Freigeben über


Integritätsnachweis für Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Sie können den Status des Windows 10-Geräteintegritätsnachweises in der Configuration Manager-Konsole anzeigen. Mit dem Geräteintegritätsnachweis können Sie sicherstellen, dass auf Clientcomputern die folgenden vertrauenswürdigen BIOS-, TPM- und Startsoftwarekonfigurationen aktiviert sind:

  • Early-Launch Antimalware (ELAM) schützt Ihren Computer beim Starten und vor der Initialisierung von Treibern von Drittanbietern. Weitere Informationen finden Sie in derÜbersicht über Antischadsoftware für den frühen Start.

  • Die Windows BitLocker-Laufwerkverschlüsselung verschlüsselt alle Daten, die auf dem Betriebssystem und datenvolumes gespeichert sind, einschließlich Wechseldatenträgern. Weitere Informationen finden Sie unter Planen der BitLocker-Verwaltung.

  • Sicherer Start ist ein Sicherheitsstandard, um sicherzustellen, dass ein Gerät nur mit Software gestartet wird, die vom PC-Hersteller als vertrauenswürdig eingestuft wird. Weitere Informationen finden Sie unter Sicherer Start.

  • Die Codeintegrität verbessert die Sicherheit des Betriebssystems, indem die Integrität eines Treibers oder einer Systemdatei bei jedem Laden in den Arbeitsspeicher überprüft wird. Weitere Informationen finden Sie unter Aktivieren des virtualisierungsbasierten Schutzes der Codeintegrität.

Diese Funktion ist für lokale Ressourcen verfügbar, die von Configuration Manager verwaltet werden, und für mobile Geräte, die mit Microsoft Intune verwaltet werden. Sie können angeben, ob die Berichterstellung über die Cloud oder die lokale Infrastruktur erfolgt. Mit der überwachung des Integritätsnachweises für lokale Geräte können Sie Client-PCs ohne Internetzugriff überwachen.

Aktivieren des Integritätsnachweises

Anforderungen

  • Clientgeräte, auf denen eine unterstützte Version von Windows 10 oder Windows Server 2016 oder höher ausgeführt wird, wobei der Nachweis der Geräteintegrität aktiviert ist.

  • TPM 1.2- oder TPM 2-fähige Geräte.

  • Bei Verwendung der Cloudverwaltung erfolgt die Kommunikation zwischen dem Configuration Manager-Client-Agent und dem Verwaltungspunkt mit has.spserv.microsoft.com dem Integritätsnachweisdienst (Port 443). Lokal muss der Client mit dem Verwaltungspunkt kommunizieren, der für den Nachweis der Geräteintegrität aktiviert ist.

Aktivieren der Kommunikation des Integritätsnachweisdiensts auf Configuration Manager-Clientcomputern

Verwenden Sie dieses Verfahren, um die Überwachung des Geräteintegritätsnachweises für Geräte zu aktivieren, die eine Verbindung mit dem Internet herstellen.

  1. Wählen Sie in der Configuration Manager-Konsole Verwaltungsübersicht>>Clienteinstellungen aus. Wählen Sie die Registerkarte für Computer-Agent-Einstellungen aus.

  2. Wählen Sie im Dialogfeld Standardeinstellungen die Option Computer-Agent aus, und scrollen Sie dann nach unten zu Kommunikation mit Dem Integritätsnachweisdienst aktivieren.

  3. Legen Sie Kommunikation mit Integritätsnachweisdienst aktivieren auf Ja fest, und wählen Sie dann OK aus.

  4. Ziel sind die Sammlungen von Geräten, die die Geräteintegrität melden sollen.

Aktivieren der Kommunikation des lokalen Integritätsnachweisdiensts auf Configuration Manager-Clientcomputern

Verwenden Sie dieses Verfahren, um die Überwachung des Geräteintegritätsnachweises für lokale Geräte zu aktivieren, die keine Verbindung mit dem Internet herstellen.

Sie können die url des lokalen Geräteintegritätsnachweisdiensts auf dem Verwaltungspunkt so konfigurieren, dass Clientgeräte ohne Internetzugriff unterstützt werden.

  1. Navigieren Sie in der Configuration Manager-Konsole zu Verwaltung>Übersicht>Standortkonfigurationsstandorte>.

  2. Klicken Sie mit der rechten Maustaste auf den primären oder sekundären Standort mit dem Verwaltungspunkt, der lokale Clients zum Nachweis der Geräteintegrität unterstützt, und wählen SieStandortkomponenten-Verwaltungspunkt>konfigurierenaus. Die Seite Eigenschaften der Verwaltungspunktkomponente wird geöffnet.

  3. Wählen Sie auf der Registerkarte Erweiterte Optionendie Option Hinzufügen aus, und geben Sie eine gültige URL für den lokalen Geräteintegritätsnachweisdienst an. Sie können mehrere URLs hinzufügen. Wenn mehrere lokale URLs angegeben werden, erhalten Clients den vollständigen Satz und wählen nach dem Zufallsprinzip aus, welche sie verwenden möchten.

  4. Wählen Sie in der Configuration Manager-Konsole Verwaltungsübersicht>>Clienteinstellungen aus. Wählen Sie die Registerkarte für Computer-Agent-Einstellungen aus.

  5. Scrollen Sie nach unten zu Kommunikation mit Integritätsnachweisdienst aktivieren, und legen Sie auf Ja fest.

  6. Wählen Sie die Option Lokalen Integritätsnachweisdienst verwenden aus, und legen Sie auf Ja fest.

  7. Richten Sie die Sammlungen von Geräten, die die Geräteintegrität melden sollen, mit den Client-Agent-Einstellungen an, um die Berichterstellung zum Nachweis der Geräteintegrität zu aktivieren.

Sie können auch die URLs des Geräteintegritätsnachweisdiensts bearbeiten oder entfernen .

Überwachen des Geräteintegritätsnachweises

Um den Status des Geräteintegritätsnachweises anzuzeigen, wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung , erweitern Sie den Knoten Sicherheit , und wählen Sie dann Integritätsnachweis aus.

Der Configuration Manager-Geräteintegritätsnachweis zeigt die folgenden Informationen an:

  • Integritätsnachweisstatus : Zeigt die Freigabe von Geräten in konformen, nicht konformen, Fehler- und unbekannten Zuständen an.

  • Geräte, die Integritätsnachweis melden – Zeigt den Prozentsatz der Geräte an, die den Integritätsnachweisstatus melden

  • Nicht konforme Geräte nach Clienttyp : Zeigt die Freigabe von mobilen Geräten und Computern an, die nicht konform sind

  • Top Missing Health Attestation Settings (Top Missing Health Attestation Settings) – Zeigt die Anzahl der Geräte an, für die die Einstellung für den Integritätsnachweis fehlt.