Windows 注册证明

Windows 注册证明的目标是使设备在其加入的网络中更安全、更可信。 使用此功能，可以使用受信任的平台模块 (TPM) 技术，检查 Windows 10 和 11 设备在注册过程中是否满足严格的安全标准，以增强其防御威胁的能力。 Windows 注册证明功能还会确认和报告安全注册的设备，确保过程可靠。

以下是它如何使组织受益：

提高安全性：TPM 证明有助于检测和解决安全漏洞或遭到入侵的设备，并降低发生未经授权的访问或安全事件的可能性。

符合法规标准：Windows 证明可帮助组织证明他们在设备注册期间遵循严格的安全措施，这对于满足行业法规和合规性要求非常重要。

主要目标是在注册过程中使用 Windows 证明为组织基础结构中的设备建立更安全、更受信任的环境。

Windows 注册证明的要求

建议使用最新的更新来获得更成功的证明率。

• Windows 10

  • 10.0.19045.3996+

• Windows 11

  • 10.0.22000.2713+
  • 10.0.22621.2792+
  • 10.0.22631.2792+

• 设备上最低 TPM 2.0

• 支持物理设备。

  注意

  虚拟机无法证明，包括以下内容，即使它们使用 vTPM：

  • Hyper-V 和 Azure 虚拟机
  • Azure 虚拟桌面会话主机
  • Windows 365 云电脑
  • Microsoft Dev Box

• 此功能中的 TPM 证明是在 Intune 设备管理注册期间，在 Autopilot 预预配和共享设备模式下发生的 TPM 证明 (SDM) 之后进行。

• 适用于 Windows 证明的配置服务提供程序 (CSP) 列表：

  • Windows StartupRecovery CSP
  • Windows RecoveryStatus CSP
  • Windows MDMClientCertAttestation CSP

Windows 注册证明的工作原理

设备证明状态报告

报告显示有关设备、其 TPM 的信息，以及设备是否在注册时成功证明。 如果设备未证明，报告会在 “状态详细信息 ”部分中解释原因。 使用此报告可以查看设备的完整列表，并检查在注册时成功证明的设备。

若要访问此报表，请执行以下操作：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“设备管理”部分下的“报告>设备证明状态 (预览) ”。

3. 按 证明状态 或 所有权类型 进行筛选，然后选择“ 生成报表”。

   

生成报表后，你看到的顶级详细信息包括：

• 设备名称

• 设备 ID

• UPN

• 设备证明状态

• 状态详细信息

• 操作系统

• OS 版本

• Ownership

• 上次签入

• 注册日期

• TPM 版本

• TPM 制造商

• 模型

通过选择条目，可以找到有关设备的更多详细信息。 还可以使用左侧的 “选择” 列选择条目，并使用报表顶部的“ 证明设备”操作 重新证明。

下表列出了状态详细信息及其说明：

状态详细信息	说明
无法证明 Entra 键	Entra 团队未将 ENTRA 证书的密钥存储在 TPM 中。 如果设备已注册到 AP ODJ，则此状态详细信息是临时的。
证明正在进行中	当 Intune 查询其最新状态时，设备仍在进行证明。
TPM 不受信任	设备包含不受信任的 TPM，因此无法证明。
TPM 不可用	设备没有 TPM 2.0，或者由于固件需要更新而无法证明 TPM。 有关如何更新固件的详细信息，请参阅 资源
TPM 未准备就绪	TPM 尚未准备好供此设备使用。 用户需要重置 TPM 所有权。 有关如何重置 TPM 所有权的详细信息，请参阅 资源
客户端请求被拒绝	客户端的证明请求未到达 MDM 服务器或服务器拒绝了请求。
未提供 AIK 证书	设备上缺少 AIK 证书。 可能是由于网络问题。 如果为临时证书，则设备收到 AIK 证书后，证明将成功重试。
客户端未提供所有必需的参数	缺少 AIK 证书和 AIK 公钥。
MDM 密钥已在 TPM 中	设备指示 MDM 密钥已存储在 TPM 中。 但 Intune 无法证明它，因为缺少 AIK 证书或 AIK 公钥，或者无法证明 ENTRA 密钥。
不支持功能	对于尚不可证明的设备，将显示此状态。 示例包括 Hyper-V 和 Azure 虚拟机、Azure 虚拟桌面会话主机、Windows 365 云电脑Microsoft Dev Box。
Entra 令牌与设备标识不匹配	用于注册的 ENTRA 令牌与注册请求中提供的 ENTRA 密钥不匹配。 可以通过升级到最新的 Windows 版本并重试证明来解决此问题。
Entra 令牌缺少设备标识	用于注册的 ENTRA 令牌缺少 ENTRA 设备标识。

注意

有关详细信息，请参阅 资源 部分。

证明设备操作

如果在报表中看到未 启动 TPM 证明的设备，则可以一次选择其中几个设备，TPM 使用报表顶部的新设备操作 “证明设备 ”对其进行证明。 此设备操作应花费不到几分钟的时间来证明设备，并在 刷新时反映在报表中。

若要证明某些 “未启动” 设备，请执行以下操作：

1. 使用报表顶部的下拉筛选器筛选为 “未启动 证明”状态。

2. 再次选择“ 生成”。 在此处，选择几个设备，然后选择报表顶部的“ 证明设备 操作”。

3. 证明最长可能需要 15 分钟，具体取决于设备的活动和所选设备的数量。 一段时间后刷新以查看所选设备的更新状态。

注意

一次最多只能选择 100 台设备执行设备操作，并在触发 “证明设备 ”操作之间等待至少 1 分钟。

如果设备未能通过证明，则根据 “状态详细信息 ”列中的值，可以使用“ 证明设备 ”操作重试证明。 如果出现以下任何 状态详细信息 ，我们建议重新尝试 “证明设备 ”操作。

• 客户端未提供 AIK 证书

• 证明正在进行中

• MDM 密钥已在 TPM 中

• TPM 未准备就绪

• 身份验证失败

• 客户端未提供证明所需的所有必需参数

• Entra 令牌与设备标识不匹配

设备操作的权限

若要使用 Attest 设备设备操作，需要基于角色的权限（称为远程任务）：指示移动设备管理 (MDM) 证明（如果设备能够）。 将“权限”设置为 “是 ”以启用该操作。 将权限设置为 “是”后，IT 管理员可以启动 “证明设备 操作”。

资源

重要

排查 TPM 问题通常需要执行“擦除和重置”操作，这可能会导致数据丢失。 在执行任何 TPM 故障排除步骤之前，请确保已准备好备份。

• TPM 建议 - Windows 安全中心 |Microsoft Learn

• Intune 报告

• 如何更新固件

• 排查 TPM 问题 - Windows 安全性 |如何重置 TPM 所有权

其他链接：

• TrustedPlatformModule

• 在电脑上启用 TPM 2.0