Uso de perfiles de Device Firmware Configuration Interface en dispositivos Windows en Microsoft IntuneUse Device Firmware Configuration Interface profiles on Windows devices in Microsoft Intune

Cuando se usa Intune para administrar dispositivos Autopilot, puede administrar la configuración de UEFI (BIOS) una vez inscritos, mediante Device Firmware Configuration Interface (DFCI).When you use Intune to manage Autopilot devices, you can manage UEFI (BIOS) settings after they're enrolled, using the Device Firmware Configuration Interface (DFCI). Para obtener información general sobre las ventajas, los escenarios y los requisitos previos, vea Introducción a DFCI.For an overview of benefits, scenarios, and prerequisites, see Overview of DFCI.

DFCI permite a Windows pasar comandos de administración de Intune a UEFI (Unified Extensible Firmware Interface).DFCI enables Windows to pass management commands from Intune to UEFI (Unified Extensible Firmware Interface).

En Intune, use esta característica para controlar la configuración del BIOS.In Intune, use this feature to control BIOS settings. Normalmente, el firmware es más resistente a los ataques malintencionados.Typically, firmware is more resilient to malicious attacks. Limita el control de los usuarios finales sobre el BIOS, lo que es adecuado en una situación de peligro.It limits end users control over the BIOS, which is good in a compromised situation.

Esta característica se aplica a:This feature applies to:

  • Windows 10 RS5 (1809) y versiones posteriores en UEFI compatibleWindows 10 RS5 (1809) and later on supported UEFI

Por ejemplo, usa dispositivos Windows 10 en un entorno seguro y quiere deshabilitar la cámara.For example, you use Windows 10 devices in a secure environment, and want to disable the camera. Puede deshabilitar la cámara en el nivel de firmware, por lo que no importa lo que haga el usuario final.You can disable the camera at the firmware-layer, so it doesn't matter what the end user does. La reinstalación del sistema operativo o el borrado del equipo no volverán a activar la cámara.Reinstalling the OS or wiping the computer won't turn the camera back on. En otro ejemplo, bloquea las opciones de arranque para impedir que los usuarios arranquen otro sistema operativo, o bien una versión anterior de Windows que no tenga las mismas características de seguridad.In another example, lock down the boot options to prevent users from booting up another OS, or an older version of Windows that doesn't have the same security features.

Al volver a instalar una versión anterior de Windows, un sistema operativo independiente o formatear la unidad de disco duro, no se puede invalidar la administración de DFCI.When you reinstall an older Windows version, install a separate OS, or format the hard drive, you can't override DFCI management. Esta característica puede impedir que el malware se comunique con los procesos del sistema operativo, incluidos los que tienen privilegios elevados.This feature can prevent malware from communicating with OS processes, including elevated OS processes. La cadena de confianza de DFCI usa criptografía de clave pública y no depende de la seguridad de contraseña de UEFI (BIOS) local.DFCI's trust chain uses public key cryptography, and doesn't depend on local UEFI (BIOS) password security. Este nivel de seguridad impide que los usuarios locales accedan a la configuración administrada desde los menús de UEFI (BIOS) del dispositivo.This layer of security blocks local users from accessing managed settings from the device's UEFI (BIOS) menus.

Antes de comenzarBefore you begin

  • El fabricante del dispositivo debe haber agregado DFCI a su firmware de UEFI en el proceso de fabricación, o bien como una actualización de firmware para instalar.The device manufacturer must have DFCI added to their UEFI firmware in the manufacturing process, or as a firmware update you install. Trabaje con los proveedores de dispositivos para determinar los fabricantes que admiten DFCI o la versión de firmware necesaria para usar DFCI.Work with your device vendors to determine the manufacturers that support DFCI, or the firmware version needed to use DFCI.

  • El dispositivo debe estar registrado para Windows Autopilot por un asociado de Proveedor de soluciones en la nube (CSP) de Microsoft o registrado directamente por el OEM.The device must be registered for Windows Autopilot by a Microsoft Cloud Solution Provider (CSP) partner, or registered directly by the OEM.

    Los dispositivos registrados de forma manual para Autopilot, como los importados desde un archivo CSV, no pueden usar DFCI.Devices manually registered for Autopilot, such as imported from a csv file, aren't allowed to use DFCI. Por diseño, la administración de DFCI exige la atestación externa de la adquisición comercial del dispositivo a través de un OEM o un registro de asociado de CSP de Microsoft en Windows Autopilot.By design, DFCI management requires external attestation of the device's commercial acquisition through an OEM or a Microsoft CSP partner registration to Windows Autopilot.

    Una vez registrado el dispositivo, el número de serie se muestra en la lista de dispositivos Windows Autopilot.Once your device is registered, its serial number is shown in the list of Windows Autopilot devices.

    Para obtener más información sobre Autopilot, incluidos los requisitos, consulte Introducción al registro de Windows AutoPilot.For more information on Autopilot, including any requirements, see Windows Autopilot registration overview.

Creación de los grupos de seguridad de Azure ADCreate your Azure AD security groups

Los perfiles de implementación de Autopilot se asignan a grupos de seguridad de Azure AD.Autopilot deployment profiles are assigned to Azure AD security groups. Asegúrese de crear grupos que incluyan los dispositivos compatibles con DFCI.Be sure to create groups that include your DFCI-supported devices. Para los dispositivos DFCI, la mayoría de las organizaciones pueden crear grupos de dispositivos, en lugar de grupos de usuarios.For DFCI devices, most organization may create device groups, instead of user groups. Tenga en cuenta los siguientes escenarios:Consider the following scenarios:

  • Recursos Humanos (RR.HH.) tiene distintos dispositivos Windows.Human Resources (HR) has different Windows devices. Por motivos de seguridad, no quiere que nadie de este grupo use la cámara de los dispositivos.For security reasons, you don't want anyone in this group to use the camera on the devices. En este escenario, puede crear un grupo de usuarios de seguridad de RR.HH. para que la directiva se aplique a los usuarios del grupo de RR.HH, con independencia del tipo de dispositivo.In this scenario, you can create an HR security users group so the policy applies to users in the HR group, whatever the device type.
  • En la planta de fabricación, tiene 10 dispositivos.On the manufacturing floor, you have 10 devices. En todos los dispositivos, quiere impedir el arranque desde un dispositivo USB.On all devices, you want to prevent booting the devices from a USB device. En este escenario, puede crear un grupo de dispositivos de seguridad y agregar estos 10 dispositivos al grupo.In this scenario, you can create a security devices group, and add these 10 devices to the group.

Para más información sobre la creación de grupos en Intune, vea Adición de grupos para organizar usuarios y dispositivos.For more information on creating groups in Intune, see Add groups to organize users and devices.

Creación de los perfilesCreate the profiles

Para usar DFCI, cree los perfiles siguientes y asígnelos al grupo.To use DFCI, create the following profiles, and assign them to your group.

Crear un perfil de implementación de AutopilotCreate an Autopilot deployment profile

Este perfil configura y configura previamente nuevos dispositivos.This profile sets up and pre-configures new devices. En Perfil de implementación Autopilot se enumeran los pasos para crear el perfil.Autopilot deployment profile lists the steps to create the profile.

Creación de un perfil de página de estado de inscripciónCreate an Enrollment State Page profile

Este perfil garantiza que los dispositivos se comprueban y se habilitan para DFCI durante la configuración de Windows.This profile makes sure that devices are verified and enabled for DFCI during the Windows setup. Se recomienda encarecidamente usar este perfil para bloquear el uso del dispositivo hasta que se hayan instalado todas las aplicaciones y perfiles.It's highly recommended to use this profile to block device use until all apps and profiles are installed. En el perfil de página de estado de inscripción se muestran los pasos para crear el perfil.Enrollment State Page profile lists the steps to create the profile.

Creación del perfil de DFCICreate the DFCI profile

Este perfil incluye los valores de DFCI que configure.This profile includes the DFCI settings you configure.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.Select Devices > Configuration profiles > Create profile.

  3. Escriba las propiedades siguientes:Enter the following properties:

    • Plataforma: seleccione Windows 10 y versiones posteriores.Platform: Choose Windows 10 and later.
    • Perfil: seleccione Plantillas > Device Firmware Configuration Interface.Profile: Select Templates > Device Firmware Configuration Interface.
  4. Seleccione Crear.Select Create.

  5. En Básico, escriba las propiedades siguientes:In Basics, enter the following properties:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil.Name: Enter a descriptive name for the profile. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante.Name your policies so you can easily identify them later. Por ejemplo, un buen nombre de perfil es Windows: Configuración de valores de DFCI en dispositivos Windows.For example, a good profile name is Windows: Configure DFCI settings on Windows devices.
    • Descripción: escriba una descripción para el perfil.Description: Enter a description for the profile. Esta configuración es opcional pero recomendada.This setting is optional, but recommended.
  6. Seleccione Siguiente.Select Next.

  7. En Opciones de configuración, establezca los siguientes parámetros:In Configuration settings, configure the following settings:

    • Allow local user to change UEFI (BIOS) settings (Permitir que el usuario local cambie la configuración de UEFI (BIOS)): Las opciones son:Allow local user to change UEFI (BIOS) settings: Your options:

      • Solo valores no configurados: el usuario local puede cambiar cualquier opción de configuración excepto las establecidas de forma explícita en Habilitar o Deshabilitar por Intune.Only not configured settings: The local user may change any setting except those settings explicitly set to Enable or Disable by Intune.
      • Ninguna: el usuario local no puede cambiar la configuración de UEFI (BIOS), incluida la que no se muestra en el perfil de DFCI.None: The local user may not change any UEFI (BIOS) settings, including settings not shown in the DFCI profile.
    • Virtualización de E/S y CPU: Las opciones son:CPU and IO virtualization: Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: el BIOS habilita las funciones de virtualización de E/S y CPU de la plataforma para su uso por parte del sistema operativo.Enabled: The BIOS enables the platform's CPU and IO virtualization capabilities for use by the OS. Activa la seguridad basada en la virtualización de Windows y las tecnologías de Device Guard.It turns on Windows Virtualization Based Security and Device Guard technologies.
    • Cámaras: Las opciones son:Cameras: Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: se habilitan todas las cámaras integradas administradas directamente mediante UEFI (BIOS).Enabled: All built-in cameras directly managed by UEFI (BIOS) are enabled. Los periféricos, como las cámaras USB, no se ven afectados.Peripherals, like USB cameras, aren't affected.
      • Disabled: se deshabilitan todas las cámaras integradas administradas directamente mediante UEFI (BIOS).Disabled: All built-in camera directly managed by UEFI (BIOS) are disabled. Los periféricos, como las cámaras USB, no se ven afectados.Peripherals, like USB cameras, aren't affected.
    • Micrófonos y altavoces: Las opciones son:Microphones and speakers: Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: se habilitan todos los micrófonos y altavoces integrados administrados directamente mediante UEFI (BIOS).Enabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are enabled. Los periféricos, como los dispositivos USB, no se ven afectados.Peripherals, like USB devices, aren't affected.
      • Disabled: se deshabilitan todos los micrófonos y altavoces integrados administrados directamente mediante UEFI (BIOS).Disabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are disabled. Los periféricos, como los dispositivos USB, no se ven afectados.Peripherals, like USB devices, aren't affected.
    • Señales de radio (Bluetooth, Wi-Fi, NFC, etc.) : Las opciones son:Radios (Bluetooth, Wi-Fi, NFC, etc.): Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: se habilitan todas las señales de radio administradas directamente mediante UEFI (BIOS).Enabled: All built-in radios directly managed by UEFI (BIOS) are enabled. Los periféricos, como los dispositivos USB, no se ven afectados.Peripherals, like USB devices, aren't affected.
      • Disabled: se deshabilitan todas las señales de radio administradas directamente mediante UEFI (BIOS).Disabled: All built-in radios directly managed by UEFI (BIOS) are disabled. Los periféricos, como los dispositivos USB, no se ven afectados.Peripherals, like USB devices, aren't affected.

      Advertencia

      Si deshabilita el valor Señales de radio, el dispositivo requiere una conexión de red por cable.If you disable the Radios setting, the device requires a wired network connection. De lo contrario, es posible que el dispositivo no se pueda administrar.Otherwise, the device may be unmanageable.

    • Arrancar desde medio externo (USB, SD) : Las opciones son:Boot from external media (USB, SD): Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: UEFI (BIOS) permite el arranque desde almacenamiento que no sea un disco duro.Enabled: UEFI (BIOS) allows booting from non-hard drive storage.
      • Disabled: UEFI (BIOS) no permite el arranque desde almacenamiento que no sea un disco duro.Disabled: UEFI (BIOS) doesn't allow booting from non-hard drive storage.
    • Arrancar desde adaptadores de red: Las opciones son:Boot from network adapters: Your options:

      • No configurado: Intune no cambia ni actualiza esta configuración.Not configured: Intune doesn't change or update this setting.
      • Habilitada: UEFI (BIOS) permite el arranque desde interfaces de red integradas.Enabled: UEFI (BIOS) allows booting from built-in network interfaces.
      • Disabled: UEFI (BIOS) no permite el arranque desde interfaces de red integradas.Disabled: UEFI (BIOS) doesn't allow booting built-in network interfaces.
  8. Seleccione Siguiente.Select Next.

  9. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Seleccione Siguiente.Select Next.

  10. En Asignaciones, seleccione los usuarios o el grupo de usuarios que van a recibir el perfil.In Assignments, select the users or user group that will receive your profile. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.For more information on assigning profiles, see Assign user and device profiles.

    Seleccione Siguiente.Select Next.

  11. En Revisar y crear, revise la configuración.In Review + create, review your settings. Si selecciona Crear, se guardan los cambios y se asigna el perfil.When you select Create, your changes are saved, and the profile is assigned. La directiva también se muestra en la lista de perfiles.The policy is also shown in the profiles list.

La próxima vez que se registre cada dispositivo, se aplicará la directiva.The next time each device checks in, the policy is applied.

Asignación de los perfiles y reinicioAssign the profiles, and reboot

Asegúrese de asignar los perfiles a los grupos de seguridad de Azure AD que incluyan los dispositivos DFCI.Be sure to assign the profiles to your Azure AD security groups that include your DFCI devices. El perfil se puede asignar cuando se crea o más adelante.The profile can be assigned when it's created, or after.

Cuando el dispositivo ejecuta Windows Autopilot, durante la página de estado de inscripción, DFCI puede forzar un reinicio.When the device runs the Windows Autopilot, during the Enrollment Status page, DFCI may force a reboot. Este primer reinicio inscribe UEFI en Intune.This first reboot enrolls UEFI to Intune.

Si quiere confirmar que el dispositivo está inscrito, puede reiniciar el dispositivo de nuevo, pero no es necesario.If you want to confirm the device is enrolled, you can reboot the device again, but it's not required. Siga las instrucciones del fabricante del dispositivo para abrir el menú de UEFI y confirme que UEFI está ahora administrado.Use the device manufacturer's instructions to open the UEFI menu, and confirm UEFI is now managed.

La próxima vez que el dispositivo se sincronice con Intune, Windows recibirá la configuración de DFCI.The next time the device syncs with Intune, Windows receives the DFCI settings. Reinicie el dispositivo.Reboot the device. Este tercer reinicio es necesario para que UEFI reciba la configuración de DFCI de Windows.This third reboot is required for UEFI to receive the DFCI settings from Windows.

Actualización de la configuración existente de DFCIUpdate existing DFCI settings

Si quiere cambiar la configuración existente de DFCI en los dispositivos en uso, puede hacerlo.If you want to change existing DFCI settings on devices that are in use, you can. En el perfil de DFCI existente, cambie la configuración y guarde los cambios.In your existing DFCI profile, change the settings, and save your changes. Como el perfil ya está asignado, la nueva configuración de DFCI surte efecto cuando:Since the profile is already assigned, the new DFCI settings take effect when:

  1. El dispositivo se registra con el servicio de Intune para revisar las actualizaciones del perfil.The device checks in with the Intune service to review profile updates. Los registros se producen varias veces.Check-ins happen at various times. Para más información, vea cuándo obtienen los dispositivos actualizaciones de directivas, perfiles o aplicaciones.For more information, see when devices get a policy, profile, or app updates.

  2. Para aplicar la nueva configuración, reinicie el dispositivo de forma remota o local.To enforce the new settings, reboot the device remotely or locally.

También puede señalar dispositivos para que se registren.You can also signal devices to check in. Después de una sincronización correcta, señale para reiniciar.After a successful sync, signal to reboot.

Nota

La eliminación del perfil de DFCI o la eliminación de un dispositivo del grupo asignado al perfil no quita la configuración de DFCI ni vuelve a habilitar los menús de UEFI (BIOS).Deleting the DFCI profile, or removing a device from the group assigned to the profile doesn't remove DFCI settings or re-enable the UEFI (BIOS) menus. Si quiere dejar de usar DFCI, actualice el perfil de DFCI existente.If you want to stop using DFCI, then update your existing DFCI profile. Para más información sobre los pasos, vea Retirada del dispositivo en este artículo.For more information on the steps, see retire the device in this article.

Reutilización, retirada o recuperación del dispositivoReuse, retire, or recover the device

ReutilizaciónReuse

Si tiene previsto restablecer Windows para reasignar el dispositivo, borre el dispositivo .If you plan to reset Windows to repurpose the device, then wipe the device. No quite el registro del dispositivo Autopilot.Do not remove the Autopilot device record.

Después de borrar el dispositivo, mueva el dispositivo al grupo asignado a los nuevos perfiles de DFCI y Autopilot.After wiping the device, move the device to the group assigned the new DFCI and Autopilot profiles. Asegúrese de reiniciar el dispositivo para volver a ejecutar la configuración de Windows.Be sure to reboot the device to rerun Windows setup.

RetirarRetire

Cuando esté listo para retirar el dispositivo y liberarlo de la administración, actualice el perfil de DFCI a la configuración de UEFI (BIOS) que quiera en el estado de salida.When you're ready to retire the device and release it from management, update the DFCI profile to the UEFI (BIOS) settings you want at the exit state. Normalmente, querrá habilitar todas las opciones.Typically, you want all settings enabled. Por ejemplo:For example:

  1. Abra el perfil de DFCI (Dispositivos > Perfiles de configuración).Open your DFCI profile (Devices > Configuration profiles).
  2. Cambie Allow local user to change UEFI (BIOS) settings (Permitir que el usuario local cambie la configuración de UEFI (BIOS)) a Solo valores no configurados.Change the Allow local user to change UEFI (BIOS) settings to Only not configured settings.
  3. Establezca el resto de los valores en No configurado.Set all other settings to Not configured.
  4. Guarde la configuración.Save your settings.

Con estos pasos se desbloquean los menús de UEFI (BIOS) del dispositivo.These steps unlock the device's UEFI (BIOS) menus. Los valores siguen siendo los mismos que en el perfil (Habilitado o Deshabilitado), y no se vuelven a establecer en ningún valor de sistema operativo predeterminado.The values remain the same as the profile (Enabled or Disabled), and aren't set back to any default OS values.

Ya está listo para borrar el dispositivo.You're now ready to wipe the device. Una vez que se ha borrado el dispositivo, elimine el registro de Autopilot.Once the device is wiped, delete the Autopilot record. Al eliminar el registro se impide que el dispositivo se vuelva a inscribir de forma automática cuando se reinicie.Deleting the record prevents the device from automatically re-enrolling when it reboots.

Sugerencia

Para quitar dispositivos de Surface de la inscripción a DFCI, vea Quitar la administración de DFCI.To remove Surface devices from DFCI enrollment, see removing DFCI management.

RecuperaciónRecover

Si borra un dispositivo y elimina el registro de Autopilot antes de desbloquear los menús de UEFI (BIOS), los menús permanecen bloqueados.If you wipe a device, and delete the Autopilot record before unlocking the UEFI (BIOS) menus, then the menus remain locked. Intune no puede enviar actualizaciones de perfil para desbloquearlo.Intune can't send profile updates to unlock it.

Para desbloquear el dispositivo, abra el menú UEFI (BIOS) y actualice la administración desde la red.To unlock the device, open the UEFI (BIOS) menu, and refresh management from network. La recuperación desbloquea los menús, pero deja toda la configuración de UEFI (BIOS) establecida en los valores del perfil de DFCI de Intune anterior.Recovery unlocks the menus, but leaves all UEFI (BIOS) settings set to the values in the previous Intune DFCI profile.

Impacto en el usuario finalEnd user impact

Cuando se aplica la directiva de DFCI, los usuarios locales no pueden cambiar la configuración establecida por DFCI, incluso si el menú de UEFI (BIOS) está protegido mediante una contraseña.When the DFCI policy is applied, local users can't change settings configured by DFCI, even if the UEFI (BIOS) menu is password protected. En función de la configuración que establezca, es posible que los usuarios finales reciban errores sobre componentes de hardware que no se encuentran o que no se pueden diagnosticar.Depending on the settings you configure, end users may receive errors that hardware components aren't found, or can't be diagnosed. Asegúrese de proporcionar documentación a los usuarios finales en la que se expliquen las opciones que ha deshabilitado.Be sure to provide documentation to end users explaining the options you've disabled.

Pasos siguientesNext steps

Una vez asignado el perfil, supervise su estado.After the profile is assigned, monitor its status.