Поделиться через


Аттестация регистрации Windows

Цель аттестации регистрации Windows — сделать устройства более безопасными и надежными в сети, к ней они присоединяются. С помощью этой функции можно проверить соответствие устройств Windows 10 и 11 строгим стандартам безопасности во время регистрации, используя технологию доверенного платформенного модуля (TPM) для повышения их защиты от угроз. Функция аттестации регистрации Windows также подтверждает и сообщает об устройствах, которые регистрироваться безопасно, обеспечивая надежность процесса.

Вот как это приносит пользу организациям:

Улучшенная безопасность. Аттестация доверенного платформенного модуля помогает обнаруживать и устранять уязвимости системы безопасности или скомпрометированные устройства, а также снижает вероятность несанкционированного доступа или инцидентов безопасности.

Соответствие нормативным стандартам. Аттестация Windows помогает организациям доказать, что они соблюдают строгие меры безопасности во время регистрации устройств, что важно для соблюдения отраслевых правил и требований к соответствию.

Основная цель — создать более безопасную и надежную среду для устройств в инфраструктуре организации с помощью аттестации Windows в процессе регистрации.

Требования для аттестации регистрации Windows

Мы рекомендуем использовать последние обновления для более успешной аттестации.

  • Windows 10

    • 10.0.19045.3996+
  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+
  • Минимальный TPM 2.0 на устройствах

  • Поддерживаются физические устройства.

    Примечание.

    Виртуальные машины не могут выполнять аттестацию, включая следующие, даже если они используют виртуальные TTPM:

    • Виртуальные машины Hyper-V и Azure
    • Узлы сеансов Виртуального рабочего стола Azure
    • Облачные компьютеры с Windows 365
    • Microsoft Dev Box
  • Аттестация с TPM в этой функции выполняется во время регистрации управления устройствами Intune после аттестации доверенного платформенного модуля, которая выполняется в предварительной подготовке Autopilot и режиме общего устройства (SDM).

  • Список применимых поставщиков служб конфигурации (CSP) для аттестации Windows:

Как работает аттестация регистрации Windows

Схема высокоуровневой архитектуры, на основе защиты устройства с Windows с помощью доверенного платформенного модуля при регистрации

Отчет о состоянии аттестации устройства

В отчете отображаются сведения об устройстве, его TPM и о том, успешно ли устройство заверялось при регистрации. Если устройство не выполняет аттестацию, в отчете объясняется, почему в разделе Сведения о состоянии . Используйте этот отчет, чтобы просмотреть полный список устройств и проверить, какие устройства успешно прошли аттестацию при регистрации.

Чтобы получить доступ к этому отчету, выполните приведенные ниже действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Отчеты о>состоянии аттестации устройства (предварительная версия) в разделе Управление устройствами .

  3. Отфильтруйте по состоянию аттестации или типу владения и выберите Создать отчет.

    Снимок экрана: отчет об аттестации устройства

После создания отчета отображаются сведения верхнего уровня:

  • Имя устройства

  • Код устройства

  • UPN

  • Состояние аттестации устройства

  • Сведения о состоянии

  • ОС

  • Версия ОС

  • Собственность

  • Последняя регистрация

  • Дата регистрации

  • Версия доверенного платформенного модуля

  • Производитель доверенного платформенного модуля

  • Модель

Выбрав запись, можно найти более подробные сведения об устройстве. Вы также можете выбрать запись с помощью левого столбца Select и повторно протестировать с помощью действия Аттестация устройства в верхней части отчета.

В следующей таблице перечислены сведения о состоянии и их описания:

Сведения о состоянии Описание
Невозможно заверять ключ Entra Команда Entra не хранила ключ сертификата ENTRA в TPM. Если устройство зарегистрировано с помощью AP ODJ, это временное описание состояния.
Аттестация выполняется Устройство по-прежнему работает над аттестацией, когда Intune запрашивает его последнее состояние.
TPM не является доверенным Устройство содержит TPM, который не является доверенным и поэтому не может быть аттестовано.
TPM недоступен Устройство не имеет TPM 2.0 или TPM не может быть аттестовано из-за необходимости обновления встроенного ПО. Дополнительные сведения об обновлении встроенного ПО см. в разделе Ресурсы.
TPM не готов TPM не готов к использованию этим устройством. Пользователю необходимо сбросить владельца доверенного платформенного модуля. Дополнительные сведения о том, как сбросить владельца доверенного платформенного модуля, см. в разделе Ресурсы.
Запрос клиента отклонен Запрос на аттестацию клиента не достиг сервера MDM или сервер отклонил запрос.
Сертификат AIK не предоставлен Сертификат AIK отсутствует на устройстве. Может быть связано с проблемой с сетью. Если это временно, аттестация будет успешно выполнена после того, как устройство получит сертификат AIK.
Клиент не предоставил все необходимые параметры Отсутствуют как сертификат AIK, так и открытый ключ AIK.
Ключ MDM уже находится в TPM Устройство указывает, что ключ MDM уже хранится в TPM. Но Intune не может засвидетельствовать его, так как отсутствует сертификат AIK или открытый ключ AIK или ключ ENTRA не может быть аттестовано.
Функция не поддерживается Это состояние отображается для устройств, которые еще не поддается аттестации. Примерами являются виртуальные машины Hyper-V и Azure, узлы сеансов Виртуального рабочего стола Azure, облачные компьютеры с Windows 365, Microsoft Dev Box.
Токен Entra не соответствует идентификатору устройства Токен ENTRA для регистрации не соответствует ключу ENTRA, представленному в запросе на регистрацию. Эту проблему можно устранить, обновив до последней сборки Windows и повторив аттестацию.
Отсутствует удостоверение устройства в токене Entra В маркере ENTRA для регистрации отсутствует удостоверение устройства ENTRA.

Примечание.

Дополнительные сведения см. в разделе Ресурсы .

Тестирование действия устройства

Если в отчете отображаются устройства, для которых не запущена аттестация доверенного платформенного модуля, можно выбрать несколько из этих устройств одновременно, а доверенный платформенный модуль заверять их с помощью нового действия " Аттестация устройства" в верхней части отчета. Это действие устройства должно занять менее нескольких минут для аттестации устройства и отражается в отчете при обновлении.

Чтобы засвидетельствовать некоторые устройства , не запущенные , выполните следующие действия.

  1. Используйте раскрывающиеся фильтры в верхней части отчета, чтобы отфильтровать состояние аттестации "Не начато ".

  2. Нажмите кнопку Создать еще раз. Выберите несколько устройств, а затем в верхней части отчета выберите Действие аттестации устройств .

  3. Аттестация может занять до 15 минут в зависимости от активности устройства и количества выбранных устройств. Обновите через некоторое время, чтобы увидеть обновленное состояние выбранных устройств.

Примечание.

Вы можете выбрать только до 100 устройств одновременно для действия устройства и ждать не менее 1 минуты между активацией действия attest device .

Если аттестация устройств завершается сбоем, в зависимости от значения в столбце Сведения о состоянии можно повторить аттестацию с помощью действия Аттестация устройства . Если отображаются какие-либо из следующих сведений о состоянии , рекомендуется повторно попытаться выполнить действие Аттестация устройства .

  • Сертификат AIK не предоставлен клиентом

  • Аттестация выполняется

  • Ключ MDM уже находится в TPM

  • TPM не готов

  • Сбой проверки подлинности

  • Клиент не предоставил все необходимые параметры, необходимые для аттестации

  • Токен Entra не соответствует идентификатору устройства

Разрешения для действия устройства

Чтобы использовать действие "Аттестация устройства" , требуется разрешение на основе ролей, известное как Удаленные задачи. Указывает на аттестацию управления мобильными устройствами (MDM), если устройство поддерживает эту функцию. Установите для параметра Разрешение значение Да , чтобы включить действие. Если для разрешения задано значение Да, ИТ-администраторы могут инициировать действие аттестации устройства .

Ресурсы

Важно!

Для устранения неполадок доверенного платформенного модуля обычно требуется действие очистки и сброса, что может привести к потере данных. Перед выполнением действий по устранению неполадок доверенного платформенного модуля убедитесь, что у вас есть резервные копии.

Дополнительные ссылки: