Atestado de inscrição do Windows
O objetivo do atestado de inscrição do Windows é tornar os dispositivos mais seguros e fidedignos na rede que associam. Com esta funcionalidade, pode verificar se os dispositivos Windows 10 e 11 cumprem normas de segurança rigorosas durante a inscrição, utilizando a tecnologia Trusted Platform Module (TPM) para melhorar a sua defesa contra ameaças. A funcionalidade de atestado de inscrição do Windows também confirma e reporta os dispositivos que se inscrevem de forma segura, garantindo que o processo é fiável.
Eis como beneficia as organizações:
Segurança melhorada: o atestado TPM ajuda a detetar e a resolver falhas de segurança ou dispositivos comprometidos e reduz a probabilidade de acesso não autorizado ou incidentes de segurança.
Cumprir as normas regulamentares: o atestado do Windows ajuda as organizações a provar que seguem medidas de segurança rigorosas durante a inscrição de dispositivos, o que é importante para cumprir os requisitos de conformidade e os regulamentos do setor.
O principal objetivo é estabelecer um ambiente mais seguro e fidedigno para os dispositivos dentro da infraestrutura organizacional através do atestado do Windows durante o processo de inscrição.
Requisitos para o atestado de inscrição do Windows
Recomendamos que utilize as atualizações mais recentes para uma taxa de atestado mais bem-sucedida.
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
Mínimo de TPM 2.0 em dispositivos
Os dispositivos físicos são suportados.
Observação
As máquinas virtuais não podem atestar, incluindo o seguinte, mesmo que utilizem vTPMs:
- Máquinas virtuais do Hyper-V e do Azure
- Anfitriões de sessões do Azure Virtual Desktop
- Windows 365 Cloud PCs
- Microsoft Dev Box
O atestado com o TPM nesta funcionalidade é durante a inscrição de gestão de dispositivos do Intune, após o atestado TPM que ocorre no Modo de dispositivo partilhado (SDM) e pré-aprovisionamento do Autopilot.
Lista de Fornecedores de Serviços de Configuração (CSPs) aplicáveis para o atestado do Windows:
Como funciona o atestado de inscrição do Windows
Relatório de estado do atestado do dispositivo
O relatório mostra informações sobre o dispositivo, o respetivo TPM e se o dispositivo foi atestado com êxito na inscrição. Se um dispositivo não atestar, o relatório explica o motivo na secção Detalhes do estado. Utilize este relatório para ver a lista completa de dispositivos e verificar quais foram atestados com êxito na inscrição.
Para aceder a este relatório:
Selecione Relatórios>Estado do atestado do dispositivo (pré-visualização) na secção Gestão de Dispositivos .
Filtre por Estado do atestado ou Tipo de propriedade e selecione Gerar relatório.
Depois de o relatório ser gerado, os detalhes de nível superior que vê incluem:
Nome do dispositivo
ID do Dispositivo
UPN
Estado do atestado do dispositivo
Detalhes do estado
SO
Versão do SO
Propriedade
Última entrada
Data de inscrição
Versão do TPM
Fabricante do TPM
Modelo
Ao selecionar uma entrada, pode encontrar informações mais detalhadas sobre o dispositivo. Também pode selecionar uma entrada com a coluna Selecionar do lado esquerdo e voltar a atestar com a ação Atestar dispositivo na parte superior do relatório.
A tabela seguinte lista os detalhes do estado e as respetivas descrições:
| Detalhes do estado | Descrição |
|---|---|
| A chave Entra não pode ser atestada | A equipa da Entra não armazenou a chave do certificado ENTRA no TPM. Se o dispositivo estiver inscrito no AP ODJ, este Detalhe de Estado é temporário. |
| O atestado está em processo | O dispositivo ainda está a trabalhar no atestado quando o Intune consulta o estado mais recente. |
| O TPM não é fidedigno | O dispositivo contém um TPM que não é fidedigno e, portanto, não pode ser atestado. |
| O TPM não está disponível | O dispositivo não tem o TPM 2.0 ou o TPM não pode ser atestado devido à necessidade de atualização do firmware. Para obter mais informações sobre como atualizar o firmware, veja Recursos |
| O TPM não está pronto | O TPM não está pronto para ser utilizado por este dispositivo. O utilizador tem de repor a propriedade do TPM. Para obter mais informações sobre como repor a propriedade do TPM, veja Recursos |
| O pedido de cliente é rejeitado | O pedido de atestado do cliente não chegou ao servidor MDM ou o servidor rejeitou o pedido. |
| O certificado AIK não foi fornecido | O certificado AIK está em falta no dispositivo. Pode dever-se a um problema de rede. Se for temporário, o atestado tentará novamente com êxito assim que o dispositivo receber o certificado AIK. |
| O cliente não forneceu todos os parâmetros necessários | O certificado do AIK e a chave pública do AIK estão em falta. |
| A chave MDM já está no TPM | O dispositivo indica que a chave MDM já está armazenada no TPM. No entanto, o Intune não consegue atestá-lo porque o certificado AIK ou a chave pública do AIK estão em falta ou a chave ENTRA não pode ser atestada. |
| A funcionalidade não é suportada | Este estado é apresentado para dispositivos que ainda não estão attesáveis. Os exemplos incluem máquinas virtuais do Hyper-V e do Azure, anfitriões de sessões do Azure Virtual Desktop, PCs na Cloud do Windows 365, Microsoft Dev Box. |
| O token entra não corresponde à identidade do dispositivo | O token ENTRA para inscrição não corresponde à chave ENTRA apresentada no pedido de inscrição. Pode corrigir este problema ao atualizar para a compilação mais recente do Windows e ao repetir o atestado. |
| O token de entra está em falta na identidade do dispositivo | O token ENTRA para inscrição está em falta na identidade do dispositivo ENTRA. |
Observação
Para obter mais informações, veja a secção Recursos .
Atestar a ação do dispositivo
Se vir dispositivos no relatório que não iniciaram o atestado de TPM, pode selecionar alguns desses dispositivos de cada vez e o TPM atesta-os através da nova ação do dispositivo Atestar dispositivo na parte superior do relatório. Esta ação do dispositivo deve demorar menos de alguns minutos a atestar o dispositivo e é refletida no relatório quando atualizar.
Para atestar alguns dispositivos Não Iniciados :
Utilize os filtros pendentes na parte superior do relatório para filtrar para o estado do atestado Não Iniciado .
Selecione Gerar novamente. A partir daí, selecione alguns dispositivos e, em seguida, selecione Atestar a ação do dispositivo na parte superior do relatório.
O atestado pode demorar até 15 minutos, dependendo da atividade do dispositivo e do número de dispositivos selecionados. Atualize após algum tempo para ver o estado atualizado dos dispositivos selecionados.
Observação
Só pode selecionar até 100 dispositivos de cada vez para a ação do dispositivo e aguardar pelo menos 1 minuto entre acionar a ação Atestar dispositivo .
Se os dispositivos estiverem a falhar no atestado, dependendo do valor na coluna Detalhes do estado, pode repetir o atestado com a ação Atestar dispositivo . Se algum dos seguintes detalhes do Estado for apresentado, recomendamos que tente novamente a ação Atestar dispositivo .
O certificado AIK não foi fornecido pelo cliente
O atestado está em processo
A chave MDM já está no TPM
O TPM não está pronto
Falha na autenticação
O cliente não forneceu todos os parâmetros necessários para o atestado
O token entra não corresponde à identidade do dispositivo
Permissões para a ação do dispositivo
Para utilizar a ação Atestar dispositivo dispositivo, precisa de uma permissão baseada em funções conhecida como Tarefas remotas: indica o atestado de gestão de dispositivos móveis (MDM) se o dispositivo for capaz de o fazer. Defina a Permissão como sim para ativar a ação. Com a permissão definida como Sim, os administradores de TI podem iniciar a ação do dispositivo Attest .
Recursos
Importante
Normalmente, a resolução de problemas do TPM requer uma ação Desativar e Repor, o que pode resultar na perda de dados. Certifique-se de que tem cópias de segurança implementadas antes de realizar quaisquer passos de resolução de problemas do TPM.
Recomendações do TPM – Segurança do Windows | Microsoft Learn
Resolver problemas do TPM – Segurança do Windows | Como repor a propriedade do TPM
Ligações adicionais: