Compartilhar via

O dispositivo Windows 10 com inicialização segura habilitada é exibido como Não Compatível no Intune

Este artigo descreve um cenário em que um dispositivo Windows 10 com inicialização segura habilitada é mostrado como Não Compatível no Microsoft Intune.

Sintoma

Você cria uma política de conformidade para dispositivos Windows 10 no Intune. Você define a configuração Exigir Inicialização Segura a ser habilitada no dispositivo como Exigir.

Captura de tela da configuração Exigir inicialização segura a ser habilitada no dispositivo.

Nesse cenário, um dispositivo Windows 10 que atende ao requisito é marcado como Não compatível.

A captura de tela mostra Exigir que a inicialização segura seja habilitada no dispositivo Não compatível.

Causa

A configuração Exigir que a Inicialização Segura seja habilitada no dispositivo tem suporte em alguns dispositivos TPM 1.2 e 2.0. Para dispositivos que não dão suporte ao TPM 2.0 ou posterior, o status da política no Intune é mostrado como Não compatível. O TPM 2.0 requer firmware UEFI. Um computador com BIOS herdado e TPM 2.0 não funcionará conforme o esperado.

Para obter mais informações sobre versões com suporte, consulte Versões com suporte para atestado de integridade do dispositivo.

Para obter mais informações sobre como as soluções de MDM (gerenciamento de dispositivo móvel) usam o Serviço de Atestado de Integridade, consulte Proteger, controlar e relatar o status de segurança de dispositivos baseados no Windows 10.

Mais informações

Use estas etapas para verificar se o dispositivo atende aos requisitos de hardware para o recurso de atestado de integridade.

  1. Verifique a versão do TPM.

    Digite tpm.msc na caixa Executar e verifique o valor em Versão da Especificação.

    Captura de tela da janela Gerenciamento do TPM no Computador Local, onde a Versão da Especificação é realçada.

    Observação

    Se a versão do TPM for 1.2 e seu dispositivo der suporte ao TPM 2.0, entre em contato com o fabricante do dispositivo para atualizar para o TPM 2.0.

  2. Abra um prompt de comando com privilégios elevados e execute o msinfo32 comando.

  3. Em Resumo do sistema, verifique se o modo BIOS é UEFI e se a configuração do PCR7 está vinculada.

    Captura de tela do resumo do sistema, em que o modo BIOS é UEFI e a configuração do PCR7 está vinculada.

  4. Abra um prompt de comando do PowerShell com privilégios elevados e execute o seguinte comando:

    Confirm-SecureBootUEFI

    Verifique se ele retorna o valor de True.

  5. Execute o seguinte comando do PowerShell:

    manage-bde -protectors -get $env:systemdrive

    Verifique se a unidade está protegida pelo PCR 7.

    Captura de tela do perfil de validação de PCR.