Condividi tramite

Risoluzione dei problemi relativi ai criteri di BitLocker dal lato client

  • Articolo

Questo articolo fornisce indicazioni su come risolvere i problemi di crittografia BitLocker sul lato client. Anche se il report di crittografia di Microsoft Intune consente di identificare e risolvere i problemi di crittografia comuni, alcuni dati di stato del provider di servizi di configurazione BitLocker potrebbero non essere segnalati. In questi scenari è necessario accedere al dispositivo per approfondire le indagini.

Processo di crittografia BitLocker

I passaggi seguenti descrivono il flusso di eventi che dovrebbero generare una crittografia corretta di un dispositivo Windows 10 che non è stato crittografato in precedenza con BitLocker.

  1. Un amministratore configura i criteri di BitLocker in Intune con le impostazioni desiderate e ha come destinazione un gruppo di utenti o un gruppo di dispositivi.
  2. I criteri vengono salvati in un tenant nel servizio Intune.
  3. Un client windows 10 Mobile Gestione dispositivi (MDM) viene sincronizzato con il servizio Intune ed elabora le impostazioni dei criteri di BitLocker.
  4. L'attività pianificata di aggiornamento dei criteri MDM di BitLocker viene eseguita nel dispositivo che replica le impostazioni dei criteri di BitLocker nella chiave del Registro di sistema FVE (Volume Encryption) completa.
  5. La crittografia BitLocker viene avviata nelle unità.

Il report di crittografia mostrerà i dettagli dello stato di crittografia per ogni dispositivo di destinazione in Intune. Per indicazioni dettagliate su come usare queste informazioni per la risoluzione dei problemi, vedere Risoluzione dei problemi di BitLocker con il report di crittografia di Intune.

Avviare una sincronizzazione manuale

Se si è determinato che nel report di crittografia non sono presenti informazioni utilizzabili, è necessario raccogliere dati dal dispositivo interessato per completare l'indagine.

Dopo aver ottenuto l'accesso al dispositivo, il primo passaggio consiste nell'avviare manualmente una sincronizzazione con il servizio Intune prima di raccogliere i dati. Nel dispositivo Windows selezionare Impostazioni>Account>Accesso all'azienda o all'istituto><di istruzione Selezionare le informazioni sull'account aziendale o dell'istituto>>di istruzione. Quindi, in Stato sincronizzazione del dispositivo selezionare Sincronizza.

Al termine della sincronizzazione, continuare con le sezioni seguenti.

Raccolta dei dati del registro eventi

Le sezioni seguenti illustrano come raccogliere dati da log diversi per risolvere i problemi relativi allo stato e ai criteri di crittografia. Assicurarsi di completare una sincronizzazione manuale prima di raccogliere i dati di log.

Registro eventi dell'agente di gestione dei dispositivi mobili (MDM)

Il registro eventi MDM è utile per determinare se si è verificato un problema durante l'elaborazione dei criteri di Intune o l'applicazione delle impostazioni CSP. L'agente OMA DM si connetterà al servizio Intune e tenterà di elaborare i criteri destinati all'utente o al dispositivo. Questo log mostrerà l'esito positivo e gli errori di elaborazione dei criteri di Intune.

Raccogliere o esaminare le informazioni seguenti:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider admin

  • Percorso: fare clic con il pulsante destro del mouse sul menu> Start Visualizzatore eventi> Applicazioni e log dei servizi>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin>
  • Percorso del file system: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Per filtrare questo log, fare clic con il pulsante destro del mouse sul registro eventi e selezionare Filtra log corrente>critico/errore/avviso. Cercare quindi i log filtrati per BitLocker (premere F3 e immettere il testo).

Gli errori nelle impostazioni di BitLocker seguiranno il formato del provider di servizi di configurazione BitLocker, quindi verranno visualizzate voci simili alle seguenti:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

o

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Note

È anche possibile abilitare la registrazione di debug per questo registro eventi usando il Visualizzatore eventi per la risoluzione dei problemi.

Registro eventi di Gestione API BitLocker

Si tratta del registro eventi principale per BitLocker. Se l'agente MDM ha elaborato correttamente i criteri e non sono presenti errori nel registro eventi di amministrazione deviceManagement-Enterprise-Diagnostics-Provider, questo è il log successivo da analizzare.

LOG>BitLocker-API Management

  • Percorso: fare clic con il pulsante destro del mouse sul menu> Start Visualizzatore eventi> Applicazioni e log>>del servizio Microsoft Windows>BitLocker-API
  • Percorso del file system: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

In genere, gli errori vengono registrati qui se sono presenti prerequisiti hardware o software mancanti che i criteri richiedono, ad esempio TPM (Trusted Platform Module) o Windows Recovery Environment (WinRE).

Errore: Non è stato possibile abilitare la crittografia invisibile all'utente

Come illustrato nell'esempio seguente, vengono registrate anche le impostazioni dei criteri in conflitto che non possono essere implementate durante la crittografia invisibile all'utente e il manifesto quando vengono registrati conflitti di criteri di gruppo:

Impossibile abilitare Crittografia invisibile all'utente.

Errore: La crittografia BitLocker non può essere applicata a questa unità a causa di impostazioni di Criteri di gruppo in conflitto. Quando l'accesso in scrittura alle unità non protette da BitLocker viene negato, non è possibile richiedere l'uso di una chiave di avvio USB. Chiedere all'amministratore di sistema di risolvere questi conflitti di criteri prima di tentare di abilitare BitLocker.

Soluzione: configurare il PIN di avvio TPM compatibile su Bloccato. Ciò risolverà le impostazioni di Criteri di gruppo in conflitto quando si usa la crittografia invisibile all'utente.

È necessario impostare il PIN e la chiave di avvio TPM su Bloccato se è necessaria la crittografia invisibile all'utente. La configurazione del PIN di avvio del TPM e della chiave di avvio su Consentito e altre impostazioni del PIN e della chiave di avvio su Bloccato per l'interazione dell'utente e genererà un errore di Criteri di gruppo in conflitto nel registro eventi di BitLocker-AP. Inoltre, se si configura il PIN di avvio del TPM o la chiave di avvio per richiedere l'interazione dell'utente, la crittografia invisibile all'utente avrà esito negativo.

La configurazione di una delle impostazioni TPM compatibili su Obbligatorio causerà l'esito negativo della crittografia invisibile all'utente.

Impostazioni unità del sistema operativo BitLocker che mostra l'avvio TPM compatibile impostato su Obbligatorio.

Errore: TPM non disponibile

Un altro errore comune nel log dell'API BitLocker è che il TPM non è disponibile. L'esempio seguente mostra che TPM è un requisito per la crittografia invisibile all'utente:

Impossibile abilitare Crittografia invisibile all'utente. TPM non è disponibile.

Errore: non è possibile trovare un dispositivo di sicurezza TPM (Trusted Platform Module) compatibile in questo computer.

Soluzione: verificare che nel dispositivo sia disponibile un TPM e, se presente, controllare lo stato tramite TPM.msc o il cmdlet di PowerShell get-tpm.

Errore: Bus con supporto DMA non consentito

Se il log dell'API BitLocker visualizza lo stato seguente, significa che Windows ha rilevato un dispositivo con supporto per l'accesso diretto alla memoria (DMA) collegato che potrebbe esporre una minaccia DMA.

Rilevato bus/dispositivo/dispositivo che supporta DMA non consentito

Soluzione: per risolvere questo problema, verificare prima di tutto che il dispositivo non disponga di porte DMA esterne con il produttore di apparecchiature originali (OEM). Seguire quindi questa procedura per aggiungere il dispositivo all'elenco di elementi consentiti. Nota: aggiungere un dispositivo DMA all'elenco consentito solo se si tratta di un'interfaccia/bus DMA interna.

Registro eventi di sistema

Se si verificano problemi relativi all'hardware, ad esempio problemi con il TPM, vengono visualizzati errori nel registro eventi di sistema per TPM dall'origine TPMProvisioningService o TPM-WMI.

Evento di sistema LOG>

  • Percorso: fare clic con il pulsante destro del mouse sul menu> Start Visualizzatore eventi> Windows Logs System>
  • Percorso del file system: C:\Windows\System32\winevt\Logs\System.evtx

Filtro delle proprietà per il registro eventi di sistema.

Filtrare in base a queste origini eventi per identificare eventuali problemi relativi all'hardware che il dispositivo potrebbe riscontrare con il TPM e verificare con il produttore OEM se sono disponibili aggiornamenti del firmware.

Registro eventi operativi dell'utilità di pianificazione

Il registro eventi operativi dell'utilità di pianificazione è utile per gli scenari di risoluzione dei problemi in cui i criteri sono stati ricevuti da Intune (è stato elaborato in DeviceManagement-Enterprise), ma la crittografia BitLocker non è stata avviata correttamente. L'aggiornamento dei criteri MDM di BitLocker è un'attività pianificata che deve essere eseguita correttamente quando l'agente MDM viene sincronizzato con il servizio Intune.

Abilitare ed eseguire il log operativo negli scenari seguenti:

  • I criteri di BitLocker vengono visualizzati nel registro eventi di amministrazione di DeviceManagement-Enterprise-Diagnostics-Provider, nella diagnostica MDM e nel Registro di sistema.
  • Non sono presenti errori (il criterio è stato prelevato correttamente da Intune).
  • Nulla viene registrato nel registro eventi dell'API BitLocker per indicare che la crittografia è stata anche tentata.

Evento operativo dell'utilità di pianificazione LOG>

  • Percorso: Visualizzatore eventi> Applicazioni e log dei servizi>>Microsoft Windows>TaskScheduler
  • Percorso del file system: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Abilitare ed eseguire il registro eventi operativi

Importante

È necessario abilitare manualmente questo registro eventi prima di registrare tutti i dati perché il log identificherà eventuali problemi durante l'esecuzione dell'attività pianificata di aggiornamento dei criteri MDM di BitLocker.

  1. Per abilitare questo log, fare clic con il pulsante destro del mouse sul menu> Start Visualizzatore eventi> Applicazioni e servizi>>Microsoft Windows>TaskScheduler>Operational.

    Screenshot di TaskScheduler - Log operativi.

  2. Immettere quindi l'utilità di pianificazione nella casella di ricerca di Windows e selezionare Utilità di pianificazione>Microsoft>Windows>BitLocker. Fare clic con il pulsante destro del mouse su Aggiornamento dei criteri MDM di BitLocker e scegliere Esegui.

  3. Al termine dell'esecuzione, esaminare la colonna Last Run Result (Risultato ultima esecuzione) per individuare eventuali codici di errore ed esaminare il registro eventi della pianificazione delle attività per individuare eventuali errori.

    Screenshot di esempio delle attività di BitLocker nell'Utilità di pianificazione.

    Nell'esempio precedente 0x0 è stato eseguito correttamente. L'errore 0x41303 questo significa che l'attività non è mai stata eseguita in precedenza.

Note

Per altre informazioni sui messaggi di errore dell'Utilità di pianificazione, vedere Task Scheduler Error and Success Constants.For more information about Task Scheduler error, see Task Scheduler Error and Success Constants.

Controllo delle impostazioni di BitLocker

Le sezioni seguenti illustrano i diversi strumenti che è possibile usare per controllare le impostazioni di crittografia e lo stato.

Report di diagnostica MDM

È possibile creare un report dei log MDM per diagnosticare i problemi di registrazione o gestione dei dispositivi nei dispositivi Windows 10 gestiti da Intune. Il report di diagnostica MDM contiene informazioni utili su un dispositivo registrato in Intune e sui criteri distribuiti.

Per un'esercitazione su questo processo, vedere il video di YouTube Come creare un report di diagnostica MDM di Intune nei dispositivi Windows

  • Percorso del file system: C:\Users\Public\Documents\MDMDiagnostics

Build ed edizione del sistema operativo

Il primo passaggio per comprendere perché i criteri di crittografia non vengono applicati correttamente consiste nel verificare se la versione e l'edizione del sistema operativo Windows supportano le impostazioni configurate. Alcuni CSP sono stati introdotti in versioni specifiche di Windows e funzioneranno solo in una determinata edizione. Ad esempio, la maggior parte delle impostazioni CSP di BitLocker è stata introdotta in Windows 10 versione 1703, ma queste impostazioni non erano supportate in Windows 10 Pro fino a Windows 10 versione 1809.

Sono inoltre disponibili impostazioni come AllowStandardUserEncryption (aggiunta nella versione 1809), ConfigureRecoveryPasswordRotation (aggiunta nella versione 1909), RotateRecoveryPasswords (aggiunta nella versione 1909) e Status (aggiunta nella versione 1903).

Analisi con EntDMID

EntDMID è un ID dispositivo univoco per la registrazione di Intune. Nell'interfaccia di amministrazione di Microsoft Intune è possibile usare EntDMID per cercare nella visualizzazione Tutti i dispositivi e identificare un dispositivo specifico. È anche un elemento fondamentale per il supporto tecnico Microsoft per consentire ulteriori operazioni di risoluzione dei problemi sul lato servizio, se è necessario un caso di supporto.

È anche possibile usare il report di diagnostica MDM per identificare se un criterio è stato inviato correttamente al dispositivo con le impostazioni configurate dall'amministratore. Usando il provider di servizi di configurazione BitLocker come riferimento, è possibile decifrare le impostazioni selezionate durante la sincronizzazione con il servizio Intune. È possibile usare il report per determinare se i criteri hanno come destinazione il dispositivo e usare la documentazione di BitLocker CSP per identificare le impostazioni configurate.

MSINFO32

MSINFO32 è uno strumento informativo che contiene i dati del dispositivo che è possibile usare per determinare se un dispositivo soddisfa i prerequisiti di BitLocker. I prerequisiti necessari dipendono dalle impostazioni dei criteri di BitLocker e dal risultato richiesto. Ad esempio, la crittografia invisibile all'utente per TPM 2.0 richiede un TPM e un'interfaccia UEFI (Unified Extensible Firmware Interface).

  • Percorso: nella casella di ricerca immettere msinfo32, fare clic con il pulsante destro del mouse su Informazioni di sistema nei risultati della ricerca e selezionare Esegui come amministratore.
  • Percorso del file system: C:\Windows\System32\Msinfo32.exe.

Tuttavia, se questo elemento non soddisfa i prerequisiti, non significa necessariamente che non sia possibile crittografare il dispositivo usando criteri di Intune.

  • Se i criteri di BitLocker sono stati configurati per la crittografia in modalità invisibile all'utente e il dispositivo usa TPM 2.0, è importante verificare che la modalità BIOS sia UEFI. Se il TPM è 1.2, la modalità BIOS in UEFI non è un requisito.
  • La configurazione di avvio protetto, protezione DMA e PCR7 non è necessaria per la crittografia invisibile all'utente, ma potrebbe essere evidenziata in Supporto crittografia dispositivi. Ciò consente di garantire il supporto per la crittografia automatica.
  • I criteri di BitLocker configurati per non richiedere un TPM e hanno interazione dell'utente anziché crittografare automaticamente non avranno prerequisiti per l'archiviazione MSINFO32.

TPM. File MSC

TPM.msc è un file snap-in di Microsoft Management Console (MMC). È possibile usare TPM.msc per determinare se il dispositivo ha un TPM, per identificare la versione e se è pronto per l'uso.

  • Percorso: nella casella Di ricerca immettere tpm.msc, quindi fare clic con il pulsante destro del mouse e selezionare Esegui come amministratore.
  • Percorso del file system: snap-in MMC C:\Windows\System32\mmc.exe.

TPM non è un prerequisito per BitLocker, ma è altamente consigliato a causa della maggiore sicurezza fornita. Tuttavia, TPM è necessario per la crittografia automatica e invisibile all'utente. Se si sta provando a crittografare in modo invisibile all'utente con Intune e si verificano errori TPM nei registri eventi di sistema e dell'API BitLocker, TPM.msc consente di comprendere il problema.

L'esempio seguente mostra uno stato TPM 2.0 integro. Si noti la specifica versione 2.0 in basso a destra e che lo stato è pronto per l'uso.

Screenshot di esempio di uno stato TPM 2.0 integro nella console Trusted Platform Module.

Questo esempio mostra uno stato non integro quando il TPM è disabilitato nel BIOS:

Screenshot di esempio di uno stato TPM 2.0 non integro nella console Trusted Platform Module.

La configurazione di un criterio per richiedere un TPM e prevedere la crittografia di BitLocker quando il TPM è mancante o non integro è uno dei problemi più comuni.

Cmdlet Get-Tpm

Un cmdlet è un comando leggero nell'ambiente Windows PowerShell. Oltre a eseguire TPM.msc, è possibile verificare il TPM usando il cmdlet Get-Tpm. È necessario eseguire questo cmdlet con diritti di amministratore.

  • Percorso: nella casella di ricerca immettere cmd, quindi fare clic con il pulsante destro del mouse e selezionare Esegui come amministratore>di PowerShell>get-tpm.

Screenshot di esempio di un TPM presente e attivo in una finestra di PowerShell.

Nell'esempio precedente è possibile notare che il TPM è presente e attivo nella finestra di PowerShell. I valori sono uguali a True. Se i valori fossero impostati su False, indicherà un problema con il TPM. BitLocker non sarà in grado di usare il TPM finché non è presente, pronto, abilitato, attivato e di proprietà.

Strumento da riga di comando Manage-bde

Manage-bde è uno strumento da riga di comando di crittografia BitLocker incluso in Windows. È progettato per facilitare l'amministrazione dopo l'abilitazione di BitLocker.

  • Percorso: nella casella Di ricerca immettere cmd, fare clic con il pulsante destro del mouse e selezionare Esegui come amministratore, quindi immettere manage-bde -status.
  • Percorso del file system: C:\Windows\System32\manage-bde.exe.

Screenshot di esempio del comando manage-bde.exe in una finestra del prompt dei comandi.

È possibile usare manage-bde per individuare le informazioni seguenti su un dispositivo:

  • È crittografato? Se la creazione di report nell'interfaccia di amministrazione di Microsoft Intune indica che un dispositivo non è crittografato, questo strumento da riga di comando può identificare lo stato di crittografia.
  • Quale metodo di crittografia è stato usato? È possibile confrontare le informazioni dallo strumento con il metodo di crittografia nei criteri per assicurarsi che corrispondano. Ad esempio, se i criteri di Intune sono configurati per XTS-AES a 256 bit e il dispositivo viene crittografato usando XTS-AES a 128 bit, si verifica un errore nella segnalazione dei criteri dell'interfaccia di amministrazione di Microsoft Intune.
  • Quali protezioni specifiche vengono usate? Ci sono diverse combinazioni di protezioni. Conoscere quale protezione viene usata in un dispositivo ti aiuterà a capire se i criteri sono stati applicati correttamente.

Nell'esempio seguente il dispositivo non è crittografato:

Screenshot di esempio di un dispositivo non crittografato con BitLocker.

Percorsi del Registro di sistema di BitLocker

Questa è la prima posizione nel Registro di sistema da cercare quando si vuole decifrare le impostazioni dei criteri selezionate da Intune:

  • Percorso: fare clic con il pulsante destro del mouse su Avvia>esecuzione e quindi immettere regedit per aprire l'editor del Registro di sistema.
  • Percorso predefinito del file system: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

La chiave del Registro di sistema dell'agente MDM consente di identificare l'identificatore univoco globale (GUID) in PolicyManager che contiene le impostazioni effettive dei criteri di BitLocker.

Percorso del Registro di sistema di BitLocker nell'editor del Registro di sistema.

Il GUID è evidenziato nell'esempio precedente. È possibile includere il GUID (sarà diverso per ogni tenant) nella seguente sottochiave del Registro di sistema per risolvere i problemi relativi alle impostazioni dei criteri di BitLocker:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

Screenshot dell'editor del Registro di sistema che mostra le impostazioni dei criteri di BitLocker configurate dall'agente MDM

Questo report mostra le impostazioni dei criteri di BitLocker selezionate dall'agente MDM (client OMADM). Queste sono le stesse impostazioni che vedrai nel report di diagnostica MDM, quindi questo è un modo alternativo di identificare le impostazioni che il client ha prelevato.

Esempio di chiave del Registro di sistema EncryptionMethodByDriveType :

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Esempio di SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

Chiave del Registro di sistema di BitLocker

Le impostazioni nella chiave del Registro di sistema del provider di criteri verranno duplicate nella chiave principale del Registro di sistema di BitLocker. È possibile confrontare le impostazioni per assicurarsi che corrispondano a quanto visualizzato nelle impostazioni dei criteri nell'interfaccia utente, nel log MDM, nella diagnostica MDM e nella chiave del Registro di sistema dei criteri.

  • Percorso della chiave del Registro di sistema: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Di seguito è riportato un esempio della chiave del Registro di sistema FVE:

Screenshot delle chiavi del Registro di sistema di BitLocker disponibili nell'editor del Registro di sistema.

  • R: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv e EncryptionMethodWithXtsRdv hanno i valori possibili seguenti:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UseTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN sono tutti impostati su 2, ovvero sono tutti impostati per consentire.
  • C: Si noti che la maggior parte delle chiavi è suddivisa in gruppi di impostazioni per l'unità del sistema operativo (OS), l'unità fissa (FDV) e l'unità rimovibile (FDVR).
  • D: OSActiveDirectoryBackup ha il valore 1 ed è abilitato.
  • E: OSHideRecoveryPage è uguale a 0 e non abilitato.

Usare la documentazione di BitLocker CSP per decodificare tutti i nomi delle impostazioni nel Registro di sistema.

REAgentC.exe strumento da riga di comando

REAgentC.exe è uno strumento eseguibile da riga di comando che è possibile usare per configurare l'ambiente di ripristino di Windows (Ambiente ripristino Windows). WinRE è un prerequisito per l'abilitazione di BitLocker in determinati scenari, ad esempio la crittografia automatica o invisibile all'utente.

  • Percorso: fare clic con il pulsante destro del mouse su Avvia>esecuzione, immettere cmd. Fare quindi clic con il pulsante destro del mouse su cmd e scegliere Esegui come amministratore>/info.
  • Percorso del file system: C:\Windows\System32\ReAgentC.exe.

Suggerimento

Se vengono visualizzati messaggi di errore nell'API BitLocker su WinRe non abilitati, eseguire il comando /info del dispositivo per determinare lo stato winRE.

Output del comando ReAgentC.exe nel prompt dei comandi.

Se lo stato di WinRE è disabilitato, eseguire il comando /enable dell'opzione /enable come amministratore per abilitarlo manualmente:

Screenshot di esempio per abilitare ReAgentC.exe nel prompt dei comandi. Eseguire il comando esegui il comando /enable

Riepilogo

Quando BitLocker non riesce ad abilitare in un dispositivo Windows 10 usando criteri di Intune, nella maggior parte dei casi i prerequisiti hardware o software non sono soddisfatti. L'analisi del log dell'API BitLocker consente di identificare i prerequisiti non soddisfatti. I problemi più comuni sono:

  • TPM non è presente
  • WinRE non è abilitato
  • BIOS UEFI non abilitato per i dispositivi TPM 2.0

La configurazione errata dei criteri può anche causare errori di crittografia. Non tutti i dispositivi Windows possono crittografare automaticamente in modo da considerare gli utenti e i dispositivi di destinazione.

La configurazione di una chiave di avvio o un PIN per un criterio destinato alla crittografia invisibile all'utente non funzionerà a causa dell'interazione dell'utente necessaria per l'abilitazione di BitLocker. Tenere presente questo aspetto quando si configurano i criteri di BitLocker in Intune.

Verificare se le impostazioni dei criteri sono state prelevate dal dispositivo per determinare se la destinazione ha avuto esito positivo.

È possibile identificare le impostazioni dei criteri usando la diagnostica MDM, le chiavi del Registro di sistema e il registro eventi dell'organizzazione di gestione dei dispositivi per verificare se le impostazioni sono state applicate correttamente. La documentazione di BitLocker CSP consente di decifrare queste impostazioni per capire se corrispondono a ciò che è stato configurato nei criteri.