Attestation d’inscription Windows
L’objectif de l’attestation d’inscription Windows est de rendre les appareils plus sécurisés et dignes de confiance au sein du réseau qu’ils rejoignent. Avec cette fonctionnalité, vous pouvez vérifier que les appareils Windows 10 et 11 répondent à des normes de sécurité strictes lors de l’inscription, à l’aide de la technologie module de plateforme sécurisée (TPM) pour améliorer leur défense contre les menaces. La fonctionnalité d’attestation d’inscription Windows confirme et signale également les appareils qui s’inscrivent en toute sécurité, garantissant ainsi la fiabilité du processus.
Voici comment cela profite aux organisations :
Sécurité améliorée : L’attestation TPM permet de détecter et de résoudre les faiblesses de sécurité ou les appareils compromis, et réduit le risque d’accès non autorisé ou d’incidents de sécurité.
Respect des normes réglementaires : l’attestation Windows aide les organisations à prouver qu’elles suivent des mesures de sécurité strictes lors de l’inscription des appareils, ce qui est important pour respecter les réglementations et les exigences de conformité du secteur.
L’objectif principal est d’établir un environnement plus sécurisé et approuvé pour les appareils au sein de l’infrastructure organisationnelle à l’aide de l’attestation Windows pendant le processus d’inscription.
Conditions requises pour l’attestation d’inscription Windows
Nous vous recommandons d’utiliser les dernières mises à jour pour un taux d’attestation plus réussi.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
TPM 2.0 minimum sur les appareils
Les appareils physiques sont pris en charge.
Remarque
Les machines virtuelles ne peuvent pas attester, y compris les éléments suivants, même si elles utilisent des machines virtuelles :
- Machines virtuelles Hyper-V et Azure
- Hôtes de session Azure Virtual Desktop
- PC cloud Windows 365
- Microsoft Dev Box
L’attestation avec TPM dans cette fonctionnalité s’effectue lors de l’inscription de la gestion des appareils Intune, après l’attestation TPM qui se produit en préprovisionnement Autopilot et en mode appareil partagé (SDM).
Liste des fournisseurs de services de configuration (CSP) applicables pour l’attestation Windows :
Fonctionnement de l’attestation d’inscription Windows
Rapport d’état d’attestation de l’appareil
Le rapport affiche des informations sur l’appareil, son TPM et indique si l’appareil a été correctement attesté lors de l’inscription. Si un appareil n’est pas attesté, le rapport explique pourquoi dans la section Détails de l’état . Utilisez ce rapport pour afficher la liste complète des appareils et vérifier ceux qui ont été correctement attestés lors de l’inscription.
Pour accéder à ce rapport :
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Rapports État>de l’attestation de l’appareil (préversion) sous la section Gestion des appareils .
Filtrez par État d’attestation ou Type de propriété , puis sélectionnez Générer un rapport.
Une fois le rapport généré, les détails de niveau supérieur que vous voyez sont les suivants :
Nom du périphérique
ID d'appareil
UPN
État de l’attestation de l’appareil
Détails de l’état
Système d’exploitation
Version du système d'exploitation
Propriété
Dernier enregistrement
Date d’inscription
Version du TPM
Fabricant du module de plateforme sécurisée
Modèle
En sélectionnant une entrée, vous trouverez des informations plus détaillées sur l’appareil. Vous pouvez également sélectionner une entrée à l’aide de la colonne Sélectionner à gauche et attester à nouveau à l’aide de l’action Attester l’appareil en haut du rapport.
Le tableau suivant répertorie les détails de l’état et leurs descriptions :
Détails de l’état | Description |
---|---|
La clé Entra ne peut pas être attestée | L’équipe Entra n’a pas stocké la clé du certificat ENTRA dans le module TPM. Si l’appareil est inscrit auprès d’AP ODJ, ce détail d’état est temporaire. |
L’attestation est en cours | L’appareil travaille toujours sur l’attestation quand Intune demande son état le plus récent. |
TPM n’est pas approuvé | L’appareil contient un module de plateforme sécurisée qui n’est pas approuvé et qui ne peut donc pas être attesté. |
TPM n’est pas disponible | L’appareil n’a pas de TPM 2.0 ou TPM ne peut pas être attesté en raison d’un microprogramme nécessitant une mise à jour. Pour plus d’informations sur la mise à jour du microprogramme, consultez Ressources |
TPM n’est pas prêt | Le module TPM n’est pas prêt à être utilisé par cet appareil. L’utilisateur doit réinitialiser la propriété du TPM. Pour plus d’informations sur la réinitialisation de la propriété TPM, consultez Ressources |
La demande du client est rejetée | La demande d’attestation du client n’a pas atteint le serveur MDM ou le serveur a rejeté la demande. |
Le certificat AIK n’a pas été fourni | Le certificat AIK est manquant sur l’appareil. Peut être dû à un problème réseau. Si elle est temporaire, l’attestation retentera correctement une fois que l’appareil reçoit le certificat AIK. |
Le client n’a pas fourni tous les paramètres requis | Le certificat AIK et la clé publique AIK sont manquants. |
La clé MDM est déjà dans le module de plateforme sécurisée (TPM) | L’appareil indique que la clé MDM est déjà stockée dans TPM. Toutefois, Intune ne peut pas l’attester, car le certificat AIK ou la clé publique AIK est manquant, ou la clé ENTRA ne peut pas être attestée. |
La fonctionnalité n’est pas prise en charge | Cet état s’affiche pour les appareils qui ne sont pas encore attestables. Exemples : machines virtuelles Hyper-V et Azure, hôtes de session Azure Virtual Desktop, PC Cloud Windows 365, Microsoft Dev Box. |
Le jeton Entra ne correspond pas à l’identité de l’appareil | Le jeton ENTRA pour l’inscription ne correspond pas à la clé ENTRA présentée dans la demande d’inscription. Vous pouvez résoudre ce problème en effectuant une mise à niveau vers la dernière version de Windows et en effectuant une nouvelle tentative d’attestation. |
Le jeton Entra est manquant d’identité de l’appareil | L’identité de l’appareil ENTRA est manquante pour l’inscription. |
Remarque
Pour plus d’informations, consultez la section Ressources .
Attester l’action de l’appareil
Si vous voyez des appareils dans le rapport qui n’ont pas démarré l’attestation TPM, vous pouvez sélectionner quelques-uns de ces appareils à la fois et les attester à l’aide de la nouvelle action d’appareil Attester l’appareil en haut du rapport. Cette action d’appareil doit prendre moins de quelques minutes pour attester l’appareil et est reflétée dans le rapport lorsque vous actualisez.
Pour attester de certains appareils non démarrés :
Utilisez les filtres de liste déroulante en haut du rapport pour filtrer sur l’état d’attestation Non démarré .
Sélectionnez à nouveau Générer. À partir de là, sélectionnez quelques appareils, puis sélectionnez Attester l’action de l’appareil en haut du rapport.
L’attestation peut prendre jusqu’à 15 minutes en fonction de l’activité de l’appareil et du nombre d’appareils sélectionnés. Actualisez après un certain temps pour voir l’état mis à jour des appareils sélectionnés.
Remarque
Vous ne pouvez sélectionner que jusqu’à 100 appareils à la fois pour l’action de l’appareil et attendre au moins 1 minute entre le déclenchement de l’action Attester l’appareil .
Si les appareils échouent à l’attestation, en fonction de la valeur dans la colonne Détails de l’état , vous pouvez réessayer l’attestation à l’aide de l’action Attester l’appareil . Si l’un des détails d’état suivants s’affiche, nous vous recommandons de réessayer l’action Attester l’appareil .
Le certificat AIK n’a pas été fourni par le client
L’attestation est en cours
La clé MDM est déjà dans le module de plateforme sécurisée (TPM)
TPM n’est pas prêt
Échec de l’authentification
Le client n’a pas fourni tous les paramètres requis pour l’attestation
Le jeton Entra ne correspond pas à l’identité de l’appareil
Autorisations pour l’action de l’appareil
Pour utiliser l’action Attester l’appareil d’appareil , vous avez besoin d’une autorisation basée sur un rôle appelée Tâches distantes : indique l’attestation de gestion des appareils mobiles (GPM) si l’appareil en est capable. Définissez l’autorisation sur Oui pour activer l’action. Avec l’autorisation définie sur Oui, les administrateurs informatiques peuvent lancer une action Attester l’appareil .
Ressources
Importante
La résolution des problèmes de TPM nécessite généralement une action Réinitialiser et réinitialiser, ce qui peut entraîner une perte de données. Vérifiez que vous avez des sauvegardes en place avant d’effectuer les étapes de résolution des problèmes du module de plateforme sécurisée.
Liens supplémentaires :