DFCI-profielen (Device Firmware Configuration Interface) gebruiken op Windows-apparaten in Microsoft Intune

  • Artikel

Wanneer u Intune gebruikt om Windows Autopilot-apparaten te beheren, kunt u UEFI-instellingen (BIOS) beheren nadat ze zijn ingeschreven met behulp van de Device Firmware Configuration Interface (DFCI). Ga naar Overzicht van DFCI voor een overzicht van voordelen, scenario's en vereisten.

Met DFCI kan Windows beheeropdrachten van Intune doorgeven aan UEFI (Unified Extensible Firmware Interface).

Gebruik in Intune deze functie om BIOS-instellingen te beheren. Firmware is doorgaans beter bestand tegen schadelijke aanvallen. Het beperkt de controle van eindgebruikers over het BIOS, wat goed is in een gecompromitteerde situatie.

Deze functie is van toepassing op:

  • Windows 11 op ondersteunde UEFI
  • Windows 10 RS5 (1809) en hoger op ondersteunde UEFI

U gebruikt bijvoorbeeld Windows-clientapparaten in een beveiligde omgeving en wilt de camera uitschakelen. U kunt de camera op de firmwarelaag uitschakelen, zodat het niet uitmaakt wat de eindgebruiker doet. Als u het besturingssysteem opnieuw installeert of de computer wis, wordt de camera niet weer ingeschakeld. In een ander voorbeeld vergrendelt u de opstartopties om te voorkomen dat gebruikers een ander besturingssysteem of een oudere versie van Windows opstarten die niet dezelfde beveiligingsfuncties heeft.

Wanneer u een oudere Windows-versie opnieuw installeert, een afzonderlijk besturingssysteem installeert of de harde schijf formatteerde, kunt u DFCI-beheer niet overschrijven. Deze functie kan voorkomen dat malware communiceert met besturingssysteemprocessen, inclusief verhoogde besturingssysteemprocessen. De vertrouwensketen van DFCI maakt gebruik van openbare-sleutelcryptografie en is niet afhankelijk van lokale UEFI-wachtwoordbeveiliging (BIOS). Deze beveiligingslaag voorkomt dat lokale gebruikers toegang hebben tot beheerde instellingen vanuit de UEFI-menu's (BIOS) van het apparaat.

Tip

Voor Dell-apparaten kunt u een BELEID voor BIOS-configuraties maken. Ga voor meer informatie naar BIOS-configuratieprofielen gebruiken op Windows-apparaten in Microsoft Intune.

Voordat u begint

  • De fabrikant van het apparaat moet DFCI hebben toegevoegd aan hun UEFI-firmware in het productieproces of als een firmware-update die u installeert. Neem contact op met de leveranciers van uw apparaten om te bepalen welke fabrikanten DFCI ondersteunen of welke firmwareversie nodig is om DFCI te gebruiken.

  • Het apparaat moet voor Windows Autopilot zijn geregistreerd door een CSP-partner (Microsoft Cloud Solution Provider) of rechtstreeks door de OEM worden geregistreerd.

    Apparaten die handmatig zijn geregistreerd voor Windows Autopilot, zoals geïmporteerd uit een CSV-bestand, mogen DFCI niet gebruiken. Standaard vereist DFCI-beheer een externe attestatie van de commerciële aankoop van het apparaat via een OEM- of Microsoft CSP-partnerregistratie bij Windows Autopilot.

    Zodra uw apparaat is geregistreerd, wordt het serienummer weergegeven in de lijst met Windows Autopilot-apparaten.

    Ga naar Overzicht van Windows Autopilot-registratie voor meer informatie over Windows Autopilot, inclusief eventuele vereisten.

Uw Microsoft Entra beveiligingsgroepen maken

Windows Autopilot-implementatieprofielen worden toegewezen aan Microsoft Entra beveiligingsgroepen. Zorg ervoor dat u groepen maakt die uw door DFCI ondersteunde apparaten bevatten. Voor DFCI-apparaten kunnen de meeste organisaties apparaatgroepen maken, in plaats van gebruikersgroepen. Houd rekening met de volgende scenario's:

  • Human Resources (HR) heeft verschillende Windows-apparaten. Om veiligheidsredenen wilt u niet dat iemand in deze groep de camera op de apparaten gebruikt. In dit scenario kunt u een groep gebruikers van HR-beveiliging maken, zodat het beleid van toepassing is op gebruikers in de HR-groep, ongeacht het apparaattype.

  • Op de productievloer hebt u 10 apparaten. Op alle apparaten wilt u voorkomen dat de apparaten vanaf een USB-apparaat worden opgestart. In dit scenario kunt u een groep beveiligingsapparaten maken en deze 10 apparaten toevoegen aan de groep.

Ga naar Groepen toevoegen om gebruikers en apparaten te organiseren voor meer informatie over het maken van groepen in Intune.

De profielen maken

Als u DFCI wilt gebruiken, maakt u de volgende profielen en wijst u deze toe aan uw groep.

Stap 1: een Windows Autopilot-implementatieprofiel maken

Met dit profiel worden nieuwe apparaten ingesteld en vooraf geconfigureerd. In het volgende artikel vindt u de stappen voor het maken van het profiel:

Stap 2: een paginaprofiel voor de inschrijvingsstatus maken

Dit profiel zorgt ervoor dat apparaten tijdens de installatie van Windows worden geverifieerd en ingeschakeld voor DFCI. Het wordt ten zeerste aanbevolen om dit profiel te gebruiken om het gebruik van apparaten te blokkeren totdat alle apps en profielen zijn geïnstalleerd.

In het volgende artikel vindt u de stappen voor het maken van het profiel:

Stap 3: het DFCI-profiel maken in Intune

Dit profiel bevat de DFCI-instellingen die u configureert.

Tip

Als u DFCI-profielen configureert en toewijst, kan het apparaat onherstelbaar worden vergrendeld. Let dus op de waarden die u configureert.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Configuratie>maken.

  3. Geef de volgende eigenschappen op:

    • Platform: kies Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>Configuratie-interface apparaatfirmware.

  4. Selecteer Maken.

  5. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef uw beleid een naam, zodat u ze later eenvoudig kunt identificeren. Een goede profielnaam is bijvoorbeeld Windows - DFCI-instellingen op Windows-apparaten.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

    Selecteer Volgende.

  6. Configureer in Configuratie-instellingen de instellingen die u wilt beheren in de UEFI-firmwarelaag. Ga naar voor een lijst met alle instellingen en wat ze doen:

    Selecteer Volgende.

  7. Wijs in Bereiktags (optioneel) een tag toe om het profiel te filteren op specifieke IT-groepen, zoals US-NC IT Team of JohnGlenn_ITDepartment. Ga voor meer informatie over bereiktags naar RBAC en bereiktags gebruiken voor gedistribueerde IT. Selecteer Volgende.

  8. Selecteer in Toewijzingen de gebruikers of gebruikersgroep die uw profiel zullen ontvangen. Ga naar Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen. Selecteer Volgende.

  9. Controleer in Beoordelen en maken uw instellingen en selecteer Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

De volgende keer dat elk apparaat wordt ingecheckt, wordt het beleid toegepast.

De profielen toewijzen en opnieuw opstarten

Zorg ervoor dat u de profielen toewijst aan uw Microsoft Entra beveiligingsgroepen die uw DFCI-apparaten bevatten. Het profiel kan worden toegewezen wanneer het wordt gemaakt, of erna.

Wanneer op het apparaat Windows Autopilot wordt uitgevoerd, kan DFCI tijdens de pagina Status van inschrijving opnieuw opstarten afdwingen. Met deze eerste herstart wordt UEFI ingeschreven bij Intune.

Als u wilt bevestigen dat het apparaat is ingeschreven, kunt u het apparaat opnieuw opstarten, maar dit is niet vereist. Gebruik de instructies van de fabrikant van het apparaat om het UEFI-menu te openen en controleer of UEFI nu wordt beheerd.

De volgende keer dat het apparaat wordt gesynchroniseerd met Intune, ontvangt Windows de DFCI-instellingen. Start het apparaat opnieuw op. Deze derde herstart is vereist voor UEFI om de DFCI-instellingen van Windows te ontvangen.

Bestaande DFCI-instellingen bijwerken

Als u bestaande DFCI-instellingen wilt wijzigen op apparaten die in gebruik zijn, kunt u dat doen. Wijzig de instellingen in uw bestaande DFCI-profiel en sla uw wijzigingen op. Omdat het profiel al is toegewezen, worden de nieuwe DFCI-instellingen van kracht wanneer:

  1. Het apparaat checkt in bij de Intune-service om profielupdates te controleren. Check-ins vinden plaats op verschillende tijdstippen. Ga voor meer informatie naar wanneer apparaten een beleids-, profiel- of app-updates ontvangen.
  2. Als u de nieuwe instellingen wilt afdwingen, start u het apparaat op afstand of lokaal opnieuw op.

U kunt ook apparaten signalen om in te checken. Na een geslaagde synchronisatie geeft u het signaal om opnieuw op te starten.

Opmerking

Als u het DFCI-profiel verwijdert of een apparaat verwijdert uit de groep die aan het profiel is toegewezen, worden de DFCI-instellingen niet verwijderd en worden de UEFI-menu's (BIOS) niet opnieuw ingeschakeld. Als u wilt stoppen met het gebruik van DFCI, werkt u de instellingen in uw bestaande DFCI-profiel bij. Ga naar het buiten gebruik stellen van het apparaat in dit artikel voor meer informatie over de stappen.

Conflicten

Wanneer u het DFCI-beleid maakt, configureert u de Windows DFCI-instellingen die u wilt beheren.

Sommige instellingen bevinden zich in een logische categorie, zoals Microfoons en Luidsprekers. Er zijn ook gedetailleerde instellingen, zoals Microfoons. Als deze instellingen een conflict veroorzaken, gebeurt het volgende:

  • Bij de eerste synchronisatiepoging wordt de gedetailleerde instelling toegepast (Microfoons) en is de categorie-instelling niet compatibel (Microfoons en luidsprekers).

  • Bij elke synchronisatie met de Intune-service na de eerste synchronisatie treedt het volgende gedrag op in een lus:

    • Intune past de categorie-instelling (microfoons en luidsprekers) toe omdat deze niet compatibel is. De gedetailleerde instelling (Microfoons) wordt niet-compatibel.
    • Intune past de gedetailleerde instelling (Microfoons) toe omdat deze niet compatibel is. De categorie-instelling (Microfoons en luidsprekers) wordt niet-compatibel.

Als u dit lusgedrag wilt voorkomen, configureert u de categorie-instelling of de gedetailleerde instellingen.

U wilt bijvoorbeeld alleen Wi-Fi radio's toestaan. In dit scenario gaat u als volgt te werk:

  • Laat de instelling categorie Radio's (Bluetooth, Wi-Fi, NFC, enzovoort) staan op Niet geconfigureerd.
  • Stel voor de Wi-Fi-radio-instelling deze in op Inschakelen.
  • Stel alle andere gedetailleerde radio-instellingen in op Uitgeschakeld.

Het apparaat opnieuw gebruiken, buiten gebruik stellen of herstellen

Hergebruik

Als u windows opnieuw wilt instellen om het apparaat opnieuw te gebruiken, wist u het apparaat. Verwijder de Windows Autopilot-apparaatrecord niet .

Nadat u het apparaat hebt verwijderd, verplaatst u het apparaat naar de groep waaraan de nieuwe DFCI- en Windows Autopilot-profielen zijn toegewezen. Start het apparaat opnieuw op om de Windows-installatie opnieuw uit te voeren.

Buiten gebruik stellen

Wanneer u klaar bent om het apparaat buiten gebruik te stellen en het los te laten van het beheer, werkt u het DFCI-profiel bij naar de UEFI-instellingen (BIOS) die u wilt gebruiken bij de afsluitstatus. Normaal gesproken wilt u dat alle instellingen zijn ingeschakeld. Bijvoorbeeld:

  1. Open uw DFCI-profiel (Configuratie van apparaten>) in hetIntune-beheercentrum.
  2. Wijzig de UEFI-instellingen (BIOS) toestaan door lokale gebruiker te wijzigen in Alleen niet geconfigureerde instellingen.
  3. Stel alle andere instellingen in op Niet geconfigureerd.
  4. Sla de instellingen op.

Met deze stappen ontgrendelen u de UEFI-menu's (BIOS) van het apparaat. De waarden blijven hetzelfde als het profiel (ingeschakeld of uitgeschakeld) en worden niet teruggezet op standaardwaarden van het besturingssysteem.

U bent nu klaar om het apparaat te wissen. Nadat het apparaat is gewist, verwijdert u de Windows Autopilot-record. Als u de record verwijdert, voorkomt u dat het apparaat automatisch opnieuw wordt ingeschreven wanneer het opnieuw wordt opgestart.

Tip

Als u Surface-apparaten wilt verwijderen uit de DFCI-inschrijving, gaat u naar DFCI-beheer verwijderen.

Herstellen

Als u een apparaat wist en de Windows Autopilot-record verwijdert voordat u de UEFI-menu's (BIOS) ontgrendelt, blijven de menu's vergrendeld. Intune kunt geen profielupdates verzenden om deze te ontgrendelen.

Als u het apparaat wilt ontgrendelen, opent u het menu UEFI (BIOS) en vernieuwt u het beheer vanuit het netwerk. Met herstel worden de menu's ontgrendeld, maar blijven alle UEFI-instellingen (BIOS) ingesteld op de waarden in de vorige Intune DFCI-profiel.

Gevolgen voor eindgebruikers

Wanneer het DFCI-beleid wordt toegepast, kunnen lokale gebruikers de instellingen die zijn geconfigureerd door DFCI niet wijzigen, zelfs niet als het menu UEFI (BIOS) is beveiligd met een wachtwoord. Afhankelijk van de instellingen die u configureert, kunnen eindgebruikers fouten ontvangen die hardwareonderdelen niet vinden of niet kunnen worden gediagnosticeerd. Zorg ervoor dat u documentatie verstrekt aan eindgebruikers waarin de opties worden uitgelegd die u hebt uitgeschakeld.