设备运行状况证明设备策略

在 Endpoint Management 中, 您可以需要 Windows 10 个设备报告其运行状况的状态。为报告其运行状况,设备将特定数据和运行时信息发送给 Health Attestation Service (HAS) 进行分析。HAS 创建并返回运行状况证明证书,然后,设备将此证书发送给 Endpoint Management。Endpoint Management 使用运行状况证明证书的内容部署已设置的自动操作。

HAS 验证的数据包括:

  • AIK 是否存在
  • Bit Locker 状态
  • 启动调试是否已启用
  • 启动管理器修订列表版本
  • 代码完整性是否已启用
  • 代码完整性修订列表版本
  • DEP 策略
  • ELAM 驱动程序是否已加载
  • 颁发时间
  • 内核调试是否已启用
  • PCR
  • 重置计数
  • 重新启动计数
  • 安全模式是否已启用
  • SBCP 哈希
  • 安全启动是否已启用
  • 测试签名是否已启用
  • 已启用 VSM
  • 已启用 WinPE

有关详细信息,请参阅 Microsoft HealthAttestation CSP 页面。

可以使用 Microsoft Cloud 或本地 Windows DHA 服务器配置 DHA, 如下所示:

  • 使用 Microsoft 云配置 DHA: 添加设备运行状况证明策略, 并按本文中所述配置它。
  • 使用本地 Windows DHA 服务器配置 DHA:配置 DHA 服务器。然后, 添加一个设备运行状况证明策略, 并按本文中所述对其进行配置。

    要配置 DHA 服务器,请在运行 Windows Server 2016 技术预览版 5 或更高版本的计算机上安装 DHA 服务器角色。相关说明,请参阅 配置本地设备运行状况证明服务器

要添加或配置此策略,请转至配置 > 设备策略。有关详细信息,请参阅设备策略

Windows Phone 和 Windows Desktop/Tablet 设置

如果使用 Microsoft 云配置 DHA

  • 启用设备运行状况证明: 选择是否需要设备运行状况证明。默认值为

如果使用本地 Windows DHA 服务器配置 DHA

  • 启用设备运行状况证明: 设置为

  • 配置本地 Health Attestation Service: 设置为

  • 本地 DHA 服务 FQDN: 键入您设置的 DHA 服务器的完全限定域名。

  • 本地 DHA API 版本: 选择 DHA 服务器上安装的 DHA 服务版本。

设备运行状况证明设备策略