Intune-Verwaltung von Surface UEFI-EinstellungenIntune management of Surface UEFI settings

EinführungIntroduction

Die Möglichkeit, Geräte aus der Cloud zu verwalten, hat die Bereitstellung und Bereitstellung der IT während des gesamten Lebenszyklus erheblich vereinfacht.The ability to manage devices from the cloud has dramatically simplified IT deployment and provisioning across the lifecycle. Mit in Microsoft Intuneintegrierten Device Firmware Configuration Interface (DFCI)-Profilen erweitert die Surface -UEFI-Verwaltung den modernen Verwaltungsstapel bis auf die UEFI-Hardwareebene.With Device Firmware Configuration Interface (DFCI) profiles built into Microsoft Intune, Surface UEFI management extends the modern management stack down to the UEFI hardware level. DFCI unterstützt die Zero-Touch-Bereitstellung, beseitigt BIOS-Kennwörter, ermöglicht die Steuerung von Sicherheitseinstellungen, einschließlich Startoptionen und integrierter Peripheriegeräte, und bildet die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft.DFCI supports zero-touch provisioning, eliminates BIOS passwords, provides control of security settings including boot options and built-in peripherals, and lays the groundwork for advanced security scenarios in the future. Antworten auf häufig gestellte Fragen finden Sie unter Ignite 2019: Ankündigungder Remoteverwaltung von Surface -UEFI-Einstellungen von Intune .For answers to frequently asked questions, see Ignite 2019: Announcing remote management of Surface UEFI settings from Intune.

HintergrundBackground

Wie alle Computer unter Windows 10 verlassen sich die Geräte von Surface auf code, der im SoC gespeichert ist, der es der CPU ermöglicht, eine Schnittstelle mit Festplatten, Anzeigegeräten, USB-Ports und anderen Geräten zu erstellen.Like any computer running Windows 10, Surface devices rely on code stored in the SoC that enables the CPU to interface with hard drives, display devices, USB ports, and other devices. Die in diesem schreibgeschützten Speicher (ROM) gespeicherten Programme werden als Firmware (während auf dynamischen Medien gespeicherte Programme als Software bekannt sind) bekannt.The programs stored in this read-only memory (ROM) are known as firmware (while programs stored in dynamic media are known as software).

Im Gegensatz zu anderen Windows 10-Geräten, die derzeit auf dem Markt erhältlich sind, bietet Surface it-Administratoren die Möglichkeit, Firmware über eine umfangreiche Reihe von UEFI-Konfigurationseinstellungen zu konfigurieren und zu verwalten.In contrast to other Windows 10 devices available in the market today, Surface provides IT admins with the ability to configure and manage firmware through a rich set of UEFI configuration settings. Dies bietet eine Ebene der Hardwarekontrolle über die softwarebasierte Richtlinienverwaltung, wie sie über Richtlinien für die mobile Geräteverwaltung (Mobile Device Management, MDM), Configuration Manager oder Gruppenrichtlinien implementiert wird.This provides a layer of hardware control on top of software-based policy management as implemented via mobile device management (MDM) policies, Configuration Manager or Group Policy. Beispielsweise können Organisationen, die Geräte in äußerst sicheren Bereichen mit vertraulichen Informationen bereitstellen, die Kameranutzung verhindern, indem sie Funktionen auf Hardwareebene entfernen.For example, organizations deploying devices in highly secure areas with sensitive information can prevent camera use by removing functionality at the hardware level. Aus Geräte sicht entspricht das Deaktivieren der Kamera über eine Firmwareeinstellung dem physischen Entfernen der Kamera.From a device standpoint, turning the camera off via a firmware setting is equivalent to physically removing the camera. Vergleichen Sie die zusätzliche Sicherheit der Verwaltung auf Firmwareebene mit der Ausschließlichung von Betriebssystemsoftwareeinstellungen.Compare the added security of managing at the firmware level to relying only on operating system software settings. Wenn Sie beispielsweise den Windows-Audiodienst über eine Richtlinieneinstellung in einer Domänenumgebung deaktivieren, könnte ein lokaler Administrator den Dienst weiterhin erneut aktivieren.For example, if you disable the Windows audio service via a policy setting in a domain environment, a local admin could still re-enable the service.

DFCI im Vergleich zu SEMMDFCI versus SEMM

Bisher war für die Verwaltung der Firmware die Registrierung von Geräten im Surface Enterprise Management Mode (SEMM) mit dem Aufwand für laufende manuelle IT-intensive Aufgaben erforderlich.Previously, managing firmware required enrolling devices into Surface Enterprise Management Mode (SEMM) with the overhead of ongoing manual IT-intensive tasks. Beispielsweise erfordert SEMM, dass die IT-Mitarbeiter physisch auf jeden PC zugreifen, um im Rahmen des Zertifikatverwaltungsprozesses eine zweistellige Pin ein eingeben zu können.As an example, SEMM requires IT staff to physically access each PC to enter a two-digit pin as part of the certificate management process. Obwohl SEMM eine gute Lösung für Organisationen in einer rein lokalen Umgebung bleibt, ist die Verwendung durch die Komplexität und die itintensiven Anforderungen kostspielig.Although SEMM remains a good solution for organizations in a strictly on-premises environment, its complexity and IT-intensive requirements make it costly to use.

Mit integrierten Funktionen für die Verwaltung von UEFI-Firmware in Microsoft Intune ist die Möglichkeit, Hardware zu sperren, vereinfacht und einfacher mit neuen Features für Die Bereitstellung, Sicherheit und optimierte Aktualisierung in einer einzigen Konsole, die jetzt als Microsoft Endpoint Managervereinheitlicht ist, zu verwenden.With integrated UEFI firmware management capabilities in Microsoft Intune, the ability to lock down hardware is simplified and easier to use with new features for provisioning, security, and streamlined updating all in a single console, now unified as Microsoft Endpoint Manager. Die folgende Abbildung zeigt UEFI-Einstellungen, die direkt auf dem Gerät (links) und in der Endpoint -Manager-Konsole (rechts) angezeigt werden.The following figure shows UEFI settings viewed directly on the device (left) and viewed in the Endpoint Manager console (right).

Auf dem Gerät (links) und in der Endpoint -Manager-Konsole (rechts) angezeigte UEFI-Einstellungen

DfCI ermöglicht vorerst die Verwaltung ohne Touch, sodass keine manuelle Interaktion durch die IT-Administratoren erforderlich ist.Crucially, DFCI enables zero touch management, eliminating the need for manual interaction by IT admins. DFCI wird über Windows Autopilot mithilfe der Geräteprofilfunktion in Intune bereitgestellt.DFCI is deployed via Windows Autopilot using the device profiles capability in Intune. Mit einem Geräteprofil können Sie Einstellungen hinzufügen und konfigurieren, die dann auf Geräten bereitgestellt werden können, die für die Verwaltung in Ihrer Organisation registriert sind.A device profile allows you to add and configure settings which can then be deployed to devices enrolled in management within your organization. Sobald das Gerät das Geräteprofil empfängt, werden die Features und Einstellungen automatisch angewendet.Once the device receives the device profile, the features and settings are applied automatically. Beispiele für allgemeine Geräteprofile sind E-Mail, Geräteeinschränkungen, VPN, WLAN und administrative Vorlagen.Examples of common device profiles include Email, Device restrictions, VPN, Wi-Fi, and Administrative templates. DFCI ist einfach ein zusätzliches Geräteprofil, mit dem Sie die UEFI-Konfigurationseinstellungen aus der Cloud verwalten können, ohne die lokale Infrastruktur verwalten zu müssen.DFCI is simply an additional device profile that enables you to manage UEFI configuration settings from the cloud without having to maintain on-premises infrastructure.

Unterstützte GeräteSupported devices

DFCI wird auf den folgenden Geräten unterstützt:DFCI is supported in the following devices:

  • Surface Pro 7+Surface Pro 7+
  • Surface Pro 7Surface Pro 7
  • Surface Pro XSurface Pro X
  • Surface Laptop 3Surface Laptop 3
  • Surface Book 3Surface Book 3
  • Surface Laptop GoSurface Laptop Go

Hinweis

Surface Pro X unterstützt keine Verwaltung von DFCI-Einstellungen für integrierte Kamera, Audio und WLAN/Bluetooth.Surface Pro X does not support DFCI settings management for built-in camera, audio, and Wi-Fi/Bluetooth.

VoraussetzungenPrerequisites

VorbemerkungenBefore you begin

Fügen Sie Ihre Ziel-Surface-Geräte einer Azure AD-Sicherheitsgruppe hinzu.Add your target Surface devices to an Azure AD security group. Weitere Informationen zum Erstellen und Verwalten von Sicherheitsgruppen finden Sie in der Intune-Dokumentation.For more information about creating and managing security groups, refer to Intune documentation.

Konfigurieren der Verwaltung von DFCI für Surface-GeräteConfigure DFCI management for Surface devices

Eine DFCI-Umgebung erfordert das Einrichten eines DFCI-Profils, das die Einstellungen enthält, und eines Autopilot-Profils, um die Einstellungen auf registrierte Geräte anzuwenden.A DFCI environment requires setting up a DFCI profile that contains the settings and an Autopilot profile to apply the settings to registered devices. Außerdem wird ein Registrierungsstatusprofil empfohlen, um sicherzustellen, dass die Einstellungen während des Setups derOoBE nach unten übertragen werden, wenn Benutzer das Gerät zum ersten Mal starten.An enrollment status profile is also recommended to ensure settings are pushed down during OOBE setup when users first start the device. In diesem Handbuch wird erläutert, wie Sie die DFCI-Umgebung konfigurieren und die UEFI-Konfigurationseinstellungen für zielorientierte Surface-Geräte verwalten.This guide explains how to configure the DFCI environment and manage UEFI configuration settings for targeted Surface devices.

Erstellen eines DFCI-ProfilsCreate DFCI profile

Erstellen Sie vor dem Konfigurieren von DFCI-Richtlinieneinstellungen zuerst ein DFCI-Profil, und weisen Sie es der Azure AD-Sicherheitsgruppe zu, die Ihre Zielgeräte enthält.Before configuring DFCI policy settings, first create a DFCI profile and assign it to the Azure AD security group that contains your target devices.

  1. Melden Sie sich bei Ihrem Mandanten unter devicemanagement.microsoft.com.Sign into your tenant at devicemanagement.microsoft.com.

  2. Wählen Sie im Microsoft Endpoint Manager Admin Center "Geräte > Konfigurationsprofile" > Profil erstellen und einen Namen eingeben. Beispiel: DFCI-Konfigurationsrichtlinie.In the Microsoft Endpoint Manager Admin Center, select Devices > Configuration profiles > Create profile and enter a name; for example, DFCI Configuration Policy.

  3. Wählen Sie Windows 10 und höher für den Plattformtyp aus.Select Windows 10 and later for platform type.

  4. Wählen Sie in der Dropdownliste "Profiltyp" die Option "Device Firmware Configuration Interface" aus, um das Blatt DFCI zu öffnen, das alle verfügbaren Richtlinieneinstellungen enthält.In the Profile type drop down list, select Device Firmware Configuration Interface to open the DFCI blade containing all available policy settings. Informationen zu den Einstellungen für DFCI finden Sie in Tabelle 1 auf dieser Seite oder in der Intune-Dokumentation.For information on DFCI settings, refer to Table 1 on this page or the Intune documentation. Sie können die Einstellungen für DFCI während des anfänglichen Setups oder höher konfigurieren, indem Sie das DfCI-Profil bearbeiten.You can configure DFCI settings during the initial setup process or later by editing the DFCI profile.

    Erstellen eines DFCI-Profils

  5. Klicken Sie auf "OK", und wählen Sie dann "Erstellen" aus.Click OK and then select Create.

  6. Wählen Sie Aufgaben aus, und wählen Sie unter "Gruppen auswählen" die Azure AD-Sicherheitsgruppe aus, die Ihre Zielgeräte enthält, wie in der folgenden Abbildung dargestellt. ****Select Assignments and under Select groups to include select the Azure AD security group that contains your target devices, as shown in the following figure. Klicken Sie auf Speichern.Click Save.

    Sicherheitsgruppe zuweisen

Erstellen eines AutopilotprofilsCreate Autopilot profile

  1. Wählen Sie im Endpoint Manager unter devicemanagement.microsoft.com Geräte aus, > die Registrierung von Windows aktivieren, und führen Sie einen Bildlauf nach unten zu Bereitstellungsprofilen durch.In Endpoint Manager at devicemanagement.microsoft.com, select devices > Windows enrollment and scroll down to Deployment profiles.

  2. Wählen Sie "Profil erstellen" aus, und geben Sie einen Namen ein. Beispiel: Mein Autopilot-Profil, und wählen Sie "Weiter" aus.Select Create profile and enter a name; for example, My Autopilot profile, and select Next.

  3. Wählen Sie die folgenden Einstellungen aus:Select the following settings:

    • Bereitstellungsmodus: Benutzergesteuert.Deployment mode: User-Driven.
    • Join type: Azure AD joined.Join type: Azure AD joined.
  4. Lassen Sie die verbleibenden Standardeinstellungen unverändert, und wählen Sie "Weiter" aus, wie in der folgenden Abbildung dargestellt.Leave the remaining default settings unchanged and select Next, as shown in the following figure.

    Erstellen eines Autopilotprofils

  5. Wählen Sie auf der Seite "Zuweisungen" "Gruppen auswählen" aus, die sie enthalten sollen, und klicken Sie auf Ihre Azure AD-Sicherheitsgruppe.On the Assignments page, choose Select groups to include and click your Azure AD security group. Wählen Sie Weiter aus.Select Next.

  6. Akzeptieren Sie die Zusammenfassung, und wählen Sie dann Erstellen aus.Accept the summary and then select Create. Das Autopilotprofil wird nun erstellt und der Gruppe zugewiesen.The Autopilot profile is now created and assigned to the group.

Seite "Registrierungsstatus konfigurieren"Configure Enrollment Status Page

Um sicherzustellen, dass geräte die DFCI-Konfiguration während der OOBE anwenden, bevor sich Benutzer anmelden, müssen Sie den Registrierungsstatus konfigurieren.To ensure that devices apply the DFCI configuration during OOBE before users sign in, you need to configure enrollment status.

Weitere Informationen finden Sie auf der Seite "Einrichten einer Registrierungsstatusseite".For more information, refer to Set up an enrollment status page.

Konfigurieren von DFCI-Einstellungen auf Surface-GerätenConfigure DFCI settings on Surface devices

DFCI enthält einen optimierten Satz von UEFI-Konfigurationsrichtlinien, die ein zusätzliches Maß an Sicherheit bieten, indem Geräte auf Hardwareebene gesperrt werden.DFCI includes a streamlined set of UEFI configuration policies that provide an extra level of security by locking down devices at the hardware level. DFCI ist für die Verwendung in Verbindung mit Verwaltungseinstellungen für mobile Geräte auf Softwareebene konzipiert.DFCI is designed to be used in conjunction with mobile device management settings at the software level. Beachten Sie, dass sich die DfCI-Einstellungen nur auf Hardwarekomponenten auswirken, die in Surface Geräte integrierte sind, und nicht auf angeschlossene Peripheriegeräte wie USB-Webcams erweitert werden.Note that DFCI settings only affect hardware components built into Surface devices and do not extend to attached peripherals such as USB webcams. (Sie können jedoch Geräteeinschränkungsrichtlinien in Intune verwenden, um den Zugriff auf angeschlossene Peripheriegeräte auf Softwareebene zu deaktivieren).(However, you can use Device restriction policies in Intune to turn off access to attached peripherals at the software level).

Sie konfigurieren die DFCI-Richtlinieneinstellungen, indem Sie das DfCI-Profil im Endpunkt-Manager bearbeiten, wie in der folgenden Abbildung dargestellt.You configure DFCI policy settings by editing the DFCI profile from Endpoint Manager, as shown in the figure below.

  • Wählen Sie im Endpoint Manager unter devicemanagement.microsoft.com die Option "Geräte > Windows >-Konfigurationsprofile" > "DFCI-Profilname"> "Eigenschaften" > aus.In Endpoint Manager at devicemanagement.microsoft.com, select Devices > Windows > Configuration Profiles > “DFCI profile name” > Properties > Settings.

    Konfigurieren von EINSTELLUNGEN für DFCI

Blockieren des Benutzerzugriffs auf die UEFI-EinstellungenBlock user access to UEFI settings

Für viele Kunden ist die Möglichkeit, Benutzer am Ändern von UEFI-Einstellungen zu blockieren, von entscheidender Bedeutung und ein Hauptgrund für die Verwendung von DFCI.For many customers, the ability to block users from changing UEFI settings is critically important and a primary reason to use DFCI. Wie in Tabelle 1 aufgeführt, wird dies über die Einstellung "Lokalen Benutzer das Ändern von UEFI-Einstellungen zulassen" verwaltet.As listed in Table 1, this is managed via the setting Allow local user to change UEFI settings. Wenn Sie diese Einstellung nicht bearbeiten oder konfigurieren, können lokale Benutzer alle UEFI-Einstellungen ändern, die nicht von Intune verwaltet werden.If you do not edit or configure this setting, local users will be able to change any UEFI setting not managed by Intune. Daher wird dringend empfohlen, die Änderung von Einstellungen für die UEFI für lokalen Benutzer zu deaktivieren.Therefore, it’s highly recommended to disable Allow local user to change UEFI settings. Mit den restlichen DFCI-Einstellungen können Sie Funktionen deaktivieren, die benutzern andernfalls zur Verfügung stehen würden.The rest of the DFCI settings enable you to turn off functionality that would otherwise be available to users. Wenn Sie z. B. vertrauliche Informationen in äußerst sicheren Bereichen schützen müssen, können Sie die Kamera deaktivieren, und wenn Sie nicht möchten, dass Benutzer von einem USB-Laufwerk starten, können Sie dies auch deaktivieren.For example, if you need to protect sensitive information in highly secure areas, you can disable the camera, and if you don’t want users booting from USB drives, you can disable that also.

Tabelle1.Table 1. DFCI-SzenarienDFCI scenarios

Ziel der GeräteverwaltungDevice management goal KonfigurationsschritteConfiguration steps
Blockieren der Änderung von Einstellungen für die UEFI für lokale BenutzerBlock local users from changing UEFI settings Wählen Sie unter "Sicherheitsfeatures> lokalen Benutzern das Ändern von UEFI-Einstellungen erlauben, die Option Keine aus.Under Security Features > Allow local user to change UEFI settings, select None.
Deaktivieren von KamerasDisable cameras Wählen Sie unter "Built in Hardware > Cameras" die Option "Deaktiviert" aus.Under Built in Hardware > Cameras, select Disabled.
Deaktivieren von Mikrofonen und LautsprechernDisable Microphones and speakers Wählen Sie unter "Integrierte Hardware- > Mikrofone und Lautsprecher" die Option "Deaktiviert" aus.Under Built in Hardware > Microphones and speakers, select Disabled.
Deaktivieren von Funkaktivierungen (Bluetooth, WLAN)Disable radios (Bluetooth, Wi-Fi) Wählen Sie unter "Built in Hardware > Radios (Bluetooth, WI-Fi, etc...)" die Option "Deaktiviert" aus.Under Built in Hardware > Radios (Bluetooth, Wi-Fi, etc…), select Disabled.
Starten von externen Medien deaktivieren (USB, SD)Disable Boot from external media (USB, SD) Wählen Sie unter "Built in Hardware > Boot Options > Boot from external media (USB, SD)" die Option "Deaktiviert" aus.Under Built in Hardware > Boot Options > Boot from external media (USB, SD), select Disabled.

Achtung

Die Einstellung "Funkgeräte deaktivieren" (Bluetooth, WLAN) sollte nur auf Geräten verwendet werden, die über eine kabelgebundene Ethernetverbindung verfügen.The Disable radios (Bluetooth, Wi-Fi) setting should only be used on devices that have a wired Ethernet connection.

Hinweis

DFCI in Intune enthält zwei Einstellungen, die derzeit nicht für Surface-Geräte gelten: (1) CPU- und E/A-Virtualisierung und (2) Deaktivieren des Startes von Netzwerkadaptern.DFCI in Intune includes two settings that do not currently apply to Surface devices: (1) CPU and IO virtualization and (2) Disable Boot from network adapters.

Intune bietet Bereichstags zum Delegieren von Administratorrechten und Anwendbarkeitsregeln zum Verwalten von Gerätetypen.Intune provides Scope tags to delegate administrative rights and Applicability Rules to manage device types. Weitere Informationen zur Unterstützung der Richtlinienverwaltung und ausführliche Informationen zu allen DFCI-Einstellungen finden Sie in der Microsoft Intune-Dokumentation.For more information about policy management support and full details on all DFCI settings, refer to Microsoft Intune documentation.

Registrieren von Geräten in AutopilotRegister devices in Autopilot

Wie oben erwähnt, kann DFCI nur auf Geräten angewendet werden, die von Ihrem Händler oder Händler in Windows Autopilot registriert sind, und wird nur unter Surface Pro 7+, Surface Laptop Go, Surface Pro 7, Surface Pro X und Surface Laptop 3 unterstützt.As stated above, DFCI can only be applied on devices registered in Windows Autopilot by your reseller or distributor and is only supported on Surface Pro 7+, Surface Laptop Go, Surface Pro 7, Surface Pro X, and Surface Laptop 3. Aus Sicherheitsgründen ist es nicht möglich, Ihre Geräte in Autopilot "selbst bereitstellen".For security reasons, it’s not possible to “self-provision” your devices into Autopilot. Weitere Informationen finden Sie unter Surface Registration Support für Windows Autopilot.To learn more, see Surface Registration Support for Windows Autopilot.

Manuelles Synchronisieren von Autopilot-GerätenManually Sync Autopilot devices

Obwohl die Richtlinieneinstellungen von Intune in der Regel fast sofort angewendet werden, kann es zu einer Verzögerung von 10 Minuten kommen, bevor die Einstellungen auf Zielgeräten wirksam werden.Although Intune policy settings typically get applied almost immediately, there may be a delay of 10 minutes before the settings take effect on targeted devices. In seltenen Fällen sind Verzögerungen von bis zu 8 Stunden möglich.In rare circumstances, delays of up to 8 hours are possible. Um sicherzustellen, dass die Einstellungen so schnell wie möglich angewendet werden (z. B. in Testszenarien), können Sie die Zielgeräte manuell synchronisieren.To ensure settings apply as soon as possible, (such as in test scenarios), you can manually sync the target devices.

  • Wechseln Sie im Endpoint Manager bei devicemanagement.microsoft.com zu "Geräte > Geräteregistrierung > windows-Registrierung > Windows Autopilot-Geräte, und wählen Sie "Synchronisieren" aus.In Endpoint Manager at devicemanagement.microsoft.com, go to Devices > Device enrollment > Windows enrollment > Windows Autopilot Devices and select Sync.

Weitere Informationen finden Sie unter "Manuelles Synchronisieren Ihres Windows-Geräts".For more information, refer to Sync your Windows device manually.

Hinweis

Wenn Sie Einstellungen direkt in UEFI anpassen, müssen Sie sicherstellen, dass das Gerät vollständig mit der standardmäßigen Windows-Anmeldung neu gestartet wird.When adjusting settings directly in UEFI, you need to ensure the device fully restarts to the standard Windows login.

Überprüfen von UEFI-Einstellungen auf DFCI-verwalteten GerätenVerifying UEFI settings on DFCI-managed devices

In einer Testumgebung können Sie die Einstellungen in der Surface -UEFI-Schnittstelle überprüfen.In a test environment, you can verify settings in the Surface UEFI interface.

  1. Öffnen Sie das Surface UEFI, das gleichzeitig das Drücken der Tasten "Volume +" und "Ein/Aus" umfasst.Open Surface UEFI, which involves pressing the Volume + and Power buttons at the same time.

  2. Wählen Sie "Geräte" aus.Select Devices. Das Menü "UEFI" enthält konfigurierte Einstellungen, wie in der folgenden Abbildung dargestellt.The UEFI menu will reflect configured settings, as shown in the following figure.

    Surface UEFI

    Beachten Sie, wie:Note how:

    • Die Einstellungen sind ausgegraut, da lokale Benutzer die Einstellung "UEFI ändern" auf "Keine" festlegen.The settings are greyed out because Allow local user to change UEFI setting is set to None.
    • Die Audiowiedergabe ist deaktiviert, da Mikrofone und Lautsprecher auf "Deaktiviert" festgelegt sind.Audio is set to off because Microphones and speakers are set to Disabled.

Entfernen von Richtlinieneinstellungen für DFCIRemoving DFCI policy settings

Wenn Sie ein DFCI-Profil erstellen, bleiben alle konfigurierten Einstellungen auf allen Geräten im Verwaltungsbereich des Profils wirksam.When you create a DFCI profile, all configured settings will remain in effect across all devices within the profile’s scope of management. Sie können die Richtlinieneinstellungen für DFCI nur entfernen, indem Sie das Profil direkt bearbeiten.You can only remove DFCI policy settings by editing the DFCI profile directly.

Wenn das ursprüngliche DFCI-Profil gelöscht wurde, können Sie Richtlinieneinstellungen entfernen, indem Sie ein neues Profil erstellen und die Einstellungen entsprechend bearbeiten.If the original DFCI profile has been deleted, you can remove policy settings by creating a new profile and then editing the settings, as appropriate.

Entfernen der Verwaltung von DFCIRemoving DFCI management

So entfernen Sie die DFCI-Verwaltung und kehren das Gerät in den werksseitig neuen Zustand zurück:To remove DFCI management and return device to factory new state:

  1. Zurückziehen des Geräts aus Intune:Retire the device from Intune:
    1. In Endpoint Manager at devicemanagement.microsoft.com, choose Groups > All Devices.In Endpoint Manager at devicemanagement.microsoft.com, choose Groups > All Devices. Wählen Sie die Geräte aus, die Sie zurückziehen möchten, und wählen Sie dann "Zurückziehen/Zurückziehen" aus.Select the devices you want to retire, and then choose Retire/Wipe. Weitere Informationen finden Sie unter "Entfernen von Geräten mithilfe von Wipe", "Zurückziehen"oder "Manuelles Entfernen der Registrierung des Geräts".To learn more refer to Remove devices by using wipe, retire, or manually unenrolling the device.
  2. Löschen Sie die Autopilot-Registrierung aus Intune:Delete the Autopilot registration from Intune:
    1. Wählen Sie "Geräteregistrierung" > "Windows-Registrierung" > "Geräte" aus.Choose Device enrollment > Windows enrollment > Devices.
    2. Wählen Sie unter Windows Autopilot Geräte die Geräte aus, die Sie löschen möchten, und wählen Sie dann "Löschen" aus.Under Windows Autopilot devices, choose the devices you want to delete, and then choose Delete.
  3. Verbinden Sie das Gerät mit dem verkabelten Internet mit dem Ethernetadapter des Surface-Marken.Connect device to wired internet with Surface-branded ethernet adapter. Starten Sie das Gerät neu, und öffnen Sie das UEFI-Menü (drücken und halten Sie die Lautstärketaste gedrückt, während Sie gleichzeitig den Netzschalter drücken und loslassen).Restart device and open the UEFI menu (press and hold the volume-up button while also pressing and releasing the power button).
  4. Wählen Sie "> Konfigurieren > Aktualisieren aus dem Netzwerk" und dann "Abmelden" aus.Select Management > Configure > Refresh from Network and then choose Opt-out.

Um das Gerät weiterhin mit Intune zu verwalten, aber ohne DFCI-Verwaltung, registrieren Sie das Gerät selbst bei Autopilot und registrieren es bei Intune.To keep managing the device with Intune, but without DFCI management, self-register the device to Autopilot and enroll it to Intune. DFCI wird nicht auf selbst registrierte Geräte angewendet.DFCI will not be applied to self-registered devices.

Mehr erfahrenLearn more