Monitorowanie szyfrowania urządzeń za pomocą usługi Intune

Raport szyfrowania Microsoft Intune jest scentralizowaną lokalizacją umożliwiającą wyświetlanie szczegółów dotyczących stanu szyfrowania urządzenia i znajdowanie opcji zarządzania kluczami odzyskiwania urządzeń. Dostępne opcje klucza odzyskiwania zależą od typu wyświetlanego urządzenia.

Porada

Aby skonfigurować zasady usługi Intune do zarządzania szyfrowaniem na urządzeniach, zobacz:

• Zarządzanie zasadami funkcji BitLocker
• Zarządzanie zasadami programu FileVault

Aby znaleźć raport, zaloguj się do centrum administracyjnego Microsoft Intune. Wybierz pozycję Konfiguracja urządzeń>, wybierz kartę Monitor*, a następnie wybierz pozycję Stan szyfrowania urządzenia.

Wyświetlanie szczegółów szyfrowania

Raport szyfrowania zawiera typowe szczegóły dotyczące obsługiwanych urządzeń, które zarządzasz. Poniższe sekcje zawierają szczegółowe informacje o informacjach, które usługa Intune przedstawia w raporcie.

Wymagania wstępne

Raport szyfrowania obsługuje raportowanie na urządzeniach z następującymi wersjami systemu operacyjnego:

• system macOS 10.13 lub nowszy
• Windows w wersji 1607 lub nowszej

Szczegóły raportu

W okienku Raport szyfrowania zostanie wyświetlona lista zarządzanych urządzeń ze szczegółowymi informacjami wysokiego poziomu na temat tych urządzeń. Możesz wybrać urządzenie z listy, aby przejść do szczegółów i wyświetlić dodatkowe szczegóły w okienku stan szyfrowania urządzeń.

• Nazwa urządzenia — nazwa urządzenia.

• System operacyjny — platforma urządzenia, taka jak Windows lub macOS.

• Wersja systemu operacyjnego — wersja systemu Windows lub macOS na urządzeniu.

• Wersja modułu TPM(dotyczy tylko Windows 10/11) — wersja mikroukładu TPM (Trusted Platform Module) wykryta na urządzeniu z systemem Windows.

  Aby uzyskać więcej informacji na temat wykonywania zapytań dotyczących wersji modułu TPM, zobacz DeviceStatus CSP — TPM Specification (Dostawca CSP devicestatus — specyfikacja modułu TPM).

• Gotowość do szyfrowania — ocena gotowości urządzeń do obsługi odpowiedniej technologii szyfrowania, takiej jak funkcja BitLocker lub szyfrowanie FileVault. Urządzenia są identyfikowane jako:

  • Gotowe: urządzenie może być szyfrowane przy użyciu zasad MDM, które wymagają, aby urządzenie spełniało następujące wymagania:

    W przypadku urządzeń z systemem macOS:

    • System macOS w wersji 10.13 lub nowszej

    W przypadku urządzeń z systemem Windows:

    • Windows 10 wersji 1709 lub nowszej programu Business, Enterprise, Education, Windows 10 wersji 1809 lub nowszej wersji wersji Pro i Windows 11.
    • Urządzenie musi mieć mikroukład modułu TPM

    Aby uzyskać więcej informacji na temat wymagań wstępnych systemu Windows dotyczących szyfrowania, zobacz dostawca usług konfiguracji funkcji BitLocker (CSP) w dokumentacji systemu Windows.

  • Nie jest gotowe: urządzenie nie ma pełnych możliwości szyfrowania, ale nadal może obsługiwać szyfrowanie.

  • Nie dotyczy: nie ma wystarczającej ilości informacji, aby sklasyfikować to urządzenie.

• Stan szyfrowania — czy dysk systemu operacyjnego jest szyfrowany.

• Główna nazwa użytkownika — podstawowy użytkownik urządzenia.

Stan szyfrowania urządzenia

Po wybraniu urządzenia z raportu Szyfrowanie usługa Intune wyświetli okienko Stan szyfrowania urządzenia . To okienko zawiera następujące szczegóły:

• Nazwa urządzenia — nazwa wyświetlanego urządzenia.

• Gotowość do szyfrowania — ocena gotowości urządzenia do obsługi szyfrowania za pośrednictwem zasad MDM na podstawie aktywowanego modułu TPM.

  Jeśli urządzenie Windows 10/11 ma gotowość Nie gotowe, nadal może obsługiwać szyfrowanie. Aby mieć oznaczenie Gotowe , urządzenie z systemem Windows musi mieć aktywowany mikroukład modułu TPM. Jednak mikroukłady modułu TPM nie są wymagane do obsługi szyfrowania, ponieważ urządzenie nadal może być szyfrowane ręcznie. lub za pośrednictwem ustawienia MDM/zasady grupy, które można ustawić tak, aby zezwalało na szyfrowanie bez modułu TPM.

• Stan szyfrowania — czy dysk systemu operacyjnego jest szyfrowany. Raportowanie stanu szyfrowania urządzenia przez usługę Intune lub zmianę tego stanu może potrwać do 24 godzin. Ten czas obejmuje czas szyfrowania systemu operacyjnego oraz czas raportowania urządzenia z powrotem do usługi Intune.

  Aby przyspieszyć raportowanie stanu szyfrowania FileVault przed normalnym zaewidencjonowaniem urządzenia, użytkownicy synchronizują swoje urządzenia po zakończeniu szyfrowania.

  W przypadku urządzeń z systemem Windows to pole nie sprawdza, czy inne dyski, takie jak dyski stałe, są szyfrowane. Stan szyfrowania pochodzi z dostawcy CSP DeviceStatus — DeviceStatus/Compliance/EncryptionCompliance.

• Profile — lista profilów konfiguracji urządzenia , które mają zastosowanie do tego urządzenia i są skonfigurowane z następującymi wartościami:

  • Macos:

    • Typ profilu = Ochrona punktu końcowego
    • Ustawienia > FileVault > FileVault = Włącz

  • Windows 10/11:

    • Typ profilu = Ochrona punktu końcowego
    • Ustawienia > Szyfrowanie urządzeń szyfrowania > systemu Windows = Wymagaj

  Możesz użyć listy profilów, aby zidentyfikować poszczególne zasady do przeglądu, jeśli podsumowanie stanu profilu wskazuje problemy.

• Podsumowanie stanu profilu — podsumowanie profilów, które mają zastosowanie do tego urządzenia. Podsumowanie reprezentuje najmniej korzystny warunek w odpowiednich profilach. Jeśli na przykład tylko jeden z kilku odpowiednich profilów spowoduje błąd, w podsumowaniu stanu profilu zostanie wyświetlonykomunikat Błąd.

  Aby wyświetlić więcej szczegółów dotyczących stanu w centrum administracyjnym usługi Intune, przejdź do pozycjiKonfiguracja>urządzeń> wybierz profil. Opcjonalnie wybierz pozycję Stan urządzenia , a następnie wybierz urządzenie.

• Szczegóły stanu — zaawansowane szczegóły dotyczące stanu szyfrowania urządzenia.

  To pole wyświetla informacje dotyczące każdego odpowiedniego błędu, który można wykryć. Te informacje umożliwiają zrozumienie, dlaczego urządzenie może nie być gotowe do szyfrowania.

  Poniżej przedstawiono przykłady szczegółów stanu, które usługa Intune może zgłaszać:

  macOS:

  • Klucz odzyskiwania nie został jeszcze pobrany i zapisany. Najprawdopodobniej urządzenie nie zostało odblokowane lub nie zostało zaewidencjonowane.

    Rozważmy: ten wynik niekoniecznie reprezentuje warunek błędu, ale tymczasowy stan, który może być spowodowany czasem na urządzeniu, na którym należy skonfigurować escrow dla kluczy odzyskiwania przed wysłaniem żądania szyfrowania do urządzenia. Ten stan może również wskazywać, że urządzenie pozostaje zablokowane lub nie zostało ostatnio zaewidencjonowane w usłudze Intune. Na koniec, ponieważ szyfrowanie filevault nie rozpoczyna się, dopóki urządzenie nie zostanie podłączone (ładowanie), użytkownik może otrzymać klucz odzyskiwania dla urządzenia, które nie jest jeszcze zaszyfrowane.

  • Użytkownik odraca szyfrowanie lub jest obecnie w trakcie szyfrowania.

    Rozważ: użytkownik nie wylogował się jeszcze po otrzymaniu żądania szyfrowania, co jest konieczne, zanim usługa FileVault będzie mogła zaszyfrować urządzenie lub użytkownik ręcznie odszyfrował urządzenie. Usługa Intune nie może uniemożliwić użytkownikowi odszyfrowania urządzenia.

  • Urządzenie jest już zaszyfrowane. Aby kontynuować, użytkownik urządzenia musi odszyfrować urządzenie.

    Rozważmy: usługa Intune nie może skonfigurować programu FileVault na urządzeniu, które jest już zaszyfrowane. Jednak po odebraniu zasad przez urządzenie w celu włączenia usługi FileVault użytkownik może przekazać swój osobisty klucz odzyskiwania, aby umożliwić usłudze Intune zarządzanie szyfrowaniem na tym urządzeniu. Alternatywnie użytkownik może ręcznie odszyfrować swoje urządzenie, aby następnie można je było zaszyfrować za pomocą zasad usługi Intune w późniejszym czasie. Nie zalecamy jednak ręcznego odszyfrowywania, ponieważ może to spowodować pozostawienie urządzenia niezaszyfrowanego na pewien czas.

  • Program FileVault wymaga od użytkownika zatwierdzenia profilu zarządzania w systemie macOS Catalina i nowszych wersjach.

    Rozważ: począwszy od systemu macOS w wersji 10.15 (Catalina), ustawienia rejestracji zatwierdzone przez użytkownika mogą spowodować wymaganie, aby użytkownicy ręcznie zatwierdzali szyfrowanie FileVault. Aby uzyskać więcej informacji, zobacz Rejestracja zatwierdzona przez użytkownika w dokumentacji usługi Intune.

  • Nieznany.

    Rozważ: Jedną z możliwych przyczyn nieznanego stanu jest zablokowanie urządzenia i usługa Intune nie może uruchomić procesu escrow ani szyfrowania. Po odblokowaniu urządzenia postęp może być kontynuowany.

  Windows 10/11:

  W przypadku urządzeń z systemem Windows usługa Intune wyświetla tylko szczegóły stanu dla urządzeń, na których uruchomiono aktualizację Windows 10 kwietnia 2019 r. lub nowszą lub nowszą lub Windows 11. Szczegóły stanu pochodzą z dostawcy CSP funkcji BitLocker — Stan/DeviceEncryptionStatus.

  • Zasady funkcji BitLocker wymagają zgody użytkownika na uruchomienie Kreatora szyfrowania dysków funkcji BitLocker w celu rozpoczęcia szyfrowania woluminu systemu operacyjnego, ale użytkownik nie wyraził zgody.

  • Metoda szyfrowania woluminu systemu operacyjnego nie jest zgodna z zasadami funkcji BitLocker.

  • Funkcja BitLocker zasad wymaga ochrony modułu TPM w celu ochrony woluminu systemu operacyjnego, ale moduł TPM nie jest używany.

  • Zasady funkcji BitLocker wymagają ochrony tylko modułu TPM dla woluminu systemu operacyjnego, ale ochrona modułu TPM nie jest używana.

  • Zasady funkcji BitLocker wymagają ochrony za pomocą modułu TPM i numeru PIN dla woluminu systemu operacyjnego, ale nie jest używana funkcja ochrony TPM+PIN.

  • Zasady funkcji BitLocker wymagają ochrony klucza uruchamiania modułu TPM dla woluminu systemu operacyjnego, ale nie jest używana funkcja ochrony klucza TPM+uruchamiania.

  • Zasady funkcji BitLocker wymagają ochrony za pomocą modułu TPM+PIN+klucza uruchamiania dla woluminu systemu operacyjnego, ale nie jest używana funkcja ochrony kluczy TPM+PIN+startup.

  • Wolumin systemu operacyjnego nie jest chroniony.

    Rozważ: zasady funkcji BitLocker do szyfrowania dysków systemu operacyjnego zostały zastosowane na maszynie, ale szyfrowanie zostało zawieszone lub nie zostało ukończone dla dysku systemu operacyjnego.

  • Tworzenie kopii zapasowej klucza odzyskiwania nie powiodło się.

    Rozważ: sprawdź dziennik zdarzeń na urządzeniu, aby zobaczyć, dlaczego tworzenie kopii zapasowej klucza odzyskiwania nie powiodło się. Może być konieczne uruchomienie polecenia manage-bde w celu ręcznego deponowania kluczy odzyskiwania.

  • Dysk stały jest niechroniony.

    Rozważmy: zasady funkcji BitLocker do szyfrowania dysków stałych zostały zastosowane na maszynie, ale szyfrowanie zostało zawieszone lub nie zostało ukończone dla dysku stałego.

  • Metoda szyfrowania dysku stałego nie jest zgodna z zasadami funkcji BitLocker.

  • Aby szyfrować dyski, zasady funkcji BitLocker wymagają od użytkownika zalogowania się jako administrator lub, jeśli urządzenie jest przyłączone do Tożsamość Microsoft Entra, zasady AllowStandardUserEncryption muszą być ustawione na 1.

  • Środowisko odzyskiwania systemu Windows (WinRE) nie jest skonfigurowane.

    Rozważ: należy uruchomić wiersz polecenia, aby skonfigurować winRE na oddzielnej partycji; ponieważ nie zostało to wykryte. Aby uzyskać więcej informacji, zobacz opcje wiersza polecenia REAgentC.

  • Moduł TPM nie jest dostępny dla funkcji BitLocker, ponieważ nie jest obecny, jest niedostępny w rejestrze lub system operacyjny znajduje się na dysku wymiennym.

    Rozważ: zasady funkcji BitLocker stosowane do tego urządzenia wymagają modułu TPM, ale na tym urządzeniu dostawca CSP funkcji BitLocker wykrył, że moduł TPM może zostać wyłączony na poziomie systemu BIOS.

  • Moduł TPM nie jest gotowy do użycia z funkcją BitLocker.

    Rozważmy: dostawca CSP funkcji BitLocker widzi, że to urządzenie ma dostępny moduł TPM, ale może być konieczne zainicjowanie modułu TPM. Rozważ uruchomienie polecenia intialize-tpm na maszynie w celu zainicjowania modułu TPM.

  • Sieć nie jest dostępna, co jest wymagane do tworzenia kopii zapasowej klucza odzyskiwania.

Eksportowanie szczegółów raportu

Podczas wyświetlania okienka Raport szyfrowania możesz wybrać pozycję Eksportuj , aby utworzyć plik.csv pobierania szczegółów raportu. Ten raport zawiera szczegółowe informacje wysokiego poziomu z okienka raportów szyfrowania i szczegóły stanu szyfrowania urządzenia dla każdego zarządzanego urządzenia.

Ten raport może być używany do identyfikowania problemów dla grup urządzeń. Na przykład możesz użyć raportu, aby zidentyfikować listę urządzeń z systemem macOS, dla których użytkownik włączył już wszystkie usługi FileVault raportu, co oznacza, że urządzenia, które muszą zostać ręcznie odszyfrowane, zanim usługa Intune będzie mogła zarządzać ustawieniami usługi FileVault.

Zarządzanie kluczami odzyskiwania

Aby uzyskać szczegółowe informacje na temat zarządzania kluczami odzyskiwania, zobacz następujące informacje w dokumentacji usługi Intune:

FileVault systemu macOS:

• Pobieranie osobistego klucza odzyskiwania
• Obracanie kluczy odzyskiwania
• Odzyskiwanie kluczy odzyskiwania

Funkcja BitLocker systemu Windows:

• Obracanie kluczy odzyskiwania funkcji BitLocker

Następne kroki

• Zarządzanie zasadami funkcji BitLocker
• Rozwiązywanie problemów z zasadami funkcji BitLocker
• Zarządzanie zasadami programu FileVault
• Znane problemy dotyczące wymuszania zasad funkcji BitLocker w usłudze Intune