Monitorování šifrování zařízení pomocí Intune

Sestava šifrování Microsoft Intune je centralizované umístění, kde můžete zobrazit podrobnosti o stavu šifrování zařízení a najít možnosti správy obnovovacích klíčů zařízení. Dostupné možnosti obnovovacího klíče závisí na typu zařízení, které si prohlížíte.

Tip

Informace o konfiguraci zásad Intune pro správu šifrování na zařízeních najdete tady:

• Správa zásad nástroje BitLocker
• Správa zásad FileVault

Sestavu najdete tak, že se přihlásíte do Centra pro správu Microsoft Intune. Vyberte Zařízení>Spravovat konfiguraci zařízení>, vyberte kartu Monitorování* a pak vyberte Stav šifrování zařízení.

Zobrazení podrobností o šifrování

Sestava šifrování zobrazuje běžné podrobnosti o podporovaných zařízeních, která spravujete. V následujících částech najdete podrobnosti o informacích, které Intune prezentuje v sestavě.

Požadavky

Sestava šifrování podporuje vytváření sestav na zařízeních s následujícími verzemi operačního systému:

• macOS 10.13 nebo novější
• Windows verze 1607 nebo novější

Podrobnosti sestavy

V podokně Sestava šifrování se zobrazí seznam zařízení, která spravujete, s podrobnými podrobnostmi o těchto zařízeních. Výběrem zařízení ze seznamu můžete přejít k podrobnostem a zobrazit další podrobnosti v podokně stav šifrování zařízení .

• Název zařízení – název zařízení.

• OS – platforma zařízení, jako je Windows nebo macOS.

• Verze operačního systému – verze Windows nebo macOS na zařízení.

• Verze TPM(platí jenom pro Windows 10/11) – verze čipu TPM (Trusted Platform Module) zjištěná na zařízení s Windows.

  Další informace o tom, jak se dotazujeme na verzi čipu TPM, najdete v tématu DeviceStatus CSP – specifikace TPM.

• Připravenost na šifrování – vyhodnocení připravenosti zařízení na podporu příslušné technologie šifrování, jako je šifrování Nástrojem BitLocker nebo FileVault. Zařízení jsou označená jako:

  • Připraveno: Zařízení je možné šifrovat pomocí zásad MDM, které vyžadují, aby zařízení splňovalo následující požadavky:

    Zařízení s macOS:

    • macOS verze 10.13 nebo novější

    Pro zařízení s Windows:

    • Windows 10 verze 1709 nebo novější, Business, Enterprise, Education, Windows 10 verze 1809 nebo novější verze Pro a Windows 11.
    • Zařízení musí mít čip TPM.

    Další informace o požadavcích systému Windows pro šifrování najdete v tématu Poskytovatel konfigurační služby bitlockeru (CSP) v dokumentaci k Windows.

  • Nepřipraveno: Zařízení nemá úplné možnosti šifrování, ale přesto může šifrování podporovat.

  • Nedá se použít: Pro klasifikaci tohoto zařízení není k dispozici dostatek informací.

• Stav šifrování – určuje, jestli je jednotka s operačním systémem šifrovaná.

• Hlavní název uživatele – primární uživatel zařízení.

Stav šifrování zařízení

Když vyberete zařízení ze sestavy Šifrování, Intune zobrazí podokno Stav šifrování zařízení . V tomto podokně najdete následující podrobnosti:

• Název zařízení – název zařízení, které si prohlížíte.

• Připravenost šifrování – vyhodnocení připravenosti zařízení na podporu šifrování prostřednictvím zásad MDM na základě aktivovaného čipu TPM.

  Když má zařízení s Windows 10/11 připravenost Nepřipraveno, může i nadále podporovat šifrování. Aby zařízení s Windows mohlo mít označení Ready , musí mít aktivovaný čip TPM. Čipy TPM ale nejsou potřeba k podpoře šifrování, protože zařízení je stále možné šifrovat ručně. nebo prostřednictvím nastavení MDM nebo zásad skupiny, které je možné nastavit tak, aby umožňovalo šifrování bez čipu TPM.

• Stav šifrování – určuje, jestli je jednotka s operačním systémem šifrovaná. Může trvat až 24 hodin, než Intune nahlásí stav šifrování zařízení nebo změnu stavu. Tato doba zahrnuje dobu, po kterou se má operační systém zašifrovat, a navíc čas na to, aby se zařízení ohlásilo zpět do Intune.

  Pokud chcete urychlit hlášení stavu šifrování FileVault před obvyklým ohlášením zařízení, požádejte uživatele, aby po dokončení šifrování synchronizovali svá zařízení.

  U zařízení s Windows se v tomto poli nedívá, jestli jsou jiné jednotky, například pevné jednotky, šifrované. Stav šifrování pochází z deviceStatus CSP – DeviceStatus/ Compliance/ EncryptionCompliance.

• Profily – seznam konfiguračních profilů zařízení , které se vztahují k tomuto zařízení a jsou nakonfigurované s následujícími hodnotami:

  • macOS:

    • Typ profilu = Endpoint Protection
    • Nastavení > FileVault > FileVault = Enable

  • Windows 10/11:

    • Typ profilu = Endpoint Protection
    • Nastavení > Šifrování windows > zařízení = Vyžadovat

  Pokud souhrn stavu profilu značí problémy, můžete použít seznam profilů k identifikaci jednotlivých zásad ke kontrole.

• Souhrn stavu profilu – souhrn profilů, které se vztahují k tomuto zařízení. Souhrn představuje nejméně příznivou podmínku napříč příslušnými profily. Pokud například pouze jeden z několika použitelných profilů způsobí chybu, zobrazí se v souhrnu stavu profiluchyba.

  Pokud chcete zobrazit další podrobnosti o stavu v Centru pro správu Intune, přejděte do části Zařízení>Správa konfigurace zařízení>>a vyberte profil. Volitelně můžete vybrat Stav zařízení a pak vybrat zařízení.

• Podrobnosti o stavu – upřesňující podrobnosti o stavu šifrování zařízení.

  Toto pole zobrazuje informace pro každou platnou chybu, kterou lze zjistit. Tyto informace můžete použít k pochopení, proč zařízení nemusí být připravené na šifrování.

  Tady jsou příklady podrobností o stavu, které Intune může hlásit:

  macOS:

  • Obnovovací klíč se ještě nenačetl a neuložil. S největší pravděpodobností zařízení nebylo odemknuté nebo se nepřihlásilo se změnami.

    Představte si: Tento výsledek nemusí nutně představovat chybový stav, ale dočasný stav, který může být způsobený načasováním zařízení, ve kterém musí být nastavena úschova obnovovacích klíčů před odesláním žádosti o šifrování do zařízení. Tento stav může také znamenat, že zařízení zůstává uzamčené nebo se v nedávné době nehlásilo se změnami v Intune. A konečně, protože šifrování FileVault se nespustí, dokud není zařízení připojené k elektrické síti (nabíjení), může uživatel obdržet obnovovací klíč pro zařízení, které ještě není zašifrované..

  • Uživatel odkládá šifrování nebo právě probíhá šifrování.

    Představte si: Buď se uživatel po přijetí žádosti o šifrování neodhlásil, což je nezbytné před tím, než fileVault může zařízení zašifrovat, nebo ho uživatel dešifroval ručně. Intune nemůže zabránit uživateli v dešifrování zařízení.

  • Zařízení je už zašifrované. Aby uživatel zařízení pokračoval, musí ho dešifrovat.

    Vezměte v úvahu: Intune nemůže nastavit FileVault na zařízení, které je už šifrované. Jakmile ale zařízení obdrží zásadu pro povolení FileVault, může uživatel nahrát svůj osobní obnovovací klíč, aby intune povolil správu šifrování na daném zařízení. Případně může uživatel zařízení dešifrovat ručně, aby ho pak mohl později zašifrovat pomocí zásad Intune. Nedoporučujeme ale ruční dešifrování, protože zařízení může nějakou dobu zůstat nezašifrované.

  • FileVault potřebuje, aby uživatel schválil svůj profil správy v macOS Catalina a novějších.

    Představte si: Počínaje macOS verze 10.15 (Catalina) může mít za následek požadavek, aby uživatelé ručně schválili šifrování FileVault. Další informace najdete v tématu Registrace schválená uživatelem v dokumentaci k Intune.

  • Neznámý.

    Zvažte: Jednou z možných příčin neznámého stavu je, že zařízení je uzamčené a Intune nemůže spustit proces úschovy nebo šifrování. Po odemknutí zařízení může pokračovat.

  Windows 10/11:

  U zařízení s Windows Intune zobrazuje podrobnosti o stavu jenom u zařízení, která používají aktualizaci Windows 10 z dubna 2019 nebo novější nebo Windows 11. Podrobnosti o stavu pocházejí z poskytovatele CSP nástroje BitLocker – Status/DeviceEncryptionStatus.

  • Zásady BitLockeru vyžadují souhlas uživatele se spuštěním Průvodce nástrojem BitLocker Drive Encryption, aby se spustil šifrování svazku s operačním systémem, ale uživatel s tím nesouhlasil.

  • Metoda šifrování svazku s operačním systémem neodpovídá zásadám nástroje BitLocker.

  • Zásada BitLockeru vyžaduje ochranu TPM k ochraně svazku s operačním systémem, ale čip TPM se nepoužívá.

  • Zásady bitlockeru vyžadují pro svazek operačního systému ochranu pouze pomocí čipu TPM, ale ochrana čipem TPM se nepoužívá.

  • Zásady BitLockeru vyžadují ochranu čipem TPM+ PIN kódem pro svazek operačního systému, ale ochrana čipem TPM+PIN se nepoužívá.

  • Zásady bitlockeru vyžadují ochranu svazku s operačním systémem pomocí čipu TPM+spouštěcího klíče, ale ochrana čipu TPM+spouštěcího klíče se nepoužívá.

  • Zásada BitLockeru vyžaduje pro svazek operačního systému ochranu čipem TPM+PIN+spouštěcím klíčem, ale čip TPM+PIN+ochrana spouštěcího klíče se nepoužívá.

  • Svazek operačního systému není chráněný.

    Vezměte v úvahu: Na počítači se použila zásada nástroje BitLocker pro šifrování jednotek s operačním systémem, ale šifrování se pozastavilo nebo se nedokončí pro jednotku s operačním systémem.

  • Zálohování obnovovacího klíče se nezdařilo.

    Zvažte: Zkontrolujte protokol událostí na zařízení a zjistěte, proč selhalo zálohování obnovovacího klíče. Možná budete muset spustit příkaz manage-bde , aby se obnovovací klíče pro ruční úschovu.

  • Pevná jednotka je nechráněná.

    Vezměte v úvahu: Na počítači se použila zásada nástroje BitLocker pro šifrování pevných jednotek, ale šifrování bylo pozastavené nebo se nedokončí pro pevnou jednotku.

  • Metoda šifrování pevné jednotky neodpovídá zásadám nástroje BitLocker.

  • Pokud chcete šifrovat jednotky, zásada BitLockeru vyžaduje, aby se uživatel přihlásil jako správce, nebo pokud je zařízení připojené k Microsoft Entra ID, musí být zásada AllowStandardUserEncryption nastavená na 1hodnotu .

  • Prostředí Windows Recovery Environment (WinRE) není nakonfigurované.

    Zvažte: Je potřeba spustit příkazový řádek ke konfiguraci WinRE v samostatném oddílu; protože to nebylo zjištěno. Další informace najdete v tématu Možnosti příkazového řádku REAgentC.

  • Čip TPM není pro Nástroj BitLocker dostupný, protože neexistuje, byl v registru znepřístupněný nebo je operační systém na vyměnitelné jednotce.

    Představte si: Zásada bitlockeru použitá pro toto zařízení vyžaduje čip TPM, ale na tomto zařízení nástroj BitLocker CSP zjistil, že čip TPM může být zakázaný na úrovni systému BIOS.

  • Čip TPM není připravený pro BitLocker.

    Zvažte: BitLocker CSP zjistí, že toto zařízení má dostupný čip TPM, ale možná bude potřeba čip TPM inicializovat. Zvažte spuštění inicializace inicializace čipu TPM na počítači inicializací inicializace tpm.

  • Síť není dostupná, což se vyžaduje pro zálohování obnovovacího klíče.

Export podrobností sestavy

Při prohlížení podokna Sestava šifrování můžete výběrem možnosti Exportovat vytvořit .csv soubor ke stažení podrobností sestavy. Tato sestava obsahuje základní podrobnosti z podokna Sestava šifrování a Podrobnosti o stavu šifrování zařízení pro každé zařízení, které spravujete.

Tato sestava může být použitá při identifikaci problémů skupin zařízení. Sestavu můžete například použít k identifikaci seznamu zařízení s macOS, u kterých už uživatel povolil všechna zařízení v sestavě FileVault, což označuje zařízení, která musí být ručně dešifrovaná, aby Intune mohla spravovat jejich nastavení FileVault.

Správa obnovovacích klíčů

Podrobnosti o správě obnovovacích klíčů najdete v dokumentaci k Intune:

macOS FileVault:

• Načtení osobního obnovovacího klíče
• Obměna obnovovacích klíčů
• Obnovení obnovovacích klíčů

Windows BitLocker:

• Obměna obnovovacích klíčů nástroje BitLocker

Další kroky

• Správa zásad nástroje BitLocker
• Řešení potíží se zásadami nástroje BitLocker
• Správa zásad FileVault
• Známé problémy s vynucováním zásad nástroje BitLocker v Intune