En mettant en œuvre la gestion de BitLocker sur Windows 10 via Microsoft Intune chez un de mes clients, j’ai constaté un problème où les machines renvoyaient indéfiniment de nouvelles clés de restauration pour la partition système.
Ce problème survient si vous avez configuré une stratégie Endpoint Protection en activant des paramétrages pour le chiffrement de Windows (Windows Encryption). Vous avez par exemple configuré les options suivantes :
- Encrypt Devices pour activer le chiffrement BitLocker sur les machines cibles
- L’option Additional authentication at startup est à Require et permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle)..
- Vous avez configuré l’une des options :
- Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
- L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
- L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
- L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
Plus globalement le problème survient dès lors que vous avez activer le chiffrement BitLocker avec Microsoft Intune.
Sur les machines concernées, vous pouvez ouvrir l’observateur d’événements et naviguez dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Les erreurs ont lieu de manière récurrente enchainant des événements 846, 785, 778, et 851.
Failed to enable Silent Encryption.
Error: The specified domain either does not exist or could not be contacted.
The BitLocker volume C: was reverted to an unprotected state.
Nous constatons que la machine tente un chiffrement en boucle avec les événements 796, 775 845, 817, 840, 780.
Dans le portail Microsoft Intune, vous pouvez constater l’apparition d’un grand nombre de clés de restauration pour la même machine :
Après quelques minutes, nous décidons simplement de mettre à jour le BIOS de la machine qui semblait relativement ancien. Ceci a résolu le problème de chiffrement en boucle en réalisant l’opération avec succès.