Windows-inschrijvingsattest
Het doel van Windows-inschrijvingsverklaring is om apparaten veiliger en betrouwbaarder te maken binnen het netwerk waaraan ze deelnemen. Met deze functie kunt u controleren of Windows 10- en 11-apparaten tijdens de inschrijving voldoen aan strikte beveiligingsstandaarden, waarbij u TPM-technologie (Trusted Platform Module) gebruikt om hun bescherming tegen bedreigingen te verbeteren. De functie Windows-inschrijvingsverklaring bevestigt en rapporteert ook op de apparaten die veilig worden ingeschreven, zodat het proces betrouwbaar is.
Dit is de voordelen van organisaties:
Verbeterde beveiliging: TPM-attestation helpt bij het detecteren en oplossen van beveiligingsproblemen of gecompromitteerde apparaten en vermindert de kans op onbevoegde toegang of beveiligingsincidenten.
Voldoen aan regelgevingsstandaarden: Met Windows Attestation kunnen organisaties bewijzen dat ze strikte beveiligingsmaatregelen volgen tijdens de inschrijving van apparaten. Dit is belangrijk voor het voldoen aan branchevoorschriften en nalevingsvereisten.
Het belangrijkste doel is om een veiligere en vertrouwdere omgeving voor apparaten binnen de organisatie-infrastructuur tot stand te brengen met behulp van Windows Attestation tijdens het inschrijvingsproces.
Vereisten voor Windows-inschrijvingsattest
We raden u aan de nieuwste updates te gebruiken voor een succesvoller attestation-tarief.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
Minimale TPM 2.0 op apparaten
Fysieke apparaten worden ondersteund.
Opmerking
Virtuele machines kunnen geen attesteren, ook niet als ze vTPM's gebruiken:
- Virtuele Hyper-V- en Azure-machines
- Azure Virtual Desktop-sessiehosts
- Windows 365 Cloud-pc's
- Microsoft Dev Box
Attestation met TPM in deze functie vindt plaats tijdens de registratie van Intune-apparaatbeheer, na de TPM-attestation die plaatsvindt in de autopilot-inrichting vooraf en de modus Gedeelde apparaten (SDM).
Lijst met toepasselijke CSP's (Configuration Service Providers) voor Windows Attestation:
Hoe Windows-inschrijvingsattest werkt
Statusrapport apparaatverklaring
Het rapport bevat informatie over het apparaat, de TPM en of het apparaat is getest bij de inschrijving. Als een apparaat geen attest geeft, wordt in het rapport uitgelegd waarom in de sectie Statusdetails . Gebruik dit rapport om de volledige lijst met apparaten te bekijken en te controleren welke apparaten zijn getest bij de inschrijving.
Ga als volgt te werk om dit rapport te openen:
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer Rapporten>Status van apparaatattest (preview) in de sectie Apparaatbeheer .
Filter op Attestation-status of eigendomstype en selecteer Rapport genereren.
Nadat het rapport is gegenereerd, ziet u de volgende details op het hoogste niveau:
Apparaatnaam
Apparaat-id
UPN
Status van apparaatverklaring
Statusdetails
BESTURINGSSYSTEEM
Versie van besturingssysteem
Eigendom
Laatste check-in
Inschrijvingsdatum
TPM-versie
TPM-fabrikant
Model
Door een vermelding te selecteren, vindt u meer gedetailleerde informatie over het apparaat. U kunt ook een item selecteren met behulp van de kolom selecteren aan de linkerkant en opnieuw attesteren met behulp van de actie Apparaat bevestigen bovenaan het rapport.
De volgende tabel bevat de statusdetails en de bijbehorende beschrijvingen:
| Statusdetails | Beschrijving |
|---|---|
| Entra-sleutel kan niet worden getest | Het Entra-team heeft de sleutel van het ENTRA-certificaat niet opgeslagen in TPM. Als het apparaat is ingeschreven bij AP ODJ, is dit statusdetail tijdelijk. |
| Attestation wordt uitgevoerd | Het apparaat werkt nog steeds aan attestation wanneer Intune de meest recente status opvraagt. |
| TPM wordt niet vertrouwd | Het apparaat bevat een TPM die niet wordt vertrouwd en daarom niet kan worden getest. |
| TPM is niet beschikbaar | Het apparaat heeft geen TPM 2.0 of TPM kan niet worden getest omdat de firmware moet worden bijgewerkt. Zie Resources voor meer informatie over het bijwerken van firmware |
| TPM is niet gereed | TPM is nog niet gereed om door dit apparaat te worden gebruikt. De gebruiker moet het tpm-eigendom opnieuw instellen. Zie Resources voor meer informatie over het opnieuw instellen van TPM-eigendom |
| Clientaanvraag wordt geweigerd | De attestation-aanvraag van de client heeft de MDM-server niet bereikt of de aanvraag is geweigerd. |
| AIK-certificaat is niet opgegeven | Er ontbreekt een AIK-certificaat op het apparaat. Kan worden veroorzaakt door een netwerkprobleem. Als dit tijdelijk is, probeert Attestation het opnieuw zodra het apparaat een AIK-certificaat heeft ontvangen. |
| Client heeft niet alle vereiste parameters opgegeven | Zowel het AIK-certificaat als de openbare AIK-sleutel ontbreken. |
| MDM-sleutel bevindt zich al in TPM | Apparaat geeft aan dat de MDM-sleutel al is opgeslagen in TPM. Intune kan dit echter niet bevestigen omdat het AIK-certificaat of de openbare AIK-sleutel ontbreekt of omdat de ENTRA-sleutel niet kan worden getest. |
| Functie wordt niet ondersteund | Deze status wordt weergegeven voor apparaten die nog niet kunnen worden bevestigd. Voorbeelden hiervan zijn virtuele Hyper-V- en Azure-machines, Azure Virtual Desktop-sessiehosts, Windows 365 Cloud-pc's, Microsoft Dev Box. |
| Entra-token komt niet overeen met de apparaat-id | HET ENTRA-token voor inschrijving komt niet overeen met de ENTRA-sleutel die in de inschrijvingsaanvraag wordt weergegeven. U kunt dit probleem oplossen door een upgrade uit te voeren naar de nieuwste Windows-build en door attestation opnieuw te proberen. |
| Entra-token ontbreekt apparaat-id | ENTRA-token voor inschrijving ontbreekt enTRA-apparaatidentiteit. |
Opmerking
Zie de sectie Resources voor meer informatie.
Apparaatactie bevestigen
Als u in het rapport apparaten ziet waarvoor TPM-attestation niet is gestart , kunt u een paar van deze apparaten tegelijk selecteren en deze via TPM-attesteren met behulp van de nieuwe apparaatactie Apparaat bevestigen bovenaan het rapport. Deze apparaatactie duurt minder dan een paar minuten om het apparaat te bevestigen en wordt weergegeven in het rapport wanneer u vernieuwt.
Ga als volgende te werk om een aantal niet-gestarte apparaten te bevestigen:
Gebruik de vervolgkeuzelijstfilters boven aan het rapport om te filteren op de status Niet gestart attestation.
Selecteer opnieuw Genereren. Selecteer hier een paar apparaten en selecteer vervolgens Apparaatactie bevestigen bovenaan het rapport.
Attestation kan tot 15 minuten duren, afhankelijk van de activiteit van het apparaat en het aantal geselecteerde apparaten. Vernieuw na enige tijd om de bijgewerkte status van de geselecteerde apparaten te zien.
Opmerking
U kunt maximaal 100 apparaten tegelijk selecteren voor apparaatactie en ten minste 1 minuut wachten tussen het activeren van apparaatactie Attest .
Als de attestation van apparaten mislukt, kunt u, afhankelijk van de waarde in de kolom Statusdetails , opnieuw attestation proberen met behulp van de actie Apparaat attesteren . Als een van de volgende statusdetails wordt weergegeven, wordt u aangeraden de actie Apparaat bevestigen opnieuw uit te voeren.
AIK-certificaat is niet geleverd door de client
Attestation wordt uitgevoerd
MDM-sleutel bevindt zich al in TPM
TPM is niet gereed
Verificatie is mislukt
Client heeft niet alle vereiste parameters opgegeven die nodig zijn voor attestation
Entra-token komt niet overeen met apparaat-id
Machtigingen voor apparaatactie
Als u de actie Apparaat bevestigen wilt gebruiken, hebt u een machtiging op basis van rollen nodig, ook wel Externe taken genoemd: Geeft mdm-attestation (Mobile Device Management) aan als het apparaat hiervoor geschikt is. Stel de machtiging in op ja om de actie in te schakelen. Als de machtiging is ingesteld op Ja, kunnen IT-beheerders de apparaatactie Attest initiƫren.
Middelen
Belangrijk
Voor het oplossen van problemen met TPM is meestal een actie wissen en opnieuw instellen vereist, wat kan leiden tot gegevensverlies. Zorg ervoor dat u back-ups hebt voordat u tpm-probleemoplossingsstappen uitvoert.
Aanvullende koppelingen: