Aracılığıyla paylaş

İstemci tarafından BitLocker ilkeleriyle ilgili sorunları giderme

Bu makalede, istemci tarafında BitLocker şifreleme sorunlarını giderme hakkında yönergeler sağlanır. Microsoft Intune şifreleme raporu yaygın şifreleme sorunlarını belirlemenize ve gidermenize yardımcı olabilir ancak BitLocker yapılandırma hizmeti sağlayıcısından (CSP) bazı durum verileri bildirilmeyebilir. Bu senaryolarda daha fazla araştırma yapmak için cihaza erişmeniz gerekir.

BitLocker şifreleme işlemi

Aşağıdaki adımlarda, daha önce BitLocker ile şifrelenmemiş bir Windows 10 cihazının başarılı bir şekilde şifrelenmesine neden olması gereken olayların akışı açıklanmaktadır.

  1. Yönetici , Intune'da istenen ayarlarla bir BitLocker ilkesi yapılandırıp bir kullanıcı grubunu veya cihaz grubunu hedefler.
  2. İlke, Intune hizmetindeki bir kiracıya kaydedilir.
  3. Windows 10 Mobile Cihaz Yönetimi (MDM) istemcisi Intune hizmetiyle eşitlenir ve BitLocker ilke ayarlarını işler.
  4. BitLocker MDM ilkesi Yenileme zamanlanmış görevi, BitLocker ilke ayarlarını tam birim şifreleme (FVE) kayıt defteri anahtarına çoğaltan cihazda çalışır.
  5. BitLocker şifrelemesi sürücülerde başlatılır.

Şifreleme raporu, Intune'da hedeflenen her cihaz için şifreleme durumu ayrıntılarını gösterir. Sorun giderme için bu bilgilerin nasıl kullanılacağına ilişkin ayrıntılı yönergeler için bkz . Intune şifreleme raporuyla BitLocker sorunlarını giderme.

El ile eşitleme başlatma

Şifreleme raporunda eyleme dönüştürülebilir bilgi olmadığını belirlediyseniz, araştırmayı tamamlamak için etkilenen cihazdan veri toplamanız gerekir.

Cihaza erişiminiz olduğunda ilk adım, verileri toplamadan önce Intune hizmetiyle el ile eşitleme başlatmaktır. Windows cihazınızda Ayarlar>Hesaplar>İşe veya okula<>eriş'i seçin İş veya okul hesabınızın>>bilgilerini seçin. Ardından Cihaz eşitleme durumu altında Eşitle'yi seçin.

Eşitleme tamamlandıktan sonra aşağıdaki bölümlere geçin.

Olay günlüğü verilerini toplama

Aşağıdaki bölümlerde, şifreleme durumu ve ilkeleriyle ilgili sorunları gidermeye yardımcı olmak için farklı günlüklerden nasıl veri toplayacağınız açıklanmaktadır. Günlük verilerini toplamadan önce el ile eşitlemeyi tamamladığınızdan emin olun.

Mobil cihaz yönetimi (MDM) aracısı olay günlüğü

MDM olay günlüğü, Intune ilkesini işlerken veya CSP ayarlarını uygularken bir sorun olup olmadığını belirlemek için yararlıdır. OMA DM aracısı Intune hizmetine bağlanır ve kullanıcı veya cihazı hedefleyen ilkeleri işlemeye çalışır. Bu günlükte Intune ilkeleri işlenirken başarı ve başarısızlıklar gösterilir.

Aşağıdaki bilgileri toplayın veya gözden geçirin:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider yöneticisi

  • Konum: Başlat Menüsü> Olay Görüntüleyicisi> Uygulamalar ve Hizmet Günlükleri'ne>sağ tıklayın Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin>
  • Dosya sistemi konumu: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Bu günlüğü filtrelemek için olay günlüğüne sağ tıklayın ve Geçerli Günlüğe>Filtre Uygula Kritik/Hata/Uyarı'yı seçin. Ardından, filtrelenmiş günlüklerde BitLocker araması yapın (F3 tuşuna basın ve metni girin).

BitLocker ayarlarındaki hatalar BitLocker CSP biçimini izler, bu nedenle aşağıdaki gibi girdileri görürsünüz:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

veya

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Not

Ayrıca sorun gidermeye yönelik Olay Görüntüleyicisi kullanarak bu olay günlüğü için hata ayıklama günlüğünü etkinleştirebilirsiniz.

BitLocker-API yönetim olay günlüğü

Bu, BitLocker için ana olay günlüğüdür. MDM aracısı ilkeyi başarıyla işlediyse ve DeviceManagement-Enterprise-Diagnostics-Provider yönetici olay günlüğünde hata yoksa, araştırılması gereken sonraki günlük budur.

LOG>BitLocker-API yönetimi

  • Konum: Başlat Menüsü> Olay Görüntüleyicisi> Uygulamalar ve Hizmet Günlükleri>Microsoft>Windows>BitLocker-API'ye sağ tıklayın
  • Dosya sistemi konumu: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

İlkenin Güvenilen Platform Modülü (TPM) veya Windows Kurtarma Ortamı (WinRE) gibi gerektirdiği donanım veya yazılım önkoşulları eksikse hatalar genellikle burada günlüğe kaydedilir.

Hata: Sessiz Şifreleme etkinleştirılamadı

Aşağıdaki örnekte gösterildiği gibi, sessiz şifreleme ve grup ilkesi çakışmaları olarak bildirim sırasında uygulanamayan çakışan ilke ayarları da günlüğe kaydedilir:

Sessiz Şifreleme etkinleştirılamadı.

Hata: BitLocker Şifrelemesi, çakışan Grup İlkesi ayarları nedeniyle bu sürücüye uygulanamıyor. BitLocker tarafından korunmayan sürücülere yazma erişimi reddedildiğinde, USB başlangıç anahtarı kullanılması gerekli değildir. BitLocker'ı etkinleştirmeyi denemeden önce lütfen sistem yöneticinizden bu ilke çakışmalarını çözmesini isteyin.

Çözüm: Uyumlu TPM başlangıç PIN'ini Engellendi olarak yapılandırın. Bu, sessiz şifreleme kullanılırken çakışan Grup İlkesi ayarlarını çözer.

Sessiz şifreleme gerekiyorsa PIN ve TPM başlangıç anahtarını Engellendi olarak ayarlamanız gerekir. TPM başlangıç PIN'ini ve başlangıç anahtarını İzin verildi olarak ve diğer başlangıç anahtarı ve PIN ayarının kullanıcı etkileşimi için engellendi olarak yapılandırılması, BitLocker-AP olay günlüğünde çakışan bir Grup İlkesi hatasına neden olur. Ayrıca, TPM başlangıç PIN'ini veya başlangıç anahtarını kullanıcı etkileşimi gerektirecek şekilde yapılandırdığınızda, sessiz şifrelemenin başarısız olmasına neden olur.

Uyumlu TPM ayarlarından herhangi birinin Gerekli olarak yapılandırılması sessiz şifrelemenin başarısız olmasına neden olur.

Uyumlu TPM başlatmanın Gerekli olarak ayarlandığını gösteren BitLocker İşletim Sistemi Sürücüsü Ayarları.

Hata: TPM kullanılamıyor

BitLocker-API günlüğündeki bir diğer yaygın hata da TPM'nin kullanılamamasıdır. Aşağıdaki örnekte TPM'nin sessiz şifreleme gereksinimi olduğu gösterilmektedir:

Sessiz Şifreleme etkinleştirılamadı. TPM kullanılamıyor.

Hata: Uyumlu bir Güvenilen Platform Modülü (TPM) Güvenlik Cihazı bu bilgisayarda bulunamıyor.

Çözüm: Cihazda kullanılabilir bir TPM olduğundan emin olun ve varsa TPM.msc veya PowerShell cmdlet get-tpm aracılığıyla durumu denetleyin.

Hata: İzin Verilmeyen DMA özellikli veri yolu

BitLocker-API günlüğü aşağıdaki durumu görüntülerse, Windows'un DMA tehdidini ortaya çıkarabilecek ekli bir Doğrudan bellek erişimi (DMA) özellikli cihaz algılediği anlamına gelir.

İzin Verilmeyen DMA özellikli veri yolu/cihazlar algılandı

Çözüm: Bu sorunu gidermek için önce cihazın orijinal ekipman üreticisine (OEM) sahip harici DMA bağlantı noktası olmadığını doğrulayın. Ardından cihazı izin verilenler listesine eklemek için bu adımları izleyin. Not: İzin verilenler listesine yalnızca iç DMA arabirimi/veri yolu ise bir DMA cihazı ekleyin.

Sistem olay günlüğü

TPM ile ilgili sorunlar gibi donanımla ilgili sorunlarınız varsa, TPMProvisioningService veya TPM-WMI kaynağından TPM için sistem olay günlüğünde hatalar görüntülenir.

LOG>Sistemi olayı

  • Konum: Başlat Menüsü> Olay Görüntüleyicisi> Windows Günlükleri>Sistemi'ne sağ tıklayın
  • Dosya sistemi konumu: C:\Windows\System32\winevt\Logs\System.evtx

Sistem olay günlüğü için filtreleme özellikleri.

Cihazın TPM ile karşılaşabileceği donanımla ilgili sorunları tanımlamaya yardımcı olması için bu olay kaynaklarına filtre uygulayın ve kullanılabilir üretici yazılımı güncelleştirmeleri olup olmadığını OEM üreticisine danışın.

Görev zamanlayıcı işlem olay günlüğü

Görev zamanlayıcı işlem olay günlüğü, ilkenin Intune'dan alındığı (DeviceManagement-Enterprise'da işlendiği), ancak BitLocker şifrelemesinin başarıyla başlatılmadığı senaryolarda sorun giderme için kullanışlıdır. BitLocker MDM ilkesi yenilemesi, MDM aracısı Intune hizmetiyle eşitlendiğinde başarıyla çalışması gereken zamanlanmış bir görevdir.

Aşağıdaki senaryolarda işlem günlüğünü etkinleştirin ve çalıştırın:

  • BitLocker ilkesi DeviceManagement-Enterprise-Diagnostics-Provider yönetici olay günlüğünde, MDM tanılamasında ve kayıt defterinde görünür.
  • Hata yok (ilke Intune'dan başarıyla alındı).
  • Şifrelemenin denendiğini göstermek için BitLocker-API olay günlüğüne hiçbir şey kaydedilmez.

LOG>Görev zamanlayıcı işlem olayı

  • Konum: Olay Görüntüleyicisi> Uygulamalar ve Hizmet Günlükleri>Microsoft>Windows>TaskScheduler
  • Dosya sistemi konumu: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

İşletimsel olay günlüğünü etkinleştirme ve çalıştırma

Önemli

Günlük, BitLocker MDM ilkesi Zamanlanmış görevi yenile'yi çalıştıran sorunları belirleyeceği için, verileri günlüğe kaydetmeden önce bu olay günlüğünü el ile etkinleştirmeniz gerekir.

  1. Bu günlüğü etkinleştirmek için Başlat Menüsü> Olay Görüntüleyicisi> Uygulamalar ve Hizmetler>Microsoft>Windows>TaskScheduler>Operasyonel'e sağ tıklayın.

    TaskScheduler - İşlem Günlükleri'nin ekran görüntüsü.

  2. Ardından Windows arama kutusuna görev zamanlayıcı yazın ve Görev Zamanlayıcı>Microsoft>Windows>BitLocker'ı seçin. BitLocker MDM ilkesi Yenile'ye sağ tıklayın ve Çalıştır'ı seçin.

  3. Çalıştırma tamamlandığında, Son Çalıştırma Sonucu sütununu tüm hata kodları için inceleyin ve hatalara karşı görev zamanlaması olay günlüğünü inceleyin.

    Görev Zamanlayıcı'daki BitLocker görevlerinin örnek ekran görüntüsü.

    Yukarıdaki örnekte 0x0 başarıyla çalıştırılmıştır. Hata 0x41303 bu, görevin daha önce hiç çalışmadığı anlamına gelir.

Not

Görev Zamanlayıcı hata iletileri hakkında daha fazla bilgi için bkz . Görev Zamanlayıcı Hatası ve Başarı Sabitleri.

BitLocker ayarlarını denetleme

Aşağıdaki bölümlerde, şifreleme ayarlarınızı ve durumunuzu denetlemek için kullanabileceğiniz farklı araçlar açıklanmaktadır.

MDM Tanılama Raporu

Intune tarafından yönetilen Windows 10 cihazlarında kayıt veya cihaz yönetimi sorunlarını tanılamak için MDM günlüklerinin raporunu oluşturabilirsiniz. MDM Tanılama Raporu, Intune'a kaydedilmiş bir cihaz ve buna dağıtılan ilkeler hakkında yararlı bilgiler içerir.

Bu işlemin öğreticisi için Bkz. YouTube videosu Windows cihazlarında Intune MDM tanılama raporu oluşturma

  • Dosya sistemi konumu: C:\Users\Public\Documents\MDMDiagnostics

İşletim sistemi derlemesi ve sürümü

Şifreleme ilkenizin neden doğru uygulanmadığını anlamanın ilk adımı, Windows işletim sistemi sürümünün ve sürümünün yapılandırdığınız ayarları destekleyip desteklemediğini denetlemektir. Bazı CSP'ler Windows'un belirli sürümlerinde kullanıma sunulmuştur ve yalnızca belirli bir sürümde çalışır. Örneğin, BitLocker CSP ayarlarının çoğu Windows 10, sürüm 1703'te sunulmuştur ancak bu ayarlar Windows 10, sürüm 1809'a kadar Windows 10 Pro'da desteklenmedi.

Ayrıca AllowStandardUserEncryption (sürüm 1809'da eklendi), ConfigureRecoveryPasswordRotation (sürüm 1909'da eklendi), RotateRecoveryPasswords (sürüm 1909'da eklendi) ve Durum (sürüm 1903'te eklendi) gibi ayarlar vardır.

EntDMID ile araştırma

EntDMID, Intune kaydı için benzersiz bir cihaz kimliğidir. Microsoft Intune yönetim merkezinde EntDMID'yi kullanarak Tüm Cihazlar görünümünde arama yapabilir ve belirli bir cihazı tanımlayabilirsiniz. Ayrıca, bir destek olayı gerekiyorsa hizmet tarafında daha fazla sorun gidermeye olanak tanımak Microsoft desteği için de önemli bir bilgidir.

Yöneticinin yapılandırdığı ayarlarla bir ilkenin cihaza başarıyla gönderilip gönderilmediğini belirlemek için MDM Tanılama Raporu'nı da kullanabilirsiniz. BitLocker CSP'yi başvuru olarak kullanarak, Intune hizmetiyle eşitlenirken hangi ayarların alındığını deşifre edebilirsiniz. İlkenin cihazı hedefleyip hedeflemediğini belirlemek için raporu kullanabilir ve hangi ayarların yapılandırıldığını belirlemek için BitLocker CSP belgelerini kullanabilirsiniz.

MSINFO32

MSINFO32, bir cihazın BitLocker önkoşullarına uygun olup olmadığını belirlemek için kullanabileceğiniz cihaz verilerini içeren bir bilgi aracıdır. Gerekli önkoşullar BitLocker ilke ayarlarına ve gerekli sonuca bağlıdır. Örneğin, TPM 2.0 için sessiz şifreleme bir TPM ve Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) gerektirir.

  • Konum: Arama kutusuna msinfo32 yazın, arama sonuçlarında Sistem Bilgileri sağ tıklayın ve Yönetici olarak çalıştır'ı seçin.
  • Dosya sistemi konumu: C:\Windows\System32\Msinfo32.exe.

Ancak, bu öğe önkoşulları karşılamıyorsa, cihazı bir Intune ilkesi kullanarak şifreleyememeniz şart değildir.

  • BitLocker ilkesini sessizce şifrelemek için yapılandırdıysanız ve cihaz TPM 2.0 kullanıyorsa, BIOS modunun UEFI olduğunu doğrulamak önemlidir. TPM 1.2 ise, UEFI'de BIOS modunun olması gerekli değildir.
  • Güvenli önyükleme, DMA koruması ve PCR7 yapılandırması sessiz şifreleme için gerekli değildir, ancak Cihaz Şifreleme Desteği'nde vurgulanabilir. Bu, otomatik şifreleme desteği sağlamak içindir.
  • TPM gerektirmeyecek şekilde yapılandırılan ve sessizce şifrelemek yerine kullanıcı etkileşimi olan BitLocker ilkelerinin de MSINFO32 iade etmek için önkoşulları olmaz.

TPM. MSC dosyası

TPM.msc bir Microsoft Yönetim Konsolu (MMC) Ek Bileşeni dosyasıdır. TPM.msc kullanarak cihazınızın TPM'ye sahip olup olmadığını, sürümün kimliğini belirleyebilir ve kullanıma hazır olup olmadığını belirleyebilirsiniz.

  • Konum: Arama kutusuna tpm.msc yazın ve sağ tıklayıp Yönetici olarak çalıştır'ı seçin.
  • Dosya sistemi konumu: MMC Ek Bileşeni C:\Windows\System32\mmc.exe.

TPM, BitLocker için bir önkoşul değildir, ancak sağladığı güvenliğin artması nedeniyle kesinlikle önerilir. Ancak sessiz ve otomatik şifreleme için TPM gereklidir. Intune ile sessizce şifrelemeye çalışıyorsanız ve BitLocker-API ve sistem olay günlüklerinde TPM hataları varsa, TPM.msc sorunu anlamanıza yardımcı olur.

Aşağıdaki örnekte iyi durumda bir TPM 2.0 durumu gösterilmektedir. Sağ alttaki belirtim sürüm 2.0'a ve durumun kullanıma hazır olduğuna dikkat edin.

Güvenilir Platform Modülü konsolunda iyi durumda bir TPM 2.0 durumunun örnek ekran görüntüsü.

Bu örnekte, BIOS'ta TPM devre dışı bırakıldığında iyi durumda olmayan bir durum gösterilmektedir:

Güvenilir Platform Modülü konsolunda iyi durumda olmayan tpm 2.0 durumunun örnek ekran görüntüsü.

İlkeyi TPM gerektirecek şekilde yapılandırmak ve TPM eksik veya iyi durumda olmadığında BitLocker'ın şifrelemesini beklemek en yaygın sorunlardan biridir.

Get-Tpm cmdlet'i

Cmdlet, Windows PowerShell ortamındaki basit bir komuttır. TPM.msc çalıştırmaya ek olarak, Get-Tpm cmdlet'ini kullanarak TPM'yi doğrulayabilirsiniz. Bu cmdlet'i yönetici haklarıyla çalıştırmanız gerekir.

  • Konum: Arama kutusuna cmd yazın ve sağ tıklayıp Yönetici>olarak çalıştır PowerShell>get-tpm'yi seçin.

PowerShell penceresindeki mevcut ve etkin TPM'nin örnek ekran görüntüsü.

Yukarıdaki örnekte, Tpm'nin PowerShell penceresinde mevcut ve etkin olduğunu görebilirsiniz. Değerler True'ya eşittir. Değerler False olarak ayarlandıysa TPM ile ilgili bir sorun olduğunu gösterir. BitLocker tpm'yi mevcut, hazır, etkin, etkinleştirilmiş ve sahip olana kadar kullanamaz.

Manage-bde komut satırı aracı

Manage-bde, Windows'ta bulunan bir BitLocker şifreleme komut satırı aracıdır. BitLocker etkinleştirildikten sonra yönetime yardımcı olmak için tasarlanmıştır.

  • Konum: Arama kutusuna cmd yazın, sağ tıklayın ve Yönetici olarak çalıştır'ı seçin ve ardından manage-bde -status girin.
  • Dosya sistemi konumu: C:\Windows\System32\manage-bde.exe.

Komut İstemi penceresindeki manage-bde.exe komutunun örnek ekran görüntüsü.

Bir cihaz hakkında aşağıdaki bilgileri bulmak için manage-bde kullanabilirsiniz:

  • Şifrelenmiş mi? Microsoft Intune yönetim merkezinde raporlama bir cihazın şifrelenmediğini gösteriyorsa, bu komut satırı aracı şifreleme durumunu tanımlayabilir.
  • Hangi şifreleme yöntemi kullanıldı? Araçtaki bilgileri ilkedeki şifreleme yöntemiyle karşılaştırarak bunların eşleştiğinden emin olabilirsiniz. Örneğin, Intune ilkesi XTS-AES 256 bit olarak yapılandırılmışsa ve cihaz XTS-AES 128 bit kullanılarak şifreleniyorsa, bu durum Microsoft Intune yönetim merkezi ilke raporlamasında hatalara neden olur.
  • Hangi koruyucular kullanılıyor? Koruyucuların çeşitli bileşimleri vardır. Bir cihazda hangi koruyucunun kullanıldığını bilmek, ilkenin doğru uygulanılıp uygulanmadığını anlamanıza yardımcı olur.

Aşağıdaki örnekte cihaz şifrelenmemiştir:

BitLocker ile şifrelenmemiş bir cihazın örnek ekran görüntüsü.

BitLocker kayıt defteri konumları

Intune tarafından seçilen ilke ayarlarını deşifre etmek istediğinizde kayıt defterinde ilk bakılan yer burasıdır:

  • Konum: Çalıştırmayı Başlat'a> sağ tıklayın ve kayıt defteri düzenleyicisini açmak için regedit girin.
  • Varsayılan dosya sistemi konumu: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

MDM aracısı kayıt defteri anahtarı, gerçek BitLocker ilke ayarlarını içeren PolicyManager'da Genel Benzersiz Tanımlayıcıyı (GUID) belirlemenize yardımcı olur.

Kayıt Defteri Düzenleyicisi'nde BitLocker kayıt defteri konumu.

GUID yukarıdaki örnekte vurgulanmış. BitLocker ilke ayarlarıyla ilgili sorunları gidermek için GUID'yi (her kiracı için farklı olacaktır) aşağıdaki kayıt defteri alt anahtarına ekleyebilirsiniz:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

MDM aracısı tarafından yapılandırılan BitLocker ilke ayarlarını görüntüleyen Kayıt Defteri Düzenleyicisi'nin ekran görüntüsü

Bu rapor, MDM aracısı (OMADM istemcisi) tarafından alınan BitLocker ilke ayarlarını gösterir. Bunlar MDM Tanılama raporunda göreceğiniz ayarlarla aynıdır, bu nedenle bu, istemcinin aldığı ayarları tanımlamanın alternatif bir yoludur.

EncryptionMethodByDriveType kayıt defteri anahtarı örneği:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

SystemDrivesRecoveryOptions örneği:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

BitLocker kayıt defteri anahtarı

İlke sağlayıcısı kayıt defteri anahtarındaki ayarlar ana BitLocker kayıt defteri anahtarına çoğaltılır. Ayarları karşılaştırarak kullanıcı arabiriminde (UI), MDM günlüğünde, MDM tanılamasında ve ilke kayıt defteri anahtarındaki ilke ayarlarında görünenlerle eşleştiğinden emin olabilirsiniz.

  • Kayıt defteri anahtarı konumu: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Bu, FVE kayıt defteri anahtarının bir örneğidir:

Kayıt Defteri Düzenleyicisi'nde bulunan BitLocker kayıt defteri anahtarlarının ekran görüntüsü.

  • Y: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv ve EncryptionMethodWithXtsRdv aşağıdaki olası değerlere sahiptir:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN'in tümü 2 olarak ayarlanmıştır, yani hepsi izin verecek şekilde ayarlanmıştır.
  • C: Anahtarların çoğunun işletim sistemi sürücüsü (OS), sabit sürücü (FDV) ve çıkarılabilir sürücü (FDVR) için ayar gruplarına ayrıldığına dikkat edin.
  • D: OSActiveDirectoryBackup değeri 1'dir ve etkinleştirilir.
  • E: OSHideRecoveryPage 0'a eşittir ve etkin değildir.

Kayıt defterindeki tüm ayar adlarının kodunu çözmek için BitLocker CSP belgelerini kullanın.

REAgentC.exe komut satırı aracı

REAgentC.exe, Windows Kurtarma Ortamı'nı (Windows RE) yapılandırmak için kullanabileceğiniz bir komut satırı yürütülebilir aracıdır. WinRE, sessiz veya otomatik şifreleme gibi belirli senaryolarda BitLocker'ın etkinleştirilmesi için bir önkoşuldur.

  • Konum: Çalıştırmayı Başlat'a> sağ tıklayın, cmd girin. Ardından cmd'ye sağ tıklayın ve Yönetici>olarak çalıştır reagentc /info öğesini seçin.
  • Dosya sistemi konumu: C:\Windows\System32\ReAgentC.exe.

İpucu

BitLocker-API'de WinRe'nin etkinleştirilmediğiyle ilgili hata iletileri görürseniz, WinRE durumunu belirlemek için cihazda reagentc /info komutunu çalıştırın.

Komut İstemi'nde ReAgentC.exe komutunun çıktısı.

WinRE durumu devre dışıysa reagentc /enable komutunu yönetici olarak çalıştırarak el ile etkinleştirin:

Komut İstemi'nde ReAgentC.exe etkinleştirmek için örnek ekran görüntüsü. reagentc /enable komutunu çalıştırın

Özet

BitLocker, Intune ilkesi kullanarak Bir Windows 10 cihazında etkinleştiremediğinde, çoğu durumda donanım veya yazılım önkoşulları yerinde değildir. BitLocker-API günlüğünü incelemek, hangi önkoşulların karşılanmadığını belirlemenize yardımcı olur. En yaygın sorunlar şunlardır:

  • TPM yok
  • WinRE etkin değil
  • TPM 2.0 cihazları için UEFI BIOS etkin değil

İlkenin yanlış yapılandırılması şifreleme hatalarına da neden olabilir. Tüm Windows cihazları sessizce şifreleyemiyor, bu nedenle hedeflediğiniz kullanıcıları ve cihazları düşünün.

BitLocker etkinleştirilirken gereken kullanıcı etkileşimi nedeniyle, sessiz şifrelemeye yönelik bir ilke için başlangıç anahtarı veya PIN yapılandırma işlemi çalışmaz. Intune'da BitLocker ilkesini yapılandırırken bunu aklınızda bulundurun.

Hedeflemenin başarılı olup olmadığını belirlemek için ilke ayarlarının cihaz tarafından alınıp alınmadığını doğrulayın.

Ayarların başarıyla uygulanıp uygulanmadığını doğrulamak için MDM tanılamalarını, kayıt defteri anahtarlarını ve cihaz yönetimi kurumsal olay günlüğünü kullanarak ilke ayarlarını belirlemek mümkündür. BitLocker CSP belgeleri, ilkede yapılandırılanlarla eşleşip eşleşmediğini anlamak için bu ayarları çözmenize yardımcı olabilir.