Поделиться через

Windows 10 устройство с включенной безопасной загрузкой в Intune

  • Статья

В этой статье рассматривается сценарий, в котором устройство Windows 10 с включенной безопасной загрузкой отображается как не совместимое в Microsoft Intune.

Признак

Вы создаете политику соответствия для Windows 10 устройств в Intune. Для параметра Требовать безопасную загрузку на устройстве задается значение Требовать.

Снимок экрана: параметр

В этом сценарии Windows 10 устройство, соответствующее требованию, помечается как несоответствующее.

Снимок экрана: включение безопасной загрузки на устройстве не соответствует требованиям.

Причина

Параметр Требовать безопасную загрузку на устройстве поддерживается на некоторых устройствах TPM 1.2 и 2.0. Для устройств, которые не поддерживают TPM 2.0 или более поздней версии, состояние политики в Intune отображается как Не соответствует. TPM 2.0 требует встроенного ПО UEFI. Компьютер с устаревшей версией BIOS и TPM 2.0 не будет работать должным образом.

Дополнительные сведения о поддерживаемых версиях см. в разделе Поддерживаемые версии для аттестации работоспособности устройств.

Дополнительные сведения о том, как решения для управления мобильными устройствами (MDM) используют службу аттестации работоспособности, см. в статье Защита, управление и создание отчетов о состоянии безопасности устройств на основе Windows 10.

Дополнительная информация

Выполните следующие действия, чтобы проверка, соответствует ли устройство требованиям к оборудованию для функции аттестации работоспособности.

  1. Проверьте версию доверенного платформенного модуля.

    Введите tpm.msc в поле Выполнить, а затем проверка значение в поле Версия спецификации.

    Снимок экрана: окно управления TPM на локальном компьютере, где выделена версия спецификации.

    Примечание.

    Если TPM версии 1.2 и ваше устройство поддерживает TPM 2.0, обратитесь к производителю устройства, чтобы выполнить обновление до TPM 2.0.

  2. Откройте командную строку с повышенными привилегиями и выполните msinfo32 команду .

  3. В разделе Сводка по системе убедитесь, что режим BIOS имеет значение UEFI, а конфигурация PCR7привязана.

    Снимок экрана: сводка по системе, где режим BIOS — UEFI, а конфигурация PCR7 связана.

  4. Откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду:

    Confirm-SecureBootUEFI

    Убедитесь, что возвращается значение True.

  5. Выполните следующую команду PowerShell.

    manage-bde -protectors -get $env:systemdrive

    Убедитесь, что диск защищен PCR 7.

    Снимок экрана: профиль проверки PCR.