Attestation d’intégrité pour Configuration Manager

  • Article

S’applique à : Gestionnaire de Configuration (branche actuelle)

Vous pouvez afficher l’état de Windows 10 Attestation d’intégrité de l’appareil dans la console Configuration Manager. L’attestation d’intégrité de l’appareil vous permet de vous assurer que les configurations de bios, de module de plateforme sécurisée et de démarrage des ordinateurs clients suivantes sont activées :

  • Le logiciel anti-programme malveillant à lancement anticipé (ELAM) protège votre ordinateur lorsqu’il démarre et avant l’initialisation des pilotes tiers. Pour plus d’informations, consultezvue d’ensemble du logiciel anti-programme malveillant à lancement anticipé.

  • Le chiffrement de lecteur Windows BitLocker chiffre toutes les données stockées sur le système d’exploitation et les volumes de données, y compris les disques amovibles. Pour plus d’informations, consultez Planifier la gestion de BitLocker.

  • Le démarrage sécurisé est une norme de sécurité qui permet de s’assurer qu’un appareil démarre uniquement à l’aide de logiciels approuvés par le fabricant du PC. Pour plus d’informations, consultez Démarrage sécurisé.

  • L’intégrité du code améliore la sécurité du système d’exploitation en validant l’intégrité d’un pilote ou d’un fichier système chaque fois qu’il est chargé en mémoire. Pour plus d’informations, consultez Activer la protection de l’intégrité du code basée sur la virtualisation.

Cette fonctionnalité est disponible pour les ressources locales gérées par Configuration Manager et les appareils mobiles gérés avec Microsoft Intune. Vous pouvez spécifier si la création de rapports s’effectue via l’infrastructure cloud ou locale. La surveillance de l’attestation d’intégrité d’appareil locale vous permet de surveiller les PC clients sans accès à Internet.

Activer l’attestation d’intégrité

Configuration requise

  • Appareils clients exécutant une version prise en charge de Windows 10 ou Windows Server 2016 ou version ultérieure, avec l’attestation d’intégrité de l’appareil activée.

  • Appareils compatibles TPM 1.2 ou TPM 2.

  • Lors de l’utilisation de la gestion cloud, la communication entre l’agent client Configuration Manager et le point de gestion avec has.spserv.microsoft.com le service d’attestation d’intégrité (port 443). En local, le client doit communiquer avec le point de gestion prenant en charge l’attestation d’intégrité de l’appareil.

Comment activer la communication du service d’attestation d’intégrité sur Configuration Manager ordinateurs clients

Utilisez cette procédure pour activer la surveillance de l’attestation d’intégrité des appareils pour les appareils qui se connectent à Internet.

  1. Dans la console Configuration Manager, choisissezVue d’ensemble de>l’administration>Paramètres client. Sélectionnez l’onglet Paramètres de l’Agent d’ordinateur .

  2. Dans la boîte de dialogue Paramètres par défaut , sélectionnez Agent ordinateur , puis faites défiler jusqu’à Activer la communication avec le service d’attestation d’intégrité.

  3. Définissez Activer la communication avec le service d’attestation d’intégrité sur Oui, puis sélectionnez OK.

  4. Ciblez les regroupements d’appareils qui doivent signaler l’intégrité de l’appareil.

Comment activer la communication du service d’attestation d’intégrité local sur Configuration Manager ordinateurs clients

Utilisez cette procédure pour activer la surveillance de l’attestation d’intégrité des appareils locaux qui ne se connectent pas à Internet.

Vous pouvez configurer l’URL du service d’attestation d’intégrité de l’appareil local sur le point de gestion pour prendre en charge les appareils clients sans accès à Internet.

  1. Dans la console Configuration Manager, accédez à Vued’ensemble de>l’administration>Sitesde configuration de> site.

  2. Cliquez avec le bouton droit sur le site principal ou secondaire avec le point de gestion qui prend en charge les clients d’attestation d’intégrité des appareils locaux, puis sélectionnez Configurer les composants> de sitePoint de gestion. La page Propriétés du composant de point de gestion s’ouvre.

  3. Sous l’onglet Options avancées , sélectionnez Ajouter et spécifiez une URL valide du service d’attestation d’intégrité de l’appareil local. Vous pouvez ajouter plusieurs URL. Si plusieurs URL locales sont spécifiées, les clients reçoivent l’ensemble complet et choisissent de manière aléatoire celle à utiliser.

  4. Dans la console Configuration Manager, choisissezVue d’ensemble de>l’administration>Paramètres client. Sélectionnez l’onglet Paramètres de l’Agent d’ordinateur .

  5. Faites défiler vers le bas jusqu’à Activer la communication avec le service d’attestation d’intégrité, puis définissez sur Oui.

  6. Sélectionnez l’option Utiliser le service d’attestation d’intégrité local et définissez sur Oui.

  7. Ciblez les regroupements d’appareils qui doivent signaler l’intégrité des appareils avec les paramètres de l’agent client pour activer les rapports d’attestation d’intégrité de l’appareil.

Vous pouvez également modifier ou supprimer les URL du service d’attestation d’intégrité de l’appareil.

Surveiller l’attestation d’intégrité de l’appareil

Pour afficher l’état de l’attestation d’intégrité de l’appareil, dans la console Configuration Manager, accédez à l’espace de travail Surveillance, développez le nœud Sécurité, puis sélectionnez Attestation d’intégrité.

Configuration Manager attestation d’intégrité de l’appareil affiche les informations suivantes :

  • État de l’attestation d’intégrité : affiche le partage d’appareils dans des états conformes, non conformes, d’erreur et inconnus

  • Attestation d’intégrité des appareils : affiche le pourcentage d’appareils signalant l’état de l’attestation d’intégrité

  • Appareils non conformes par type de client : affiche le partage d’appareils mobiles et d’ordinateurs non conformes

  • Principaux paramètres d’attestation d’intégrité manquants : indique le nombre d’appareils qui ne disposent pas du paramètre d’attestation d’intégrité, répertoriés par paramètre