Attestazione della registrazione di Windows
L'obiettivo dell'attestazione della registrazione di Windows è rendere i dispositivi più sicuri e affidabili all'interno della rete a cui partecipano. Con questa funzionalità, puoi verificare che i dispositivi Windows 10 e 11 soddisfino rigorosi standard di sicurezza durante la registrazione, usando la tecnologia TPM (Trusted Platform Module) per migliorare la loro difesa dalle minacce. La funzionalità di attestazione della registrazione di Windows conferma e segnala anche i dispositivi registrati in modo sicuro, assicurando che il processo sia affidabile.
Ecco come è vantaggioso per le organizzazioni:
Sicurezza migliorata: l'attestazione TPM consente di rilevare e risolvere i punti deboli della sicurezza o i dispositivi compromessi e riduce le probabilità di accessi non autorizzati o eventi imprevisti di sicurezza.
Conformità agli standard normativi: l'attestazione di Windows consente alle organizzazioni di dimostrare di seguire misure di sicurezza rigorose durante la registrazione dei dispositivi, che è importante per soddisfare le normative del settore e i requisiti di conformità.
L'obiettivo principale è stabilire un ambiente più sicuro e attendibile per i dispositivi all'interno dell'infrastruttura aziendale usando l'attestazione di Windows durante il processo di registrazione.
Requisiti per l'attestazione della registrazione di Windows
È consigliabile usare gli aggiornamenti più recenti per un tasso di attestazione più efficace.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
TPM minimo 2.0 nei dispositivi
Sono supportati i dispositivi fisici.
Nota
Le macchine virtuali non possono attestare, inclusi gli elementi seguenti, anche se usano vTPMs:
- Macchine virtuali Hyper-V e Azure
- Host di sessione di Desktop virtuale Azure
- PC cloud Windows 365
- Microsoft Dev Box
L'attestazione con TPM in questa funzionalità avviene durante la registrazione della gestione dei dispositivi di Intune, dopo l'attestazione TPM che si verifica in modalità di preprovisioning e dispositivo condiviso (SDM) di Autopilot.
Elenco dei provider di servizi di configurazione (CSP) applicabili per l'attestazione di Windows:
Funzionamento dell'attestazione della registrazione di Windows
Report sullo stato dell'attestazione del dispositivo
Il report mostra informazioni sul dispositivo, il relativo TPM e se il dispositivo è stato correttamente attestato durante la registrazione. Se un dispositivo non attesta, il report spiega perché nella sezione Dettagli stato . Usare questo report per visualizzare l'elenco completo dei dispositivi e controllare quali sono stati correttamente attestati durante la registrazione.
Per accedere al report:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Report>Stato attestazione dispositivo (anteprima) nella sezione Gestione dispositivi .
Filtrare in base allo stato di attestazione o al tipo di proprietà e selezionare Genera report.
Dopo la generazione del report, i dettagli di primo livello visualizzati includono:
Nome dispositivo
ID dispositivo
UPN
Stato attestazione del dispositivo
Dettagli stato
Sistema operativo
Versione sistema operativo
Ownership
Ultimo check-in
Data di registrazione
Versione TPM
Produttore TPM
Modello
Selezionando una voce, è possibile trovare informazioni più dettagliate sul dispositivo. È anche possibile selezionare una voce usando la colonna Seleziona a sinistra e ripetere l'attestazione usando l'azione Attest device nella parte superiore del report.
Nella tabella seguente sono elencati i dettagli sullo stato e le relative descrizioni:
| Dettagli stato | Descrizione |
|---|---|
| La chiave Entra non può essere attestata | Il team di Entra non ha archiviato la chiave del certificato ENTRA in TPM. Se il dispositivo è registrato con AP ODJ, questo status detail è temporaneo. |
| Attestazione in corso | Il dispositivo sta ancora lavorando all'attestazione quando Intune esegue query per il relativo stato più recente. |
| TPM non è attendibile | Il dispositivo contiene un TPM non attendibile e pertanto non può essere attestato. |
| TPM non è disponibile | Il dispositivo non dispone di TPM 2.0 o TPM non può essere attestato a causa della necessità di aggiornamento del firmware. Per altre informazioni su come aggiornare il firmware, vedere Risorse |
| TPM non è pronto | TPM non è pronto per l'uso da parte di questo dispositivo. L'utente deve reimpostare la proprietà del TPM. Per altre informazioni su come reimpostare la proprietà di TPM, vedere Risorse |
| La richiesta client viene rifiutata | La richiesta di attestazione del client non ha raggiunto il server MDM o il server ha rifiutato la richiesta. |
| Certificato AIK non fornito | Certificato AIK mancante nel dispositivo. Potrebbe essere dovuto a un problema di rete. Se temporaneo, l'attestazione riprova dopo che il dispositivo riceve il certificato AIK. |
| Il client non ha fornito tutti i parametri necessari | Certificato AIK e chiave pubblica AIK mancanti. |
| La chiave MDM è già in TPM | Il dispositivo indica che la chiave MDM è già archiviata in TPM. Intune, tuttavia, non è in grado di attestarlo perché manca il certificato AIK o la chiave pubblica AIK o la chiave ENTRA non può essere attestata. |
| La funzionalità non è supportata | Questo stato viene visualizzato per i dispositivi che non sono ancora attestabili. Gli esempi includono macchine virtuali Hyper-V e Azure, host di sessione di Desktop virtuale Azure, PC cloud Windows 365, Microsoft Dev Box. |
| Il token Entra non corrisponde all'identità del dispositivo | Il token ENTRA per la registrazione non corrisponde alla chiave ENTRA presentata nella richiesta di registrazione. È possibile risolvere questo problema eseguendo l'aggiornamento alla build di Windows più recente e ritentando l'attestazione. |
| L'identità del dispositivo del token Entra è mancante | Il token ENTRA per la registrazione manca di identità del dispositivo ENTRA. |
Nota
Per altre informazioni, vedere la sezione Risorse .
Attest device action
Se nel report sono visualizzati dispositivi che non hanno avviato l'attestazione TPM, è possibile selezionare alcuni di questi dispositivi alla volta e TPM li attesta usando il nuovo dispositivo attestazione azione dispositivo nella parte superiore del report. Questa azione del dispositivo deve richiedere meno di pochi minuti per attestare il dispositivo e viene riflessa nel report durante l'aggiornamento.
Per attestare alcuni dispositivi non avviati :
Usare i filtri a discesa nella parte superiore del report per filtrare lo stato di attestazione Non avviato .
Selezionare di nuovo Genera. Selezionare alcuni dispositivi e quindi selezionare Attest device action (Attest device action) nella parte superiore del report.
L'attestazione può richiedere fino a 15 minuti a seconda dell'attività del dispositivo e del numero di dispositivi selezionati. Aggiornare dopo un certo periodo di tempo per visualizzare lo stato aggiornato dei dispositivi selezionati.
Nota
È possibile selezionare fino a 100 dispositivi alla volta per l'azione del dispositivo e attendere almeno 1 minuto tra l'attivazione dell'azione attestazione del dispositivo .
Se l'attestazione dei dispositivi ha esito negativo, a seconda del valore nella colonna Dettagli stato, è possibile ripetere l'attestazione usando l'azione Attest device .If devices are fail attion, depending on the value in the Status detail column, you can retry attestation using the Attest device action. Se viene visualizzato uno dei dettagli di stato seguenti, è consigliabile riprovare a eseguire l'azione attestazione del dispositivo .
Il certificato AIK non è stato fornito dal client
Attestazione in corso
La chiave MDM è già in TPM
TPM non è pronto
Autenticazione non riuscita
Il client non ha fornito tutti i parametri necessari per l'attestazione
Il token Entra non corrisponde all'identità del dispositivo
Autorizzazioni per l'azione del dispositivo
Per usare l'azione Attest device device (Attesta dispositivo dispositivo), è necessaria un'autorizzazione basata su ruoli nota come Attività remote: indica l'attestazione MDM (Mobile Device Management) se il dispositivo è in grado di farlo. Impostare l'autorizzazione su sì per abilitare l'azione. Con l'autorizzazione impostata su Sì, gli amministratori IT possono avviare l'azione attestazione del dispositivo .
Risorse
Importante
La risoluzione dei problemi di TPM richiede in genere un'azione di cancellazione e reimpostazione, che può causare la perdita di dati. Assicurarsi di disporre di backup prima di eseguire qualsiasi procedura di risoluzione dei problemi di TPM.
Raccomandazioni per TPM - Sicurezza di Windows | Microsoft Learn
Risolvere i problemi relativi a TPM - Sicurezza di Windows | Come reimpostare la proprietà di TPM
Collegamenti aggiuntivi: