BIOS-configuratieprofielen gebruiken op Windows-apparaten in Microsoft Intune

  • Artikel

In Intune kunt u een BIOS-configuratie en andere instellingen voor apparaatconfiguratiebeleid gebruiken om BIOS-functies en -instellingen in of uit te schakelen.

Met behulp van een OEM-hulpprogramma maakt u een BIOS-configuratiebestand waarmee de BIOS-functies worden geconfigureerd. Op de apparaten installeert u de OEM Win32-app die de configuratie leest. Vervolgens voegt u in het Intune BIOS-beleid het BIOS-configuratiebestand toe en wijst u het beleid toe aan uw apparaten.

Het configuratiebestand bevat doorgaans instellingen waarmee het apparaat en de ingebouwde hardware worden beveiligd.

U wilt bijvoorbeeld voorkomen dat eindgebruikers het apparaat opnieuw inrichten en uit Intune beheer komen. Voor deze taak maakt u een BIOS-configuratiebestand waarmee opstarten vanaf USB wordt uitgeschakeld. Vervolgens voegt u dit bestand toe aan het Intune-beleid en schakelt u een BIOS-wachtwoord in. Met deze stappen zorgt u ervoor dat de configuratie niet wordt overschreven.

Deze functie is van toepassing op:

  • Windows 10 en hoger
  • Dell-apparaten

Dit artikel bevat meer informatie over het configuratiebestand en de Win32-app en laat u zien hoe u het BIOS-configuratie- en andere instellingenbeleid maakt in Intune.

Waarschuwing

Wijzigingen in de BIOS-configuratie kunnen van invloed zijn op de functionaliteit en de werking van het apparaat, waaronder de mogelijkheid om op te starten of toegang te krijgen tot met Bitlocker versleutelde stations. Met deze functie kunnen Intune beheerders eenvoudig BIOS-configuraties op hun apparaten bijwerken. Wanneer u wijzigingen aanbrengt, test en implementeert u deze in fasen om de impact van onverwachte configuraties te minimaliseren.

Vereisten

  • Als u dit beleid wilt configureren, meldt u zich minimaal aan bij het Intune beheercentrum met de rol Beleids- en profielbeheerder. Ga naar Op rollen gebaseerd toegangsbeheer met Microsoft Intune voor meer informatie over de ingebouwde rollen in Intune.

  • Deze functie ondersteunt apparaten die eigendom zijn van de organisatie die zijn ingeschreven bij INTUNE. Persoonlijke apparaten en apparaten die niet zijn ingeschreven bij Intune worden niet ondersteund.

  • Zorg ervoor dat op de apparaten geen bestaand BIOS-wachtwoord is geconfigureerd. Voor deze functie moet Intune het BIOS-wachtwoord hebben. Als Intune niet beschikt over het BIOS-wachtwoord van het apparaat, kan de BIOS-configuratie niet worden bijgewerkt.

Stap 1: het configuratiebestand maken en de app implementeren

Deze sectie is gericht op het gebruik van het OEM-hulpprogramma om het configuratiebestand te maken en het implementeren van de OEM Win32-app op de apparaten.

  1. Maak het configuratiebestand met behulp van het OEM-hulpprogramma. Voeg in het bestand de functies toe en configureer deze die u wilt configureren. U kunt configuratie-instellingen toevoegen die door de OEM worden ondersteund.

    • Voor Dell kunt u het hulpprogramma Dell Command (hiermee opent u de website van Dell) gebruiken om het BIOS-configuratiebestand te maken.

  2. Wanneer u het configuratiebestand maakt, wordt er een coördinerende Win32-app geleverd door de OEM. Implementeer de OEM Win32-app op de apparaten. Deze app:

    • Fungeert als een agent die het configuratiebestand leest dat u maakt en de BIOS-wachtwoorden van de apparaten leest.
    • Moet op alle apparaten worden geïnstalleerd voordat u het Intune BIOS-configuratiebeleid toewijst.

    Voor Dell kunt u de app Dell Command (hiermee opent u de website van Dell) downloaden.

    Als u deze app op de apparaten wilt installeren, kunt u Intune gebruiken. U voegt de app toe aan Intune en maakt er een vereiste app van. Wijs vervolgens de app toe aan het groep- of toewijzingsfilter dat u maakt in Stap 2: een groep maken of een toewijzingsfilter gebruiken (in dit artikel).

    Ga voor meer informatie over Win32-apps in Intune naar Een Win32-app toevoegen, toewijzen en bewaken in Microsoft Intune.

Stap 2: een groep maken of een toewijzingsfilter gebruiken

Het wordt aanbevolen om dit beleid te richten op een specifieke set apparaten. Uw opties:

  • Optie 1 : maak een groep met de apparaten. Wanneer u het app-beleid en het BIOS-configuratiebeleid maakt, wijst u het beleid toe aan deze groep.
  • Optie 2 : gebruik een toewijzingsfilter op basis van de fabrikant van het apparaat. Wanneer u het filter maakt, richt u zich op de OEM-apparaten. Wanneer u het app- en BIOS-configuratiebeleid toewijst, voegt u dit filter toe.

Ga voor meer informatie over deze functies naar:

Stap 3: het BIOS-configuratiebeleid maken in Intune

In dit beleid voegt u het configuratiebestand toe dat u hebt gemaakt.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Configuratie>Nieuw beleid maken>.

  3. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>BIOS-configuratie en andere instellingen.

  4. Selecteer Maken.

  5. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef uw beleid een naam, zodat u ze later eenvoudig kunt identificeren. Een goede profielnaam is bijvoorbeeld bios-configuratiewachtwoord.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

    Selecteer Volgende.

  6. Configureer in Configuratie-instellingen de volgende instellingen:

    • Hardware: Selecteer de OEM-leverancier van uw hardware in een lijst met ondersteunde OEM's. Op dit moment wordt alleen Dell ondersteund.

    • BIOS-wachtwoordbeveiliging per apparaat uitschakelen: met deze instelling wordt het wachtwoord beheerd waarmee de BIOS-configuratie op het apparaat wordt beveiligd. Uw opties:

      • Nee: Intune genereert een uniek apparaatwachtwoord voor elk apparaat. Gebruikers moeten dit wachtwoord invoeren om de BIOS-configuratie op het apparaat te openen en bij te werken.
      • Ja: Er is geen wachtwoord dat het BIOS beveiligt. Eventuele eerdere wachtwoorden worden verwijderd. Eindgebruikers hebben toegang tot het BIOS en kunnen de BIOS-instellingen op het apparaat wijzigen.

    • Configuratiebestand: upload het configuratiebestand dat is gegenereerd met uw OEM-hulpprogramma.

      Voor Dell uploadt u het Dell Client Configuration Tool Kit-bestand (.cctk). De maximale bestandsgrootte is 2 MB.

    Selecteer Volgende.

  7. Selecteer in Toewijzingen de nieuwe apparaatgroep die u hebt gemaakt. Deze groep ontvangt uw profiel. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

  8. Controleer uw instellingen in Beoordelen en maken en selecteer Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

De volgende keer dat elk apparaat wordt ingecheckt, is het beleid van toepassing.

Uw beleid bewaken met ingebouwde rapporten

Nadat u in het Intune-beheercentrum een beleid hebt gemaakt, kunt u de status ervan bewaken en eventuele fouten bekijken.

  1. Ga in het Intune-beheercentrum naarConfiguratiebeleid>voorapparaten>.
  2. Selecteer het beleid dat u wilt bewaken. In het rapport Apparaatstatus wordt de status van het beleid weergegeven en eventuele foutdetails voor het oplossen van problemen.

Ga voor meer informatie naar:

De BIOS-wachtwoorden ophalen

Intune slaat de BIOS-wachtwoorden voor elk apparaat op. U kunt de BIOS-wachtwoorden ophalen met Behulp van Microsoft Graph. Als u de Graph API's wilt testen, kunt u Microsoft Graph Explorer gebruiken.

Belangrijk

Zorg ervoor dat u een back-up maakt van alle wachtwoorden buiten Intune.

  • Als een apparaat uit Intune-beheer wordt verwijderd, kunnen beheerders nog steeds BIOS-wachtwoorden lezen met behulp van de Microsoft Graph-hardwarePasswordInfo-API.
  • Als het Intune-abonnement voor uw tenant afloopt, is er geen manier om BIOS-wachtwoorden te lezen of op te halen. In dit geval kunt u alleen contact opnemen met uw OEM.

Optie 1: het BIOS-wachtwoord één apparaat tegelijk lezen

Met deze optie haalt u de BIOS-wachtwoorden op, één apparaat tegelijk.

  1. Maak een aangepaste Intune RBAC-rol met de machtiging Bios-wachtwoord lezen:

    1. Selecteer in het Intune-beheercentrumde optie TenantbeheerRollen>>Een nieuwe rol maken.
    2. Geef uw rol een naam en selecteer Volgende.
    3. Vouw in MachtigingenBeheerde apparaten> Wachtwoord voor bios lezen instellen op Ja uit.
    4. Selecteer Volgende>volgende>maken.

  2. Meld u aan bij uw Graph-hulpprogramma met deze aangepaste RBAC-rol en gebruik de Microsoft Graph hardwarePasswordInfo-API:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Optie 2: het BIOS-wachtwoord van alle apparaten lezen

Met deze optie wordt een lijst met alle BIOS-wachtwoorden van alle apparaten weergegeven.

  1. U hebt de rol Intune Servicebeheerder of Globale beheerder nodig in Microsoft Entra ID.

  2. Meld u aan bij uw Graph-hulpprogramma met een van deze rollen en gebruik de Microsoft Graph hardwarePasswordInfo-API:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Ga naar Op rollen gebaseerd toegangsbeheer (RBAC) met Microsoft Intune voor meer informatie over RBAC-rollen.

BIOS-configuratiewachtwoord verwijderen

Als u van plan bent om het BIOS van uw apparaten niet meer te beheren of apparaten permanent uit uw tenant te verwijderen, moet u het BIOS-wachtwoord verwijderen.

Als u het BIOS-wachtwoord wilt verwijderen, stelt u in uw Intune BIOS-configuratiebeleid de instelling Bios-wachtwoordbeveiliging per apparaat uitschakelen in op Ja. Wijs vervolgens het beleid toe. Wanneer het apparaat wordt ingecheckt met Intune, is het beleid van toepassing. Op het apparaat kunt u het apparaat ook handmatig synchroniseren met Intune om het beleid toe te passen.

Nadat het beleid van toepassing is, start u het apparaat opnieuw op.

Als u de registratie van het apparaat bij Intune ongedaan maakt, wordt het BIOS-wachtwoord niet verwijderd. Als u de registratie van het apparaat ongedaan wilt maken voordat u het wachtwoord uitschakelt, moet u het wachtwoord handmatig bijwerken op het apparaat.

BIOS-configuratie versus DFCI

Intune heeft twee functies waarmee de BIOS-instellingen op Windows-apparaten kunnen worden beheerd: BIOS-configuratie en andere instellingen en Device Firmware Configuration Interface (DFCI).

In de volgende tabel worden deze opties vergeleken.

Functie BIOS-configuratie en andere instellingen DFCI
Ondersteunde OEM's Dell

Mogelijk meer in de toekomst		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Ga naar Microsoft DFCI-scenario's voor meer informatie.
Ondersteunde configuraties Alle configuraties die beschikbaar zijn in uw OEM-hulpprogramma Een set instellingen voor het beheren van beveiligingsfuncties, sommige hardwarefuncties, opstartopties, poorten en meer
Hoe instellingen worden toegepast Intune levert het configuratiebestand wanneer het beleid wordt toegewezen. De OEM-agent op het apparaat past de configuratie toe. Via UEFI CSP met behulp van de DFCI-laag, die is geïsoleerd van het besturingssysteem
Toegang tot BIOS-menu blokkeren Ja, via BIOS-wachtwoorden Ja, via certificaten
Configuratie tijdens Windows Autopilot Selecteer in de instellingen van de inschrijvingsstatuspagina (ESP) de OEM Win32-app. Intune registreert het apparaat automatisch in DFCI mgmt.
Rapportage Rapporteert of het configuratiebestand is toegepast. Gedetailleerd rapport voor elke instelling die u configureert.
Intune beleidstype Apparaten>Configuratie>Sjablonen>BIOS-configuratie en andere instellingen Apparaten>Configuratie>Sjablonen>Configuratie-interface voor apparaatfirmware

Ga voor meer informatie over DFCI naar: