Configuration Manager 的运行状况证明

适用于: Configuration Manager(current branch)

可以在 Configuration Manager 控制台中查看 Windows 10 设备运行状况证明 的状态。 通过设备运行状况证明,可以确保客户端计算机启用了以下可信 BIOS、TPM 和启动软件配置:

  • 提前启动的反恶意软件 (ELAM) 可以在计算机启动时和第三方驱动程序初始化之前保护计算机。 有关详细信息,请参阅早期启动反恶意软件概述

  • Windows BitLocker 驱动器加密 会加密 OS 和数据卷上存储的所有数据,包括可移动磁盘。 有关详细信息,请参阅 规划 BitLocker 管理

  • 安全启动 是一种安全标准,可帮助确保设备仅使用电脑制造商信任的软件启动。 有关详细信息,请参阅 安全启动

  • 代码完整性 通过在每次将驱动程序或系统文件加载到内存中时验证其完整性来提高 OS 安全性。 有关详细信息,请参阅 启用基于虚拟化的代码完整性保护

此功能适用于 Configuration Manager 管理的本地资源,以及 使用 Microsoft Intune 管理的移动设备。 可以指定是通过云基础结构还是本地基础结构完成报告。 通过本地设备运行状况证明监视,可以在不访问 Internet 的情况下监视客户端电脑。

启用运行状况证明

要求

  • 运行受支持版本的 Windows 10 或 Windows Server 2016 或更高版本的客户端设备,并 启用了设备运行状况证明

  • 已启用 TPM 1.2 或 TPM 2 的设备。

  • 使用云管理时,Configuration Manager 客户端代理与 (has.spserv.microsoft.com 端口 443 的管理点之间的通信) 运行状况证明服务。 在本地时,客户端需要与启用了设备运行状况证明的管理点通信。

如何在 Configuration Manager 客户端计算机上启用运行状况证明服务通信

使用此过程为连接到 Internet 的设备启用设备运行状况证明监视。

  1. 在 Configuration Manager 控制台中,选择“管理>概述>客户端设置”。 选择“ 计算机代理 设置”选项卡。

  2. “默认设置” 对话框中,选择“ 计算机代理 ”,然后向下滚动到 “启用与运行状况证明服务通信”。

  3. “启用与运行状况证明服务的通信” 设置为 “是”,然后选择“ 确定”。

  4. 面向应报告设备运行状况的设备集合。

如何在 Configuration Manager 客户端计算机上启用本地运行状况证明服务通信

使用此过程为未连接到 Internet 的本地设备启用设备运行状况证明监视。

可以在管理点上配置本地设备运行状况证明服务 URL,以支持无需 Internet 访问的客户端设备。

  1. 在 Configuration Manager 控制台中,导航 “管理>概述>”“站点配置>站点”。

  2. 右键单击支持本地设备运行状况证明客户端的管理点的主站点或辅助站点,然后选择 “配置站点组件>管理点”。 此时会打开 “管理点组件属性” 页。

  3. 在“ 高级选项” 选项卡上,选择“ 添加 ”并指定有效的本地设备运行状况证明服务 URL。 可以添加多个 URL。 如果指定了多个本地 URL,则客户端会收到完整的 URL 集,并随机选择要使用的 URL。

  4. 在 Configuration Manager 控制台中,选择“管理>概述>客户端设置”。 选择“ 计算机代理 设置”选项卡。

  5. 向下滚动到 “启用与运行状况证明服务的通信”,并设置为 “是”。

  6. 选择“ 使用本地运行状况证明服务 ”选项,并设置为 “是”。

  7. 面向应使用客户端代理设置报告设备运行状况的设备集合,以启用设备运行状况证明报告。

还可以编辑或删除设备运行状况证明服务 URL。

监视设备运行状况证明

若要查看设备运行状况证明状态,请在 Configuration Manager 控制台中转到 “监视 ”工作区,展开“ 安全 ”节点,然后选择“ 运行状况证明”。

Configuration Manager 设备运行状况证明显示以下信息:

  • 运行状况证明状态 - 显示处于合规、不符合、错误和未知状态的设备共享

  • 报告运行状况证明的设备 - 显示报告运行状况证明状态的设备百分比

  • 按客户端类型排序的不符合设备 - 显示不符合的移动设备和计算机的共享

  • 最缺少运行状况证明设置 - 显示缺少运行状况证明设置的设备数,每个设置列出