Monitorar a criptografia do dispositivo com o Intune

O relatório de criptografia do Microsoft Intune é um local centralizado para exibir detalhes sobre o status de criptografia de um dispositivo e encontrar opções para gerenciar chaves de recuperação de dispositivos. As opções de chave de recuperação disponíveis dependem do tipo de dispositivo que está sendo exibido.

Dica

Para configurar as políticas do Intune para gerenciar a criptografia em dispositivos, confira:

• Gerenciar a política do BitLocker
• Gerenciar a política do FileVault

Para localizar o relatório, entre no centro de administração Microsoft Intune. Selecione Configuração de Dispositivos>, selecione a guia Monitor* e selecione Criptografia de dispositivo status.

Exibir detalhes de criptografia

O relatório de criptografia mostra detalhes comuns nos dispositivos compatíveis gerenciados. As seções a seguir fornecem detalhes sobre as informações apresentadas pelo Intune no relatório.

Pré-requisitos

O relatório de criptografia dá suporte a relatórios em dispositivos que executam as seguintes versões do sistema operacional:

• macOS 10.13 ou posterior
• Windows versão 1607 ou posterior

Detalhes do relatório

O painel Relatório de Criptografia exibe uma lista dos dispositivos que você gerencia com detalhes de alto nível sobre esses dispositivos. Você pode selecionar um dispositivo na lista para analisar e exibir detalhes adicionais no painel Status de criptografia do dispositivo dos dispositivos.

• Nome do dispositivo – o nome do dispositivo.

• Sistema operacional – a plataforma do dispositivo, como Windows ou macOS.

• Versão do sistema operacional: A versão do Windows ou do macOS no dispositivo.

• Versão do TPM(aplica-se apenas a Windows 10/11) – a versão do chip TPM (Trusted Platform Module) detectada no dispositivo Windows.

  Para saber mais sobre como consultamos a versão do TPM, confira CSP DeviceStatus – Especificação do TPM.

• Preparação de criptografia – uma avaliação da preparação dos dispositivos para dar suporte a uma tecnologia de criptografia aplicável, como a criptografia BitLocker ou FileVault. Os dispositivos são identificados como:

  • Pronto: O dispositivo pode ser criptografado usando a política de MDM, o que exige que o dispositivo atenda aos seguintes requisitos:

    Para dispositivos macOS:

    • macOS versão 10.13 ou posterior

    Para dispositivos Windows:

    • Windows 10 versão 1709 ou posterior do Negócios, Enterprise, Educação, Windows 10 versão 1809 ou posterior do Pro, e Windows 11.
    • O dispositivo precisa ter um chip TPM

    Para saber mais sobre os pré-requisitos do Windows para criptografia, confira o CSP (provedor de serviço de configuração) do BitLocker na documentação do Windows.

  • Não está pronto: O dispositivo não tem recursos completos de criptografia, mas ainda pode dar suporte à criptografia.

  • Não aplicável: Não há informações suficientes para classificar este dispositivo.

• Status da criptografia – indica se a unidade do sistema operacional é criptografada.

• Nome UPN – o usuário primário do dispositivo.

Status da criptografia de dispositivo

Quando você seleciona um dispositivo no Relatório de criptografia, o Intune exibe o painel Status de criptografia do dispositivo. O painel fornece os seguintes detalhes:

• Nome do dispositivo – o nome do dispositivo que você está exibindo.

• Preparação de criptografia – uma avaliação da preparação dos dispositivos para dar suporte à criptografia por meio da política de MDM baseada em um TPM ativado.

  Quando um dispositivo Windows 10/11 tem uma preparação igual a Não pronto, ele ainda pode dar suporte à criptografia. Para ter a designação Pronto, o dispositivo Windows precisa ter um chip TPM ativado. No entanto, os chips TPM não precisam dar suporte à criptografia, pois o dispositivo ainda pode ser criptografado manualmente. Ou por meio de uma configuração de MDM/Política de Grupo que pode ser definida para permitir a criptografia sem um TPM.

• Status da criptografia – Se a unidade do sistema operacional é criptografada. Podem ser necessárias até 24 horas para que o Intune relate um status de criptografia de um dispositivo ou uma alteração nesse status. Isso inclui o tempo para a criptografia do sistema operacional, além do tempo para o dispositivo relatar de volta ao Intune.

  Para acelerar o relatório do status de criptografia do FileVault antes que o check-in do dispositivo ocorra normalmente, os usuários precisam sincronizar seus dispositivos após a criptografia ser concluída.

  Para dispositivos Windows, esse campo não analisa se outras unidades, como unidades fixas, são criptografadas. O Status de criptografia vem do CSP do DeviceStatus – DeviceStatus/Compliance/EncryptionCompliance.

• Perfis – uma lista dos perfis de Configuração do dispositivo que se aplicam a esse dispositivo e são configurados com os seguintes valores:

  • macOS:

    • Tipo de perfil = Endpoint Protection
    • Configurações > FileVault > FileVault = Habilitar

  • Windows 10/11:

    • Tipo de perfil = Endpoint Protection
    • Configurações > Windows Encryption > Encrypt devices = Require

  Use a lista de perfis para identificar políticas individuais para análise caso o Resumo do estado de perfil indique problemas.

• Resumo do estado de perfil – Um resumo dos perfis que se aplicam a esse dispositivo. O resumo representa a condição menos favorável nos perfis aplicáveis. Por exemplo, se apenas um de vários perfis aplicáveis resultar em um erro, o resumo do estado do perfilexibirá Erro.

  Para exibir mais detalhes de um status no centro de administração do Intune, acesseConfiguração> de Dispositivos> selecione o perfil. Opcionalmente, selecione Status do dispositivo e, em seguida, selecione um dispositivo.

• Detalhes de status – Detalhes avançados sobre o estado de criptografia do dispositivo.

  Esse campo exibe informações para cada erro aplicável que possa ser detectado. É possível usar essas informações para entender por que um dispositivo talvez não esteja pronto para a criptografia.

  Veja a seguir exemplos dos detalhes do status que o Intune pode relatar:

  macOS:

  • A chave de recuperação ainda não foi recuperada e armazenada. Provavelmente, o dispositivo não foi desbloqueado ou não fez check-in.

    Considere: esse resultado não representa necessariamente uma condição de erro, mas um estado temporário que pode ser devido ao tempo no dispositivo em que as chaves de recuperação devem ser configuradas antes que a solicitação de criptografia seja enviada para o dispositivo. Esse status também pode indicar que o dispositivo permanece bloqueado ou não fez check-in com o Intune recentemente. Por fim, como a criptografia FileVault não é iniciada até que um dispositivo esteja conectado (carregamento), é possível que um usuário receba uma chave de recuperação para um dispositivo que ainda não está criptografado.

  • O usuário está adiando a criptografia ou está em processo de criptografia.

    Considere: ou o usuário ainda não fez logon após receber a solicitação de criptografia, o que é necessário antes que o FileVault possa criptografar o dispositivo ou o usuário descriptografou manualmente o dispositivo. O Intune não pode impedir que um usuário descriptografe seu dispositivo.

  • O dispositivo já está criptografado. O usuário do dispositivo precisa descriptografá-lo para continuar.

    Considere: o Intune não pode configurar o FileVault em um dispositivo que já está criptografado. No entanto, depois que um dispositivo recebe a política para habilitar o FileVault, um usuário pode carregar sua chave de recuperação pessoal para permitir que o Intune gerencie a criptografia nesse dispositivo. Como alternativa, o usuário pode descriptografar manualmente seu dispositivo para que ele possa ser criptografado pela política do Intune posteriormente. No entanto, não recomendamos a descriptografia manual, pois isso pode deixar um dispositivo não criptografado por um tempo.

  • O FileVault precisa que o usuário aprove seu perfil de gerenciamento no macOS Catalina e posterior.

    Considere: A partir da versão 10.15 do macOS (Catalina), as configurações de registro aprovadas pelo usuário podem resultar na exigência de que os usuários aprovem manualmente a criptografia FileVault. Para obter mais informações, consulte Registro aprovado pelo usuário na documentação do Intune.

  • Desconhecido.

    Considere: uma possível causa para um status desconhecido é que o dispositivo está bloqueado e o Intune não pode iniciar o processo de custódia ou criptografia. Depois que o dispositivo é desbloqueado, o progresso pode continuar.

  Windows 10/11:

  Para dispositivos Windows, o Intune mostra apenas Detalhes do status para dispositivos que executam o Atualização de abril de 2019 do Windows 10 ou posterior ou Windows 11. Os Detalhes do status vêm do CSP do BitLocker – Status/DeviceEncryptionStatus.

  • A política do BitLocker requer o consentimento do usuário para iniciar o Assistente de Criptografia de Unidade de Disco BitLocker para iniciar a criptografia do volume do sistema operacional, mas o usuário não consentiu.

  • O método de criptografia do volume do sistema operacional não coincide com a política do BitLocker.

  • A política do BitLocker exige um protetor de TPM para proteger o volume do sistema operacional, mas um TPM não é usado.

  • A política do BitLocker exige um protetor somente de TPM para o volume do sistema operacional, mas a proteção do TPM não é usada.

  • A política do BitLocker exige uma proteção TPM+PIN para o volume do sistema operacional, mas um protetor TPM+PIN não é usado.

  • A política do BitLocker exige uma proteção de chave de inicialização+TPM para o volume do sistema operacional, mas um protetor de chave de inicialização+TPM não é usado.

  • A política do BitLocker exige uma proteção de chave de inicializaçãoTPM+PIN para o volume do sistema operacional, mas um protetor de chave de inicializaçãoTPM+PIN não é usado.

  • O volume do sistema operacional está desprotegido.

    Considere: uma política BitLocker para criptografar unidades do sistema operacional foi aplicada no computador, mas a criptografia foi suspensa ou não foi concluída para a unidade do sistema operacional.

  • Falha no backup da chave de recuperação.

    Considere: Verifique o log de eventos no dispositivo para ver por que o backup da chave de recuperação falhou. Talvez seja necessário executar o comando manage-bde para registrar manualmente as chaves de recuperação.

  • Uma unidade fixa está desprotegida.

    Considere: uma política BitLocker para criptografar unidades fixas foi aplicada no computador, mas a criptografia foi suspensa ou não foi concluída para a unidade fixa.

  • O método de criptografia da unidade fixa não coincide com a política do BitLocker.

  • Para criptografar unidades, a política Do BitLocker exige que o usuário entre como administrador ou, se o dispositivo for associado a Microsoft Entra ID, a política AllowStandardUserEncryption deve ser definida como 1.

  • O WinRE (Ambiente de Recuperação do Windows) não está configurado.

    Considere: é necessário executar a linha de comando para configurar o WinRE em partição separada; pois isso não foi detectado. Para obter mais informações, confira Opções de linha de comando REAgentC.

  • Não há um TPM disponível para o BitLocker, porque ele não está presente, ficou indisponível no Registro ou o sistema operacional está em uma unidade de disco removível.

    Consider: A política do BitLocker aplicada a este dispositivo requer um TPM, mas neste dispositivo, o CSP do BitLocker detectou que o TPM pode estar desabilitado no nível do BIOS.

  • O TPM não está pronto para o BitLocker.

    Considere: o CSP do BitLocker vê que esse dispositivo tem um TPM disponível, mas o TPM pode precisar ser inicializado. Considere executar intialize-tpm no computador para inicializar o TPM.

  • A rede não estiver disponível, o que é necessário para o backup da chave de recuperação.

Exportar detalhes do relatório

Ao exibir o painel Relatório de criptografia, você pode selecionar Exportar para criar um download de arquivo .csv dos detalhes do relatório. Esse relatório inclui os detalhes de alto nível do painel Relatório de criptografia e os detalhes do Status de criptografia do dispositivo para cada dispositivo gerenciado.

Esse relatório pode ser usado para identificar problemas de grupos de dispositivos. Por exemplo, você pode usar o relatório para identificar uma lista de todos os dispositivos macOS que relatam a mensagem O FileVault já foi habilitado pelo usuário, o que indica os dispositivos que precisam ser descriptografados manualmente para que o Intune possa gerenciar suas configurações do FileVault.

Gerenciar chaves de recuperação

Para obter detalhes sobre como gerenciar chaves de recuperação, consulte o seguinte na documentação do Intune:

macOS FileVault:

• Recuperar chave de recuperação pessoal
• Girar as chaves de recuperação
• Recuperar chaves de recuperação

Windows BitLocker:

• Girar as chaves de recuperação do BitLocker

Próximas etapas

• Gerenciar a política do BitLocker
• Solução de problemas com a política do BitLocker
• Gerenciar a política do FileVault
• Problemas conhecidos para aplicar políticas do BitLocker com o Intune