Intune kullanarak BitLocker ilkelerini zorunlu tutma: bilinen sorunlar

Bu makale, cihazlarda sessiz BitLocker şifrelemesini yönetmek için Microsoft Intune ilkesi kullanılıyorsa karşılaşabilecek sorunların giderilmesine yardımcı olur. Intune portalı, BitLocker'ın bir veya daha fazla yönetilen cihazı şifreleyemediğini gösterir.

Sorunun nedenini daraltmaya başlamak için BitLocker sorunlarını giderme bölümünde açıklandığı gibi olay günlüklerini gözden geçirin. Uygulamalar ve Hizmetler günlükleriMicrosoft>Windows>BitLocker-API klasöründeki Yönetim ve İşlemgünlüklerine> odaklanın. Aşağıdaki bölümlerde, belirtilen olayları ve hata iletilerini çözümleme hakkında daha fazla bilgi sağlanır:

• Olay Kimliği 853: Hata: Uyumlu bir Güvenilen Platform Modülü (TPM) Güvenlik Cihazı bu bilgisayarda bulunamıyor
• Olay Kimliği 853: Hata: BitLocker Sürücü Şifrelemesi bilgisayarda önyüklenebilir medya (CD veya DVD) algılandı
• Olay Kimliği 854: WinRE yapılandırılmadı
• Olay Kimliği 851: BIOS yükseltmesi için üreticiye başvurun
• Hata iletisi: 'SecureBoot' UEFI değişkeni okunamadı
• Olay Kimliği 846, 778 ve 851: Hata 0x80072f9a
• Hata iletisi: İşletim sistemi sürücülerinde kurtarma seçenekleri için çakışan grup ilkesi ayarları var

İzleyebileceğiniz olayların veya hata iletilerinin net bir izi yoksa, araştırılması gereken diğer alanlar aşağıdaki alanları içerir:

• Cihazlarda BitLocker'ı yönetmek için Intune kullanmaya yönelik donanım gereksinimlerini gözden geçirin
• BitLocker ilke yapılandırmasını gözden geçirme

Intune ilkelerinin BitLocker'ı doğru uygulayıp uygulamadığını doğrulama yordamı hakkında bilgi için bkz. BitLocker'ın düzgün çalıştığını doğrulama.

Olay Kimliği 853: Hata: Uyumlu bir Güvenilen Platform Modülü (TPM) Güvenlik Cihazı bu bilgisayarda bulunamıyor

Olay Kimliği 853, bağlama bağlı olarak farklı hata iletileri taşıyabilir. Bu durumda, Olay Kimliği 853 hata iletisi cihazın TPM'si olmadığını gösterir. Olay bilgileri aşağıdaki olaya benzer olacaktır:

Olay Kimliği 853'ün Nedeni: Hata: Uyumlu bir Güvenilen Platform Modülü (TPM) Güvenlik Cihazı bu bilgisayarda bulunamıyor

Güvenliği sağlanan cihazın TPM yongası olmayabilir veya cihaz BIOS'unun TPM'yi devre dışı bırakmak için yapılandırılmış olması gerekir.

Olay Kimliği 853 için Çözüm: Hata: Uyumlu bir Güvenilen Platform Modülü (TPM) Güvenlik Cihazı bu bilgisayarda bulunamıyor

Bu sorunu çözmek için aşağıdaki yapılandırmaları doğrulayın:

• TPM, cihaz BIOS'unda etkinleştirilir.
• TPM yönetim konsolundaki TPM durumu aşağıdaki durumlara benzer:
  • Hazır (TPM 2.0)
  • Başlatıldı (TPM 1.2)

Daha fazla bilgi için bkz. TPM sorunlarını giderme.

Olay Kimliği 853: Hata: BitLocker Sürücü Şifrelemesi bilgisayarda önyüklenebilir medya (CD veya DVD) algılandı

Bu durumda, olay kimliği 853 görüntülenir ve olaydaki hata iletisi cihazda önyüklenebilir medyanın kullanılabilir olduğunu gösterir. Olay bilgileri aşağıdakine benzer.

Olay Kimliği 853'ün Nedeni: Hata: BitLocker Sürücü Şifrelemesi bilgisayarda önyüklenebilir medya (CD veya DVD) algılandı

Sağlama işlemi sırasında BitLocker sürücü şifrelemesi, temel oluşturmak için cihazın yapılandırmasını kaydeder. Cihaz yapılandırması daha sonra değişirse (örneğin, medya kaldırılırsa), BitLocker kurtarma modu otomatik olarak başlatılır.

Bu durumu önlemek için, çıkarılabilir önyüklenebilir bir medya algılarsa sağlama işlemi durdurulur.

Olay Kimliği 853 için Çözüm: Hata: BitLocker Sürücü Şifrelemesi bilgisayarda önyüklenebilir medya (CD veya DVD) algılandı

Önyüklenebilir medyayı kaldırın ve cihazı yeniden başlatın. Cihaz yeniden başlatıldıktan sonra şifreleme durumunu doğrulayın.

Olay Kimliği 854: WinRE yapılandırılmadı

Olay bilgileri aşağıdaki hata iletisine benzer:

Sessiz Şifreleme etkinleştiremedi. WinRe yapılandırılmadı.

Hata: WinRE düzgün yapılandırılmadığından bu bilgisayar cihaz şifrelemeyi destekleyemiyor.

Olay Kimliği 854: WinRE yapılandırılmadı

Windows Kurtarma Ortamı (WinRE), Windows Önyükleme Ortamı'nın (Windows PE) temel alındığı minimal bir Windows işletim sistemidir. WinRE, bir yöneticinin Windows'ı kurtarmak veya sıfırlamak ve Windows sorunlarını tanılamak için kullanabileceği çeşitli araçlar içerir. Bir cihaz normal Windows işletim sistemini başlatamıyorsa, cihaz WinRE'yi başlatmaya çalışır.

Sağlama işlemi, sağlamanın Windows PE aşamasında işletim sistemi sürücüsünde BitLocker sürücü şifrelemesini etkinleştirir. Bu eylem, tam işletim sistemi yüklenmeden önce sürücünün korunmasını sağlar. Sağlama işlemi, sistem kilitlenirse WinRE'nin kullanması için bir sistem bölümü de oluşturur.

Cihazda WinRE kullanılamıyorsa sağlama durdurulur.

Olay Kimliği 854: WinRE yapılandırılmadı için çözüm

Bu sorun, aşağıdaki adımları izleyerek disk bölümlerinin yapılandırması, WinRE'nin durumu ve Windows Önyükleme Yükleyicisi yapılandırması doğrulanarak çözülebilir:

1. Adım: Disk bölümlerinin yapılandırmasını doğrulama

Bu bölümde açıklanan yordamlar, Windows'un yükleme sırasında yapılandırdığı varsayılan disk bölümlerine bağlıdır. Windows 11 ve Windows 10 otomatik olarak Winre.wim dosyasını içeren bir kurtarma bölümü oluşturur. Bölüm yapılandırması aşağıdakine benzer.

Disk bölümlerinin yapılandırmasını doğrulamak için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutları çalıştırın:

diskpart.exe 
list volume

Birimlerin herhangi birinin durumu iyi durumda değilse veya kurtarma bölümü eksikse Windows'un yeniden yüklenmesi gerekebilir. Windows'ı yeniden yüklemeden önce, sağlanan Windows görüntüsünün yapılandırmasını denetleyin. Görüntünün doğru disk yapılandırmasını kullandığından emin olun. Görüntü yapılandırması aşağıdakine benzer olmalıdır (bu örnek Microsoft Configuration Manager):

2. Adım: WinRE'nin durumunu doğrulama

Cihazda WinRE'nin durumunu doğrulamak için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

reagentc.exe /info

Bu komutun çıkışı aşağıdakine benzer.

Windows RE durumuEtkin değilse etkinleştirmek için aşağıdaki komutu çalıştırın:

reagentc.exe /enable

3. Adım: Windows Önyükleme Yükleyicisi yapılandırmasını doğrulama

Bölüm durumu iyi durumdaysa ancak reagentc.exe /enable komutu hatayla sonuçlanırsa, yükseltilmiş komut istemi penceresinde aşağıdaki komutu çalıştırarak Windows Önyükleme Yükleyicisi'nin kurtarma dizisi GUID'sini içerip içermediğini doğrulayın:

bcdedit.exe /enum all

Bu komutun çıkışı aşağıdaki çıkışa benzer olacaktır:

Çıktıda, tanımlayıcı={current} satırını içeren Windows Önyükleme Yükleyicisi bölümünü bulun. Bu bölümde recoverysequence özniteliğini bulun. Bu özniteliğin değeri sıfır dizesi değil GUID değeri olmalıdır.

Olay Kimliği 851: BIOS yükseltme yönergeleri için üreticiye başvurun

Olay bilgileri aşağıdaki hata iletisine benzer olacaktır:

Sessiz Şifreleme etkinleştiremedi.

Hata: BitLocker Sürücü Şifrelemesi işletim sistemi sürücüsünde etkinleştirilemiyor. BIOS yükseltme yönergeleri için bilgisayar üreticisine başvurun.

Olay Kimliği 851'in nedeni: BIOS yükseltme yönergeleri için üreticiye başvurun

Cihazın Birleşik Genişletilebilir Üretici Yazılımı Arabirimi (UEFI) BIOS'u olmalıdır. Sessiz BitLocker sürücü şifrelemesi eski BIOS'ları desteklemez.

Olay Kimliği 851 için çözüm: BIOS yükseltme yönergeleri için üreticiye başvurun

BIOS modunu doğrulamak için şu adımları izleyerek Sistem Bilgileri uygulamasını kullanın:

1. Başlat'ı seçin ve Ara kutusuna msinfo32 yazın.

2. BIOS Modu ayarının Eski değil UEFI olduğunu doğrulayın.

   

3. BIOS Modu ayarı Eski ise UEFI üretici yazılımının UEFI veya EFI moduna geçmesi gerekir. UEFI veya EFI moduna geçiş adımları cihaza özeldir.

   Not

   Cihaz yalnızca Eski modu destekliyorsa Intune cihazda BitLocker Cihaz Şifrelemesi'ni yönetmek için kullanılamaz.

Hata iletisi: 'SecureBoot' UEFI değişkeni okunamadı

Aşağıdaki hata iletisine benzer bir hata iletisi görüntülenir:

Hata: 'SecureBoot' UEFI değişkeni okunamadığından BitLocker bütünlük için Güvenli Önyükleme'yi kullanamıyor. Gerekli ayrıcalık istemci tarafından tutulmaz.

Hata iletisinin nedeni: 'SecureBoot' UEFI değişkeni okunamadı

Platform yapılandırma yazmacı (PCR), TPM'deki bir bellek konumudur. Özellikle, PCR 7 güvenli önyükleme durumunu ölçer. Sessiz BitLocker sürücü şifrelemesi, güvenli önyüklemenin açık olmasını gerektirir.

Hata iletisi için çözüm: 'SecureBoot' UEFI değişkeni okunamadı

Bu sorun, aşağıdaki adımları izleyerek TPM'nin PCR doğrulama profili ve güvenli önyükleme durumu doğrulanarak çözülebilir:

1. Adım: TPM'nin PCR doğrulama profilini doğrulama

PCR 7'nin kullanımda olduğunu doğrulamak için yükseltilmiş bir Komut İstemi penceresi açın ve aşağıdaki komutu çalıştırın:

Manage-bde.exe -protectors -get %systemdrive%

Bu komutun çıktısının TPM bölümünde, PCR Doğrulama Profili ayarının aşağıdaki gibi 7 içerip içermediğini doğrulayın:

PCR Doğrulama Profili7 içermiyorsa (örneğin, değerler 0, 2, 4 ve 11'i içerir, ancak 7'yi içermez), güvenli önyükleme açılmaz.

2: Güvenli önyükleme durumunu doğrulama

Güvenli önyükleme durumunu doğrulamak için aşağıdaki adımları izleyerek Sistem Bilgileri uygulamasını kullanın:

1. Başlat'ı seçin ve Ara kutusuna msinfo32 yazın.

2. Aşağıdaki gibi Güvenli Önyükleme Durumu ayarının Açık olduğunu doğrulayın:

   

3. Güvenli Önyükleme Durumu ayarı Desteklenmiyorsa, Cihazda Sessiz BitLocker Şifrelemesi kullanılamaz.

   

Not

Confirm-SecureBootUEFI PowerShell cmdlet'i, yükseltilmiş bir PowerShell penceresi açıp aşağıdaki komutu çalıştırarak Güvenli Önyükleme durumunu doğrulamak için de kullanılabilir:

Confirm-SecureBootUEFI

Bilgisayar Güvenli Önyükleme'yi destekliyorsa ve Güvenli Önyükleme etkinleştirildiyse, bu cmdlet "True" döndürür.

Bilgisayar güvenli önyüklemeyi destekliyorsa ve güvenli önyükleme devre dışıysa, bu cmdlet "False" döndürür.

Bilgisayar Güvenli Önyükleme'yi desteklemiyorsa veya bir BIOS (UEFI olmayan) bilgisayarsa, bu cmdlet "Bu platformda cmdlet desteklenmiyor" değerini döndürür.

Olay Kimliği 846, 778 ve 851: Hata 0x80072f9a

Aşağıdaki senaryoyu inceleyin:

Windows 10, sürüm 1809 cihazı şifrelemek için Intune ilkesi dağıtılıyor ve kurtarma parolası Microsoft Entra ID depolanıyor. İlke yapılandırmasının bir parçası olarak, standart kullanıcıların Microsoft Entra katılma sırasında şifrelemeyi etkinleştirmesine izin ver seçeneği belirlenmiştir.

İlke dağıtımı başarısız olur ve hata, Uygulama ve Hizmet Günlükleri>Microsoft>Windows>BitLocker API klasöründeki Olay Görüntüleyicisi aşağıdaki olayları oluşturur:

Olay Kimliği:846

Olay: C: birimi için BitLocker Sürücü Şifrelemesi kurtarma bilgileri Microsoft Entra ID yedeklanamadı.

TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Hata: Bilinmeyen HResult Hata kodu: 0x80072f9a

Olay Kimliği:778

Olay: BitLocker birimi C: korumasız bir duruma geri döndürüldü.

Olay Kimliği: 851

Olay: Sessiz Şifreleme etkinleştirılamadı.

Hata: Bilinmeyen HResult Hata kodu: 0x80072f9a.

Bu olaylar Hata kodu 0x80072f9a başvurur.

Olay Kimliği 846, 778 ve 851'in nedeni: Hata 0x80072f9a

Bu olaylar, oturum açan kullanıcının sağlama ve kayıt işleminin bir parçası olarak oluşturulan sertifikada özel anahtarı okuma izni olmadığını gösterir. Bu nedenle, BitLocker MDM ilkesi yenilemesi başarısız olur.

Sorun Windows 10 sürüm 1809'Windows 10 etkiler.

Olay Kimliği 846, 778 ve 851 için Çözüm: Hata 0x80072f9a

Bu sorunu çözmek için 21 Mayıs 2019 güncelleştirmesini yükleyin.

Hata iletisi: İşletim sistemi sürücülerinde kurtarma seçenekleri için çakışan grup ilkesi ayarları var

Aşağıdaki hata iletisine benzer bir hata iletisi görüntülenir:

Hata: İşletim sistemi sürücülerinde kurtarma seçenekleri için çakışan grup ilkesi ayarları olduğundan BitLocker Sürücü Şifrelemesi bu sürücüye uygulanamıyor. Kurtarma parolalarının oluşturulmasına izin verilmediğinde kurtarma bilgilerinin Active Directory Domain Services depolanması gerekli değildir. BitLocker'ı etkinleştirmeyi denemeden önce lütfen sistem yöneticinizden bu ilke çakışmalarını çözmesini isteyin...

Hata iletisi için çözüm: İşletim sistemi sürücülerinde kurtarma seçenekleri için çakışan grup ilkesi ayarları var

Bu sorunu çözmek için, çakışmalar için grup ilkesi nesnesi (GPO) ayarlarını gözden geçirin. Daha fazla bilgi için BitLocker ilke yapılandırmasını gözden geçirme başlıklı sonraki bölüme bakın.

GPO'lar ve BitLocker hakkında daha fazla bilgi için bkz. BitLocker grup ilkesi Başvurusu.

BitLocker ilke yapılandırmasını gözden geçirme

BitLocker ve Intune ile birlikte ilke kullanma yordamı hakkında bilgi için aşağıdaki kaynaklara bakın:

• Kuruluşlar için BitLocker yönetimi: Microsoft Entra ID katılmış cihazları yönetme
• BitLocker grup ilkesi Başvurusu
• Yapılandırma hizmeti sağlayıcısı başvurusu
• İlke CSP – BitLocker
• BitLocker CSP
• MDM'de ADMX destekli ilkeleri etkinleştirme
• Gpresult

Intune, BitLocker için aşağıdaki zorlama türlerini sunar:

• Otomatik (Sağlama işlemi sırasında cihaz Microsoft Entra ID katıldığında uygulanır. Bu seçenek Windows 10 sürüm 1703 ve sonraki sürümlerde kullanılabilir.)
• Sessiz (Uç nokta koruma ilkesi. Bu seçenek Windows 10 sürüm 1803 ve sonraki sürümlerde kullanılabilir.)
• Etkileşimli (Windows 10 sürüm 1803'ten eski Windows sürümleri için uç nokta ilkesi.)

Cihaz 1703 veya sonraki bir sürüm Windows 10 çalıştırıyorsa, Modern Beklemeyi (Instant Go olarak da bilinir) destekler ve HSTI uyumluysa, cihazı otomatik cihaz şifrelemesini Microsoft Entra ID için birleştirerek otomatik cihaz şifrelemesini tetikler. Cihaz şifrelemesini zorunlu kılmak için ayrı bir uç nokta koruma ilkesi gerekmez.

Cihaz HSTI uyumluysa ancak Modern Beklemeyi desteklemiyorsa, sessiz BitLocker sürücü şifrelemesini zorunlu kılmak için bir uç nokta koruma ilkesinin yapılandırılması gerekir. Bu ilkenin ayarları aşağıdaki ayarlara benzer olmalıdır:

Bu ayarlar için OMA-URI başvuruları aşağıdaki gibidir:

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
  Değer Türü: Tamsayı
  Değer: 1 (1 = Gerekli, 0 = Yapılandırılmadı)

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
  Değer Türü: Tamsayı
  Değer: 0 (0 = Engellendi, 1 = İzin Verildi)

Not

BitLocker İlkesi CSP güncelleştirmesi nedeniyle, cihaz Windows 10 sürüm 1809 veya üzerini kullanıyorsa, cihaz HSTI uyumlu olmasa bile sessiz BitLocker Cihaz Şifrelemesi'ni zorunlu kılmak için bir uç nokta koruma ilkesi kullanılabilir.

Not

Diğer disk şifrelemesi için uyarı ayarı Yapılandırılmadı olarak ayarlanırsa, BitLocker sürücü şifreleme sihirbazının el ile başlatılması gerekir.

Cihaz Modern Beklemeyi desteklemiyorsa ancak HSTI uyumluysa ve windows'un Windows 10'dan önceki bir sürümünü kullanıyorsa, sürüm 1803, bu makalede açıklanan ayarları içeren bir uç nokta koruma ilkesi, ilke yapılandırmasını cihaza sunar. Ancak Windows daha sonra kullanıcıya BitLocker Sürücü Şifrelemesi'ni el ile etkinleştirmesi için uyarır. Kullanıcı bildirimi seçtiğinde BitLocker Sürücü Şifrelemesi sihirbazını başlatır.

Intune, standart kullanıcılar için Autopilot cihazları için otomatik cihaz şifrelemesini yapılandırmak için kullanılabilecek ayarlar sağlar. Her cihazın aşağıdaki gereksinimleri karşılaması gerekir:

• HSTI uyumlu olun
• Modern Bekleme Desteği
• Windows 10 sürüm 1803 veya üzerini kullanma

Bu ayarlar için OMA-URI başvuruları aşağıdaki gibidir:

• OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
  Değer Türü: Tamsayı Değeri: 1

Not

Bu düğüm RequireDeviceEncryption ve AllowWarningForOtherDiskEncryption düğümleriyle birlikte çalışır. Bu nedenle, aşağıdaki ayarlar ayarlandığında:

• RequireDeviceEncryption - 1
• AllowStandardUserEncryption - 1
• AllowWarningForOtherDiskEncryption to 0

Intune, standart kullanıcı profillerine sahip Autopilot cihazları için sessiz BitLocker şifrelemesi uygular.

BitLocker'ın doğru çalıştığını doğrulama

Normal işlemler sırasında BitLocker sürücü şifrelemesi Olay Kimliği 796 ve Olay Kimliği 845 gibi olaylar oluşturur.

Microsoft Entra Cihazlar bölümündeki cihaz ayrıntıları denetlenerek BitLocker kurtarma parolasının Microsoft Entra ID'a yüklenip yüklenmediği de belirlenebilir.

Cihazda, cihazdaki ilke ayarlarını doğrulamak için Kayıt Defteri Düzenleyici denetleyin. Aşağıdaki alt anahtarlar altındaki girdileri doğrulayın:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device