Supervisión del cifrado de dispositivos con Intune

  • Artículo

El informe de cifrado de Microsoft Intune es una ubicación centralizada para ver los detalles sobre el estado de cifrado de un dispositivo y buscar opciones para administrar las claves de recuperación del mismo. Las opciones de clave de recuperación disponibles dependen del tipo de dispositivo que se está viendo.

Sugerencia

Para configurar directivas de Intune para administrar el cifrado en dispositivos, consulte:

Para buscar el informe, inicie sesión en el centro de administración de Microsoft Intune. SeleccioneConfiguración dedispositivos>, seleccione la pestaña Monitor* y, a continuación, seleccione Estado de cifrado de dispositivos.

Ver detalles de cifrado

El informe de cifrado muestra detalles comunes en los dispositivos compatibles que se administran. En las secciones siguientes se proporcionan detalles sobre la información que Intune presenta en el informe.

Requisitos previos

El informe de cifrado admite la generación de informes en los dispositivos que ejecutan las versiones siguientes de sistema operativo:

  • macOS 10.13 o posterior
  • Windows, versión 1607 o posterior

Detalles del informe

El panel Informe de cifrado muestra una lista de los dispositivos que administra con detalles de alto nivel sobre esos dispositivos. Puede seleccionar un dispositivo de la lista para profundizar y ver detalles adicionales en el panel Estado de cifrado del dispositivo.

  • Nombre de dispositivo: representa el nombre del dispositivo.

  • SO: contiene la plataforma del dispositivo, como Windows o macOS.

  • Versión del SO: versión de Windows o macOS del dispositivo.

  • Versión de TPM(solo se aplica a Windows 10/11): la versión del chip del módulo de plataforma segura (TPM) detectado en el dispositivo Windows.

    Para obtener más información sobre cómo se consulta la versión de TPM, vea CSP de DeviceStatus: especificación de TPM.

  • Preparación del cifrado: evaluación de la preparación de los dispositivos para admitir una tecnología de cifrado aplicable, como el cifrado de BitLocker o FileVault. Los dispositivos se identifican como:

    • Listo: el dispositivo se puede cifrar mediante el uso de la directiva MDM, que necesita que el dispositivo cumpla los requisitos siguientes:

      Para dispositivos macOS:

      • macOS versión 10.13 o posterior

      Para dispositivos Windows:

      • Windows 10 versión 1709 o posterior de Business, Enterprise, Education, Windows 10 versión 1809 o posterior de Pro,y Windows 11.
      • El dispositivo debe tener un chip TPM

      Para obtener más información sobre los requisitos previos de Windows para el cifrado, vea el artículo sobre el proveedor de servicios de configuración (CSP) de BitLocker en la documentación de Windows.

    • No está listo: el dispositivo no tiene capacidades de cifrado completo, pero puede admitir el cifrado.

    • No aplicable: no hay suficiente información para clasificar este dispositivo.

  • Estado de cifrado: indica si la unidad del sistema operativo está cifrada.

  • Nombre principal del usuario: usuario primario del dispositivo.

Estado del cifrado del dispositivo.

Cuando se selecciona un dispositivo desde el informe de cifrado, Intune muestra el panel Estado de cifrado del dispositivo. Este panel proporciona los siguientes detalles:

  • Nombre de dispositivo: contiene el nombre del dispositivo que está visualizando.

  • Preparación de cifrado: evaluación de la preparación de los dispositivos para admitir el cifrado a través de la directiva de MDM basada en un TPM activado.

    Cuando un dispositivo Windows 10/11 tiene una preparación de No está listo, es posible que aún sea compatible con el cifrado. Para que el dispositivo Windows tenga la designación de Listo, debe tener un chip TPM activado. No es necesario que los chips TPM sean compatibles con el cifrado, ya que el dispositivo se puede cifrar manualmente. También se puede establecer una configuración de directiva de grupo o MDM para permitir el cifrado sin un TPM.

  • Estado de cifrado: indica si la unidad del sistema operativo está cifrada. Intune puede tardar hasta 24 horas en generar informes sobre el estado de cifrado de un dispositivo o un cambio de ese estado. En este tiempo se incluye el tiempo de cifrado del sistema operativo, así como el tiempo necesario para que el dispositivo informe a Intune.

    Para acelerar la generación de informes del estado de cifrado de FileVault antes de que se produzca el registro del dispositivo con normalidad, haga que los usuarios sincronicen sus dispositivos una vez completado el cifrado.

    En el caso de los dispositivos Windows, este campo no examina si otras unidades, como las unidades fijas, están cifradas. El estado de cifrado procede de CSP de DeviceStatus: DeviceStatus/Compliance/EncryptionCompliance.

  • Perfiles: una lista de los perfiles de Configuración del dispositivo que se aplican a este dispositivo y que se configuran con los valores siguientes:

    • macOS:

      • Tipo de perfil = Endpoint Protection
      • Configuración > FileVault > FileVault = Habilitar

    • Windows 10/11:

      • Tipo de perfil = Endpoint Protection
      • Configuración Cifrado > de > Windows Cifrar dispositivos = Requerir

    Se puede usar esta lista de perfiles con el fin de identificar directivas individuales para revisarlas en caso de que el resumen de estado del perfil indique problemas.

  • Resumen de estado de perfil: resumen de los perfiles que se aplican a este dispositivo. El resumen representa la condición menos favorable entre los perfiles aplicables. Por ejemplo, si solo uno de varios perfiles aplicables produce un error, el resumen de estado de perfil muestra Error.

    Para ver más detalles de un estado en el Centro de administración de Intune, vaya aConfiguración de>dispositivos> seleccione el perfil. Opcionalmente, seleccione Estado del dispositivo y, a continuación, seleccione un dispositivo.

  • Detalles del estado: detalles avanzados sobre el estado de cifrado del dispositivo.

    Este campo muestra la información de cada error aplicable que se puede detectar. Puede usar esta información para comprender por qué un dispositivo podría no estar listo para el cifrado.

    Los siguientes son ejemplos de los detalles de estado que Intune puede notificar:

    macOS:

    • La clave de recuperación todavía no se ha recuperado ni almacenado. Lo más probable es que el dispositivo no se haya desbloqueado o que no se haya registrado.

      Tenga en cuenta: Este resultado no representa necesariamente una condición de error, sino un estado temporal que podría deberse al tiempo en el dispositivo donde se debe configurar la custodia de las claves de recuperación antes de que se envíe la solicitud de cifrado al dispositivo. Este estado también puede indicar que el dispositivo permanece bloqueado o que no se ha protegido con Intune recientemente. Por último, dado que el cifrado de FileVault no se inicia hasta que un dispositivo está conectado (carga), es posible que un usuario reciba una clave de recuperación para un dispositivo que aún no está cifrado..

    • El usuario está aplazando el cifrado o actualmente se encuentra en el proceso de cifrado.

      Tenga en cuenta: El usuario aún no ha cerrado la sesión después de recibir la solicitud de cifrado, lo que es necesario para que FileVault pueda cifrar el dispositivo, o bien el usuario ha descifrado manualmente el dispositivo. Intune no puede impedir que un usuario descifre su dispositivo.

    • El dispositivo ya está cifrado. El usuario del dispositivo debe descifrar el dispositivo para continuar.

      Tenga en cuenta: Intune no puede configurar FileVault en un dispositivo que ya está cifrado. Sin embargo, después de que un dispositivo reciba la directiva para habilitar FileVault, un usuario puede cargar su clave de recuperación personal para permitir que Intune administre el cifrado en ese dispositivo. Como alternativa, el usuario puede descifrar manualmente su dispositivo para que se pueda cifrar posteriormente mediante la directiva de Intune. Sin embargo, no se recomienda el descifrado manual, ya que si lo hace, puede dejar un dispositivo sin cifrar durante un tiempo.

    • FileVault necesita que el usuario apruebe su perfil de administración en macOS Catalina y versiones posteriores.

      Consideración: A partir de la versión 10.15 (Catalina) de macOS, la configuración de inscripción aprobada por el usuario puede dar lugar al requisito de que los usuarios aprueben manualmente el cifrado de FileVault. Para obtener más información, consulte Inscripción aprobada por el usuario en la documentación de Intune.

    • Desconocido.

      Considere: Una posible causa de un estado desconocido es que el dispositivo está bloqueado y Intune no puede iniciar el proceso de custodia o cifrado. Una vez desbloqueado el dispositivo, el progreso puede continuar..

    Windows 10/11:

    En dispositivos Windows, Intune solo muestra Detalles del estado para dispositivos que ejecutan la actualización de Windows 10 de abril de 2019 o una versión posterior, o Windows 11. Los detalles del estado proceden de BitLocker CSP: Status/DeviceEncryptionStatus.

    • La directiva de BitLocker requiere el consentimiento del usuario para iniciar el Asistente para Cifrado de unidad BitLocker con el fin de iniciar el cifrado del volumen del sistema operativo, pero el usuario no ha dado su consentimiento.

    • El método de cifrado del volumen del sistema operativo no coincide con la directiva de BitLocker.

    • La directiva de BitLocker requiere protección con TPM para el volumen del sistema operativo, pero no se utiliza TPM.

    • La directiva de BitLocker requiere protección solo con TPM para el volumen del sistema operativo, pero no se utiliza protección con TPM.

    • La directiva de BitLocker requiere protección con TPM y PIN para el volumen del sistema operativo, pero no se utiliza protección con TPM y PIN.

    • La directiva de BitLocker requiere protección con TPM y PIN para el volumen del sistema operativo, pero no se usa protección con TPM y PIN.

    • La directiva de BitLocker requiere protección con TPM, PIN y clave de inicio para el volumen del sistema operativo, pero no se utiliza protección con TPM, PIN y clave de inicio.

    • El volumen del sistema operativo no está protegido.

      Tenga en cuenta: Se aplicó una directiva de BitLocker para cifrar las unidades del sistema operativo en la máquina, pero el cifrado se suspendió o no se completó para la unidad del sistema operativo.

    • Error de copia de seguridad de la clave de recuperación.

      Considere: Compruebe el registro de eventos en el dispositivo para ver por qué se produjo un error en la copia de seguridad de la clave de recuperación. Es posible que tenga que ejecutar el comando manage-bde para custodiar manualmente las claves de recuperación.

    • Una unidad de disco fija no está protegida.

      Tenga en cuenta: Se aplicó una directiva de BitLocker para cifrar unidades fijas en la máquina, pero el cifrado se suspendió o no se completó para la unidad fija.

    • El método de cifrado de la unidad de disco fija no coincide con la directiva de BitLocker.

    • Para cifrar las unidades, la directiva de BitLocker requiere que el usuario inicie sesión como administrador o, si el dispositivo está unido a Microsoft Entra ID, la directiva AllowStandardUserEncryption debe establecerse 1en .

    • El entorno de recuperación de Windows (WinRE) no está configurado.

      Considere la posibilidad de ejecutar la línea de comandos para configurar WinRE en una partición independiente; ya que no se detectó. Para obtener más información, vea Opciones de línea de comandos de REAgentC.

    • No hay un TPM disponible para BitLocker, bien porque no existe, porque se ha deshabilitado en el registro o porque el sistema operativo está en una unidad extraíble.

      Considere: la directiva de BitLocker que se aplica a este dispositivo requiere un TPM, pero el CSP de BitLocker ha detectado que el TPM puede estar deshabilitado a nivel de BIOS en este dispositivo.

    • El TPM no está listo para BitLocker.

      Tenga en cuenta: El CSP de BitLocker ve que este dispositivo tiene un TPM disponible, pero es posible que sea necesario inicializar el TPM. Considere la posibilidad de ejecutar intialize-tpm en la máquina para inicializar el TPM.

    • La red no está disponible y es necesaria para la copia de seguridad de la clave de recuperación.

Exportación de detalles del informe

Mientras ve el panel de informe de cifrado, puede seleccionar Exportar para crear una descarga de archivo .csv de los detalles del informe. Este informe incluye los detalles de alto nivel del panel Informe de cifrado y los detalles del Estado de cifrado para cada dispositivo que administra.

Exportación de detalles

Este informe se puede usar para identificar problemas en grupos de dispositivos. Por ejemplo, podría usar el informe para identificar una lista de todos los dispositivos macOS que informen El usuario ya ha habilitado FileVault, lo que indica qué dispositivos deben descifrarse de forma manual antes de que Intune pueda empezar a administrar su configuración de FileVault.

Administración de claves de recuperación

Para obtener detalles sobre la administración de claves de recuperación, vea lo siguiente en la documentación de Intune:

FileVault de macOS:

Windows BitLocker:

Siguientes pasos