Udostępnij za pośrednictwem

Rozwiązywanie problemów z zasadami funkcji BitLocker po stronie klienta

  • Artykuł

Ten artykuł zawiera wskazówki dotyczące rozwiązywania problemów z szyfrowaniem funkcji BitLocker po stronie klienta. Chociaż raport szyfrowania usługi Microsoft Intune może pomóc w zidentyfikowaniu i rozwiązaniu typowych problemów z szyfrowaniem, niektóre dane o stanie dostawcy usług konfiguracji funkcji BitLocker mogą nie być zgłaszane. W tych scenariuszach należy uzyskać dostęp do urządzenia, aby dokładniej zbadać problem.

Proces szyfrowania funkcji BitLocker

W poniższych krokach opisano przepływ zdarzeń, które powinny spowodować pomyślne szyfrowanie urządzenia z systemem Windows 10, które nie zostało wcześniej zaszyfrowane za pomocą funkcji BitLocker.

  1. Administrator konfiguruje zasady funkcji BitLocker w usłudze Intune z żądanymi ustawieniami i określa grupę użytkowników lub grupę urządzeń.
  2. Zasady są zapisywane w dzierżawie w usłudze Intune.
  3. Klient usługi Windows 10 Mobile Zarządzanie urządzeniami (MDM) synchronizuje się z usługą Intune i przetwarza ustawienia zasad funkcji BitLocker.
  4. Zaplanowane zadanie odświeżania zasad MDM funkcji BitLocker jest uruchamiane na urządzeniu, które replikuje ustawienia zasad funkcji BitLocker do klucza rejestru pełnego szyfrowania woluminów (FVE).
  5. Szyfrowanie funkcją BitLocker jest inicjowane na dyskach.

Raport szyfrowania zawiera szczegóły stanu szyfrowania dla każdego urządzenia docelowego w usłudze Intune. Aby uzyskać szczegółowe wskazówki dotyczące używania tych informacji do rozwiązywania problemów, zobacz Rozwiązywanie problemów z funkcją BitLocker przy użyciu raportu szyfrowania usługi Intune.

Inicjowanie synchronizacji ręcznej

Jeśli ustalisz, że w raporcie szyfrowania nie ma informacji możliwych do wykonania akcji, musisz zebrać dane z urządzenia, którego dotyczy problem, aby ukończyć badanie.

Po uzyskaniu dostępu do urządzenia pierwszym krokiem jest ręczne zainicjowanie synchronizacji z usługą Intune przed zebraniem danych. Na urządzeniu z systemem Windows wybierz pozycję Ustawienia Konta>>Dostęp do miejsca pracy lub nauki<>Wybierz informacje o koncie>>służbowym. Następnie w obszarze Stan synchronizacji urządzenia wybierz pozycję Synchronizuj.

Po zakończeniu synchronizacji przejdź do poniższych sekcji.

Zbieranie danych dziennika zdarzeń

W poniższych sekcjach opisano sposób zbierania danych z różnych dzienników w celu rozwiązywania problemów ze stanem szyfrowania i zasadami. Przed zebraniem danych dziennika upewnij się, że wykonano ręczną synchronizację.

Dziennik zdarzeń agenta zarządzania urządzeniami przenośnymi (MDM)

Dziennik zdarzeń zarządzania urządzeniami przenośnymi jest przydatny do określenia, czy wystąpił problem podczas przetwarzania zasad usługi Intune lub stosowania ustawień dostawcy CSP. Agent OMA DM połączy się z usługą Intune i podejmie próbę przetworzenia zasad przeznaczonych dla użytkownika lub urządzenia. Ten dziennik pokaże powodzenie i niepowodzenia przetwarzania zasad usługi Intune.

Zbierz lub przejrzyj następujące informacje:

LOG>DeviceManagement-Enterprise-Diagnostics-Provider admin

  • Lokalizacja: kliknij prawym przyciskiem myszy menu> Start Podgląd zdarzeń> Aplikacje i dzienniki>usługi Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider Admin>
  • Lokalizacja systemu plików: C:\Windows\System32\winevt\Logs\Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider%4Admin.evtx

Aby filtrować ten dziennik, kliknij prawym przyciskiem myszy dziennik zdarzeń i wybierz pozycję Filtruj bieżący dziennik>krytyczny/błąd/ostrzeżenie. Następnie wyszukaj przefiltrowane dzienniki funkcji BitLocker (naciśnij F3 i wprowadź tekst).

Błędy w ustawieniach funkcji BitLocker będą zgodne z formatem dostawcy usługi konfiguracji funkcji BitLocker, dlatego będą widoczne wpisy podobne do następujących:

./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption

lub

./Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation

Uwaga 16.

Możesz również włączyć rejestrowanie debugowania dla tego dziennika zdarzeń przy użyciu Podgląd zdarzeń na potrzeby rozwiązywania problemów.

Dziennik zdarzeń usługi BitLocker-API Management

Jest to główny dziennik zdarzeń funkcji BitLocker. Jeśli agent MDM pomyślnie przetworzył zasady i nie ma żadnych błędów w dzienniku zdarzeń administratora DeviceManagement-Enterprise-Diagnostics-Provider, jest to następny dziennik do zbadania.

Log>BitLocker-API Management

  • Lokalizacja: kliknij prawym przyciskiem myszy menu> Start Podgląd zdarzeń> Aplikacje i dzienniki>usługi Microsoft>Windows>BitLocker-API
  • Lokalizacja systemu plików: C:\Windows\System32\winevt\Logs\Microsoft-Windows-BitLocker%4BitLocker Management.evtx

Zazwyczaj błędy są rejestrowane w tym miejscu, jeśli brakuje wymagań wstępnych dotyczących sprzętu lub oprogramowania, które wymagają zasad, takich jak Moduł TPM (Trusted Platform Module) lub Środowisko odzyskiwania systemu Windows (WinRE).

Błąd: nie można włączyć szyfrowania dyskretnego

Jak pokazano w poniższym przykładzie, sprzeczne ustawienia zasad, których nie można zaimplementować podczas szyfrowania dyskretnego i manifestu, ponieważ są również rejestrowane konflikty zasad grupy:

Nie można włączyć szyfrowania dyskretnego.

Błąd: Nie można zastosować szyfrowania funkcją BitLocker na tym dysku z powodu konfliktu ustawień zasad grupy. W przypadku odmowy dostępu do zapisu do dysków, które nie są chronione przez funkcję BitLocker, nie można wymagać użycia klucza uruchamiania USB. Przed podjęciem próby włączenia funkcji BitLocker administrator systemu rozwiąż te konflikty zasad.

Rozwiązanie: skonfiguruj zgodny numer PIN uruchomienia modułu TPM na wartość Zablokowane. Spowoduje to rozwiązanie konfliktu ustawień zasad grupy podczas korzystania z szyfrowania dyskretnego.

Należy ustawić numer PIN i klucz uruchamiania modułu TPM na wartość Zablokowane , jeśli wymagane jest szyfrowanie dyskretne. Skonfigurowanie numeru PIN uruchomienia i klucza uruchamiania modułu TPM na wartość Dozwolone oraz inne ustawienie klucza uruchamiania i numeru PIN na wartość Zablokowane na potrzeby interakcji użytkownika i spowoduje konflikt błędu zasad grupy w dzienniku zdarzeń funkcji BitLocker-AP. Ponadto jeśli skonfigurujesz numer PIN uruchomienia modułu TPM lub klucz uruchamiania w taki sposób, aby wymagać interakcji z użytkownikiem, spowoduje to niepowodzenie szyfrowania dyskretnego.

Skonfigurowanie dowolnego z zgodnych ustawień modułu TPM na wartość Wymagane spowoduje niepowodzenie szyfrowania dyskretnego.

Ustawienia dysku systemu operacyjnego funkcji BitLocker, które pokazują zgodne uruchamianie modułu TPM ustawione na wartość Wymagane.

Błąd: Moduł TPM jest niedostępny

Innym typowym błędem w dzienniku interfejsu API funkcji BitLocker jest to, że moduł TPM jest niedostępny. W poniższym przykładzie pokazano, że moduł TPM jest wymagany do szyfrowania dyskretnego:

Nie można włączyć szyfrowania dyskretnego. Moduł TPM jest niedostępny.

Błąd: Na tym komputerze nie można odnaleźć zgodnego urządzenia zabezpieczeń modułu TPM (Trusted Platform Module).

Rozwiązanie: upewnij się, że na urządzeniu jest dostępny moduł TPM, a jeśli jest obecny, sprawdź stan za pośrednictwem modułu TPM.msc lub polecenia cmdlet programu PowerShell get-tpm.

Błąd: Niedozwolona magistrala DMA

Jeśli dziennik interfejsu API funkcji BitLocker wyświetla następujący stan, oznacza to, że system Windows wykrył dołączony bezpośredni dostęp do pamięci (DMA), które może ujawnić zagrożenie DMA.

Wykryto niezaprawioną magistralę/urządzenia obsługujące dmA

Rozwiązanie: Aby rozwiązać ten problem, najpierw sprawdź, czy urządzenie nie ma zewnętrznych portów DMA z producentem oryginalnego sprzętu (OEM). Następnie wykonaj następujące kroki, aby dodać urządzenie do listy dozwolonych. Uwaga: dodaj urządzenie DMA tylko do listy dozwolonych, jeśli jest to wewnętrzny interfejs/magistrala DMA.

Dziennik zdarzeń systemu

Jeśli masz problemy związane ze sprzętem , takie jak problemy z modułem TPM, błędy pojawią się w dzienniku zdarzeń systemu dla modułu TPMProvisioningService lub źródła TPM-WMI.

Zdarzenie systemu LOG>

  • Lokalizacja: kliknij prawym przyciskiem myszy menu> Start Podgląd zdarzeń> System dzienników>systemu Windows
  • Lokalizacja systemu plików: C:\Windows\System32\winevt\Logs\System.evtx

Filtrowanie właściwości dziennika zdarzeń systemu.

Odfiltruj te źródła zdarzeń, aby zidentyfikować wszelkie problemy związane ze sprzętem, które mogą wystąpić w module TPM, i sprawdź u producenta OEM, czy są dostępne jakiekolwiek aktualizacje oprogramowania układowego.

Dziennik zdarzeń operacyjnych harmonogramu zadań

Dziennik zdarzeń operacyjnych harmonogramu zadań jest przydatny w przypadku scenariuszy rozwiązywania problemów, w których zasady zostały odebrane z usługi Intune (zostały przetworzone w usłudze DeviceManagement-Enterprise), ale szyfrowanie funkcją BitLocker nie zostało pomyślnie zainicjowane. Odświeżanie zasad MDM funkcji BitLocker to zaplanowane zadanie, które powinno zostać uruchomione pomyślnie, gdy agent MDM synchronizuje się z usługą Intune.

Włącz i uruchom dziennik operacyjny w następujących scenariuszach:

  • Zasady funkcji BitLocker są wyświetlane w dzienniku zdarzeń administratora DeviceManagement-Enterprise-Diagnostics-Provider, w diagnostyce MDM i rejestrze.
  • Brak błędów (zasady zostały pomyślnie odebrane z usługi Intune).
  • Nic nie jest rejestrowane w dzienniku zdarzeń interfejsu API funkcji BitLocker, aby pokazać, że nawet podjęto próbę szyfrowania.

Zdarzenie operacyjne harmonogramu zadań DZIENNIKA>

  • Lokalizacja: Podgląd zdarzeń> Applications i dzienniki>usługi Microsoft>Windows>TaskScheduler
  • Lokalizacja systemu plików: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx

Włączanie i uruchamianie dziennika zdarzeń operacyjnych

Ważne

Należy ręcznie włączyć ten dziennik zdarzeń przed zarejestrowaniem jakichkolwiek danych, ponieważ dziennik zidentyfikuje wszelkie problemy z uruchomionym zaplanowanym zadaniem odświeżania zasad MDM funkcji BitLocker.

  1. Aby włączyć ten dziennik, kliknij prawym przyciskiem myszy menu> Start Podgląd zdarzeń> Aplikacje i usługi>Microsoft>Windows>TaskScheduler>Operational.

    Zrzut ekranu przedstawiający element TaskScheduler — dzienniki operacyjne.

  2. Następnie wprowadź harmonogram zadań w polu wyszukiwania systemu Windows i wybierz pozycję Harmonogram>zadań Microsoft>Windows>BitLocker. Kliknij prawym przyciskiem myszy pozycję Odświeżanie zasad MDM funkcji BitLocker i wybierz polecenie Uruchom.

  3. Po zakończeniu przebiegu sprawdź kolumnę Last Run Result (Wynik ostatniego uruchomienia) pod kątem kodów błędów i sprawdź dziennik zdarzeń harmonogramu zadań pod kątem błędów.

    Przykładowy zrzut ekranu przedstawiający zadania funkcji BitLocker w harmonogramie zadań.

    W powyższym przykładzie 0x0 została pomyślnie uruchomiona. Błąd 0x41303 oznacza to, że zadanie nigdy wcześniej nie zostało uruchomione.

Uwaga 16.

Aby uzyskać więcej informacji na temat komunikatów o błędach harmonogramu zadań, zobacz Harmonogram zadań Error and Success Constants (Błędy harmonogramu zadań i stałe powodzenia).

Sprawdzanie ustawień funkcji BitLocker

W poniższych sekcjach opisano różne narzędzia, których można użyć do sprawdzania ustawień i stanu szyfrowania.

Raport diagnostyczny oprogramowania MDM

Możesz utworzyć raport dzienników zarządzania urządzeniami przenośnymi w celu zdiagnozowania problemów z rejestracją lub zarządzaniem urządzeniami na urządzeniach z systemem Windows 10 zarządzanych przez usługę Intune. Raport diagnostyczny rozwiązania MDM zawiera przydatne informacje o zarejestrowanym urządzeniu usługi Intune i wdrożonych w nim zasadach.

Aby zapoznać się z samouczkiem dotyczącym tego procesu, zobacz wideo YouTube Jak utworzyć raport diagnostyczny mdm usługi Intune na urządzeniach z systemem Windows

  • Lokalizacja systemu plików: C:\Users\Public\Documents\MDMDiagnostics

Kompilacja i edycja systemu operacyjnego

Pierwszym krokiem w zrozumieniu, dlaczego zasady szyfrowania nie są stosowane poprawnie, jest sprawdzenie, czy wersja i wersja systemu operacyjnego Windows obsługują skonfigurowane ustawienia. Niektóre dostawcy CSP zostały wprowadzone w określonych wersjach systemu Windows i będą działać tylko w określonej wersji. Na przykład większość ustawień dostawcy CSP funkcji BitLocker została wprowadzona w systemie Windows 10 w wersji 1703, ale te ustawienia nie były obsługiwane w systemie Windows 10 Pro do systemu Windows 10, wersja 1809.

Ponadto istnieją ustawienia, takie jak AllowStandardUserEncryption (dodane w wersji 1809), ConfigureRecoveryPasswordRotation (dodane w wersji 1909), RotateRecoveryPasswords (dodane w wersji 1909) i Status (dodane w wersji 1903).

Badanie za pomocą identyfikatora EntDMID

Identyfikator EntDMID jest unikatowym identyfikatorem urządzenia na potrzeby rejestracji w usłudze Intune. W centrum administracyjnym usługi Microsoft Intune możesz użyć identyfikatora EntDMID, aby przeszukać widok Wszystkie urządzenia i zidentyfikować określone urządzenie. Jest to również kluczowa informacja dla pomocy technicznej firmy Microsoft w celu umożliwienia dalszego rozwiązywania problemów po stronie usługi, jeśli jest wymagana sprawa pomocy technicznej.

Możesz również użyć raportu diagnostycznego MDM, aby określić, czy zasady zostały pomyślnie wysłane do urządzenia przy użyciu ustawień skonfigurowanych przez administratora. Korzystając z dostawcy CSP funkcji BitLocker jako odwołania, można odszyfrować ustawienia, które zostały odebrane podczas synchronizacji z usługą Intune. Możesz użyć raportu, aby określić, czy zasady są przeznaczone dla urządzenia, i użyć dokumentacji dostawcy usługi konfiguracji funkcji BitLocker, aby zidentyfikować ustawienia, które zostały skonfigurowane.

MSINFO32

MSINFO32 to narzędzie informacyjne zawierające dane urządzenia, którego można użyć do określenia, czy urządzenie spełnia wymagania wstępne funkcji BitLocker. Wymagane wymagania wstępne będą zależeć od ustawień zasad funkcji BitLocker i wymaganego wyniku. Na przykład szyfrowanie dyskretne dla modułu TPM 2.0 wymaga modułu TPM i ujednoliconego interfejsu UEFI (Extensible Firmware Interface).

  • Lokalizacja: w polu Wyszukaj wprowadź msinfo32, kliknij prawym przyciskiem myszy Informacje o systemie w wynikach wyszukiwania, a następnie wybierz polecenie Uruchom jako administrator.
  • Lokalizacja systemu plików: C:\Windows\System32\Msinfo32.exe.

Jeśli jednak ten element nie spełnia wymagań wstępnych, niekoniecznie oznacza to, że nie można zaszyfrować urządzenia przy użyciu zasad usługi Intune.

  • Jeśli skonfigurowano zasady funkcji BitLocker do szyfrowania w trybie dyskretnym, a urządzenie korzysta z modułu TPM 2.0, należy sprawdzić, czy tryb BIOS jest ueFI. Jeśli moduł TPM ma wartość 1.2, tryb BIOS w interfejsie UEFI nie jest wymagany.
  • Konfiguracja bezpiecznego rozruchu, ochrony DMA i PCR7 nie jest wymagana do szyfrowania dyskretnego, ale może zostać wyróżniona w sekcji Obsługa szyfrowania urządzeń. Ma to zapewnić obsługę automatycznego szyfrowania.
  • Zasady funkcji BitLocker skonfigurowane tak, aby nie wymagały modułu TPM i mają interakcję z użytkownikiem, a nie szyfrują dyskretnie, również nie będą miały wymagań wstępnych dotyczących ewidencjonowania MSINFO32.

Moduł tpm. Plik MSC

TPM.msc to plik przystawki programu Microsoft Management Console (MMC). Możesz użyć modułu TPM.msc, aby określić, czy urządzenie ma moduł TPM, aby określić wersję i czy jest gotowe do użycia.

  • Lokalizacja: w polu Wyszukaj wprowadź ciąg tpm.msc, a następnie kliknij prawym przyciskiem myszy i wybierz polecenie Uruchom jako administrator.
  • Lokalizacja systemu plików: przystawka MMC C:\Windows\System32\mmc.exe.

Moduł TPM nie jest wymaganiem wstępnym dla funkcji BitLocker, ale jest zdecydowanie zalecany ze względu na zwiększone bezpieczeństwo, które zapewnia. Jednak moduł TPM jest wymagany do szyfrowania dyskretnego i automatycznego. Jeśli próbujesz zaszyfrować dyskretnie za pomocą usługi Intune i występują błędy modułu TPM w dziennikach zdarzeń interfejsu API funkcji BitLocker i systemu, moduł TPM.msc pomoże Ci zrozumieć problem.

W poniższym przykładzie przedstawiono stan dobrej kondycji modułu TPM 2.0. Zwróć uwagę na specyfikację w wersji 2.0 w prawym dolnym rogu i że stan jest gotowy do użycia.

Przykładowy zrzut ekranu przedstawiający stan dobrej kondycji modułu TPM 2.0 w konsoli modułu Trusted Platform Module.

W tym przykładzie pokazano stan złej kondycji, gdy moduł TPM jest wyłączony w systemie BIOS:

Przykładowy zrzut ekranu przedstawiający stan modułu TPM w złej kondycji 2.0 w konsoli modułu Trusted Platform Module.

Konfigurowanie zasad w celu wymagania modułu TPM i oczekiwania funkcji BitLocker na szyfrowanie, gdy brakuje modułu TPM lub jest w złej kondycji, jest jednym z najczęstszych problemów.

Polecenie cmdlet Get-Tpm

Polecenie cmdlet to uproszczone polecenie w środowisku programu Windows PowerShell. Oprócz uruchamiania modułu TPM.msc można zweryfikować moduł TPM przy użyciu polecenia cmdlet Get-Tpm. To polecenie cmdlet należy uruchomić z uprawnieniami administratora.

  • Lokalizacja: w polu Wyszukiwania wprowadź polecenie cmd, a następnie kliknij prawym przyciskiem myszy i wybierz polecenie Uruchom jako administrator>programu PowerShell>get-tpm.

Przykładowy zrzut ekranu przedstawiający obecny i aktywny moduł TPM w oknie programu PowerShell.

W powyższym przykładzie widać, że moduł TPM jest obecny i aktywny w oknie programu PowerShell. Wartości są równe True. Jeśli wartości zostały ustawione na Fałsz, oznaczałoby to problem z modułem TPM. Funkcja BitLocker nie będzie mogła używać modułu TPM, dopóki nie będzie ona dostępna, gotowa, włączona, aktywowana i należąca do niej.

Narzędzie wiersza polecenia Manage-bde

Manage-bde to narzędzie wiersza polecenia szyfrowania funkcją BitLocker zawarte w systemie Windows. Jest ona przeznaczona do ułatwienia administrowania po włączeniu funkcji BitLocker.

  • Lokalizacja: w polu Wyszukaj wprowadź polecenie cmd, kliknij prawym przyciskiem myszy i wybierz polecenie Uruchom jako administrator, a następnie wprowadź ciąg manage-bde -status.
  • Lokalizacja systemu plików: C:\Windows\System32\manage-bde.exe.

Przykładowy zrzut ekranu przedstawiający polecenie manage-bde.exe w oknie wiersza polecenia.

Aby odnaleźć następujące informacje o urządzeniu, możesz użyć narzędzia manage-bde:

  • Czy jest zaszyfrowany? Jeśli raportowanie w centrum administracyjnym usługi Microsoft Intune wskazuje, że urządzenie nie jest zaszyfrowane, to narzędzie wiersza polecenia może zidentyfikować stan szyfrowania.
  • Która metoda szyfrowania została użyta? Możesz porównać informacje z narzędzia do metody szyfrowania w zasadach, aby upewnić się, że są one zgodne. Jeśli na przykład zasady usługi Intune są skonfigurowane do 256-bitowego środowiska XTS-AES, a urządzenie jest szyfrowane przy użyciu 128-bitowego środowiska XTS-AES, spowoduje to błędy w raportowaniu zasad centrum administracyjnego usługi Microsoft Intune.
  • Jakie konkretne funkcje ochrony są używane? Istnieje kilka kombinacji funkcji ochrony. Znajomość, która funkcja ochrony jest używana na urządzeniu, pomoże Ci zrozumieć, czy zasady zostały zastosowane poprawnie.

W poniższym przykładzie urządzenie nie jest szyfrowane:

Przykładowy zrzut ekranu przedstawiający urządzenie, które nie jest zaszyfrowane za pomocą funkcji BitLocker.

Lokalizacje rejestru funkcji BitLocker

Jest to pierwsze miejsce w rejestrze, aby sprawdzić, kiedy chcesz odszyfrować ustawienia zasad odebrane przez usługę Intune:

  • Lokalizacja: kliknij prawym przyciskiem myszy polecenie Uruchom,> a następnie wprowadź polecenie regedit, aby otworzyć Edytor rejestru.
  • Domyślna lokalizacja systemu plików: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker

Klucz rejestru agenta MDM pomoże zidentyfikować unikatowy identyfikator globalny (GUID) w policyManager zawierający rzeczywiste ustawienia zasad funkcji BitLocker.

Lokalizacja rejestru funkcji BitLocker w Edytorze rejestru.

Identyfikator GUID został wyróżniony w powyższym przykładzie. Można dołączyć identyfikator GUID (będzie on inny dla każdej dzierżawy) w następującym podkluczu rejestru, aby rozwiązać problemy z ustawieniami zasad funkcji BitLocker:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\Providers<GUID>\default\Device\BitLocker

Zrzut ekranu edytora rejestru z wyświetlonymi ustawieniami zasad funkcji BitLocker skonfigurowanymi przez agenta MDM

Ten raport przedstawia ustawienia zasad funkcji BitLocker, które zostały odebrane przez agenta MDM (klienta OMADM). Są to te same ustawienia, które będą widoczne w raporcie diagnostycznym mdM, więc jest to alternatywny sposób identyfikowania ustawień, które klient odebrał.

Przykład klucza rejestru EncryptionMethodByDriveType:

<enabled/><data id="EncryptionMethodWithXtsOsDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsFdvDropDown_Name" value="6"/><data id="EncryptionMethodWithXtsRdvDropDown_Name" value="3"/>

Przykład elementu SystemDrivesRecoveryOptions:

<enabled/><data id="OSAllowDRA_Name" value="true"/><data id="OSRecoveryPasswordUsageDropDown_Name" value="2"/><data id="OSRecoveryKeyUsageDropDown_Name" value="2"/><data id="OSHideRecoveryPage_Name" value="false"/><data id="OSActiveDirectoryBackup_Name" value="true"/><data id="OSActiveDirectoryBackupDropDown_Name" value="1"/><data id="OSRequireActiveDirectoryBackup_Name" value="true"/>

Klucz rejestru funkcji BitLocker

Ustawienia w kluczu rejestru dostawcy zasad zostaną zduplikowane do głównego klucza rejestru funkcji BitLocker. Możesz porównać ustawienia, aby upewnić się, że są one zgodne z ustawieniami zasad w interfejsie użytkownika, dziennikiem MDM, diagnostyką MDM i kluczem rejestru zasad.

  • Lokalizacja klucza rejestru: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE

Jest to przykład klucza rejestru FVE:

Zrzut ekranu przedstawiający klucze rejestru funkcji BitLocker znalezione w Edytorze rejestru.

  • Elementy: EncryptionMethodWithXtsOs, EncryptionMethodWithXtsFdv i EncryptionMethodWithXtsRdv mają następujące możliwe wartości:
    • 3 = AES-CBC 128
    • 4 = AES-CBC 256
    • 6 = XTS-AES 128
    • 7 = XTS-AES 256
  • B: UżyjTPM, UseTPMKey, UseTPMKeyPIN, USeTPMPIN są ustawione na 2, co oznacza, że wszystkie są ustawione na zezwalanie.
  • C: Zwróć uwagę, że większość kluczy jest podzielona na grupy ustawień dysku systemu operacyjnego (OS), dysku stałego (FDV) i dysku wymiennego (FDVR).
  • D: OSActiveDirectoryBackup ma wartość 1 i jest włączona.
  • E: OSHideRecoveryPage jest równa 0 i nie jest włączona.

Użyj dokumentacji dostawcy CSP funkcji BitLocker, aby zdekodować wszystkie nazwy ustawień w rejestrze.

narzędzie wiersza polecenia REAgentC.exe

REAgentC.exe to narzędzie wykonywalne wiersza polecenia, którego można użyć do skonfigurowania środowiska odzyskiwania systemu Windows (Windows RE). WinRE jest wymaganiem wstępnym do włączenia funkcji BitLocker w niektórych scenariuszach, takich jak dyskretne lub automatyczne szyfrowanie.

  • Lokalizacja: kliknij prawym przyciskiem myszy polecenie Uruchom>, wprowadź polecenie cmd. Następnie kliknij prawym przyciskiem myszy cmd i wybierz polecenie Uruchom jako administrator>administrator administrator /info.
  • Lokalizacja systemu plików: C:\Windows\System32\ReAgentC.exe.

Napiwek

Jeśli w interfejsie API funkcji BitLocker są wyświetlane komunikaty o błędach dotyczące braku włączenia funkcji WinRe, uruchom polecenie debugc /info na urządzeniu, aby określić stan winRE.

Dane wyjściowe polecenia ReAgentC.exe w wierszu polecenia.

Jeśli stan WinRE jest wyłączony, uruchom polecenie nieaktywne /enable jako administrator, aby włączyć go ręcznie:

Przykładowy zrzut ekranu umożliwiający włączenie ReAgentC.exe w wierszu polecenia. Uruchom polecenie command command foundation /enable

Podsumowanie

Jeśli funkcja BitLocker nie może włączyć na urządzeniu z systemem Windows 10 przy użyciu zasad usługi Intune, w większości przypadków wymagania wstępne sprzętu lub oprogramowania nie są spełnione. Sprawdzenie dziennika interfejsu API funkcji BitLocker pomoże określić, które wymagania wstępne nie są spełnione. Najczęstsze problemy to:

  • Moduł TPM nie jest obecny
  • Usługa WinRE nie jest włączona
  • System BIOS interfejsu UEFI nie jest włączony dla urządzeń TPM 2.0

Błędna konfiguracja zasad może również powodować błędy szyfrowania. Nie wszystkie urządzenia z systemem Windows mogą szyfrować dyskretnie, więc pomyśl o użytkownikach i urządzeniach, których dotyczysz.

Skonfigurowanie klucza uruchamiania lub numeru PIN dla zasad przeznaczonych do szyfrowania dyskretnego nie będzie działać z powodu interakcji użytkownika wymaganej podczas włączania funkcji BitLocker. Pamiętaj o tym podczas konfigurowania zasad funkcji BitLocker w usłudze Intune.

Sprawdź, czy ustawienia zasad zostały odebrane przez urządzenie, aby określić, czy określanie wartości docelowej zakończyło się pomyślnie.

Istnieje możliwość zidentyfikowania ustawień zasad przy użyciu diagnostyki MDM, kluczy rejestru i dziennika zdarzeń przedsiębiorstwa zarządzania urządzeniami w celu sprawdzenia, czy ustawienia zostały pomyślnie zastosowane. Dokumentacja dostawcy usług kryptograficznych funkcji BitLocker może ułatwić rozszyfrowanie tych ustawień, aby zrozumieć, czy są one zgodne z tym, co zostało skonfigurowane w zasadach.