Apparaatversleuteling bewaken met Intune

Het Microsoft Intune-versleutelingsrapport is een centrale locatie om details over de versleutelingsstatus van een apparaat te bekijken en opties te vinden voor het beheren van apparaatherstelsleutels. Welke opties voor de herstelsleutel beschikbaar zijn, is afhankelijk van het type apparaat dat u bekijkt.

Tip

Als u Intune-beleid wilt configureren voor het beheren van versleuteling op apparaten, raadpleegt u:

• BitLocker-beleid beheren
• FileVault-beleid beheren

Meld u aan bij het Microsoft Intune-beheercentrum om het rapport te vinden. Selecteer Apparaten>configureren, selecteer het tabblad Monitor* en selecteer vervolgens Apparaatversleutelingsstatus.

Versleutelingsgegevens weergeven

Het versleutelingsrapport bevat algemene details op de ondersteunde apparaten die u beheert. In de volgende secties vindt u meer informatie over de informatie die Intune in het rapport weergeeft.

Vereisten

Het versleutelingsrapport ondersteunt rapportage op apparaten waarop de volgende versies van het besturingssysteem worden uitgevoerd:

• macOS 10.13 of hoger
• Windows versie 1607 of hoger

Rapportdetails

In het deelvenster Versleutelingsrapport wordt een lijst weergegeven van de apparaten die u beheert, met details op hoog niveau over deze apparaten. U kunt een apparaat selecteren in de lijst om in te zoomen en aanvullende details te bekijken in het deelvenster Apparaatversleutelingsstatus .

• Apparaatnaam : de naam van het apparaat.

• Besturingssysteem : het apparaatplatform, zoals Windows of macOS.

• Versie van het besturingssysteem: de versie van Windows of macOS op het apparaat.

• TPM-versie(alleen van toepassing op Windows 10/11): de versie van de TPM-chip (Trusted Platform Module) die is gedetecteerd op het Windows-apparaat.

  Zie DeviceStatus CSP - TPM Specification voor meer informatie over hoe we een query uitvoeren op de TPM-versie.

• Gereedheid voor versleuteling : een evaluatie van de apparaatgereedheid ter ondersteuning van een toepasselijke versleutelingstechnologie, zoals BitLocker- of FileVault-versleuteling. Apparaten worden geïdentificeerd als:

  • Gereed: het apparaat kan worden versleuteld met mdm-beleid. Hiervoor moet het apparaat aan de volgende vereisten voldoen:

    Voor macOS-apparaten:

    • macOS versie 10.13 of hoger

    Voor Windows-apparaten:

    • Windows 10 versie 1709 of hoger van Business, Enterprise, Education, Windows 10 versie 1809 of hoger van Pro en Windows 11.
    • Het apparaat moet een TPM-chip hebben

    Zie de BitLocker-configuratieserviceprovider (CSP) in de Windows-documentatie voor meer informatie over Windows-vereisten voor versleuteling.

  • Niet gereed: het apparaat heeft geen volledige versleutelingsmogelijkheden, maar ondersteunt mogelijk nog steeds versleuteling.

  • Niet van toepassing: er is onvoldoende informatie om dit apparaat te classificeren.

• Versleutelingsstatus : hiermee wordt aangegeven of het besturingssysteemstation is versleuteld.

• User Principal Name : de primaire gebruiker van het apparaat.

Apparaatversleutelingsstatus

Wanneer u een apparaat selecteert in het versleutelingsrapport, wordt in Intune het deelvenster Apparaatversleutelingsstatus weergegeven. Dit deelvenster bevat de volgende details:

• Apparaatnaam : de naam van het apparaat dat u bekijkt.

• Gereedheid voor versleuteling : een evaluatie van de gereedheid van het apparaat om versleuteling te ondersteunen via het MDM-beleid op basis van een geactiveerde TPM.

  Wanneer een Windows 10/11-apparaat de gereedheid Niet gereed heeft, ondersteunt het mogelijk nog steeds versleuteling. Als u de aanduiding Gereed wilt hebben, moet op het Windows-apparaat een TPM-chip zijn geactiveerd. TPM-chips zijn echter niet vereist om versleuteling te ondersteunen, omdat het apparaat nog steeds handmatig kan worden versleuteld. of via een MDM/groepsbeleid-instelling die kan worden ingesteld om versleuteling zonder TPM toe te staan.

• Versleutelingsstatus : hiermee wordt aangegeven of het besturingssysteemstation is versleuteld. Het kan tot 24 uur duren voordat Intune de versleutelingsstatus van een apparaat of een wijziging van die status heeft gerapporteerd. Deze tijd omvat tijd voor het besturingssysteem om te versleutelen, plus tijd voor het apparaat om te rapporteren aan Intune.

  Als u de rapportage van de FileVault-versleutelingsstatus wilt versnellen voordat het apparaat normaal wordt ingecheckt, laat u gebruikers hun apparaten synchroniseren nadat de versleuteling is voltooid.

  Voor Windows-apparaten wordt in dit veld niet gekeken of andere stations, zoals vaste stations, zijn versleuteld. De versleutelingsstatus is afkomstig van DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance.

• Profielen : een lijst met apparaatconfiguratieprofielen die van toepassing zijn op dit apparaat en zijn geconfigureerd met de volgende waarden:

  • Macos:

    • Profieltype = Endpoint Protection
    • Instellingen > FileVault > FileVault = Inschakelen

  • Windows 10/11:

    • Profieltype = Endpoint Protection
    • Instellingen > Windows Encryption > Encrypt devices = Require

  U kunt de lijst met profielen gebruiken om afzonderlijke beleidsregels te identificeren voor beoordeling als de samenvatting van de profielstatus problemen aangeeft.

• Samenvatting profielstatus : een overzicht van de profielen die van toepassing zijn op dit apparaat. De samenvatting vertegenwoordigt de minst gunstige voorwaarde voor de toepasselijke profielen. Als bijvoorbeeld slechts één van de verschillende toepasselijke profielen resulteert in een fout, wordt fout weergegeven in het overzicht van de profielstatus.

  Als u meer details van een status wilt weergeven in het Intune-beheercentrum, gaat u naar Apparatenconfiguratie>> selecteert u het profiel. Selecteer eventueel Apparaatstatus en selecteer vervolgens een apparaat.

• Statusdetails : geavanceerde informatie over de versleutelingsstatus van het apparaat.

  In dit veld wordt informatie weergegeven voor elke toepasselijke fout die kan worden gedetecteerd. U kunt deze informatie gebruiken om te begrijpen waarom een apparaat mogelijk niet gereed is voor versleuteling.

  Hier volgen voorbeelden van de statusgegevens die Intune kan rapporteren:

  macOS:

  • De herstelsleutel is nog niet opgehaald en opgeslagen. Waarschijnlijk is het apparaat niet ontgrendeld of niet ingecheckt.

    Overweeg: Dit resultaat vertegenwoordigt niet noodzakelijkerwijs een foutvoorwaarde, maar een tijdelijke status die kan worden veroorzaakt door de timing op het apparaat waarbij escrow voor herstelsleutels moet worden ingesteld voordat de versleutelingsaanvraag naar het apparaat wordt verzonden. Deze status kan ook aangeven dat het apparaat vergrendeld blijft of onlangs niet is ingecheckt bij Intune. Omdat FileVault-versleuteling pas wordt gestart als een apparaat is aangesloten (opladen), is het mogelijk dat een gebruiker een herstelsleutel ontvangt voor een apparaat dat nog niet is versleuteld.

  • De gebruiker is versleuteling aan het uitstellen of is momenteel bezig met versleuteling.

    Overweeg: de gebruiker heeft zich nog niet afgemeld na ontvangst van de versleutelingsaanvraag, wat nodig is voordat FileVault het apparaat kan versleutelen, of de gebruiker heeft het apparaat handmatig ontsleuteld. Intune kan niet voorkomen dat een gebruiker het apparaat ontsleutelt.

  • Het apparaat is al versleuteld. Apparaatgebruiker moet het apparaat ontsleutelen om door te gaan.

    Overweeg: Intune kan FileVault niet instellen op een apparaat dat al is versleuteld. Nadat een apparaat echter beleid heeft ontvangen om FileVault in te schakelen, kan een gebruiker de persoonlijke herstelsleutel uploaden om Intune in staat te stellen de versleuteling op dat apparaat te beheren. De gebruiker kan ook zijn of haar apparaat handmatig ontsleutelen, zodat het op een later moment kan worden versleuteld door Intune-beleid. Handmatige ontsleuteling wordt echter afgeraden, omdat dit een apparaat een tijdje niet kan laten ontsleutelen.

  • FileVault moet de gebruiker zijn of haar beheerprofiel goedkeuren in macOS Catalina en hoger.

    Overweeg: Vanaf macOS versie 10.15 (Catalina) kunnen door de gebruiker goedgekeurde inschrijvingsinstellingen ertoe leiden dat gebruikers fileVault-versleuteling handmatig goedkeuren. Zie Inschrijving door gebruiker goedgekeurd in de Intune-documentatie voor meer informatie.

  • Onbekende.

    Overweeg: een mogelijke oorzaak voor een onbekende status is dat het apparaat is vergrendeld en Intune het escrow- of versleutelingsproces niet kan starten. Nadat het apparaat is ontgrendeld, kan de voortgang doorgaan.

  Windows 10/11:

  Voor Windows-apparaten toont Intune alleen statusdetails voor apparaten waarop de Windows 10 update van april 2019 of hoger of Windows 11 wordt uitgevoerd. Statusdetails zijn afkomstig van BitLocker CSP - Status/DeviceEncryptionStatus.

  • Voor het BitLocker-beleid is gebruikerstoestemming vereist om de wizard BitLocker-stationsversleuteling te starten om de versleuteling van het besturingssysteemvolume te starten, maar de gebruiker heeft geen toestemming gegeven.

  • De versleutelingsmethode van het besturingssysteemvolume komt niet overeen met het BitLocker-beleid.

  • Voor het beleid van BitLocker is een TPM-beveiliging vereist om het besturingssysteemvolume te beveiligen, maar er wordt geen TPM gebruikt.

  • Het BitLocker-beleid vereist een alleen TPM-beveiliging voor het besturingssysteemvolume, maar TPM-beveiliging wordt niet gebruikt.

  • Voor het BitLocker-beleid is TPM- en pincodebeveiliging vereist voor het besturingssysteemvolume, maar er wordt geen TPM+pincodebeveiliging gebruikt.

  • Het BitLocker-beleid vereist TPM+opstartsleutelbeveiliging voor het besturingssysteemvolume, maar er wordt geen TPM+opstartsleutelbeveiliging gebruikt.

  • Voor het BitLocker-beleid is TPM+PINCODE+opstartsleutelbeveiliging vereist voor het besturingssysteemvolume, maar er wordt geen TPM+PINCODE+opstartsleutelbeveiliging gebruikt.

  • Het besturingssysteemvolume is niet beveiligd.

    Overweeg: Er is een BitLocker-beleid voor het versleutelen van besturingssysteemstations toegepast op de computer, maar de versleuteling is onderbroken of niet voltooid voor het besturingssysteemstation.

  • Back-up van de herstelsleutel is mislukt.

    Overweeg: controleer het gebeurtenislogboek op het apparaat om te zien waarom de back-up van de herstelsleutel is mislukt. Mogelijk moet u de opdracht manage-bde uitvoeren om herstelsleutels handmatig te borgen.

  • Een vast station is niet beveiligd.

    Overweeg: Er is een BitLocker-beleid voor het versleutelen van vaste stations toegepast op de computer, maar de versleuteling is onderbroken of niet voltooid voor het vaste station.

  • De versleutelingsmethode van het vaste station komt niet overeen met het BitLocker-beleid.

  • Als u stations wilt versleutelen, vereist het BitLocker-beleid dat de gebruiker zich aanmeldt als beheerder of, als het apparaat is gekoppeld aan Microsoft Entra ID, moet het beleid AllowStandardUserEncryption zijn ingesteld op 1.

  • Windows Recovery Environment (WinRE) is niet geconfigureerd.

    Overweeg: moet de opdrachtregel uitvoeren om de WinRE op een afzonderlijke partitie te configureren; omdat dat niet is gedetecteerd. Zie opdrachtregelopties voor REAgentC voor meer informatie.

  • Een TPM is niet beschikbaar voor BitLocker, omdat deze niet aanwezig is, niet beschikbaar is gemaakt in het register of omdat het besturingssysteem zich op een verwisselbaar station bevindt.

    Overweeg: Voor het BitLocker-beleid dat op dit apparaat wordt toegepast, is een TPM vereist, maar op dit apparaat heeft de BitLocker-CSP gedetecteerd dat de TPM mogelijk is uitgeschakeld op BIOS-niveau.

  • De TPM is niet gereed voor BitLocker.

    Overweeg: De BitLocker-CSP ziet dat dit apparaat een beschikbare TPM heeft, maar de TPM moet mogelijk worden geïnitialiseerd. Overweeg om intialize-tpm uit te voeren op de machine om de TPM te initialiseren.

  • Het netwerk is niet beschikbaar. Dit is vereist voor back-up van de herstelsleutel.

Rapportdetails exporteren

Terwijl u het deelvenster Versleutelingsrapport bekijkt, kunt u Exporteren selecteren om een .csv bestand te downloaden van de rapportdetails. Dit rapport bevat de details op hoog niveau uit het deelvenster Versleutelingsrapport en Details van apparaatversleutelingsstatus voor elk apparaat dat u beheert.

Dit rapport kan nuttig zijn bij het identificeren van problemen voor groepen apparaten. U kunt het rapport bijvoorbeeld gebruiken om een lijst te identificeren met macOS-apparaten waarvan alle rapporteren dat FileVault al is ingeschakeld door de gebruiker, wat aangeeft dat apparaten handmatig moeten worden ontsleuteld voordat Intune hun FileVault-instellingen kan beheren.

Herstelsleutels beheren

Zie het volgende in de Intune-documentatie voor meer informatie over het beheren van herstelsleutels:

macOS FileVault:

• Persoonlijke herstelsleutel ophalen
• Herstelsleutels draaien
• Herstelsleutels herstellen

Windows BitLocker:

• BitLocker-herstelsleutels draaien

Volgende stappen

• BitLocker-beleid beheren
• Problemen met BitLocker-beleid oplossen
• FileVault-beleid beheren
• Bekende problemen met het afdwingen van BitLocker-beleid met Intune