Sdílet prostřednictvím

Ověření registrace Windows

  • Článek

Cílem ověření registrace windows je zajistit lepší zabezpečení a důvěryhodnost zařízení v síti, ke které se připojí. Pomocí této funkce můžete zkontrolovat, že zařízení s Windows 10 a 11 během registrace splňují přísné standardy zabezpečení, a to pomocí technologie TPM (Trusted Platform Module) a zlepšit tak ochranu před hrozbami. Funkce ověření registrace windows také potvrzuje a hlásí na zařízeních, která se bezpečně zaregistrují, a zajišťuje tak spolehlivost procesu.

Tady je, jak to organizacím přináší výhody:

Vylepšené zabezpečení: Ověření identity pomocí čipu TPM pomáhá zjišťovat a řešit slabá místa zabezpečení nebo ohrožená zařízení a snižuje riziko neoprávněných přístupů nebo bezpečnostních incidentů.

Dodržování zákonných standardů: Ověření identity ve Windows pomáhá organizacím prokázat, že při registraci zařízení dodržují přísná bezpečnostní opatření, což je důležité pro splnění oborových předpisů a požadavků na dodržování předpisů.

Hlavním cílem je vytvořit bezpečnější a důvěryhodnější prostředí pro zařízení v rámci infrastruktury organizace pomocí ověření identity Windows během procesu registrace.

Požadavky na ověření registrace windows

Doporučujeme používat nejnovější aktualizace pro vyšší úspěšnost ověření identity.

  • Windows 10

    • 10.0.19045.3996+

  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+

  • Minimální tpm 2.0 na zařízeních

  • Podporují se fyzická zařízení.

    Poznámka

    Virtuální počítače nemůžou atestovat, včetně následujících, a to ani v případě, že používají virtuální počítače vTPM:

    • Hyper-V a virtuální počítače Azure
    • Hostitelé relací služby Azure Virtual Desktop
    • Cloudové počítače s Windows 365
    • Microsoft Dev Box

  • Ověření identity pomocí čipu TPM v této funkci se provádí během registrace správy zařízení v Intune po ověření identity TPM, která se provádí v režimu předběžného zřízení Autopilotu a v režimu sdíleného zařízení (SDM).

  • Seznam platných poskytovatelů konfiguračních služeb (CSP) pro ověření identity systému Windows:

Jak funguje ověření registrace Windows

Diagram architektury vysoké úrovně týkající se posílení zabezpečení zařízení s Windows pomocí čipu TPM při registraci

Zpráva o stavu ověření identity zařízení

Sestava zobrazuje informace o zařízení, jeho čipu TPM a o tom, jestli se zařízení úspěšně provedlo při registraci. Pokud zařízení neprovádí ověření, sestava vysvětluje důvod v části Podrobnosti o stavu . Pomocí této sestavy můžete zobrazit úplný seznam zařízení a zkontrolovat, která zařízení byla úspěšně potvrzena při registraci.

Přístup k této sestavě:

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. V části Správa zařízení vyberte ReportsDevice attestation status (Preview) (Sestavy> stavu ověření zařízení (Preview).

  3. Vyfiltrujte stav ověření identity nebo typ vlastnictví a vyberte Generovat sestavu.

    Snímek obrazovky se sestavou ověření zařízení

Po vygenerování sestavy se zobrazí podrobnosti nejvyšší úrovně:

  • Název zařízení

  • ID zařízení

  • UPN

  • Stav ověření identity zařízení

  • Podrobnosti o stavu

  • Operační systém

  • Verze operačního systému

  • Vlastnictví

  • Poslední přihlášení

  • Datum registrace

  • Verze čipu TPM

  • Výrobce čipu TPM

  • Model

Výběrem položky získáte podrobnější informace o zařízení. Můžete také vybrat položku pomocí sloupce Vybrat vlevo a znovu ji otestovat pomocí akce Zařízení Testovat v horní části sestavy.

V následující tabulce jsou uvedeny podrobnosti o stavu a jejich popisy:

Podrobnosti o stavu Popis
Klíč Entra nejde atestovat Tým Entra neuchoval klíč certifikátu ENTRA v čipu TPM. Pokud je zařízení zaregistrované pomocí AP ODJ, je tento detail stavu dočasný.
Probíhá ověření identity. Zařízení stále pracuje na ověření identity, když se Intune dotáže na jeho nejnovější stav.
Čip TPM není důvěryhodný Zařízení obsahuje čip TPM, který není důvěryhodný, a proto ho nelze ověřit.
Čip TPM není k dispozici Zařízení nemá čip TPM 2.0 nebo čip TPM nejde otestovat, protože je potřeba aktualizovat firmware. Další informace o tom, jak aktualizovat firmware, najdete v tématu Zdroje informací.
Čip TPM není připravený ČIP TPM není připravený k použití tímto zařízením. Uživatel musí resetovat vlastnictví čipu TPM. Další informace o tom, jak resetovat vlastnictví TPM, najdete v tématu Zdroje informací.
Žádost klienta se zamítla. Žádost o ověření identity klienta se nedostala na server MDM nebo server žádost zamítl.
Certifikát AIK se nezadá V zařízení chybí certifikát AIK. Příčinou může být problém se sítí. Pokud je to dočasné, ověření identity se bude opakovat, jakmile zařízení obdrží certifikát AIK.
Klient nezadal všechny požadované parametry. Chybí certifikát AIK i veřejný klíč AIK.
Klíč MDM je již v čipu TPM Zařízení označuje, že klíč MDM je již uložený v čipu TPM. Intune ho ale nemůže ověřit, protože chybí certifikát AIK nebo veřejný klíč AIK nebo nejde ověřit klíč ENTRA.
Funkce není podporovaná. Tento stav se zobrazuje u zařízení, která ještě nejsou ověřitelná. Mezi příklady patří virtuální počítače Hyper-V a Azure, hostitelé relací služby Azure Virtual Desktop, cloudové počítače s Windows 365 nebo Microsoft Dev Box.
Token Entra neodpovídá identitě zařízení Token ENTRA pro registraci neodpovídá klíči ENTRA uvedenému v žádosti o registraci. Tento problém můžete vyřešit upgradem na nejnovější build Windows a opakovaným pokusem o ověření identity.
V tokenu Entra chybí identita zařízení V tokenu ENTRA pro registraci chybí identita zařízení ENTRA.

Poznámka

Další informace najdete v části Zdroje informací .

Ověření akce zařízení

Pokud se v sestavě zobrazí zařízení, která nespustila ověření identity TPM, můžete vybrat několik z těchto zařízení najednou a čip TPM je ověřit pomocí nové akce zařízení Atestovat zařízení v horní části sestavy. Ověření této akce zařízení by mělo trvat méně než několik minut a projeví se v sestavě při aktualizaci.

Testování některých zařízení Nespustilo se:

  1. Pomocí rozevíracích filtrů v horní části sestavy vyfiltrujte stav ověření identity nespustila .

  2. Znovu vyberte Generovat. Odtud vyberte několik zařízení a pak v horní části sestavy vyberte Akce ověření zařízení .

  3. Ověření identity může trvat až 15 minut v závislosti na aktivitě zařízení a počtu vybraných zařízení. Po nějaké době aktualizujte, abyste viděli aktualizovaný stav vybraných zařízení.

Poznámka

Pro akci zařízení můžete vybrat maximálně 100 zařízení najednou a počkat aspoň 1 minutu mezi aktivací akce Atestovat zařízení .

Pokud se ověření identity zařízení nedaří, můžete v závislosti na hodnotě ve sloupci Podrobnosti o stavu zkusit ověření znovu pomocí akce Zařízení otestovat . Pokud se zobrazí některé z následujících podrobností o stavu , doporučujeme zkusit znovu akci Zařízení otestovat .

  • Klient neposkytl certifikát AIK.

  • Probíhá ověření identity.

  • Klíč MDM je již v čipu TPM

  • Čip TPM není připravený

  • Ověřování se nezdařilo

  • Klient neposkytl všechny požadované parametry potřebné k ověření identity.

  • Token Entra neodpovídá identitě zařízení

Oprávnění k akci zařízení

Pokud chcete použít akci Atestovat zařízení , potřebujete oprávnění na základě role označované jako Vzdálené úlohy: Označuje ověření identity správy mobilních zařízení (MDM), pokud to zařízení podporuje. Nastavte oprávnění na Ano , aby se akce povolila. S oprávněním nastaveným na Ano můžou správci IT zahájit akci Ověření zařízení .

Zdroje

Důležité

Řešení potíží s čipem TPM obvykle vyžaduje akci Vymazání a resetování, která může vést ke ztrátě dat. Před provedením jakýchkoli kroků při řešení potíží s čipem TPM se ujistěte, že máte zálohy.

Další odkazy: