通过

使用 Intune 监视设备加密

  • 项目

Microsoft Intune 加密报告是一个集中位置,可便于查看设备加密状态的详细信息,并查找设备恢复密钥的管理选项。 可用的恢复密钥选项取决于要查看的设备类型。

提示

若要配置 Intune 策略以管理设备上的加密,请参阅:

若要查找报表,请登录到 Microsoft Intune 管理中心。 选择“ 设备>配置”,选择“ 监视器”*选项卡,然后选择“ 设备加密状态”。

查看加密详细信息

加密报表显示你管理的受支持设备的常见详细信息。 以下各部分提供有关 Intune 在报表中显示的信息的详细信息。

先决条件

加密报表支持在运行以下操作系统版本的设备上进行报告:

  • macOS 10.13 或更高版本
  • Windows 版本 1607 或更高版本

报告详细信息

“加密报告”窗格显示你管理的设备列表,其中包含有关这些设备的概要详细信息。 可以从列表中选择设备以深入查看设备“设备加密状态”窗格中的其他详细信息。

  • 设备名称 - 设备的名称。

  • OS - 设备平台(如 Windows 或 macOS)。

  • OS 版本 - 设备上安装的 Windows 或 macOS 版本。

  • TPM 版本 (仅适用于 Windows 10/11) - 在 Windows 设备上检测到的受信任的平台模块 (TPM) 芯片的版本。

    有关我们如何查询 TPM 版本的详细信息,请参阅 DeviceStatus CSP - TPM 规范

  • 加密就绪情况 - 评估设备是否准备好支持适用的加密技术(如 BitLocker 或 FileVault 加密)。 设备标识为:

    • 就绪:可以使用 MDM 策略对设备进行加密,前提是设备满足以下要求:

      对于 macOS 设备

      • macOS 版本 10.13 或更高版本

      对于 Windows 设备

      • Windows 10 版本 1709 或更高版本(商业版企业版教育版)、Windows 10 版本 1809 或更高版本(专业版)和 Windows 11。
      • 设备必须安装有 TPM 芯片

      有关 Windows 加密先决条件的详细信息,请参阅 Windows 文档中的 BitLocker 配置服务提供商 (CSP)

    • 未就绪:设备不具有完备的加密功能,但仍支持加密。

    • 不适用:用于对此设备进行分类的信息不足。

  • 加密状态 – OS 驱动器是否加密。

  • 用户主体名称 - 设备的主要用户。

设备加密状态

从加密报表选择设备时,Intune 会显示“设备加密状态”窗格。 此窗格提供以下详细信息:

  • 设备名称 – 所查看设备的名称。

  • 加密就绪情况 - 根据激活的 TPM 通过 MDM 策略评估设备是否准备好支持加密。

    如果 Windows 10/11 设备的就绪情况为“未就绪”,它可能仍支持加密。 要指定就绪,Windows 设备必须有激活的 TPM 芯片。 但是,TPM 芯片不是支持加密所必须满足的条件,因为设备仍可进行手动加密。 或通过可设置为允许在没有 TPM 的情况下加密的 MDM/组策略设置。

  • 加密状态 - OS 驱动器是否加密。 Intune 最多可能需要 24 小时才能开始报告设备加密状态或对该状态所做的更改。 此时间包括 OS 加密的时间,以及设备报告回 Intune 的时间。

    为了在设备正常签入前加快 FileVault 加密状态的报告速度,请让用户在加密完成后同步自己的设备。

    对于 Windows 设备,此字段不会查看其他驱动器(如固定驱动器)是否已加密。 加密状态来自 DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

  • 配置文件 - 适用于此设备且配置了以下值的“设备配置”配置文件列表:

    • macOS:

      • 配置文件类型 = 终结点保护
      • 设置 > FileVault > FileVault = 启用

    • Windows 10/11:

      • 配置文件类型 = 终结点保护
      • 设置 > Windows 加密 > 加密设备 = 需要

    如果配置文件状态摘要表明存在问题,则可使用配置文件列表来确定要查看的所有策略。

  • 配置文件状态摘要 – 适用于此设备的配置文件摘要。 摘要表示适用配置文件中的最不利条件。 例如,如果几个适用的配置文件中只有一个导致错误, 则配置文件状态摘要 将显示 “错误”。

    若要在 Intune 管理中心中查看状态的更多详细信息,请转到 “设备>配置”> ,选择配置文件。 (可选)依次选择“设备状态”和设备。

  • 状态详细信息 - 关于设备加密状态的高级详细信息。

    此字段显示可检测到的每个适用错误的信息。 使用此信息可了解设备加密未准备就绪的原因。

    Intune 可能报告的状态详细信息示例如下:

    macOS

    • 尚未检索和存储恢复密钥。 最有可能是因为设备尚未解锁或签入。

      请考虑:此结果不一定表示错误条件,而是临时状态,这可能是由于设备上计时,在将加密请求发送到设备之前,必须设置恢复密钥的托管。 此状态可能还表示设备保持锁定状态或最近未使用 Intune 签入。 最后,由于 FileVault 加密在设备接通电源后才会启动, (充电) ,因此用户可能会收到尚未加密设备的恢复密钥.

    • 用户正在延迟加密,或当前正在加密。

      请考虑:用户收到加密请求后尚未注销,这是 FileVault 加密设备之前所必需的,或者用户已手动解密设备。 Intune 无法阻止用户解密其设备。

    • 设备已加密。 设备用户必须解密设备才能继续操作。

      请注意:Intune 无法在已加密的设备上设置 FileVault。 但是,在设备收到启用 FileVault 的策略后,用户可以 上传其个人恢复密钥以启用 Intune,然后管理该设备上的加密。 或者,用户可以手动解密其设备,以便稍后可以通过 Intune 策略对其进行加密。 但是,我们不建议手动解密,因为这样做可能会使设备在一段时间内处于未加密状态。

    • FileVault 需要用户在 macOS Catalina 及更高版本中批准其管理配置文件。

      请考虑:从 macOS 版本 10.15 (Catalina) 开始,用户批准的注册设置可能会导致要求用户手动批准 FileVault 加密。 有关详细信息,请参阅 Intune 文档中 的用户已批准注册

    • 未知。

      考虑:未知状态的一个可能原因是设备已锁定,Intune 无法启动托管或加密过程。 解锁设备后,进度可以继续.

    Windows 10/11

    对于 Windows 设备,Intune 仅显示运行 Windows 10 2019 年 4 月更新或更高版本或 Windows 11 的设备的状态详细信息状态详细信息来自 BitLocker CSP - Status/DeviceEncryptionStatus

    • BitLocker 策略需要用户同意启动 BitLocker 驱动器加密向导以开始加密 OS 卷,但用户未同意。

    • OS 卷的加密方法与 BitLocker 策略不匹配。

    • BitLocker 策略需要 TPM 保护程序保护 OS 卷,但未使用 TPM。

    • BitLocker 策略需要只有 TPM 的保护程序保护 OS 卷,但未使用 TPM 保护。

    • BitLocker 策略需要对 OS 卷使用 TPM+PIN 保护,但未使用 TPM+PIN 保护程序。

    • BitLocker 策略需要对 OS 卷使用 TPM+启动密钥保护,但未使用 TPM+启动密钥保护程序。

    • BitLocker 策略需要对 OS 卷使用 TPM+PIN+启动密钥保护,但未使用 TPM+PIN+启动密钥保护程序。

    • OS 卷未受保护。

      请考虑:计算机上应用了用于加密 OS 驱动器的 BitLocker 策略,但 OS 驱动器的加密已暂停或未完成。

    • 恢复密钥备份失败。

      请考虑:检查设备上的事件日志,了解恢复密钥备份失败的原因。 可能需要运行 manage-bde 命令来手动托管恢复密钥。

    • 固定驱动器未受保护。

      请考虑:已在计算机上应用了用于加密固定驱动器的 BitLocker 策略,但固定驱动器的加密已暂停或未完成。

    • 固定驱动器的加密方法与 BitLocker 策略不匹配。

    • 若要加密驱动器,BitLocker 策略要求用户以管理员身份登录,或者,如果设备已加入 Microsoft Entra ID,则 AllowStandardUserEncryption 策略必须设置为 1

    • Windows 恢复环境 (WinRE) 未配置。

      请考虑:需要运行命令行以在单独的分区上配置 WinRE;因为未检测到。 有关详细信息,请参阅 REAgentC 命令行选项

    • TPM 无法用于 BitLocker 要么是因为它不存在,要么是因为它在注册表中不可用,要么是因为 OS 位于可移动驱动器中。

      请考虑以下事项:应用于此设备的 BitLocker 策略需要 TPM,但在此设备上,BitLocker CSP 检测到可能在 BIOS 级别禁用了 TPM。

    • TPM 未准备就绪,BitLocker 无法使用。

      请考虑:BitLocker CSP 看到此设备具有可用的 TPM,但可能需要初始化 TPM。 请考虑在计算机上运行 intialize-tpm 以初始化 TPM。

    • 恢复密钥备份所需的网络不可用。

导出报表详细信息

查看“加密”报表窗格时,可以选择“导出”以创建报表详细信息的 .csv 文件下载。 此报表涵盖“加密报表”窗格中的高级详细信息以及你管理的所有设备的“设备加密状态”详细信息

导出详细信息

此报表可用于识别设备组的问题。 例如,可使用报告来标识 macOS 设备列表,其中所有设备全都报告“用户已启用 FileVault”(表示设备必须经过手动解密,然后 Intune 才能管理设备的 FileVault 设置)。

管理恢复密钥

有关管理恢复密钥的详细信息,请参阅 Intune 文档中的以下内容:

macOS FileVault:

Windows BitLocker:

后续步骤