Win 11系统之家
Microsoft宣布,从 2023 年中旬开始,Windows <> 客户端的启动证明报告将转换为客户端证明报告的Microsoft Azure 证明 (MAA) 服务。
过渡到 Azure 证明服务仅影响 Windows 11 客户端。Windows 10 客户端将继续使用现有的 Windows 设备运行状况证明 (DHA) 服务终结点进行设备运行状况证明报告。
Windows 11 从 DHA 迁移到 MAA
Windows 中的客户端证明报告(也称为 Windows Defender Remote Credential Guard)是 Windows 10 版本 1607 中引入的一项安全功能。 它旨在使用远程桌面连接和/或在自带设备 (BYOD) 方案中保护凭据。它通过将 Kerberos 请求重定向回请求连接的设备来运行,从而为远程桌面会话提供单一登录体验。以前,Windows 设备运行状况证明 (DHA) 服务负责 Windows 10 和 Windows 11 客户端的证明报告。
DHA 的配置服务提供商 (CSP) 将从 Windows 设备的受信任平台模块 (TPM) 收集审核数据以及启动日志信息。然后,此数据用于响应来自支持 DHA 的移动设备管理 (MDM) 解决方案的证明请求。
随着 Windows 11 的引入,已实现对设备运行状况证明功能的更新。此更新提供了对 Windows 启动安全性的更深入见解,支持设备安全性的零信任方法。MAA 服务通过将更多子节点引入 MDM 提供程序连接到的运行状况证明节点来简化证明过程。
MAA 服务生成的证明报告提供设备启动时属性的运行状况评估,确保设备开机后立即自动安全。然后,可以使用运行状况证明结果来允许或拒绝对网络、应用或服务的访问,具体取决于设备的运行状况。
防火墙策略和 IT 专业人员
建议 IT 专业人员确保其防火墙策略与过渡到 Azure 证明服务兼容。具体来说,他们应该确保没有防火墙规则阻止Microsoft公告中列出的特定端点的出站 HTTPS/443 流量。
在公告中,Microsoft还提供了基于 Intune 租户位置的终结点列表,IT 专业人员应确保防火墙规则不会阻止这些终结点。Intune 支持团队建议,如果使用任何设备运行状况设置分配了符合性策略的 Windows 11 设备无法访问其位置的 MAA 证明终结点,则这些设备将不符合要求。
