使用 Intune 强制执行 BitLocker 策略:已知问题
本文有助于排查在使用Microsoft Intune策略管理设备上的无提示 BitLocker 加密时可能遇到的问题。 Intune门户指示 BitLocker 是否未能加密一个或多个托管设备。
若要开始缩小问题原因的范围,请查看对 BitLocker 进行故障排除中所述的事件日志。 专注于“应用程序和服务日志”Microsoft>Windows>BitLocker-API 文件夹中的“管理和操作”日志>。 以下部分提供了有关如何解决指示的事件和错误消息的详细信息:
- 事件 ID 853:错误:在此计算机上找不到兼容的受信任的平台模块 (TPM) 安全设备
- 事件 ID 853:错误:BitLocker 驱动器加密检测到计算机中的可启动媒体 (CD 或 DVD)
- 事件 ID 854:未配置 WinRE
- 事件 ID 851:联系制造商进行 BIOS 升级
- 错误消息:无法读取 UEFI 变量“SecureBoot”
- 事件 ID 846、778 和 851:错误0x80072f9a
- 错误消息:操作系统驱动器上的恢复选项存在冲突的组策略设置
如果没有要跟踪的事件或错误消息的明确线索,则其他要调查的领域包括以下区域:
有关验证Intune策略是否正确强制实施 BitLocker 的过程的信息,请参阅验证 BitLocker 是否正常运行。
事件 ID 853:错误:在此计算机上找不到兼容的受信任的平台模块 (TPM) 安全设备
事件 ID 853 可以携带不同的错误消息,具体取决于上下文。 在这种情况下,事件 ID 853 错误消息指示设备似乎没有 TPM。 事件信息将类似于以下事件:
事件 ID 853 的原因:错误:在此计算机上找不到兼容的受信任的平台模块 (TPM) 安全设备
受保护的设备可能没有 TPM 芯片,或者设备 BIOS 可能已配置为禁用 TPM。
事件 ID 853 的解决方法:错误:在此计算机上找不到兼容的受信任的平台模块 (TPM) 安全设备
若要解决此问题,请验证以下配置:
- 在设备 BIOS 中启用了 TPM。
- TPM 管理控制台中的 TPM 状态类似于以下状态:
- 就绪 (TPM 2.0)
- 初始化 (TPM 1.2)
有关详细信息,请参阅 排查 TPM 问题。
事件 ID 853:错误:BitLocker 驱动器加密检测到计算机中的可启动媒体 (CD 或 DVD)
在这种情况下,将显示事件 ID 853,事件中的错误消息指示设备可以使用可启动媒体。 事件信息如下所示。
事件 ID 853 的原因:错误:在计算机中检测到 BitLocker 驱动器加密 (CD 或 DVD) 的可启动媒体
在预配过程中,BitLocker 驱动器加密记录设备的配置以建立基线。 如果设备配置以后 (更改,例如,如果媒体) 删除,则 BitLocker 恢复模式将自动启动。
为避免这种情况,如果预配过程检测到可移动可启动媒体,则会停止。
事件 ID 853 的解决方法:错误:BitLocker 驱动器加密检测到计算机中的可启动媒体 (CD 或 DVD)
删除可启动媒体,然后重启设备。 设备重启后,验证加密状态。
事件 ID 854:未配置 WinRE
事件信息类似于以下错误消息:
无法启用无提示加密。 未配置 WinRe。
错误:此电脑不支持设备加密,因为未正确配置 WinRE。
事件 ID 854 的原因:未配置 WinRE
Windows 恢复环境 (WinRE) 是基于 Windows 预安装环境 (Windows PE) 的最小 Windows 操作系统。 WinRE 包括多个工具,管理员可以使用这些工具来恢复或重置 Windows 以及诊断 Windows 问题。 如果设备无法启动常规 Windows 操作系统,该设备将尝试启动 WinRE。
预配过程在预配的 Windows PE 阶段启用操作系统驱动器上的 BitLocker 驱动器加密。 此操作可确保在安装完整操作系统之前保护驱动器。 预配过程还会创建一个系统分区,供 WinRE 在系统崩溃时使用。
如果 WinRE 在设备上不可用,预配将停止。
事件 ID 854 的解决方法:未配置 WinRE
通过按照以下步骤验证磁盘分区的配置、WinRE 的状态和 Windows 启动加载程序配置,可以解决此问题:
步骤 1:验证磁盘分区的配置
本节中所述的过程取决于 Windows 在安装过程中配置的默认磁盘分区。 Windows 11和Windows 10自动创建包含 Winre.wim 文件的恢复分区。 分区配置如下所示。
若要验证磁盘分区的配置,请打开提升的命令提示符窗口并运行以下命令:
diskpart.exe
list volume
如果任何卷的状态不正常或恢复分区缺失,则可能需要重新安装 Windows。 重新安装 Windows 之前,检查正在预配的 Windows 映像的配置。 确保映像使用正确的磁盘配置。 映像配置应类似于以下示例, (此示例来自 Microsoft Configuration Manager) :
步骤 2:验证 WinRE 的状态
若要验证设备上的 WinRE 状态,请打开提升的命令提示符窗口并运行以下命令:
reagentc.exe /info
此命令的输出如下所示。
如果Windows RE状态未启用,请运行以下命令以启用它:
reagentc.exe /enable
步骤 3:验证 Windows 启动加载程序配置
如果分区状态正常,但 reagentc.exe /enable 命令导致错误,请在提升的命令提示符窗口中运行以下命令,验证 Windows 启动加载程序是否包含恢复序列 GUID:
bcdedit.exe /enum all
此命令的输出将类似于以下输出:
在输出中,找到包含行 identifier={current} 的 Windows 启动加载程序部分。 在该部分中,找到 recoverysequence 属性。 此属性的值应该是 GUID 值,而不是零的字符串。
事件 ID 851:请联系制造商获取 BIOS 升级说明
事件信息将类似于以下错误消息:
无法启用无提示加密。
错误:无法在操作系统驱动器上启用 BitLocker 驱动器加密。 有关 BIOS 升级说明,请联系计算机制造商。
事件 ID 851 的原因:请联系制造商获取 BIOS 升级说明
设备必须具有统一可扩展固件接口 (UEFI) BIOS。 无提示 BitLocker 驱动器加密不支持旧版 BIOS。
事件 ID 851 的解决方法:请联系制造商获取 BIOS 升级说明
若要验证 BIOS 模式,请按照以下步骤使用系统信息应用程序:
选择“开始”,然后在“搜索”框中输入 msinfo32。
验证 BIOS 模式 设置是否为 UEFI 而不是 旧版。
如果 BIOS 模式 设置为 旧版,则需要将 UEFI 固件切换到 UEFI 或 EFI 模式。 切换到 UEFI 或 EFI 模式的步骤特定于设备。
注意
如果设备仅支持旧模式,Intune不能用于管理设备上的 BitLocker 设备加密。
错误消息:无法读取 UEFI 变量“SecureBoot”
将显示类似于以下错误消息的错误消息:
错误: BitLocker 无法使用安全启动实现完整性,因为无法读取 UEFI 变量“SecureBoot”。 客户端不拥有所需的权限。
错误消息的原因:无法读取 UEFI 变量“SecureBoot”
平台配置寄存器 (PCR) 是 TPM 中的内存位置。 特别是,PCR 7 测量安全启动的状态。 无提示 BitLocker 驱动器加密需要打开安全启动。
错误消息的解决方法:无法读取 UEFI 变量“SecureBoot”
通过按照以下步骤验证 TPM 的 PCR 验证配置文件和安全启动状态,可以解决此问题:
步骤 1:验证 TPM 的 PCR 验证配置文件
若要验证 PCR 7 是否正在使用,请打开提升的命令提示符窗口并运行以下命令:
Manage-bde.exe -protectors -get %systemdrive%
在此命令输出的 TPM 部分中,验证 PCR 验证配置文件 设置是否包含 7,如下所示:
例如 ,如果 PCR 验证配置文件 不包括 7 (值包括 0、 2、 4 和 11,但不包括 7) ,则不会打开安全启动。
2:验证安全启动状态
若要验证安全启动状态,请按照以下步骤使用系统信息应用程序:
选择“开始”,然后在“搜索”框中输入 msinfo32。
验证 “安全启动状态” 设置是否为 “打开”,如下所示:
如果 “安全启动状态 ”设置 不受支持,则无法在设备上使用无提示 BitLocker 加密。
注意
Confirm-SecureBootUEFI PowerShell cmdlet 还可用于通过打开提升的 PowerShell 窗口并运行以下命令来验证安全启动状态:
Confirm-SecureBootUEFI
如果计算机支持安全启动并启用安全启动,则此 cmdlet 返回“True”。
如果计算机支持安全启动并禁用安全启动,则此 cmdlet 返回“False”。
如果计算机不支持安全启动或是 BIOS (非 UEFI) 计算机,则此 cmdlet 返回“此平台上不支持 Cmdlet”。
事件 ID 846、778 和 851:错误0x80072f9a
请考虑以下情况:
正在部署Intune策略来加密Windows 10 版本 1809设备,并且恢复密码存储在 Microsoft Entra ID 中。 作为策略配置的一部分,已选择“允许标准用户在Microsoft Entra加入期间启用加密”选项。
策略部署失败,失败会在应用程序和服务日志>Microsoft>Windows>BitLocker API 文件夹中事件查看器生成以下事件:
事件 ID:846
事件:无法将卷 C: 的 BitLocker 驱动器加密恢复信息备份到Microsoft Entra ID。
TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} 错误: 未知 HResult 错误代码: 0x80072f9a
事件 ID:778
事件:BitLocker 卷 C: 已还原到不受保护的状态。
事件 ID:851
事件:无法启用无提示加密。
错误:未知的 HResult 错误代码:0x80072f9a。
这些事件引用错误代码0x80072f9a。
事件 ID 846、778 和 851 的原因:错误0x80072f9a
这些事件指示已登录用户无权读取在预配和注册过程中生成的证书上的私钥。 因此,BitLocker MDM 策略刷新失败。
此问题影响Windows 10版本 1809。
事件 ID 846、778 和 851 的解决方法:错误0x80072f9a
若要解决此问题,请安装 2019 年 5 月 21 日 更新。
错误消息:操作系统驱动器上的恢复选项存在冲突的组策略设置
将显示类似于以下错误消息的错误消息:
错误:BitLocker 驱动器加密无法应用于此驱动器,因为操作系统驱动器上的恢复选项组策略设置存在冲突。 如果不允许生成恢复密码,则不需要将恢复信息存储到Active Directory 域服务。 请在尝试启用 BitLocker 之前让系统管理员解决这些策略冲突...
错误消息的解决方法:操作系统驱动器上的恢复选项存在冲突的组策略设置
若要解决此问题,请查看组策略对象 (GPO) 冲突设置。 有关详细信息,请参阅下一部分 查看 BitLocker 策略配置。
有关 GPO 和 BitLocker 的详细信息,请参阅 BitLocker 组策略参考。
查看 BitLocker 策略配置
有关将策略与 BitLocker 和 Intune一起使用的过程的信息,请参阅以下资源:
- 适用于企业的 BitLocker 管理:管理加入Microsoft Entra ID的设备
- BitLocker 组策略参考
- 配置服务提供程序参考
- 策略 CSP – BitLocker
- BitLocker CSP
- 在 MDM 中启用 ADMX 支持的策略
- gpresult
Intune为 BitLocker 提供以下强制类型:
- 在预配过程中,当设备加入Microsoft Entra ID时,自动 (强制实施。此选项在 Windows 10 版本 1703 及更高版本中可用。)
- 无提示 (终结点保护策略。此选项在 Windows 10 版本 1803 及更高版本中可用。)
- 适用于早于 Windows 10 版本 1803.) 的 Windows 版本的交互式 (终结点策略
如果设备运行Windows 10版本 1703 或更高版本,则支持新式待机 (也称为 Instant Go) ,并且符合 HSTI 要求,加入设备以Microsoft Entra ID会触发自动设备加密。 无需单独的终结点保护策略即可强制实施设备加密。
如果设备符合 HSTI 要求,但不支持新式待机,则必须配置终结点保护策略以强制实施无提示 BitLocker 驱动器加密。 此策略的设置应类似于以下设置:
这些设置的 OMA-URI 引用如下:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
值类型:Integer
值: 1 (1 = 需要,0 = 未配置)OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
值类型:Integer
值: 0 (0 = 阻止,1 = 允许)
注意
由于 BitLocker Policy CSP 的更新,如果设备使用 Windows 10 版本 1809 或更高版本,则终结点保护策略可用于强制实施无提示 BitLocker 设备加密,即使设备不符合 HSTI。
注意
如果 “其他磁盘加密警告 ”设置设置为 “未配置”,则必须手动启动 BitLocker 驱动器加密向导。
如果设备不支持新式待机,但符合 HSTI,并且它使用早于 Windows 10 版本 1803 的 Windows 版本,则具有本文中所述设置的终结点保护策略会将策略配置传递给设备。 但是,Windows 随后会通知用户手动启用 BitLocker 驱动器加密。 当用户选择通知时,它将启动 BitLocker 驱动器加密向导。
Intune提供可用于为标准用户配置 Autopilot 设备的自动设备加密的设置。 每个设备必须满足以下要求:
- 符合 HSTI
- 支持新式待机
- 使用 Windows 10 版本 1803 或更高版本
这些设置的 OMA-URI 引用如下:
- OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
值类型: 整数 值: 1
注意
此节点与 RequireDeviceEncryption 和 AllowWarningForOtherDiskEncryption 节点协同 工作。 因此,在设置以下设置时:
- RequireDeviceEncryption 为 1
- AllowStandardUserEncryption 到 1
- AllowWarningForOtherDiskEncryption 为 0
Intune对具有标准用户配置文件的 Autopilot 设备强制实施无提示 BitLocker 加密。
验证 BitLocker 是否正常运行
在常规操作期间,BitLocker 驱动器加密会生成事件 ID 796 和事件 ID 845 等事件。
还可以通过检查“Microsoft Entra设备”部分中的设备详细信息来确定 BitLocker 恢复密码是否已上传到Microsoft Entra ID。
在设备上,检查注册表编辑器来验证设备上的策略设置。 验证以下子项下的条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device