分享方式:


Windows 註冊證明

Windows 註冊證明的目標是要讓裝置在所加入的網路內更加安全且值得信任。 透過這項功能,您可以使用信賴平臺模組 (TPM) 技術,在註冊期間檢查 Windows 10 和 11 裝置是否符合嚴格的安全性標準,以增強其抵禦威脅的能力。 Windows 註冊證明功能也會確認並報告安全註冊的裝置,以確保程式可靠。

以下是它對組織有利的作法:

改善的安全性:TPM 證明可協助偵測並解決安全性弱點或遭入侵的裝置,並降低未經授權存取或安全性事件的機會。

符合法規標準:Windows 證明可協助組織證明其在裝置註冊期間遵循嚴格的安全性措施,這對符合業界法規和合規性需求很重要。

主要目標是在註冊程序期間使用 Windows 證明,為組織基礎結構內的裝置建立更安全且受信任的環境。

Windows 註冊證明的需求

建議您使用最新的更新,以獲得更成功的證明率。

  • Windows 10

    • 10.0.19045.3996+
  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+
  • 裝置上的 TPM 2.0 下限

  • 支援實體裝置。

    注意事項

    虛擬機無法證明,包括下列專案,即使它們使用 vTPM 也一樣:

    • Hyper-V 和 Azure 虛擬機
    • Azure 虛擬桌面會話主機
    • Windows 365 雲端電腦
    • Microsoft開發人員方塊
  • 這項功能中的 TPM 證明是在 Intune 裝置管理註冊期間,在 Autopilot 預先布建和共用裝置模式中發生的 TPM 證明之後, (SDM) 。

  • 適用於 Windows 證明的適用設定服務提供者 (CSP) 清單:

Windows 註冊證明的運作方式

關於如何在註冊時使用 TPM 強化 Windows 裝置的高階架構圖表

裝置證明狀態報告

此報告會顯示裝置、其 TPM,以及裝置是否在註冊時成功證明的相關信息。 如果裝置未證明,報表會在 [ 狀態詳細數據 ] 區段中說明原因。 使用此報告來查看裝置的完整清單,並檢查哪些裝置在註冊時成功證明。

若要存取此報表:

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [>裝置管理] 區段下的 [報告裝置證明狀態 (預覽) ]。

  3. 證明狀態擁有權類型 篩選,然後選取 [產生報告]

    裝置證明報告的螢幕快照

產生報表之後,您看到的最上層詳細數據包括:

  • 裝置名稱

  • 裝置標識碼

  • UPN

  • 裝置證明狀態

  • 狀態詳細數據

  • 作業系統

  • 操作系統版本

  • 擁有權

  • 上次簽入

  • 註冊日期

  • TPM 版本

  • TPM 製造商

  • Model

藉由選取專案,您可以找到裝置的詳細資訊。 您也可以使用左側的 [ 取] 數據行來選取專案,並使用報表頂端的 [證明裝置] 動作重新證明

下表列出狀態詳細資料及其描述:

狀態詳細數據 描述
無法證明 Entra 金鑰 Entra 小組並未將 ENTRA 憑證的金鑰儲存在 TPM 中。 如果裝置已向AP ODJ註冊,則此狀態詳細數據是暫時性的。
證明正在進行中 當 Intune 查詢其最新狀態時,裝置仍在處理證明。
TPM 不受信任 裝置包含不受信任的 TPM,因此無法證明。
無法使用 TPM 裝置沒有 TPM 2.0 或 TPM 無法證明,因為韌體需要更新。 如需如何更新韌體的詳細資訊,請參閱 資源
TPM 尚未就緒 TPM 尚未準備好供此裝置使用。 用戶必須重設 TPM 擁有權。 如需如何重設 TPM 擁有權的詳細資訊,請參閱 資源
用戶端要求遭到拒絕 客戶端的證明要求未連線到 MDM 伺服器或伺服器已拒絕要求。
未提供 AIK 憑證 裝置上遺漏 AIK 憑證。 可能是因為網路問題。 如果為暫時性,一旦裝置收到 AIK 憑證,證明就會成功重試。
用戶端未提供所有必要的參數 AIK 憑證和 AIK 公鑰都遺失。
MDM 金鑰已在 TPM 中 裝置表示 MDM 金鑰已儲存在 TPM 中。 但 Intune 無法證明,因為遺漏 AIK 憑證或 AIK 公鑰,或無法證明 ENTRA 金鑰。
不支援功能 此狀態會針對尚無法證明的裝置顯示。 範例包括 Hyper-V 和 Azure 虛擬機、Azure 虛擬桌面會話主機、Windows 365 雲端電腦Microsoft Dev Box。
Entra 令牌不符合裝置身分識別 註冊的 ENTRA 令牌不符合註冊要求中顯示的 ENTRA 金鑰。 您可以升級至最新的 Windows 組建,然後重試證明來修正此問題。
Entra 令牌遺失裝置身分識別 註冊的 ENTRA 令牌遺失 ENTRA 裝置身分識別。

注意事項

如需詳細資訊,請參閱 資源 一節。

證明裝置動作

如果您在報表中看到 尚未啟動 TPM 證明的裝置,您可以一次選取其中一些裝置,而 TPM 會使用報表頂端的新裝置動作 證明裝置來證明 它們。 此裝置動作應該需要幾分鐘的時間來證明裝置,並在您 重新整理時反映在報表中。

若要證明某些 未啟動 的裝置:

  1. 使用報表頂端的下拉式篩選來篩選至 [未啟動 ] 證明狀態。

  2. 再次選 取 [產生]。 從該處選取幾個裝置,然後選取報表頂端的 [證明裝置 動作]。

  3. 根據裝置的活動和選取的裝置數目而定,證明最多可能需要 15 分鐘的時間。 請在一段時間後重新整理,以查看所選裝置的更新狀態。

注意事項

您一次只能選取 100 個裝置進行裝置動作,並在觸發 證明裝置 動作之間等候至少 1 分鐘。

如果裝置無法通過證明,根據 [ 狀態詳細 數據] 資料行中的值,您可以使用 [證明] 裝置 動作重試證明。 如果出現下列任何 狀態詳細數據 ,建議您重新嘗試 Attest 裝置 動作。

  • 用戶端未提供 AIK 憑證

  • 證明正在進行中

  • MDM 金鑰已在 TPM 中

  • TPM 尚未就緒

  • 驗證失敗

  • 用戶端未提供證明所需的所有必要參數

  • Entra 令牌不符合裝置身分識別

裝置動作的許可權

若要使用 證明裝置 動作,您需要稱為遠端工作的角色型許可權: 指出行動裝置管理 (MDM) 證明裝置是否能夠使用它。 將 [許可權] 設定為 [是 ] 以啟用動作。 當許可權設定為 [是] 時,IT 系統管理員可以起始 證明裝置 動作。

資源

重要事項

疑難解答 TPM 通常需要抹除和重設動作,這可能會導致數據遺失。 執行任何 TPM 疑難解答步驟之前,請確定您已備妥備份。

其他連結: