使用 Intune 監視裝置加密
Microsoft Intune 加密報告是集中式位置,可檢視裝置加密狀態的詳細數據,並尋找管理裝置修復密鑰的選項。 可用的修復金鑰選項取決於您正在檢視的裝置類型。
若要尋找報告,請登入 Microsoft Intune 系統管理中心。 選 取 [裝置>管理裝置>設定],選取 [ 監視器] 索引卷標,然後選取 [ 裝置加密狀態]。
檢視加密詳細數據
加密報告會顯示您所管理支援裝置的一般詳細數據。 下列各節提供有關報表中 Intune 信息的詳細數據。
必要條件
加密報告支援在執行下列作業系統版本的裝置上報告:
- macOS 10.13 或更新版本
- Windows 1607 版或更新版本
報告詳細數據
[加密報表] 窗格會顯示您管理的裝置清單,其中包含這些裝置的高階詳細數據。 您可以從清單中選取裝置以鑽研裝置,並從 [ 裝置加密狀態 ] 窗格檢視其他詳細數據。
裝置名稱 - 裝置的名稱。
OS – 裝置平臺,例如 Windows 或 macOS。
OS 版本 – 裝置上的 Windows 或 macOS 版本。
TPM 版本 (僅適用於 Windows 10/11) – 在 Windows 裝置上偵測到的信賴平臺模組 (TPM) 晶片版本。
如需如何查詢 TPM 版本的詳細資訊,請參閱 DeviceStatus CSP - TPM 規格。
加密整備 – 評估裝置整備程度,以支援適用的加密技術,例如 BitLocker 或 FileVault 加密。 裝置會識別為:
就緒:您可以使用 MDM 原則來加密裝置,這需要裝置符合下列需求:
針對 macOS 裝置:
- macOS 10.13 版或更新版本
針對 Windows 裝置:
- Windows 10 1709 版或更新版本的商務版、企業版、教育版、Windows 10 1809 版或更新版本的專業版,以及 Windows 11 版。
- 裝置必須有 TPM 晶片
如需加密 Windows 必要條件的詳細資訊,請參閱 Windows 檔中的 BitLocker 設定服務提供者 (CSP) 。
尚未就緒:裝置沒有完整的加密功能,但仍可能支援加密。
不適用:沒有足夠的資訊可分類此裝置。
加密狀態 – OS 磁碟驅動器是否已加密。
用戶主體名稱 - 裝置的主要使用者。
裝置加密狀態
當您從加密報告中選取裝置時,Intune 會顯示 [裝置加密狀態] 窗格。 此窗格提供下列詳細資料:
裝置名稱 – 您正在檢視的裝置名稱。
加密整備 - 評估裝置的整備程度,以根據已啟用的 TPM 透過 MDM 原則支援加密。
當 Windows 10/11 裝置整備未就緒時,可能仍支援加密。 若要讓 [就緒] 指定,Windows 裝置必須啟用 TPM 晶片。 不過,TPM 晶片不需要支援加密,因為裝置仍然可以手動加密。 或透過 MDM/群組原則 設定,可設定為允許不使用 TPM 加密。
加密狀態 - OS 磁碟驅動器是否加密。 Intune 最多可能需要 24 小時才能報告裝置的加密狀態或該狀態的變更。 這一次包括 OS 加密的時間,以及裝置回報回 Intune 的時間。
若要在裝置正常簽入之前加速報告 FileVault 加密狀態,請讓使用者在加密完成後同步處理其裝置。
對於 Windows 裝置,此字段不會查看其他磁碟驅動器,例如固定磁碟驅動器是否已加密。 加密狀態 來自 DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance。
設定檔案 – 適用於此裝置並使用下列值設定的 裝置 組態設定檔清單:
macOS:
- 配置文件類型 = Endpoint Protection
- >設定 FileVault > FileVault = Enable
Windows 10/11:
- 配置文件類型 = Endpoint Protection
- >設定 Windows 加密>加密裝置 = 需要
如果設定檔 狀態摘要 指出問題,您可以使用設定檔案清單來識別要檢閱的個別原則。
配置文件狀態摘要 – 套用至此裝置的配置檔摘要。 摘要代表適用配置檔中最不有利的條件。 例如,如果數個適用配置檔中只有一個導致錯誤, [配置檔狀態摘要 ] 會顯示 [ 錯誤]。
若要在 Intune 系統管理中心檢視狀態的詳細數據,請移至 [裝置>管理裝置>>] [設定] 選取設定檔。 選擇性地選取 [裝置狀態 ],然後選取裝置。
狀態詳細資料 – 裝置加密狀態的進階詳細數據。
此欄位會顯示每個可偵測到之適用錯誤的資訊。 您可以使用此資訊來瞭解為什麼裝置可能未就緒加密。
以下是 Intune 可以報告的狀態詳細資料範例:
macOS:
尚未擷取和儲存修復金鑰。 裝置很可能尚未解除鎖定,或尚未簽入。
考慮:此結果不一定代表錯誤狀況,但可能是因為裝置上必須設定修復密鑰委付的時間,才能將加密要求傳送至裝置。 此狀態也可能表示裝置保持鎖定狀態,或最近未簽入 Intune。 最後,由於在裝置插入 (充電) 後才會啟動 FileVault 加密,因此使用者可能會收到尚未加密裝置的修復密鑰.
使用者正在延遲加密,或目前正在進行加密。
考慮:使用者在收到加密要求之後尚未註銷,這是 FileVault 加密裝置之前所需的要求,或使用者已手動解密裝置。 Intune 無法防止使用者解密其裝置。
裝置已加密。 裝置用戶必須將裝置解密才能繼續。
考慮:Intune 無法在已加密的裝置上設定 FileVault。 不過,在裝置收到啟用 FileVault 的原則之後,使用者可以上傳其個人修復密鑰,以啟用 Intune,然後管理該裝置上的加密。 或者,使用者可以手動解密其裝置,以便稍後透過 Intune 原則進行加密。 不過,我們不建議手動解密,因為這樣做可能會讓裝置一段時間未加密。
FileVault 需要使用者在macOS Catalina和更新版本中核准其管理配置檔。
考慮:從macOS 10.15版開始 (Catalina) ,使用者核准的註冊設定可能會導致使用者手動核准 FileVault 加密的需求。 如需詳細資訊,請參閱 Intune 檔中的使用者核准註冊。
未知。
考慮:未知狀態的其中一個可能原因是裝置已鎖定,Intune 無法啟動委付或加密程式。 裝置解除鎖定之後,進度可以繼續.
Windows 10/11:
針對 Windows 裝置,Intune 只會顯示執行 2019 年 4 月更新或更新版本 Windows 10 裝置的狀態詳細數據,或 Windows 11。 狀態詳細數據 來自 BitLocker CSP - Status/DeviceEncryptionStatus。
BitLocker 原則需要使用者同意啟動 BitLocker 磁碟驅動器加密精靈,才能開始加密 OS 磁碟區,但使用者未同意。
OS 磁碟區的加密方法不符合 BitLocker 原則。
原則 BitLocker 需要 TPM 保護裝置來保護 OS 磁碟區,但不會使用 TPM。
BitLocker 原則需要操作系統磁碟區的僅限 TPM 保護裝置,但不會使用 TPM 保護。
BitLocker 原則需要 OS 磁碟區的 TPM+PIN 保護,但不會使用 TPM+PIN 保護裝置。
BitLocker 原則需要 OS 磁碟區的 TPM+啟動金鑰保護,但不會使用 TPM+啟動密鑰保護裝置。
BitLocker 原則需要 OS 磁碟區的 TPM+PIN+啟動密鑰保護,但不會使用 TPM+PIN+啟動金鑰保護裝置。
OS 磁碟區未受保護。
考慮:已在計算機上套用加密OS磁碟驅動器的BitLocker原則,但OS磁碟驅動器的加密已暫停或未完成。
修復金鑰備份失敗。
考慮:檢查裝置上的事件記錄檔,以查看修復金鑰備份失敗的原因。 您可能需要執行 manage-bde 命令,以手動委付修復密鑰。
固定磁碟驅動器未受保護。
考慮:已在計算機上套用加密固定磁碟驅動器的 BitLocker 原則,但已暫停或未完成固定磁碟驅動器的加密。
固定磁碟驅動器的加密方法不符合 BitLocker 原則。
若要加密磁碟驅動器,BitLocker 原則需要使用者以系統管理員身分登入,或者,如果裝置已加入 Microsoft Entra ID,則 AllowStandardUserEncryption 原則必須設定為
1
。未設定 Windows Recovery Environment (WinRE) 。
考慮:需要執行命令行以在不同的分割區上設定 WinRE;因為未偵測到。 如需詳細資訊,請參閱 REAgentC 命令行選項。
TPM 不適用於 BitLocker,可能是因為 TPM 不存在、無法在登錄中使用,或操作系統位於卸載式磁碟驅動器上。
考慮:套用至此裝置的 BitLocker 原則需要 TPM,但在此裝置上,BitLocker CSP 偵測到 TPM 可能在 BIOS 層級停用。
TPM 尚未準備好用於 BitLocker。
考慮:BitLocker CSP 會看到此裝置有可用的 TPM,但可能需要初始化 TPM。 請考慮在計算機上執行 intialize-tpm ,以初始化 TPM。
無法使用網路,這是復原密鑰備份的必要專案。
匯出報表詳細數據
檢視 [加密報表] 窗格時,您可以選取 [ 匯 出] 來建立 報表詳細數據的.csv 檔案下載。 此報告包含來自 [ 加密報告 ] 窗格的高階詳細數據,以及您所管理每個 裝置的裝置加密狀態 詳細數據。
此報告可用於識別裝置群組的問題。 例如,您可以使用報表來識別所有報表 FileVault 都已由使用者啟用的 macOS 裝置清單,這表示必須手動解密的裝置,Intune 才能管理其 FileVault 設定。
管理修復金鑰
如需管理修復金鑰的詳細資訊,請參閱 Intune 檔中的下列內容:
macOS FileVault:
Windows BitLocker: