Partilhar via


Atestado de inscrição do Windows

O objetivo do atestado de inscrição do Windows é tornar os dispositivos mais seguros e fidedignos na rede que associam. Com esta funcionalidade, pode verificar se os dispositivos Windows 10 e 11 cumprem normas de segurança rigorosas durante a inscrição, utilizando a tecnologia Trusted Platform Module (TPM) para melhorar a sua defesa contra ameaças. A funcionalidade de atestado de inscrição do Windows também confirma e reporta os dispositivos que se inscrevem de forma segura, garantindo que o processo é fiável.

Eis como beneficia as organizações:

Segurança melhorada: o atestado TPM ajuda a detetar e a resolver falhas de segurança ou dispositivos comprometidos e reduz a probabilidade de acesso não autorizado ou incidentes de segurança.

Cumprir as normas regulamentares: o atestado do Windows ajuda as organizações a provar que seguem medidas de segurança rigorosas durante a inscrição de dispositivos, o que é importante para cumprir os requisitos de conformidade e os regulamentos do setor.

O principal objetivo é estabelecer um ambiente mais seguro e fidedigno para os dispositivos dentro da infraestrutura organizacional através do atestado do Windows durante o processo de inscrição.

Requisitos para o atestado de inscrição do Windows

Recomendamos que utilize as atualizações mais recentes para uma taxa de atestado mais bem-sucedida.

  • Windows 10

    • 10.0.19045.3996+
  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+
  • Mínimo de TPM 2.0 em dispositivos

  • Os dispositivos físicos são suportados.

    Observação

    As máquinas virtuais não podem atestar, incluindo o seguinte, mesmo que utilizem vTPMs:

    • Máquinas virtuais do Hyper-V e do Azure
    • Anfitriões de sessões do Azure Virtual Desktop
    • Windows 365 Cloud PCs
    • Microsoft Dev Box
  • O atestado com o TPM nesta funcionalidade é durante a inscrição de gestão de dispositivos do Intune, após o atestado TPM que ocorre no Modo de dispositivo partilhado (SDM) e pré-aprovisionamento do Autopilot.

  • Lista de Fornecedores de Serviços de Configuração (CSPs) aplicáveis para o atestado do Windows:

Como funciona o atestado de inscrição do Windows

Diagrama de arquitetura de alto nível sobre como endurecemos o dispositivo Windows através do TPM na inscrição

Relatório de estado do atestado do dispositivo

O relatório mostra informações sobre o dispositivo, o respetivo TPM e se o dispositivo foi atestado com êxito na inscrição. Se um dispositivo não atestar, o relatório explica o motivo na secção Detalhes do estado. Utilize este relatório para ver a lista completa de dispositivos e verificar quais foram atestados com êxito na inscrição.

Para aceder a este relatório:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Relatórios>Estado do atestado do dispositivo (pré-visualização) na secção Gestão de Dispositivos .

  3. Filtre por Estado do atestado ou Tipo de propriedade e selecione Gerar relatório.

    Captura de ecrã do relatório de atestado de dispositivos

Depois de o relatório ser gerado, os detalhes de nível superior que vê incluem:

  • Nome do dispositivo

  • ID do Dispositivo

  • UPN

  • Estado do atestado do dispositivo

  • Detalhes do estado

  • SO

  • Versão do SO

  • Propriedade

  • Última entrada

  • Data de inscrição

  • Versão do TPM

  • Fabricante do TPM

  • Modelo

Ao selecionar uma entrada, pode encontrar informações mais detalhadas sobre o dispositivo. Também pode selecionar uma entrada com a coluna Selecionar do lado esquerdo e voltar a atestar com a ação Atestar dispositivo na parte superior do relatório.

A tabela seguinte lista os detalhes do estado e as respetivas descrições:

Detalhes do estado Descrição
A chave Entra não pode ser atestada A equipa da Entra não armazenou a chave do certificado ENTRA no TPM. Se o dispositivo estiver inscrito no AP ODJ, este Detalhe de Estado é temporário.
O atestado está em processo O dispositivo ainda está a trabalhar no atestado quando o Intune consulta o estado mais recente.
O TPM não é fidedigno O dispositivo contém um TPM que não é fidedigno e, portanto, não pode ser atestado.
O TPM não está disponível O dispositivo não tem o TPM 2.0 ou o TPM não pode ser atestado devido à necessidade de atualização do firmware. Para obter mais informações sobre como atualizar o firmware, veja Recursos
O TPM não está pronto O TPM não está pronto para ser utilizado por este dispositivo. O utilizador tem de repor a propriedade do TPM. Para obter mais informações sobre como repor a propriedade do TPM, veja Recursos
O pedido de cliente é rejeitado O pedido de atestado do cliente não chegou ao servidor MDM ou o servidor rejeitou o pedido.
O certificado AIK não foi fornecido O certificado AIK está em falta no dispositivo. Pode dever-se a um problema de rede. Se for temporário, o atestado tentará novamente com êxito assim que o dispositivo receber o certificado AIK.
O cliente não forneceu todos os parâmetros necessários O certificado do AIK e a chave pública do AIK estão em falta.
A chave MDM já está no TPM O dispositivo indica que a chave MDM já está armazenada no TPM. No entanto, o Intune não consegue atestá-lo porque o certificado AIK ou a chave pública do AIK estão em falta ou a chave ENTRA não pode ser atestada.
A funcionalidade não é suportada Este estado é apresentado para dispositivos que ainda não estão attesáveis. Os exemplos incluem máquinas virtuais do Hyper-V e do Azure, anfitriões de sessões do Azure Virtual Desktop, PCs na Cloud do Windows 365, Microsoft Dev Box.
O token entra não corresponde à identidade do dispositivo O token ENTRA para inscrição não corresponde à chave ENTRA apresentada no pedido de inscrição. Pode corrigir este problema ao atualizar para a compilação mais recente do Windows e ao repetir o atestado.
O token de entra está em falta na identidade do dispositivo O token ENTRA para inscrição está em falta na identidade do dispositivo ENTRA.

Observação

Para obter mais informações, veja a secção Recursos .

Atestar a ação do dispositivo

Se vir dispositivos no relatório que não iniciaram o atestado de TPM, pode selecionar alguns desses dispositivos de cada vez e o TPM atesta-os através da nova ação do dispositivo Atestar dispositivo na parte superior do relatório. Esta ação do dispositivo deve demorar menos de alguns minutos a atestar o dispositivo e é refletida no relatório quando atualizar.

Para atestar alguns dispositivos Não Iniciados :

  1. Utilize os filtros pendentes na parte superior do relatório para filtrar para o estado do atestado Não Iniciado .

  2. Selecione Gerar novamente. A partir daí, selecione alguns dispositivos e, em seguida, selecione Atestar a ação do dispositivo na parte superior do relatório.

  3. O atestado pode demorar até 15 minutos, dependendo da atividade do dispositivo e do número de dispositivos selecionados. Atualize após algum tempo para ver o estado atualizado dos dispositivos selecionados.

Observação

Só pode selecionar até 100 dispositivos de cada vez para a ação do dispositivo e aguardar pelo menos 1 minuto entre acionar a ação Atestar dispositivo .

Se os dispositivos estiverem a falhar no atestado, dependendo do valor na coluna Detalhes do estado, pode repetir o atestado com a ação Atestar dispositivo . Se algum dos seguintes detalhes do Estado for apresentado, recomendamos que tente novamente a ação Atestar dispositivo .

  • O certificado AIK não foi fornecido pelo cliente

  • O atestado está em processo

  • A chave MDM já está no TPM

  • O TPM não está pronto

  • Falha na autenticação

  • O cliente não forneceu todos os parâmetros necessários para o atestado

  • O token entra não corresponde à identidade do dispositivo

Permissões para a ação do dispositivo

Para utilizar a ação Atestar dispositivo dispositivo, precisa de uma permissão baseada em funções conhecida como Tarefas remotas: indica o atestado de gestão de dispositivos móveis (MDM) se o dispositivo for capaz de o fazer. Defina a Permissão como sim para ativar a ação. Com a permissão definida como Sim, os administradores de TI podem iniciar a ação do dispositivo Attest .

Recursos

Importante

Normalmente, a resolução de problemas do TPM requer uma ação Desativar e Repor, o que pode resultar na perda de dados. Certifique-se de que tem cópias de segurança implementadas antes de realizar quaisquer passos de resolução de problemas do TPM.

Ligações adicionais: