Ověření registrace Windows
Cílem ověření registrace windows je zajistit lepší zabezpečení a důvěryhodnost zařízení v síti, ke které se připojí. Pomocí této funkce můžete zkontrolovat, že zařízení s Windows 10 a 11 během registrace splňují přísné standardy zabezpečení, a to pomocí technologie TPM (Trusted Platform Module) a zlepšit tak ochranu před hrozbami. Funkce ověření registrace windows také potvrzuje a hlásí na zařízeních, která se bezpečně zaregistrují, a zajišťuje tak spolehlivost procesu.
Tady je, jak to organizacím přináší výhody:
Vylepšené zabezpečení: Ověření identity pomocí čipu TPM pomáhá zjišťovat a řešit slabá místa zabezpečení nebo ohrožená zařízení a snižuje riziko neoprávněných přístupů nebo bezpečnostních incidentů.
Dodržování zákonných standardů: Ověření identity ve Windows pomáhá organizacím prokázat, že při registraci zařízení dodržují přísná bezpečnostní opatření, což je důležité pro splnění oborových předpisů a požadavků na dodržování předpisů.
Hlavním cílem je vytvořit bezpečnější a důvěryhodnější prostředí pro zařízení v rámci infrastruktury organizace pomocí ověření identity Windows během procesu registrace.
Požadavky na ověření registrace windows
Doporučujeme používat nejnovější aktualizace pro vyšší úspěšnost ověření identity.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
Minimální tpm 2.0 na zařízeních
Podporují se fyzická zařízení.
Poznámka
Virtuální počítače nemůžou testovat.
Ověření identity pomocí čipu TPM v této funkci se provádí během registrace správy zařízení v Intune po ověření identity TPM, která se provádí v režimu předběžného zřízení Autopilotu a v režimu sdíleného zařízení (SDM).
Seznam platných poskytovatelů konfiguračních služeb (CSP) pro ověření identity systému Windows:
Jak funguje ověření registrace Windows
Zpráva o stavu ověření identity zařízení
Sestava zobrazuje informace o zařízení, jeho čipu TPM a o tom, jestli se zařízení úspěšně provedlo při registraci. Pokud zařízení neprovádí ověření, sestava vysvětluje důvod v části Podrobnosti o stavu . Pomocí této sestavy můžete zobrazit úplný seznam zařízení a zkontrolovat, která zařízení byla úspěšně potvrzena při registraci.
Přístup k této sestavě:
Přihlaste se k Centru pro správu Microsoft 365.
V části Správa zařízení vyberte ReportsDevice attestation status (Preview) (Sestavy> stavu ověření zařízení (Preview).
Vyfiltrujte stav ověření identity nebo typ vlastnictví a vyberte Generovat sestavu.
Po vygenerování sestavy se zobrazí podrobnosti nejvyšší úrovně:
Název zařízení
ID zařízení
UPN
Stav ověření identity zařízení
Podrobnosti o stavu
Operační systém
Verze operačního systému
Vlastnictví
Poslední přihlášení
Datum registrace
Verze čipu TPM
Výrobce čipu TPM
Model
Výběrem položky získáte podrobnější informace o zařízení. Můžete také vybrat položku pomocí sloupce Vybrat vlevo a znovu ji otestovat pomocí akce Zařízení Testovat v horní části sestavy.
V následující tabulce jsou uvedeny podrobnosti o stavu a jejich popisy:
| Podrobnosti o stavu | Popis |
|---|---|
| Klíč Entra nejde atestovat | Tým Entra neuchoval klíč certifikátu ENTRA v čipu TPM. Pokud je zařízení zaregistrované pomocí AP ODJ, je tento detail stavu dočasný. |
| Probíhá ověření identity. | Zařízení stále pracuje na ověření identity, když se Intune dotáže na jeho nejnovější stav. |
| Čip TPM není důvěryhodný | Zařízení obsahuje čip TPM, který není důvěryhodný, a proto ho nelze ověřit. |
| Čip TPM není k dispozici | Zařízení nemá čip TPM 2.0 nebo čip TPM nejde otestovat, protože je potřeba aktualizovat firmware. Další informace o tom, jak aktualizovat firmware, najdete v tématu Zdroje informací. |
| Čip TPM není připravený | ČIP TPM není připravený k použití tímto zařízením. Uživatel musí resetovat vlastnictví čipu TPM. Další informace o tom, jak resetovat vlastnictví TPM, najdete v tématu Zdroje informací. |
| Žádost klienta se zamítla. | Žádost o ověření identity klienta se nedostala na server MDM nebo server žádost zamítl. |
| Certifikát AIK se nezadá | V zařízení chybí certifikát AIK. Příčinou může být problém se sítí. Pokud je to dočasné, ověření identity se bude opakovat, jakmile zařízení obdrží certifikát AIK. |
| Klient nezadal všechny požadované parametry. | Chybí certifikát AIK i veřejný klíč AIK. |
| Klíč MDM je již v čipu TPM | Zařízení označuje, že klíč MDM je již uložený v čipu TPM. Intune ho ale nemůže ověřit, protože chybí certifikát AIK nebo veřejný klíč AIK nebo nejde ověřit klíč ENTRA. |
| Funkce není podporovaná. | Tento stav se zobrazuje u zařízení, která ještě nejsou ověřitelná. Mezi příklady patří počítače s Win 365, AVD nebo Hyper-V. |
| Token Entra neodpovídá identitě zařízení | Token ENTRA pro registraci neodpovídá klíči ENTRA uvedenému v žádosti o registraci. Tento problém můžete vyřešit upgradem na nejnovější build Windows a opakovaným pokusem o ověření identity. |
| V tokenu Entra chybí identita zařízení | V tokenu ENTRA pro registraci chybí identita zařízení ENTRA. |
Poznámka
Další informace najdete v části Zdroje informací .
Ověření akce zařízení
Pokud se v sestavě zobrazí zařízení, která nespustila ověření identity TPM, můžete vybrat několik z těchto zařízení najednou a čip TPM je ověřit pomocí nové akce zařízení Atestovat zařízení v horní části sestavy. Ověření této akce zařízení by mělo trvat méně než několik minut a projeví se v sestavě při aktualizaci.
Testování některých zařízení Nespustilo se:
Pomocí rozevíracích filtrů v horní části sestavy vyfiltrujte stav ověření identity nespustila .
Znovu vyberte Generovat. Odtud vyberte několik zařízení a pak v horní části sestavy vyberte Akce ověření zařízení .
Ověření identity může trvat až 15 minut v závislosti na aktivitě zařízení a počtu vybraných zařízení. Po nějaké době aktualizujte, abyste viděli aktualizovaný stav vybraných zařízení.
Poznámka
Pro akci zařízení můžete vybrat maximálně 100 zařízení najednou a počkat aspoň 1 minutu mezi aktivací akce Atestovat zařízení .
Pokud se ověření identity zařízení nedaří, můžete v závislosti na hodnotě ve sloupci Podrobnosti o stavu zkusit ověření znovu pomocí akce Zařízení otestovat . Pokud se zobrazí některé z následujících podrobností o stavu , doporučujeme zkusit znovu akci Zařízení otestovat .
Klient neposkytl certifikát AIK.
Probíhá ověření identity.
Klíč MDM je již v čipu TPM
Čip TPM není připravený
Ověřování se nezdařilo
Klient neposkytl všechny požadované parametry potřebné k ověření identity.
Token Entra neodpovídá identitě zařízení
Oprávnění k akci zařízení
Pokud chcete použít akci Atestovat zařízení , potřebujete oprávnění na základě role označované jako Vzdálené úlohy: Označuje ověření identity správy mobilních zařízení (MDM), pokud to zařízení podporuje. Nastavte oprávnění na Ano , aby se akce povolila. S oprávněním nastaveným na Ano můžou správci IT zahájit akci Ověření zařízení .
Zdroje
Důležité
Řešení potíží s čipem TPM obvykle vyžaduje akci Vymazání a resetování, která může vést ke ztrátě dat. Před provedením jakýchkoli kroků při řešení potíží s čipem TPM se ujistěte, že máte zálohy.
Další odkazy:
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro