Integritätsnachweisrichtlinie für Geräte

In Endpoint Management können Sie festlegen, dass Windows 10-Geräte ihren Integritätsstatus melden müssen. Dazu senden die Geräte bestimmte Daten und Laufzeitinformationen zur Analyse an den Health Attestation Service (HAS). Der HAS erstellt ein Health Attestation-Zertifikat und sendet es an das Gerät, von wo aus es an Endpoint Management gesendet wird. Endpoint Management löst anhand des Zertifikats für den Integritätsnachweis von Ihnen eingerichtete automatische Aktionen aus.

Vom HAS werden folgende Parameter geprüft:

  • AIK Present
  • BitLocker-Status
  • Boot Debugging Enabled
  • Boot Manager Rev List Version
  • Code Integrity Enabled
  • Code Integrity Rev List Version
  • DEP Policy
  • ELAM Driver Loaded
  • Issued At
  • Kernel Debugging Enabled
  • PCR
  • Reset Count
  • Restart Count
  • Safe Mode Enabled
  • SBCP Hash
  • Secure Boot Enabled
  • Test Signing Enabled
  • VSM Enabled
  • WinPE Enabled

Weitere Informationen finden Sie auf der Microsoft-Website unter HealthAttestation CSP.

Sie können DHA über Microsoft Cloud oder einen lokalen Windows-DHA-Server wie folgt konfigurieren:

  • Microsoft Cloud: Fügen Sie eine DHA-Richtlinie hinzu und konfigurieren Sie sie gemäß der Anleitung im vorliegenden Artikel.
  • Lokaler Windows-DHA-Server: Konfigurieren Sie einen DHA-Server. Fügen Sie dann eine DHA-Richtlinie hinzu und konfigurieren Sie sie gemäß der Anleitung im vorliegenden Artikel.

    Um einen DHA-Server zu konfigurieren, installieren Sie die DHA-Serverrolle auf einer Maschine mit Windows Server 2016 Technical Preview 5 oder höher. Weitere Informationen finden Sie unter Konfigurieren eines lokalen DHA-Servers zum Nachweis der Geräteintegrität.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Windows Phone- und Windows Desktop-/Tablet-Einstellungen

Bei Konfiguration von DHA mit Microsoft Cloud

  • Device Health Attestation aktivieren: Wählen Sie aus, ob ein Integritätsnachweis erforderlich sein soll. Der Standardwert ist Aus.

Bei Konfiguration von DHA mit einem lokalen Windows-DHA-Server

  • Device Health Attestation aktivieren: Wählen Sie Ein.

  • Health Attestation Service lokal konfigurieren: Wählen Sie Ein.

  • FQDN für lokalen DHA-Server: Geben Sie den vollqualifizierten Domänennamen des DHA-Servers ein.

  • Lokale DHA-API-Version: Wählen Sie die Version des auf dem DHA-Server installierten Diensts.

Integritätsnachweisrichtlinie für Geräte