Monitorar a criptografia do dispositivo com o Intune

O relatório de criptografia do Microsoft Intune é um local centralizado para exibir detalhes sobre o status de criptografia de um dispositivo e encontrar opções para gerenciar chaves de recuperação de dispositivos. As opções de chave de recuperação disponíveis dependem do tipo de dispositivo que está sendo exibido.

Para localizar o relatório, inicie sessão no centro de administração do Microsoft Intune. Selecione Dispositivos> GerirConfiguração deDispositivos>, selecione o separador Monitor* e, em seguida, selecione Estado da encriptação do dispositivo.

Exibir detalhes de criptografia

O relatório de criptografia mostra detalhes comuns nos dispositivos compatíveis gerenciados. As seções a seguir fornecem detalhes sobre as informações apresentadas pelo Intune no relatório.

Pré-requisitos

O relatório de criptografia dá suporte a relatórios em dispositivos que executam as seguintes versões do sistema operacional:

• macOS 10.13 ou posterior
• Windows versão 1607 ou posterior

Detalhes do relatório

O painel Relatório de encriptação apresenta uma lista dos dispositivos que gere com detalhes de alto nível sobre esses dispositivos. Você pode selecionar um dispositivo na lista para analisar e exibir detalhes adicionais no painel Status de criptografia do dispositivo dos dispositivos.

• Nome do dispositivo – o nome do dispositivo.

• Sistema operacional – a plataforma do dispositivo, como Windows ou macOS.

• Versão do sistema operacional: A versão do Windows ou do macOS no dispositivo.

• Versão TPM(aplica-se apenas ao Windows 10/11) – a versão do chip trusted Platform Module (TPM) detetada no dispositivo Windows.

  Para saber mais sobre como consultamos a versão do TPM, confira CSP DeviceStatus – Especificação do TPM.

• Preparação de criptografia – uma avaliação da preparação dos dispositivos para dar suporte a uma tecnologia de criptografia aplicável, como a criptografia BitLocker ou FileVault. Os dispositivos são identificados como:

  • Pronto: O dispositivo pode ser criptografado usando a política de MDM, o que exige que o dispositivo atenda aos seguintes requisitos:

    Para dispositivos macOS:

    • macOS versão 10.13 ou posterior

    Para dispositivos Windows:

    • Windows 10 versão 1709 ou posterior do Negócios, Enterprise, Educação, Windows 10 versão 1809 ou posterior do Pro, e Windows 11.
    • O dispositivo precisa ter um chip TPM

    Para saber mais sobre os pré-requisitos do Windows para criptografia, confira o CSP (provedor de serviço de configuração) do BitLocker na documentação do Windows.

  • Não está pronto: O dispositivo não tem recursos completos de criptografia, mas ainda pode dar suporte à criptografia.

  • Não aplicável: Não há informações suficientes para classificar este dispositivo.

• Status da criptografia – indica se a unidade do sistema operacional é criptografada.

• Nome UPN – o usuário primário do dispositivo.

Status da criptografia de dispositivo

Quando você seleciona um dispositivo no Relatório de criptografia, o Intune exibe o painel Status de criptografia do dispositivo. O painel fornece os seguintes detalhes:

• Nome do dispositivo – o nome do dispositivo que você está exibindo.

• Preparação de criptografia – uma avaliação da preparação dos dispositivos para dar suporte à criptografia por meio da política de MDM baseada em um TPM ativado.

  Quando um dispositivo Windows 10/11 tem uma preparação igual a Não pronto, ele ainda pode dar suporte à criptografia. Para ter a designação Pronto, o dispositivo Windows precisa ter um chip TPM ativado. No entanto, os chips TPM não precisam dar suporte à criptografia, pois o dispositivo ainda pode ser criptografado manualmente. Ou por meio de uma configuração de MDM/Política de Grupo que pode ser definida para permitir a criptografia sem um TPM.

• Status da criptografia – Se a unidade do sistema operacional é criptografada. Podem ser necessárias até 24 horas para que o Intune relate um status de criptografia de um dispositivo ou uma alteração nesse status. Isso inclui o tempo para a criptografia do sistema operacional, além do tempo para o dispositivo relatar de volta ao Intune.

  Para acelerar o relatório do status de criptografia do FileVault antes que o check-in do dispositivo ocorra normalmente, os usuários precisam sincronizar seus dispositivos após a criptografia ser concluída.

  Para dispositivos Windows, este campo não analisa se outras unidades, como unidades fixas, estão encriptadas. O Status de criptografia vem do CSP do DeviceStatus – DeviceStatus/Compliance/EncryptionCompliance.

• Perfis – uma lista dos perfis de Configuração do dispositivo que se aplicam a esse dispositivo e são configurados com os seguintes valores:

  • macOS:

    • Tipo de perfil = Endpoint Protection
    • Definições > FileVault > FileVault = Ativar

  • Windows 10/11:

    • Tipo de perfil = Endpoint Protection
    • Definições de dispositivos > Encriptação > do Windows – Exigir

  Use a lista de perfis para identificar políticas individuais para análise caso o Resumo do estado de perfil indique problemas.

• Resumo do estado de perfil – Um resumo dos perfis que se aplicam a esse dispositivo. O resumo representa a condição menos favorável nos perfis aplicáveis. Por exemplo, se apenas um de vários perfis aplicáveis resultar num erro, o resumo do estado do Perfil apresenta Erro.

  Para ver mais detalhes de um estado no centro de administração do Intune, aceda a Dispositivos>Gerir dispositivos>Configuração> selecione o perfil. Opcionalmente, selecione Status do dispositivo e, em seguida, selecione um dispositivo.

• Detalhes de status – Detalhes avançados sobre o estado de criptografia do dispositivo.

  Esse campo exibe informações para cada erro aplicável que possa ser detectado. É possível usar essas informações para entender por que um dispositivo talvez não esteja pronto para a criptografia.

  Veja a seguir exemplos dos detalhes do status que o Intune pode relatar:

  macOS:

  • A chave de recuperação ainda não foi recuperada e armazenada. Provavelmente, o dispositivo não foi desbloqueado ou não fez check-in.

    Considere: este resultado não representa necessariamente uma condição de erro, mas um estado temporário que pode dever-se à temporização no dispositivo em que as chaves de recuperação têm de ser configuradas antes de o pedido de encriptação ser enviado para o dispositivo. Este estado também pode indicar que o dispositivo permanece bloqueado ou não deu entrada no Intune recentemente. Por fim, uma vez que a encriptação FileVault só é iniciada quando um dispositivo está ligado à corrente (a carregar), é possível que um utilizador receba uma chave de recuperação para um dispositivo que ainda não está encriptado.

  • O usuário está adiando a criptografia ou está em processo de criptografia.

    Considere: o utilizador ainda não iniciou sessão depois de receber o pedido de encriptação, o que é necessário antes de o FileVault poder encriptar o dispositivo ou o utilizador desencriptou manualmente o dispositivo. O Intune não pode impedir um utilizador de desencriptar o respetivo dispositivo.

  • O dispositivo já está criptografado. O usuário do dispositivo precisa descriptografá-lo para continuar.

    Considere: o Intune não consegue configurar o FileVault num dispositivo que já esteja encriptado. No entanto, depois de um dispositivo receber a política para ativar o FileVault, um utilizador pode carregar a chave de recuperação pessoal para permitir que o Intune faça a gestão da encriptação nesse dispositivo. Em alternativa, o utilizador pode desencriptar manualmente o respetivo dispositivo para que possa ser encriptado pela política do Intune mais tarde. No entanto, não recomendamos a desencriptação manual, uma vez que pode deixar um dispositivo desencriptado durante algum tempo.

  • O FileVault precisa que o usuário aprove seu perfil de gerenciamento no macOS Catalina e posterior.

    Considere: a partir da versão 10.15 (Catalina) do macOS, as definições de inscrição aprovadas pelo utilizador podem resultar no requisito de que os utilizadores aprovem manualmente a encriptação FileVault. Para obter mais informações, veja Inscrição Aprovada pelo Utilizador na documentação do Intune.

  • Desconhecido.

    Considere: uma causa possível para um estado desconhecido é que o dispositivo está bloqueado e o Intune não consegue iniciar o processo de segurança ou encriptação. Depois de o dispositivo ser desbloqueado, o progresso pode continuar.

  Windows 10/11:

  Para dispositivos Windows, o Intune mostra apenas Detalhes do status para dispositivos que executam o Atualização de abril de 2019 do Windows 10 ou posterior ou Windows 11. Os Detalhes do status vêm do CSP do BitLocker – Status/DeviceEncryptionStatus.

  • A política do BitLocker requer o consentimento do usuário para iniciar o Assistente de Criptografia de Unidade de Disco BitLocker para iniciar a criptografia do volume do sistema operacional, mas o usuário não consentiu.

  • O método de criptografia do volume do sistema operacional não coincide com a política do BitLocker.

  • A política do BitLocker exige um protetor de TPM para proteger o volume do sistema operacional, mas um TPM não é usado.

  • A política do BitLocker exige um protetor somente de TPM para o volume do sistema operacional, mas a proteção do TPM não é usada.

  • A política do BitLocker exige uma proteção TPM+PIN para o volume do sistema operacional, mas um protetor TPM+PIN não é usado.

  • A política do BitLocker exige uma proteção de chave de inicialização+TPM para o volume do sistema operacional, mas um protetor de chave de inicialização+TPM não é usado.

  • A política do BitLocker exige uma proteção de chave de inicializaçãoTPM+PIN para o volume do sistema operacional, mas um protetor de chave de inicializaçãoTPM+PIN não é usado.

  • O volume do sistema operacional está desprotegido.

    Considere: foi aplicada uma política BitLocker para encriptar unidades de SO no computador, mas a encriptação foi suspensa ou não foi concluída para a unidade do SO.

  • Falha no backup da chave de recuperação.

    Considere: verifique o Registo de eventos no dispositivo para ver por que motivo a cópia de segurança da chave de recuperação falhou. Poderá ter de executar o comando manage-bde para escrow chaves de recuperação manualmente.

  • Uma unidade fixa está desprotegida.

    Considere: foi aplicada uma política BitLocker para encriptar unidades fixas no computador, mas a encriptação foi suspensa ou não foi concluída para a unidade fixa.

  • O método de criptografia da unidade fixa não coincide com a política do BitLocker.

  • Para encriptar unidades, a política bitLocker requer que o utilizador inicie sessão como Administrador ou, se o dispositivo estiver associado ao Microsoft Entra ID, a política AllowStandardUserEncryption tem de ser definida como 1.

  • O WinRE (Ambiente de Recuperação do Windows) não está configurado.

    Considere: é necessário executar a linha de comandos para configurar o WinRE numa partição separada; uma vez que não foi detetado. Para obter mais informações, veja REAgentC command-line options (Opções da linha de comandos REAgentC).

  • Não há um TPM disponível para o BitLocker, porque ele não está presente, ficou indisponível no Registro ou o sistema operacional está em uma unidade de disco removível.

    Consider: A política do BitLocker aplicada a este dispositivo requer um TPM, mas neste dispositivo, o CSP do BitLocker detectou que o TPM pode estar desabilitado no nível do BIOS.

  • O TPM não está pronto para o BitLocker.

    Considere: o CSP do BitLocker vê que este dispositivo tem um TPM disponível, mas o TPM poderá ter de ser inicializado. Considere executar intialize-tpm no computador para inicializar o TPM.

  • A rede não estiver disponível, o que é necessário para o backup da chave de recuperação.