Compartir a través de

El dispositivo Windows 10 con arranque seguro habilitado se muestra como No compatible en Intune

En este artículo se explica un escenario en el que se muestra un dispositivo Windows 10 con arranque seguro habilitado como No compatible en Microsoft Intune.

Síntoma

Cree una directiva de cumplimiento para dispositivos Windows 10 en Intune. Establezca requerir arranque seguro para habilitarse en la configuración del dispositivo en Requerir.

Captura de pantalla de la opción Requerir arranque seguro para habilitarse en el dispositivo.

En este escenario, un dispositivo Windows 10 que cumple el requisito se marca como No compatible.

Captura de pantalla que muestra Requerir que el arranque seguro esté habilitado en el dispositivo No compatible.

Causa

La opción Requerir arranque seguro para habilitarse en el dispositivo es compatible con algunos dispositivos TPM 1.2 y 2.0. En el caso de los dispositivos que no admiten TPM 2.0 o posterior, el estado de la directiva en Intune se muestra como No compatible. TPM 2.0 requiere firmware UEFI. Un equipo con BIOS heredado y TPM 2.0 no funcionará según lo previsto.

Para obtener más información sobre las versiones admitidas, consulte Versiones admitidas para la atestación de estado del dispositivo.

Para obtener más información sobre cómo las soluciones de administración de dispositivos móviles (MDM) usan el servicio de atestación de estado, consulta Proteger, controlar e informar sobre el estado de seguridad de los dispositivos basados en Windows 10.

Más información

Siga estos pasos para comprobar si el dispositivo cumple los requisitos de hardware de la característica de atestación de estado.

  1. Compruebe la versión de TPM.

    Escriba tpm.msc en el cuadro Ejecutar y, a continuación, active el valor en Versión de especificación.

    Captura de pantalla de la administración de TPM en la ventana Equipo local, donde se resalta la versión de especificación.

    Nota:

    Si la versión de TPM es 1.2 y el dispositivo admite TPM 2.0, póngase en contacto con el fabricante del dispositivo para actualizar a TPM 2.0.

  2. Abra un símbolo del sistema con privilegios elevados y ejecute el msinfo32 comando.

  3. En Resumen del sistema, compruebe que el modo BIOS es UEFI y que la configuración de PCR7 está enlazada.

    Captura de pantalla del resumen del sistema, donde el modo BIOS es UEFI y la configuración de PCR7 está enlazada.

  4. Abra un símbolo del sistema de PowerShell con privilegios elevados y ejecute el siguiente comando:

    Confirm-SecureBootUEFI

    Compruebe que devuelve el valor de True.

  5. Ejecute el siguiente comando de PowerShell:

    manage-bde -protectors -get $env:systemdrive

    Compruebe que la unidad está protegida por PCR 7.

    Captura de pantalla del perfil de validación de PCR.