Verwalten von DFCI auf Surface-Geräten

Einführung

Da dfci-Profile (Device Firmware Configuration Interface) in Microsoft Intune integriert sind, erweitert die Surface UEFI-Verwaltung den modernen Verwaltungsstapel bis zur UEFI-Hardwareebene (Unified Extensible Firmware Interface). DFCI unterstützt die Zero-Touch-Bereitstellung, eliminiert BIOS-Kennwörter, bietet die Kontrolle über Sicherheitseinstellungen, einschließlich Startoptionen und integrierte Peripheriegeräte, und legt die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft. Auf dieser Seite werden alle DFCI-Richtlinieneinstellungen auf berechtigten, von Autopilot bereitgestellten Surface-Geräten aufgelistet.

Dfci wurde für die Verwendung mit mdM (Mobile Device Management) auf Softwareebene entwickelt und ermöglicht IT-Administratoren, bestimmte Hardwarekomponenten remote zu deaktivieren und endbenutzern den Zugriff auf diese Komponenten zu verhindern. Wenn Sie beispielsweise vertrauliche Informationen in hochsicheren Bereichen schützen müssen, können Sie die Kamera deaktivieren, und wenn Sie nicht möchten, dass Benutzer von USB-Laufwerken starten, können Sie dies auch deaktivieren.

Tipp

Die Unterstützung für einige DFCI-Richtlinieneinstellungen variiert je nach Gerät. Überprüfen Sie die Referenz zu den DFCI-Richtlinieneinstellungen auf dieser Seite, und folgen Sie Intune Anweisungen zum Konfigurieren und Bereitstellen von Einstellungen auf Ihren Geräten.

Voraussetzungen

Hinweis

Geräte, die manuell oder selbst für Autopilot registriert sind, z. B. aus einer CSV-Datei importiert werden, dürfen DFCI nicht verwenden. Die DFCI-Verwaltung erfordert standardmäßig einen externen Nachweis der kommerziellen Übernahme des Geräts über einen Microsoft CSP-Partner oder eine Surface-Registrierung.

Referenz zu DFCI-Richtlinieneinstellungen für Surface-Geräte

Berechtigte Geräte

  • Surface Pro 8 (nur kommerzielle SKUs)
  • Surface Pro 7+ (nur kommerzielle SKUs)
  • Surface Pro 7 (alle SKUs)
  • Surface Pro X (alle SKUs)
  • Surface Laptop Studio (nur kommerzielle SKUs)
  • Surface Laptop 4 (nur kommerzielle SKUs)
  • Surface Laptop 3 (nur Intel-Prozessoren)
  • Surface Laptop Go
  • Surface Laptop Go 2
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (nur kommerzielle SKUs)

Hinweis

Surface Pro X unterstützt die DFCI-Einstellungsverwaltung für integrierte Kamera, Audio und WLAN/Bluetooth nicht. Einige neuere Einstellungen werden nur auf den neuesten Geräten unterstützt.

Tabelle 1: Referenz zu DFCI-Richtlinieneinstellungen: Von Autopilot bereitgestellte Surface-Geräte

DFCI-Einstellung Beschreibung Unterstützung
UEFI-Zugriff
Zulassen, dass lokale Benutzer UEFI-Einstellungen (BIOS) ändern Mit dieser Einstellung können Sie verwalten, ob Endbenutzer UEFI-Einstellungen auf berechtigten Geräten ändern können.

– Wenn Sie "Nur nicht konfigurierte Einstellungen" auswählen, können lokale Benutzer (auch als Endbenutzer bezeichnet) UEFI-Einstellungen mit Ausnahme von Einstellungen ändern, die Sie explizit über Intune aktiviert oder deaktiviert haben.
– Wenn Sie "Keine" auswählen, können lokale Benutzer UEFI-Einstellungen nicht ändern, einschließlich einstellungen, die nicht im DFCI-Profil angezeigt werden.
Alle berechtigten Geräte
Sicherheitseinstellungen
Gleichzeitiges Multithreading Mit dieser Einstellung können Sie verwalten, ob die Unterstützung für gleichzeitiges Multithreading (SMT) auf berechtigten Geräten aktiviert ist. SMT unterstützt die Intel Hyperthreading-Technologie, die zwei logische Prozessoren für jeden physischen Kern bereitstellt.

– Wenn Sie diese Einstellung aktivieren, ist SMT auf der UEFI-Ebene aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist SMT auf der UEFI-Ebene deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist SMT aktiviert.
Alle berechtigten Geräte
Kameras
Kameras Mit dieser Einstellung können Sie verwalten, ob die integrierte Kamera auf berechtigten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Kameras zulässig. Peripheriegeräte wie USB-Kameras sind davon nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, sind alle integrierten Kameras deaktiviert. Peripheriegeräte wie USB-Kameras sind davon nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind alle integrierten Kameras aktiviert.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Mikrofone und Lautsprecher
Mikrofone und Lautsprecher Mit dieser Einstellung können Sie verwalten, ob an Bord befindliche Audiodaten auf geeigneten Geräten funktionieren können.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Mikrofone und Lautsprecher zulässig. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, sind alle integrierten Mikrofone und Lautsprecher deaktiviert. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind Mikrofone und Lautsprecher aktiviert.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Mikrofone Mit dieser Einstellung können Sie verwalten, ob das integrierte Mikrofon auf berechtigten Geräten funktionieren kann. – Wenn Sie diese Einstellung aktivieren, sind alle integrierten Mikrofone aktiviert. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, sind alle integrierten Mikrofone deaktiviert. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind Mikrofone aktiviert.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Funkempfang
Funkgeräte (Bluetooth, WLAN, NFC usw.) Mit dieser Einstellung können Sie verwalten, ob integrierte Bluetooth-, WLAN- oder Near-Field-Kommunikation (NEAR FIELD Communication, NFC) auf berechtigten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Funkgeräte zulässig. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, sind alle integrierten Funkgeräte deaktiviert. Peripheriegeräte wie USB-Geräte sind davon nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind alle integrierten Funkgeräte aktiviert.

TIPP: Konfigurieren Sie die Kategorieeinstellung Funkgeräte (Bluetooth, WLAN, NFC usw.) oder die granularen Einstellungen Bluetooth, WLAN. Wenn Sie alle Einstellungen konfigurieren, können diese Einstellungen einen Konflikt verursachen. Weitere Informationen finden Sie unter DFCI-Profilübersicht: Konflikte.

VORSICHT: Die Einstellung "Deaktivieren " sollte nur auf Geräten mit einer kabelgebundenen Ethernet-Verbindung verwendet werden.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Bluetooth Mit dieser Einstellung können Sie verwalten, ob integriertes Bluetooth auf berechtigten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist Bluetooth aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist Bluetooth deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist Bluetooth aktiviert.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
WLAN Mit dieser Einstellung können Sie verwalten, ob integrierte Wi-Fi auf berechtigten Geräten funktionieren können.

– Wenn Sie diese Einstellung aktivieren, ist Wi-Fi aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist Wi-Fi deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist Wi-Fi aktiviert.
- Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Startoptionen
Starten von externen Medien (USB, SD) Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte von externen Medien gestartet werden können.

– Wenn Sie diese Einstellung aktivieren, können Endbenutzer das Gerät von USB-Speichersticks oder anderen Nicht-Festplattenspeichertechnologien starten.
– Wenn Sie diese Einstellung deaktivieren, können Endbenutzer das Gerät nicht von USB-Speicherlaufwerken oder anderen Nicht-Festplattenspeichertechnologien starten.
– Wenn Sie diese Einstellung nicht konfigurieren, können Endbenutzer das Gerät von USB-Speichersticks oder anderen Speichertechnologien ohne Festplatte starten.
Alle berechtigten Geräte
Anschlüsse
USB-Typ A Mit dieser Einstellung können Sie verwalten, wie Geräte USB-A-Verbindungen nutzen können.

– Wenn Sie diese Einstellung aktivieren, können USB-A-Datenverbindungen auf berechtigten Geräten funktionieren.
– Wenn Sie diese Einstellung deaktivieren, können USB-A-Datenverbindungen auf berechtigten Geräten nicht funktionieren.

– Wenn Sie diese Einstellung nicht konfigurieren, können USB-A-Datenverbindungen auf allen Geräten funktionieren.

VORSICHT: Wenn Sie sowohl den Start von externen Medien als auch den USB-Typ A deaktivieren und das Gerät aus irgendeinem Grund nicht mehr gestartet werden kann, können Sie das Gerät nicht wiederherstellen, ohne die SSD zu ersetzen. Sie können nicht von externen Medien starten und einen PXE-Start oder eine DFCI-Aktualisierung aus dem Netzwerk ausführen.
Wird nur auf Surface Laptop Go 2 und höher unterstützt.
Wake-Einstellungen
Wake on LAN Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte remote über den modernen Standbymodus oder den Ruhezustand gestartet werden können.

– Wenn Sie diese Einstellung aktivieren, können berechtigte Geräte für remote Wake on LAN konfiguriert werden.
– Wenn Sie diese Einstellung deaktivieren, können berechtigte Geräte nicht für die Remotereaktivierung im LAN konfiguriert werden.
– Wenn Sie diese Einstellung nicht konfigurieren, können berechtigte Geräte so konfiguriert werden, dass sie im LAN remote reaktiviert werden.
Wird nur auf Surface Laptop Go 2 und höher unterstützt.
Wake on Power Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte automatisch aus dem Ruhezustand gestartet oder ausgeschaltet werden können, wenn sie an die Stromversorgung angeschlossen werden.

– Wenn Sie diese Einstellung aktivieren, können berechtigte Surface-Geräte so konfiguriert werden, dass sie automatisch gestartet werden, wenn sie an die Stromversorgung angeschlossen sind.
– Wenn Sie diese Einstellung deaktivieren, können berechtigte Surface-Geräte nicht so konfiguriert werden, dass sie automatisch gestartet werden, wenn sie an die Stromversorgung angeschlossen sind.
– Wenn Sie diese Einstellung nicht konfigurieren, können berechtigte Surface-Geräte nicht so konfiguriert werden, dass sie automatisch gestartet werden, wenn die Verbindung mit dem Netz wieder hergestellt wird.
Wird nur auf Surface Laptop Go 2 und höher unterstützt.

Hinweis

DFCI in Intune enthält drei Einstellungen, die derzeit nicht für Surface-Geräte gelten: (1) CPU- und IO-Virtualisierung, (2) Deaktivieren des Starts von Netzwerkadaptern und (3) Windows Platform Binary Table (WPBT).

Erste Schritte

  1. Melden Sie sich bei Ihrem Mandanten bei endpoint.microsoft.com an.

  2. Wählen Sie im Microsoft Endpoint Manager Admin Center "Geräte > Konfigurationsprofile" > "Profil erstellen" aus.

  3. Wählen Sie unter "Plattform " Windows 10 und höher aus.

  4. Wählen Sie unter "Profiltyp" die Option "Vorlagen > für die Gerätefirmwarekonfigurationsschnittstelle " und dann " Erstellen" aus.

    Erstellen eines DFCI-Profils beginnen

  5. Ausführliche Anweisungen finden Sie unter Verwenden von DFCI-Profilen auf Windows-Geräten in Microsoft Intune, einschließlich:

    • Erstellen Ihrer Azure AD-Sicherheitsgruppen
    • Erstellen der Profile
    • Zuweisen der Profile und Neustart
    • Aktualisieren vorhandener DFCI-Einstellungen
    • Wiederverwenden, Zurückziehen oder Wiederherstellen des Geräts

Verhindern, dass Benutzer UEFI-Einstellungen ändern

Für viele Kunden ist die Möglichkeit, Benutzer daran zu hindern, UEFI-Einstellungen zu ändern, von entscheidender Bedeutung und ein primärer Grund für die Verwendung von DFCI. Wie oben in Tabelle 1 aufgeführt, wird diese Funktion über die Einstellung "Zulassen, dass lokale Benutzer UEFI-Einstellungen ändern" verwaltet. Wenn Sie diese Einstellung nicht bearbeiten oder konfigurieren, kann der lokale Benutzer alle UEFI-Einstellungen ändern, die nicht von Intune verwaltet werden. Daher wird dringend empfohlen, den lokalen Benutzer das Ändern der UEFI-Einstellungen auf "Keine" zu erlauben.

Blockieren des Benutzerzugriffs zum Ändern von UEFI-Einstellungen

Überprüfen der UEFI-Einstellungen auf DFCI-verwalteten Geräten

In einer Testumgebung können Sie die Einstellungen in der Surface UEFI-Schnittstelle überprüfen.

  1. Surface UEFI öffnen:

    • Halten Sie die Lautstärketaste auf ihrem Surface gedrückt, und drücken Und lassen Sie gleichzeitig den Netzschalter los.
    • Wenn das Surface-Logo angezeigt wird, lassen Sie die Schaltfläche zum Erhöhen der Lautstärke los. Das UEFI-Menü wird innerhalb weniger Sekunden angezeigt.
  2. Wählen Sie "Geräte" aus. Das UEFI-Menü enthält konfigurierte Einstellungen, wie in der folgenden Abbildung dargestellt.

    Surface UEFI.

    Hinweis:

    • Die Einstellungen sind abgeblendet (inaktiv), da der lokale Benutzer die Änderung der UEFI-Einstellung auf "Keine" festgelegt ist.
    • On-board Audio is set to off because the Microphones and speakers policy is set to Disabled.

Entfernen von DFCI-Richtlinieneinstellungen

Wenn Sie ein DFCI-Profil erstellen, bleiben alle konfigurierten Einstellungen auf allen Geräten im Verwaltungsbereich des Profils wirksam. Sie können DFCI-Richtlinieneinstellungen nur entfernen, indem Sie das DFCI-Profil direkt bearbeiten. Wenn das ursprüngliche DFCI-Profil gelöscht wurde, erstellen Sie ein neues Profil, und bearbeiten Sie die entsprechenden Einstellungen.

Entfernen der DFCI-Verwaltung

So entfernen Sie die DFCI-Verwaltung und geben das Gerät in den werksseitigen zustand zurück:

  1. Das Gerät von Intune zurückziehen:
    1. Wählen Sie in Endpoint Manager unter endpoint.microsoft.com "Alle > Geräte" aus.
    2. Wählen Sie das Gerät aus, das Sie zurückziehen möchten, und wählen Sie dann "Zurückziehen/Zurücksetzen" aus. Weitere Informationen finden Sie unter Entfernen von Geräten mithilfe von Zurücksetzen, Beenden oder manuellem Aufheben der Registrierung des Geräts.
  2. Löschen Sie die Autopilot-Registrierung aus Intune:
    1. Wählen Sie "Geräteregistrierung > Windows-Registrierung > Geräte" aus.
    2. Wählen Sie unter Windows Autopilot-Geräte die Geräte aus, die Sie löschen möchten, und wählen Sie dann "Löschen" aus.
  3. Schließen Sie das Gerät mit einem Surface-Ethernet-Adapter an das kabelgebundene Internet an. Starten Sie das Gerät neu, und öffnen Sie das UEFI-Menü (halten Sie die Lautstärketaste gedrückt, während Sie auch den Netzschalter drücken und loslassen).
  4. Wählen Sie "Verwaltung" > "> Aktualisieren im Netzwerk konfigurieren" und dann " Abmelden" aus.

Um das Gerät mit Intune, aber ohne DFCI-Verwaltung zu verwalten, registrieren Sie es selbst bei Autopilot und registrieren Sie es in Intune. DFCI wird nicht auf selbst registrierte Geräte angewendet.

Mehr erfahren