Аттестация работоспособности в System Center Configuration ManagerHealth attestation for System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Администраторы могут просматривать состояние аттестации работоспособности устройств Windows 10 в консоли Configuration Manager.Administrators can view the status of Windows 10 Device Health Attestation in the Configuration Manager console. Аттестация работоспособности устройств позволяет администратору гарантировать, что на клиентских компьютерах включены следующие надежные конфигурации BIOS, модуля TPM и загрузочного программного обеспечения.Device health attestation lets the administrator ensure that client computers have the following trustworthy BIOS, TPM, and boot software configurations enabled:

  • Ранний запуск антивредоносной программы — ранний запуск антивредоносной программы (ELAM) обеспечивает защиту компьютера при запуске и до инициализации сторонних драйверов.Early-launch antimalware - Early launch anti-malware (ELAM) protects your computer when it starts up and before third-party drivers initialize. Как включить ELAMHow to turn on ELAM
  • BitLocker — шифрование диска Windows BitLocker является программным обеспечением, позволяющим шифровать все данные, хранящиеся на томе операционной системы Windows.BitLocker - Windows BitLocker Drive Encryption is software that lets you encrypt all data stored on the Windows operating system volume. Как включить BitLockerHow to turn on BitLocker
  • Безопасная загрузка — безопасная загрузка является стандартом безопасности, разработанным участниками компьютерной индустрии для того, чтобы гарантировать загрузку компьютера с использованием только программного обеспечения, которому доверяет производитель компьютера.Secure Boot - Secure Boot is a security standard developed by members of the PC industry to help make sure that your PC boots using only software that is trusted by the PC manufacturer. Дополнительные сведения о безопасной загрузкеLearn more about Secure Boot
  • Целостность кода — целостность кода является функцией, которая проверяет целостность файла драйвера или системного файла каждый раз, когда такой файл загружается в память.Code Integrity - Code Integrity is a feature that improves the security of the operating system by validating the integrity of a driver or system file each time it is loaded into memory. Дополнительные сведения о целостности кодаLearn about Code Integrity

Эта функция доступна для ПК и локальных ресурсов, управляемых с помощью Configuration Manager, и мобильных устройств, управляемых с помощью Microsoft Intune.This functionality is available for PCs and on-premises resources managed by Configuration Manager and mobile devices managed with Microsoft Intune. Администраторы могут выбрать метод передачи отчетов — через облачную или локальную инфраструктуру.Administrators can specify whether reporting is done via the cloud or on-premises infrastructure. Локальный мониторинг для аттестации работоспособности устройств позволяет администратору отслеживать состояние клиентских компьютеров без доступа к Интернету.On-premises device health attestation monitoring enables administrator to monitor client PCs without internet access.

Включение аттестации работоспособности устройствEnable Health Attestation

Требования:Requirements:

  • Клиентские устройства под управлением Windows 10 версии 1607 или Windows Server 2016 версии 1607, на которых включена аттестация работоспособности устройства.Client devices running Windows 10 version 1607 or Windows Server 2016 version 1607 with Device Health Attestation enabled.
  • Устройства с поддержкой TPM 1.2 или TPM 2.TPM 1.2 or TPM 2 enabled devices.
  • При использовании облачного управления наличие связи между агентом клиента Configuration Manager и точкой управления с has.spserv.microsoft.com (порт 443) службы аттестации работоспособности (для облачного управления).When using cloud management, communication between the Configuration Manager client agent and the management point with has.spserv.microsoft.com (port 443) Health Attestation service (cloud management). В локальной среде клиент должен иметь возможность взаимодействовать с точкой управления с поддержкой аттестации работоспособности устройства.When on-premises, the client must be able to communicate with the device health attestation-enabled management point.

Как включить связь со службой подтверждения работоспособности на клиентских компьютерах Configuration ManagerHow to enable Health Attestation service communication on Configuration Manager client computers

Эта процедура позволяет включить мониторинг для аттестации работоспособности устройств, подключенных к Интернету.Use this procedure to enable device health attestation monitoring for devices that connect to the internet.

  1. В консоли Configuration Manager выберите Администрирование > Обзор > Параметры клиента.In the Configuration Manager console, choose Administration > Overview > Client Settings. Перейдите на вкладку параметров агента компьютера .Select the tab for Computer Agent settings.
  2. В диалоговом окне Параметры по умолчанию выберите Агент компьютера и прокрутите вниз до пункта Разрешить связь со службой подтверждения работоспособности.In the Default Settings dialog box, select Computer Agent and then scroll down to Enable communication with Health Attestation Service
  3. Для параметра Разрешить связь со службой подтверждения работоспособности задайте значение Да, а затем нажмите кнопку ОК.Set Enable communication with Health Attestation Service to Yes, and then click OK.
  4. Выберите коллекции устройств, которые должны сообщать о работоспособности устройств.Target the collections of devices that should report device health.

Как включить связь с локальной службой подтверждения работоспособности на клиентских компьютерах Configuration ManagerHow to enable on-premises Health Attestation service communication on Configuration Manager client computers

Эта процедура позволяет включить мониторинг для аттестации работоспособности устройств, размещенных в локальной среде без подключения к Интернету.Use this procedure to enable device health attestation monitoring for on-premises devices that don't connect to the internet.

Начиная с версии Configuration Manager 1702 вы можете настроить на точке управления URL-адрес локальной службы аттестации работоспособности устройств, чтобы работать с клиентскими устройствами без доступа к Интернету.Starting with Configuration Manager 1702, the on-premises device health attestation service URL can be configured on the management point to support client devices without internet access.

  1. В консоли Configuration Manager перейдите в раздел Администрирование > Обзор > Конфигурация сайта > Сайты.In the Configuration Manager console, navigate Administration > Overview > Site Configuration > Sites.
  2. Щелкните правой кнопкой мыши первичный или вторичный сайт с точкой управления, поддерживающей локальные клиенты аттестации работоспособности устройств, а затем выберите Настройка компонентов сайта > Точка управления.Right-click the primary or secondary site with the management point that support on-premises device health attestation clients, and select Configure site components > Management Point. Откроется страница Свойства компонента точки управления.The Management Point Component Properties page opens.
  3. На вкладке Дополнительные параметры выберите действие Добавить и укажите допустимый локальный URL-адрес службы аттестации работоспособности устройств.On the Advanced Options tab, select Add and specify a valid on-premises device health attestation service URL. Здесь можно добавить несколько URL-адресов.You can add multiple URLs. Если вы укажете несколько локальных URL-адресов, клиенты получать весь набор адресов и будут случайным образом выбирать один из них.If multiple on-premises URLs are specified, clients receive the full set and randomly choose which to use.
  4. В консоли Configuration Manager выберите Администрирование > Обзор > Параметры клиента.In the Configuration Manager console, choose Administration > Overview > Client Settings. Перейдите на вкладку параметров агента компьютера .Select the tab for Computer Agent settings.
  5. Прокрутите содержимое вниз до параметра Разрешить связь со службой подтверждения работоспособности и задайте для него значение Да.Scroll down to Enable communication with Health Attestation Service, and set to Yes.
  6. Выберите параметр Использовать локальную службу подтверждения работоспособности и задайте значение Да.Click the Use on-premises Health Attestaion Service option, and set to Yes.
  7. Выберите коллекции устройств, которые должны сообщать о работоспособности устройств, для которых установлены параметры агента клиента, разрешающие отчеты для аттестации работоспособности устройств.Target the collections of devices that should report device health with the client agent settings to enable device health attestation reporting.

Вы также можете Изменить или Удалить URL-адреса службы аттестации работоспособности устройств.You can also Edit or Remove device health attestation service URLs.

Примечание

Если вы уже использовали аттестацию работоспособности устройств до обновления к версии Configuration Manager 1702, указанные в параметрах агента клиента локальные URL-адреса будут при обновлении автоматически перенесены в свойства точки управления.If you used device health attestation prior to upgrading to Configuration Manager 1702, the on-premises URLs specified in the client agent settings is pre-populate in the management point properties during the upgrade. Локальные клиенты будут по-прежнему использовать URL-адрес, указанный в параметрах агента клиента, пока они не будут обновлены.On-premises clients will continue to use the URL specified in client agent settings until they are upgraded. После этого они перейдут на те URL-адреса, которые указаны для точки управления.They will then switch to one of the URLs specified on the management point.

Мониторинг для аттестации работоспособности устройствMonitor device health attestation

  1. Чтобы просмотреть представление аттестации работоспособности устройства, в консоли Configuration Manager перейдите в рабочую область Мониторинг , щелкните узел Безопасность , а затем щелкните Аттестация работоспособности.To view the device health attestation view, in the Configuration Manager console go to the Monitoring workspace of, click Security node, and then click Health Attestation.
  2. Отобразятся результаты аттестации работоспособности устройства.Device Health Attestation is displayed.

Служба аттестации работоспособности устройств Configuration Manager выводит данные следующих мониторов.Configuration Manager Device Health Attestation displays the following:

  • Состояние аттестации работоспособности — показывает, какая часть устройств находится в соответствующем, несоответствующем и неизвестном состоянии, а также в состоянии ошибки.Health Attestation Status - Shows the share of devices in compliant, noncompliant, error, and unknown states
  • Устройства, передающие данные подтверждения работоспособности — показывает процент устройств, которые передают данные о состоянии аттестации работоспособности.Devices Reporting Health Attestation - Shows the percentage of devices reporting Health Attestation status
  • Несовместимые устройства по типу клиента — показывает, какая часть мобильных устройств и компьютеров является несоответствующей.Noncompliant Devices by Client Type - Shows share of mobile devices and computers that are noncompliant
  • Наиболее часто отсутствующие параметры аттестации работоспособности — показывает количество устройств, для которых отсутствуют параметры аттестации работоспособности, с отдельным списком для каждого параметра.Top Missing Health Attestation Settings - Shows the number of devices missing the health attestation setting, listed per setting

Состояние аттестации работоспособности клиентского устройства можно использовать при определении правил условного доступа в политиках соответствия требованиям для устройств, управляемых Configuration Manager с использованием Microsoft Intune.Client Device Health Attestation status can be used to define rules for conditional access in compliance policies for devices managed by Configuration Manager with Microsoft Intune. Подробные сведения см. в разделе Управление политиками соответствия устройств в System Center Configuration Manager.For details, see Manage device compliance policies in System Center Configuration Manager.