Dela via

Windows-registreringsattestering

  • Artikel

Målet med Attestering av Windows-registrering är att göra enheterna säkrare och mer tillförlitliga i nätverket de ansluter till. Med den här funktionen kan du kontrollera att Windows 10- och 11-enheter uppfyller strikta säkerhetsstandarder under registreringen med hjälp av TPM-teknik (Trusted Platform Module) för att förbättra skyddet mot hot. Funktionen för attestering av Windows-registrering bekräftar och rapporterar även på de enheter som registreras på ett säkert sätt, vilket säkerställer att processen är tillförlitlig.

Så här gynnar det organisationer:

Förbättrad säkerhet: TPM-attestering hjälper till att identifiera och åtgärda säkerhetsbrister eller komprometterade enheter och minskar risken för obehörig åtkomst eller säkerhetsincidenter.

Uppfylla regelstandarder: Windows-attestering hjälper organisationer att bevisa att de följer strikta säkerhetsåtgärder under enhetsregistreringen, vilket är viktigt för att uppfylla branschbestämmelser och efterlevnadskrav.

Huvudmålet är att upprätta en säkrare och mer betrodd miljö för enheter i organisationens infrastruktur med hjälp av Windows-attestering under registreringsprocessen.

Krav för Attestering av Windows-registrering

Vi rekommenderar att du använder de senaste uppdateringarna för en mer lyckad attesteringshastighet.

  • Windows 10

    • 10.0.19045.3996+

  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+

  • Lägsta TPM 2.0 på enheter

  • Fysiska enheter stöds.

    Obs!

    Virtuella datorer kan inte intyga, inklusive följande, även om de använder virtuella datorer:

    • Virtuella Hyper-V- och Azure-datorer
    • Azure Virtual Desktop-sessionsvärdar
    • Windows 365 Cloud-datorer
    • Microsoft Dev Box

  • Attestering med TPM i den här funktionen sker under registrering av Enhetshantering i Intune, efter TPM-attesteringen som sker i Autopilot-företablering och läget Delad enhet (SDM).

  • Lista över tillämpliga konfigurationstjänstleverantörer (CSP:er) för Windows-attestering:

Så här fungerar Windows-registreringsattestering

Arkitekturdiagram på hög nivå om hur vi härdar Windows-enheten med TPM vid registrering

Statusrapport för enhetsattestering

Rapporten visar information om enheten, dess TPM och om enheten har verifierats vid registreringen. Om en enhet inte intygar förklarar rapporten varför i avsnittet Statusinformation . Använd den här rapporten om du vill se en fullständig lista över enheter och kontrollera vilka som har intygats vid registreringen.

Så här kommer du åt den här rapporten:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Rapporter>Enhetsattesteringsstatus (förhandsversion) under avsnittet Enhetshantering .

  3. Filtrera efter attesteringsstatus eller Ägarskapstyp och välj Generera rapport.

    Skärmbild av enhetsattesteringsrapport

När rapporten har genererats innehåller informationen på den översta nivån:

  • Enhetsnamn

  • Enhets-ID

  • UPN

  • Status för enhetsattestering

  • Statusinformation

  • ÅS

  • OS-version

  • Ägande

  • Senaste incheckning

  • Registreringsdatum

  • TPM-version

  • TPM-tillverkare

  • Modell

Genom att välja en post hittar du mer detaljerad information om enheten. Du kan också välja en post med hjälp av kolumnen Välj till vänster och bekräfta igen med enhetsåtgärden Attest längst upp i rapporten.

I följande tabell visas statusinformation och deras beskrivningar:

Statusinformation Beskrivning
Entra-nyckeln kan inte intygas Entra-teamet lagrade inte ENTRA-certifikatets nyckel i TPM. Om enheten har registrerats med AP ODJ är den här statusinformationen tillfällig.
Attestering pågår Enheten arbetar fortfarande med attestering när Intune frågar efter den senaste statusen.
TPM är inte betrott Enheten innehåller en TPM som inte är betrodd och därför inte kan intygas.
TPM är inte tillgängligt Enheten har inte TPM 2.0 eller TPM kan inte intygas på grund av att den inbyggda programvaran behöver uppdateras. Mer information om hur du uppdaterar inbyggd programvara finns i Resurser
TPM är inte klart TPM är inte redo att användas av den här enheten. Användaren måste återställa TPM-ägarskapet. Mer information om hur du återställer TPM-ägarskap finns i Resurser
Klientbegäran avvisas Klientens attesteringsbegäran nådde inte MDM-servern eller så avvisade servern begäran.
AIK-certifikatet angavs inte AIK-certifikat saknas på enheten. Det kan bero på nätverksproblem. Om det är tillfälligt skulle attesteringen försöka igen när enheten har fått AIK-certifikatet.
Klienten angav inte alla obligatoriska parametrar Både AIK-certifikatet och den offentliga AIK-nyckeln saknas.
MDM-nyckeln finns redan i TPM Enheten anger att MDM-nyckeln redan lagras i TPM. Men Intune kan inte intyga det eftersom AIK-certifikatet eller den offentliga AIK-nyckeln saknas, eller så går det inte attestera ENTRA-nyckeln.
Funktionen stöds inte Den här statusen visas för enheter som ännu inte kan intygas. Exempel är virtuella Hyper-V- och Azure-datorer, Azure Virtual Desktop-sessionsvärdar, Windows 365 Cloud-datorer, Microsoft Dev Box.
Entra-token matchar inte enhetsidentitet ENTRA-token för registrering matchar inte ENTRA-nyckeln som visas i registreringsbegäran. Du kan åtgärda det här problemet genom att uppgradera till den senaste Windows-versionen och genom att försöka attestera igen.
Entra-token saknar enhetsidentitet ENTRA-token för registrering saknar ENTRA-enhetsidentitet.

Obs!

Mer information finns i avsnittet Resurser .

Attest device action (Attest device action)

Om du ser enheter i rapporten som inte har startat TPM-attestering kan du välja några av dessa enheter i taget och TPM attestera dem med hjälp av den nya enhetsåtgärden Attest-enheten högst upp i rapporten. Den här enhetsåtgärden bör ta mindre än några minuter att intyga enheten och återspeglas i rapporten när du uppdaterar.

Så här intygar du några Enheter som inte har startats :

  1. Använd listrutefiltren överst i rapporten för att filtrera till Status för inte startad attestering.

  2. Välj Generera igen. Därifrån väljer du några enheter och väljer sedan Attest device action (Attest device action) högst upp i rapporten.

  3. Attesteringen kan ta upp till 15 minuter beroende på enhetens aktivitet och antalet enheter som valts. Uppdatera efter en stund för att se den uppdaterade statusen för de valda enheterna.

Obs!

Du kan bara välja upp till 100 enheter åt gången för enhetsåtgärd och vänta minst 1 minut mellan att utlösa åtgärden Attest.

Om enheterna inte kan attesteras kan du, beroende på värdet i kolumnen Statusinformation , försöka attestera igen med enhetsåtgärden Attest . Om någon av följande statusinformation visas rekommenderar vi att du försöker utföra enhetsåtgärden Attest igen.

  • AIK-certifikatet tillhandahölls inte av klienten

  • Attestering pågår

  • MDM-nyckeln finns redan i TPM

  • TPM är inte klart

  • Autentiseringen misslyckades

  • Klienten angav inte alla nödvändiga parametrar som behövdes för attestering

  • Entra-token matchar inte enhetsidentitet

Behörigheter för enhetsåtgärd

Om du vill använda åtgärden Attest device device (Attest device device) behöver du en rollbaserad behörighet som kallas Fjärruppgifter: Anger MDM-attestering (hantering av mobila enheter) om enheten kan användas. Ange Behörighet till Ja för att aktivera åtgärden. Med behörigheten Inställd på Ja kan IT-administratörer initiera åtgärden Attest device (Attest device ).

Resurser

Viktigt

Felsökning av TPM kräver vanligtvis en åtgärd för rensning och återställning, vilket kan leda till dataförlust. Kontrollera att du har säkerhetskopior på plats innan du utför några felsökningssteg för TPM.

Ytterligare länkar: