Attestation d’inscription Windows

L’objectif de l’attestation d’inscription Windows est de rendre les appareils plus sécurisés et dignes de confiance au sein du réseau qu’ils rejoignent. Avec cette fonctionnalité, vous pouvez case activée que Windows 10 et 11 appareils répondent à des normes de sécurité strictes lors de l’inscription, en utilisant la technologie de module de plateforme sécurisée (TPM) pour améliorer leur défense contre les menaces. La fonctionnalité d’attestation d’inscription Windows confirme et signale également les appareils qui s’inscrivent en toute sécurité, garantissant ainsi la fiabilité du processus.

Voici comment cela profite aux organisations :

Sécurité améliorée : L’attestation TPM permet de détecter et de résoudre les faiblesses de sécurité ou les appareils compromis, et réduit le risque d’accès non autorisé ou d’incidents de sécurité.

Respect des normes réglementaires : l’attestation Windows aide les organisations à prouver qu’elles suivent des mesures de sécurité strictes lors de l’inscription des appareils, ce qui est important pour respecter les réglementations et les exigences de conformité du secteur.

L’objectif main est d’établir un environnement plus sécurisé et fiable pour les appareils au sein de l’infrastructure organisationnelle à l’aide de l’attestation Windows pendant le processus d’inscription.

Conditions requises pour l’attestation d’inscription Windows

Nous vous recommandons d’utiliser les dernières mises à jour pour un taux d’attestation plus réussi.

• Windows 10

  • 10.0.19045.3996+

• Windows 11

  • 10.0.22000.2713+
  • 10.0.22621.2792+
  • 10.0.22631.2792+

• TPM 2.0 minimum sur les appareils

• Les appareils physiques sont pris en charge.

  Remarque

  Les machines virtuelles ne peuvent pas attester, y compris les éléments suivants, même si elles utilisent des machines virtuelles :

  • Machines virtuelles Hyper-V et Azure
  • Hôtes de session Azure Virtual Desktop
  • PC cloud Windows 365
  • Microsoft Dev Box

• L’attestation avec TPM dans cette fonctionnalité s’effectue pendant Intune’inscription de la gestion des appareils, après l’attestation TPM qui se produit dans le préprovisionnement Autopilot et le mode appareil partagé (SDM).

• Liste des fournisseurs de services de configuration (CSP) applicables pour l’attestation Windows :

  • Fournisseur de services de configuration Windows InitiateRecovery
  • Fournisseur de services de configuration RecoveryStatus Windows
  • Fournisseur de services de configuration Windows MDMClientCertAttestation

Fonctionnement de l’attestation d’inscription Windows

Rapport d’attestation d’appareil status

Le rapport affiche des informations sur l’appareil, son TPM et indique si l’appareil a été correctement attesté lors de l’inscription. Si un appareil n’est pas attesté, le rapport explique pourquoi dans la section Détails de l’état . Utilisez ce rapport pour afficher la liste complète des appareils et case activée ceux qui ont été correctement attestés lors de l’inscription.

Pour accéder à ce rapport :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez Rapports>Attestation de l’appareil status (préversion) sous la section Gestion des appareils.

3. Filtrez par Attestation status ou Type de propriété, puis sélectionnez Générer un rapport.

   

Une fois le rapport généré, les détails de niveau supérieur que vous voyez sont les suivants :

• Nom du périphérique

• ID d'appareil

• UPN

• Status d’attestation d’appareil

• Détails de l’état

• Système d’exploitation

• Version du système d'exploitation

• Propriété

• Dernière case activée

• Date d’inscription

• Version du TPM

• Fabricant du module de plateforme sécurisée

• Modèle

En sélectionnant une entrée, vous trouverez des informations plus détaillées sur l’appareil. Vous pouvez également sélectionner une entrée à l’aide de la colonne Sélectionner à gauche et attester à nouveau à l’aide de l’action Attester l’appareil en haut du rapport.

Le tableau suivant répertorie status détails et leurs descriptions.

Détails de l’état	Description
La clé Entra ne peut pas être attestée	L’équipe Entra n’a pas stocké la clé du certificat ENTRA dans le module TPM. Cela a un impact sur les appareils inscrits AP ODJ.
L’attestation est en cours	L’appareil travaille toujours sur l’attestation quand Intune des requêtes pour sa dernière status.
TPM n’est pas approuvé	L’appareil contient un module de plateforme sécurisée qui n’est pas approuvé et qui ne peut donc pas être attesté.
TPM n’est pas disponible	L’appareil n’a pas de TPM 2.0 ou TPM ne peut pas être attesté en raison d’un microprogramme nécessitant une mise à jour. Pour plus d’informations sur la mise à jour du microprogramme, consultez Ressources
TPM n’est pas prêt	Le module TPM n’est pas prêt à être utilisé par cet appareil. L’utilisateur doit réinitialiser la propriété du TPM. Pour plus d’informations sur la réinitialisation de la propriété TPM, consultez Ressources
La demande du client est rejetée	La demande d’attestation du client n’a pas atteint le serveur MDM ou le serveur a rejeté la demande.
Le certificat AIK n’a pas été fourni	Le certificat AIK est manquant sur l’appareil. Peut être dû à un problème réseau. Si elle est temporaire, l’attestation retentera correctement une fois que l’appareil reçoit le certificat AIK.
Le client n’a pas fourni tous les paramètres requis	Le certificat AIK et la clé publique AIK sont manquants.
La clé MDM est déjà dans le module de plateforme sécurisée (TPM)	L’appareil indique que la clé MDM est déjà stockée dans TPM. Toutefois, Intune ne peut pas l’attester, car le certificat AIK ou la clé publique AIK est manquant, ou la clé ENTRA ne peut pas être attestée.
La fonctionnalité n’est pas prise en charge	Cette status s’affiche pour les appareils qui ne sont pas encore attestables. Par exemple, les machines virtuelles Hyper-V et Azure, les hôtes de session Azure Virtual Desktop, les PC cloud Windows 365 Microsoft Dev Box.
Le jeton Entra ne correspond pas à l’identité de l’appareil	Le jeton ENTRA pour l’inscription ne correspond pas à la clé ENTRA présentée dans la demande d’inscription. Vous pouvez résoudre ce problème en effectuant une mise à niveau vers la dernière version de Windows et en effectuant une nouvelle tentative d’attestation.
Le jeton Entra est manquant d’identité de l’appareil	L’identité de l’appareil ENTRA est manquante pour l’inscription.

Pour plus d’informations, consultez la section Ressources . |

Remarque

Les appareils AP ODJ échouent toujours à l’attestation lors de l’inscription. Pour attester les appareils inscrits via une méthode AP ODJ, l’attestation doit être effectuée à partir du rapport après l’inscription. Pour plus d’informations, consultez Attester l’action de l’appareil.

Attester l’action de l’appareil

Si vous voyez des appareils dans le rapport qui n’ont pas démarré l’attestation TPM, vous pouvez sélectionner quelques-uns de ces appareils à la fois et les attester à l’aide de la nouvelle action d’appareil Attester l’appareil en haut du rapport. Cette action d’appareil doit prendre moins de quelques minutes pour attester l’appareil et est reflétée dans le rapport lorsque vous actualisez.

Pour attester de certains appareils non démarrés :

1. Utilisez les filtres de liste déroulante en haut du rapport pour filtrer sur l’attestation Non démarré status.

2. Sélectionnez à nouveau Générer. À partir de là, sélectionnez quelques appareils, puis sélectionnez Attester l’action de l’appareil en haut du rapport.

3. L’attestation peut prendre jusqu’à 15 minutes en fonction de l’activité de l’appareil et du nombre d’appareils sélectionnés. Actualisez après un certain temps pour voir les status mises à jour des appareils sélectionnés.

Remarque

Vous ne pouvez sélectionner que jusqu’à 100 appareils à la fois pour l’action de l’appareil et attendre au moins 1 minute entre le déclenchement de l’action Attester l’appareil .

Si les appareils échouent à l’attestation, en fonction de la valeur dans la colonne Détails de l’état , vous pouvez réessayer l’attestation à l’aide de l’action Attester l’appareil . Si l’un des détails d’état suivants s’affiche, nous vous recommandons de réessayer l’action Attester l’appareil .

• La clé Entra ne peut pas être attestée

• TPM n’est pas disponible

• Le certificat AIK n’a pas été fourni par le client

• L’attestation est en cours

• La clé MDM est déjà dans le module de plateforme sécurisée (TPM)

• TPM n’est pas prêt

• Échec de l’authentification

• Le client n’a pas fourni tous les paramètres requis pour l’attestation

• Le jeton Entra ne correspond pas à l’identité de l’appareil

Autorisations pour l’action de l’appareil

Pour utiliser l’action Attester l’appareil d’appareil , vous avez besoin d’une autorisation basée sur un rôle appelée Tâches distantes : indique l’attestation de gestion des appareils mobiles (GPM) si l’appareil en est capable. Définissez l’autorisation sur Oui pour activer l’action. Avec l’autorisation définie sur Oui, les administrateurs informatiques peuvent lancer une action Attester l’appareil .

Ressources

Importante

La résolution des problèmes de TPM nécessite généralement une action Réinitialiser et réinitialiser, ce qui peut entraîner une perte de données. Vérifiez que vous avez des sauvegardes en place avant d’effectuer les étapes de résolution des problèmes du module de plateforme sécurisée.

• Recommandations de TPM - Sécurité Windows | Microsoft Learn

• Rapports Intune

• Comment mettre à jour le microprogramme

• Résoudre les problèmes liés au module de plateforme sécurisée (TPM) - Sécurité Windows | Comment réinitialiser la propriété du module de plateforme sécurisée

Liens supplémentaires :

• TrustedPlatformModule

• Activer TPM 2.0 sur votre PC