Atestado de integridade para Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Você pode exibir o status de Windows 10 Atestado de Integridade do Dispositivo no console Configuration Manager. O atestado de integridade do dispositivo permite garantir que os computadores cliente tenham as seguintes configurações confiáveis de bios, TPM e software de inicialização habilitadas:
O ELAM (antimalware de início antecipado) protege seu computador quando ele é iniciado e antes da inicialização de drivers de terceiros. Para obter mais informações, confira avisão geral do AntiMalware de Início Antecipado.
A Criptografia de Unidade do Windows BitLocker criptografa todos os dados armazenados no sistema operacional e nos volumes de dados, incluindo discos removíveis. Para obter mais informações, consulte Planejar o gerenciamento do BitLocker.
A Inicialização Segura é um padrão de segurança para ajudar a garantir que um dispositivo inicialize usando apenas um software confiável pelo fabricante do computador. Para obter mais informações, consulte Inicialização Segura.
A Integridade do Código melhora a segurança do sistema operacional validando a integridade de um driver ou arquivo do sistema sempre que ele é carregado na memória. Para obter mais informações, consulte Habilitar a proteção baseada em virtualização da integridade do código.
Essa funcionalidade está disponível para recursos locais gerenciados por dispositivos móveis e Configuration Manager gerenciados com Microsoft Intune. Você pode especificar se o relatório é feito por meio da infraestrutura local ou de nuvem. O monitoramento de atestado de integridade do dispositivo local permite monitorar computadores cliente sem acesso à Internet.
Habilitar atestado de integridade
Requisitos
Dispositivos cliente que executam uma versão com suporte de Windows 10 ou Windows Server 2016 ou posterior, com o atestado de integridade do dispositivo habilitado.
Dispositivos habilitados para TPM 1.2 ou TPM 2.
Ao usar o gerenciamento de nuvem, a comunicação entre o Configuration Manager agente cliente e o ponto de gerenciamento com
has.spserv.microsoft.como serviço de atestado de integridade (porta 443). Quando local, o cliente precisa se comunicar com o ponto de gerenciamento habilitado para atestado de integridade do dispositivo.
Como habilitar a comunicação do serviço de atestado de integridade em computadores cliente Configuration Manager
Use esse procedimento para habilitar o monitoramento de atestado de integridade do dispositivo para dispositivos que se conectam à Internet.
No console Configuration Manager, escolha Visãogeral>de administração>Configurações do cliente. Selecione a guia para configurações do Agente de Computador .
Na caixa de diálogo Configurações Padrão , selecione Agente de Computador e role para baixo até Habilitar comunicação com o Serviço de Atestado de Integridade.
Defina Habilitar comunicação com o Serviço de Atestado de Integridade como Sim e selecione OK.
Direcione as coleções de dispositivos que devem relatar a integridade do dispositivo.
Como habilitar a comunicação do serviço de atestado de integridade local em computadores cliente Configuration Manager
Use esse procedimento para habilitar o monitoramento de atestado de integridade do dispositivo para dispositivos locais que não se conectam à Internet.
Você pode configurar a URL do serviço de atestado de integridade do dispositivo local no ponto de gerenciamento para dar suporte a dispositivos cliente sem acesso à Internet.
No console Configuration Manager, navegue pelosSites deConfiguração> do Site deVisão Geral> da Administração>.
Clique com o botão direito do mouse no site primário ou secundário com o ponto de gerenciamento que dá suporte a clientes de atestado de integridade do dispositivo local e selecione Configurar pontosdegerenciamento de componentes > do site. A página Propriedades do Componente do Ponto de Gerenciamento é aberta.
Na guia Opções Avançadas , selecione Adicionar e especifique uma URL de serviço de atestado de integridade do dispositivo local válida. Você pode adicionar várias URLs. Se várias URLs locais forem especificadas, os clientes receberão o conjunto completo e escolherão aleatoriamente quais usar.
No console Configuration Manager, escolha Visãogeral>de administração>Configurações do cliente. Selecione a guia para configurações do Agente de Computador .
Role para baixo até Habilitar comunicação com o Serviço de Atestado de Integridade e defina como Sim.
Selecione a opção Usar Serviço de Atestado de Integridade local e defina como Sim.
Direcione as coleções de dispositivos que devem relatar a integridade do dispositivo com as configurações do agente cliente para habilitar o relatório de atestado de integridade do dispositivo.
Você também pode Editar ou Remover URLs de serviço de atestado de integridade do dispositivo.
Monitorar o atestado de integridade do dispositivo
Para exibir o status do atestado de integridade do dispositivo, no console Configuration Manager vá para o workspace Monitoramento, expanda o nó Segurança e selecione Atestado de Integridade.
Configuration Manager atestado de integridade do dispositivo exibe as seguintes informações:
Status do Atestado de Integridade – mostra o compartilhamento de dispositivos em estados compatíveis, não compatíveis, com erros e desconhecidos
Atestado de integridade do relatório de dispositivos – mostra o percentual de dispositivos relatando o status do Atestado de Integridade
Dispositivos não compatíveis por tipo de cliente – mostra o compartilhamento de dispositivos móveis e computadores que não são compatíveis
Principais configurações de atestado de integridade ausente – mostra o número de dispositivos ausentes na configuração do atestado de integridade, listado por configuração
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de