Configuration Manager的健康情況證明

適用於：Configuration Manager (目前的分支)

您可以在 Configuration Manager 主控台中檢視Windows 10裝置健康情況證明的狀態。裝置健康情況證明可讓您確定用戶端電腦已啟用下列可信任的 BIOS、TPM 和開機軟體設定：

早期啟動的反惡意程式碼軟體 (ELAM) 會在電腦啟動時和協力廠商驅動程式初始化之前保護電腦。如需詳細資訊，請參閱早期啟動反惡意程式碼概觀。
Windows BitLocker 磁片磁碟機加密 會加密儲存在 OS 和資料磁片區上的所有資料，包括抽取式磁片。如需詳細資訊，請參閱規劃 BitLocker 管理。
安全開機 是一種安全性標準，可協助確保裝置只使用電腦製造商信任的軟體來開機。如需詳細資訊，請參閱安全開機。
程式碼完整性 可藉由在每次將驅動程式或系統檔案載入記憶體時驗證其完整性，來改善 OS 安全性。如需詳細資訊，請參閱啟用程式碼完整性的虛擬化型保護。

這項功能適用于Configuration Manager所管理的內部部署資源，以及使用 Microsoft Intune 管理的行動裝置。您可以指定報告是透過雲端還是內部部署基礎結構來完成。內部部署裝置健康情況證明監視可讓您在沒有網際網路存取的情況下監視用戶端電腦。

啟用健康情況證明

執行支援版本Windows 10或Windows Server 2016或更新版本的用戶端裝置，且已啟用裝置健康情況證明。
已啟用 TPM 1.2 或 TPM 2 的裝置。
使用雲端管理時，Configuration Manager用戶端代理程式與管理點 has.spserv.microsoft.com 與 (埠 443 之間的通訊) 健康情況證明服務。在內部部署時，用戶端必須與已啟用裝置健康情況證明的管理點通訊。

使用此程式為連線到網際網路的裝置啟用裝置健康情況證明監視。

在 Configuration Manager 主控台中，選擇 [系統管理>概觀>] [用戶端設定]。選取 [ 電腦代理程式 設定] 的索引標籤。
在 [ 預設設定] 對話方塊中，選取 [ 電腦代理 程式]，然後向下捲動至 [啟用與健康情況證明服務的通訊]。
將 [ 啟用與健康情況證明服務的通訊 ] 設定為 [ 是]，然後選取 [ 確定]。
以應報告裝置健康情況的裝置集合為目標。

使用此程式，針對未連線到網際網路的內部部署裝置啟用裝置健康情況證明監視。

您可以在管理點上設定內部部署裝置健康情況證明服務 URL，以支援沒有網際網路存取的用戶端裝置。

在 Configuration Manager 主控台中，流覽 [系統管理>概觀>網站設定>網站]。
以滑鼠右鍵按一下具有支援內部部署裝置健康情況證明用戶端之管理點的主要或次要月臺，然後選取 [設定月臺元件>管理點]。 [ 管理點元件屬性] 頁面隨即開啟。
在 [ 進階選項] 索引 標籤上，選取 [新增 ]，並指定有效的內部部署裝置健康情況證明服務 URL。您可以新增多個 URL。如果指定了多個內部部署 URL，用戶端會收到完整集合，並隨機播放要使用的 URL。
在 Configuration Manager 主控台中，選擇 [系統管理>概觀>] [用戶端設定]。選取 [ 電腦代理程式 設定] 的索引標籤。
向下捲動至 [啟用與健康情況證明服務的通訊]，並將設定為 [ 是]。
選取 [ 使用內部部署健康情況證明服務 ] 選項，並將設定為 [ 是]。
以應使用用戶端代理程式設定報告裝置健康情況的裝置集合為目標，以啟用裝置健康情況證明報告。

您也可以編輯或移除裝置健康情況證明服務 URL。

若要檢視裝置健康情況證明狀態，請在Configuration Manager主控台中移至 [監視] 工作區，展開 [安全性] 節點，然後選取 [健康情況證明]。

Configuration Manager裝置健康情況證明會顯示下列資訊：