Attestazione di integrità per Configuration Manager

  • Articolo

Si applica a: Configuration Manager (Current Branch)

È possibile visualizzare lo stato di Windows 10 Attestazione integrità dispositivo nella console di Configuration Manager. L'attestazione dell'integrità dei dispositivi consente di verificare che nei computer client siano abilitate le seguenti configurazioni di BIOS, TPM e software di avvio attendibili:

  • L'antimalware di avvio anticipato (ELAM) protegge il computer all'avvio e prima dell'inizializzazione dei driver di terze parti. Per altre informazioni, vederePanoramica di Early Launch AntiMalware.

  • Crittografia unità BitLocker di Windows crittografa tutti i dati archiviati nel sistema operativo e nei volumi di dati, inclusi i dischi rimovibili. Per altre informazioni, vedere Pianificare la gestione di BitLocker.

  • L'avvio protetto è uno standard di sicurezza che consente di assicurarsi che un dispositivo venga avviato usando solo software considerato attendibile dal produttore del PC. Per altre informazioni, vedere Avvio protetto.

  • L'integrità del codice migliora la sicurezza del sistema operativo convalidando l'integrità di un driver o file di sistema ogni volta che viene caricato in memoria. Per altre informazioni, vedere Abilitare la protezione basata sulla virtualizzazione dell'integrità del codice.

Questa funzionalità è disponibile per le risorse locali gestite da Configuration Manager e dispositivi mobili gestiti con Microsoft Intune. È possibile specificare se la creazione di report viene eseguita tramite il cloud o l'infrastruttura locale. Il monitoraggio dell'attestazione dell'integrità dei dispositivi locali consente di monitorare i PC client senza accesso a Internet.

Abilitare l'attestazione dell'integrità

Requisiti

  • Dispositivi client che eseguono una versione supportata di Windows 10 o Windows Server 2016 o versioni successive, con l'attestazione dell'integrità del dispositivo abilitata.

  • Dispositivi abilitati per TPM 1.2 o TPM 2.

  • Quando si usa la gestione cloud, la comunicazione tra l'agente client Configuration Manager e il punto di gestione con has.spserv.microsoft.com il servizio di attestazione dell'integrità (porta 443). In locale, il client deve comunicare con il punto di gestione abilitato per l'attestazione dell'integrità del dispositivo.

Come abilitare la comunicazione del servizio di attestazione dell'integrità nei computer client Configuration Manager

Usare questa procedura per abilitare il monitoraggio dell'attestazione dell'integrità dei dispositivi per i dispositivi che si connettono a Internet.

  1. Nella console Configuration Manager scegliere Panoramica dell'amministrazione>Impostazioni>client. Selezionare la scheda per Impostazioni agente computer .

  2. Nella finestra di dialogo Impostazioni predefinite selezionare Agente computer e quindi scorrere verso il basso fino a Abilita comunicazione con il servizio di attestazione dell'integrità.

  3. Impostare Abilita comunicazione con il servizio di attestazione dell'integrità su e quindi selezionare OK.

  4. Impostare come destinazione le raccolte di dispositivi che devono segnalare l'integrità del dispositivo.

Come abilitare la comunicazione del servizio di attestazione dell'integrità locale nei computer client Configuration Manager

Usare questa procedura per abilitare il monitoraggio dell'attestazione dell'integrità dei dispositivi per i dispositivi locali che non si connettono a Internet.

È possibile configurare l'URL del servizio di attestazione dell'integrità del dispositivo locale nel punto di gestione per supportare i dispositivi client senza accesso a Internet.

  1. Nella console Configuration Manager passare aPanoramicadell'amministrazione>>Siti di configurazione>del sito.

  2. Fare clic con il pulsante destro del mouse sul sito primario o secondario con il punto di gestione che supporta i client di attestazione dell'integrità dei dispositivi locali e scegliere Configura ilpunto di gestionedei componenti> del sito. Verrà visualizzata la pagina Proprietà componente punto di gestione .

  3. Nella scheda Opzioni avanzate selezionare Aggiungi e specificare un URL del servizio di attestazione dell'integrità del dispositivo locale valido. È possibile aggiungere più URL. Se vengono specificati più URL locali, i client ricevono il set completo e scelgono in modo casuale quale usare.

  4. Nella console Configuration Manager scegliere Panoramica dell'amministrazione>Impostazioni>client. Selezionare la scheda per Impostazioni agente computer .

  5. Scorrere verso il basso fino a Abilitare la comunicazione con il servizio di attestazione dell'integrità e impostare su .

  6. Selezionare l'opzione Usa servizio di attestazione integrità locale e impostare su .

  7. Impostare come destinazione le raccolte di dispositivi che devono segnalare l'integrità dei dispositivi con le impostazioni dell'agente client per abilitare la segnalazione dell'attestazione dell'integrità del dispositivo.

È anche possibile modificare o rimuovere gli URL del servizio di attestazione dell'integrità del dispositivo.

Monitorare l'attestazione dell'integrità del dispositivo

Per visualizzare lo stato di attestazione dell'integrità del dispositivo, nella console di Configuration Manager passare all'area di lavoro Monitoraggio espandere il nodo Sicurezza e quindi selezionare Attestazione integrità.

Configuration Manager attestazione dell'integrità del dispositivo visualizza le informazioni seguenti:

  • Stato attestazione integrità : mostra la condivisione dei dispositivi in stati conformi, non conformi, di errore e sconosciuti

  • Dispositivi che segnalano l'attestazione dell'integrità : mostra la percentuale di dispositivi che segnalano lo stato di attestazione integrità

  • Dispositivi non conformi per tipo di client : mostra la condivisione di dispositivi mobili e computer non conformi

  • Principali impostazioni di attestazione integrità mancante : mostra il numero di dispositivi per cui manca l'impostazione di attestazione dell'integrità, elencata per impostazione