Stratégie d’attestation de l’intégrité des appareils

Dans XenMobile, vous pouvez exiger que les appareils Windows 10 communiquent leur état d’intégrité ; pour cela, ces appareils envoient des informations d’exécution et des données spécifiques au service HAS pour analyse. Le service HAS crée et renvoie un certificat d’attestation d’intégrité que l’appareil envoie ensuite à XenMobile. Lorsque XenMobile reçoit le certificat d’attestation d’intégrité, en fonction du contenu de l’attestation, des actions automatiques que vous avez configurées précédemment peuvent être déployées.

Les données vérifiées par le service HAS sont les suivantes :

  • AIK présent ?
  • État BitLocker
  • Débogage du démarrage activé ?
  • Version de la liste de révision du Gestionnaire de démarrage
  • Intégrité du code activée ?
  • Version de la liste de révision d’intégrité du code
  • Stratégie DEP
  • Pilote ELAM chargé ?
  • Date d’émission
  • Débogage du noyau activé ?
  • PCR
  • Nombre de réinitialisations
  • Nombre de redémarrages
  • Mode sans échec activé ?
  • Hachage SBCP
  • Démarrage sécurisé activé ?
  • Signature du test activée ?
  • VSM activé ?
  • WinPE activé ?

Pour de plus amples informations, reportez-vous à la page HealthAttestation CSP de Microsoft.

Pour ajouter ou configurer cette stratégie, accédez à Configurer > Stratégies d’appareil. Pour de plus amples informations, consultez la section Stratégies d’appareil.

Pour configurer DHA à l’aide de Microsoft Cloud

Ajoutez une stratégie d’attestation de l’intégrité des appareils et configurez ce paramètre pour chaque plate-forme que vous choisissez :

  • Activer l’attestation de l’intégrité des appareils : sélectionnez cette option pour exiger l’attestation de l’intégrité des appareils. La valeur par défaut est Désactivé.

Pour configurer DHA à l’aide d’un serveur Windows DHA sur site

Pour activer DHA sur site, vous devez d’abord configurer un serveur DHA. Ensuite, vous devez créer une stratégie XenMobile Server pour activer le service DHA sur site.

  1. Pour configurer un serveur DHA, installez le rôle de serveur DHA sur une machine exécutant Windows Server 2016 Technical Preview 5 ou version ultérieure. Pour obtenir des instructions, consultez la section sur la configuration d’un serveur d’attestation de l’intégrité des appareils sur site.

  2. Ajoutez une stratégie d’attestation de l’intégrité des appareils et configurez ces paramètres :

    • Activer l’attestation de l’intégrité des appareils : réglez sur Activé.

    • Configurer Health Attestation Service sur site : réglez sur Activé.

    • FQDN du serveur DHA sur site : entrez le nom de domaine complet du serveur DHA que vous avez configuré.

    • Version de l’API DHA sur site : sélectionnez la version du service DHA installé sur le serveur DHA.

Stratégie d’attestation de l’intégrité des appareils