Поделиться через


Отслеживание шифрования устройств в Intune

Отчет о шифровании Microsoft Intune — это централизованное расположение, в котором можно просмотреть сведения о состоянии шифрования устройства и найти параметры для управления ключами восстановления устройства. Доступные варианты ключей восстановления зависят от типа просматриваемого устройства.

Совет

Сведения о настройке политик Intune для управления шифрованием на устройствах см. в следующих разделах:

Чтобы найти отчет, войдите в Центр администрирования Microsoft Intune. Выберите Устройства>Управление устройствами>Конфигурация, перейдите на вкладку Монитор*, а затем выберите Состояние шифрования устройства.

Просмотр сведений о шифровании

В отчете о шифровании отображаются общие сведения о поддерживаемых устройствах, которыми вы управляете. В следующих разделах содержатся сведения о данных, которые Intune представляет в отчете.

Предварительные требования

В отчете о шифровании содержатся сведения об устройствах, работающих под управлением следующих операционных систем:

  • macOS 10.13 или более поздняя версия
  • Windows 1607 или более поздняя версия

Данные отчетов

В области Отчет о шифровании отображается список управляемых устройств с подробными сведениями об этих устройствах. Вы можете выбрать устройство в списке для детализации и просмотреть дополнительные сведения в области Состояние шифрования устройства для устройства.

  • Имя устройства — название устройства.

  • ОС — платформа устройства, например Windows или macOS.

  • Версия ОС — версия Windows или macOS на устройстве.

  • Версия доверенного платформенного модуля (применяется только к Windows 10/11) — версия микросхемы доверенного платформенного модуля (TPM), обнаруженная на устройстве с Windows.

    Дополнительные сведения о том, как мы запрашиваем версию доверенного платформенного модуля, см. в разделе DeviceStatus CSP — спецификация TPM.

  • Готовность к шифрованию — оценка готовности устройства к поддержке применимой технологии шифрования, например BitLocker или FileVault. Устройства могут иметь указанные ниже состояния.

    • Готово: устройство можно зашифровать с помощью политики MDM, для которой необходимо, чтобы устройство соответствовало указанным ниже требованиям.

      Для устройств с macOS:

      • macOS 10.13 и более поздних версий.

      Для устройств с Windows:

      • Windows 10 1709 и более поздних версий выпусков для бизнеса, Корпоративная, для образовательных учреждений, Windows 10 1809 и более поздних версий выпуска Pro, а также Windows 11.
      • В устройстве должна быть микросхема доверенного платформенного модуля

      Дополнительные сведения о предварительных требованиях к Windows для функции шифрования см. в разделе Поставщик служб шифрования (CSP) BitLocker в документации по Windows.

    • Не готово: на устройстве имеются не все функции, необходимые для шифрования, но устройство может поддерживать шифрование.

    • Неприменимо: недостаточно информации для классификации этого устройства.

  • Состояние шифрования — этот параметр показывает, зашифрован ли диск с ОС.

  • Имя участника-пользователя — основной пользователь устройства.

Состояние шифрования устройства

При выборе устройства в отчете о шифровании Intune отобразит область Состояние шифрования устройства. В этой области отображаются указанные ниже сведения.

  • Имя устройства — название просматриваемого устройства.

  • Готовность к шифрованию — оценка готовности устройства для шифрования в рамках политики MDM на основе активированного доверенного платформенного модуля.

    Если устройство с Windows 10 или Windows 11 имеет состояние Не готово, оно, возможно, все равно поддерживает шифрование. Чтобы устройство с Windows перешло в состояние Готово, необходимо активировать микросхему доверенного платформенного модуля в этом устройстве. Тем не менее для поддержки шифрования не требуются микросхемы доверенного платформенного модуля, так как можно зашифровать устройство вручную. или с помощью MDM/параметра групповой политики, который можно настроить для разрешения шифрования без доверенного платформенного модуля.

  • Состояние шифрования — этот параметр показывает, зашифрован ли диск с ОС. Чтобы в Intune началась передача сведений о шифровании устройств или изменениях этого состояния, может потребоваться до 24 часов. Сюда входит время для шифрования ОС, а также время, в течение которого устройство будет передавать данные обратно в Intune.

    Чтобы ускорить передачу сведений о состоянии шифрования FileVault перед обычной регистрацией устройства, попросите пользователей синхронизировать свои устройства после завершения шифрования.

    Для устройств Windows в этом поле не показано, шифруются ли другие диски, например фиксированные диски. Статус шифрования поступает из DeviceStatus CSP — DeviceStatus/Compliance/EncryptionCompliance.

  • Профили — список профилей Конфигурация устройства, которые применяются к данному устройству и имеют указанные ниже значения.

    • macOS

      • Тип профиля = Endpoint protection;
      • > Параметры FileVault > FileVault = Включить
    • Windows 10 и Windows 11

      • Тип профиля = Endpoint protection;
      • Параметры > Шифрования > Windows Шифровать устройства = Требовать

    Этот список профилей можно использовать для поиска и проверки отдельных политик, если в разделе Сводка о состоянии профилей указаны проблемы.

  • Сводка о состоянии профилей — сводка профилей, которые применяются к данному устройству. Сводка представляет наименее подходящие условия среди применяемых профилей. Например, если только один из нескольких применимых профилей приводит к ошибке, в сводке состояния профиля отобразится сообщение Об ошибке.

    Чтобы просмотреть дополнительные сведения о состоянии в Центре администрирования Intune, перейдите в раздел Устройства>Управление устройствами>Конфигурация> выберите профиль. При необходимости выберите Состояние устройства, а затем выберите нужное устройство.

  • Сведения о состоянии — дополнительные сведения о состоянии шифрования устройства.

    В этом поле отображаются сведения обо всех применимых ошибках, которые можно обнаружить. Вы можете использовать эту информацию, чтобы понять, почему устройство не находится в статусе готовности к шифрованию.

    Ниже приведены примеры сведений о состоянии, которые может сообщить Intune.

    macOS

    • Ключ восстановления еще не получен и не сохранен. Скорее всего, устройство не разблокировано или не зарегистрировано.

      Учитывайте: этот результат не обязательно представляет собой условие ошибки, но временное состояние, которое может быть связано с временем на устройстве, где необходимо настроить депонирования для ключей восстановления перед отправкой запроса шифрования на устройство. Это состояние также может означать, что устройство остается заблокированным или не было зарегистрировано в Intune в последнее время. Наконец, так как шифрование FileVault не запускается до подключения устройства (зарядки), пользователь может получить ключ восстановления для устройства, которое еще не зашифровано..

    • Пользователь откладывает шифрование или в настоящее время выполняется процесс шифрования.

      Рассмотрим: пользователь еще не вышел из системы после получения запроса на шифрование, который необходим, чтобы FileVault смог зашифровать устройство, или пользователь расшифровал устройство вручную. Intune не может запретить пользователю расшифровывать свое устройство.

    • Устройство уже зашифровано. Чтобы продолжить, пользователь устройства должен расшифровать устройство.

      Рассмотрим: Intune не может настроить FileVault на устройстве, которое уже зашифровано. Однако после того как устройство получит политику для включения FileVault, пользователь может отправить свой личный ключ восстановления, чтобы включить Intune для последующего управления шифрованием на этом устройстве. Кроме того, пользователь может вручную расшифровать свое устройство, чтобы впоследствии его можно было зашифровать с помощью политики Intune. Однако мы не рекомендуем расшифровывать вручную, так как это может на время оставить устройство незашифрованным.

    • FileVault требуется, чтобы пользователь утвердил свой профиль управления в macOS Catalina и более поздних версий.

      Рассмотрим. Начиная с macOS версии 10.15 (Catalina), параметры регистрации, утвержденные пользователем, могут привести к требованию, чтобы пользователи вручную утверждали шифрование FileVault. Дополнительные сведения см. в разделе Регистрация, утвержденная пользователем , в документации по Intune.

    • Неизвестно.

      Рассмотрим: одна из возможных причин неизвестного состояния заключается в том, что устройство заблокировано и Intune не может запустить процесс депонирования или шифрования. После разблокировки устройства ход выполнения может продолжаться.

    Windows 10 и Windows 11

    На устройствах с Windows служба Intune отображает сведения о состоянии только для устройств с Windows 10 с обновлением от апреля 2019 г. и более поздних версий, а также Windows 11. Сведения о состоянии поступают из BitLocker CSP — Status/DeviceEncryptionStatus.

    • Политика BitLocker требует согласия пользователя для запуска мастера шифрования диска BitLocker для начала шифрования тома операционной системы, но пользователь не дал согласия.

    • Метод шифрования тома операционной системы не соответствует политике BitLocker.

    • Политика BitLocker требует наличия средства защиты TPM для защиты тома операционной системы, но TPM не используется.

    • Политика BitLocker требует наличия средства защиты только с TPM для защиты тома операционной системы, но TPM не используется.

    • Политика BitLocker требует наличия средства защиты TPM + PIN-код для защиты тома операционной системы, но TPM + PIN не используется.

    • Политика BitLocker требует наличия средства защиты TPM + ключ запуска для защиты тома операционной системы, но TPM + ключ запуска не используется.

    • Политика BitLocker требует наличия средства защиты TPM + PIN + ключ запуска для защиты тома операционной системы, но TPM + PIN + ключ запуска не используется.

    • Том ОС не защищен.

      Рассмотрим: политика BitLocker для шифрования дисков ОС была применена на компьютере, но шифрование было приостановлено или не завершено для диска ОС.

    • Не удалось выполнить резервное копирование ключа восстановления.

      Рассмотрим. Проверьте журнал событий на устройстве, чтобы узнать, почему произошел сбой резервной копии ключа восстановления. Может потребоваться выполнить команду manage-bde , чтобы вручную депонировать ключи восстановления.

    • Фиксированный диск не защищен.

      Рассмотрим: на компьютере была применена политика BitLocker для шифрования фиксированных дисков, но шифрование было приостановлено или не завершено для фиксированного диска.

    • Метод шифрования фиксированного диска не соответствует политике BitLocker.

    • Чтобы зашифровать диски, политика BitLocker требует, чтобы пользователь вошел в систему с правами администратора, или, если устройство присоединено к идентификатору Microsoft Entra, политика AllowStandardUserEncryption должна иметь значение 1.

    • Среда восстановления Windows (WinRE) не настроена.

      Учитывайте: необходимо запустить командную строку, чтобы настроить WinRE в отдельной секции; так как это не было обнаружено. Дополнительные сведения см. в разделе Параметры командной строки REAgentC.

    • Доверенный платформенный модуль недоступен для BitLocker, потому что он отсутствует, отключен в реестре или ОС находится на съемном диске.

      Для применения политики BitLocker к этому устройству требуется доверенный платформенный модуль, но на этом устройстве поставщик служб шифрования BitLocker обнаружил, что доверенный платформенный модуль может быть отключен на уровне BIOS.

    • Доверенный платформенный модуль не готов для использования BitLocker.

      Рассмотрим: поставщик служб CSP BitLocker видит, что это устройство имеет доступный доверенный платформенный модуль, но доверенный платформенный модуль может потребоваться инициализировать. Рассмотрите возможность запуска intialize-tpm на компьютере для инициализации доверенного платформенного модуля.

    • Недоступна сеть, которая необходима для резервного копирования ключа восстановления.

Экспорт сведений из отчета

При просмотре панели отчета о шифровании можно выбрать Экспорт, чтобы создать CSV-файл, куда будут скачаны данные отчета. Этот отчет включает общие сведения из панели Отчет о шифровании и Сведения о состоянии шифрования устройства для каждого управляемого устройства.

Экспорт сведений

Этот отчет можно использовать при выявлении проблем с группами устройств. Например, этот отчет можно использовать для определения списка устройств с macOS, которые сообщают, что FileVault уже включен пользователем. Это указывает на устройства, которые необходимо расшифровать вручную, прежде чем Intune сможет управлять их параметрами FileVault.

Управление ключами восстановления

Дополнительные сведения об управлении ключами восстановления см. в следующих разделах документации по Intune.

FileVault в macOS

BitLocker в Windows

Дальнейшие действия