Eszköztitkosítás monitorozása Intune

A Microsoft Intune titkosítási jelentés egy központi hely, ahol megtekintheti az eszköz titkosítási állapotának részleteit, és megtalálhatja az eszköz helyreállítási kulcsainak kezelésére vonatkozó lehetőségeket. Az elérhető helyreállítási kulcsbeállítások a megtekintett eszköz típusától függenek.

A jelentés megkereséséhez jelentkezzen be a Microsoft Intune Felügyeleti központba. Válassza az Eszközök>Kezelése eszközök>konfigurációja lehetőséget, válassza a Monitorozás* lapot, majd az Eszköztitkosítás állapota lehetőséget.

Titkosítás részleteinek megtekintése

A titkosítási jelentés az Ön által kezelt támogatott eszközök gyakori részleteit jeleníti meg. A következő szakaszok részletesen ismertetik a jelentésben Intune információkat.

Előfeltételek

A titkosítási jelentés az alábbi operációsrendszer-verziókat futtató eszközökön támogatja a jelentéskészítést:

• macOS 10.13 vagy újabb
• Windows 1607-es vagy újabb verzió

Jelentés részletei

A Titkosítási jelentés panel megjeleníti a felügyelt eszközök listáját az eszközök magas szintű részleteivel. A listából kiválaszthat egy eszközt a részletezéshez, és további részleteket tekinthet meg az Eszközök titkosítási állapota panelen.

• Eszköz neve – Az eszköz neve.

• OS – Az eszközplatform, például Windows vagy macOS.

• Operációs rendszer verziója – Az eszközön futó Windows vagy macOS verziója.

• TPM-verzió(csak Windows 10/11-re vonatkozik) – A Platformmegbízhatósági modul (TPM) lapka windowsos eszközön észlelt verziója.

  A TPM-verzió lekérdezésével kapcsolatos további információkért lásd: DeviceStatus CSP – TPM-specifikáció.

• Titkosítási felkészültség – Az eszközök felkészültségének kiértékelése egy alkalmazható titkosítási technológia, például a BitLocker vagy a FileVault titkosítás támogatására. Az eszközök a következőképpen vannak azonosítva:

  • Kész: Az eszköz MDM-szabályzattal titkosítható, amelyhez az eszköznek meg kell felelnie a következő követelményeknek:

    MacOS-eszközök esetén:

    • macOS 10.13-es vagy újabb verzió

    Windows-eszközök esetén:

    • Windows 10 Pro Business, Enterprise, Education, Windows 10 1809-es vagy újabb verziójának 1709-es vagy újabb verziója, valamint Windows 11.
    • Az eszköznek TPM-lapkával kell rendelkeznie

    A Windows titkosítási előfeltételeiről a Windows dokumentációjában, a BitLocker konfigurációs szolgáltató (CSP) című szakaszában talál további információt.

  • Nem áll készen: Az eszköz nem rendelkezik teljes titkosítási képességekkel, de továbbra is támogatja a titkosítást.

  • Nem alkalmazható: Nincs elég információ az eszköz besorolásához.

• Titkosítás állapota – Azt jelzi, hogy az operációs rendszer meghajtója titkosítva van-e.

• Egyszerű felhasználónév – Az eszköz elsődleges felhasználója.

Eszköztitkosítás állapota

Amikor kiválaszt egy eszközt a Titkosítás jelentésből, Intune megjeleníti az Eszköztitkosítás állapota panelt. Ez az ablaktábla a következő adatokat tartalmazza:

• Eszköz neve – A megtekintett eszköz neve.

• Titkosítási készültség – Annak értékelése, hogy az eszköz készen van-e a titkosítás támogatására az aktivált TPM-en alapuló MDM-szabályzaton keresztül.

  Ha egy Windows 10/11-eszköz készültségi állapota Nem áll készen, akkor is támogathatja a titkosítást. A Ready (Kész) megjelöléshez a Windows-eszköznek aktivált TPM-lapkával kell rendelkeznie. A TPM-lapkák azonban nem szükségesek a titkosítás támogatásához, mivel az eszköz továbbra is titkosítható manuálisan. vagy egy MDM/Csoportházirend beállítással, amely TPM nélkül is lehetővé teszi a titkosítást.

• Titkosítás állapota – Azt jelzi, hogy az operációs rendszer meghajtója titkosítva van-e. Akár 24 órába is telhet, hogy Intune jelentést készítsen az eszköz titkosítási állapotáról vagy az állapot módosításáról. Ez az idő magában foglalja az operációs rendszer titkosításának idejét, valamint az eszköznek a Intune való jelentéskészítési idejét.

  A FileVault titkosítási állapot jelentésének felgyorsítása az eszköz normál bejelentkezése előtt, a titkosítás befejeződése után szinkronizálja az eszközöket a felhasználókkal.

  Windows-eszközök esetén ez a mező nem vizsgálja, hogy más meghajtók, például a rögzített meghajtók titkosítva vannak-e. A titkosítási állapot a DeviceStatus CSP – DeviceStatus/Compliance/EncryptionCompliance szolgáltatásból származik.

• Profilok – Azon eszközkonfigurációs profilok listája, amelyek erre az eszközre vonatkoznak, és a következő értékekkel vannak konfigurálva:

  • macOS:

    • Profil típusa = Végpontvédelem
    • Beállítások > FileVault > FileVault = Enable

  • Windows 10/11:

    • Profil típusa = Végpontvédelem
    • Beállítások > Windows titkosítási > eszközök titkosítása = Kötelező

  A profilok listájával azonosíthatja az egyes felülvizsgálatra vonatkozó szabályzatokat, ha a Profilállapot összegzése problémákat jelez.

• Profilállapot összegzése – Az eszközre vonatkozó profilok összegzése. Az összefoglalás a legkevésbé kedvező feltételt jelöli a vonatkozó profilok között. Ha például a megfelelő profilok közül csak egy eredményez hibát, a Profilállapot összegzésehibaüzenetet jelenít meg.

  Ha további részleteket szeretne megtekinteni egy állapotról a Intune Felügyeleti központban, válassza ki a profilt az Eszközök>kezeléseeszközkonfiguráció>> területen. Ha szeretné, válassza az Eszköz állapota lehetőséget, majd válasszon ki egy eszközt.

• Állapot részletei – Az eszköz titkosítási állapotának speciális részletei.

  Ez a mező az észlelt hibákra vonatkozó információkat jeleníti meg. Ezekből az információkból megtudhatja, hogy egy eszköz miért nem áll készen a titkosításra.

  Az alábbiakban példákat láthat az állapot részleteire, Intune jelentést készíthet:

  macOS:

  • A helyreállítási kulcs még nem lett lekérve és tárolva. Valószínűleg az eszköz nincs feloldva, vagy nem jelentkezett be.

    Vegye figyelembe: Ez az eredmény nem feltétlenül jelent hibaállapotot, hanem egy ideiglenes állapotot, amely az eszköz időzítése miatt lehet, amikor a helyreállítási kulcsokért való letétet be kell állítani, mielőtt a titkosítási kérést elküldené az eszközre. Ez az állapot azt is jelezheti, hogy az eszköz zárolva marad, vagy nem jelentkezett be mostanában Intune. Végül, mivel a FileVault titkosítás nem indul el, amíg egy eszköz be nem van dugva (töltés), lehetséges, hogy a felhasználó helyreállítási kulcsot kap egy még nem titkosított eszközhöz.

  • A felhasználó elhalasztja a titkosítást, vagy éppen folyamatban van a titkosítás.

    Fontolja meg: A felhasználó még nem jelentkezett ki a titkosítási kérelem fogadása után, ami ahhoz szükséges, hogy a FileVault titkosítsa az eszközt, vagy a felhasználó manuálisan visszafejtette az eszközt. Intune nem akadályozhatja meg, hogy egy felhasználó visszafejtse az eszközét.

  • Az eszköz már titkosítva van. A folytatáshoz az eszköz felhasználójának vissza kell fejtenie az eszközt.

    Fontolja meg: Intune nem tudja beállítani a FileVaultot egy már titkosított eszközön. Miután azonban egy eszköz megkapta a FileVault engedélyezésére vonatkozó szabályzatot, a felhasználó feltöltheti a személyes helyreállítási kulcsát, hogy Intune kezelhesse az eszközön a titkosítást. Másik lehetőségként a felhasználó manuálisan visszafejtheti az eszközét, hogy később Intune szabályzattal titkosíthassa. Azonban nem javasoljuk a manuális visszafejtést, mert így egy ideig titkosítatlanul hagyhatja az eszközt.

  • A FileVault használatához a felhasználónak jóvá kell hagynia a felügyeleti profilját a macOS Catalina és újabb rendszereken.

    Fontolja meg: A macOS 10.15-ös verziójától (Catalina) kezdődően a felhasználó által jóváhagyott regisztrációs beállítások azt eredményezhetik, hogy a felhasználók manuálisan jóváhagyják a FileVault titkosítást. További információ: Felhasználó által jóváhagyott regisztráció a Intune dokumentációjában.

  • Ismeretlen.

    Fontolja meg: Az ismeretlen állapot egyik lehetséges oka, hogy az eszköz zárolva van, és Intune nem tudja elindítani a letéti vagy titkosítási folyamatot. Az eszköz zárolásának feloldása után a folyamat folytatódhat.

  Windows 10/11:

  Windows rendszerű eszközök esetén Intune csak a 2019. áprilisi vagy újabb frissítést vagy Windows 11 Windows 10 futtató eszközök állapotadatait jeleníti meg. Az állapot részletei a BitLocker CSP – Status/DeviceEncryptionStatus fájlból származnak.

  • A BitLocker-házirend felhasználói hozzájárulást igényel a BitLocker meghajtótitkosítási varázsló elindításához az operációsrendszer-kötet titkosításának elindításához, de a felhasználó nem járult hozzá.

  • Az operációsrendszer-kötet titkosítási módszere nem egyezik a BitLocker-szabályzattal.

  • A BitLocker házirendnek TPM-védőre van szüksége az operációs rendszer kötetének védelméhez, de nem használ TPM-et.

  • A BitLocker-szabályzat csak TPM-védőt igényel az operációs rendszer kötetéhez, de a TPM-védelem nem használatos.

  • A BitLocker-házirendhez TPM+PIN-védelem szükséges az operációsrendszer-kötethez, de nem használ TPM+PIN-kód védőt.

  • A BitLocker-szabályzathoz TPM+indítókulcs-védelem szükséges az operációs rendszer kötetéhez, de nem használ TPM+indítókulcs-védőt.

  • A BitLocker-házirendhez TPM+PIN+indítókulcs-védelem szükséges az operációs rendszer kötetéhez, de nem használ TPM+PIN+indítókulcs-védőt.

  • Az operációs rendszer kötete nem védett.

    Fontolja meg: Az operációsrendszer-meghajtók titkosítására szolgáló BitLocker-szabályzatot alkalmaztak a gépen, de a titkosítás fel lett függesztve, vagy nem fejeződött be az operációsrendszer-meghajtón.

  • A helyreállítási kulcs biztonsági mentése sikertelen.

    Fontolja meg: Ellenőrizze az eszközök eseménynaplójában, hogy miért hiúsult meg a helyreállítási kulcs biztonsági mentése. Előfordulhat, hogy a helyreállítási kulcsok manuális eszkalálásához futtatnia kell a manage-bde parancsot.

  • A rögzített meghajtók nem védettek.

    Fontolja meg: A rögzített meghajtók titkosítására szolgáló BitLocker-szabályzatot alkalmaztak a gépen, de a titkosítás fel lett függesztve, vagy nem fejeződött be a rögzített meghajtón.

  • A rögzített meghajtó titkosítási módszere nem egyezik a BitLocker-szabályzattal.

  • A meghajtók titkosításához a BitLocker-házirend megköveteli, hogy a felhasználó rendszergazdaként jelentkezzen be, vagy ha az eszköz csatlakozik Microsoft Entra ID, az AllowStandardUserEncryption szabályzatnak értékre kell állítania1.

  • A Windows helyreállítási környezet (WinRE) nincs konfigurálva.

    Fontolja meg: A WinRE külön partíción való konfigurálásához parancssort kell futtatnia; mivel a rendszer nem észlelte. További információ: REAgentC parancssori beállítások.

  • A TPM nem érhető el a BitLockerhez, mert nincs jelen, a beállításjegyzékben nem érhető el, vagy az operációs rendszer cserélhető meghajtón található.

    Vegye figyelembe: Az eszközre alkalmazott BitLocker-szabályzathoz TPM szükséges, de ezen az eszközön a BitLocker CSP azt észleli, hogy a TPM le van tiltva a BIOS szintjén.

  • A TPM nem áll készen a BitLockerre.

    Vegye figyelembe: A BitLocker CSP azt látja, hogy az eszköz rendelkezik elérhető TPM-sel, de előfordulhat, hogy a TPM-et inicializálni kell. Fontolja meg az intialize-tpm futtatását a gépen a TPM inicializálásához.

  • A hálózat nem érhető el, ami a helyreállítási kulcs biztonsági mentéséhez szükséges.