Integritätsnachweisrichtlinie für Geräte

Sie können in XenMobile festlegen, dass Windows 10-Geräte ihren Integritätszustand melden müssen. Hierfür werden von den Geräten bestimmte Daten und Laufzeitinformationen an den Health Attestation Service (HAS) zur Analyse gesendet. Der HAS erstellt ein Health Attestation-Zertifikat und sendet es an das Gerät, von wo aus es an XenMobile gesendet wird. Basierend auf dem Inhalt des Health Attestation-Zertifikats kann XenMobile dann automatische Aktionen auslösen, die Sie zuvor eingerichtet haben.

Vom HAS werden folgende Parameter geprüft:

  • AIK Present
  • BitLocker-Status
  • Boot Debugging Enabled
  • Boot Manager Rev List Version
  • Code Integrity Enabled
  • Code Integrity Rev List Version
  • DEP Policy
  • ELAM Driver Loaded
  • Issued At
  • Kernel Debugging Enabled
  • PCR
  • Reset Count
  • Restart Count
  • Safe Mode Enabled
  • SBCP Hash
  • Secure Boot Enabled
  • Test Signing Enabled
  • VSM Enabled
  • WinPE Enabled

Weitere Informationen finden Sie auf der Microsoft-Website unter HealthAttestation CSP.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Konfigurieren von DHA mit Microsoft Cloud

Fügen Sie eine DHA-Richtlinie für den Integritätsnachweis hinzu und konfigurieren Sie diese Einstellung für jede von Ihnen ausgewählte Plattform:

  • Device Health Attestation aktivieren: Wählen Sie aus, ob ein Integritätsnachweis erforderlich sein soll. Der Standardwert ist Aus.

Konfigurieren von DHA mit einem lokalen Windows DHA-Server

Um DHA on-premises zu aktivieren, konfigurieren Sie zunächst einen DHA-Server. Anschließend erstellen Sie eine XenMobile Server-Richtlinie zum Aktivieren des lokalen DHA-Diensts.

  1. Um einen DHA-Server zu konfigurieren, installieren Sie die DHA-Serverrolle auf einer Maschine mit Windows Server 2016 Technical Preview 5 oder höher. Weitere Informationen finden Sie unter Konfigurieren eines lokalen DHA-Servers zum Nachweis der Geräteintegrität.

  2. Fügen Sie eine DHA-Richtlinie hinzu und konfigurieren Sie diese Einstellungen:

    • Device Health Attestation aktivieren: Wählen Sie Ein.

    • Health Attestation Service lokal konfigurieren: Wählen Sie Ein.

    • FQDN für lokalen DHA-Server: Geben Sie den vollqualifizierten Domänennamen des DHA-Servers ein.

    • Lokale DHA-API-Version: Wählen Sie die Version des auf dem DHA-Server installierten Diensts.

Integritätsnachweisrichtlinie für Geräte