Nachweis der Windows-Registrierung

Das Ziel des Windows-Registrierungsnachweises besteht darin, Geräte innerhalb des Netzwerks, dem sie beitreten, sicherer und vertrauenswürdiger zu machen. Mit diesem Feature können Sie überprüfen, ob Windows 10- und 11-Geräte während der Registrierung strenge Sicherheitsstandards erfüllen, indem Sie tpm-Technologie (Trusted Platform Module) verwenden, um ihren Schutz vor Bedrohungen zu verbessern. Das Windows-Registrierungsnachweis-Feature bestätigt und meldet auch die Geräte, die sich sicher registrieren, um sicherzustellen, dass der Prozess zuverlässig ist.

Hier erfahren Sie, wie organisationen davon profitieren:

Verbesserte Sicherheit: Der TPM-Nachweis hilft beim Erkennen und Beheben von Sicherheitsschwächen oder kompromittierten Geräten und verringert die Wahrscheinlichkeit von nicht autorisiertem Zugriff oder Sicherheitsvorfällen.

Einhaltung gesetzlicher Standards: Der Windows-Nachweis hilft Organisationen zu beweisen, dass sie während der Geräteregistrierung strenge Sicherheitsmaßnahmen befolgen, was für die Einhaltung von Branchenvorschriften und Complianceanforderungen wichtig ist.

Das Hauptziel besteht darin, eine sicherere und vertrauenswürdigere Umgebung für Geräte innerhalb der Organisationsinfrastruktur einzurichten, indem während des Registrierungsprozesses der Windows-Nachweis verwendet wird.

Anforderungen für den Nachweis der Windows-Registrierung

Es wird empfohlen, die neuesten Updates zu verwenden, um eine erfolgreichere Nachweisrate zu erzielen.

• Windows 10

  • 10.0.19045.3996+

• Windows 11

  • 10.0.22000.2713+
  • 10.0.22621.2792+
  • 10.0.22631.2792+

• Mindestens TPM 2.0 auf Geräten

• Physische Geräte werden unterstützt.

  Hinweis

  Virtuelle Computer können den Nachweis nicht bestätigen.

• Der Nachweis mit TPM in diesem Feature erfolgt während der Registrierung der Intune-Geräteverwaltung nach dem TPM-Nachweis, der in der Autopilot-Vorabbereitstellung und im Modus für gemeinsam genutzte Geräte (Shared Device Mode, SDM) erfolgt.

• Liste der anwendbaren Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) für den Windows-Nachweis:

  • Windows InitiateRecovery CSP
  • Windows RecoveryStatus CSP
  • Windows MDMClientCertAttestation CSP

Funktionsweise des Windows-Registrierungsnachweises

Statusbericht zum Gerätenachweis

Der Bericht zeigt Informationen über das Gerät, sein TPM und ob das Gerät bei der Registrierung erfolgreich bestätigt wurde. Wenn ein Gerät nicht nachweist, wird im Bericht im Abschnitt Statusdetails erläutert, warum. Verwenden Sie diesen Bericht, um die vollständige Liste der Geräte anzuzeigen und zu überprüfen, welche bei der Registrierung erfolgreich bestätigt wurden.

So greifen Sie auf diesen Bericht zu:

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie berichte>Gerätenachweisstatus (Vorschau) im Abschnitt Geräteverwaltung aus.

3. Filtern Sie nach Nachweisstatus oder Besitztyp , und wählen Sie Bericht generieren aus.

   

Nachdem der Bericht generiert wurde, werden folgende Details auf oberster Ebene angezeigt:

• Gerätename

• Geräte-ID

• UPN

• Gerätenachweisstatus

• Statusdetails

• Betriebssystem

• BS-Version

• Besitz

• Letzter Check-In

• Registrierungsdatum

• TPM-Version

• TPM-Hersteller

• Modell

Wenn Sie einen Eintrag auswählen, finden Sie ausführlichere Informationen zum Gerät. Sie können auch einen Eintrag mithilfe der linken Spalte Auswählen auswählen und mithilfe der Aktion Gerät bestätigen oben im Bericht erneut bestätigen.

In der folgenden Tabelle sind Statusdetails und deren Beschreibungen aufgeführt:

Statusdetails	Beschreibung
Entra-Schlüssel kann nicht bestätigt werden	Das Entra-Team hat den Schlüssel des ENTRA-Zertifikats nicht im TPM gespeichert. Wenn das Gerät bei AP ODJ registriert ist, ist diese Statusdetails temporär.
Nachweis wird ausgeführt	Das Gerät arbeitet weiterhin am Nachweis, wenn Intune den aktuellen Status abfragt.
TPM ist nicht vertrauenswürdig	Das Gerät enthält ein TPM, das nicht vertrauenswürdig ist und daher nicht bestätigt werden kann.
TPM ist nicht verfügbar	Das Gerät verfügt nicht über TPM 2.0, oder TPM kann aufgrund einer Firmware, die aktualisiert werden muss, nicht bestätigt werden. Weitere Informationen zum Aktualisieren der Firmware finden Sie unter Ressourcen.
TPM ist nicht bereit	TPM kann nicht von diesem Gerät verwendet werden. Der Benutzer muss den TPM-Besitz zurücksetzen. Weitere Informationen zum Zurücksetzen des TPM-Besitzes finden Sie unter Ressourcen.
Clientanforderung wird abgelehnt	Die Nachweisanforderung des Clients hat den MDM-Server nicht erreicht, oder der Server hat die Anforderung abgelehnt.
AIK-Zertifikat wurde nicht bereitgestellt	Das AIK-Zertifikat fehlt auf dem Gerät. Dies kann auf ein Netzwerkproblem zurückzuführen sein. Bei einem temporären Vorgang wird der Nachweis erfolgreich wiederholt, sobald das Gerät ein AIK-Zertifikat erhält.
Der Client hat nicht alle erforderlichen Parameter bereitgestellt.	Sowohl das AIK-Zertifikat als auch der öffentliche AIK-Schlüssel fehlen.
MDM-Schlüssel ist bereits im TPM vorhanden.	Gerät gibt an, dass der MDM-Schlüssel bereits im TPM gespeichert ist. Intune kann dies jedoch nicht bestätigen, weil das AIK-Zertifikat oder der öffentliche AIK-Schlüssel fehlt oder der ENTRA-Schlüssel nicht bestätigt werden kann.
Feature wird nicht unterstützt	Dieser Status wird für Geräte angezeigt, die noch nicht nachweisbar sind. Beispiele hierfür sind Win 365-, AVD- oder Hyper-V-Computer.
Entra-Token stimmt nicht mit geräteidentität überein	Das ENTRA-Token für die Registrierung stimmt nicht mit dem ENTRA-Schlüssel überein, der in der Registrierungsanforderung angegeben ist. Sie können dieses Problem beheben, indem Sie auf den neuesten Windows-Build aktualisieren und den Nachweis wiederholen.
Entra-Token fehlt geräteidentität	ENTRA-Token für die Registrierung fehlt die ENTRA-Geräteidentität.

Hinweis

Weitere Informationen finden Sie im Abschnitt Ressourcen .

Gerätenachweisaktion

Wenn im Bericht Geräte angezeigt werden, deren TPM-Nachweis nicht gestartet wurde , können Sie einige dieser Geräte gleichzeitig auswählen und diese mithilfe der neuen Geräteaktion Gerät bestätigen am Anfang des Berichts durch TPM bestätigen. Diese Geräteaktion sollte weniger als einige Minuten dauern, um das Gerät zu bestätigen, und wird beim Aktualisieren im Bericht angezeigt.

So bestätigen Sie einige Nicht gestartete Geräte:

1. Verwenden Sie die Dropdownfilter oben im Bericht, um nach dem Nachweisstatus Nicht gestartet zu filtern.

2. Wählen Sie erneut Generieren aus. Wählen Sie dort einige Geräte und dann am oberen Rand des Berichts Geräteaktion bestätigen aus.

3. Der Nachweis kann je nach Aktivität des Geräts und der Anzahl der ausgewählten Geräte bis zu 15 Minuten dauern. Aktualisieren Sie nach einiger Zeit, um den aktualisierten Status der ausgewählten Geräte anzuzeigen.

Hinweis

Sie können nur bis zu 100 Geräte gleichzeitig für die Geräteaktion auswählen und zwischen dem Auslösen der Geräteaktion "Gerät bestätigen" mindestens eine Minute warten.

Wenn bei Geräten ein Fehler beim Nachweis auftritt, können Sie abhängig vom Wert in der Spalte Statusdetail den Nachweis mithilfe der Aktion Gerät bestätigen wiederholen. Wenn eine der folgenden Statusdetails angezeigt wird, empfiehlt es sich, die Aktion Gerät bestätigen erneut zu versuchen.

• Das AIK-Zertifikat wurde nicht vom Client bereitgestellt.

• Nachweis wird ausgeführt

• MDM-Schlüssel ist bereits im TPM vorhanden.

• TPM ist nicht bereit

• Fehler bei der Authentifizierung

• Der Client hat nicht alle erforderlichen Parameter bereitgestellt, die für den Nachweis erforderlich sind.

• Entra-Token stimmt nicht mit Geräteidentität überein

Berechtigungen für die Geräteaktion

Um die Aktion Gerät bestätigen verwenden zu können, benötigen Sie eine rollenbasierte Berechtigung, die als Remotetasks bezeichnet wird: Gibt den Nachweis für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) an, wenn das Gerät dafür geeignet ist. Legen Sie die Berechtigung auf Ja fest, um die Aktion zu aktivieren. Wenn die Berechtigung auf Ja festgelegt ist, können IT-Administratoren die Aktion Gerät bestätigen initiieren.

Ressourcen

Wichtig

Bei der Problembehandlung für TPM ist in der Regel eine Zurücksetzungs- und Zurücksetzungsaktion erforderlich, die zu Datenverlusten führen kann. Stellen Sie sicher, dass Sie über Sicherungen verfügen, bevor Sie tpm-Problembehandlungsschritte ausführen.

• TPM-Empfehlungen – Windows-Sicherheit | Microsoft Learn

• Intune-Berichte

• Aktualisieren der Firmware

• Problembehandlung für das TPM – Windows-Sicherheit | Zurücksetzen des TPM-Besitzes

Weitere Links:

• TrustedPlatformModule

• Aktivieren von TPM 2.0 auf Ihrem PC