DFCI-beheer (Device Firmware Configuration Interface)
Van toepassing op:
- Windows 11
- Windows 10
Met Windows Autopilot Deployment en Intune kunt u UEFI-instellingen (Unified Extensible Firmware Interface) beheren nadat ze zijn ingeschreven met behulp van de Device Firmware Configuration Interface (DFCI). Met DFCI kan Windows beheeropdrachten van Intune doorgeven aan UEFI voor door Autopilot geïmplementeerde apparaten. Met deze mogelijkheid kunt u de controle van eindgebruikers over BIOS-instellingen beperken. U kunt bijvoorbeeld de opstartopties vergrendelen om te voorkomen dat gebruikers een ander besturingssysteem opstarten, zoals een besturingssysteem dat niet dezelfde beveiligingsfuncties heeft.
Als een gebruiker een eerdere Windows-versie opnieuw installeert, een afzonderlijk besturingssysteem installeert of de harde schijf formatteert, kan deze het DFCI-beheer niet overschrijven. Deze functie kan ook voorkomen dat malware communiceert met besturingssysteemprocessen, inclusief verhoogde besturingssysteemprocessen. De vertrouwensketen van DFCI maakt gebruik van cryptografie met openbare sleutels en is niet afhankelijk van lokale UEFI-wachtwoordbeveiliging. Deze beveiligingslaag voorkomt dat lokale gebruikers toegang hebben tot beheerde instellingen vanuit de UEFI-menu's van het apparaat.
Zie Inleiding tot device firmware configuration interface (DFCI) voor een overzicht van DFCI-voordelen, scenario's en vereisten.
Belangrijk
Apparaten die zijn ingeschakeld voor DFCI door de OEM en geregistreerd voor Autopilot via de OEM of een CSP in partnercentrum, worden automatisch ingeschreven in DFCI-beheer tijdens het inrichten van Autopilot. Inschrijving in DFCI-beheer activeert een extra herstart tijdens OOBE.
Levenscyclus van DFCI-beheer
De levenscyclus van DFCI-beheer omvat de volgende processen:
- UEFI-integratie
- Apparaatregistratie
- Profiel maken
- Inschrijving
- Beheer
- Verlopen
- Herstel
Zie de volgende afbeelding.
Vereisten
- Windows 10 versie 1809 of hoger en een ondersteunde UEFI is vereist.
- De fabrikant van het apparaat moet DFCI hebben toegevoegd aan hun UEFI-firmware in het productieproces of als een firmware-update die u installeert. Neem contact op met de leveranciers van uw apparaten om te bepalen welke fabrikanten DFCI ondersteunen of welke firmwareversie nodig is om DFCI te gebruiken.
- Het apparaat moet worden beheerd met Microsoft Intune. Zie Windows-apparaten inschrijven bij Intune met behulp van Windows Autopilot voor meer informatie.
- Het apparaat moet voor Windows Autopilot zijn geregistreerd door een CSP-partner (Microsoft Cloud Solution Provider) of rechtstreeks door de OEM worden geregistreerd. Voor Surface-apparaten is ondersteuning voor Microsoft-registratie beschikbaar op Microsoft Devices Autopilot Support.
Belangrijk
Apparaten die handmatig zijn geregistreerd voor Autopilot (bijvoorbeeld door te importeren uit een CSV-bestand) mogen DFCI niet gebruiken. Standaard vereist DFCI-beheer een externe attestatie van de commerciële aankoop van het apparaat via een OEM- of Microsoft CSP-partnerregistratie bij Windows Autopilot. Wanneer uw apparaat is geregistreerd, wordt het serienummer weergegeven in de lijst met Windows Autopilot-apparaten.
DFCI-profiel beheren met Windows Autopilot
Er zijn vier basisstappen voor het beheren van DFCI-profiel met Windows Autopilot:
- Een Autopilot-profiel maken
- Een profiel voor de pagina Status van de inschrijving maken
- Een DFCI-profiel maken
- De profielen toewijzen
Zie De profielen maken en De profielen toewijzen en opnieuw opstarten voor meer informatie.
U kunt ook bestaande DFCI-instellingen wijzigen op apparaten die in gebruik zijn. Wijzig in uw bestaande DFCI-profiel de instellingen en sla uw wijzigingen op. Omdat het profiel al is toegewezen, worden de nieuwe DFCI-instellingen van kracht wanneer het apparaat de volgende keer wordt gesynchroniseerd of het apparaat opnieuw wordt opgestart.
Als u wilt bepalen of een apparaat gereed is voor DFCI, kunt u de volgende Intune-Graph API-aanroep gebruiken:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Zie Api-overzicht van Intune-apparaten en -apps enWerken met Intune in Microsoft Graph voor meer informatie.
OEM's die ondersteuning bieden voor DFCI
- Acer
- Asus
- Dynabook
- Fujitsu
- Microsoft Surface
- Panasonic
Andere OEM's zijn in behandeling.
Zie ook
Microsoft DFCI-scenario's
Windows Autopilot- en Surface-apparaten
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor