Configuration Manager 的健康情況證明

適用於：Configuration Manager (目前的分支)

您可以在 Configuration Manager 控制台中檢視 Windows 10 裝置健康情況證明的狀態。裝置健康情況證明可讓您確定用戶端計算機已啟用下列可信任的 BIOS、TPM 和開機軟體設定：

早期啟動的反惡意代碼軟體 (ELAM) 會在電腦啟動時和第三方驅動程式初始化之前保護計算機。如需詳細資訊，請參閱早期啟動反惡意代碼概觀。
Windows BitLocker 磁碟驅動器加密 會加密儲存在 OS 和數據磁碟區上的所有數據，包括抽取式磁碟。如需詳細資訊，請參閱規劃 BitLocker 管理。
安全開機 是一種安全性標準，可協助確保裝置只使用計算機製造商信任的軟體來開機。如需詳細資訊，請參閱安全開機。
程序代碼完整性 可藉由在每次將驅動程式或系統檔案載入記憶體時驗證其完整性，來改善OS安全性。如需詳細資訊，請參閱啟用程式代碼完整性的虛擬化型保護。

這項功能適用於 Configuration Manager 所管理的內部部署資源，以及使用 Microsoft Intune 管理的行動裝置。您可以指定報告是透過雲端還是內部部署基礎結構來完成。內部部署裝置健康情況證明監視可讓您在沒有因特網存取的情況下監視用戶端電腦。

啟用健康情況證明

執行支援版本 Windows 10 或 Windows Server 2016 或更新版本的用戶端裝置，且已啟用裝置健康情況證明。
已啟用 TPM 1.2 或 TPM 2 的裝置。
使用雲端管理時，Configuration Manager 用戶端代理程式與管理點 has.spserv.microsoft.com 與 (埠 443 之間的通訊) 健康情況證明服務。內部部署時，客戶端必須與已啟用裝置健康情況證明的管理點通訊。

使用此程式為連線到因特網的裝置啟用裝置健康情況證明監視。

在 Configuration Manager 控制台中，選擇 [ 系統管理>概觀>] [用戶端設定]。選取 [ 計算機代理程序 設定] 的索引標籤。
在 [ 預設設定] 對話框中，選取 [ 計算機代理 程式]，然後向下捲動至 [啟用與健康情況證明服務的通訊]。
將 [ 啟用與健康情況證明服務的通訊 ] 設定為 [ 是]，然後選取 [ 確定]。
以應報告裝置健康情況的裝置集合為目標。

使用此程式，針對未連線到因特網的內部部署裝置啟用裝置健康情況證明監視。

您可以在管理點上設定內部部署裝置健康情況證明服務 URL，以支援沒有因特網存取的客戶端裝置。

在 Configuration Manager 控制台中，流覽 [ 系統管理>概觀>] [月臺設定>月臺]。
以滑鼠右鍵按兩下具有支持內部部署裝置健康情況證明用戶端之管理點的主要或次要月臺，然後選取 [ 設定站台元件>管理點]。 [ 管理點元件屬性] 頁面隨即開啟。
在 [ 進階選項] 索引 標籤上，選取 [新增 ]，並指定有效的內部部署裝置健康情況證明服務 URL。您可以新增多個 URL。如果指定了多個內部部署 URL，用戶端會收到完整集合，並隨機選擇要使用的 URL。
在 Configuration Manager 控制台中，選擇 [ 系統管理>概觀>] [用戶端設定]。選取 [ 計算機代理程序 設定] 的索引標籤。
向下卷動至 [啟用與健康情況證明服務的通訊]，並將設定為 [ 是]。
選取 [ 使用內部部署健康情況證明服務 ] 選項，並將設定為 [ 是]。
以應使用用戶端代理程式設定報告裝置健康情況的裝置集合為目標，以啟用裝置健康情況證明報告。

您也可以編輯或移除裝置健康情況證明服務 URL。

若要檢視裝置健康情況證明狀態，請在 Configuration Manager 控制台中移至 [ 監視 ] 工作區，展開 [ 安全性] 節點，然後選取 [ 健康情況證明]。

Configuration Manager 裝置健康情況證明會顯示下列資訊：