Eszköztitkosítás monitorozása az Intune-nal

A Microsoft Intune titkosítási jelentés egy központi hely, ahol megtekintheti az eszköz titkosítási állapotának részleteit, és megtalálhatja az eszköz helyreállítási kulcsainak kezelésére vonatkozó lehetőségeket. Az elérhető helyreállítási kulcsbeállítások a megtekintett eszköz típusától függenek.

Tipp

Az Intune-szabályzatok eszközök titkosításának kezelésére való konfigurálásához lásd:

• BitLocker-szabályzat kezelése
• FileVault-szabályzat kezelése

A jelentés megkereséséhez jelentkezzen be a Microsoft Intune Felügyeleti központba. Válassza az Eszközök>konfigurációja lehetőséget, válassza a Monitorozás* lapot, majd az Eszköztitkosítás állapota lehetőséget.

Titkosítás részleteinek megtekintése

A titkosítási jelentés az Ön által kezelt támogatott eszközök gyakori részleteit jeleníti meg. Az alábbi szakaszokban az Intune által a jelentésben szereplő információkról olvashat részletesen.

Előfeltételek

A titkosítási jelentés az alábbi operációsrendszer-verziókat futtató eszközökön támogatja a jelentéskészítést:

• macOS 10.13 vagy újabb
• Windows 1607-es vagy újabb verzió

Jelentés részletei

A Titkosítási jelentés panel megjeleníti a felügyelt eszközök listáját az eszközök magas szintű részleteivel. A listából kiválaszthat egy eszközt, és további részleteket tekinthet meg az Eszközök titkosítása állapotpanelen .

• Eszköz neve – Az eszköz neve.

• OS – Az eszközplatform, például Windows vagy macOS.

• Operációs rendszer verziója – Az eszközön futó Windows vagy macOS verziója.

• TPM-verzió(csak Windows 10/11-re vonatkozik) – A Platformmegbízhatósági modul (TPM) lapka windowsos eszközön észlelt verziója.

  A TPM-verzió lekérdezésével kapcsolatos további információkért lásd: DeviceStatus CSP – TPM-specifikáció.

• Titkosítási felkészültség – Az eszközök felkészültségének kiértékelése egy alkalmazható titkosítási technológia, például a BitLocker vagy a FileVault titkosítás támogatására. Az eszközök a következőképpen vannak azonosítva:

  • Kész: Az eszköz MDM-szabályzattal titkosítható, amelyhez az eszköznek meg kell felelnie a következő követelményeknek:

    MacOS-eszközök esetén:

    • macOS 10.13-es vagy újabb verzió

    Windows-eszközök esetén:

    • Windows 10 Pro Business, Enterprise, Education, Windows 10 1809-es vagy újabb verziójának 1709-es vagy újabb verziója, valamint Windows 11.
    • Az eszköznek TPM-lapkával kell rendelkeznie

    A Windows titkosítási előfeltételeiről a Windows dokumentációjában, a BitLocker konfigurációs szolgáltató (CSP) című szakaszában talál további információt.

  • Nem áll készen: Az eszköz nem rendelkezik teljes titkosítási képességekkel, de továbbra is támogatja a titkosítást.

  • Nem alkalmazható: Nincs elég információ az eszköz besorolásához.

• Titkosítás állapota – Azt jelzi, hogy az operációs rendszer meghajtója titkosítva van-e.

• Egyszerű felhasználónév – Az eszköz elsődleges felhasználója.

Eszköztitkosítás állapota

Amikor kiválaszt egy eszközt a Titkosítás jelentésből, az Intune megjeleníti az Eszköztitkosítás állapota panelt. Ez az ablaktábla a következő adatokat tartalmazza:

• Eszköz neve – A megtekintett eszköz neve.

• Titkosítási készültség – Annak értékelése, hogy az eszköz készen van-e a titkosítás támogatására az aktivált TPM-en alapuló MDM-szabályzaton keresztül.

  Ha egy Windows 10/11-eszköz készültségi állapota Nem áll készen, akkor is támogathatja a titkosítást. A Ready (Kész) megjelöléshez a Windows-eszköznek aktivált TPM-lapkával kell rendelkeznie. A TPM-lapkák azonban nem szükségesek a titkosítás támogatásához, mivel az eszköz továbbra is titkosítható manuálisan. vagy egy MDM/Csoportházirend beállítással, amely TPM nélkül is lehetővé teszi a titkosítást.

• Titkosítás állapota – Azt jelzi, hogy az operációs rendszer meghajtója titkosítva van-e. Akár 24 órába is telhet, hogy az Intune jelentést készítsen az eszköz titkosítási állapotáról vagy az állapot módosításáról. Ez az idő magában foglalja az operációs rendszer titkosításának idejét, valamint azt, hogy az eszköz visszajelentkezhet az Intune-nak.

  A FileVault titkosítási állapot jelentésének felgyorsítása az eszköz normál bejelentkezése előtt, a titkosítás befejeződése után szinkronizálja az eszközöket a felhasználókkal.

  Windows-eszközök esetén ez a mező nem vizsgálja, hogy más meghajtók, például a rögzített meghajtók titkosítva vannak-e. A titkosítási állapot a DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance szolgáltatásból származik.

• Profilok – Azon eszközkonfigurációs profilok listája, amelyek erre az eszközre vonatkoznak, és a következő értékekkel vannak konfigurálva:

  • Macos:

    • Profil típusa = Végpontvédelem
    • Beállítások > FileVault > FileVault = Enable

  • Windows 10/11:

    • Profil típusa = Végpontvédelem
    • Beállítások > Windows titkosítási > eszközök titkosítása = Kötelező

  A profilok listájával azonosíthatja az egyes felülvizsgálatra vonatkozó szabályzatokat, ha a Profilállapot összegzése problémákat jelez.

• Profilállapot összegzése – Az eszközre vonatkozó profilok összegzése. Az összefoglalás a legkevésbé kedvező feltételt jelöli a vonatkozó profilok között. Ha például a megfelelő profilok közül csak egy eredményez hibát, a Profilállapot összegzésehibaüzenetet jelenít meg.

  Egy állapot további részleteinek megtekintéséhez az Intune Felügyeleti központban lépjen az Eszközök>konfigurációja> területre, és válassza ki a profilt. Ha szeretné, válassza az Eszköz állapota lehetőséget, majd válasszon ki egy eszközt.

• Állapot részletei – Az eszköz titkosítási állapotának speciális részletei.

  Ez a mező az észlelt hibákra vonatkozó információkat jeleníti meg. Ezekből az információkból megtudhatja, hogy egy eszköz miért nem áll készen a titkosításra.

  Az alábbi példák az Intune által jelentett állapotadatokra mutatnak be példákat:

  macOS:

  • A helyreállítási kulcs még nem lett lekérve és tárolva. Valószínűleg az eszköz nincs feloldva, vagy nem jelentkezett be.

    Vegye figyelembe: Ez az eredmény nem feltétlenül jelent hibaállapotot, hanem egy ideiglenes állapotot, amely az eszköz időzítése miatt lehet, amikor a helyreállítási kulcsokért való letétet be kell állítani, mielőtt a titkosítási kérést elküldené az eszközre. Ez az állapot azt is jelezheti, hogy az eszköz zárolva marad, vagy nem jelentkezett be mostanában az Intune-nal. Végül, mivel a FileVault titkosítás nem indul el, amíg egy eszköz be nem van dugva (töltés), lehetséges, hogy a felhasználó helyreállítási kulcsot kap egy még nem titkosított eszközhöz.

  • A felhasználó elhalasztja a titkosítást, vagy éppen folyamatban van a titkosítás.

    Fontolja meg: A felhasználó még nem jelentkezett ki a titkosítási kérelem fogadása után, ami ahhoz szükséges, hogy a FileVault titkosítsa az eszközt, vagy a felhasználó manuálisan visszafejtette az eszközt. Az Intune nem tudja megakadályozni, hogy egy felhasználó visszafejtse az eszközét.

  • Az eszköz már titkosítva van. A folytatáshoz az eszköz felhasználójának vissza kell fejtenie az eszközt.

    Fontolja meg: Az Intune nem tudja beállítani a FileVaultot egy már titkosított eszközön. Miután azonban egy eszköz megkapta a FileVault engedélyezésére vonatkozó szabályzatot, a felhasználó feltöltheti személyes helyreállítási kulcsát, hogy az Intune kezelni tudja az eszközön a titkosítást. Másik lehetőségként a felhasználó manuálisan visszafejtheti az eszközét, hogy később intune-szabályzattal titkosíthassa azt. Azonban nem javasoljuk a manuális visszafejtést, mert így egy ideig titkosítatlanul hagyhatja az eszközt.

  • A FileVault használatához a felhasználónak jóvá kell hagynia a felügyeleti profilját a macOS Catalina és újabb rendszereken.

    Fontolja meg: A macOS 10.15-ös verziójától (Catalina) kezdődően a felhasználó által jóváhagyott regisztrációs beállítások azt eredményezhetik, hogy a felhasználók manuálisan jóváhagyják a FileVault titkosítást. További információ: Felhasználó által jóváhagyott regisztráció az Intune dokumentációjában.

  • Ismeretlen.

    Fontolja meg: Az ismeretlen állapot egyik lehetséges oka az, hogy az eszköz zárolva van, és az Intune nem tudja elindítani a letéti vagy titkosítási folyamatot. Az eszköz zárolásának feloldása után a folyamat folytatódhat.

  Windows 10/11:

  Windows-eszközök esetén az Intune csak a Windows 10 2019. áprilisi vagy újabb frissítést vagy Windows 11 futtató eszközök állapotadatait jeleníti meg. Az állapot részletei a BitLocker CSP – Status/DeviceEncryptionStatus fájlból származnak.

  • A BitLocker-házirend felhasználói hozzájárulást igényel a BitLocker meghajtótitkosítási varázsló elindításához az operációsrendszer-kötet titkosításának elindításához, de a felhasználó nem járult hozzá.

  • Az operációsrendszer-kötet titkosítási módszere nem egyezik a BitLocker-szabályzattal.

  • A BitLocker házirendnek TPM-védőre van szüksége az operációs rendszer kötetének védelméhez, de nem használ TPM-et.

  • A BitLocker-szabályzat csak TPM-védőt igényel az operációs rendszer kötetéhez, de a TPM-védelem nem használatos.

  • A BitLocker-házirendhez TPM+PIN-védelem szükséges az operációsrendszer-kötethez, de nem használ TPM+PIN-kód védőt.

  • A BitLocker-szabályzathoz TPM+indítókulcs-védelem szükséges az operációs rendszer kötetéhez, de nem használ TPM+indítókulcs-védőt.

  • A BitLocker-házirendhez TPM+PIN+indítókulcs-védelem szükséges az operációs rendszer kötetéhez, de nem használ TPM+PIN+indítókulcs-védőt.

  • Az operációs rendszer kötete nem védett.

    Fontolja meg: Az operációsrendszer-meghajtók titkosítására szolgáló BitLocker-szabályzatot alkalmaztak a gépen, de a titkosítás fel lett függesztve, vagy nem fejeződött be az operációsrendszer-meghajtón.

  • A helyreállítási kulcs biztonsági mentése sikertelen.

    Fontolja meg: Ellenőrizze az eseménynaplóban az eszközön, hogy miért hiúsult meg a helyreállítási kulcs biztonsági mentése. Előfordulhat, hogy a helyreállítási kulcsok manuális eszkalálásához futtatnia kell a manage-bde parancsot.

  • A rögzített meghajtók nem védettek.

    Fontolja meg: A rögzített meghajtók titkosítására szolgáló BitLocker-szabályzatot alkalmaztak a gépen, de a titkosítás fel lett függesztve, vagy nem fejeződött be a rögzített meghajtón.

  • A rögzített meghajtó titkosítási módszere nem egyezik a BitLocker-szabályzattal.

  • A meghajtók titkosításához a BitLocker-házirend megköveteli, hogy a felhasználó rendszergazdaként jelentkezzen be, vagy ha az eszköz csatlakozik Microsoft Entra ID, az AllowStandardUserEncryption szabályzatnak értékre kell állítania1.

  • A Windows helyreállítási környezet (WinRE) nincs konfigurálva.

    Fontolja meg: A WinRE külön partíción való konfigurálásához parancssort kell futtatnia; mivel a rendszer nem észlelte. További információ: REAgentC parancssori beállítások.

  • A TPM nem érhető el a BitLockerhez, mert nincs jelen, a beállításjegyzékben nem érhető el, vagy az operációs rendszer cserélhető meghajtón található.

    Vegye figyelembe: Az eszközön alkalmazott BitLocker-szabályzathoz TPM szükséges, de ezen az eszközön a BitLocker CSP azt észlelte, hogy a TPM le van tiltva a BIOS szintjén.

  • A TPM nem áll készen a BitLockerre.

    Vegye figyelembe: A BitLocker CSP azt látja, hogy az eszköz rendelkezik elérhető TPM-sel, de előfordulhat, hogy inicializálni kell a TPM-et. Fontolja meg az intialize-tpm futtatását a gépen a TPM inicializálásához.

  • A hálózat nem érhető el, ami a helyreállítási kulcs biztonsági mentéséhez szükséges.

Jelentés részleteinek exportálása

A Titkosítási jelentés panel megtekintésekor az Exportálás lehetőséget választva létrehozhat egy .csv fájlletöltést a jelentés részleteiről. Ez a jelentés tartalmazza a Titkosítási jelentés panel magas szintű adatait, valamint az egyes felügyelt eszközök eszköztitkosítási állapotának részleteit.

Ez a jelentés az eszközcsoportok problémáinak azonosítására használható. A jelentéssel például azonosíthatja azoknak a macOS-eszközöknek a listáját, amelyeket a felhasználó már engedélyezett a FileVault jelentéshez, ami azt jelzi, hogy az eszközöket manuálisan kell visszafejteni ahhoz, hogy az Intune kezelni tudja a FileVault-beállításait.

Helyreállítási kulcsok kezelése

A helyreállítási kulcsok kezeléséről az Intune dokumentációjában talál további információt:

macOS FileVault:

• Személyes helyreállítási kulcs lekérése
• Helyreállítási kulcsok elforgatása
• Helyreállítási kulcsok helyreállítása

Windows BitLocker:

• BitLocker helyreállítási kulcsok elforgatása

Következő lépések

• BitLocker-szabályzat kezelése
• A BitLocker-szabályzat hibaelhárítása
• FileVault-szabályzat kezelése
• A BitLocker-szabályzatok Intune-nal való kényszerítésével kapcsolatos ismert problémák