Usare i profili DFCI (Device Firmware Configuration Interface) nei dispositivi Windows in Microsoft Intune

Quando si usa Intune per gestire i dispositivi Windows Autopilot, è possibile gestire le impostazioni UEFI (BIOS) dopo la registrazione tramite Device Firmware Configuration Interface (DFCI). Per una panoramica di vantaggi, scenari e prerequisiti, vedere Panoramica di DFCI.

DFCI abilita Windows per il passaggio dei comandi di gestione da Intune a UEFI (Unified Extensible Firmware Interface).

In Intune è possibile usare questa funzionalità per controllare le impostazioni del BIOS. In genere, il firmware è più resiliente agli attacchi dannosi. Limita il controllo degli utenti finali sul BIOS: una condizione utile in una situazione compromessa.

Questa funzionalità si applica a:

• Windows 11 su UEFI supportato
• Windows 10 RS5 (1809) e versioni successive su firmware UEFI supportato

Ad esempio, si usano i dispositivi client Windows in un ambiente sicuro e si vuole disabilitare la fotocamera. È possibile disabilitare la fotocamera a livello di firmware e in questo caso non è rilevante quello che fa l'utente finale. Se si reinstalla il sistema operativo o si cancella il computer, la fotocamera non verrà riattivata. Sempre a titolo di esempio, si supponga di bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo o una versione precedente di Windows che non ha le stesse funzionalità di sicurezza.

Quando si reinstalla una versione precedente di Windows, si installa un sistema operativo separato o si formatta il disco rigido, non è possibile ignorare la gestione DFCI. Questa funzionalità può impedire ai malware di comunicare con i processi del sistema operativo, inclusi i processi del sistema operativo con privilegi elevati. La catena di certificati di DFCI usa la crittografia a chiave pubblica e non dipende dalla sicurezza delle password UEFI (BIOS) locali. Questo livello di sicurezza impedisce agli utenti locali di accedere alle impostazioni gestite dai menu UEFI (BIOS) del dispositivo.

Consiglio

Per i dispositivi Dell, è possibile creare un criterio di configurazione del BIOS . Per altre informazioni, vedere Usare i profili di configurazione del BIOS nei dispositivi Windows in Microsoft Intune.

Prima di iniziare

• Il produttore del dispositivo deve avere aggiunto DFCI al firmware UEFI durante il processo di produzione o come aggiornamento del firmware da installare. Collaborare con i fornitori dei dispositivi per individuare i produttori che supportano DFCI o la versione del firmware necessaria per l'uso di DFCI.

• Il dispositivo deve essere registrato per Windows Autopilot da un partner Microsoft Cloud Solution Provider (CSP) o registrato direttamente dall'OEM.

  I dispositivi registrati manualmente per Windows Autopilot, ad esempio importati da un file CSV, non possono usare DFCI. Per impostazione predefinita, la gestione DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un OEM o una registrazione di partner Microsoft CSP per Windows Autopilot.

  Dopo la registrazione del dispositivo, il numero di serie viene visualizzato nell'elenco dei dispositivi Windows Autopilot.

  Per altre informazioni su Windows Autopilot, inclusi eventuali requisiti, vedere Panoramica della registrazione di Windows Autopilot.

Creare i gruppi di sicurezza Microsoft Entra

I profili di distribuzione di Windows Autopilot vengono assegnati ai gruppi di sicurezza Microsoft Entra. Assicurarsi di creare gruppi che includano i dispositivi supportati da DFCI. Per i dispositivi DFCI, la maggior parte delle organizzazioni può creare gruppi di dispositivi anziché gruppi di utenti. Si considerino gli scenari seguenti:

• Le risorse umane (HR) hanno dispositivi Windows diversi. Per motivi di sicurezza, si vuole che nessuno in questo gruppo usi la fotocamera nei dispositivi. In questo scenario è possibile creare un gruppo di sicurezza per gli utenti del reparto RU, in modo che i criteri vengano applicati agli utenti del gruppo RU, indipendentemente dal tipo di dispositivo.

• Nell'impianto di produzione sono disponibili 10 dispositivi. In tutti i dispositivi si vuole impedire l'avvio da un dispositivo USB. In questo scenario è possibile creare un gruppo di sicurezza per i dispositivi e aggiungere questi 10 dispositivi al gruppo.

Per altre informazioni sulla creazione di gruppi in Intune, vedere Aggiungere gruppi per organizzare utenti e dispositivi.

Creare i profili

Per usare DFCI, creare i profili seguenti e assegnarli al gruppo.

Passaggio 1: Creare un profilo di distribuzione di Windows Autopilot

Questo profilo configura e preconfigura nuovi dispositivi. L'articolo seguente elenca i passaggi per creare il profilo:

• Profilo di distribuzione di Windows Autopilot

Passaggio 2 - Creare un profilo di pagina dello stato di registrazione

Questo profilo assicura che i dispositivi vengano verificati e abilitati per DFCI durante l'installazione di Windows. È consigliabile usare questo profilo per bloccare l'uso del dispositivo fino a quando non vengono installati tutti i profili e tutte le app.

L'articolo seguente elenca i passaggi per creare il profilo:

• Profilo pagina stato registrazione

Passaggio 3: Creare il profilo DFCI in Intune

Questo profilo include le impostazioni DFCI configurate.

Consiglio

La configurazione e l'assegnazione di profili DFCI possono bloccare il dispositivo in modo indolore. Prestare quindi attenzione ai valori configurati.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

3. Immettere le proprietà seguenti:

   • Piattaforma: scegliere Windows 10 e versioni successive.
   • Tipo di profilo: selezionare Modelli Interfaccia>di configurazione del firmware del dispositivo.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Windows - Impostazioni DFCI nei dispositivi Windows.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

   Seleziona Avanti.

6. In Impostazioni di configurazione configurare le impostazioni che si desidera controllare nel livello del firmware UEFI. Per un elenco di tutte le impostazioni e delle relative operazioni, vedere:

   • Impostazioni di Windows DFCI

   Seleziona Avanti.

7. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito. Seleziona Avanti.

8. In Assegnazioni selezionare gli utenti o il gruppo utenti che riceveranno il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo. Seleziona Avanti.

9. In Rivedi e crea esaminare le impostazioni e selezionare Crea. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Alla successiva sincronizzazione di ogni dispositivo, viene applicato il criterio.

Assegnare i profili e riavviare

Assicurarsi di assegnare i profili ai gruppi di sicurezza Microsoft Entra che includono i dispositivi DFCI. Il profilo può essere assegnato quando al momento della creazione o dopo.

Quando il dispositivo esegue Windows Autopilot, mentre è attiva la pagina Stato registrazione, DFCI può forzare un riavvio. Il primo riavvio esegue la registrazione di UEFI in Intune.

Per verificare che il dispositivo sia registrato è possibile riavviarlo nuovamente, ma questa operazione non è obbligatoria. Usare le istruzioni del produttore del dispositivo per aprire il menu UEFI e verificare che UEFI ora è gestito.

Alla successiva sincronizzazione del dispositivo con Intune, Windows riceve le impostazioni DFCI. Riavviare il dispositivo. Il terzo riavvio è necessario perché UEFI riceva le impostazioni DFCI da Windows.

Aggiornare le impostazioni di DFCI esistenti

Se lo si desidera, è possibile modificare le impostazioni di DFCI esistenti nei dispositivi in uso. Nel profilo DFCI esistente modificare le impostazioni e salvare le modifiche. Dato che il profilo è già assegnato, le nuove impostazioni DFCI diventano effettive quando:

1. Il dispositivo si sincronizza con il servizio Intune per verificare gli aggiornamenti del profilo. Le sincronizzazioni avvengono in diversi momenti. Per altre informazioni, vedere quando i dispositivi ricevono un criterio, un profilo o aggiornamenti dell'app.
2. Per applicare le nuove impostazioni, riavviare il dispositivo da remoto o localmente.

È anche possibile segnalare ai dispositivi di eseguire la sincronizzazione. Una volta completata la sincronizzazione, inviare il segnale di riavvio.

Nota

L'eliminazione del profilo DFCI o la rimozione di un dispositivo dal gruppo assegnato al profilo non comporta la rimozione delle impostazioni di DFCI o la riabilitazione dei menu UEFI (BIOS). Se si vuole interrompere l'uso di DFCI, aggiornare le impostazioni nel profilo DFCI esistente. Per altre informazioni sui passaggi, vedere ritirare il dispositivo in questo articolo.

Conflitti

Quando si creano i criteri DFCI, si configurano le impostazioni di Windows DFCI che si desidera gestire.

Alcune impostazioni si trovano in una categoria logica, ad esempio microfoni e altoparlanti. Sono disponibili anche impostazioni granulari, ad esempio Microfoni. Se queste impostazioni sono in conflitto, si verifica quanto segue:

• Nel primo tentativo di sincronizzazione viene applicata l'impostazione granulare (Microfoni) e l'impostazione della categoria non è conforme (microfoni e altoparlanti).

• A ogni sincronizzazione con il servizio Intune dopo la prima sincronizzazione, si verifica il comportamento seguente in un ciclo:

  • Intune applica l'impostazione della categoria (microfoni e altoparlanti) perché non è conforme. L'impostazione granulare (microfoni) diventa non conforme.
  • Intune applica l'impostazione granulare (microfoni) perché non è conforme. L'impostazione della categoria (microfoni e altoparlanti) diventa non conforme.

Per evitare questo comportamento di ciclo, configurare l'impostazione della categoria o le impostazioni granulari.

Ad esempio, si vuole consentire solo Wi-Fi radio. In questo scenario si:

• Lasciare la categoria Radio (Bluetooth, Wi-Fi, NFC e così via) su Non configurata.
• Per l'impostazione della radio Wi-Fi , impostarla su Abilita.
• Impostare tutte le altre impostazioni della radio granulare su Disabilitato.

Riutilizzare, ritirare o ripristinare il dispositivo

Riutilizzo

Se si prevede di ripristinare Windows per reimpiegare il dispositivo, cancellare il dispositivo. Non rimuovere il record del dispositivo Windows Autopilot.

Dopo aver cancellato il dispositivo, spostare il dispositivo nel gruppo a cui sono stati assegnati i nuovi profili DFCI e Windows Autopilot. Assicurarsi di riavviare il dispositivo per rieseguire la configurazione di Windows.

Ritiro

Quando si è pronti per ritirare il dispositivo e rilasciarlo dalla gestione, aggiornare il profilo DFCI con le impostazioni UEFI (BIOS) desiderate per lo stato di uscita. In genere, è utile abilitare tutte le impostazioni. Ad esempio:

1. Nell'interfaccia di amministrazione Intune aprire il profilo DFCI (Configurazione dispositivi>).
2. Modificare Consenti all'utente locale di modificare le impostazioni UEFI (BIOS) impostandola su Solo impostazioni non configurate.
3. Impostare tutte le altre impostazioni su Non configurata.
4. Salvare le impostazioni.

Questa procedura sblocca i menu UEFI (BIOS) del dispositivo. I valori rimangono identici a quelli del profilo (Abilitato o Disabilitato) e non vengono reimpostati su alcun valore predefinito del sistema operativo.

A questo punto si è pronti per la cancellazione del dispositivo. Dopo aver cancellato il dispositivo, eliminare il record di Windows Autopilot. L'eliminazione del record impedisce la ripetizione automatica della registrazione del dispositivo in fase di riavvio.

Consiglio

Per rimuovere i dispositivi Surface dalla registrazione DFCI, passare alla rimozione della gestione DFCI.

Ripristino

Se si cancella un dispositivo ed si elimina il record di Windows Autopilot prima di sbloccare i menu UEFI (BIOS), i menu rimangono bloccati. Intune non può inviare aggiornamenti del profilo per sbloccarlo.

Per sbloccare il dispositivo, aprire il menu UEFI (BIOS) e aggiornare la gestione dalla rete. Il ripristino sblocca i menu ma lascia tutte le impostazioni UEFI (BIOS) impostate sui valori del profilo dell'interfaccia di configurazione del firmware del dispositivo di Intune precedente.

Impatto sugli utenti finali

Quando vengono applicati i criteri DFCI, gli utenti locali non possono modificare le impostazioni configurate da DFCI, anche se il menu UEFI (BIOS) è protetto da password. A seconda delle impostazioni configurate, gli utenti finali possono ricevere errori per componenti hardware non trovati o che non possono essere diagnosticati. Assicurarsi di fornire agli utenti finali la documentazione che illustra le opzioni che sono state disabilitate.

Articoli correlati

• Assegnare il profilo
• Monitorare lo stato del profilo