使用Intune加密报告对BitLocker进行故障排除
Bitget新闻:Microsoft Intune提供内置加密报告,提供有关所有托管设备的加密状态的详细信息。 Intune加密报告是排查加密失败的有用起点。 可以使用报告来识别和隔离 BitLocker 加密失败,并查看受信任的平台模块 (TPM) Windows 设备的状态和加密状态。
本文介绍如何使用 Intune 加密报告来帮助排查 BitLocker 加密问题。 有关其他故障排除指南,请参阅 从客户端排查 BitLocker 策略问题。
加密先决条件
默认情况下,BitLocker 安装向导会提示用户启用加密。 还可以配置在设备上以无提示方式启用 BitLocker 的 BitLocker 策略。 本部分介绍每个方法的不同先决条件。
备注 自动加密与无提示加密不同。 在新式待机或硬件安全测试接口 ( (符合 HSTI) 的设备上的 OOBE) 模式的 Windows 全新体验期间执行自动加密。 在无提示加密中,Intune通过 BitLocker 配置服务提供程序 (CSP) 设置来禁止用户交互。
用户启用加密的先决条件:
硬盘必须分区到使用 NTFS 格式化的操作系统驱动器和至少 350 MB 的系统驱动器(对于 UEFI 和 BIOS 的 NTFS 格式为 FAT32)。
设备必须通过Microsoft Entra混合联接、Microsoft Entra注册或Microsoft Entra联接在 Intune 中注册。
不需要受信任的平台模块 (TPM) 芯片,但 强烈建议 使用以提高安全性。
BitLocker 无提示 加密的先决条件:
必须解锁的 TPM 芯片 (版本 1.2 或 2.0) 。
必须启用 Windows 恢复环境 (WinRE) 。
硬盘必须分区到使用 NTFS 格式化的操作系统驱动器中,并且至少 350 MB 的系统驱动器必须格式化为 FAT32,以便统一可扩展固件接口 (UEFI) 和 NTFS for BIOS。 TPM 版本 2.0 设备需要 UEFI BIOS。 (不需要安全启动,但会提供更多安全性。)
Intune注册的设备已连接到 Microsoft Azure 混合服务或Microsoft Entra ID。
识别加密状态和失败
Intune注册Windows 10设备上的 BitLocker 加密失败可能属于以下类别之一:
设备硬件或软件不符合启用 BitLocker 的先决条件。
Intune BitLocker 策略配置错误,导致组策略对象 (GPO) 冲突。
设备已加密,并且加密方法与策略设置不匹配。
若要确定设备加密失败的类别,请登录到Microsoft Intune管理中心,然后选择“设备>监视>加密报告”。 报告将显示已注册设备的列表,并显示设备是否已加密或已准备好进行加密,以及设备是否具有 TPM 芯片。
备注 如果Windows 10设备显示“未就绪”状态,它可能仍支持加密。 对于“就绪”状态,Windows 10设备必须已激活 TPM。 无需 TPM 设备即可支持加密,但强烈建议使用 TPM 设备来提高安全性。
以上示例显示 TPM 版本为 1.2 的设备已成功加密。 此外,可以看到两个无法以静默方式加密的加密设备,以及一台已准备好加密但尚未加密的 TPM 2.0 设备。
常见故障方案
以下部分介绍常见故障方案,你可以使用加密报告中的详细信息进行诊断。
方案 1 - 设备未准备好进行加密且未加密
单击未加密的设备时,Intune显示其状态摘要。 在下面的示例中,有多个面向设备的配置文件:终结点保护策略、不适用于此设备) 的 Mac 操作系统策略 (,以及Microsoft Defender高级威胁防护 (ATP) 基线。
加密状态说明:
“状态详细信息”下的消息是 BitLocker CSP 状态节点从设备返回的代码。 加密状态为错误状态,因为 OS 卷未加密。 此外,BitLocker 策略具有 TPM 的要求,设备不满足这一要求。
消息表示设备未加密,因为它没有 TPM,并且策略需要 TPM。
方案 2 - 设备已准备就绪,但未加密
此示例显示 TPM 2.0 设备未加密。
加密状态说明:
此设备具有针对用户交互而不是无提示加密配置的 BitLocker 策略。 用户尚未启动或完成加密过程, (用户收到) 通知消息,因此驱动器保持未加密状态。
方案 3 - 设备未准备就绪,不会以无提示方式加密
如果加密策略配置为禁止用户交互和无提示加密,并且加密报告 加密就绪 状态为 “不适用 ”或“ 未就绪”,则 TPM 可能尚未准备好用于 BitLocker。
设备状态详细信息显示原因:
加密状态说明:
如果 TPM 在设备上未准备就绪,可能是因为它在固件中被禁用,或者需要清除或重置。 从受影响设备上的命令行运行 TPM 管理控制台 () 将有助于了解和解决 TPM 状态。
方案 4 - 设备已准备就绪,但未以无提示方式加密
有多种原因导致以无提示加密为目标的设备已准备就绪,但尚未加密。
加密状态说明:
一种解释是,未在设备上启用 WinRE,这是先决条件。 你可以以管理员身份使用 命令验证设备上的 WinRE 状态。
如果 WinRE 已禁用,请以管理员身份运行 命令以启用 WinRE。
如果未正确配置 WinRE, “状态详细信息 ”页将显示以下消息:
登录到设备的用户没有管理员权限。
另一个原因可能是管理权限。 如果 BitLocker 策略面向没有管理权限的用户,并且未启用 Autopilot 期间允许标准用户启用加密 ,则会看到以下加密状态详细信息。
加密状态说明:
将“允许标准用户在 Autopilot 期间启用加密”设置为“是”,以解决已加入Microsoft Entra设备的此问题。
方案 5 - 设备处于错误状态,但已加密
在此常见方案中,如果为 XTS-AES 128 位加密配置了Intune策略,但目标设备使用 XTS-AES 256 位加密 (或反向) 进行加密,则会收到如下所示的错误。
加密状态说明:
如果设备已使用另一种方法进行加密(由用户手动加密,使用 Microsoft BitLocker 管理和监视 (MBAM) ),或者在注册前由Microsoft Configuration Manager进行加密。
若要更正此问题,请手动或使用Windows PowerShell解密设备。 然后,让 Intune BitLocker 策略在策略下次到达设备时再次加密设备。
方案 6 - 设备已加密,但配置文件状态为错误
有时,设备显示为已加密,但在配置文件状态摘要中具有错误状态。
加密状态说明:
当设备已通过其他方式加密时,通常会发生这种情况, (可能手动) 。 这些设置与当前策略匹配,但Intune尚未启动加密。
