Intune ile cihaz şifrelemeyi izleme

Microsoft Intune şifreleme raporu, bir cihazın şifreleme durumu hakkındaki ayrıntıları görüntülemek ve cihaz kurtarma anahtarlarını yönetme seçeneklerini bulmak için merkezi bir konumdur. Kullanılabilen kurtarma anahtarı seçenekleri, görüntülediğiniz cihazın türüne bağlıdır.

İpucu

Cihazlarda şifrelemeyi yönetmek üzere Intune ilkelerini yapılandırmak için bkz:

• BitLocker ilkesini yönetme
• FileVault ilkesini yönetme

Raporu bulmak için Microsoft Intune yönetim merkezinde oturum açın. Cihazlar>Yapılandırması'nı seçin, İzleyici* sekmesini ve ardından Cihaz şifreleme durumu'nu seçin.

Şifreleme ayrıntılarını görüntüleme

Şifreleme raporu, yönettiğiniz desteklenen cihazlarda yaygın ayrıntıları gösterir. Aşağıdaki bölümlerde, Intune'un raporda sunduğu bilgilerle ilgili ayrıntılar sağlanır.

Önkoşullar

Şifreleme raporu, aşağıdaki işletim sistemi sürümlerini çalıştıran cihazlarda raporlamayı destekler:

• macOS 10.13 veya üzeri
• Windows sürüm 1607 veya üzeri

Rapor ayrıntıları

Şifreleme raporu bölmesinde, yönettiğiniz cihazların listesi, bu cihazlarla ilgili üst düzey ayrıntılarla birlikte görüntülenir. Detaya gitmek için listeden bir cihaz seçebilir ve cihazlar Cihaz şifreleme durumu bölmesinden ek ayrıntıları görüntüleyebilirsiniz.

• Cihaz adı - Cihazın adı.

• İşletim sistemi : Windows veya macOS gibi cihaz platformu.

• İşletim sistemi sürümü – Cihazdaki Windows veya macOS sürümü.

• TPM sürümü(yalnızca Windows 10/11 için geçerlidir) – Windows cihazında algılanan Güvenilir Platform Modülü (TPM) yongasının sürümü.

  TPM sürümünü sorgulama hakkında daha fazla bilgi için bkz. DeviceStatus CSP - TPM Belirtimi.

• Şifreleme hazırlığı – BitLocker veya FileVault şifrelemesi gibi geçerli bir şifreleme teknolojisini desteklemeye hazır cihazların değerlendirmesi. Cihazlar şu şekilde tanımlanır:

  • Hazır: Cihaz, aşağıdaki gereksinimleri karşılamasını gerektiren MDM ilkesi kullanılarak şifrelenebilir:

    macOS cihazları için:

    • macOS sürüm 10.13 veya üzeri

    Windows cihazları için:

    • Windows 10 business, enterprise, education, Windows 10 sürüm 1809 veya üzerinin 1709 veya sonraki sürümleri ve Windows 11.
    • Cihazda TPM yongası olmalıdır

    Şifreleme için Windows önkoşulları hakkında daha fazla bilgi için Windows belgelerindeki BitLocker yapılandırma hizmeti sağlayıcısına (CSP) bakın.

  • Hazır değil: Cihaz tam şifreleme özelliklerine sahip değildir, ancak şifrelemeyi desteklemeye devam edebilir.

  • Geçerli değil: Bu cihazı sınıflandırmak için yeterli bilgi yok.

• Şifreleme durumu – İşletim sistemi sürücüsünün şifrelenip şifrelenmediği.

• Kullanıcı Asıl Adı - Cihazın birincil kullanıcısı.

Cihaz şifreleme durumu

Şifreleme raporundan bir cihaz seçtiğinizde, Intune Cihaz şifreleme durumu bölmesini görüntüler. Bu bölmede aşağıdaki ayrıntılar sağlanır:

• Cihaz adı – Görüntülemekte olduğunuz cihazın adı.

• Şifreleme hazırlığı - Cihazın etkinleştirilmiş bir TPM'yi temel alan MDM ilkesi aracılığıyla şifrelemeyi desteklemeye hazır olup olmadığı değerlendirmesi.

  bir Windows 10/11 cihazının Hazır değil hazırlığı olduğunda, şifrelemeyi desteklemeye devam edebilir. Hazır gösteriminin olması için Windows cihazında tpm yongasının etkinleştirilmesi gerekir. Ancak, cihaz el ile şifrelenebilir olduğundan şifrelemeyi desteklemek için TPM yongaları gerekli değildir. veya TPM olmadan şifrelemeye izin verecek şekilde ayarlanabilen bir MDM/grup ilkesi ayarı aracılığıyla.

• Şifreleme durumu - İşletim sistemi sürücüsünün şifrelenip şifrelenmediği. Intune'un bir cihazın şifreleme durumunu veya bu durum değişikliğini bildirmesi 24 saat kadar sürebilir. Bu süre, işletim sisteminin şifrelenmesi için zaman ve cihazın Intune'a geri rapor verme süresini içerir.

  Cihaz iade işlemi normal şekilde gerçekleşmeden önce FileVault şifreleme durumunun raporlanmasını hızlandırmak için, şifreleme tamamlandıktan sonra kullanıcıların cihazlarını eşitlemesini sağlayın.

  Windows cihazları için bu alan, sabit sürücüler gibi diğer sürücülerin şifrelenip şifrelenmediğine bakmaz. Şifreleme durumuDeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance'tan geliyor.

• Profiller – Bu cihaza uygulanan ve aşağıdaki değerlerle yapılandırılan Cihaz yapılandırma profillerinin listesi:

  • Macos:

    • Profil türü = Uç nokta koruması
    • FileVault FileVault > = Enable Ayarları >

  • Windows 10/11:

    • Profil türü = Uç nokta koruması
    • Ayarlar > Windows Şifreleme > Cihazları şifreleme = Gerekli

  Profil durumu özeti sorunları gösteriyorsa, tek tek ilkeleri belirlemek için profil listesini kullanabilirsiniz.

• Profil durumu özeti – Bu cihaza uygulanan profillerin özeti. Özet, geçerli profiller genelinde en az uygun koşulu temsil eder. Örneğin, birkaç geçerli profilden yalnızca biri hatayla sonuçlanırsa , Profil durumu özetiHata görüntüler.

  Intune yönetim merkezinde bir durumun diğer ayrıntılarını görüntülemek için Cihazlar>Yapılandırması'na> gidin ve profili seçin. İsteğe bağlı olarak Cihaz durumu'nu ve ardından bir cihaz seçin.

• Durum ayrıntıları – Cihazın şifreleme durumuyla ilgili gelişmiş ayrıntılar.

  Bu alan, algılanabilir her geçerli hatanın bilgilerini görüntüler. Bir cihazın neden şifrelemeye hazır olmayabileceğini anlamak için bu bilgileri kullanabilirsiniz.

  Intune'un bildirebileceği durum ayrıntılarına örnekler aşağıda verilmiştir:

  macOS:

  • Kurtarma anahtarı henüz alınmadı ve depolanmadı. Büyük olasılıkla cihazın kilidi açılmamış veya iade edilmemiştir.

    Göz önünde bulundurun: Bu sonuç mutlaka bir hata koşulunu temsil etmez, ancak cihaza şifreleme isteği gönderilmeden önce kurtarma anahtarları için emanetin ayarlanması gereken cihazda zamanlama nedeniyle olabilecek geçici bir durumdur. Bu durum, cihazın kilitli kaldığını veya yakın zamanda Intune'da iade edilmemiş olduğunu da gösterebilir. Son olarak, Bir cihaz takılı olana (şarj edilene) kadar FileVault şifrelemesi başlatılmadığından, kullanıcının henüz şifrelenmemiş bir cihaz için kurtarma anahtarı alması mümkündür.

  • Kullanıcı şifrelemeyi geciktiriyor veya şu anda şifreleme sürecinde.

    Göz önünde bulundurun: Şifreleme isteğini aldıktan sonra kullanıcı henüz oturumu kapatmamış olabilir. Bu, FileVault'un cihazı şifreleyebilmesi için gereklidir veya kullanıcının cihazın şifresini el ile çözmesi gerekir. Intune, bir kullanıcının cihazının şifresini çözmesini engelleyemez.

  • Cihaz zaten şifrelenmiştir. Devam etmek için cihaz kullanıcısının cihazın şifresini çözmesi gerekir.

    Göz önünde bulundurun: Intune, zaten şifrelenmiş bir cihazda FileVault'un kurulumunu yapamaz. Ancak, bir cihaz FileVault'u etkinleştirme ilkesi aldıktan sonra, kullanıcı Intune'un bu cihazda şifrelemeyi yönetmesini sağlamak için kişisel kurtarma anahtarını karşıya yükleyebilir. Alternatif olarak, kullanıcı daha sonra Intune ilkesi tarafından şifrelenebilmesi için cihazının şifresini el ile çözebilir. Ancak, el ile şifre çözmeyi önermiyoruz, bu nedenle bir cihazı bir süre için şifresiz bırakabilir.

  • FileVault, kullanıcının macOS Catalina ve üzeri sürümlerde yönetim profilini onaylamasını gerektirir.

    Göz önünde bulundurun: macOS sürüm 10.15 (Catalina) ile başlayarak, kullanıcı onaylı kayıt ayarları kullanıcıların FileVault şifrelemesini el ile onaylama gereksinimine neden olabilir. Daha fazla bilgi için Intune belgelerindeki Kullanıcı Onaylı kayıt bölümüne bakın.

  • Bilinmeyen.

    Dikkate alın: Bilinmeyen bir durumun olası nedenlerinden biri, cihazın kilitli olması ve Intune'un emanet veya şifreleme işlemini başlatamamalarıdır. Cihazın kilidi açıldıktan sonra ilerleme devam edebilir.

  Windows 10/11:

  Windows cihazları için Intune yalnızca Windows 10 Nisan 2019 Güncelleştirmesi veya sonraki bir sürümü veya Windows 11 çalıştıran cihazların Durum ayrıntılarını gösterir. Durum ayrıntılarıBitLocker CSP - Status/DeviceEncryptionStatus'tan geliyor.

  • BitLocker ilkesi, işletim sistemi biriminin şifrelenmesini başlatmak için BitLocker Sürücü Şifreleme Sihirbazı'nı başlatmak için kullanıcı onayı gerektirir, ancak kullanıcı onay vermedi.

  • İşletim sistemi biriminin şifreleme yöntemi BitLocker ilkesiyle eşleşmiyor.

  • BitLocker ilkesi, işletim sistemi birimini korumak için bir TPM koruyucusu gerektirir, ancak TPM kullanılmaz.

  • BitLocker ilkesi işletim sistemi birimi için yalnızca TPM koruyucusu gerektirir, ancak TPM koruması kullanılmaz.

  • BitLocker ilkesi işletim sistemi birimi için TPM+PIN koruması gerektirir, ancak TPM+PIN koruyucusu kullanılmaz.

  • BitLocker ilkesi işletim sistemi birimi için TPM+başlangıç anahtarı koruması gerektirir, ancak TPM+başlangıç anahtar koruyucusu kullanılmaz.

  • BitLocker ilkesi işletim sistemi birimi için TPM+PIN+başlangıç anahtarı koruması gerektirir, ancak TPM+PIN+başlangıç anahtarı koruyucusu kullanılmaz.

  • İşletim sistemi birimi korumasız.

    Düşünün: Makineye işletim sistemi sürücülerini şifrelemek için bir BitLocker ilkesi uygulandı, ancak şifreleme askıya alındı veya işletim sistemi sürücüsü için tamamlanamadı.

  • Kurtarma anahtarı yedeklemesi başarısız oldu.

    Düşünün: Kurtarma anahtarı yedeklemesinin neden başarısız olduğunu görmek için cihazdaki Olay günlüğünü denetleyin. Kurtarma anahtarlarını el ile emanet etmek için manage-bde komutunu çalıştırmanız gerekebilir.

  • Sabit sürücü korumasız.

    Dikkate alın: Makineye sabit sürücüleri şifrelemek için bir BitLocker ilkesi uygulandı, ancak şifreleme askıya alındı veya sabit sürücü için tamamlanamadı.

  • Sabit sürücünün şifreleme yöntemi BitLocker ilkesiyle eşleşmiyor.

  • Sürücüleri şifrelemek için BitLocker ilkesi, kullanıcının Yönetici olarak oturum açmasını veya cihazın Microsoft Entra ID katılması durumunda AllowStandardUserEncryption ilkesinin olarak 1ayarlanması gerekir.

  • Windows Kurtarma Ortamı (WinRE) yapılandırılmamış.

    Göz önünde bulundurun: WinRE'yi ayrı bölümde yapılandırmak için komut satırını çalıştırmanız gerekir; bu algılanmadığından. Daha fazla bilgi için bkz . REAgentC komut satırı seçenekleri.

  • Tpm, BitLocker için kullanılamaz, çünkü mevcut değildir, Kayıt Defteri'nde kullanılamaz hale getirilmiştir veya işletim sistemi çıkarılabilir bir sürücüdedir.

    Göz önünde bulundurun: Bu cihaza uygulanan BitLocker ilkesi bir TPM gerektirir, ancak bu cihazda BitLocker CSP, TPM'nin BIOS düzeyinde devre dışı bırakıldığını algılamıştır.

  • TPM, BitLocker için hazır değil.

    Düşünün: BitLocker CSP, bu cihazın kullanılabilir bir TPM'sine sahip olduğunu görür, ancak TPM'nin başlatılması gerekebilir. TPM'yi başlatmak için makinede intialize-tpm çalıştırmayı göz önünde bulundurun.

  • Ağ kullanılamaz, bu da kurtarma anahtarı yedeklemesi için gereklidir.

Rapor ayrıntılarını dışarı aktarma

Şifreleme raporu bölmesini görüntülerken Dışarı Aktar'ı seçerek rapor ayrıntılarının.csv bir dosya indirmesi oluşturabilirsiniz. Bu rapor, yönettiğiniz her cihaz için Şifreleme raporu bölmesindeki üst düzey ayrıntıları ve Cihaz şifreleme durumu ayrıntılarını içerir.

Bu rapor, cihaz gruplarının sorunlarını belirlemede kullanılabilir. Örneğin, intune'un FileVault ayarlarını yönetebilmesi için önce şifresinin el ile çözülmesi gereken cihazları gösteren, tüm FileVault raporunun kullanıcı tarafından zaten etkinleştirildiği macOS cihazlarının listesini belirlemek için raporu kullanabilirsiniz.

Kurtarma anahtarlarını yönetme

Kurtarma anahtarlarını yönetme hakkında ayrıntılı bilgi için Intune belgelerinde aşağıdakilere bakın:

macOS FileVault:

• Kişisel kurtarma anahtarını alma
• Kurtarma anahtarlarını döndürme
• Kurtarma anahtarlarını kurtarma

Windows BitLocker:

• BitLocker kurtarma anahtarlarını döndürme

Sonraki adımlar

• BitLocker ilkesini yönetme
• BitLocker ilkesi sorunlarını giderme
• FileVault ilkesini yönetme
• Intune ile BitLocker ilkelerini zorunlu tutmayla ilgili bilinen sorunlar