Intune でデバイスの暗号化を監視する

  • [アーティクル]

Microsoft Intune の暗号化レポートは、デバイスの暗号化状態に関する詳細を表示し、デバイス回復キーを管理するためのオプションを検索するための、一元的な場所です。 使用できる回復キー オプションは、表示するデバイスの種類によって異なります。

ヒント

デバイスで暗号化を管理するように Intune ポリシーを構成するには、次を参照してください。

レポートを見つけるには、Microsoft Intune管理センターにサインインします。 [ デバイス>の構成] を選択し、[ モニター*] タブを選択し、[ デバイス暗号化の状態] を選択します。

暗号化の詳細を表示する

暗号化レポートには、管理対象のサポートされているデバイス全体の共通の詳細が表示されます。 次のセクションでは、Intune によってレポートに表示される情報について詳しく説明します。

前提条件

暗号化レポートでは、次のオペレーティング システム バージョンを実行するデバイスのレポートがサポートされています。

  • macOS 10.13 以降
  • Windows バージョン 1607 以降

レポートの詳細情報

[暗号化] レポート ウィンドウには、管理するデバイスの一覧が表示され、それらのデバイスに関する詳細が表示されます。 リストからデバイスを選択してドリルインし、そのデバイスの [デバイスの暗号化の状態] ウィンドウから詳細を表示することができます。

  • デバイス名 - デバイスの名前。

  • OS – Windows や macOS などのデバイス プラットフォーム。

  • OS バージョン – デバイス上の Windows または macOS のバージョン。

  • TPM バージョン(Windows 10/11 にのみ適用されます) – Windows デバイスで検出されたトラステッド プラットフォーム モジュール (TPM) チップのバージョン。

    TPM のバージョンを照会する方法の詳細については、DeviceStatus CSP の TPM 仕様に関するページを参照してください。

  • 暗号化の準備 – BitLocker や FileVault 暗号化など、適用可能な暗号化テクノロジをサポートするためのデバイスの準備の評価。 デバイスは次のように識別されます。

    • 対応確認済: MDM ポリシーを使ってデバイスを暗号化できます。それには、デバイスで次の要件が満たされている必要があります。

      macOS デバイスの場合:

      • macOS バージョン 10.13 以降

      Windows デバイスの場合:

      • Windows 10 バージョン 1709 以降の BusinessEnterpriseEducation、Windows 10 バージョン 1809 以降の Pro、または Windows 11。
      • デバイスには TPM チップが必要です

      Windows での暗号化の前提条件の詳細については、Windows ドキュメントの BitLocker 構成サービス プロバイダー (CSP) に関するページを参照してください。

    • 対応未確認: デバイスに暗号化のすべての機能は備わっていませんが、それでも暗号化がサポートされる可能性があります。

    • 該当なし: このデバイスを分類するための十分な情報がありません。

  • 暗号化の状態 – OS ドライブが暗号化されているかどうか。

  • ユーザー プリンシパル名 - デバイスのプライマリ ユーザー。

デバイスの暗号化の状態

暗号化レポートからデバイスを選択すると、Intune に [デバイスの暗号化の状態] ウィンドウが表示されます。 このウィンドウでは、次のような詳細が表示されます。

  • デバイス名 – 確認しているデバイスの名前。

  • 暗号化の準備 - アクティブ化された TPM に基づく、MDM ポリシーを使用して暗号化をサポートするためのデバイスの準備の評価。

    Windows 10/11 デバイスが "準備中" の場合でも、暗号化がサポートされる可能性があります。 "準備完了" と示されるようにするには、Windows デバイスで TPM チップがアクティブ化されている必要があります。 ただし、デバイスは手動でも暗号化できるため、暗号化をサポートするために TPM チップは必要ありません。 または、TPM を使用しない暗号化を許可するように設定できる MDM/グループ ポリシー設定を使用します。

  • 暗号化の状態 - OS ドライブが暗号化されているかどうか。 Intune でデバイスの暗号化状態またはその状態の変更について報告されるまで、最大 24 時間かかることがあります。 この時間には、OS が暗号化されるまでの時間に加えて、デバイスが Intune にレポートする時間も含まれます。

    デバイスのチェックインが通常発生する前に FileVault 暗号化状態のレポートを高速化するには、暗号化の完了後にユーザーに各自のデバイスを同期させるようにします。

    Windows デバイスの場合、このフィールドでは、固定ドライブなどの他のドライブが暗号化されているかどうかは確認されません。 [暗号化の状態] は、DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance から取得されます。

  • プロファイル – このデバイスに適用される "デバイス構成" プロファイルのリスト。次の値で構成されます。

    • macOS:

      • プロファイルの種類 = Endpoint protection
      • 設定 > FileVault > FileVault = Enable

    • Windows 10/11:

      • プロファイルの種類 = Endpoint protection
      • Windows 暗号化>暗号化デバイスの設定 > = 必須

    [プロファイルの状態に関する概要] で問題が示されている場合、このプロファイル リストを使用して個別のポリシーを識別することができます。

  • プロファイルの状態に関する概要 – このデバイスに適用されるプロファイルの概要。 概要では、該当するプロファイルの間で最も好ましくない状況が示されます。 たとえば、該当する複数のプロファイルのうち 1 つだけでエラーが発生した場合、 プロファイルの状態の概要[エラー] と表示されます。

    Intune 管理センターで状態の詳細を表示するには、[ デバイス>の構成]> でプロファイルを選択します。 必要に応じて、[デバイスの状態] を選択してからデバイスを選択します。

  • 状態の詳細 – デバイスの暗号化の状態についての詳細情報。

    このフィールドには、検出できる各該当エラーの情報が表示されます。 この情報を使用することで、デバイスがどうして暗号化準備完了の状態にならないのかを把握できます。

    Intune から報告される状態の詳細の例を次に示します。

    macOS:

    • 回復キーは取得されておらず、まだ保存されていません。 ほとんどの場合は、デバイスのロックが解除されていないか、またはチェックインされていません。

      考慮事項: この結果は必ずしもエラー状態を表しているわけではありませんが、暗号化要求がデバイスに送信される前に回復キーのエスクローを設定する必要があるデバイス上のタイミングが原因である可能性がある一時的な状態です。 この状態は、デバイスがロックされたままになっているか、最近 Intune にチェックインされていない場合もあります。 最後に、デバイスが接続 (充電) されるまで FileVault 暗号化が開始されないため、まだ暗号化されていないデバイスの回復キーをユーザーが受け取ることができる.

    • ユーザーが暗号化を延期しているか、または現在、暗号化の処理中です。

      考慮事項: FileVault がデバイスを暗号化する前に必要な、暗号化要求を受信した後にユーザーがまだログアウトしていないか、ユーザーがデバイスを手動で暗号化解除しました。 Intune では、ユーザーがデバイスの暗号化を解除できないようにすることはできません。

    • デバイスは既に暗号化されています。 デバイス ユーザーは、デバイスの暗号化を解除してから続行する必要があります。

      考慮事項: Intune は、既に暗号化されているデバイスで FileVault を設定できません。 ただし、デバイスが FileVault を有効にするポリシーを受け取った後、ユーザーは 自分の個人用回復キーをアップロードして、Intune でそのデバイスの暗号化を管理できるようにします。 または、ユーザーはデバイスを手動で暗号化解除して、後で Intune ポリシーで暗号化することもできます。 ただし、手動で暗号化解除することはお勧めしません。そうすると、デバイスが一定期間暗号化されたままになる可能性があるためです。

    • FileVault では、ユーザーは macOS Catalina 以降で管理プロファイルを承認する必要があります。

      考慮事項: macOS バージョン 10.15 (Catalina) 以降では、ユーザーが承認した登録設定により、ユーザーが FileVault 暗号化を手動で承認する必要が生じる可能性があります。 詳細については、Intune ドキュメントの 「ユーザーが承認した登録 」を参照してください。

    • 不明。

      考慮事項: 不明な状態の原因の 1 つは、デバイスがロックされていて、Intune がエスクローまたは暗号化プロセスを開始できないことです。 デバイスのロックが解除されたら、進行状況を続行できます.

    Windows 10/11:

    Windows デバイスの場合、Intune では、Windows 10 の 2019 年 4 月の更新プログラム以降、または Windows 11 が実行されているデバイスに対してのみ、[状態の詳細] が表示されます。 [状態の詳細]BitLocker CSP - Status/DeviceEncryptionStatus から取得されます。

    • BitLocker ポリシーによって、ユーザーは BitLocker ドライブ暗号化ウィザードを起動して OS ボリュームの暗号化を開始することに同意を求められていますが、ユーザーが同意しませんでした。

    • OS ボリュームの暗号化の方法が、BitLocker ポリシーと一致していません。

    • BitLocker ポリシーによって、TPM 保護機能を使用して OS ボリュームを保護するように求められていますが、TPM が使用されていません。

    • BitLocker ポリシーによって、OS ボリューム用の保護機能として TPM のみを使用するように求められていますが、TPM 保護が使用されていません。

    • BitLocker ポリシーによって、OS ボリューム用の保護機能として TPM + PIN 保護を使用するように求められていますが、TPM + PIN 保護機能が使用されていません。

    • BitLocker ポリシーによって、OS ボリューム用の保護機能として TPM + 起動キー保護を使用するように求められていますが、TPM + 起動キー保護機能が使用されていません。

    • BitLocker ポリシーによって、OS ボリューム用の保護機能として TPM + PIN + 起動キー保護を使用するように求められていますが、TPM + PIN + 起動キー保護機能が使用されていません。

    • OS ボリュームは保護されていません。

      考慮事項: OS ドライブを暗号化するための BitLocker ポリシーがマシンに適用されましたが、暗号化が中断されたか、OS ドライブに対して完了しませんでした。

    • 回復キーのバックアップが失敗しました。

      考慮事項: デバイスのイベント ログを確認して、回復キーのバックアップが失敗した理由を確認します。 回復キーを手動でエスクローするには、 manage-bde コマンドを実行する必要がある場合があります。

    • 固定ドライブが保護されていません。

      考慮事項: 固定ドライブを暗号化するための BitLocker ポリシーがマシンに適用されましたが、固定ドライブの暗号化が中断されたか、完了しませんでした。

    • 固定ドライブの暗号化の方法が、BitLocker ポリシーと一致していません。

    • ドライブを暗号化するには、BitLocker ポリシーでは、ユーザーが管理者としてサインインするか、デバイスがMicrosoft Entra IDに参加している場合は、AllowStandardUserEncryption ポリシーを に設定する1必要があります。

    • Windows 回復環境 (WinRE) が構成されていません。

      考慮事項: 別のパーティションで WinRE を構成するには、コマンド ラインを実行する必要があります。が検出されなかった。 詳細については、「 REAgentC コマンド ライン オプション」を参照してください。

    • TPM が BitLocker では使用できません。原因として、存在していない、レジストリ内で利用できなくなっている、または OS がリムーバブル ドライブ上にあることが挙げられます。

      考慮事項: このデバイスに適用されている BitLocker ポリシーには TPM が必要ですが、このデバイスでは、TPM が BIOS レベルで無効になっている可能性があることが BitLocker CSP によって検出されました。

    • TPM が BitLocker で使用する準備ができていません。

      考慮事項: BitLocker CSP は、このデバイスに使用可能な TPM があることを確認しますが、TPM を初期化する必要がある場合があります。 マシン で intialize-tpm を実行して TPM を初期化することを検討してください。

    • 回復キーのバックアップに必要なネットワークが使用できません。

レポートの詳細をエクスポートする

[暗号化レポート] ウィンドウを表示しているときに、[エクスポート] を選択し、レポート詳細の .csv ファイルのダウンロードを作成できます。 このレポートには、[暗号化レポート] ウィンドウの概要と、管理対象の各デバイスの [デバイスの暗号化の状態] の詳細が含まれます。

詳細をエクスポートする

このレポートは、デバイス グループの問題の特定に使用できます。 たとえば、レポートを使用して、"FileVault がユーザーによって既に有効にされている" と報告されているすべての macOS デバイスのリストを識別することができます。これは、Intune によって FileVault 設定の管理が開始される前に、手動で暗号化を解除する必要があるデバイスを示しています。

回復キーの管理

回復キーの管理の詳細については、Intune のドキュメントの次の情報を参照してください。

macOS FileVault:

WindowsBitLocker:

次の手順