Risoluzione dei problemi di BitLocker con il report di crittografia Intune

Microsoft Intune fornisce un report di crittografia predefinito che fornisce informazioni dettagliate sullo stato di crittografia in tutti i dispositivi gestiti. Il report di crittografia Intune è un punto di partenza utile per la risoluzione degli errori di crittografia. È possibile usare il report per identificare e isolare gli errori di crittografia di BitLocker e visualizzare lo stato di crittografia e lo stato TPM (Trusted Platform Module) dei dispositivi Windows.

Questo articolo illustra come usare il report di crittografia Intune per risolvere i problemi di crittografia per BitLocker. Per altre indicazioni sulla risoluzione dei problemi, vedere Risoluzione dei problemi relativi ai criteri di BitLocker dal lato client.

Nota

Per sfruttare al meglio questo metodo di risoluzione dei problemi e i dettagli degli errori disponibili nel report di crittografia, è necessario configurare un criterio BitLocker. Se attualmente si usano criteri di configurazione del dispositivo, provare a eseguire la migrazione dei criteri. Per altre informazioni, vedere Gestire i criteri di BitLocker per i dispositivi Windows con Intune e impostazioni dei criteri di crittografia del disco per la sicurezza degli endpoint in Intune.

Prerequisiti di crittografia

Per impostazione predefinita, l'installazione guidata di BitLocker richiede agli utenti di abilitare la crittografia. È anche possibile configurare un criterio di BitLocker che abilita in modo invisibile all'utente BitLocker in un dispositivo. Questa sezione illustra i diversi prerequisiti per ogni metodo.

Nota

La crittografia automatica non è la stessa cosa della crittografia invisibile all'utente. La crittografia automatica viene eseguita durante la modalità configurazione guidata di Windows in modalità standby moderno o nei dispositivi conformi all'interfaccia HSTI (Hardware Security Test Interface). Nella crittografia invisibile all'utente, Intune elimina l'interazione dell'utente tramite le impostazioni del provider di servizi di configurazione BitLocker .

Prerequisiti per la crittografia abilitata per l'utente :

  • Il disco rigido deve essere partizionato in un'unità del sistema operativo formattata con NTFS e un'unità di sistema di almeno 350 MB formattata come FAT32 per UEFI e NTFS per BIOS.
  • Il dispositivo deve essere registrato in Intune tramite Microsoft Entra join ibrido, registrazione Microsoft Entra o Microsoft Entra join.
  • Non è necessario un chip TPM (Trusted Platform Module), ma è consigliabile per una maggiore sicurezza.

Prerequisiti per la crittografia invisibile all'utente di BitLocker:

  • Chip TPM (versione 1.2 o 2.0) che deve essere sbloccato.
  • Windows Recovery Environment (WinRE) deve essere abilitato.
  • Il disco rigido deve essere partizionato in un'unità del sistema operativo formattata con NTFS e un'unità di sistema di almeno 350 MB deve essere formattata come FAT32 per UEFI (Unified Extensible Firmware Interface) e NTFS per BIOS. Il BIOS UEFI è necessario per i dispositivi TPM versione 2.0. L'avvio protetto non è necessario, ma offre maggiore sicurezza.
  • Il dispositivo registrato Intune è connesso a servizi ibridi o Microsoft Entra ID di Microsoft Azure.

Identificazione dello stato e degli errori di crittografia

Gli errori di crittografia di BitLocker in Intune dispositivi registrati Windows 10 possono rientrare in una delle categorie seguenti:

  • L'hardware o il software del dispositivo non soddisfa i prerequisiti per l'abilitazione di BitLocker.
  • Il criterio Intune BitLocker non è configurato correttamente, causando conflitti con Criteri di gruppo Object (GPO).
  • Il dispositivo è già crittografato e il metodo di crittografia non corrisponde alle impostazioni dei criteri.

Per identificare la categoria di un errore di crittografia del dispositivo, accedere all'interfaccia di amministrazione Microsoft Intune e selezionare Reportcrittografia monitoraggio> dispositivi.> Il report mostrerà un elenco di dispositivi registrati e mostrerà se un dispositivo è crittografato o pronto per essere crittografato e se ha un chip TPM.

Intune esempio di report di crittografia.

Nota

Se un dispositivo Windows 10 visualizza uno stato Non pronto, potrebbe comunque supportare la crittografia. Per uno stato Pronto, il dispositivo Windows 10 deve avere TPM attivato. I dispositivi TPM non sono necessari per supportare la crittografia, ma sono altamente consigliati per una maggiore sicurezza.

L'esempio precedente mostra che un dispositivo con TPM versione 1.2 è stato crittografato correttamente. Inoltre, è possibile visualizzare due dispositivi non pronti per la crittografia che non potranno essere crittografati in modo invisibile all'utente, nonché un dispositivo TPM 2.0 pronto per la crittografia ma non ancora crittografato.

Scenari di errore comuni

Le sezioni seguenti descrivono scenari di errore comuni che è possibile diagnosticare con i dettagli del report di crittografia.

Scenario 1: il dispositivo non è pronto per la crittografia e non è crittografato

Quando si fa clic su un dispositivo non crittografato, Intune visualizza un riepilogo del relativo stato. Nell'esempio seguente sono presenti più profili destinati al dispositivo: un criterio di protezione degli endpoint, un criterio del sistema operativo Mac (che non è applicabile a questo dispositivo) e una baseline Microsoft Defender Advanced Threat Protection (ATP).

Intune dettagli sullo stato che mostrano che il dispositivo non è pronto per la crittografia e non è crittografato.

Descrizione dello stato di crittografia:

I messaggi in Dettagli stato sono codici restituiti dal nodo di stato CSP BitLocker dal dispositivo. Lo stato di crittografia è in stato di errore perché il volume del sistema operativo non è crittografato. Inoltre, i criteri di BitLocker hanno requisiti per un TPM, che il dispositivo non soddisfa.

I messaggi indicano che il dispositivo non è crittografato perché non ha un TPM presente e il criterio ne richiede uno.

Scenario 2: il dispositivo è pronto ma non crittografato

Questo esempio mostra che il dispositivo TPM 2.0 non è crittografato.

Intune dettagli sullo stato che mostrano che il dispositivo è pronto per la crittografia, ma non è crittografato.

Descrizione dello stato di crittografia:

Questo dispositivo ha un criterio BitLocker configurato per l'interazione dell'utente anziché per la crittografia invisibile all'utente. L'utente non ha avviato o completato il processo di crittografia (l'utente riceve un messaggio di notifica), quindi l'unità rimane non crittografata.

Scenario 3: il dispositivo non è pronto e non crittografa in modo invisibile all'utente

Se un criterio di crittografia è configurato per eliminare l'interazione dell'utente e crittografare in modo invisibile all'utente e lo stato di preparazione della crittografia del report di crittografianon è applicabile o Non pronto, è probabile che il TPM non sia pronto per BitLocker.

Intune dettagli sullo stato che mostrano che il dispositivo non è pronto e non crittografa in modo invisibile all'utente.

I dettagli sullo stato del dispositivo rivelano la causa:

Intune dettagli sullo stato di crittografia del dispositivo che mostrano che TPM non è pronto per BitLocker.

Descrizione dello stato di crittografia:

Se il TPM non è pronto nel dispositivo, potrebbe essere perché è disabilitato nel firmware o deve essere cancellato o reimpostato. L'esecuzione della console di gestione TPM (TPM.msc) dalla riga di comando nel dispositivo interessato consentirà di comprendere e risolvere lo stato del TPM.

Scenario 4: il dispositivo è pronto ma non crittografato in modo invisibile all'utente

Esistono diversi motivi per cui un dispositivo destinato alla crittografia invisibile all'utente è pronto ma non ancora crittografato.

Intune dettagli sullo stato di crittografia del dispositivo che mostrano che il dispositivo è pronto per la crittografia invisibile all'utente ma non ancora crittografato.

Descrizione dello stato di crittografia:

Una spiegazione è che WinRE non è abilitato nel dispositivo, che è un prerequisito. È possibile convalidare lo stato di WinRE nel dispositivo usando il comando reagentc.exe/info come amministratore.

Output del prompt dei comandi di reagentc.exe/info.

Se WinRE è disabilitato, eseguire il comando reagentc.exe/info come amministratore per abilitare WinRE.

Abilitazione di WinRE nel prompt dei comandi.

Se WinRE non è configurato correttamente, nella pagina Dettagli stato verrà visualizzato il messaggio seguente:

L'utente connesso al dispositivo non dispone dei diritti di amministratore.

Un altro motivo potrebbe essere il diritto amministrativo. Se i criteri di BitLocker sono destinati a un utente che non dispone di diritti amministrativi e Consenti agli utenti standard di abilitare la crittografia durante Autopilot non è abilitato, verranno visualizzati i dettagli dello stato di crittografia seguenti.

Descrizione dello stato di crittografia:

Impostare Consenti agli utenti standard di abilitare la crittografia durante Autopilot su per risolvere il problema per Microsoft Entra dispositivi aggiunti.

Scenario 5: il dispositivo è in stato di errore ma crittografato

In questo scenario comune, se i criteri di Intune sono configurati per la crittografia XTS-AES a 128 bit, ma il dispositivo di destinazione viene crittografato usando la crittografia XTS-AES a 256 bit (o viceversa), verrà visualizzato l'errore illustrato di seguito.

Intune dettagli sullo stato di crittografia del dispositivo che mostrano che il dispositivo è in stato di errore ma crittografato.

Descrizione dello stato di crittografia:

Ciò si verifica quando un dispositivo che è già stato crittografato usando un altro metodo, manualmente dall'utente, con Microsoft BitLocker Administration and Monitoring (MBAM) o dal Microsoft Configuration Manager prima della registrazione.

Per correggere questo errore, decrittografare il dispositivo manualmente o con Windows PowerShell. Consentire quindi al criterio Intune BitLocker di crittografare di nuovo il dispositivo al successivo raggiungimento del criterio.

Scenario 6: il dispositivo è crittografato, ma lo stato del profilo è in errore

In alcuni casi, un dispositivo viene visualizzato crittografato ma ha uno stato di errore nel riepilogo dello stato del profilo.

Intune dettagli sullo stato di crittografia che mostrano che il riepilogo dello stato del profilo è in stato di errore.

Descrizione dello stato di crittografia:

Ciò si verifica in genere quando il dispositivo è stato crittografato con un altro mezzo (possibilmente manualmente). Le impostazioni corrispondono ai criteri correnti, ma Intune non ha avviato la crittografia.