Share via

BIOS-konfigurációs profilok használata Windows-eszközökön a Microsoft Intune

  • Cikk

A Intune bios-konfigurációs és egyéb beállítási eszközkonfigurációs szabályzattal engedélyezheti vagy tilthatja le a BIOS-funkciókat és -beállításokat.

OEM-eszközzel létrehoz egy BIOS-konfigurációs fájlt, amely konfigurálja a BIOS funkcióit. Az eszközökön telepítenie kell a konfigurációt beolvasó OEM Win32 alkalmazást. Ezután a Intune BIOS-házirendben adja hozzá a BIOS konfigurációs fájlt, és rendelje hozzá a szabályzatot az eszközökhöz.

A konfigurációs fájl általában olyan beállításokat tartalmaz, amelyek biztosítják az eszköz védelmét és a beépített hardver védelmét.

Például meg szeretné akadályozni, hogy a végfelhasználók újraképezzék az eszközt, és kikerüljenek Intune felügyelet alól. Ehhez a feladathoz létre kell hoznia egy BIOS-konfigurációs fájlt, amely letiltja az USB-ről történő rendszerindítást. Ezután adja hozzá ezt a fájlt a Intune házirendhez, és engedélyezze a BIOS-jelszót. Ezek a lépések biztosítják, hogy a konfiguráció ne legyen felülírva.

Ez a funkció az alábbiakra vonatkozik:

  • Windows 10 és újabb verziók
  • Dell-eszközök

Ez a cikk további információkat tartalmaz a konfigurációs fájlról és a Win32-alkalmazásról, és bemutatja, hogyan hozhatja létre a BIOS konfigurációs és egyéb beállítási szabályzatát Intune.

Figyelmeztetés

A BIOS-konfiguráció módosítása hatással lehet az eszköz működésére és működőképességére, beleértve a BitLocker titkosított meghajtók rendszerindításának vagy elérésének képességét. Ez a funkció lehetővé teszi Intune rendszergazdák számára, hogy egyszerűen frissítsék a BIOS-konfigurációkat az eszközeiken. Ha módosításokat hajt végre, tesztelje és helyezze üzembe a fázisokat a váratlan konfigurációk hatásának minimalizálása érdekében.

Előfeltételek

  • A szabályzat konfigurálásához legalább jelentkezzen be a Intune Felügyeleti központba a Házirend és profilkezelő szerepkörrel. A Intune beépített szerepköreiről a Szerepköralapú hozzáférés-vezérlés a Microsoft Intune című témakörben talál további információt.

  • Ez a funkció támogatja a Intune-ben regisztrált MDM-et használó szervezeti tulajdonú eszközöket. A Intune nem regisztrált személyes eszközök és eszközök nem támogatottak.

  • Győződjön meg arról, hogy az eszközök nem rendelkeznek konfigurált BIOS-jelszóval. Ehhez a funkcióhoz Intune BIOS-jelszóval kell rendelkeznie. Ha Intune nem rendelkezik az eszköz BIOS-jelszavával, akkor nem tudja frissíteni a BIOS-konfigurációt.

1. lépés – A konfigurációs fájl létrehozása és az alkalmazás üzembe helyezése

Ez a szakasz az OEM-eszköz használatával hozza létre a konfigurációs fájlt, és üzembe helyezi az OEM Win32 alkalmazást az eszközökön.

  1. Hozza létre a konfigurációs fájlt az OEM eszközzel. A fájlban adja hozzá és konfigurálja a konfigurálni kívánt szolgáltatásokat. Az OEM által támogatott konfigurációs beállításokat hozzáadhatja.

    • A Dell esetében a Dell-parancs (a Dell webhelyének megnyitása) eszközzel hozhatja létre a BIOS konfigurációs fájlt.

  2. A konfigurációs fájl létrehozásakor az OEM egy koordináló Win32-alkalmazást biztosít. Helyezze üzembe az OEM Win32 alkalmazást az eszközökön. Ez az alkalmazás:

    • Ügynökként működik, amely beolvassa a létrehozott konfigurációs fájlt, és beolvassa az eszközök BIOS-jelszavát.
    • A Intune BIOS-konfigurációs szabályzat hozzárendelése előtt telepíteni kell az összes eszközre.

    A Dell esetében letöltheti a Dell-parancsot (megnyitja a Dell webhelyét) alkalmazást.

    Az alkalmazás eszközökre való telepítéséhez használhatja a Intune. Hozzáadhatja az alkalmazást a Intune, és kötelező alkalmazássá teheti. Ezután rendelje hozzá az alkalmazást a 2. lépésben létrehozott csoporthoz vagy hozzárendelési szűrőhöz – Csoport létrehozása vagy hozzárendelési szűrő használata (ebben a cikkben).

    A Win32-alkalmazásokról a Intune-ben a Win32-alkalmazások hozzáadása, hozzárendelése és figyelése Microsoft Intune című témakörben talál további információt.

2. lépés – Csoport létrehozása vagy hozzárendelési szűrő használata

Javasoljuk, hogy ezt a szabályzatot egy adott eszközcsoportra összpontosítsa. Az Ön lehetőségei:

  • 1. lehetőség – Hozzon létre egy csoportot, amely tartalmazza az eszközöket. Az alkalmazásszabályzat és a BIOS konfigurációs szabályzatának létrehozásakor hozzárendeli a szabályzatokat ehhez a csoporthoz.
  • 2. lehetőség – Az eszköz gyártójától függően használjon hozzárendelési szűrőt. A szűrő létrehozásakor célozza meg az OEM-eszközöket. Az alkalmazás- és BIOS-konfigurációs szabályzatok hozzárendelésekor adja hozzá ezt a szűrőt.

További információ ezekről a funkciókról:

3. lépés – A BIOS konfigurációs szabályzatának létrehozása a Intune

Itt adhatja hozzá a létrehozott konfigurációs fájlt.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>konfigurációja>Új szabályzatlétrehozása lehetőséget>.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza a Windows 10 és újabb lehetőséget.
    • Profil típusa: Válassza a Sablonok>BIOS-konfiguráció és egyéb beállítások lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó profilnév például a BIOS konfigurációs jelszava.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

    Válassza a Tovább gombot.

  6. A Konfigurációs beállítások területen konfigurálja a következő beállításokat:

    • Hardver: Válassza ki a hardvergyártót a támogatott OEM-ek listájából. Jelenleg csak a Dell támogatott.

    • Eszközönkénti BIOS jelszóvédelem letiltása: Ez a beállítás kezeli az eszközön a BIOS-konfigurációt védő jelszót. Az Ön lehetőségei:

      • Nem: Intune minden eszközhöz egyedi eszközjelszót hoz létre. Az eszközön található BIOS-konfiguráció eléréséhez és frissítéséhez a felhasználóknak meg kell adniuk ezt a jelszót.
      • Igen: A BIOS-t nem védi jelszó. A korábbi jelszavakat a rendszer eltávolítja. A végfelhasználók hozzáférhetnek a BIOS-hez, és módosíthatják az eszköz BIOS-beállításait.

    • Konfigurációs fájl: Töltse fel az OEM-eszközzel létrehozott konfigurációs fájlt.

      Dell esetén töltse fel a Dell ügyfélkonfigurációs eszközkészlet fájlját (.cctk). A fájlméretkorlát 2 MB.

    Válassza a Tovább gombot.

  7. A Hozzárendelések területen válassza ki a létrehozott új eszközcsoportot. Ez a csoport megkapja a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.

    Válassza a Tovább gombot.

  8. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Amikor minden eszköz legközelebb bejelentkezik, a szabályzat érvényes lesz.

A szabályzat figyelése beépített jelentésekkel

A Intune Felügyeleti központban, miután létrehozott egy szabályzatot, figyelheti annak állapotát, és megtekintheti az esetleges hibákat.

  1. A Intune Felügyeleti központban válassza az Eszközök>konfigurációs szabályzatai>lehetőséget.
  2. Válassza ki a figyelni kívánt szabályzatot. Az Eszközállapot jelentés megjeleníti a szabályzat állapotát, és megjeleníti a hibaelhárításhoz szükséges hibák részleteit.

További információt a következő témakörben talál:

A BIOS-jelszavak lekérése

Intune tárolja az egyes eszközök BIOS-jelszavát. A BIOS-jelszavakat a Microsoft Graph használatával szerezheti be. A Graph API-k teszteléséhez használhatja a Microsoft Graph Explorert.

Fontos

Győződjön meg arról, hogy az összes jelszóról biztonsági másolatot készít a Intune kívül.

  • Ha egy eszközt eltávolítanak Intune felügyelet alól, a rendszergazdák továbbra is olvashatják a BIOS-jelszavakat a Microsoft Graph hardwarePasswordInfo API használatával.
  • Ha a bérlő Intune előfizetése véget ér, akkor nem lehet BIOS-jelszavakat olvasni vagy lekérni. Ebben az esetben az egyetlen lehetőség, hogy kapcsolatba lép az OEM-rel.

1. lehetőség – A BIOS-jelszó olvasása egyszerre egy eszközön

Ez a beállítás egyszerre egy eszközre lekéri a BIOS-jelszavakat.

  1. Hozzon létre egy egyéni Intune RBAC-szerepkört a Bios-jelszó olvasása engedéllyel:

    1. A Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök>Új szerepkör létrehozása lehetőséget.
    2. Nevezze el a szerepkört, és válassza a Tovább gombot.
    3. Az Engedélyek területen bontsa ki a Felügyelt eszközök> Állítsa a Bios-jelszó olvasása beállítástIgen értékre.
    4. Válassza a Következő>következő>létrehozás lehetőséget.

  2. Jelentkezzen be a Graph-eszközbe ezzel az egyéni RBAC-szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

2. lehetőség – Az összes eszköz BIOS-jelszavának olvasása

Ez a beállítás lekéri az összes eszköz BIOS-jelszavának listáját.

  1. A Microsoft Entra ID Intune szolgáltatásadminisztrátori vagy globális rendszergazdai szerepkörre van szüksége.

  2. Jelentkezzen be a Graph-eszközbe az alábbi szerepkörök egyikével, és használja a Microsoft Graph hardwarePasswordInfo API-t:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Az RBAC-szerepkörökkel kapcsolatos további információkért tekintse meg a szerepköralapú hozzáférés-vezérlést (RBAC) Microsoft Intune.

BIOS-konfigurációs jelszó eltávolítása

Ha azt tervezi, hogy leállítja az eszközök BIOS-kezelését, vagy véglegesen eltávolítja az eszközöket a bérlőből, akkor el kell távolítania a BIOS-jelszót.

A BIOS-jelszó eltávolításához a Intune BIOS konfigurációs szabályzatában állítsa az Eszközönkénti BIOS jelszóvédelem letiltása beállítást Igen értékre. Ezután rendelje hozzá a szabályzatot. Amikor az eszköz bejelentkezik Intune, a szabályzat érvényes lesz. Az eszközön manuálisan is szinkronizálhatja az eszközt a Intune a szabályzat alkalmazásához.

A szabályzat alkalmazása után indítsa újra az eszközt.

Az eszköz Intune való regisztrációjának törlése nem távolítja el a BIOS-jelszót. Ha a jelszó letiltása előtt megszünteti az eszköz regisztrációját, manuálisan kell frissítenie a jelszót az eszközön.

BIOS-konfiguráció és DFCI

Intune két olyan funkcióval rendelkezik, amelyek kezelhetik a BIOS beállításait Windows-eszközökön: a BIOS konfigurációját és egyéb beállításait, valamint az eszköz belső vezérlőprogramjának konfigurációs felületét (DFCI).

Az alábbi táblázat ezeket a lehetőségeket hasonlítja össze.

Funkció BIOS-konfiguráció és egyéb beállítások DFCI
Támogatott oem-ek Dell

Valószínűleg több a jövőben		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

További információ: Microsoft DFCI-forgatókönyvek.
Támogatott konfigurációk Az OEM-eszközben elérhető konfigurációk A biztonsági funkciók, egyes hardverfunkciók, rendszerindítási beállítások, portok és egyebek vezérlésére alkalmas beállítások
A beállítások alkalmazása Intune kézbesíti a konfigurációs fájlt a szabályzat hozzárendelésekor. Az eszközön lévő OEM-ügynök alkalmazza a konfigurációt. Az UEFI CSP-vel az operációs rendszertől elkülönített DFCI-réteg használatával
A BIOS-hoz való hozzáférés blokkolása menü Igen, BIOS-jelszavakon keresztül Igen, tanúsítványokon keresztül
Konfigurálás a Windows Autopilot alatt A Regisztrációs állapot lap (ESP) beállításai között válassza ki az OEM Win32 alkalmazást. Intune automatikusan regisztrálja az eszközt a DFCI mgmt-ben.
Jelentés Jelzi, hogy a konfigurációs fájl alkalmazva van-e. Részletes jelentés minden konfigurált beállításról.
Intune szabályzattípus Eszközök>Konfigurációs>Sablonok>BIOS-konfiguráció és egyéb beállítások Eszközök>Konfigurációs>Sablonok>Eszköz belső vezérlőprogramjának konfigurációs felülete

A DFCI-vel kapcsolatos további információkért látogasson el a következőre: