Atestación de inscripción de Windows

El objetivo de la atestación de inscripción de Windows es hacer que los dispositivos sean más seguros y confiables dentro de la red a la que se unen. Con esta característica, puedes comprobar que los dispositivos Windows 10 y 11 cumplen estrictos estándares de seguridad durante la inscripción, mediante la tecnología del Módulo de plataforma segura (TPM) para mejorar su defensa frente a amenazas. La característica de atestación de inscripción de Windows también confirma e informa sobre los dispositivos que se inscriben de forma segura, lo que garantiza que el proceso sea confiable.

Esto es lo que beneficia a las organizaciones:

Seguridad mejorada: la atestación de TPM ayuda a detectar y abordar puntos débiles de seguridad o dispositivos en peligro y reduce la posibilidad de acceso no autorizado o incidentes de seguridad.

Cumplimiento de los estándares normativos: la atestación de Windows ayuda a las organizaciones a demostrar que siguen estrictas medidas de seguridad durante la inscripción de dispositivos, lo que es importante para cumplir con las normativas del sector y los requisitos de cumplimiento.

El objetivo principal es establecer un entorno más seguro y de confianza para los dispositivos de la infraestructura de la organización mediante la atestación de Windows durante el proceso de inscripción.

Requisitos para la atestación de inscripción de Windows

Se recomienda usar las actualizaciones más recientes para una tasa de atestación más correcta.

  • Windows 10

    • 10.0.19045.3996+
  • Windows 11

    • 10.0.22000.2713+
    • 10.0.22621.2792+
    • 10.0.22631.2792+
  • TPM 2.0 mínimo en dispositivos

  • Se admiten dispositivos físicos.

    Nota:

    Las máquinas virtuales no pueden atestiguar, lo que incluye lo siguiente, incluso si usan máquinas virtuales:

    • Máquinas virtuales de Hyper-V y Azure
    • Hosts de sesión de Azure Virtual Desktop
    • Equipos en la nube de Windows 365
    • Microsoft Dev Box
  • La atestación con TPM en esta característica es durante la inscripción de administración de dispositivos de Intune, después de la atestación de TPM que se produce en el preaprovisionamiento de Autopilot y el modo de dispositivo compartido (SDM).

  • Lista de proveedores de servicios de configuración (CSP) aplicables para la atestación de Windows:

Funcionamiento de la atestación de inscripción de Windows

Diagrama de arquitectura de alto nivel sobre cómo se protege el dispositivo Windows mediante TPM en la inscripción

Informe de estado de atestación de dispositivos

El informe muestra información sobre el dispositivo, su TPM y si el dispositivo atestigua correctamente la inscripción. Si un dispositivo no atestigua, el informe explica por qué en la sección Detalles del estado . Use este informe para ver la lista completa de dispositivos y comprobar cuáles atestiguaron correctamente la inscripción.

Para acceder a este informe:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Informes>estado de atestación de dispositivos (versión preliminar) en la sección Administración de dispositivos.

  3. Filtre por Estado de atestación o Tipo de propiedad y seleccione Generar informe.

    Captura de pantalla del informe de atestación de dispositivos

Una vez generado el informe, los detalles de nivel superior que se ven incluyen:

  • Nombre del dispositivo

  • Id. de dispositivo

  • UPN

  • Estado de atestación del dispositivo

  • Detalles de estado

  • SO

  • Versión del sistema operativo

  • Ownership

  • Último check-in

  • Fecha de inscripción

  • Versión de TPM

  • Fabricante de TPM

  • Model

Al seleccionar una entrada, puede encontrar información más detallada sobre el dispositivo. También puede seleccionar una entrada mediante la columna Select (Seleccionar ) de la izquierda y volver a atestiguar mediante la acción Attest device (Attest device) en la parte superior del informe.

En la tabla siguiente se enumeran los detalles de estado y sus descripciones:

Detalles de estado Descripción
No se puede atestiguar la clave de entra El equipo de Entra no ha almacenado la clave del certificado ENTRA en TPM. Si el dispositivo está inscrito con AP ODJ, este detalle de estado es temporal.
La atestación está en proceso El dispositivo sigue trabajando en la atestación cuando Intune consulta su estado más reciente.
TPM no es de confianza El dispositivo contiene un TPM que no es de confianza y, por lo tanto, no se puede atestiguar.
TPM no está disponible El dispositivo no tiene TPM 2.0 o TPM no se puede atestiguar debido a la necesidad de actualización del firmware. Para obtener más información sobre cómo actualizar el firmware, consulte Recursos.
TPM no está listo TPM no está listo para ser utilizado por este dispositivo. El usuario debe restablecer la propiedad de TPM. Para obtener más información sobre cómo restablecer la propiedad de TPM, consulte Recursos.
Se rechaza la solicitud de cliente La solicitud de atestación del cliente no llegó al servidor MDM ni al servidor rechazó la solicitud.
No se proporcionó el certificado AIK Falta el certificado AIK en el dispositivo. Podría deberse a un problema de red. Si es temporal, la atestación se reintento correctamente una vez que el dispositivo recibe el certificado AIK.
El cliente no proporcionó todos los parámetros necesarios Faltan tanto el certificado AIK como la clave pública de AIK.
La clave MDM ya está en TPM El dispositivo indica que la clave MDM ya está almacenada en TPM. Sin embargo, Intune no puede atestiguarlo porque falta el certificado AIK o la clave pública de AIK o no se puede atestiguar la clave ENTRA.
No se admite la característica Este estado se muestra para los dispositivos que aún no son atestiguables. Entre los ejemplos se incluyen máquinas virtuales de Hyper-V y Azure, hosts de sesión de Azure Virtual Desktop, equipos en la nube de Windows 365 y Microsoft Dev Box.
El token de Entra no coincide con la identidad del dispositivo El token entra para la inscripción no coincide con la clave ENTRA presentada en la solicitud de inscripción. Para solucionar este problema, actualice a la compilación de Windows más reciente y vuelva a intentar la atestación.
Falta la identidad del dispositivo en el token de Entra Falta la identidad del dispositivo ENTRA en el token ENTRA para la inscripción.

Nota:

Para obtener más información, consulte la sección Recursos .

Atestiguar la acción del dispositivo

Si ve dispositivos en el informe que no han iniciado la atestación de TPM, puede seleccionar algunos de esos dispositivos a la vez y TPM atestiguarlos mediante la nueva acción de dispositivo Attest device (Attest device ) en la parte superior del informe. Esta acción del dispositivo debe tardar menos de unos minutos en atestiguar el dispositivo y se refleja en el informe al actualizar.

Para dar fe de algunos dispositivos no iniciados :

  1. Use los filtros desplegables de la parte superior del informe para filtrar por estado de atestación no iniciada .

  2. Seleccione Generar de nuevo. Desde allí, seleccione algunos dispositivos y, a continuación, seleccione Attest device action (Attest device action) en la parte superior del informe.

  3. La atestación puede tardar hasta 15 minutos en función de la actividad del dispositivo y del número de dispositivos seleccionados. Actualice después de algún tiempo para ver el estado actualizado de los dispositivos seleccionados.

Nota:

Solo puede seleccionar hasta 100 dispositivos a la vez para la acción del dispositivo y esperar al menos 1 minuto entre el desencadenamiento de la acción del dispositivo Attest .

Si los dispositivos producen errores en la atestación, en función del valor de la columna Detalles del estado , puede volver a intentar la atestación mediante la acción Attest device (Attest device ). Si aparece alguno de los siguientes detalles de estado , se recomienda volver a intentar la acción del dispositivo Attest .

  • El cliente no proporcionó el certificado AIK

  • La atestación está en proceso

  • La clave MDM ya está en TPM

  • TPM no está listo

  • Error de autenticación

  • El cliente no proporcionó todos los parámetros necesarios para la atestación.

  • El token de Entra no coincide con la identidad del dispositivo

Permisos para la acción del dispositivo

Para usar la acción atestiguar el dispositivo, necesita un permiso basado en roles conocido como Tareas remotas: indica la atestación de administración de dispositivos móviles (MDM) si el dispositivo es capaz de hacerlo. Establezca permiso en para habilitar la acción. Con el permiso establecido en , los administradores de TI pueden iniciar la acción del dispositivo Attest .

Recursos

Importante

La solución de problemas de TPM normalmente requiere una acción de borrado y restablecimiento, lo que puede dar lugar a la pérdida de datos. Asegúrese de que tiene copias de seguridad en su lugar antes de llevar a cabo los pasos de solución de problemas de TPM.

Vínculos adicionales: