Microsoft Intuneの Windows デバイスで BIOS 構成プロファイルを使用する

  • [アーティクル]

Intuneでは、BIOS 構成とその他の設定デバイス構成ポリシーを使用して、BIOS の機能と設定を有効または無効にすることができます。

OEM ツールを使用して、BIOS 機能を構成する BIOS 構成ファイルを作成します。 デバイスでは、構成を読み取る OEM Win32 アプリをインストールします。 次に、Intune BIOS ポリシーで BIOS 構成ファイルを追加し、デバイスにポリシーを割り当てます。

構成ファイルには通常、デバイスをセキュリティで保護し、組み込みのハードウェアをセキュリティで保護する設定が含まれています。

たとえば、エンド ユーザーがデバイスを再イメージ化し、Intune管理から抜け出さないようにします。 このタスクでは、USB からの起動を無効にする BIOS 構成ファイルを作成します。 次に、このファイルを Intune ポリシーに追加し、BIOS パスワードを有効にします。 次の手順では、構成が上書きされていないことを確認します。

この機能は、以下に適用されます。

  • Windows 10 以降
  • Dell デバイス

この記事では、構成ファイルと Win32 アプリの詳細について説明し、INTUNEで BIOS 構成とその他の設定ポリシーを作成する方法について説明します。

警告

BIOS 構成の変更は、Bitlocker で暗号化されたドライブを起動またはアクセスする機能など、デバイスの機能と操作性に影響を与える可能性があります。 この機能を使用すると、Intune管理者はデバイス上の BIOS 構成を簡単に更新できます。 変更を加える場合は、予期しない構成の影響を最小限に抑えるために、段階的にテストしてデプロイします。

前提条件

  • このポリシーを構成するには、少なくとも、ポリシーとプロファイル マネージャーの役割を持つIntune管理センターにサインインします。 Intuneの組み込みロールの詳細については、「Microsoft Intuneを使用したロールベースのアクセス制御」を参照してください。

  • この機能は、Intuneに登録されている MDM organization所有デバイスをサポートします。 Intuneに登録されていない個人用デバイスとデバイスはサポートされていません。

  • デバイスに既存の BIOS パスワードが構成されていないか確認します。 この機能では、INTUNE BIOS パスワードが必要です。 Intuneデバイスの BIOS パスワードがない場合は、BIOS 構成を更新できません。

手順 1 - 構成ファイルを作成し、アプリをデプロイする

このセクションでは、OEM ツールを使用して構成ファイルを作成し、OEM Win32 アプリをデバイスに展開することに焦点を当てます。

  1. OEM ツールを使用して構成ファイルを作成します。 ファイルで、構成する機能を追加して構成します。 OEM でサポートされている任意の構成設定を追加できます。

    • Dell の場合は、 Dell コマンド (Dell の Web サイトを開く) ツールを使用して、BIOS 構成ファイルを作成できます。

  2. 構成ファイルを作成すると、OEM によって提供される調整 Win32 アプリがあります。 OEM Win32 アプリをデバイスに展開します。 このアプリ:

    • 作成した構成ファイルを読み取り、デバイスの BIOS パスワードを読み取るエージェントとして機能します。
    • Intune BIOS 構成ポリシーを割り当てる前に、すべてのデバイスにインストールする必要があります。

    Dell の場合は、 Dell Command (Dell の Web サイトを開く) アプリをダウンロードできます。

    このアプリをデバイスにインストールするには、Intuneを使用できます。 アプリを Intune に追加し、必要なアプリにします。 次に、「手順 2 - グループを作成する」で作成したグループまたは割り当てフィルターにアプリ を割り当てるか、割り当てフィルターを使用します (この記事では)。

    Intuneの Win32 アプリの詳細については、「Microsoft Intuneで Win32 アプリを追加、割り当て、監視する」を参照してください。

手順 2 - グループを作成するか、割り当てフィルターを使用する

このポリシーは、特定のデバイス セットに焦点を当てることをお勧めします。 次のようなオプションがあります:

  • オプション 1 - デバイスを含むグループを作成します。 アプリ ポリシーと BIOS 構成ポリシーを作成するときに、ポリシーをこのグループに割り当てます。
  • オプション 2 - デバイスの製造元に基づいて割り当てフィルターを使用します。 フィルターを作成するときは、OEM デバイスをターゲットにします。 アプリと BIOS 構成ポリシーを割り当てると、このフィルターを追加します。

これらの機能の詳細については、以下のリンクにアクセスしてください。

手順 3 - Intuneで BIOS 構成ポリシーを作成する

このポリシーは、作成した構成ファイルを追加する場所です。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス>構成] [新しいポリシーの作成]> の順>に選択します。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [テンプレートの BIOS 構成] とその他の>設定を選択します。

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は BIOS 構成パスワードです
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

    [次へ] を選択します。

  6. [構成設定] で、次の設定を構成します。

    • ハードウェア: サポートされている OEM の一覧からハードウェア OEM ベンダーを選択します。 現時点では、Dell のみがサポートされています。

    • デバイスごとの BIOS パスワード保護を無効にする: この設定は、デバイス上の BIOS 構成を保護するパスワードを管理します。 次のようなオプションがあります:

      • いいえ: Intuneは、デバイスごとに一意のデバイス パスワードを生成します。 デバイス上の BIOS 構成にアクセスして更新するには、ユーザーがこのパスワードを入力する必要があります。
      • はい: BIOS を保護するパスワードはありません。 以前のパスワードはすべて削除されます。 エンド ユーザーは BIOS にアクセスし、デバイスの BIOS 設定を変更できます。

    • 構成ファイル: OEM ツールで生成された構成ファイルをアップロードします。

      Dell の場合は、Dell クライアント構成ツール キット ファイル (.cctk) をアップロードします。 ファイル サイズの制限は 2 MB です。

    [次へ] を選択します。

  7. [ 割り当て] で、作成した新しいデバイス グループを選択します。 このグループはプロファイルを受け取ります。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

  8. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次に各デバイスがチェックインすると、ポリシーが適用されます。

組み込みのレポートを使用してポリシーを監視する

Intune管理センターで、ポリシーを作成した後、その状態を監視し、エラーを確認できます。

  1. Intune管理センターで、[デバイス>構成ポリシー]> に移動します
  2. 監視するポリシーを選択します。 [デバイスの状態] レポートには、ポリシーの状態が表示され、トラブルシューティングのエラーの詳細が表示されます。

詳細については、次を参照してください:

BIOS パスワードを取得する

Intuneは、各デバイスの BIOS パスワードを格納します。 BIOS パスワードは、Microsoft Graph を使用して取得できます。 Graph API をテストするには、Microsoft Graph エクスプローラーを使用できます。

重要

Intuneの外部ですべてのパスワードをバックアップしてください。

  • デバイスがIntune管理から削除された場合でも、管理者は Microsoft Graph hardwarePasswordInfo API を使用して BIOS パスワードを読み取ることができます。
  • テナントのIntune サブスクリプションが終了した場合、BIOS パスワードを読み取ったり取得したりすることはできません。 このような場合、唯一のオプションは OEM に問い合わせる方法です。

オプション 1 - BIOS パスワードを一度に 1 つのデバイスで読み取る

このオプションは、BIOS パスワード (一度に 1 つのデバイス) を取得します。

  1. [Bios パスワードの読み取り] アクセス許可を使用して、カスタム Intune RBAC ロールを作成します。

    1. Intune管理センターで、[テナント管理>ロール>] [新しいロールの作成] の順に選択します。
    2. ロールに名前を付け、[次へ] を選択します。
    3. [ アクセス許可] で、[ マネージド デバイス> ] [ Bios パスワードの読み取り ] を [はい] に設定します。
    4. [Next Next Create]\(次の次の>作成\>)を選択します

  2. このカスタム RBAC ロールを使用して Graph ツールにサインインし、 Microsoft Graph hardwarePasswordInfo API を使用します。

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

オプション 2 - すべてのデバイスの BIOS パスワードを読み取ります

このオプションは、すべてのデバイスのすべての BIOS パスワードの一覧を取得します。

  1. Microsoft Entra IDには、Intune サービス管理者ロールまたはグローバル管理者ロールが必要です。

  2. 次のいずれかのロールを使用して Graph ツールにサインインし、 Microsoft Graph hardwarePasswordInfo API を使用します。

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

RBAC ロールの詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください

BIOS 構成パスワードを削除する

デバイスの BIOS の管理を停止する場合、またはテナントからデバイスを完全に削除する場合は、BIOS パスワードを削除する必要があります。

BIOS パスワードを削除するには、Intune BIOS 構成ポリシーで、[デバイスごとの BIOS パスワード保護を無効にする] 設定を [はい] に設定します。 次に、ポリシーを割り当てます。 デバイスが Intune でチェックインすると、ポリシーが適用されます。 デバイスでは、デバイスを Intune と手動で同期してポリシーを適用することもできます。

ポリシーが適用されたら、デバイスを再起動します。

Intuneからデバイスの登録を解除しても、BIOS パスワードは削除されません。 パスワードを無効にする前にデバイスの登録を解除する場合は、デバイスでパスワードを手動で更新する必要があります。

BIOS 構成と DFCI

Intuneには、Windows デバイスの BIOS 設定を管理できる 2 つの機能があります。BIOS 構成とその他の設定デバイス ファームウェア構成インターフェイス (DFCI) です。

次の表では、これらのオプションを比較します。

機能 BIOS の構成とその他の設定 DFCI
サポートされている OEM Dell

将来さらに多くの可能性がある		 Surface、Acer、Asus、Dynabook、富士通、パナソニック

詳細については、「 Microsoft DFCI シナリオ」を参照してください。
サポートされる構成 OEM ツールで使用できる構成 セキュリティ機能、一部のハードウェア機能、ブート オプション、ポートなどを制御するための一連の設定
設定の適用方法 Intuneは、ポリシーが割り当てられたときに構成ファイルを配信します。 デバイスの OEM エージェントによって構成が適用されます。 OS から分離された DFCI レイヤーを使用する UEFI CSP を介して
BIOS メニューへのアクセスをブロックする はい(BIOS パスワード経由) はい(証明書経由)
Windows Autopilot 中の構成 [登録の状態] ページ (ESP) の設定で、OEM Win32 アプリを選択します。 Intuneは、デバイスを DFCI mgmt に自動的に登録します。
レポート 構成ファイルが適用されたかどうかを報告します。 構成する各設定の詳細なレポート。
Intune のポリシーの種類 デバイス>構成>テンプレート>BIOS の構成とその他の設定 デバイス>構成>テンプレート>デバイス ファームウェア構成インターフェイス

DFCI の詳細については、次のページを参照してください。