Atestación de estado para Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Puede ver el estado de Windows 10 atestación de estado del dispositivo en la consola de Configuration Manager. La atestación de estado del dispositivo le permite asegurarse de que los equipos cliente tienen habilitadas las siguientes configuraciones de software de arranque, TPM y BIOS de confianza:

• Antimalware de inicio anticipado (ELAM) protege el equipo cuando se inicia y antes de que se inicialicen los controladores de terceros. Para obtener más información, consulteLa introducción a Early Launch AntiMalware.

• Cifrado de unidad bitlocker de Windows cifra todos los datos almacenados en el sistema operativo y los volúmenes de datos, incluidos los discos extraíbles. Para obtener más información, vea Planear la administración de BitLocker.

• Arranque seguro es un estándar de seguridad para ayudar a asegurarse de que un dispositivo se inicia usando solo software de confianza para el fabricante del equipo. Para obtener más información, consulte Arranque seguro.

• La integridad del código mejora la seguridad del sistema operativo mediante la validación de la integridad de un controlador o archivo del sistema cada vez que se carga en la memoria. Para obtener más información, vea Habilitar la protección basada en virtualización de la integridad del código.

Esta funcionalidad está disponible para los recursos locales administrados por Configuration Manager y dispositivos móviles administrados con Microsoft Intune. Puede especificar si los informes se realizan a través de la infraestructura en la nube o local. La supervisión de la atestación de estado del dispositivo local permite supervisar los equipos cliente sin acceso a Internet.

Habilitación de la atestación de estado

Requisitos

• Dispositivos cliente que ejecutan una versión compatible de Windows 10 o Windows Server 2016 o posterior, con la atestación de estado del dispositivo habilitada.

• Dispositivos habilitados para TPM 1.2 o TPM 2.

• Cuando se usa la administración en la nube, la comunicación entre el agente cliente Configuration Manager y el punto de administración con has.spserv.microsoft.com el servicio de atestación de estado (puerto 443). Cuando es local, el cliente debe comunicarse con el punto de administración habilitado para la atestación de estado del dispositivo.

Habilitación de la comunicación del servicio de atestación de estado en Configuration Manager equipos cliente

Use este procedimiento para habilitar la supervisión de atestación del estado del dispositivo para los dispositivos que se conectan a Internet.

1. En la consola de Configuration Manager, elija Configuraciónde cliente de información general>deadministración>. Seleccione la pestaña Configuración del Agente de equipo .

2. En el cuadro de diálogo Configuración predeterminada , seleccione Agente de equipo y desplácese hacia abajo hasta Habilitar la comunicación con el servicio de atestación de estado.

3. Establezca Habilitar la comunicación con el servicio de atestación de estado enSí y, a continuación, seleccione Aceptar.

4. Tenga como destino las colecciones de dispositivos que deben notificar el estado del dispositivo.

Habilitación de la comunicación del servicio de atestación de estado local en Configuration Manager equipos cliente

Use este procedimiento para habilitar la supervisión de atestación de estado del dispositivo para dispositivos locales que no se conectan a Internet.

Puede configurar la dirección URL del servicio de atestación de estado del dispositivo local en el punto de administración para admitir dispositivos cliente sin acceso a Internet.

1. En la consola de Configuration Manager, vayaa Introducción a>la administración>Sitiosde configuración del> sitio.

2. Haga clic con el botón derecho en el sitio principal o secundario con el punto de administración que admite clientes de atestación de estado de dispositivo local y seleccione Configurar componentes>de sitio Punto de administración. Se abre la página Propiedades del componente de punto de administración .

3. En la pestaña Opciones avanzadas , seleccione Agregar y especifique una dirección URL de servicio de atestación de estado de dispositivo local válida. Puede agregar varias direcciones URL. Si se especifican varias direcciones URL locales, los clientes reciben el conjunto completo y eligen aleatoriamente cuál usar.

4. En la consola de Configuration Manager, elija Configuraciónde cliente de información general>deadministración>. Seleccione la pestaña Configuración del Agente de equipo .

5. Desplácese hacia abajo hasta Habilitar la comunicación con health Attestation Service y establezca en Sí.

6. Seleccione la opción Usar servicio de atestación de mantenimiento local y establezca en Sí.

7. Tenga como destino las colecciones de dispositivos que deben notificar el estado del dispositivo con la configuración del agente cliente para habilitar los informes de atestación de estado del dispositivo.

También puede editar o quitar direcciones URL del servicio de atestación de estado del dispositivo.

Supervisión de la atestación de estado del dispositivo

Para ver el estado de atestación de estado del dispositivo, en la consola de Configuration Manager vaya al área de trabajo Supervisión, expanda el nodo Seguridad y, a continuación, seleccione Atestación de estado.

Configuration Manager atestación de estado del dispositivo muestra la siguiente información:

• Estado de atestación de estado: muestra el recurso compartido de dispositivos en estados conformes, no conformes, con errores y desconocidos.

• Dispositivos que notifican la atestación de estado : muestra el porcentaje de dispositivos que notifican el estado de atestación de estado.

• Dispositivos no compatibles por tipo de cliente : muestra el recurso compartido de dispositivos móviles y equipos que no son compatibles.

• Configuración de atestación de estado que falta en la parte superior : muestra el número de dispositivos que faltan en la configuración de atestación de estado, que se muestra por configuración.