Partager via


Application de stratégies BitLocker à l’aide de Intune : problèmes connus

Cet article vous aide à résoudre les problèmes qui peuvent être rencontrés lors de l’utilisation de Microsoft Intune stratégie pour gérer le chiffrement BitLocker silencieux sur les appareils. Le portail Intune indique si BitLocker n’a pas pu chiffrer un ou plusieurs appareils gérés.

Capture d’écran montrant les indicateurs de status BitLocker sur le portail Intune.

Pour commencer à affiner la cause du problème, passez en revue les journaux des événements comme décrit dans Résoudre les problèmes liés à BitLocker. Concentrez-vous sur les journaux de gestion et d’opérations dans le dossier Des journaux des applications et des> servicesMicrosoft>Windows>BitLocker-API. Les sections suivantes fournissent plus d’informations sur la résolution des événements et messages d’erreur indiqués :

S’il n’y a pas de trace claire des événements ou des messages d’erreur à suivre, les autres domaines à examiner incluent les zones suivantes :

Pour plus d’informations sur la procédure permettant de vérifier si Intune stratégies s’appliquent correctement à BitLocker, consultez Vérification du bon fonctionnement de BitLocker.

ID d’événement 853 : Erreur : Un appareil de sécurité de module de plateforme sécurisée (TPM) compatible est introuvable sur cet ordinateur

L’ID d’événement 853 peut contenir des messages d’erreur différents, en fonction du contexte. Dans ce cas, le message d’erreur ID d’événement 853 indique que l’appareil ne semble pas avoir de TPM. Les informations sur l’événement sont similaires à l’événement suivant :

Capture d’écran des détails de l’ID d’événement 853 (TPM n’est pas disponible, TPM introuvable).

Cause de l’ID d’événement 853 : Erreur : Un appareil de sécurité de module de plateforme sécurisée (TPM) compatible est introuvable sur cet ordinateur

L’appareil en cours de sécurisation n’a peut-être pas de puce TPM, ou le BIOS de l’appareil a peut-être été configuré pour désactiver le module de plateforme sécurisée.

Résolution de l’ID d’événement 853 : Erreur : Un appareil de sécurité TPM (Trusted Platform Module) compatible est introuvable sur cet ordinateur

Pour résoudre ce problème, vérifiez les configurations suivantes :

  • Le module TPM est activé dans le BIOS de l’appareil.
  • L’status TPM dans le console de gestion TPM est similaire aux états suivants :
    • Prêt (TPM 2.0)
    • Initialisé (TPM 1.2)

Pour plus d’informations, consultez Résoudre les problèmes liés au module TPM.

ID d’événement 853 : Erreur : Le chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Dans ce cas, l’ID d’événement 853 s’affiche et le message d’erreur dans l’événement indique que le support de démarrage est disponible pour l’appareil. Les informations d’événement ressemblent à ce qui suit.

Capture d’écran des détails de l’ID d’événement 853 (TPM n’est pas disponible, média de démarrage trouvé).

Cause de l’ID d’événement 853 : Erreur : Le chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Pendant le processus d’approvisionnement, le chiffrement de lecteur BitLocker enregistre la configuration de l’appareil pour établir une base de référence. Si la configuration de l’appareil change ultérieurement (par exemple, si le média est supprimé), le mode de récupération BitLocker démarre automatiquement.

Pour éviter cette situation, le processus d’approvisionnement s’arrête s’il détecte un média amovible de démarrage.

Résolution de l’ID d’événement 853 : Erreur : Le chiffrement de lecteur BitLocker a détecté un média de démarrage (CD ou DVD) sur l’ordinateur

Supprimez le média de démarrage, puis redémarrez l’appareil. Après le redémarrage de l’appareil, vérifiez le status de chiffrement.

ID d’événement 854 : WinRE n’est pas configuré

Les informations d’événement ressemblent au message d’erreur suivant :

Échec de l’activation du chiffrement silencieux. WinRe n’est pas configuré.

Erreur : Ce PC ne peut pas prendre en charge le chiffrement d’appareil, car WinRE n’est pas correctement configuré.

Cause de l’ID d’événement 854 : WinRE n’est pas configuré

L’environnement de récupération Windows (WinRE) est un système d’exploitation Windows minimal basé sur l’environnement de préinstallation Windows (Windows PE). WinRE inclut plusieurs outils qu’un administrateur peut utiliser pour récupérer ou réinitialiser Windows et diagnostiquer les problèmes windows. Si un appareil ne peut pas démarrer le système d’exploitation Windows standard, il tente de démarrer WinRE.

Le processus d’approvisionnement active le chiffrement de lecteur BitLocker sur le lecteur du système d’exploitation pendant la phase d’approvisionnement de Windows PE. Cette action garantit que le lecteur est protégé avant l’installation du système d’exploitation complet. Le processus d’approvisionnement crée également une partition système que WinRE peut utiliser en cas de panne du système.

Si WinRE n’est pas disponible sur l’appareil, l’approvisionnement s’arrête.

Résolution de l’ID d’événement 854 : WinRE n’est pas configuré

Ce problème peut être résolu en vérifiant la configuration des partitions de disque, la status de WinRE et la configuration du chargeur de démarrage Windows en procédant comme suit :

Étape 1 : Vérifier la configuration des partitions de disque

Les procédures décrites dans cette section dépendent des partitions de disque par défaut que Windows configure lors de l’installation. Windows 11 et Windows 10 créez automatiquement une partition de récupération qui contient le fichier Winre.wim. La configuration de la partition ressemble à ce qui suit.

Capture d’écran des partitions de disque par défaut, y compris la partition de récupération.

Pour vérifier la configuration des partitions de disque, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez les commandes suivantes :

diskpart.exe 
list volume

Capture d’écran de la sortie de la commande list volume à partir de Diskpart.

Si la status de l’un des volumes n’est pas saine ou si la partition de récupération est manquante, Windows doit peut-être être réinstallé. Avant de réinstaller Windows, case activée la configuration de l’image Windows en cours de provisionnement. Assurez-vous que l’image utilise la configuration de disque correcte. La configuration de l’image doit ressembler à ce qui suit (cet exemple provient de Microsoft Configuration Manager) :

Capture d’écran de la configuration de l’image Windows dans Microsoft Configuration Manager.

Étape 2 : Vérifier la status de WinRE

Pour vérifier la status de WinRE sur l’appareil, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

reagentc.exe /info

La sortie de cette commande ressemble à ce qui suit.

Capture d’écran de la sortie de la commande reagentc.exe /info.

Si le Windows RE status n’est pas Activé, exécutez la commande suivante pour l’activer :

reagentc.exe /enable

Étape 3 : Vérifier la configuration du chargeur de démarrage Windows

Si le status de partition est sain, mais que la commande reagentc.exe /enable génère une erreur, vérifiez si le chargeur de démarrage Windows contient le GUID de séquence de récupération en exécutant la commande suivante dans une fenêtre d’invite de commandes avec élévation de privilèges :

bcdedit.exe /enum all

La sortie de cette commande sera similaire à la sortie suivante :

Capture d’écran de la sortie de la commande bcdedit /enum all.

Dans la sortie, recherchez la section Chargeur de démarrage Windows qui inclut l’identificateur de ligne={current}. Dans cette section, recherchez l’attribut recoverysequence . La valeur de cet attribut doit être une valeur GUID, et non une chaîne de zéros.

ID d’événement 851 : contactez le fabricant pour obtenir des instructions de mise à niveau du BIOS

Les informations sur l’événement sont similaires au message d’erreur suivant :

Échec de l’activation du chiffrement silencieux.

Erreur : Le chiffrement de lecteur BitLocker ne peut pas être activé sur le lecteur du système d’exploitation. Contactez le fabricant de l’ordinateur pour obtenir des instructions de mise à niveau du BIOS.

Cause de l’ID d’événement 851 : contactez le fabricant pour obtenir des instructions de mise à niveau du BIOS

L’appareil doit disposer du BIOS UEFI (Unified Extensible Firmware Interface). Le chiffrement de lecteur BitLocker en mode silencieux ne prend pas en charge le BIOS hérité.

Résolution de l’ID d’événement 851 : contactez le fabricant pour obtenir des instructions de mise à niveau du BIOS

Pour vérifier le mode BIOS, utilisez l’application Informations système en procédant comme suit :

  1. Sélectionnez Démarrer, puis entrez msinfo32 dans la zone De recherche .

  2. Vérifiez que le paramètre Mode BIOS est UEFI et non Hérité.

    Capture d’écran de l’application Informations système, montrant le paramètre Mode BIOS.

  3. Si le paramètre Mode BIOS est Hérité, le microprogramme UEFI doit être basculé en mode UEFI ou EFI . Les étapes de passage en mode UEFI ou EFI sont spécifiques à l’appareil.

    Remarque

    Si l’appareil prend uniquement en charge le mode hérité, Intune ne peut pas être utilisé pour gérer le chiffrement d’appareil BitLocker sur l’appareil.

Message d’erreur : Impossible de lire la variable UEFI « SecureBoot »

Un message d’erreur similaire au message d’erreur suivant s’affiche :

Erreur: BitLocker ne peut pas utiliser le démarrage sécurisé pour l’intégrité, car la variable UEFI « SecureBoot » n’a pas pu être lue. Un privilège requis n’est pas détenu par le client.

Cause du message d’erreur : Impossible de lire la variable UEFI « SecureBoot »

Un registre de configuration de plateforme (PCR) est un emplacement de mémoire dans le module TPM. En particulier, la MÉTHODE PCR 7 mesure l’état de démarrage sécurisé. Le chiffrement de lecteur BitLocker en mode silencieux nécessite l’activation du démarrage sécurisé.

Résolution du message d’erreur : Impossible de lire la variable UEFI « SecureBoot »

Ce problème peut être résolu en vérifiant le profil de validation PCR du module de plateforme sécurisée et l’état de démarrage sécurisé en procédant comme suit :

Étape 1 : Vérifier le profil de validation PCR du module de plateforme sécurisée

Pour vérifier que le protocole PCR 7 est en cours d’utilisation, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et exécutez la commande suivante :

Manage-bde.exe -protectors -get %systemdrive%

Dans la section TPM de la sortie de cette commande, vérifiez si le paramètre Profil de validation PCR inclut 7, comme suit :

Capture d’écran de la sortie de la commande manage-bde.exe.

Si le profil de validation PCR n’inclut pas 7 (par exemple, les valeurs incluent 0, 2, 4 et 11, mais pas 7), le démarrage sécurisé n’est pas activé.

Capture d’écran de la sortie de la commande manage-bde quand LE FORMAT 7 n’est pas présent.

2 : Vérifier l’état de démarrage sécurisé

Pour vérifier l’état de démarrage sécurisé, utilisez l’application Informations système en procédant comme suit :

  1. Sélectionnez Démarrer, puis entrez msinfo32 dans la zone De recherche .

  2. Vérifiez que le paramètre État de démarrage sécurisé est Activé, comme suit :

    Capture d’écran de l’application Informations système, montrant un état de démarrage sécurisé non pris en charge.

  3. Si le paramètre État de démarrage sécurisé n’est pas pris en charge, le chiffrement BitLocker en mode silencieux ne peut pas être utilisé sur l’appareil.

    Application Informations système, montrant un état de démarrage sécurisé non pris en charge.

Remarque

L’applet de commande PowerShell Confirm-SecureBootUEFI peut également être utilisée pour vérifier l’état du démarrage sécurisé en ouvrant une fenêtre PowerShell avec élévation de privilèges et en exécutant la commande suivante :

Confirm-SecureBootUEFI

Si l’ordinateur prend en charge le démarrage sécurisé et que le démarrage sécurisé est activé, cette applet de commande retourne « True ».

Si l’ordinateur prend en charge le démarrage sécurisé et que le démarrage sécurisé est désactivé, cette applet de commande retourne « False ».

Si l’ordinateur ne prend pas en charge le démarrage sécurisé ou s’il s’agit d’un ordinateur BIOS (non UEFI), cette applet de commande retourne « Cmdlet not supported on this platform ».

ID d’événement 846, 778 et 851 : Erreur 0x80072f9a

Prenons l’exemple du scénario suivant :

Intune stratégie est déployée pour chiffrer un appareil Windows 10, version 1809 et le mot de passe de récupération est stocké dans Microsoft Entra ID. Dans le cadre de la configuration de la stratégie, l’option Autoriser les utilisateurs standard à activer le chiffrement pendant Microsoft Entra jointure a été sélectionnée.

Le déploiement de la stratégie échoue et l’échec génère les événements suivants dans observateur d'événements dans le dossier de l’APIMicrosoft>Windows>BitLockerdes journaux des applications et des> services :

ID d’événement : 846

Événement : Échec de la sauvegarde des informations de récupération de chiffrement de lecteur BitLocker pour le volume C : dans votre Microsoft Entra ID.

TraceId : {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Erreur : HResult inconnu Code d’erreur : 0x80072f9a

ID d’événement : 778

Événement : le volume BitLocker C : a été rétabli à un état non protégé.

ID d’événement : 851

Événement : Échec de l’activation du chiffrement en mode silencieux.

Erreur : HResult inconnu Code d’erreur : 0x80072f9a.

Ces événements font référence à Code d’erreur 0x80072f9a.

Cause de l’ID d’événement 846, 778 et 851 : Erreur 0x80072f9a

Ces événements indiquent que l’utilisateur connecté n’a pas l’autorisation de lire la clé privée sur le certificat généré dans le cadre du processus d’approvisionnement et d’inscription. Par conséquent, l’actualisation de la stratégie GPM BitLocker échoue.

Le problème affecte Windows 10 version 1809.

Résolution des ID d’événement 846, 778 et 851 : erreur 0x80072f9a

Pour résoudre ce problème, installez la mise à jour du 21 mai 2019 .

Message d’erreur : Il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation

Un message d’erreur similaire au message d’erreur suivant s’affiche :

Erreur: Le chiffrement de lecteur BitLocker ne peut pas être appliqué à ce lecteur, car il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation. Le stockage des informations de récupération dans services de domaine Active Directory ne peut pas être nécessaire lorsque la génération de mots de passe de récupération n’est pas autorisée. Demandez à votre administrateur système de résoudre ces conflits de stratégie avant de tenter d’activer BitLocker...

Résolution du message d’erreur : Il existe des paramètres de stratégie de groupe en conflit pour les options de récupération sur les lecteurs du système d’exploitation

Pour résoudre ce problème, passez en revue les paramètres d’objet de stratégie de groupe (GPO) pour les conflits. Pour plus d’informations, consultez la section suivante, Examiner la configuration de la stratégie BitLocker.

Pour plus d’informations sur les objets de stratégie de groupe et BitLocker, consultez Informations de référence sur les stratégie de groupe BitLocker.

Passer en revue la configuration de la stratégie BitLocker

Pour plus d’informations sur la procédure d’utilisation de la stratégie avec BitLocker et Intune, consultez les ressources suivantes :

Intune propose les types d’application suivants pour BitLocker :

  • Automatique (Appliqué lorsque l’appareil rejoint Microsoft Entra ID pendant le processus d’approvisionnement. Cette option est disponible dans Windows 10 version 1703 et ultérieure.)
  • Silencieux (stratégie Endpoint Protection. Cette option est disponible dans Windows 10 version 1803 et ultérieure.)
  • Interactive (Stratégie de point de terminaison pour les versions windows antérieures à Windows 10 version 1803.)

Si l’appareil s’exécute Windows 10 version 1703 ou ultérieure, prend en charge la veille moderne (également appelée Go instantanée) et est conforme À HSTI, le fait de joindre l’appareil à Microsoft Entra ID déclenche le chiffrement automatique de l’appareil. Une stratégie de protection de point de terminaison distincte n’est pas nécessaire pour appliquer le chiffrement de l’appareil.

Si l’appareil est conforme À HSTI mais ne prend pas en charge la veille moderne, une stratégie de protection des points de terminaison doit être configurée pour appliquer le chiffrement de lecteur BitLocker silencieux. Les paramètres de cette stratégie doivent être similaires aux paramètres suivants :

Capture d’écran des paramètres de stratégie Intune montrant Chiffrer les appareils requis.

Les références OMA-URI pour ces paramètres sont les suivantes :

  • OMA-URI : ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
    Type de valeur : Integer
    Valeur : 1 (1 = Exiger, 0 = Non configuré)

  • OMA-URI : ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryption
    Type de valeur : Integer
    Valeur : 0 (0 = Bloqué, 1 = Autorisé)

Remarque

En raison d’une mise à jour du csp de stratégie BitLocker, si l’appareil utilise Windows 10 version 1809 ou ultérieure, une stratégie de protection de point de terminaison peut être utilisée pour appliquer le chiffrement d’appareil BitLocker en mode silencieux, même si l’appareil n’est pas conforme À HSTI.

Remarque

Si le paramètre Avertissement pour un autre chiffrement de disque est défini sur Non configuré, l’Assistant Chiffrement de lecteur BitLocker doit être démarré manuellement.

Si l’appareil ne prend pas en charge la veille moderne, mais qu’il est conforme à HSTI et qu’il utilise une version de Windows antérieure à Windows 10 version 1803, une stratégie de protection des points de terminaison qui a les paramètres décrits dans cet article fournit la configuration de la stratégie à l’appareil. Toutefois, Windows avertit ensuite l’utilisateur d’activer manuellement le chiffrement de lecteur BitLocker. Lorsque l’utilisateur sélectionne la notification, il démarre l’Assistant Chiffrement de lecteur BitLocker.

Intune fournit des paramètres qui peuvent être utilisés pour configurer le chiffrement automatique des appareils Autopilot pour les utilisateurs standard. Chaque appareil doit répondre aux exigences suivantes :

  • Être conforme À HSTI
  • Prise en charge de la veille moderne
  • Utiliser Windows 10 version 1803 ou ultérieure

Capture d’écran du paramètre de stratégie Intune montrant Autoriser les utilisateurs standard à activer le chiffrement pendant Microsoft Entra jonction.

Les références OMA-URI pour ces paramètres sont les suivantes :

  • OMA-URI : ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
    Type de valeur : Entier Valeur : 1

Remarque

Ce nœud fonctionne avec les nœuds RequireDeviceEncryption et AllowWarningForOtherDiskEncryption . Pour cette raison, lorsque les paramètres suivants sont définis :

  • RequireDeviceEncryption sur 1
  • AllowStandardUserEncryption sur 1
  • AllowWarningForOtherDiskEncryption à 0

Intune applique le chiffrement BitLocker en mode silencieux pour les appareils Autopilot qui ont des profils utilisateur standard.

Vérification du bon fonctionnement de BitLocker

Pendant les opérations régulières, le chiffrement de lecteur BitLocker génère des événements tels que l’ID d’événement 796 et l’ID d’événement 845.

Capture d’écran de l’ID d’événement 796 avec des informations détaillées.

Capture d’écran de l’ID d’événement 845 avec des informations détaillées.

Vous pouvez également déterminer si le mot de passe de récupération BitLocker a été chargé sur Microsoft Entra ID en vérifiant les détails de l’appareil dans la section Appareils Microsoft Entra.

Capture d’écran des informations de récupération BitLocker dans Microsoft Entra ID.

Sur l’appareil, case activée l’Rédacteur du Registre pour vérifier les paramètres de stratégie sur l’appareil. Vérifiez les entrées sous les sous-clés suivantes :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device

Capture d’écran des sous-clés de Registre liées à Intune stratégie.