Partager via


Attestation d’inscription Windows

L’objectif de l’attestation d’inscription Windows est de rendre les appareils plus sécurisés et dignes de confiance au sein du réseau qu’ils rejoignent. Avec cette fonctionnalité, vous pouvez vérifier que les appareils Windows 10 et 11 répondent à des normes de sécurité strictes lors de l’inscription, à l’aide de la technologie module de plateforme sécurisée (TPM) pour améliorer leur défense contre les menaces. La fonctionnalité d’attestation d’inscription Windows confirme et signale également les appareils qui s’inscrivent en toute sécurité, garantissant ainsi la fiabilité du processus.

Voici comment cela profite aux organisations :

Sécurité améliorée : L’attestation TPM permet de détecter et de résoudre les faiblesses de sécurité ou les appareils compromis, et réduit le risque d’accès non autorisé ou d’incidents de sécurité.

Respect des normes réglementaires : l’attestation Windows aide les organisations à prouver qu’elles suivent des mesures de sécurité strictes lors de l’inscription des appareils, ce qui est important pour respecter les réglementations et les exigences de conformité du secteur.

L’objectif principal est d’établir un environnement plus sécurisé et approuvé pour les appareils au sein de l’infrastructure organisationnelle à l’aide de l’attestation Windows pendant le processus d’inscription.

Conditions requises pour l’attestation d’inscription Windows

Nous vous recommandons d’utiliser les dernières mises à jour pour un taux d’attestation plus réussi.

Fonctionnement de l’attestation d’inscription Windows

Diagramme d’architecture de haut niveau sur la façon dont nous durcirons l’appareil Windows à l’aide du module de plateforme sécurisée lors de l’inscription

Rapport d’état d’attestation de l’appareil

Le rapport affiche des informations sur l’appareil, son TPM et indique si l’appareil a été correctement attesté lors de l’inscription. Si un appareil n’est pas attesté, le rapport explique pourquoi dans la section Détails de l’état . Utilisez ce rapport pour afficher la liste complète des appareils et vérifier ceux qui ont été correctement attestés lors de l’inscription.

Pour accéder à ce rapport :

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Sélectionnez Rapports État>de l’attestation de l’appareil (préversion) sous la section Gestion des appareils .

  3. Filtrez par État d’attestation ou Type de propriété , puis sélectionnez Générer un rapport.

    Capture d’écran du rapport d’attestation de l’appareil

Une fois le rapport généré, les détails de niveau supérieur que vous voyez sont les suivants :

  • Nom du périphérique

  • ID d'appareil

  • UPN

  • État de l’attestation de l’appareil

  • Détails de l’état

  • Système d’exploitation

  • Version du système d'exploitation

  • Propriété

  • Dernier enregistrement

  • Date d’inscription

  • Version du TPM

  • Fabricant du module de plateforme sécurisée

  • Modèle

En sélectionnant une entrée, vous trouverez des informations plus détaillées sur l’appareil. Vous pouvez également sélectionner une entrée à l’aide de la colonne Sélectionner à gauche et attester à nouveau à l’aide de l’action Attester l’appareil en haut du rapport.

Le tableau suivant répertorie les détails de l’état et leurs descriptions :

Détails de l’état Description
La clé Entra ne peut pas être attestée L’équipe Entra n’a pas stocké la clé du certificat ENTRA dans le module TPM. Si l’appareil est inscrit auprès d’AP ODJ, ce détail d’état est temporaire.
L’attestation est en cours L’appareil travaille toujours sur l’attestation quand Intune demande son état le plus récent.
TPM n’est pas approuvé L’appareil contient un module de plateforme sécurisée qui n’est pas approuvé et qui ne peut donc pas être attesté.
TPM n’est pas disponible L’appareil n’a pas de TPM 2.0 ou TPM ne peut pas être attesté en raison d’un microprogramme nécessitant une mise à jour. Pour plus d’informations sur la mise à jour du microprogramme, consultez Ressources
TPM n’est pas prêt Le module TPM n’est pas prêt à être utilisé par cet appareil. L’utilisateur doit réinitialiser la propriété du TPM. Pour plus d’informations sur la réinitialisation de la propriété TPM, consultez Ressources
La demande du client est rejetée La demande d’attestation du client n’a pas atteint le serveur MDM ou le serveur a rejeté la demande.
Le certificat AIK n’a pas été fourni Le certificat AIK est manquant sur l’appareil. Peut être dû à un problème réseau. Si elle est temporaire, l’attestation retentera correctement une fois que l’appareil reçoit le certificat AIK.
Le client n’a pas fourni tous les paramètres requis Le certificat AIK et la clé publique AIK sont manquants.
La clé MDM est déjà dans le module de plateforme sécurisée (TPM) L’appareil indique que la clé MDM est déjà stockée dans TPM. Toutefois, Intune ne peut pas l’attester, car le certificat AIK ou la clé publique AIK est manquant, ou la clé ENTRA ne peut pas être attestée.
La fonctionnalité n’est pas prise en charge Cet état s’affiche pour les appareils qui ne sont pas encore attestables. Exemples : machines virtuelles Hyper-V et Azure, hôtes de session Azure Virtual Desktop, PC Cloud Windows 365, Microsoft Dev Box.
Le jeton Entra ne correspond pas à l’identité de l’appareil Le jeton ENTRA pour l’inscription ne correspond pas à la clé ENTRA présentée dans la demande d’inscription. Vous pouvez résoudre ce problème en effectuant une mise à niveau vers la dernière version de Windows et en effectuant une nouvelle tentative d’attestation.
Le jeton Entra est manquant d’identité de l’appareil L’identité de l’appareil ENTRA est manquante pour l’inscription.

Remarque

Pour plus d’informations, consultez la section Ressources .

Attester l’action de l’appareil

Si vous voyez des appareils dans le rapport qui n’ont pas démarré l’attestation TPM, vous pouvez sélectionner quelques-uns de ces appareils à la fois et les attester à l’aide de la nouvelle action d’appareil Attester l’appareil en haut du rapport. Cette action d’appareil doit prendre moins de quelques minutes pour attester l’appareil et est reflétée dans le rapport lorsque vous actualisez.

Pour attester de certains appareils non démarrés :

  1. Utilisez les filtres de liste déroulante en haut du rapport pour filtrer sur l’état d’attestation Non démarré .

  2. Sélectionnez à nouveau Générer. À partir de là, sélectionnez quelques appareils, puis sélectionnez Attester l’action de l’appareil en haut du rapport.

  3. L’attestation peut prendre jusqu’à 15 minutes en fonction de l’activité de l’appareil et du nombre d’appareils sélectionnés. Actualisez après un certain temps pour voir l’état mis à jour des appareils sélectionnés.

Remarque

Vous ne pouvez sélectionner que jusqu’à 100 appareils à la fois pour l’action de l’appareil et attendre au moins 1 minute entre le déclenchement de l’action Attester l’appareil .

Si les appareils échouent à l’attestation, en fonction de la valeur dans la colonne Détails de l’état , vous pouvez réessayer l’attestation à l’aide de l’action Attester l’appareil . Si l’un des détails d’état suivants s’affiche, nous vous recommandons de réessayer l’action Attester l’appareil .

  • Le certificat AIK n’a pas été fourni par le client

  • L’attestation est en cours

  • La clé MDM est déjà dans le module de plateforme sécurisée (TPM)

  • TPM n’est pas prêt

  • Échec de l’authentification

  • Le client n’a pas fourni tous les paramètres requis pour l’attestation

  • Le jeton Entra ne correspond pas à l’identité de l’appareil

Autorisations pour l’action de l’appareil

Pour utiliser l’action Attester l’appareil d’appareil , vous avez besoin d’une autorisation basée sur un rôle appelée Tâches distantes : indique l’attestation de gestion des appareils mobiles (GPM) si l’appareil en est capable. Définissez l’autorisation sur Oui pour activer l’action. Avec l’autorisation définie sur Oui, les administrateurs informatiques peuvent lancer une action Attester l’appareil .

Ressources

Importante

La résolution des problèmes de TPM nécessite généralement une action Réinitialiser et réinitialiser, ce qui peut entraîner une perte de données. Vérifiez que vous avez des sauvegardes en place avant d’effectuer les étapes de résolution des problèmes du module de plateforme sécurisée.

Liens supplémentaires :