设备运行状况证明设备策略

在 XenMobile 中，您可以要求 Windows 10 设备报告其运行状况，方法是让这些设备将特定数据和运行时信息发送给 Health Attestation Service (HAS) 进行分析。HAS 创建并返回运行状况证明证书，然后，设备将此证书发送给 XenMobile。XenMobile 收到运行状况证明证书后，根据运行状况证明证书的内容，部署您之前设置的自动操作。

HAS 验证的数据包括：

• AIK 是否存在
• Bit Locker 状态
• 启动调试是否已启用
• 启动管理器修订列表版本
• 代码完整性是否已启用
• 代码完整性修订列表版本
• DEP 策略
• ELAM 驱动程序是否已加载
• 颁发时间
• 内核调试是否已启用
• PCR
• 重置计数
• 重新启动计数
• 安全模式是否已启用
  
• SBCP 哈希
• 安全启动是否已启用
• 测试签名是否已启用
• 已启用 VSM
• 已启用 WinPE

有关详细信息，请参阅 Microsoft HealthAttestation CSP 页面。

1. 在 XenMobile 控制台中，单击配置 > 设备策略。此时将显示设备策略页面。

2. 单击添加添加新策略。此时将显示添加新策略对话框。

3. 单击更多，然后在自定义下方，单击设备运行状况证明策略。此时将显示设备运行状况证明策略信息页面。

4. 在策略信息窗格中，输入以下信息：

• 策略名称：键入策略的描述性名称。
• 说明：键入策略的可选说明。

5. 单击下一步。此时将显示策略平台页面。

6. 在平台下方，选择要添加的平台。如果只为一个平台配置，请取消选中其他平台。

为平台配置了设置后，请参阅步骤 7 以了解如何设置此平台的部署规则。

为您选择的各个平台配置此设置：

• 启用设备运行状况证明：选择是否需要设备运行状况证明。默认值为关。

8. 单击下一步。此时将显示设备运行状况证明策略分配页面。

9. 在选择交付组旁边，键入以查找交付组，或在列表中选择一个或多个要向其分配策略的交付组。选择的组显示在用于接收应用程序分配的交付组列表中。

10. 展开部署计划，然后配置以下设置：

• 在部署旁边，单击开以计划部署，或单击关以阻止部署。默认选项为开。如果选择关，无需配置其他选项。
• 在部署计划旁边，单击立即或稍后。默认选项为立即。
• 如果单击稍后，请单击日历图标，然后选择部署的日期和时间。
• 在部署条件旁边，单击每次连接时或单击仅当之前的部署失败时。默认选项为每次连接时。
• 在为始终启用的连接部署旁边，单击开或关。默认选项为关。

注意：

• 已在设置 > 服务器属性中配置了计划后台部署密钥的情况下此选项适用。始终启用选项不适用于 iOS 设备。
• 配置的部署计划对所有平台相同。您所做的更改适用于所有平台，为始终启用的连接部署除外，它不适用于 iOS。

11. 单击保存。