Wat is TPM-attestation en moeten we het in Intune aanzetten?

TPM-attestation is de check dat een laptop echt de laptop is die hij beweert te zijn, en niet een virtual machine of een gecompromitteerd device met een gespoofte identifier. Voor MKB die Intune en Conditional Access gebruikt is het een gratis extra-laag.

Probeer dit eerst zelf

1. 1Controleer in Intune of de devices TPM 2.0 hebben. Endpoint security, Hardware, of via een report op DeviceHealth. Windows 11 vereist al TPM 2.0, Windows 10-laptops uit 2018 of later hebben het meestal ook.
2. 2Activeer Health Attestation in Intune onder Compliance policies, Windows 10/11. Vereisten: BitLocker on, Secure Boot on, Code integrity on. Een device dat een van deze niet meldt valt out-of-compliance.
3. 3Koppel de Compliance-policy aan een Conditional-Access-policy: 'Require device to be marked as compliant'. Vanaf dat moment kan een laptop zonder gezonde TPM niet meer bij Microsoft 365.
4. 4Test op een eigen laptop voor je breed uitrolt. Een legitieme laptop met een rare driver-stack kan onverwacht falen, beter ontdek je dat zelf dan via een ticketstroom.
5. 5Voor BYOD: TPM-attestation eist enrolment, dus dat botst met BYOD-zonder-MDM. Daar kies je tussen MAM-only of een aparte MFA-laag, niet TPM.

Past het bovenstaande niet?

Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.