BIOS-konfigurációs profilok használata Windows-eszközökön a Microsoft Intune
A Intune bios-konfigurációs és egyéb beállítási eszközkonfigurációs szabályzattal engedélyezheti vagy tilthatja le a BIOS-funkciókat és -beállításokat.
OEM-eszközzel létrehoz egy BIOS-konfigurációs fájlt, amely konfigurálja a BIOS funkcióit. Az eszközökön telepítenie kell a konfigurációt beolvasó OEM Win32 alkalmazást. Ezután a Intune BIOS-házirendben adja hozzá a BIOS konfigurációs fájlt, és rendelje hozzá a szabályzatot az eszközökhöz.
A konfigurációs fájl általában olyan beállításokat tartalmaz, amelyek biztosítják az eszköz védelmét és a beépített hardver védelmét.
Például meg szeretné akadályozni, hogy a végfelhasználók újraképezzék az eszközt, és kikerüljenek Intune felügyelet alól. Ehhez a feladathoz létre kell hoznia egy BIOS-konfigurációs fájlt, amely letiltja az USB-ről történő rendszerindítást. Ezután adja hozzá ezt a fájlt a Intune házirendhez, és engedélyezze a BIOS-jelszót. Ezek a lépések biztosítják, hogy a konfiguráció ne legyen felülírva.
Ez a funkció az alábbiakra vonatkozik:
- Windows 10 és újabb verziók
- Dell-eszközök
Ez a cikk további információkat tartalmaz a konfigurációs fájlról és a Win32-alkalmazásról, és bemutatja, hogyan hozhatja létre a BIOS konfigurációs és egyéb beállítási szabályzatát Intune.
Figyelmeztetés
A BIOS-konfiguráció módosítása hatással lehet az eszköz működésére és működőképességére, beleértve a BitLocker titkosított meghajtók rendszerindításának vagy elérésének képességét. Ez a funkció lehetővé teszi Intune rendszergazdák számára, hogy egyszerűen frissítsék a BIOS-konfigurációkat az eszközeiken. Ha módosításokat hajt végre, tesztelje és helyezze üzembe a fázisokat a váratlan konfigurációk hatásának minimalizálása érdekében.
Előfeltételek
A szabályzat konfigurálásához legalább jelentkezzen be a Intune Felügyeleti központba a Házirend és profilkezelő szerepkörrel. A Intune beépített szerepköreiről a Szerepköralapú hozzáférés-vezérlés a Microsoft Intune című témakörben talál további információt.
Ez a funkció támogatja a Intune-ben regisztrált MDM-et használó szervezeti tulajdonú eszközöket. A Intune nem regisztrált személyes eszközök és eszközök nem támogatottak.
Győződjön meg arról, hogy az eszközök nem rendelkeznek konfigurált BIOS-jelszóval. Ehhez a funkcióhoz Intune BIOS-jelszóval kell rendelkeznie. Ha Intune nem rendelkezik az eszköz BIOS-jelszavával, akkor nem tudja frissíteni a BIOS-konfigurációt.
1. lépés – A konfigurációs fájl létrehozása és az alkalmazás üzembe helyezése
Ez a szakasz az OEM-eszköz használatával hozza létre a konfigurációs fájlt, és üzembe helyezi az OEM Win32 alkalmazást az eszközökön.
Hozza létre a konfigurációs fájlt az OEM eszközzel. A fájlban adja hozzá és konfigurálja a konfigurálni kívánt szolgáltatásokat. Az OEM által támogatott konfigurációs beállításokat hozzáadhatja.
- A Dell esetében a Dell-parancs (a Dell webhelyének megnyitása) eszközzel hozhatja létre a BIOS konfigurációs fájlt.
A konfigurációs fájl létrehozásakor az OEM egy koordináló Win32-alkalmazást biztosít. Helyezze üzembe az OEM Win32 alkalmazást az eszközökön. Ez az alkalmazás:
- Ügynökként működik, amely beolvassa a létrehozott konfigurációs fájlt, és beolvassa az eszközök BIOS-jelszavát.
- A Intune BIOS-konfigurációs szabályzat hozzárendelése előtt telepíteni kell az összes eszközre.
A Dell esetében letöltheti a Dell-parancsot (megnyitja a Dell webhelyét) alkalmazást.
Az alkalmazás eszközökre való telepítéséhez használhatja a Intune. Hozzáadhatja az alkalmazást a Intune, és kötelező alkalmazássá teheti. Ezután rendelje hozzá az alkalmazást a 2. lépésben létrehozott csoporthoz vagy hozzárendelési szűrőhöz – Csoport létrehozása vagy hozzárendelési szűrő használata (ebben a cikkben).
A Win32-alkalmazásokról a Intune-ben a Win32-alkalmazások hozzáadása, hozzárendelése és figyelése Microsoft Intune című témakörben talál további információt.
2. lépés – Csoport létrehozása vagy hozzárendelési szűrő használata
Javasoljuk, hogy ezt a szabályzatot egy adott eszközcsoportra összpontosítsa. Az Ön lehetőségei:
- 1. lehetőség – Hozzon létre egy csoportot, amely tartalmazza az eszközöket. Az alkalmazásszabályzat és a BIOS konfigurációs szabályzatának létrehozásakor hozzárendeli a szabályzatokat ehhez a csoporthoz.
- 2. lehetőség – Az eszköz gyártójától függően használjon hozzárendelési szűrőt. A szűrő létrehozásakor célozza meg az OEM-eszközöket. Az alkalmazás- és BIOS-konfigurációs szabályzatok hozzárendelésekor adja hozzá ezt a szűrőt.
További információ ezekről a funkciókról:
- Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez
- Szűrők használata az alkalmazások, szabályzatok és profilok hozzárendeléséhez a Microsoft Intune
3. lépés – A BIOS konfigurációs szabályzatának létrehozása a Intune
Itt adhatja hozzá a létrehozott konfigurációs fájlt.
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza az Eszközök>konfigurációja>Új szabályzatlétrehozása lehetőséget>.
Adja meg a következő tulajdonságokat:
- Platform: Válassza a Windows 10 és újabb lehetőséget.
- Profil típusa: Válassza a Sablonok>BIOS-konfiguráció és egyéb beállítások lehetőséget.
Válassza a Létrehozás lehetőséget.
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó profilnév például a BIOS konfigurációs jelszava.
- Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen konfigurálja a következő beállításokat:
Hardver: Válassza ki a hardvergyártót a támogatott OEM-ek listájából. Jelenleg csak a Dell támogatott.
Eszközönkénti BIOS jelszóvédelem letiltása: Ez a beállítás kezeli az eszközön a BIOS-konfigurációt védő jelszót. Az Ön lehetőségei:
- Nem: Intune minden eszközhöz egyedi eszközjelszót hoz létre. Az eszközön található BIOS-konfiguráció eléréséhez és frissítéséhez a felhasználóknak meg kell adniuk ezt a jelszót.
- Igen: A BIOS-t nem védi jelszó. A korábbi jelszavakat a rendszer eltávolítja. A végfelhasználók hozzáférhetnek a BIOS-hez, és módosíthatják az eszköz BIOS-beállításait.
Konfigurációs fájl: Töltse fel az OEM-eszközzel létrehozott konfigurációs fájlt.
Dell esetén töltse fel a Dell ügyfélkonfigurációs eszközkészlet fájlját (
.cctk
). A fájlméretkorlát 2 MB.
Válassza a Tovább gombot.
A Hozzárendelések területen válassza ki a létrehozott új eszközcsoportot. Ez a csoport megkapja a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.
Válassza a Tovább gombot.
A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.
Amikor minden eszköz legközelebb bejelentkezik, a szabályzat érvényes lesz.
A szabályzat figyelése beépített jelentésekkel
A Intune Felügyeleti központban, miután létrehozott egy szabályzatot, figyelheti annak állapotát, és megtekintheti az esetleges hibákat.
- A Intune Felügyeleti központban válassza az Eszközök>konfigurációs szabályzatai>lehetőséget.
- Válassza ki a figyelni kívánt szabályzatot. Az Eszközállapot jelentés megjeleníti a szabályzat állapotát, és megjeleníti a hibaelhárításhoz szükséges hibák részleteit.
További információt a következő témakörben talál:
A BIOS-jelszavak lekérése
Intune tárolja az egyes eszközök BIOS-jelszavát. A BIOS-jelszavakat a Microsoft Graph használatával szerezheti be. A Graph API-k teszteléséhez használhatja a Microsoft Graph Explorert.
Fontos
Győződjön meg arról, hogy az összes jelszóról biztonsági másolatot készít a Intune kívül.
- Ha egy eszközt eltávolítanak Intune felügyelet alól, a rendszergazdák továbbra is olvashatják a BIOS-jelszavakat a Microsoft Graph hardwarePasswordInfo API használatával.
- Ha a bérlő Intune előfizetése véget ér, akkor nem lehet BIOS-jelszavakat olvasni vagy lekérni. Ebben az esetben az egyetlen lehetőség, hogy kapcsolatba lép az OEM-rel.
1. lehetőség – A BIOS-jelszó olvasása egyszerre egy eszközön
Ez a beállítás egyszerre egy eszközre lekéri a BIOS-jelszavakat.
Hozzon létre egy egyéni Intune RBAC-szerepkört a Bios-jelszó olvasása engedéllyel:
- A Intune Felügyeleti központban válassza a Bérlőfelügyeleti>szerepkörök>Új szerepkör létrehozása lehetőséget.
- Nevezze el a szerepkört, és válassza a Tovább gombot.
- Az Engedélyek területen bontsa ki a Felügyelt eszközök> Állítsa a Bios-jelszó olvasása beállítástIgen értékre.
- Válassza a Következő>következő>létrehozás lehetőséget.
Jelentkezzen be a Graph-eszközbe ezzel az egyéni RBAC-szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
2. lehetőség – Az összes eszköz BIOS-jelszavának olvasása
Ez a beállítás lekéri az összes eszköz BIOS-jelszavának listáját.
A Microsoft Entra ID Intune szolgáltatásadminisztrátori vagy globális rendszergazdai szerepkörre van szüksége.
Jelentkezzen be a Graph-eszközbe az alábbi szerepkörök egyikével, és használja a Microsoft Graph hardwarePasswordInfo API-t:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Az RBAC-szerepkörökkel kapcsolatos további információkért tekintse meg a szerepköralapú hozzáférés-vezérlést (RBAC) Microsoft Intune.
BIOS-konfigurációs jelszó eltávolítása
Ha azt tervezi, hogy leállítja az eszközök BIOS-kezelését, vagy véglegesen eltávolítja az eszközöket a bérlőből, akkor el kell távolítania a BIOS-jelszót.
A BIOS-jelszó eltávolításához a Intune BIOS konfigurációs szabályzatában állítsa az Eszközönkénti BIOS jelszóvédelem letiltása beállítást Igen értékre. Ezután rendelje hozzá a szabályzatot. Amikor az eszköz bejelentkezik Intune, a szabályzat érvényes lesz. Az eszközön manuálisan is szinkronizálhatja az eszközt a Intune a szabályzat alkalmazásához.
A szabályzat alkalmazása után indítsa újra az eszközt.
Az eszköz Intune való regisztrációjának törlése nem távolítja el a BIOS-jelszót. Ha a jelszó letiltása előtt megszünteti az eszköz regisztrációját, manuálisan kell frissítenie a jelszót az eszközön.
BIOS-konfiguráció és DFCI
Intune két olyan funkcióval rendelkezik, amelyek kezelhetik a BIOS beállításait Windows-eszközökön: a BIOS konfigurációját és egyéb beállításait, valamint az eszköz belső vezérlőprogramjának konfigurációs felületét (DFCI).
Az alábbi táblázat ezeket a lehetőségeket hasonlítja össze.
Funkció | BIOS-konfiguráció és egyéb beállítások | DFCI |
---|---|---|
Támogatott oem-ek | Dell Valószínűleg több a jövőben |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic További információ: Microsoft DFCI-forgatókönyvek. |
Támogatott konfigurációk | Az OEM-eszközben elérhető konfigurációk | A biztonsági funkciók, egyes hardverfunkciók, rendszerindítási beállítások, portok és egyebek vezérlésére alkalmas beállítások |
A beállítások alkalmazása | Intune kézbesíti a konfigurációs fájlt a szabályzat hozzárendelésekor. Az eszközön lévő OEM-ügynök alkalmazza a konfigurációt. | Az UEFI CSP-vel az operációs rendszertől elkülönített DFCI-réteg használatával |
A BIOS-hoz való hozzáférés blokkolása menü | Igen, BIOS-jelszavakon keresztül | Igen, tanúsítványokon keresztül |
Konfigurálás a Windows Autopilot alatt | A Regisztrációs állapot lap (ESP) beállításai között válassza ki az OEM Win32 alkalmazást. | Intune automatikusan regisztrálja az eszközt a DFCI mgmt-ben. |
Jelentés | Jelzi, hogy a konfigurációs fájl alkalmazva van-e. | Részletes jelentés minden konfigurált beállításról. |
Intune szabályzattípus | Eszközök>Konfigurációs>Sablonok>BIOS-konfiguráció és egyéb beállítások | Eszközök>Konfigurációs>Sablonok>Eszköz belső vezérlőprogramjának konfigurációs felülete |
A DFCI-vel kapcsolatos további információkért látogasson el a következőre:
- Eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljai Windows-eszközökön a Microsoft Intune
- Microsoft DFCI-forgatókönyvek
- DFCI Surface-eszközökön
Kapcsolódó cikkek
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: