Überwachen der Geräteverschlüsselung mit Intune
Der Microsoft Intune-Verschlüsselungsbericht enthält Details zum Verschlüsselungsstatus Ihrer verwalteten Geräte sowie Optionen zum Verwalten von Wiederherstellungsschlüsseln für Geräte. Welche Wiederherstellungsschlüsseloptionen verfügbar sind, hängt vom Typ des Geräts ab, das aufgerufen wird.
Tipp
Informationen zum Konfigurieren von Intune-Richtlinien zum Verwalten der Verschlüsselung auf Geräten finden Sie unter:
Melden Sie sich beim Microsoft Intune Admin Center an, um den Bericht zu finden. Wählen Sie Geräte>Geräte> verwaltenKonfiguration aus, wählen Sie die Registerkarte Überwachen* und dann Geräteverschlüsselungsstatus aus.
Abrufen von Verschlüsselungsdetails
Der Verschlüsselungsbericht enthält allgemeine Informationen zu allen unterstützten und von Ihnen verwalteten Geräten. In den folgenden Abschnitten finden Sie Details zu den Informationen, die im Intune-Bericht enthalten sind.
Voraussetzungen
Der Verschlüsselungsbericht unterstützt die Berichterstellung auf Geräten, auf denen die folgenden Betriebssystemversionen ausgeführt werden:
- macOS 10.13 oder höher
- Windows, Version 1607 oder höher
Berichtsdetails
Im Berichtsbereich Verschlüsselung wird eine Liste der von Ihnen verwalteten Geräte mit allgemeinen Details zu diesen Geräten angezeigt. Sie können ein Gerät aus der Liste auswählen, um einen Drilldown auszuführen und weitere Details im Bereich Geräteverschlüsselungsstatus anzuzeigen.
Gerätename: der Name des Geräts.
Betriebssystem: die Geräteplattform, z. B. Windows oder macOS.
Betriebssystemversion: die Version von Windows oder macOS auf dem Gerät.
TPM-Version(gilt nur für Windows 10/11): Die Version des TPM-Chips (Trusted Platform Module), die auf dem Windows-Gerät erkannt wurde.
Weitere Informationen dazu, wie die TPM-Version abgefragt wird, finden Sie unter DeviceStatus-CSP: TPM-Spezifikation.
Verschlüsselungsbereitschaft: eine Auswertung der Bereitschaft der Geräte zur Unterstützung einer anwendbaren Verschlüsselungstechnologie wie der BitLocker- oder FileVault-Verschlüsselung. Die Geräte können die folgenden Status aufweisen:
Bereit: Das Gerät kann mithilfe einer MDM-Richtlinie (Mobile Device Management) verschlüsselt werden. Dazu muss es die folgenden Anforderungen erfüllen:
Für macOS-Geräte:
- macOS, Version 10.13 oder höher
Für Windows Geräte:
- Windows 10 Version 1709 oder höher von Business, Enterprise, Education, Windows 10 Version 1809 oder höher von Pround Windows 11.
- Das Gerät muss über einen TPM-Chip verfügen
Weitere Informationen zu den Windows-Voraussetzungen für die Verschlüsselung finden Sie in der Windows-Dokumentation unter BitLocker-Konfigurationsdienstanbieter (CSP, Configuration Service Provider) in der Windows-Dokumentation.
Nicht bereit: Das Gerät verfügt nicht über vollständige Verschlüsselungsfunktionen, kann die Verschlüsselung aber dennoch unterstützen.
Nicht anwendbar: Es stehen nicht genügend Informationen zur Verfügung, um dieses Gerät zu klassifizieren.
Verschlüsselungsstatus: Gibt an, ob das Betriebssystemlaufwerk verschlüsselt ist.
Benutzerprinzipalname: Der primäre Benutzer des Geräts.
Geräteverschlüsselungsstatus
Wenn Sie im Verschlüsselungsbericht ein Gerät auswählen, zeigt Intune den Bereich Geräteverschlüsselungsstatus an. In diesem Bereich finden Sie die folgenden Details:
Gerätename: Der Name des Geräts, das Sie sich ansehen.
Verschlüsselungsbereitschaft: eine Auswertung der Bereitschaft des Geräts zur Unterstützung der Verschlüsselung über eine MDM-Richtlinie, die auf einem aktivierten TPM-Chip basiert.
Wenn ein Windows 10/11-Gerät als Nicht bereit eingestuft wird, kann es trotzdem sein, dass die Verschlüsselung unterstützt wird. Das Windows-Gerät kann nur als Bereit eingestuft werden, wenn es über einen aktivierten TPM-Chip verfügt. TPM-Chips sind für die Unterstützung der Verschlüsselung jedoch nicht erforderlich, da das Gerät dennoch manuell verschlüsselt werden kann. Alternativ kann hierfür eine MDM-/Gruppenrichtlinieneinstellung verwendet werden, die festgelegt werden kann, um die Verschlüsselung ohne einen TPM-Chip zu ermöglichen.
Verschlüsselungsstatus: Gibt an, ob das Betriebssystemlaufwerk verschlüsselt ist. Es kann bis zu 24 Stunden dauern, bis Intune den Verschlüsselungsstatus eines Geräts oder die Änderung dieses Status meldet. Dieser Zeitraum schließt die Zeit zum Verschlüsseln des Betriebssystems und die Zeit für die Rückmeldung des Geräts an Intune ein.
Um die Meldung des FileVault-Verschlüsselungsstatus vor dem normalen Einchecken des Geräts zu beschleunigen, müssen die Benutzer ihre Geräte nach Abschluss der Verschlüsselung synchronisieren.
Bei Windows-Geräten wird in diesem Feld nicht untersucht, ob andere Laufwerke, z. B. Festplattenlaufwerke, verschlüsselt sind. Der Verschlüsselungsstatus stammt aus DeviceStatus-CSP: DeviceStatus/Compliance/EncryptionCompliance.
Profile: eine Liste von Gerätekonfigurationsprofilen, die für dieses Gerät gelten und mit den folgenden Werten konfiguriert werden:
macOS:
- Profiltyp = Endpoint Protection
- Einstellungen > FileVault > FileVault = Enable
Windows 10/11:
- Profiltyp = Endpoint Protection
- Einstellungen > Windows-Verschlüsselung > Verschlüsseln von Geräten = Erforderlich
Sie können die Profilliste verwenden, um einzelne Richtlinien für eine Überprüfung auszuwählen, sollte die Profilstatuszusammenfassung auf Probleme hindeuten.
Profilstatuszusammenfassung: Eine Zusammenfassung der Profile, die für das Gerät gelten. Die Zusammenfassung stellt die am wenigsten vorteilhafte Bedingung aller anwendbaren Profile dar. Wenn beispielsweise nur eines von mehreren anwendbaren Profilen zu einem Fehler führt, wird in der ProfilzustandszusammenfassungFehler angezeigt.
Wenn Sie weitere Details zu einem Status im Intune Admin Center anzeigen möchten, wechseln Sie zu Geräte>Geräte verwalten Konfiguration>> Wählen Sie das Profil aus. Wählen Sie optional Gerätestatus und anschließend ein Gerät aus.
Statusdetails: Erweiterte Details zum Verschlüsselungsstatus eines Geräts.
Dieses Feld zeigt Informationen zu jedem anwendbaren Fehler an, der erkannt werden kann. Mithilfe dieser Informationen verstehen Sie, warum ein Gerät möglicherweise nicht für die Verschlüsselung bereit ist.
Im Folgenden sehen Sie Beispiele für Statusdetails, die Intune melden kann:
macOS:
Der Wiederherstellungsschlüssel wurde noch nicht abgerufen und gespeichert. Höchstwahrscheinlich wurde das Gerät nicht entsperrt, oder es wurde nicht angemeldet.
Bedenken Sie: Dieses Ergebnis stellt nicht unbedingt eine Fehlerbedingung dar, sondern einen temporären Zustand, der auf dem Gerät liegen könnte, wo die Treuhandstelle für Wiederherstellungsschlüssel eingerichtet werden muss, bevor die Verschlüsselungsanforderung an das Gerät gesendet wird. Dieser Status kann auch darauf hindeuten, dass das Gerät gesperrt bleibt oder kürzlich nicht bei Intune eingecheckt wurde. Da die FileVault-Verschlüsselung erst gestartet wird, wenn ein Gerät angeschlossen (aufgeladen) ist, ist es möglich, dass ein Benutzer einen Wiederherstellungsschlüssel für ein Noch nicht verschlüsseltes Gerät erhält..
Der Benutzer verzögert die Verschlüsselung oder führt derzeit den Verschlüsselungsprozess aus.
Bedenken Sie: Entweder hat sich der Benutzer nach Dem Empfang der Verschlüsselungsanforderung noch nicht abgemeldet, was erforderlich ist, damit FileVault das Gerät verschlüsseln kann, oder der Benutzer hat das Gerät manuell entschlüsselt. Intune kann einen Benutzer nicht daran hindern, sein Gerät zu entschlüsseln.
Das Gerät ist bereits verschlüsselt. Der Gerätebenutzer muss das Gerät entschlüsseln, um weitere Schritte ausführen zu können.
Bedenken Sie: Intune kann FileVault nicht auf einem Gerät einrichten, das bereits verschlüsselt ist. Nachdem ein Gerät jedoch eine Richtlinie zum Aktivieren von FileVault empfängt, kann ein Benutzer seinen persönlichen Wiederherstellungsschlüssel hochladen, damit Intune die Verschlüsselung auf diesem Gerät verwalten kann. Alternativ kann der Benutzer sein Gerät manuell entschlüsseln, damit es zu einem späteren Zeitpunkt durch eine Intune-Richtlinie verschlüsselt werden kann. Wir empfehlen jedoch keine manuelle Entschlüsselung, da dies dazu führen kann, dass ein Gerät für eine Zeit unverschlüsselt bleiben kann.
Für FileVault muss der Benutzer sein Verwaltungsprofil in macOS Catalina und höher genehmigen.
Berücksichtigen Sie: Ab macOS Version 10.15 (Catalina) können vom Benutzer genehmigte Registrierungseinstellungen dazu führen, dass Benutzer die FileVault-Verschlüsselung manuell genehmigen müssen. Weitere Informationen finden Sie unter Vom Benutzer genehmigte Registrierung in der Intune-Dokumentation.
Unbekannt.
Bedenken Sie: Eine mögliche Ursache für einen unbekannten Status ist, dass das Gerät gesperrt ist und Intune den Treuhand- oder Verschlüsselungsprozess nicht starten kann. Nachdem das Gerät entsperrt wurde, kann der Fortschritt fortgesetzt werden..
Windows 10/11:
Für Windows-Geräte zeigt Intune Statusdetails für Geräte an, die mindestens das Windows 2019-Update vom 10. April 11 ausführen. Die Statusdetails stammen aus BitLocker-CSP: Status/DeviceEncryptionStatus.
Die BitLocker-Richtlinie erfordert eine Benutzereinwilligung, damit der BitLocker-Laufwerkverschlüsselungsassistent gestartet werden kann, um mit der Verschlüsselung des Betriebssystemvolumen zu beginnen. Der Benutzer hat jedoch nicht eingewilligt.
Die Verschlüsselungsmethode des Betriebssystemvolume stimmt nicht mit der BitLocker-Richtlinie überein.
Die BitLocker-Richtlinie erfordert eine TPM-Schutzvorrichtung, damit das Betriebssystemvolume geschützt wird; es wird jedoch kein TPM verwendet.
Die BitLocker-Richtlinie erfordert eine reine TPM-Schutzvorrichtung für das Betriebssystemvolume, aber es wird kein TPM-Schutz verwendet.
Die BitLocker-Richtlinie erfordert einen TPM+PIN-Schutz für das Betriebssystemvolume, aber es wird keine TPM+PIN-Schutzvorrichtung verwendet.
Die BitLocker-Richtlinie erfordert einen TPM+Systemstartschlüssel-Schutz für das Betriebssystemvolume, aber es wird keine TPM+Systemstartschlüssel-Schutzvorrichtung verwendet.
Die BitLocker-Richtlinie erfordert einen TPM+PIN+Systemstartschlüssel-Schutz für das Betriebssystemvolume, aber es wird keine TPM+PIN+Systemstartschlüssel-Schutzvorrichtung verwendet.
Das Betriebssystemvolume ist nicht geschützt.
Bedenken Sie: Eine BitLocker-Richtlinie zum Verschlüsseln von Betriebssystemlaufwerken wurde auf den Computer angewendet, aber die Verschlüsselung wurde für das Betriebssystemlaufwerk angehalten oder nicht abgeschlossen.
Die Sicherung des Wiederherstellungsschlüssel ist fehlgeschlagen.
Berücksichtigen Sie: Überprüfen Sie das Ereignisprotokoll auf dem Gerät, um zu ermitteln, warum die Sicherung des Wiederherstellungsschlüssels fehlgeschlagen ist. Möglicherweise müssen Sie den Befehl manage-bde ausführen, um Wiederherstellungsschlüssel manuell zu verwalten.
Ein Festplattenlaufwerk ist nicht geschützt.
Beachten Sie: Eine BitLocker-Richtlinie zum Verschlüsseln von Festplattenlaufwerken wurde auf dem Computer angewendet, aber die Verschlüsselung wurde für das Festplattenlaufwerk angehalten oder nicht abgeschlossen.
Die Verschlüsselungsmethode des Festplattenlaufwerks stimmt nicht mit der BitLocker-Richtlinie überein.
Zum Verschlüsseln von Laufwerken erfordert die BitLocker-Richtlinie, dass sich der Benutzer entweder als Administrator anmeldet, oder, wenn das Gerät mit microsoft Entra ID verknüpft ist, muss die AllowStandardUserEncryption-Richtlinie auf
1
festgelegt werden.Die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, WinRE) ist nicht konfiguriert.
Berücksichtigen Sie: Sie müssen die Befehlszeile ausführen, um winRE auf einer separaten Partition zu konfigurieren. da dies nicht erkannt wurde. Weitere Informationen finden Sie unter REAgentC-Befehlszeilenoptionen.
Für BitLocker steht kein TPM zur Verfügung – entweder, weil keines vorhanden ist, es in der Registrierung nicht mehr zur Verfügung steht, oder weil sich das Betriebssystem auf einem Laufwerk befindet, das entfernt werden kann.
Berücksichtigen Sie: Die auf dieses Gerät angewendete BitLocker-Richtlinie erfordert ein TPM, jedoch hat der BitLocker-CSP auf diesem Gerät ermittelt, dass das TPM möglicherweise auf BIOS-Ebene deaktiviert wurde.
Das TMP ist nicht bereit für BitLocker.
Berücksichtigen Sie: Der BitLocker-CSP erkennt, dass dieses Gerät über ein verfügbares TPM verfügt, aber das TPM muss möglicherweise initialisiert werden. Erwägen Sie die Ausführung von intialize-tpm auf dem Computer, um das TPM zu initialisieren.
Das Netzwerk ist nicht verfügbar. Dies ist aber eine Voraussetzung zur Sicherung des Wiederherstellungsschlüssels.
Exportieren von Berichtsdetails
Wenn Sie den Bereich „Verschlüsselungsbericht“ anzeigen, können Sie auf Exportieren klicken, um die Berichtsdetails in einer CSV-Datei herunterzuladen. Dieser Bericht enthält allgemeine Informationen zum Bereich Verschlüsselungsbericht und Details zum Geräteverschlüsselungsstatus der einzelnen Geräte, die Sie verwalten.
Dieser Bericht kann bei der Identifizierung von Problemen von Gerätegruppen verwendet werden. Beispielsweise können Sie den Bericht verwenden, um eine Liste der macOS-Geräte zu erstellen, für die der Benutzer bereits FileVault aktiviert hat. So können die Geräte ermittelt werden, die manuell entschlüsselt werden müssen, damit Intune deren FileVault-Einstellungen verwalten kann.
Verwalten von Wiederherstellungsschlüsseln
Ausführliche Informationen zum Verwalten von Wiederherstellungsschlüsseln finden Sie in den folgenden Intune-Dokumentationen:
macOS FileVault:
- Abrufen persönlicher Wiederherstellungsschlüssel
- Rotieren von Wiederherstellungsschlüsseln
- Wiederherstellen von Wiederherstellungsschlüsseln
Windows BitLocker: