Állapotigazolás a System Center Configuration ManagerhezHealth attestation for System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A rendszergazdák megtekinthetik a Windows 10 eszközállapot-igazolás állapotát a Configuration Manager konzolján.Administrators can view the status of Windows 10 Device Health Attestation in the Configuration Manager console. Az eszközállapot-igazolással a rendszergazdák bekapcsolhatják az ügyfélszámítógépeken következő megbízható BIOS-, TPM- és rendszerindítószoftver-konfigurációkat:Device health attestation lets the administrator ensure that client computers have the following trustworthy BIOS, TPM, and boot software configurations enabled:

  • Korai indítású kártevőirtó – A Korai indítású kártevőirtó (ELAM) a rendszer indítása és a külső fejlesztésű illesztőprogramok inicializálása előtt nyújt védelmet a számítógépnek.Early-launch antimalware - Early launch anti-malware (ELAM) protects your computer when it starts up and before third-party drivers initialize. How to turn on ELAM (Az ELAM bekapcsolása) (Az ELAM bekapcsolása)How to turn on ELAM
  • BitLocker – A Windows BitLocker meghajtótitkosítási szoftver segítségével a Windows operációs rendszer kötetén tárolt összes adat titkosítható.BitLocker - Windows BitLocker Drive Encryption is software that lets you encrypt all data stored on the Windows operating system volume. A BitLocker bekapcsolásaHow to turn on BitLocker
  • Biztonságos rendszerindítás – A Biztonságos rendszerindítás egy biztonsági szabvány, melyet a számítógépipar szereplői fejlesztettek ki. Arról gondoskodik, hogy a számítógép kizárólag a gyártó által biztonságosnak ítélt szoftverekkel induljon el.Secure Boot - Secure Boot is a security standard developed by members of the PC industry to help make sure that your PC boots using only software that is trusted by the PC manufacturer. További tudnivalók a Biztonságos rendszerindítás szabványról (angol nyelven)Learn more about Secure Boot
  • Kódintegritás – A Kódintegritás funkció a memóriába való minden egyes betöltés során ellenőrzi az illesztőprogramok és rendszerfájlok integritását, ezzel magasabb fokú biztonságot garantál az operációs rendszer számára.Code Integrity - Code Integrity is a feature that improves the security of the operating system by validating the integrity of a driver or system file each time it is loaded into memory. További tudnivalók a Kódintegritás funkcióról (angol nyelven)Learn about Code Integrity

Ez a funkció elérhető a Configuration Manager által kezelt számítógépek és helyszíni erőforrások, valamint a Microsoft Intune által kezelt mobileszközök számára.This functionality is available for PCs and on-premises resources managed by Configuration Manager and mobile devices managed with Microsoft Intune. A rendszergazdák meghatározhatják, hogy a jelentéskészítés a felhővel vagy a helyszíni infrastruktúrában történjen-e.Administrators can specify whether reporting is done via the cloud or on-premises infrastructure. A helyszíni Eszközállapot-igazolás figyelése lehetővé teszi, hogy rendszergazdai ügyfélgépekhez internetelérés nélküli figyeléséhez.On-premises device health attestation monitoring enables administrator to monitor client PCs without internet access.

Az Állapotigazolás engedélyezéseEnable Health Attestation

Követelmények:Requirements:

  • A Windows 10 1607-es verzió vagy 1607-es verziója a Windows Server 2016 rendszerű engedélyezett az Eszközállapot-igazolás.Client devices running Windows 10 version 1607 or Windows Server 2016 version 1607 with Device Health Attestation enabled.
  • A TPM 1.2-es vagy TPM 2 engedélyezett eszközök.TPM 1.2 or TPM 2 enabled devices.
  • Felhőalapú felügyelet használata esetén a Configuration Manager ügyfélügynök és a felügyeleti közötti kommunikáció pontként, has.spserv.microsoft.com (a 443-as porton) Eszközállapot-igazolási szolgáltatás (felhőalapú felügyelet).When using cloud management, communication between the Configuration Manager client agent and the management point with has.spserv.microsoft.com (port 443) Health Attestation service (cloud management). Ha a helyszínen, az ügyfél képes kommunikálni az eszköz állapotának igazolás használatára konfigurált felügyeleti ponthoz kell.When on-premises, the client must be able to communicate with the device health attestation-enabled management point.

Az Állapotigazolás szolgáltatás kommunikációjának bekapcsolása a Configuration Manager-ügyfélszámítógépekenHow to enable Health Attestation service communication on Configuration Manager client computers

Ez az eljárás használatával eszköz állapotigazolási állapotfigyelésének engedélyezése az internethez csatlakozó eszközökön.Use this procedure to enable device health attestation monitoring for devices that connect to the internet.

  1. A Configuration Manager konzolon válassza az Adminisztráció > Áttekintés > Ügyfélbeállításokelemet.In the Configuration Manager console, choose Administration > Overview > Client Settings. Nyissa meg a Számítógépügynök beállítások lapját.Select the tab for Computer Agent settings.
  2. Az Alapértelmezett beállítások párbeszédpanelen válassza a Számítógépügynök lehetőséget, majd görgessen le Az állapotigazolási szolgáltatással való kommunikáció engedélyezéseelemhezIn the Default Settings dialog box, select Computer Agent and then scroll down to Enable communication with Health Attestation Service
  3. Állítsa Az állapotigazolási szolgáltatással való kommunikáció engedélyezése beállítást Igenértékre, majd kattintson az OKgombra.Set Enable communication with Health Attestation Service to Yes, and then click OK.
  4. A céloznia a gyűjtemények kell jelentse az Eszközállapot-eszközök.Target the collections of devices that should report device health.

A helyszíni állapotigazolási szolgáltatás kommunikációjának bekapcsolása a Configuration Manager-ügyfélszámítógépekenHow to enable on-premises Health Attestation service communication on Configuration Manager client computers

Ez az eljárás használatával eszköz állapotigazolási állapotfigyelésének engedélyezése helyszíni eszközökhöz, amelyek nem csatlakoznak az internethez.Use this procedure to enable device health attestation monitoring for on-premises devices that don't connect to the internet.

Configuration Manager 1702-es verziótól kezdődően a helyszíni eszköz egészségügyi állapotigazolási szolgáltatás URL-CÍMÉT a felügyeleti ponton támogatásához az ügyféleszközökön internet-hozzáféréssel nem konfigurálható.Starting with Configuration Manager 1702, the on-premises device health attestation service URL can be configured on the management point to support client devices without internet access.

  1. A Configuration Manager konzolon lépjen felügyeleti > áttekintése > Helykonfiguráció > Helyek.In the Configuration Manager console, navigate Administration > Overview > Site Configuration > Sites.
  2. Kattintson a jobb gombbal a felügyeleti ponttal, amely támogatja az állapotigazolási állapot helyi eszközügyfelek, és válassza ki az elsődleges vagy másodlagos hely helyösszetevők konfigurálása > felügyeleti pont.Right-click the primary or secondary site with the management point that support on-premises device health attestation clients, and select Configure site components > Management Point. A felügyeleti pont összetevő tulajdonságai párbeszédpanel lap megnyitásakor.The Management Point Component Properties page opens.
  3. Az a speciális beállítások lapon jelölje be Hozzáadás és a egy érvényes helyszíni eszköz egészségügyi állapotigazolási szolgáltatás URL-címet.On the Advanced Options tab, select Add and specify a valid on-premises device health attestation service URL. Több URL-címeket adhat hozzá.You can add multiple URLs. Ha több helyszíni URL-cím van megadva, az ügyfelek teljes kap, és véletlenszerűen választ ki, hogy melyiket kívánja használni.If multiple on-premises URLs are specified, clients receive the full set and randomly choose which to use.
  4. A Configuration Manager konzolon válassza az Adminisztráció > Áttekintés > Ügyfélbeállításokelemet.In the Configuration Manager console, choose Administration > Overview > Client Settings. Nyissa meg a Számítógépügynök beállítások lapját.Select the tab for Computer Agent settings.
  5. Görgessen le a Állapotigazolási szolgáltatással való kommunikáció engedélyezése, és állítsa Igen.Scroll down to Enable communication with Health Attestation Service, and set to Yes.
  6. Kattintson a helyszíni Attestaion állapotszolgáltatás lehetőséget, majd állítsa Igen.Click the Use on-premises Health Attestaion Service option, and set to Yes.
  7. A céloznia a gyűjtemények kell jelentse az ügyfélügynök-beállítások engedélyezése az eszköz állapotigazoláshoz az Eszközállapot-eszközök.Target the collections of devices that should report device health with the client agent settings to enable device health attestation reporting.

Emellett szerkesztése vagy eltávolítása eszköz egészségügyi állapotigazolási szolgáltatás URL-címek.You can also Edit or Remove device health attestation service URLs.

Megjegyzés

Ha követte az Eszközállapot-igazolás való frissítése előtt az ügyfélügynök-beállítások a megadott Configuration Manager 1702-es, a helyi URL-címek van töltse ki előre az a felügyeleti pont tulajdonságai a frissítés során.If you used device health attestation prior to upgrading to Configuration Manager 1702, the on-premises URLs specified in the client agent settings is pre-populate in the management point properties during the upgrade. A helyi ügyfelek továbbra is használja az URL-címet megadva az ügyfélügynök-beállítások, amíg nem frissíti őket.On-premises clients will continue to use the URL specified in client agent settings until they are upgraded. Térnek lesz majd, a felügyeleti ponton megadott URL-címek egyikére.They will then switch to one of the URLs specified on the management point.

A figyelő az Eszközállapot-igazolásMonitor device health attestation

  1. Az eszközállapot-igazolás nézetének megtekintéséhez menjen a Configuration Manager konzolon a Figyelés munkaterületre, kattintson a Biztonság csomópontra, majd válassza az Állapotigazoláselemet.To view the device health attestation view, in the Configuration Manager console go to the Monitoring workspace of, click Security node, and then click Health Attestation.
  2. Megjelenik az eszközállapot-igazolás.Device Health Attestation is displayed.

A Configuration Manager eszközállapot-igazolás a következőket jeleníti meg:Configuration Manager Device Health Attestation displays the following:

  • Health Attestation Status (Állapotigazolási állapot) – a megfelelő, nem megfelelő, hiba és ismeretlen állapotú eszközök eloszlását jeleníti megHealth Attestation Status - Shows the share of devices in compliant, noncompliant, error, and unknown states
  • Állapotigazolási jelentést küldő eszközök – megjeleníti, hogy az eszközök hány százaléka küld állapotigazolási jelentéstDevices Reporting Health Attestation - Shows the percentage of devices reporting Health Attestation status
  • Nem megfelelő eszközök ügyféltípus szerint – a nem megfelelő mobileszközök és számítógépek részarányát jeleníti megNoncompliant Devices by Client Type - Shows share of mobile devices and computers that are noncompliant
  • Hiányzó állapotigazolással kapcsolatos főbb beállítások – beállítás szerint osztályozva megjeleníti, hogy hány eszköznél hiányzik valamilyen állapotigazolási beállításTop Missing Health Attestation Settings - Shows the number of devices missing the health attestation setting, listed per setting

Ügyfél Eszközállapot-igazolási állapotát a Configuration Manager által a Microsoft Intune-nal felügyelt eszközök megfelelőségi szabályzatainak feltételes hozzáférési szabályait használható.Client Device Health Attestation status can be used to define rules for conditional access in compliance policies for devices managed by Configuration Manager with Microsoft Intune. Részletes információ: Eszközök megfelelőségi házirendjének kezelése a System Center Configuration Managerrel.For details, see Manage device compliance policies in System Center Configuration Manager.