Usare i profili DFCI (Device Firmware Configuration Interface) nei dispositivi Windows in Microsoft IntuneUse Device Firmware Configuration Interface profiles on Windows devices in Microsoft Intune

Quando si usa Intune per gestire i dispositivi Autopilot, è possibile gestire le impostazioni UEFI (BIOS) dopo la registrazione dei dispositivi tramite l'interfaccia DFCI (Device Firmware Configuration Interface).When you use Intune to manage Autopilot devices, you can manage UEFI (BIOS) settings after they're enrolled, using the Device Firmware Configuration Interface (DFCI). Per una panoramica di vantaggi, scenari e prerequisiti, vedere Overview of DFCI (Panoramica di PFCI).For an overview of benefits, scenarios, and prerequisites, see Overview of DFCI.

DFCI abilita Windows per il passaggio dei comandi di gestione da Intune a UEFI (Unified Extensible Firmware Interface).DFCI enables Windows to pass management commands from Intune to UEFI (Unified Extensible Firmware Interface).

In Intune è possibile usare questa funzionalità per controllare le impostazioni del BIOS.In Intune, use this feature to control BIOS settings. In genere, il firmware è più resiliente agli attacchi dannosi.Typically, firmware is more resilient to malicious attacks. Limita il controllo degli utenti finali sul BIOS: una condizione utile in una situazione compromessa.It limits end users control over the BIOS, which is good in a compromised situation.

Ad esempio, si supponga di usare dispositivi Windows 10 in un ambiente protetto e di voler disabilitare la fotocamera.For example, you use Windows 10 devices in a secure environment, and want to disable the camera. È possibile disabilitare la fotocamera a livello di firmware e in questo caso non è rilevante quello che fa l'utente finale.You can disable the camera at the firmware-layer, so it doesn't matter what the end user does. Se si reinstalla il sistema operativo o si cancella il computer, la fotocamera non verrà riattivata.Reinstalling the OS or wiping the computer won't turn the camera back on. Sempre a titolo di esempio, si supponga di bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo o una versione precedente di Windows che non ha le stesse funzionalità di sicurezza.In another example, lock down the boot options to prevent users from booting up another OS, or an older version of Windows that doesn't have the same security features.

Quando si reinstalla una versione precedente di Windows, si installa un sistema operativo separato o si formatta il disco rigido, non è possibile ignorare la gestione DFCI.When you reinstall an older Windows version, install a separate OS, or format the hard drive, you can't override DFCI management. Questa funzionalità può impedire al malware di comunicare con i processi del sistema operativo, inclusi i processi del sistema operativo con privilegi elevati.This feature can prevent malware from communicating with OS processes, including elevated OS processes. La catena di certificati di DFCI usa la crittografia a chiave pubblica e non dipende dalla sicurezza delle password UEFI (BIOS) locali.DFCI's trust chain uses public key cryptography, and doesn't depend on local UEFI (BIOS) password security. Questo livello di sicurezza impedisce agli utenti locali di accedere alle impostazioni gestite dai menu UEFI (BIOS) del dispositivo.This layer of security blocks local users from accessing managed settings from the device's UEFI (BIOS) menus.

Questa funzionalità si applica a:This feature applies to:

  • Windows 10 RS5 (1809) e versioni successive su firmware UEFI supportatoWindows 10 RS5 (1809) and later on supported UEFI

Prima di iniziareBefore you begin

  • Il produttore del dispositivo deve avere aggiunto DFCI al firmware UEFI durante il processo di produzione o come aggiornamento del firmware da installare.The device manufacturer must have DFCI added to their UEFI firmware in the manufacturing process, or as a firmware update you install. Collaborare con i fornitori dei dispositivi per individuare i produttori che supportano DFCI o la versione del firmware necessaria per l'uso di DFCI.Work with your device vendors to determine the manufacturers that support DFCI, or the firmware version needed to use DFCI.

  • Il dispositivo deve essere registrato per Windows Autopilot da un partner Microsoft Cloud Solution Provider (CSP) o registrato direttamente dall'OEM.The device must be registered for Windows Autopilot by a Microsoft Cloud Solution Provider (CSP) partner, or registered directly by the OEM.

    I dispositivi registrati manualmente per Autopilot, ad esempio importati da un file CSV, non sono autorizzati a usare DFCI.Devices manually registered for Autopilot, such as imported from a csv file, aren't allowed to use DFCI. Per impostazione predefinita, la gestione DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un OEM o una registrazione di partner Microsoft CSP per Windows Autopilot.By design, DFCI management requires external attestation of the device's commercial acquisition through an OEM or a Microsoft CSP partner registration to Windows Autopilot.

    Dopo la registrazione del dispositivo, il numero di serie viene visualizzato nell'elenco dei dispositivi Windows Autopilot.Once your device is registered, its serial number is shown in the list of Windows Autopilot devices.

    Per altre informazioni su Autopilot, compresi tutti i requisiti, vedere Panoramica sulla registrazione di Windows Autopilot.For more information on Autopilot, including any requirements, see Windows Autopilot registration overview.

Creare i gruppi di sicurezza di Azure ADCreate your Azure AD security groups

I profili di distribuzione Autopilot vengono assegnati ai gruppi di sicurezza Azure AD.Autopilot deployment profiles are assigned to Azure AD security groups. Assicurarsi di creare gruppi che includano i dispositivi supportati da DFCI.Be sure to create groups that include your DFCI-supported devices. Per i dispositivi DFCI, la maggior parte delle organizzazioni può creare gruppi di dispositivi anziché gruppi di utenti.For DFCI devices, most organization may create device groups, instead of user groups. Prendere in considerazione gli scenari seguenti:Consider the following scenarios:

  • Il personale del reparto Risorse umane dispone di diversi dispositivi Windows.Human Resources (HR) has different Windows devices. Per motivi di sicurezza, si vuole che nessuno in questo gruppo usi la fotocamera nei dispositivi.For security reasons, you don't want anyone in this group to use the camera on the devices. In questo scenario è possibile creare un gruppo di sicurezza per gli utenti del reparto RU, in modo che i criteri vengano applicati agli utenti del gruppo RU, indipendentemente dal tipo di dispositivo.In this scenario, you can create an HR security users group so the policy applies to users in the HR group, whatever the device type.
  • Nell'impianto di produzione sono disponibili 10 dispositivi.On the manufacturing floor, you have 10 devices. In tutti i dispositivi si vuole impedire l'avvio da un dispositivo USB.On all devices, you want to prevent booting the devices from a USB device. In questo scenario è possibile creare un gruppo di sicurezza per i dispositivi e aggiungere questi 10 dispositivi al gruppo.In this scenario, you can create a security devices group, and add these 10 devices to the group.

Per altre informazioni sulla creazione dei gruppi in Intune, vedere Aggiungere gruppi per organizzare utenti e dispositivi.For more information on creating groups in Intune, see Add groups to organize users and devices.

Creare i profiliCreate the profiles

Per usare DFCI, creare i profili seguenti e assegnarli al gruppo.To use DFCI, create the following profiles, and assign them to your group.

Creare un profilo di distribuzione AutopilotCreate an Autopilot deployment profile

Questo profilo configura e preconfigura i nuovi dispositivi.This profile sets up and pre-configures new devices. Il profilo di distribuzione Autopilot elenca i passaggi per la creazione del profilo.Autopilot deployment profile lists the steps to create the profile.

Creare un profilo della pagina dello stato di registrazioneCreate an Enrollment State Page profile

Questo profilo assicura che i dispositivi vengano verificati e abilitati per DFCI durante l'installazione di Windows.This profile makes sure that devices are verified and enabled for DFCI during the Windows setup. È consigliabile usare questo profilo per bloccare l'uso del dispositivo fino a quando non vengono installati tutti i profili e tutte le app.It's highly recommended to use this profile to block device use until all apps and profiles are installed. Il profilo della pagina dello stato di registrazione elenca i passaggi per la creazione del profilo.Enrollment State Page profile lists the steps to create the profile.

Creare il profilo DFCICreate the DFCI profile

Questo profilo include le impostazioni DFCI configurate.This profile includes the DFCI settings you configure.

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Selezionare Dispositivi > Profili di configurazione > Crea profilo.Select Devices > Configuration profiles > Create profile.

  3. Immettere le proprietà seguenti:Enter the following properties:

    • Piattaforma: scegliere Windows 10 e versioni successive.Platform: Choose Windows 10 and later.
    • Profilo: selezionare Interfaccia di configurazione del firmware del dispositivo.Profile: Select Device Firmware Configuration Interface.
  4. Selezionare Crea.Select Create.

  5. In Informazioni di base immettere le proprietà seguenti:In Basics, enter the following properties:

    • Nome: immettere un nome descrittivo per il profilo.Name: Enter a descriptive name for the profile. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento.Name your policies so you can easily identify them later. Un nome di profilo valido, ad esempio, è Windows: Configurare le impostazioni DFCI nei dispositivi Windows.For example, a good profile name is Windows: Configure DFCI settings on Windows devices.
    • Descrizione: Immettere una descrizione del profilo.Description: Enter a description for the profile. Questa impostazione è facoltativa ma consigliata.This setting is optional, but recommended.
  6. Selezionare Avanti.Select Next.

  7. In Impostazioni di configurazione completare le impostazioni seguenti:In Configuration settings, configure the following settings:

    • Consenti all'utente locale di modificare le impostazioni UEFI: Le opzioni disponibili sono:Allow local user to change UEFI (BIOS) settings: Your options:

      • Solo le impostazioni non configurate: l'utente locale può modificare qualsiasi impostazione ad eccezione delle impostazioni esplicitamente impostate su Abilita o Disabilita da Intune.Only not configured settings: The local user may change any setting except those settings explicitly set to Enable or Disable by Intune.
      • Nessuno: l'utente locale non può modificare le impostazioni UEFI (BIOS), incluse le impostazioni non visualizzate nel profilo DFCI.None: The local user may not change any UEFI (BIOS) settings, including settings not shown in the DFCI profile.
    • CPU e virtualizzazione di I/O: Le opzioni disponibili sono:CPU and IO virtualization: Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: il BIOS abilita le funzionalità di virtualizzazione di CPU e I/O della piattaforma per l'uso da parte del sistema operativo.Enabled: The BIOS enables the platform's CPU and IO virtualization capabilities for use by the OS. Attiva le tecnologie di sicurezza basata sulla virtualizzazione Windows e Device Guard.It turns on Windows Virtualization Based Security and Device Guard technologies.
    • Fotocamere: Le opzioni disponibili sono:Cameras: Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: tutte le fotocamere incorporate gestite direttamente da UEFI (BIOS) vengono abilitate.Enabled: All built-in cameras directly managed by UEFI (BIOS) are enabled. Le periferiche, come le fotocamere USB, non sono interessate.Peripherals, like USB cameras, aren't affected.
      • Disabilitato: tutte le fotocamere incorporate gestite direttamente da UEFI (BIOS) vengono disabilitate.Disabled: All built-in camera directly managed by UEFI (BIOS) are disabled. Le periferiche, come le fotocamere USB, non sono interessate.Peripherals, like USB cameras, aren't affected.
    • Microfoni e altoparlanti: Le opzioni disponibili sono:Microphones and speakers: Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: tutti i microfoni e gli altoparlanti gestiti direttamente da UEFI (BIOS) vengono abilitati.Enabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are enabled. Le periferiche, come i dispositivi USB, non sono interessate.Peripherals, like USB devices, aren't affected.
      • Disabilitato: tutti i microfoni e gli altoparlanti gestiti direttamente da UEFI (BIOS) vengono disabilitati.Disabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are disabled. Le periferiche, come i dispositivi USB, non sono interessate.Peripherals, like USB devices, aren't affected.
    • Radio (Bluetooth, Wi-Fi, NFC e così via) : Le opzioni disponibili sono:Radios (Bluetooth, Wi-Fi, NFC, etc.): Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: tutte le radio incorporate gestite direttamente da UEFI (BIOS) vengono abilitate.Enabled: All built-in radios directly managed by UEFI (BIOS) are enabled. Le periferiche, come i dispositivi USB, non sono interessate.Peripherals, like USB devices, aren't affected.
      • Disabilitato: tutte le radio incorporate gestite direttamente da UEFI (BIOS) vengono disabilitate.Disabled: All built-in radios directly managed by UEFI (BIOS) are disabled. Le periferiche, come i dispositivi USB, non sono interessate.Peripherals, like USB devices, aren't affected.

      Avviso

      Se si disabilita l'impostazione Radio, il dispositivo richiede una connessione di rete cablata.If you disable the Radios setting, the device requires a wired network connection. In caso contrario, il dispositivo potrebbe non essere gestibile.Otherwise, the device may be unmanageable.

    • Avvia da supporti di memorizzazione esterni (USB, SD) : Le opzioni disponibili sono:Boot from external media (USB, SD): Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: UEFI (BIOS) consente l'avvio da supporti di archiviazione non su disco rigido.Enabled: UEFI (BIOS) allows booting from non-hard drive storage.
      • Disabilitato: UEFI (BIOS) non consente l'avvio da supporti di archiviazione non su disco rigido.Disabled: UEFI (BIOS) doesn't allow booting from non-hard drive storage.
    • Avvia dalle schede di rete : Le opzioni disponibili sono:Boot from network adapters: Your options:

      • Non configurata: Intune non modifica o aggiorna questa impostazione.Not configured: Intune doesn't change or update this setting.
      • Attivata: UEFI (BIOS) consente l'avvio dalle interfacce di rete predefinite.Enabled: UEFI (BIOS) allows booting from built-in network interfaces.
      • Disabilitato: UEFI (BIOS) non consente l'avvio dalle interfacce di rete predefinite.Disabled: UEFI (BIOS) doesn't allow booting built-in network interfaces.
  8. Selezionare Avanti.Select Next.

  9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'infrastruttura IT distribuita.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Selezionare Avanti.Select Next.

  10. In Assegnazioni selezionare gli utenti o il gruppo utente che riceveranno il profilo.In Assignments, select the users or user group that will receive your profile. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.For more information on assigning profiles, see Assign user and device profiles.

    Selezionare Avanti.Select Next.

  11. In Rivedi e crea rivedere le impostazioni.In Review + create, review your settings. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato.When you select Create, your changes are saved, and the profile is assigned. Il criterio viene visualizzato anche nell'elenco dei profili.The policy is also shown in the profiles list.

Alla successiva sincronizzazione di ogni dispositivo, viene applicato il criterio.The next time each device checks in, the policy is applied.

Assegnare i profili e riavviareAssign the profiles, and reboot

Assicurarsi di assegnare i profili ai gruppi di sicurezza di Azure AD che includono i dispositivi DFCI.Be sure to assign the profiles to your Azure AD security groups that include your DFCI devices. Il profilo può essere assegnato quando al momento della creazione o dopo.The profile can be assigned when it's created, or after.

Quando il dispositivo esegue Windows Autopilot, mentre è attiva la pagina Stato registrazione DFCI può forzare un riavvio.When the device runs the Windows Autopilot, during the Enrollment Status page, DFCI may force a reboot. Il primo riavvio esegue la registrazione di UEFI in Intune.This first reboot enrolls UEFI to Intune.

Per verificare che il dispositivo sia registrato è possibile riavviarlo nuovamente, ma questa operazione non è obbligatoria.If you want to confirm the device is enrolled, you can reboot the device again, but it's not required. Usare le istruzioni del produttore del dispositivo per aprire il menu UEFI e verificare che UEFI ora è gestito.Use the device manufacturer's instructions to open the UEFI menu, and confirm UEFI is now managed.

Alla successiva sincronizzazione del dispositivo con Intune, Windows riceve le impostazioni DFCI.The next time the device syncs with Intune, Windows receives the DFCI settings. Riavviare il dispositivo.Reboot the device. Il terzo riavvio è necessario perché UEFI riceva le impostazioni DFCI da Windows.This third reboot is required for UEFI to receive the DFCI settings from Windows.

Aggiornare le impostazioni di DFCI esistentiUpdate existing DFCI settings

Se lo si desidera, è possibile modificare le impostazioni di DFCI esistenti nei dispositivi in uso.If you want to change existing DFCI settings on devices that are in use, you can. Nel profilo DFCI esistente modificare le impostazioni e salvare le modifiche.In your existing DFCI profile, change the settings, and save your changes. Dato che il profilo è già assegnato, le nuove impostazioni DFCI diventano effettive quando:Since the profile is already assigned, the new DFCI settings take effect when:

  1. Il dispositivo si sincronizza con il servizio Intune per verificare gli aggiornamenti del profilo.The device checks in with the Intune service to review profile updates. Le sincronizzazioni avvengono in diversi momenti.Check-ins happen at various times. Per altre informazioni, vedere quando i dispositivi ottengono aggiornamenti dei criteri, del profilo o delle app.For more information, see when devices get a policy, profile, or app updates.

  2. Per applicare le nuove impostazioni, riavviare il dispositivo da remoto o localmente.To enforce the new settings, reboot the device remotely or locally.

È anche possibile segnalare ai dispositivi di eseguire la sincronizzazione.You can also signal devices to check in. Una volta completata la sincronizzazione, inviare il segnale di riavvio.After a successful sync, signal to reboot.

Nota

L'eliminazione del profilo DFCI o la rimozione di un dispositivo dal gruppo assegnato al profilo non comporta la rimozione delle impostazioni di DFCI o la riabilitazione dei menu UEFI (BIOS).Deleting the DFCI profile, or removing a device from the group assigned to the profile doesn't remove DFCI settings or re-enable the UEFI (BIOS) menus. Se si vuole interrompere l'uso di DFCI, aggiornare il profilo DFCI esistente.If you want to stop using DFCI, then update your existing DFCI profile. Per altre informazioni sulle procedure, vedere Ritiro in questo articolo.For more information on the steps, see retire the device in this article.

Riutilizzare, ritirare o ripristinare il dispositivoReuse, retire, or recover the device

RiutilizzoReuse

Se si prevede di ripristinare Windows per reimpiegare il dispositivo, cancellare il dispositivo.If you plan to reset Windows to repurpose the device, then wipe the device. Non rimuovere il record del dispositivo Autopilot.Do not remove the Autopilot device record.

Dopo la cancellazione del dispositivo, spostare il dispositivo nel gruppo a cui sono stati assegnati i nuovi profili DFCI e Autopilot.After wiping the device, move the device to the group assigned the new DFCI and Autopilot profiles. Assicurarsi di riavviare il dispositivo per rieseguire la configurazione di Windows.Be sure to reboot the device to rerun Windows setup.

RitiroRetire

Quando si è pronti per ritirare il dispositivo e rilasciarlo dalla gestione, aggiornare il profilo DFCI con le impostazioni UEFI (BIOS) desiderate per lo stato di uscita.When you're ready to retire the device and release it from management, update the DFCI profile to the UEFI (BIOS) settings you want at the exit state. In genere, è utile abilitare tutte le impostazioni.Typically, you want all settings enabled. Ad esempio:For example:

  1. Aprire il profilo DFCI (Dispositivi > Profili di configurazione).Open your DFCI profile (Devices > Configuration profiles).
  2. Modificare l'impostazione Consenti all'utente locale di modificare le impostazioni UEFI impostandola su Solo le impostazioni non configurate.Change the Allow local user to change UEFI (BIOS) settings to Only not configured settings.
  3. Impostare tutte le altre impostazioni su Non configurata.Set all other settings to Not configured.
  4. Salvare le impostazioni.Save your settings.

Questa procedura sblocca i menu UEFI (BIOS) del dispositivo.These steps unlock the device's UEFI (BIOS) menus. I valori rimangono identici a quelli del profilo (Abilitato o Disabilitato) e non vengono reimpostati su alcun valore del sistema operativo predefinito.The values remain the same as the profile (Enabled or Disabled), and aren't set back to any default OS values.

A questo punto si è pronti per la cancellazione del dispositivo.You're now ready to wipe the device. Una volta cancellato il dispositivo, eliminare il record Autopilot.Once the device is wiped, delete the Autopilot record. L'eliminazione del record impedisce la ripetizione automatica della registrazione del dispositivo in fase di riavvio.Deleting the record prevents the device from automatically re-enrolling when it reboots.

Suggerimento

Per rimuovere i dispositivi Surface dalla registrazione DFCI, vedere Rimozione della gestione di DFCI.To remove Surface devices from DFCI enrollment, see removing DFCI management.

RipristinoRecover

Se si cancella un dispositivo e si elimina il record Autopilot prima di sbloccare i menu UEFI (BIOS), i menu rimangono bloccati.If you wipe a device, and delete the Autopilot record before unlocking the UEFI (BIOS) menus, then the menus remain locked. Intune non può inviare aggiornamenti del profilo per sbloccarlo.Intune can't send profile updates to unlock it.

Per sbloccare il dispositivo, aprire il menu UEFI (BIOS) e aggiornare la gestione dalla rete.To unlock the device, open the UEFI (BIOS) menu, and refresh management from network. Il ripristino sblocca i menu ma lascia tutte le impostazioni UEFI (BIOS) impostate sui valori del profilo dell'interfaccia di configurazione del firmware del dispositivo di Intune precedente.Recovery unlocks the menus, but leaves all UEFI (BIOS) settings set to the values in the previous Intune DFCI profile.

Impatto sugli utenti finaliEnd user impact

Quando vengono applicati i criteri DFCI, gli utenti locali non possono modificare le impostazioni configurate da DFCI, anche se il menu UEFI (BIOS) è protetto da password.When the DFCI policy is applied, local users can't change settings configured by DFCI, even if the UEFI (BIOS) menu is password protected. A seconda delle impostazioni configurate, gli utenti finali possono ricevere errori per componenti hardware non trovati o che non possono essere diagnosticati.Depending on the settings you configure, end users may receive errors that hardware components aren't found, or can't be diagnosed. Assicurarsi di fornire agli utenti finali la documentazione che illustra le opzioni che sono state disabilitate.Be sure to provide documentation to end users explaining the options you've disabled.

Passaggi successiviNext steps

Dopo l'assegnazione del profilo monitorarne lo stato.After the profile is assigned, monitor its status.