Autopilot – Automatisk Bitlocker kryptering med TPM 1.2

Att Windows Autopilot har förberett vägen för ”Modern Workplace” är inget nytt under solen. Däremot finns det många delar kvar som man måste ha i åtanke när man planerar en migrering till ”Azure-Joined” enheter.

En av dessa delar var att vissa enheter kunde ej uppgraderas till TPM 1.2 och ”Automatic Bitlocker Encryption” via Intune inte var möjligt.

Detta resulterar i att alla Autopilot enheter med TPM 1.2 inte hade kryptering påslaget.

Följande Powershell skript löste problemet genom att kontrollera krypteringsstatus och kalla på ”manage-bde.exe”. Skriptet kan man sedan rikta mot enbart klienter med TPM 1.2. Därefter får man kontrollera om återställningsnyckeln för enheten blivit uppladdad till dess tenant.


<# .Synopsis Enable Automatic bitlocker encryption of systemdrive using manage-bde.exe. .DESCRIPTION Enable Automatic bitlocker encryption of systemdrive using manage-bde.exe.. Non HSTI devices or devices with TPM 1.2 does not support automatic encryption using bitlocker so this will work as a replacement to the intunepolicy which encrypts devices. .EXAMPLE Enable-AutomaticBitlockerNonHSTI #>
Start-Transcript -Path $(Join-Path $env:temp "EnableAutomaticBitlockerNonHSTI.log")
Write-Output "Starting script..."
function Enable-AutomaticBitlockerNonHSTI
{
Begin
{
try{
$protectionStatus = (Get-BitlockerVolume -MountPoint "C:").ProtectionStatus
Write-Output "Bitlocker protection status for Systemdrive is: $protectionStatus"
}
catch{
Write-Output $_
}
}
Process
{
try{
if($protectionStatus -ne "On"){
Write-Output "Initializing Bitlocker protection for Systemdrive..."
$proc = start-process -WorkingDirectory "C:\Windows\System32" -filepath "manage-bde.exe" -ArgumentList "-on c: -rp" -PassThru -Wait -WindowStyle Hidden -ErrorAction SilentlyContinue
$exitCode = $proc.ExitCode
Write-Output "Finished Bitlocker encrypting systemdrive with Exitcode: $exitCode"
Write-Output "Restart is needed..."
}
else{
Write-Output "No Bitlocker encryption of Systemdrive is needed since it is already on..."
}
}
catch{
Write-Output $_
}
}
}

Enable-AutomaticBitlockerNonHSTI
Stop-Transcript