Monitorare la crittografia dei dispositivi con Intune

Il report di crittografia Microsoft Intune è una posizione centralizzata per visualizzare i dettagli sullo stato di crittografia di un dispositivo e trovare le opzioni per gestire le chiavi di ripristino del dispositivo. Le opzioni delle chiavi di ripristino disponibili dipendono dal tipo di dispositivo visualizzato.

Consiglio

Per configurare i criteri di Intune per gestire la crittografia nei dispositivi, vedere:

• Gestire i criteri di BitLocker
• Gestire i criteri di FileVault

Per trovare il report, accedere all'interfaccia di amministrazione Microsoft Intune. SelezionareConfigurazionedispositivi>, selezionare la scheda Monitoraggio* e quindi selezionare Stato crittografia del dispositivo.

Visualizzare i dettagli della crittografia

Il report di crittografia mostra i dettagli comuni nei dispositivi supportati gestiti. Nelle sezioni seguenti vengono fornite informazioni dettagliate sulle informazioni presentate da Intune nel report.

Prerequisiti

Il report di crittografia supporta la creazione di report nei dispositivi che eseguono le versioni del sistema operativo seguenti:

• macOS 10.13 o versione successiva
• Windows versione 1607 o successiva

Dettagli report

Nel riquadro del report Crittografia viene visualizzato un elenco dei dispositivi gestiti con dettagli di alto livello su tali dispositivi. È possibile selezionare un dispositivo dall'elenco per eseguire il drill-in e visualizzare altri dettagli dal riquadro Stato crittografia dispositivi.

• Nome dispositivo : nome del dispositivo.

• Sistema operativo : piattaforma del dispositivo, ad esempio Windows o macOS.

• Versione del sistema operativo : versione di Windows o macOS nel dispositivo.

• Versione TPM(si applica solo a Windows 10/11): versione del chip TPM (Trusted Platform Module) rilevato nel dispositivo Windows.

  Per altre informazioni su come eseguire query sulla versione di TPM, vedere DeviceStatus CSP - Specifica TPM.

• Conformità alla crittografia : valutazione della disponibilità dei dispositivi per supportare una tecnologia di crittografia applicabile, ad esempio la crittografia BitLocker o FileVault. I dispositivi sono identificati come:

  • Pronto: il dispositivo può essere crittografato usando i criteri MDM, che richiedono che il dispositivo soddisfi i requisiti seguenti:

    Per i dispositivi macOS:

    • macOS versione 10.13 o successiva

    Per i dispositivi Windows:

    • Windows 10 versione 1709 o successiva di Business, Enterprise, Education, Windows 10 versione 1809 o successiva di Pro e Windows 11.
    • Il dispositivo deve avere un chip TPM

    Per altre informazioni sui prerequisiti di Windows per la crittografia, vedere il provider di servizi di configurazione BitLocker (CSP) nella documentazione di Windows.

  • Non pronto: il dispositivo non dispone di funzionalità di crittografia complete, ma può comunque supportare la crittografia.

  • Non applicabile: non sono disponibili informazioni sufficienti per classificare il dispositivo.

• Stato della crittografia : indica se l'unità del sistema operativo è crittografata.

• Nome entità utente : utente primario del dispositivo.

Stato della crittografia del dispositivo

Quando si seleziona un dispositivo dal report Crittografia, Intune visualizza il riquadro Stato crittografia del dispositivo. Questo riquadro fornisce i dettagli seguenti:

• Nome del dispositivo: nome del dispositivo visualizzato.

• Conformità alla crittografia : valutazione dell'idoneità del dispositivo a supportare la crittografia tramite i criteri MDM basati su un TPM attivato.

  Quando un dispositivo Windows 10/11 non è pronto, potrebbe comunque supportare la crittografia. Per avere la designazione Ready , il dispositivo Windows deve avere un chip TPM attivato. Tuttavia, i chip TPM non sono necessari per supportare la crittografia, perché il dispositivo può comunque essere crittografato manualmente. o tramite un'impostazione MDM/Criteri di gruppo che può essere impostata per consentire la crittografia senza un TPM.

• Stato della crittografia : indica se l'unità del sistema operativo è crittografata. In Intune può richiedere fino a 24 ore per segnalare lo stato di crittografia di un dispositivo o una modifica a tale stato. Questa volta include il tempo necessario per la crittografia del sistema operativo, oltre al tempo necessario per il report del dispositivo a Intune.This time includes time for the OS to encrypt, plus time for the device to report back to Intune.

  Per velocizzare la segnalazione dello stato di crittografia FileVault prima che si verifichi normalmente l'archiviazione del dispositivo, fare in modo che gli utenti sincronizzino i dispositivi al termine della crittografia.

  Per i dispositivi Windows, questo campo non esamina se altre unità, ad esempio le unità fisse, sono crittografate. Lo stato di crittografia proviene da DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance.

• Profili : elenco dei profili di configurazione del dispositivo che si applicano al dispositivo e sono configurati con i valori seguenti:

  • Macos:

    • Tipo di profilo = Endpoint Protection
    • Impostazioni > FileVault > FileVault = Abilita

  • Windows 10/11:

    • Tipo di profilo = Endpoint Protection
    • Impostazioni > Crittografia > Di Windows Crittografa dispositivi = Richiedi

  È possibile usare l'elenco dei profili per identificare i singoli criteri da esaminare se il riepilogo dello stato del profilo indica problemi.

• Riepilogo dello stato del profilo : riepilogo dei profili applicabili al dispositivo. Il riepilogo rappresenta la condizione meno favorevole tra i profili applicabili. Ad esempio, se un solo profilo su più profili applicabile genera un errore, il riepilogo dello stato del profilo visualizza Errore.

  Per visualizzare altri dettagli su uno stato nell'interfaccia di amministrazione di Intune, passare aConfigurazione>dispositivi> selezionare il profilo. Facoltativamente, selezionare Stato dispositivo e quindi selezionare un dispositivo.

• Dettagli sullo stato : dettagli avanzati sullo stato di crittografia del dispositivo.

  Questo campo visualizza le informazioni per ogni errore applicabile che può essere rilevato. È possibile usare queste informazioni per comprendere perché un dispositivo potrebbe non essere pronto per la crittografia.

  Di seguito sono riportati alcuni esempi dei dettagli sullo stato che Intune può segnalare:

  macOS:

  • La chiave di ripristino non è ancora stata recuperata e archiviata. Molto probabilmente, il dispositivo non è stato sbloccato o non è stato archiviato.

    Considera: questo risultato non rappresenta necessariamente una condizione di errore, ma uno stato temporaneo che potrebbe essere dovuto alla tempistica nel dispositivo in cui è necessario configurare il deposito per le chiavi di ripristino prima che la richiesta di crittografia venga inviata al dispositivo. Questo stato potrebbe anche indicare che il dispositivo rimane bloccato o non è stato archiviato con Intune di recente. Infine, poiché la crittografia FileVault non viene avviata fino a quando un dispositivo non è collegato (ricarica), è possibile che un utente riceva una chiave di ripristino per un dispositivo che non è ancora crittografato.

  • L'utente sta posticipando la crittografia o è attualmente in fase di crittografia.

    Considera: l'utente non si è ancora disconnesso dopo aver ricevuto la richiesta di crittografia, necessaria prima che FileVault possa crittografare il dispositivo oppure l'utente abbia decrittografato manualmente il dispositivo. Intune non può impedire a un utente di decrittografare il dispositivo.

  • Il dispositivo è già crittografato. L'utente del dispositivo deve decrittografare il dispositivo per continuare.

    Considera: Intune non può configurare FileVault in un dispositivo già crittografato. Tuttavia, dopo che un dispositivo riceve i criteri per abilitare FileVault, un utente può caricare la chiave di ripristino personale per consentire a Intune di gestire la crittografia nel dispositivo. In alternativa, l'utente può decrittografare manualmente il dispositivo in modo che possa essere crittografato dai criteri di Intune in un secondo momento. Tuttavia, non è consigliabile decrittografia manuale in quanto in questo modo può lasciare un dispositivo non crittografato per un certo periodo di tempo.

  • FileVault richiede all'utente di approvare il profilo di gestione in macOS Catalina e versioni successive.

    Considerare: a partire da macOS versione 10.15 (Catalina), le impostazioni di registrazione approvate dall'utente possono comportare il requisito che gli utenti approvano manualmente la crittografia FileVault. Per altre informazioni, vedere Registrazione approvata dall'utente nella documentazione di Intune.

  • Sconosciuto.

    Considera: una possibile causa di uno stato sconosciuto è che il dispositivo è bloccato e Intune non può avviare il deposito o il processo di crittografia. Dopo lo sblocco del dispositivo, lo stato di avanzamento può continuare.

  Windows 10/11:

  Per i dispositivi Windows, Intune mostra solo i dettagli sullo stato per i dispositivi che eseguono l'aggiornamento Windows 10 aprile 2019 o versioni successive o Windows 11. I dettagli sullo stato provengono da BitLocker CSP - Status/DeviceEncryptionStatus.

  • I criteri di BitLocker richiedono il consenso dell'utente per avviare la Crittografia guidata unità BitLocker per avviare la crittografia del volume del sistema operativo, ma l'utente non ha concesso il consenso.

  • Il metodo di crittografia del volume del sistema operativo non corrisponde ai criteri di BitLocker.

  • Il criterio BitLocker richiede una protezione TPM per proteggere il volume del sistema operativo, ma non viene usato un TPM.

  • I criteri di BitLocker richiedono una protezione solo TPM per il volume del sistema operativo, ma la protezione TPM non viene usata.

  • I criteri di BitLocker richiedono la protezione TPM+PIN per il volume del sistema operativo, ma non viene usata una protezione TPM+PIN.

  • I criteri di BitLocker richiedono la protezione della chiave di avvio TPM+per il volume del sistema operativo, ma non viene usata una protezione TPM+chiave di avvio.

  • Il criterio BitLocker richiede la protezione TPM+PIN+chiave di avvio per il volume del sistema operativo, ma non viene usata una protezione TPM+PIN+chiave di avvio.

  • Il volume del sistema operativo non è protetto.

    Si consideri: nel computer è stato applicato un criterio BitLocker per crittografare le unità del sistema operativo, ma la crittografia è stata sospesa o non è stata completata per l'unità del sistema operativo.

  • Backup della chiave di ripristino non riuscito.

    Considera: controllare il registro eventi nel dispositivo per verificare il motivo per cui il backup della chiave di ripristino non è riuscito. Potrebbe essere necessario eseguire il comando manage-bde per compilare manualmente le chiavi di ripristino.

  • Un'unità fissa non è protetta.

    Si consideri: nel computer è stato applicato un criterio BitLocker per crittografare le unità fisse, ma la crittografia è stata sospesa o non è stata completata per l'unità fissa.

  • Il metodo di crittografia dell'unità fissa non corrisponde ai criteri di BitLocker.

  • Per crittografare le unità, i criteri di BitLocker richiedono all'utente di accedere come amministratore oppure, se il dispositivo è aggiunto a Microsoft Entra ID, il criterio AllowStandardUserEncryption deve essere impostato su 1.

  • Windows Recovery Environment (WinRE) non è configurato.

    Considerare: è necessario eseguire la riga di comando per configurare WinRE in una partizione separata; perché non è stato rilevato. Per altre informazioni, vedere Opzioni della riga di comando REAgentC.

  • Un TPM non è disponibile per BitLocker, perché non è presente, è stato reso non disponibile nel Registro di sistema o il sistema operativo si trova in un'unità rimovibile.

    Considerare: il criterio BitLocker applicato a questo dispositivo richiede un TPM, ma in questo dispositivo il CSP BitLocker ha rilevato che il TPM può essere disabilitato a livello di BIOS.

  • Il TPM non è pronto per BitLocker.

    Considerare: il provider di servizi di configurazione BitLocker rileva che il dispositivo dispone di un TPM disponibile, ma potrebbe essere necessario inizializzare il TPM. Prendere in considerazione l'esecuzione di intialize-tpm nel computer per inizializzare il TPM.

  • La rete non è disponibile, necessaria per il backup della chiave di ripristino.

Esportare i dettagli del report

Durante la visualizzazione del riquadro Del report di crittografia, è possibile selezionare Esporta per creare un file di download.csv dei dettagli del report. Questo report include i dettagli generali del riquadro del report Crittografia e i dettagli sullo stato di crittografia del dispositivo per ogni dispositivo gestito.

Questo report può essere usato per identificare i problemi per i gruppi di dispositivi. Ad esempio, è possibile usare il report per identificare un elenco di dispositivi macOS che tutti i report FileVault sono già abilitati dall'utente, che indica i dispositivi che devono essere decrittografati manualmente prima che Intune possa gestire le impostazioni FileVault.

Gestire le chiavi di ripristino

Per informazioni dettagliate sulla gestione delle chiavi di ripristino, vedere quanto segue nella documentazione di Intune:

MacOS FileVault:

• Recuperare la chiave di ripristino personale
• Ruotare le chiavi di ripristino
• Ripristinare le chiavi di ripristino

BitLocker di Windows:

• Ruotare le chiavi di ripristino di BitLocker

Passaggi successivi

• Gestire i criteri di BitLocker
• Risoluzione dei problemi relativi ai criteri di BitLocker
• Gestire i criteri di FileVault
• Problemi noti relativi all'applicazione dei criteri di BitLocker con Intune