiv (slutpunktsprincip för Windows-versioner som är äldre än Windows 10 version 1803.)

Om enheten körs Windows 10 version 1703 eller senare stöder modernt vänteläge (även kallat Instant Go) och är HSTI-kompatibel och ansluter enheten till Microsoft Entra ID utlöser automatisk enhetskryptering. En separat slutpunktsskyddsprincip krävs inte för att framtvinga enhetskryptering.

Om enheten är HSTI-kompatibel men inte stöder modernt vänteläge måste en princip för slutpunktsskydd konfigureras för att framtvinga tyst BitLocker-enhetskryptering. Inställningarna för den här principen bör likna följande inställningar:

Skärmbild av Intune principinställningar som visar Kryptera enheter som krävs.

OMA-URI-referenserna för de här inställningarna är följande:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Värdetyp: Heltal
    Värde: 1 (1 = Kräv, 0 = Inte konfigurerad)

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Värdetyp: Heltal
    Värde: 0 (0 = Blockerad, 1 = Tillåten)

Obs!

Om enheten använder Windows 10 version 1809 eller senare kan en slutpunktsskyddsprincip användas för att framtvinga tyst BitLocker-enhetskryptering på grund av en uppdatering av BitLocker Policy CSP, även om enheten inte är HSTI-kompatibel.

Obs!

Om inställningen Varning för annan diskkryptering är inställd på Inte konfigurerad måste guiden BitLocker-enhetskryptering startas manuellt.

Om enheten inte stöder modernt vänteläge men är HSTI-kompatibel, och den använder en version av Windows som är tidigare än Windows 10 version 1803, levererar en slutpunktsskyddsprincip med de inställningar som beskrivs i den här artikeln principkonfigurationen till enheten. Windows meddelar dock användaren att manuellt aktivera BitLocker-diskkryptering. När användaren väljer meddelandet startas guiden BitLocker-diskkryptering.

Intune innehåller inställningar som kan användas för att konfigurera automatisk enhetskryptering för Autopilot-enheter för standardanvändare. Varje enhet måste uppfylla följande krav:

  • Vara HSTI-kompatibel
  • Stöd för modernt vänteläge
  • Använd Windows 10 version 1803 eller senare

Skärmbild av den Intune principinställningen som visar Tillåt standardanvändare att aktivera kryptering under Microsoft Entra anslutning.

OMA-URI-referenserna för de här inställningarna är följande:

  • OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Värdetyp: Heltalsvärde : 1

Obs!

Den här noden fungerar tillsammans med noderna RequireDeviceEncryption och AllowWarningForOtherDiskEncryption . Av den anledningen, när följande inställningar har angetts:

  • RequireDeviceEncryption till 1
  • AllowStandardUserEncryption till 1
  • AllowWarningForOtherDiskEncryption till 0

Intune framtvingar tyst BitLocker-kryptering för Autopilot-enheter som har standardanvändarprofiler.

Kontrollera att BitLocker fungerar korrekt

Under vanliga åtgärder genererar BitLocker-enhetskryptering händelser som händelse-ID 796 och händelse-ID 845.

Skärmbild av händelse-ID 796 med detaljerad information.

Skärmbild av händelse-ID 845 med detaljerad information.

Det kan också fastställas om BitLocker-återställningslösenordet har laddats upp till Microsoft Entra ID genom att kontrollera enhetsinformationen i avsnittet Microsoft Entra Enheter.

Skärmbild av BitLocker-återställningsinformationen som visas i Microsoft Entra ID.

På enheten kontrollerar du registrets Editor för att verifiera principinställningarna på enheten. Kontrollera posterna under följande undernycklar:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Skärmbild av registerundernycklarna som är relaterade till Intune princip.