Stratégie d’attestation de l’intégrité des appareils

Dans XenMobile, vous pouvez exiger que les appareils Windows 10 signalent l’état de leur intégrité. Pour signaler l’état de leur intégrité, les appareils envoient des informations d’exécution et des données spécifiques au service d’attestation de l’intégrité (HAS) pour analyse. Le service HAS crée et renvoie un certificat d’attestation d’intégrité que l’appareil envoie ensuite à XenMobile. XenMobile utilise le contenu du certificat d’attestation d’intégrité pour déployer les actions automatiques que vous avez configurées.

Les données vérifiées par le service HAS sont les suivantes :

  • AIK présent ?
  • État BitLocker
  • Débogage du démarrage activé ?
  • Version de la liste de révision du Gestionnaire de démarrage
  • Intégrité du code activée ?
  • Version de la liste de révision d’intégrité du code
  • Stratégie DEP
  • Pilote ELAM chargé ?
  • Date d’émission
  • Débogage du noyau activé ?
  • PCR
  • Nombre de réinitialisations
  • Nombre de redémarrages
  • Mode sans échec activé ?
  • Hachage SBCP
  • Démarrage sécurisé activé ?
  • Signature du test activée ?
  • VSM activé ?
  • WinPE activé ?

Pour de plus amples informations, reportez-vous à la page HealthAttestation CSP de Microsoft.

Vous pouvez configurer DHA à l’aide de Microsoft Cloud ou d’un serveur Windows DHA sur site, comme suit :

  • Pour configurer DHA à l’aide de Microsoft Cloud : ajoutez une stratégie d’attestation de l’intégrité des appareils et configurez-la comme décrit dans cet article.
  • Pour configurer DHA à l’aide d’un serveur Windows DHA sur site : Configurer un serveur DHA. Ensuite, ajoutez une stratégie d’attestation de l’intégrité des appareils et configurez-la comme décrit dans cet article.

    Pour configurer un serveur DHA, installez le rôle de serveur DHA sur une machine exécutant Windows Server 2016 Technical Preview 5 ou version ultérieure. Pour obtenir des instructions, consultez la section sur la configuration d’un serveur d’attestation de l’intégrité des appareils sur site.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Paramètres Windows Phone et Windows Desktop/Tablet

Si vous configurez DHA à l’aide de Microsoft Cloud

  • Activer l’attestation de l’intégrité des appareils : sélectionnez cette option pour exiger l’attestation de l’intégrité des appareils. La valeur par défaut est Désactivé.

Si vous configurez DHA à l’aide d’un serveur Windows DHA sur site

  • Activer l’attestation de l’intégrité des appareils : réglez sur Activé.

  • Configurer Health Attestation Service sur site : réglez sur Activé.

  • FQDN du serveur DHA sur site : entrez le nom de domaine complet du serveur DHA que vous avez configuré.

  • Version de l’API DHA sur site : sélectionnez la version du service DHA installé sur le serveur DHA.

Stratégie d’attestation de l’intégrité des appareils