分享方式:


使用 Intune 監視裝置加密

Microsoft Intune 加密報告是集中式位置,可檢視裝置加密狀態的詳細數據,並尋找管理裝置修復密鑰的選項。 可用的修復金鑰選項取決於您正在檢視的裝置類型。

提示

若要設定 Intune 原則以管理裝置上的加密,請參閱:

若要尋找報告,請登入 Microsoft Intune 系統管理中心。 選 取 [裝置>管理裝置>設定],選取 [ 監視器] 索引卷標,然後選取 [ 裝置加密狀態]

檢視加密詳細數據

加密報告會顯示您所管理支援裝置的一般詳細數據。 下列各節提供 Intune 在報表中呈現之資訊的詳細數據。

先決條件

加密報告支援在執行下列作業系統版本的裝置上報告:

  • macOS 10.13 或更新版本
  • Windows 1607 版或更新版本

報告詳細數據

[加密報表] 窗格會顯示您管理的裝置清單,其中包含這些裝置的高階詳細數據。 您可以從清單中選取裝置以鑽研裝置,並從 [ 裝置加密狀態 ] 窗格檢視其他詳細數據。

  • 裝置名稱 - 裝置的名稱。

  • OS – 裝置平臺,例如 Windows 或 macOS。

  • OS 版本 – 裝置上的 Windows 或 macOS 版本。

  • TPM 版本 (僅適用於 Windows 10/11) – 在 Windows 裝置上偵測到的信賴平臺模組 (TPM) 晶片版本。

    如需如何查詢 TPM 版本的詳細資訊,請參閱 DeviceStatus CSP - TPM 規格

  • 加密整備 – 評估裝置整備程度,以支援適用的加密技術,例如 BitLocker 或 FileVault 加密。 裝置會識別為:

    • 就緒:您可以使用 MDM 原則來加密裝置,這需要裝置符合下列需求:

      針對 macOS 裝置

      • macOS 10.13 版或更新版本

      針對 Windows 裝置

      • 商務版、企業版、教育版、Windows 10 1809 版或更新版本專業版和 Windows 11 的 Windows 10 版本 1709 或更新版本。
      • 裝置必須有 TPM 晶片

      如需加密 Windows 必要條件的詳細資訊,請參閱 Windows 檔中的 BitLocker 設定服務提供者 (CSP)

    • 尚未就緒:裝置沒有完整的加密功能,但仍可能支援加密。

    • 不適用:沒有足夠的資訊可分類此裝置。

  • 加密狀態 – OS 磁碟驅動器是否已加密。

  • 用戶主體名稱 - 裝置的主要使用者。

裝置加密狀態

當您從加密報表中選取裝置時,Intune 會顯示 [ 裝置加密狀態 ] 窗格。 此窗格提供下列詳細資料:

  • 裝置名稱 – 您正在檢視的裝置名稱。

  • 加密整備 - 評估裝置的整備程度,以根據已啟用的 TPM 透過 MDM 原則支援加密。

    當 Windows 10/11 裝置整 備未就緒時,可能仍支援加密。 若要讓 [就緒] 指定,Windows 裝置必須啟用 TPM 晶片。 不過,TPM 晶片不需要支援加密,因為裝置仍然可以手動加密。 或透過 MDM/組策略設定,可設定為允許不使用 TPM 加密。

  • 加密狀態 - OS 磁碟驅動器是否加密。 Intune 最多可能需要 24 小時的時間,才能報告裝置的加密狀態或該狀態的變更。 這一次包括 OS 加密的時間,以及裝置向 Intune 回報的時間。

    若要在裝置正常簽入之前加速報告 FileVault 加密狀態,請讓使用者在加密完成後同步處理其裝置。

    對於 Windows 裝置,此字段不會查看其他磁碟驅動器,例如固定磁碟驅動器是否已加密。 加密狀態 來自 DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

  • 設定檔案 – 適用於此裝置並使用下列值設定的 裝置 組態設定檔清單:

    • macOS:

      • 配置文件類型 = Endpoint Protection
      • >設定 FileVault > FileVault = Enable
    • Windows 10/11:

      • 配置文件類型 = Endpoint Protection
      • >設定 Windows 加密>加密裝置 = 需要

    如果設定檔 狀態摘要 指出問題,您可以使用設定檔案清單來識別要檢閱的個別原則。

  • 配置文件狀態摘要 – 套用至此裝置的配置檔摘要。 摘要代表適用配置檔中最不有利的條件。 例如,如果數個適用配置檔中只有一個導致錯誤, [配置檔狀態摘要 ] 會顯示 [ 錯誤]

    若要在 Intune 系統管理中心檢視狀態的詳細數據,請移至 [裝置>管理裝置>>] [設定] 選取設定檔。 選擇性地選取 [裝置狀態 ],然後選取裝置。

  • 狀態詳細資料 – 裝置加密狀態的進階詳細數據。

    此欄位會顯示每個可偵測到之適用錯誤的資訊。 您可以使用此資訊來瞭解為什麼裝置可能未就緒加密。

    以下是 Intune 可以報告的狀態詳細資料範例:

    macOS:

    • 尚未擷取和儲存修復金鑰。 裝置很可能尚未解除鎖定,或尚未簽入。

      考慮:此結果不一定代表錯誤狀況,但可能是因為裝置上必須設定修復密鑰委付的時間,才能將加密要求傳送至裝置。 此狀態也可能表示裝置保持鎖定狀態,或最近尚未使用 Intune 簽入。 最後,由於在裝置插入 (充電) 後才會啟動 FileVault 加密,因此使用者可能會收到尚未加密裝置的修復密鑰.

    • 使用者正在延遲加密,或目前正在進行加密。

      考慮:使用者在收到加密要求之後尚未註銷,這是 FileVault 加密裝置之前所需的要求,或使用者已手動解密裝置。 Intune 無法防止使用者解密其裝置。

    • 裝置已加密。 裝置用戶必須將裝置解密才能繼續。

      考慮:Intune 無法在已加密的裝置上設定 FileVault。 不過,在裝置收到啟用 FileVault 的原則之後,使用者可以 上傳其個人修復密鑰,讓 Intune 能夠管理該裝置上的加密。 或者,使用者可以手動解密其裝置,以便稍後再由 Intune 原則加密。 不過,我們不建議手動解密,因為這樣做可能會讓裝置一段時間未加密。

    • FileVault 需要使用者在macOS Catalina和更新版本中核准其管理配置檔。

      考慮:從macOS 10.15版開始 (Catalina) ,使用者核准的註冊設定可能會導致使用者手動核准 FileVault 加密的需求。 如需詳細資訊,請參閱 Intune 檔中的 使用者核准註冊

    • 未知。

      考慮:未知狀態的其中一個可能原因是裝置已鎖定,且 Intune 無法啟動委付或加密程式。 裝置解除鎖定之後,進度可以繼續.

    Windows 10/11

    針對 Windows 裝置,Intune 只會顯示執行 Windows 10 2019 年 4 月更新或更新版本或 Windows 11 之裝置的狀態詳細數據。 狀態詳細數據 來自 BitLocker CSP - Status/DeviceEncryptionStatus

    • BitLocker 原則需要使用者同意啟動 BitLocker 磁碟驅動器加密精靈,才能開始加密 OS 磁碟區,但使用者未同意。

    • OS 磁碟區的加密方法不符合 BitLocker 原則。

    • 原則 BitLocker 需要 TPM 保護裝置來保護 OS 磁碟區,但不會使用 TPM。

    • BitLocker 原則需要操作系統磁碟區的僅限 TPM 保護裝置,但不會使用 TPM 保護。

    • BitLocker 原則需要 OS 磁碟區的 TPM+PIN 保護,但不會使用 TPM+PIN 保護裝置。

    • BitLocker 原則需要 OS 磁碟區的 TPM+啟動金鑰保護,但不會使用 TPM+啟動密鑰保護裝置。

    • BitLocker 原則需要 OS 磁碟區的 TPM+PIN+啟動密鑰保護,但不會使用 TPM+PIN+啟動金鑰保護裝置。

    • OS 磁碟區未受保護。

      考慮:已在計算機上套用加密OS磁碟驅動器的BitLocker原則,但OS磁碟驅動器的加密已暫停或未完成。

    • 修復金鑰備份失敗。

      考慮:檢查裝置上的事件記錄檔,以查看修復金鑰備份失敗的原因。 您可能需要執行 manage-bde 命令,以手動委付修復密鑰。

    • 固定磁碟驅動器未受保護。

      考慮:已在計算機上套用加密固定磁碟驅動器的 BitLocker 原則,但已暫停或未完成固定磁碟驅動器的加密。

    • 固定磁碟驅動器的加密方法不符合 BitLocker 原則。

    • 若要加密磁碟驅動器,BitLocker 原則會要求使用者以系統管理員身分登入,或者,如果裝置已加入 Microsoft Entra ID,則 AllowStandardUserEncryption 原則必須設定為 1

    • 未設定 Windows Recovery Environment (WinRE) 。

      考慮:需要執行命令行以在不同的分割區上設定 WinRE;因為未偵測到。 如需詳細資訊,請參閱 REAgentC 命令行選項

    • TPM 不適用於 BitLocker,可能是因為 TPM 不存在、無法在登錄中使用,或操作系統位於卸載式磁碟驅動器上。

      考慮:套用至此裝置的 BitLocker 原則需要 TPM,但在此裝置上,BitLocker CSP 偵測到 TPM 可能在 BIOS 層級停用。

    • TPM 尚未準備好用於 BitLocker。

      考慮:BitLocker CSP 會看到此裝置有可用的 TPM,但可能需要初始化 TPM。 請考慮在計算機上執行 intialize-tpm ,以初始化 TPM。

    • 無法使用網路,這是復原密鑰備份的必要專案。

匯出報表詳細數據

檢視 [加密報表] 窗格時,您可以選取 [ 出] 來建立 報表詳細數據的.csv 檔案下載。 此報告包含來自 [ 加密報告 ] 窗格的高階詳細數據,以及您所管理每個 裝置的裝置加密狀態 詳細數據。

匯出詳細數據

此報告可用於識別裝置群組的問題。 例如,您可以使用報表來識別所有報表 FileVault 都已由使用者啟用的 macOS 裝置清單,這表示必須手動解密的裝置,Intune 才能管理其 FileVault 設定。

管理修復金鑰

如需管理修復金鑰的詳細資訊,請參閱 Intune 檔中的下列內容:

macOS FileVault:

Windows BitLocker:

後續步驟