Udostępnij za pośrednictwem

Zaświadczanie o rejestracji w systemie Windows

  • Artykuł

Celem zaświadczania o rejestracji w systemie Windows jest zwiększenie bezpieczeństwa i zaufania urządzeń w sieci, do których dołączają. Dzięki tej funkcji można sprawdzić, czy urządzenia z systemem Windows 10 i 11 spełniają ścisłe standardy zabezpieczeń podczas rejestracji, korzystając z technologii TPM (Trusted Platform Module) w celu zwiększenia ich ochrony przed zagrożeniami. Funkcja zaświadczania rejestracji systemu Windows potwierdza również i raportuje urządzenia, które są bezpiecznie rejestrowane, zapewniając niezawodność procesu.

Poniżej przedstawiono korzyści dla organizacji:

Ulepszone zabezpieczenia: zaświadczanie modułu TPM pomaga wykrywać i rozwiązywać problemy z naruszeniami zabezpieczeń lub naruszonymi zabezpieczeniami urządzeń oraz zmniejsza ryzyko nieautoryzowanego dostępu lub zdarzeń zabezpieczeń.

Spełnianie standardów regulacyjnych: Zaświadczanie systemu Windows pomaga organizacjom udowodnić, że stosują ścisłe środki bezpieczeństwa podczas rejestracji urządzeń, co jest ważne w przypadku spełniania wymagań branżowych i wymagań dotyczących zgodności.

Głównym celem jest ustanowienie bardziej bezpiecznego i zaufanego środowiska dla urządzeń w infrastrukturze organizacyjnej przy użyciu zaświadczania systemu Windows podczas procesu rejestracji.

Wymagania dotyczące zaświadczania o rejestracji w systemie Windows

Zalecamy użycie najnowszych aktualizacji, aby uzyskać bardziej efektywną częstotliwość zaświadczania.

  • Windows 10

    • 10.0.19045.3996+

  • System Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+

  • Minimalna wersja TPM 2.0 na urządzeniach

  • Urządzenia fizyczne są obsługiwane.

    Uwaga

    Maszyny wirtualne nie mogą potwierdzić, w tym następujących elementów, nawet jeśli używają maszyn vTPM:

    • Maszyny wirtualne funkcji Hyper-V i platformy Azure
    • Hosty sesji usługi Azure Virtual Desktop
    • Komputery z systemem Windows 365 Cloud
    • Microsoft Dev Box

  • Zaświadczanie za pomocą modułu TPM w tej funkcji odbywa się podczas rejestracji zarządzania urządzeniami w usłudze Intune po zaświadczeniu modułu TPM, które występuje w trybie wstępnej aprowizacji rozwiązania Autopilot i udostępnionym urządzeniu (SDM).

  • Lista odpowiednich dostawców usług konfiguracji na potrzeby zaświadczania systemu Windows:

Jak działa zaświadczanie rejestracji w systemie Windows

Diagram architektury wysokiego poziomu dotyczący wzmacniania zabezpieczeń urządzenia z systemem Windows przy użyciu modułu TPM podczas rejestracji

Raport o stanie zaświadczania urządzenia

Raport zawiera informacje o urządzeniu, jego programie TPM oraz o tym, czy urządzenie zostało pomyślnie poświadczone podczas rejestracji. Jeśli urządzenie nie potwierdzi, raport wyjaśni, dlaczego w sekcji Szczegóły stanu . Użyj tego raportu, aby wyświetlić pełną listę urządzeń i sprawdzić, które z nich zostały pomyślnie poświadczone podczas rejestracji.

Aby uzyskać dostęp do tego raportu:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Raporty>Stan zaświadczania urządzenia (wersja zapoznawcza) w sekcji Zarządzanie urządzeniami .

  3. Filtruj według stanu zaświadczania lub typu własność , a następnie wybierz pozycję Generuj raport.

    Zrzut ekranu przedstawiający raport zaświadczania o urządzeniu

Po wygenerowaniu raportu widoczne są następujące szczegóły najwyższego poziomu:

  • Nazwa urządzenia

  • Identyfikator urządzenia

  • UPN

  • Stan zaświadczania urządzenia

  • Szczegóły stanu

  • System operacyjny

  • Wersja systemu operacyjnego

  • Własność

  • Ostatnie zaewidencjonowynie

  • Data rejestracji

  • Wersja modułu TPM

  • Producent modułu TPM

  • Model

Wybierając wpis, możesz znaleźć bardziej szczegółowe informacje o urządzeniu. Możesz również wybrać wpis przy użyciu kolumny Wybierz po lewej stronie i ponownie potwierdzić, używając akcji Zaświadczanie urządzenia w górnej części raportu.

W poniższej tabeli wymieniono szczegóły stanu i ich opisy:

Szczegóły stanu Opis
Nie można potwierdzić klucza Entra Zespół entra nie przechowuje klucza certyfikatu ENTRA w programie TPM. Jeśli urządzenie jest zarejestrowane w usłudze AP ODJ, ten szczegół stanu jest tymczasowy.
Zaświadczanie jest w toku Urządzenie nadal pracuje nad zaświadczaniem, gdy usługa Intune wysyła zapytanie o jego najnowszy stan.
Moduł TPM nie jest zaufany Urządzenie zawiera moduł TPM, który nie jest zaufany i dlatego nie można go potwierdzić.
Moduł TPM nie jest dostępny Urządzenie nie ma modułu TPM 2.0 lub TPM nie może być zaświadczane ze względu na oprogramowanie układowe wymagające aktualizacji. Aby uzyskać więcej informacji na temat aktualizowania oprogramowania układowego, zobacz Zasoby
Moduł TPM nie jest gotowy Moduł TPM nie jest gotowy do użycia przez to urządzenie. Użytkownik musi zresetować własność modułu TPM. Aby uzyskać więcej informacji na temat resetowania własności modułu TPM, zobacz Zasoby
Żądanie klienta zostało odrzucone Żądanie zaświadczania klienta nie dotarło do serwera mdm lub serwera odrzuciło żądanie.
Nie podano certyfikatu AIK Brak certyfikatu AIK na urządzeniu. Może to być spowodowane problemem z siecią. Jeśli jest to tymczasowe, zaświadczanie ponowi ponowienie próby po otrzymaniu certyfikatu AIK przez urządzenie.
Klient nie podał wszystkich wymaganych parametrów Brak certyfikatu AIK i klucza publicznego AIK.
Klucz MDM jest już w programie TPM Urządzenie wskazuje, że klucz MDM jest już przechowywany w programie TPM. Jednak usługa Intune nie może jej potwierdzić, ponieważ brakuje certyfikatu AIK lub klucza publicznego AIK lub nie można potwierdzić klucza ENTRA.
Funkcja nie jest obsługiwana Ten stan jest wyświetlany dla urządzeń, które nie są jeszcze zaświadczalne. Przykłady obejmują maszyny wirtualne funkcji Hyper-V i platformy Azure, hosty sesji usługi Azure Virtual Desktop, komputery z systemem Windows 365 w chmurze, microsoft dev box.
Token Entra nie jest zgodny z tożsamością urządzenia Token ENTRA rejestracji jest niezgodny z kluczem ENTRA przedstawionym w żądaniu rejestracji. Ten problem można rozwiązać, uaktualniając do najnowszej kompilacji systemu Windows i ponawiając próbę zaświadczania.
Brak tożsamości urządzenia w tokenie Entra Brak tokenu ENTRA dla rejestracji tożsamości urządzenia ENTRA.

Uwaga

Aby uzyskać więcej informacji, zobacz sekcję Zasoby .

Potwierdzanie akcji urządzenia

Jeśli w raporcie są widoczne urządzenia, na których nie uruchomiono zaświadczania modułu TPM, możesz wybrać kilka z tych urządzeń jednocześnie, a moduł TPM potwierdzi je przy użyciu nowej akcji urządzenia Zaświadcz urządzenie w górnej części raportu. Ta akcja urządzenia powinna potrwać mniej niż kilka minut, aby potwierdzić urządzenie i zostanie odzwierciedlona w raporcie podczas odświeżania.

Aby potwierdzić niektóre urządzenia niezaczęte :

  1. Użyj filtrów listy rozwijanej w górnej części raportu, aby odfiltrować stan zaświadczania Nie rozpoczęto .

  2. Ponownie wybierz pozycję Generuj. W tym miejscu wybierz kilka urządzeń, a następnie wybierz pozycję Zaświadcz akcję urządzenia w górnej części raportu.

  3. Zaświadczanie może potrwać do 15 minut w zależności od aktywności urządzenia i liczby wybranych urządzeń. Odśwież po pewnym czasie, aby wyświetlić zaktualizowany stan wybranych urządzeń.

Uwaga

Do działania urządzenia można wybrać maksymalnie 100 urządzeń i odczekać co najmniej 1 minutę między wyzwoleniem akcji urządzenia Attest .

Jeśli zaświadczanie urządzeń kończy się niepowodzeniem, w zależności od wartości w kolumnie Szczegóły stanu możesz ponowić próbę zaświadczania przy użyciu akcji zaświadczania urządzenia . Jeśli zostaną wyświetlone jakiekolwiek z następujących szczegółów stanu , zalecamy ponowne podjęcie próby wykonania akcji zaświadczania o urządzeniu .

  • Certyfikat AIK nie został dostarczony przez klienta

  • Zaświadczanie jest w toku

  • Klucz MDM jest już w programie TPM

  • Moduł TPM nie jest gotowy

  • Uwierzytelnianie nie powiodło się

  • Klient nie podał wszystkich wymaganych parametrów wymaganych do zaświadczania

  • Token Entra nie jest zgodny z tożsamością urządzenia

Uprawnienia do akcji urządzenia

Aby użyć akcji urządzenia attestu , musisz mieć uprawnienie oparte na rolach znane jako zadania zdalne: wskazuje zaświadczanie zarządzania urządzeniami przenośnymi (MDM), jeśli urządzenie jest w stanie to zrobić. Ustaw opcję Uprawnienie na wartość tak , aby włączyć akcję. Z uprawnieniami ustawionymi na Tak administratorzy IT mogą zainicjować akcję Urządzenia zaświadczania .

Zasoby

Ważna

Rozwiązywanie problemów z modułem TPM zwykle wymaga akcji czyszczenia i resetowania, co może spowodować utratę danych. Przed wykonaniem jakichkolwiek kroków rozwiązywania problemów z modułem TPM upewnij się, że masz kopie zapasowe.

Dodatkowe linki: