Używanie profilów konfiguracji systemu BIOS na urządzeniach z systemem Windows w Microsoft Intune
W Intune można użyć konfiguracji systemu BIOS i innych ustawień zasad konfiguracji urządzenia, aby włączyć lub wyłączyć funkcje i ustawienia systemu BIOS.
Za pomocą narzędzia OEM tworzysz plik konfiguracji systemu BIOS, który konfiguruje funkcje systemu BIOS. Na urządzeniach zainstalujesz aplikację OEM Win32, która odczytuje konfigurację. Następnie w zasadach Intune BIOS należy dodać plik konfiguracji systemu BIOS i przypisać zasady do urządzeń.
Plik konfiguracji zazwyczaj zawiera ustawienia, które zabezpieczają urządzenie i zabezpieczają jego wbudowany sprzęt.
Na przykład chcesz uniemożliwić użytkownikom końcowym ponowne obrazowanie urządzenia i wyjście z zarządzania Intune. W tym zadaniu utworzysz plik konfiguracji systemu BIOS, który wyłącza rozruch z portu USB. Następnie należy dodać ten plik do zasad Intune i włączyć hasło systemu BIOS. Te kroki upewnij się, że konfiguracja nie została zastąpiona.
Ta funkcja ma zastosowanie do:
- Windows 10 lub nowszy
- Urządzenia firmy Dell
Ten artykuł zawiera więcej informacji na temat pliku konfiguracji i aplikacji Win32 oraz pokazuje, jak utworzyć konfigurację systemu BIOS i inne zasady ustawień w Intune.
Ostrzeżenie
Zmiany konfiguracji systemu BIOS mogą mieć wpływ na funkcjonalność i funkcjonalność urządzenia, w tym możliwość rozruchu lub uzyskiwania dostępu do dysków zaszyfrowanych za pomocą funkcji Bitlocker. Ta funkcja umożliwia administratorom Intune łatwe aktualizowanie konfiguracji systemu BIOS na swoich urządzeniach. Po wprowadzeniu zmian przetestuj i wdróż w fazach, aby zminimalizować wpływ nieoczekiwanych konfiguracji.
Wymagania wstępne
Aby skonfigurować te zasady, co najmniej zaloguj się do centrum administracyjnego Intune przy użyciu roli Menedżer zasad i profilów. Aby uzyskać więcej informacji na temat wbudowanych ról w Intune, przejdź do obszaru Kontrola dostępu oparta na rolach z Microsoft Intune.
Ta funkcja obsługuje urządzenia należące do organizacji, które są zarejestrowane w usłudze MDM w Intune. Urządzenia osobiste i urządzenia niezarejestrowane w Intune nie są obsługiwane.
Upewnij się, że urządzenia nie mają skonfigurowanego istniejącego hasła biosu. Ta funkcja wymaga, aby Intune mieć hasło systemu BIOS. Jeśli Intune nie ma hasła biosu urządzenia, nie może zaktualizować konfiguracji systemu BIOS.
Krok 1. Tworzenie pliku konfiguracji i wdrażanie aplikacji
W tej sekcji skupiono się na użyciu narzędzia OEM do utworzenia pliku konfiguracji i wdrożeniu aplikacji OEM Win32 na urządzeniach.
Utwórz plik konfiguracji przy użyciu narzędzia OEM. W pliku dodaj i skonfiguruj funkcje, które chcesz skonfigurować. Możesz dodać dowolne ustawienia konfiguracji obsługiwane przez producenta OEM.
- W przypadku firmy Dell możesz użyć narzędzia Dell Command (otwiera witrynę internetową firmy Dell) w celu utworzenia pliku konfiguracji systemu BIOS.
Podczas tworzenia pliku konfiguracji istnieje koordynowana aplikacja Win32 udostępniana przez producenta OEM. Wdróż aplikację OEM Win32 na urządzeniach. Ta aplikacja:
- Działa jako agent, który odczytuje utworzony plik konfiguracji i odczytuje hasła biosu urządzeń.
- Przed przypisaniem Intune zasad konfiguracji systemu BIOS należy zainstalować na wszystkich urządzeniach.
W przypadku firmy Dell możesz pobrać aplikację Dell Command (otwiera witrynę internetową firmy Dell).
Aby zainstalować tę aplikację na urządzeniach, możesz użyć Intune. Dodaj aplikację, aby Intune i uczynić ją wymaganą aplikacją. Następnie przypisz aplikację do grupy lub filtru przypisań utworzonego w kroku 2 — tworzenie grupy lub używanie filtru przypisania (w tym artykule).
Aby uzyskać więcej informacji na temat aplikacji Win32 w Intune, przejdź do obszaru Dodawanie, przypisywanie i monitorowanie aplikacji Win32 w Microsoft Intune.
Krok 2. Tworzenie grupy lub używanie filtru przypisania
Zaleca się skoncentrowanie tych zasad na określonym zestawie urządzeń. Dostępne opcje:
- Opcja 1 — utwórz grupę zawierającą urządzenia. Podczas tworzenia zasad aplikacji i zasad konfiguracji systemu BIOS należy przypisać zasady do tej grupy.
- Opcja 2 — użyj filtru przypisania na podstawie producenta urządzenia. Podczas tworzenia filtru należy kierować elementy do urządzeń OEM. Po przypisaniu zasad konfiguracji aplikacji i systemu BIOS dodaj ten filtr.
Aby uzyskać więcej informacji na temat tych funkcji, przejdź do:
- Dodawanie grup w celu organizowania użytkowników i urządzeń
- Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w Microsoft Intune
Krok 3. Tworzenie zasad konfiguracji systemu BIOS w Intune
Te zasady umożliwiają dodanie utworzonego pliku konfiguracji.
Zaloguj się do centrum administracyjnego Microsoft Intune.
WybierzpozycjęKonfiguracja>urządzeń> Utwórz >nowe zasady.
Wprowadź następujące właściwości:
- Platforma: wybierz pozycję Windows 10 i nowsze.
- Typ profilu: wybierz pozycjęKonfiguracja systemu BIOSszablonów> i inne ustawienia.
Wybierz pozycję Utwórz.
W obszarze Podstawy wprowadź następujące właściwości:
- Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to hasło konfiguracji systemu BIOS.
- Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.
Wybierz pozycję Dalej.
W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:
Sprzęt: wybierz dostawcę sprzętu OEM z listy obsługiwanych producentów OEM. Obecnie obsługiwana jest tylko firma Dell.
Wyłącz ochronę haseł systemu BIOS dla poszczególnych urządzeń: to ustawienie zarządza hasłem, które chroni konfigurację systemu BIOS na urządzeniu. Dostępne opcje:
- Nie: Intune generuje unikatowe hasło urządzenia dla każdego urządzenia. Aby uzyskać dostęp do konfiguracji systemu BIOS i zaktualizować ją na urządzeniu, użytkownicy muszą wprowadzić to hasło.
- Tak: nie ma hasła chroniącego system BIOS. Wszystkie poprzednie hasła zostaną usunięte. Użytkownicy końcowi mogą uzyskiwać dostęp do systemu BIOS i zmieniać ustawienia systemu BIOS na urządzeniu.
Plik konfiguracji: przekaż plik konfiguracji wygenerowany za pomocą narzędzia OEM.
W przypadku firmy Dell przekaż plik Dell Client Configuration Tool Kit (
.cctk). Limit rozmiaru pliku wynosi 2 MB.
Wybierz pozycję Dalej.
W obszarze Przypisania wybierz utworzoną nową grupę urządzeń. Ta grupa odbiera Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.
Wybierz pozycję Dalej.
W obszarze Przeglądanie i tworzenie przejrzyj ustawienia i wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.
Przy następnym zaewidencjonowanie każdego urządzenia zasady są stosowane.
Monitorowanie zasad za pomocą wbudowanych raportów
W centrum administracyjnym Intune po utworzeniu zasad możesz monitorować jego stan i wyświetlać błędy.
- W centrum administracyjnym Intune przejdź do pozycjiZasadykonfiguracji>urządzeń>.
- Wybierz zasady, które chcesz monitorować. Raport Stan urządzenia pokazuje stan zasad i zawiera wszystkie szczegóły błędu dotyczące rozwiązywania problemów.
Aby uzyskać więcej informacji, zobacz:
Pobieranie haseł systemu BIOS
Intune przechowuje hasła biosu dla każdego urządzenia. Hasła systemu BIOS można uzyskać przy użyciu programu Microsoft Graph. Aby przetestować interfejsy API programu Graph, możesz użyć Eksploratora programu Microsoft Graph.
Ważna
Upewnij się, że tworzysz kopię zapasową wszystkich haseł spoza Intune.
- Jeśli urządzenie zostanie usunięte z zarządzania Intune, administratorzy nadal będą mogli odczytywać hasła systemu BIOS przy użyciu interfejsu API Microsoft Graph hardwarePasswordInfo.
- Jeśli subskrypcja Intune dzierżawy zakończy się, nie ma możliwości odczytywania ani pobierania haseł systemu BIOS. W takiej sytuacji jedyną opcją jest skontaktowanie się z producentem OEM.
Opcja 1 — odczytywanie hasła systemu BIOS po jednym urządzeniu naraz
Ta opcja pobiera hasła biosu, po jednym urządzeniu naraz.
Utwórz niestandardową rolę RBAC Intune z uprawnieniem Odczytaj hasło biosu:
- W centrum administracyjnym Intune wybierz pozycjęRole>administracji>dzierżawy Utwórz nową rolę.
- Nadaj swojej roli nazwę i wybierz pozycję Dalej.
- W obszarze Uprawnienia rozwiń pozycję Urządzenia> zarządzane Ustaw hasło odczytu biosu na Wartość Tak.
- Wybierz pozycję NextNext Create (Dalej>>utwórz).
Zaloguj się do narzędzia Graph przy użyciu tej niestandardowej roli RBAC i użyj interfejsu API Microsoft Graph HardwarePasswordInfo:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Opcja 2 — odczytywanie hasła biosu dla wszystkich urządzeń
Ta opcja pobiera listę wszystkich haseł BIOS wszystkich urządzeń.
W Tożsamość Microsoft Entra potrzebujesz roli administratora usługi Intune lub administratora globalnego.
Zaloguj się do narzędzia Graph przy użyciu jednej z tych ról i użyj interfejsu API Microsoft Graph HardwarePasswordInfo:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Aby uzyskać więcej informacji na temat ról RBAC, przejdź do pozycji Kontrola dostępu oparta na rolach (RBAC) z Microsoft Intune.
Usuwanie hasła konfiguracji systemu BIOS
Jeśli planujesz przestać zarządzać systemem BIOS urządzeń lub trwale usunąć urządzenia z dzierżawy, musisz usunąć hasło biosu.
Aby usunąć hasło systemu BIOS, w zasadach konfiguracji systemu INTUNE BIOS ustaw ustawienie Wyłącz ochronę haseł biosu na urządzeniu na wartość Tak. Następnie przypisz zasady. Gdy urządzenie zaewidencjonuje Intune, zasady są stosowane. Na urządzeniu można również ręcznie zsynchronizować urządzenie z Intune, aby zastosować zasady.
Po wprowadzeniu zasad uruchom ponownie urządzenie.
Wyrejestrowanie urządzenia z Intune nie powoduje usunięcia hasła systemu BIOS. Jeśli wyrejestrujesz urządzenie przed wyłączeniem hasła, musisz ręcznie zaktualizować hasło na urządzeniu.
Konfiguracja systemu BIOS a interfejs DFCI
Intune ma dwie funkcje, które mogą zarządzać ustawieniami systemu BIOS na urządzeniach z systemem Windows: konfiguracja systemu BIOS i inne ustawienia oraz interfejs konfiguracji oprogramowania układowego urządzenia (DFCI).
Poniższa tabela porównuje te opcje.
| Funkcja | Konfiguracja systemu BIOS i inne ustawienia | DFCI |
|---|---|---|
| Obsługiwane maszyny OEM | Dell Być może więcej w przyszłości |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Aby uzyskać więcej informacji, przejdź do obszaru Scenariusze DFCI firmy Microsoft. |
| Obsługiwane konfiguracje | Wszelkie konfiguracje dostępne w narzędziu OEM | Zestaw ustawień do sterowania funkcjami zabezpieczeń, niektórymi funkcjami sprzętowymi, opcjami rozruchu, portami i nie tylko |
| Sposób stosowania ustawień | Intune dostarcza plik konfiguracji po przypisaniu zasad. Agent OEM na urządzeniu stosuje konfigurację. | Za pośrednictwem dostawcy CSP uefi przy użyciu warstwy DFCI, która jest odizolowana od systemu operacyjnego |
| Blokuje dostęp do menu biosu | Tak, za pośrednictwem haseł systemu BIOS | Tak, za pośrednictwem certyfikatów |
| Konfiguracja podczas rozwiązania Windows Autopilot | W ustawieniach strony ze stanem rejestracji (ESP) wybierz aplikację OEM Win32. | Intune automatycznie rejestruje urządzenie w programie DFCI mgmt. |
| Raportowanie | Raportuje, czy plik konfiguracji został zastosowany. | Szczegółowy raport dla każdego skonfigurowanego ustawienia. |
| typ zasad Intune | Urządzeń>Konfiguracji>Szablony>Konfiguracja systemu BIOS i inne ustawienia | Urządzeń>Konfiguracji>Szablony>Interfejs konfiguracji oprogramowania układowego urządzenia |
Aby uzyskać więcej informacji na temat interfejsu DFCI, przejdź do:
- Profile interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) na urządzeniach z systemem Windows w Microsoft Intune
- Scenariusze interfejsu DFCI firmy Microsoft
- Interfejs DFCI na urządzeniach Surface
Artykuły pokrewne
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla