Encriptação do dispositivo monitor com Intune
O Microsoft Intune relatório de encriptação é um local centralizado para ver detalhes sobre o estado de encriptação de um dispositivo e encontrar opções para gerir as chaves de recuperação do dispositivo. As opções-chave de recuperação disponíveis dependem do tipo de dispositivo que está a visualizar.
Para encontrar o relatório, inscreva-se no centro de administração Microsoft Endpoint Manager. Selecione Monitor de Dispositivos > e, em seguida, em Configuração, selecione relatório de encriptação.
Ver detalhes de encriptação
O relatório de encriptação mostra detalhes comuns em todos os dispositivos suportados que gere. As secções seguintes fornecem detalhes sobre as informações que a Intune apresenta no relatório.
Pré-requisitos
O relatório de encriptação suporta relatórios em dispositivos que executam as seguintes versões do sistema operativo:
- macOS 10.13 ou mais tarde
- Windows versão 1607 ou mais tarde
Detalhes do relatório
O painel de relatório de encriptação apresenta uma lista dos dispositivos que gere com detalhes de alto nível sobre esses dispositivos. Pode selecionar um dispositivo da lista para perfurar e visualizar detalhes adicionais do painel de estado de encriptação do dispositivo.
Nome do dispositivo - O nome do dispositivo.
OS – A plataforma do dispositivo, como Windows ou macOS.
Versão OS – A versão de Windows ou macOS no dispositivo.
Versão TPM (aplica-se apenas a Windows 10) – A versão do chip Dedeseir (TPM) do Módulo de Plataforma Fidedigna (TPM) detetada no dispositivo Windows 10.
Para obter mais informações sobre como consultamos a versão TPM, consulte DeviceStatus CSP - TPM Specification.
Prontidão de encriptação – Uma avaliação da prontidão dos dispositivos para suportar uma tecnologia de encriptação aplicável, como a encriptação BitLocker ou FileVault. Os dispositivos são identificados como:
Pronto: O dispositivo pode ser encriptado utilizando a política MDM, que requer que o dispositivo cumpra os seguintes requisitos:
Para dispositivos macOS:
- macOS versão 10.13 ou mais tarde
Para dispositivos Windows 10:
- Versão 1709 ou posterior, de Negócios, Empresa, Educação, ou versão 1809 ou posterior de Pro
- O dispositivo deve ter um chip TPM
Para obter mais informações sobre Windows pré-requisitos para encriptação, consulte o fornecedor de serviços de configuração BitLocker (CSP) na documentação Windows.
Não está pronto: O dispositivo não tem capacidades de encriptação completas, mas ainda pode suportar encriptação.
Não aplicável: Não há informação suficiente para classificar este dispositivo.
Estado de encriptação - Se a unidade de SO está encriptada.
Nome principal do utilizador - O utilizador principal do dispositivo.
Estado de encriptação do dispositivo
Quando seleciona um dispositivo a partir do relatório de encriptação, o Intune exibe o painel de estado de encriptação do dispositivo. Este painel fornece os seguintes detalhes:
Nome do dispositivo - O nome do dispositivo que está a visualizar.
Prontidão de encriptação - Uma avaliação da prontidão do dispositivo para suportar a encriptação através da política do MDM com base num TPM ativado.
Quando um dispositivo Windows 10 tem uma prontidão de Não estar pronto, ainda pode suportar a encriptação. Para ter a designação Ready, o dispositivo Windows 10 deve ter um chip TPM ativado. No entanto, os chips TPM não são necessários para suportar a encriptação, uma vez que o dispositivo ainda pode ser encriptado manualmente. ou através de uma definição de Política de Grupo/MDM que pode ser definida para permitir a encriptação sem um TPM.
Estado de encriptação - Se a unidade de SO está encriptada. Pode levar até 24 horas para o Intune reportar sobre o estado de encriptação de um dispositivo ou uma alteração a esse estado. Este tempo inclui tempo para o SO encriptar, mais tempo para o dispositivo reportar de volta ao Intune.
Para acelerar a comunicação do estado de encriptação Do FileVault antes do check-in do dispositivo ocorrer normalmente, os utilizadores sincronizam os seus dispositivos após a conclusão da encriptação.
Para Windows dispositivos, este campo não analisa se outras unidades, como unidades fixas, estão encriptadas. O estado de encriptação provém do DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance.
Perfis – Uma lista dos perfis de configuração do Dispositivo que se aplicam a este dispositivo e que estão configurados com os seguintes valores:
macOS:
- Tipo de perfil = Proteção de ponto final
- Definições > FileVault > FileVault = Ativar
Windows 10:
- Tipo de perfil = Proteção de ponto final
- Definições > Windows Encriptação > Dispositivos encriptadores = Exigir
Pode utilizar a lista de perfis para identificar políticas individuais para revisão caso o resumo do estado do perfil indique problemas.
Resumo do estado do perfil – Um resumo dos perfis que se aplicam a este dispositivo. O resumo representa a condição menos favorável entre os perfis aplicáveis. Por exemplo, se apenas um de vários perfis aplicáveis resultar num erro, o resumo do estado do perfil apresentará Error.
Para ver mais detalhes de um estado, vá aos Perfis de configuração do Dispositivo Intune > > e selecione o perfil. Opcionalmente, selecione o estado do dispositivo e, em seguida, selecione um dispositivo.
Detalhes do estado - Detalhes avançados sobre o estado de encriptação do dispositivo.
Este campo apresenta informações para cada erro aplicável que possa ser detetado. Pode utilizar esta informação para entender por que razão um dispositivo pode não estar pronto para encriptar.
Seguem-se exemplos dos detalhes do estado que a Intune pode reportar:
macOS:
A chave de recuperação ainda não foi recuperada e armazenada. Provavelmente, o dispositivo não foi desbloqueado, ou ainda não fez o check-in.
Considere: Este resultado não representa necessariamente uma condição de erro, mas um estado temporário que pode ser devido ao tempo de tempo no dispositivo onde as chaves de recuperação devem ser configuradas antes do pedido de encriptação ser enviado para o dispositivo. Este estado também pode indicar que o dispositivo permanece bloqueado ou não fez o check-in com o Intune recentemente. Finalmente, como a encriptação FileVault não começa até que um dispositivo esteja ligado (carregamento), é possível que um utilizador receba uma chave de recuperação para um dispositivo que ainda não está encriptado.
O utilizador está a adiar a encriptação ou está atualmente em processo de encriptação.
Considere: Ou o utilizador ainda não fez sessão depois de receber o pedido de encriptação, o que é necessário antes de o FileVault poder encriptar o dispositivo, ou o utilizador ter desencriptado manualmente o dispositivo. A Intune não pode impedir um utilizador de desencriptar o seu dispositivo.
O dispositivo já está encriptado. O utilizador do dispositivo deve desencriptar o dispositivo para continuar.
Considere: O Intune não pode configurar o FileVault num dispositivo que já está encriptado. No entanto, depois de um dispositivo receber uma política para ativar o FileVault, um utilizador pode carregar a sua chave de recuperação pessoal para permitir ao Intune gerir a encriptação nesse dispositivo. Alternadamente, mas não recomendado, uma vez que o seguinte pode deixar um dispositivo desencriptado por um tempo, o utilizador pode desencriptar manualmente o seu dispositivo antes de poder ser encriptado pela política do Intune.
O FileVault precisa que o utilizador aprove o seu perfil de gestão no macOS Catalina e mais alto.
Considere: A partir da versão 10.15 (Catalina) do macOS, as definições de inscrição aprovadas pelo utilizador podem resultar na exigência de que os utilizadores aprovem manualmente a encriptação FileVault. Para mais informações, consulte a inscrição aprovada pelo Utilizador na documentação Intune.
Desconhecido.
Considere: Uma possível causa para um estado desconhecido é que o dispositivo está bloqueado e o Intune não pode iniciar o processo de caução ou encriptação. Depois de desbloqueado o dispositivo, o progresso pode continuar.
Windows 10:
Para Windows 10 dispositivos, o Intune apenas mostra detalhes de Estado para dispositivos que executam a Windows 10 atualização de abril de 2019 ou posterior. Os detalhes do estado estão vindo do BitLocker CSP - Status/DeviceEncryptionStatus.
A política bitLocker requer o consentimento do utilizador para lançar o Assistente de Encriptação BitLocker Drive para iniciar a encriptação do volume de SO, mas o utilizador não consentiu.
O método de encriptação do volume de SO não corresponde à política bitLocker.
A apólice BitLocker requer um protetor TPM para proteger o volume de SO, mas um TPM não é usado.
A política BitLocker requer um protetor apenas de TPM para o volume de SO, mas a proteção TPM não é utilizada.
A política BitLocker requer proteção TPM+PIN para o volume de SO, mas não é utilizado um protetor TPM+PIN.
A política BitLocker requer proteção da chave de arranque TPM+para o volume de SO, mas não é utilizado um protetor de chave de arranque TPM+.
A política BitLocker requer proteção da chave de arranque TPM+PIN+para o volume de SISTEMA, mas não é utilizado um protetor de teclas TPM+PIN+.
O volume de SO está desprotegido.
Considere: Uma política bitLocker para encriptar unidades de OS foi aplicada na máquina, mas a encriptação foi suspensa ou não completa para a unidade de SO.
A chave de recuperação falhou.
Considere: Verifique o início do registo do evento no dispositivo para ver por que a cópia de segurança da chave de recuperação falhou. Pode ser necessário executar o comando manage-bde para obter chaves de recuperação manualmente.
Uma unidade fixa está desprotegida.
Considere: Uma política bitLocker para encriptar unidades fixas foi aplicada na máquina, mas a encriptação foi suspensa ou não completa para a unidade fixa.
O método de encriptação da unidade fixa não corresponde à política do BitLocker.
Para encriptar as unidades, a política bitLocker requer que o utilizador entre como Administrador ou, se o dispositivo estiver associado ao Azure AD, a política allowStandardUserEncryption deve ser definida como 1.
Windows O Ambiente de Recuperação (WinRE) não está configurado.
Considere: Necessidade de executar a linha de comando para configurar o WinRE em divisórias separadas; uma vez que não foi detetado. Para obter mais informações, consulte as opções de linha de comando REAgentC.
Um TPM não está disponível para BitLocker, seja porque não está presente, foi disponibilizado indisponível no Registo, ou o SO está numa unidade amovível.
Considere: A política bitLocker aplicada a este dispositivo requer um TPM, mas neste dispositivo, o CSP BitLocker detetou que o TPM pode ser desativado ao nível de BIOS.
O TPM não está pronto para o BitLocker.
Considere: O BitLocker CSP vê que este dispositivo tem um TPM disponível, mas o TPM pode ter de ser inicializado. Considere executar intializar-tpm na máquina para inicializar o TPM.
A rede não está disponível, o que é necessário para a cópia de segurança da chave de recuperação.
Detalhes do relatório de exportação
Ao visualizar o painel de relatório de encriptação, pode selecionar Export para criar um .csv descarregar os dados do relatório. Este relatório inclui os detalhes de alto nível do painel de relatório de encriptação e detalhes do estado de encriptação do dispositivo para cada dispositivo que gere.
Este relatório pode ser útil na identificação de problemas para grupos de dispositivos. Por exemplo, pode utilizar o relatório para identificar uma lista de dispositivos macOS que todos os relatórios FileVault já estão ativados pelo utilizador, o que indica dispositivos que devem ser desencriptados manualmente antes que o Intune possa gerir as suas definições de FileVault.
Gerir chaves de recuperação
Para obter detalhes sobre a gestão das chaves de recuperação, consulte o seguinte na documentação Intune:
macOS FileVault:
- Recuperar a chave de recuperação pessoal
- Rode teclas de recuperação rotativas
- Recuperar chaves de recuperação
Windows 10 BitLocker: