Używanie profilów interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) na urządzeniach z systemem Windows w Microsoft Intune

  • Artykuł

Jeśli używasz Intune do zarządzania urządzeniami z rozwiązaniem Windows Autopilot, możesz zarządzać ustawieniami interfejsu UEFI (BIOS) po ich zarejestrowaniu przy użyciu interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI). Aby zapoznać się z omówieniem korzyści, scenariuszy i wymagań wstępnych, przejdź do tematu Omówienie interfejsu DFCI.

Interfejs DFCI umożliwia systemowi Windows przekazywanie poleceń zarządzania z usługi Intune do interfejsu UEFI (Unified Extensible Firmware Interface).

W usłudze Intune można za pomocą tej funkcji kontrolować ustawienia systemu BIOS. Zazwyczaj oprogramowanie układowe jest bardziej odporne na złośliwe ataki. Ogranicza ono kontrolę użytkowników końcowych nad systemem BIOS, co działa na korzyść w przypadku naruszenia zabezpieczeń.

Ta funkcja ma zastosowanie do:

  • Windows 11 na obsługiwanych interfejsach UEFI
  • systemu Windows 10 RS5 (1809) i nowszych opartych na obsługiwanym interfejsie UEFI

Na przykład używasz urządzeń klienckich z systemem Windows w bezpiecznym środowisku i chcesz wyłączyć aparat. Kamerę możesz wyłączyć w warstwie oprogramowania układowego, dlatego nie ma znaczenia, co zrobi użytkownik końcowy. Ponowna instalacja systemu operacyjnego ani wyczyszczenie komputera nie spowoduje ponownego włączenia kamery. Inny przykład: zablokowanie opcji rozruchu, aby uniemożliwić użytkownikom rozruch innego systemu operacyjnego lub starszej wersji systemu Windows, która nie ma tych samych funkcji zabezpieczeń.

W przypadku ponownej instalacji starszej wersji systemu Windows, instalacji oddzielnego systemu operacyjnego ani formatowania dysku twardego nie można przesłonić funkcji zarządzania interfejsu DFCI. Ta funkcja może uniemożliwić komunikację złośliwego kodu z procesami systemu operacyjnego, w tym z procesami z podniesionym poziomem uprawnień. Łańcuch zaufania interfejsu DFCI korzysta z kryptografii klucza publicznego i nie zależy od zabezpieczeń hasła lokalnego interfejsu UEFI (BIOS). Ta warstwa zabezpieczeń blokuje użytkownikom lokalnym dostęp do ustawień zarządzanych z menu interfejsu UEFI (BIOS) urządzenia.

Porada

W przypadku urządzeń firmy Dell można utworzyć zasady konfiguracji systemu BIOS . Aby uzyskać więcej informacji, zobacz Korzystanie z profilów konfiguracji systemu BIOS na urządzeniach z systemem Windows w Microsoft Intune.

Przed rozpoczęciem

  • Producent urządzenia musi dodać interfejs DFCI do swojego oprogramowania układowego interfejsu UEFI w ramach procesu produkcji lub jako aktualizację oprogramowania układowego instalowaną przez użytkownika. Skontaktuj się z dostawcami urządzeń, aby określić producentów, którzy obsługują interfejs DFCI, lub wersję oprogramowania układowego wymaganą do korzystania z interfejsu DFCI.

  • Urządzenie musi być zarejestrowane w rozwiązaniu Windows Autopilot przez partnera programu Microsoft Cloud Solution Provider lub bezpośrednio przez producenta OEM.

    Urządzenia ręcznie zarejestrowane dla rozwiązania Windows Autopilot, takie jak zaimportowane z pliku csv, nie mogą używać interfejsu DFCI. Zgodnie z projektem interfejsu DFCI, zarządzanie nim wymaga zewnętrznego zaświadczenia o komercyjnym pozyskaniu uzyskanym w ramach rejestracji producenta OEM lub partnera programu Microsoft CSP dla rozwiązania Windows Autopilot.

    Po zarejestrowaniu urządzenia jego numer seryjny jest wyświetlany na liście urządzeń rozwiązania Windows Autopilot.

    Aby uzyskać więcej informacji na temat rozwiązania Windows Autopilot, w tym wszelkie wymagania, przejdź do przeglądu rejestracji rozwiązania Windows Autopilot.

Tworzenie Microsoft Entra grup zabezpieczeń

Profile wdrażania rozwiązania Windows Autopilot są przypisywane do Microsoft Entra grup zabezpieczeń. Należy pamiętać o utworzeniu grup obejmujących urządzenia obsługiwane przez interfejs DFCI. W przypadku urządzeń z interfejsem DFCI większość organizacji może utworzyć grupy urządzeń zamiast grup użytkowników. Rozważ następujące scenariusze:

  • Zasoby ludzkie (HR) mają różne urządzenia z systemem Windows. Ze względów bezpieczeństwa nie chcesz, aby ktokolwiek z tej grupy mógł korzystać z kamery na urządzeniach. W tym scenariuszu możesz utworzyć grupę użytkowników zabezpieczeń dla działu HR, tak aby zasady były stosowane do użytkowników w tej grupie niezależnie od typu urządzenia.

  • Na hali produkcyjnej masz 10 urządzeń. Na wszystkich urządzeniach chcesz uniemożliwić ich rozruch za pomocą urządzenia USB. W tym scenariuszu możesz utworzyć grupę urządzeń zabezpieczeń i dodać te 10 urządzeń do grupy.

Aby uzyskać więcej informacji na temat tworzenia grup w Intune, przejdź do tematu Dodawanie grup w celu organizowania użytkowników i urządzeń.

Tworzenie profilów

Aby użyć interfejsu DFCI, utwórz następujące profile i przypisz je do grupy.

Krok 1. Tworzenie profilu wdrożenia rozwiązania Windows Autopilot

Ten profil konfiguruje i wstępnie konfiguruje nowe urządzenia. W poniższym artykule wymieniono kroki tworzenia profilu:

Krok 2. Tworzenie profilu strony stanu rejestracji

Ten profil zapewnia, że urządzenia są weryfikowane i aktywowane pod kątem interfejsu DFCI podczas instalacji systemu Windows. Zdecydowanie zaleca się użycie tego profilu do zablokowania użycia urządzenia dopóki wszystkie aplikacje i profile nie zostaną zainstalowane.

W poniższym artykule wymieniono kroki tworzenia profilu:

Krok 3. Tworzenie profilu DFCI w Intune

Ten profil zawiera konfigurowane ustawienia interfejsu DFCI.

Porada

Konfigurowanie i przypisywanie profilów DFCI może zablokować urządzenie nie do naprawienia. Dlatego należy zwrócić uwagę na skonfigurowane wartości.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycjęUtwórzkonfigurację>urządzeń>.

  3. Wprowadź następujące właściwości:

    • Platforma: wybierz system Windows 10 lub nowszy.
    • Typ profilu: wybierz pozycję Szablony>Interfejs konfiguracji oprogramowania układowego urządzenia.

  4. Wybierz pozycję Utwórz.

  5. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Windows — ustawienia interfejsu DFCI na urządzeniach z systemem Windows.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

    Wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji skonfiguruj ustawienia, które chcesz kontrolować w warstwie oprogramowania układowego UEFI. Aby uzyskać listę wszystkich ustawień i ich działania, przejdź do:

    Wybierz pozycję Dalej.

  7. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, przejdź do tematu Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonej infrastruktury IT. Wybierz pozycję Dalej.

  8. W obszarze Przypisania wybierz grupę użytkowników lub użytkowników, którzy otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń. Wybierz pozycję Dalej.

  9. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia i wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy kolejnym zaewidencjonowaniu każdego urządzenia zasady zostaną zastosowane.

Przypisywanie profilów i ponowne uruchamianie

Pamiętaj, aby przypisać profile do Microsoft Entra grup zabezpieczeń, które obejmują urządzenia DFCI. Profil można przypisać podczas jego tworzenia lub po jego utworzeniu.

Jeśli na urządzeniu jest uruchomione rozwiązanie Windows Autopilot, na stronie Stan rejestracji interfejs DFCI może wymusić ponowne uruchomienie systemu. Podczas tego pierwszego ponownego uruchomienia interfejs UEFI jest rejestrowany w usłudze Intune.

Jeśli chcesz potwierdzić, że urządzenie jest zarejestrowane, możesz je ponownie uruchomić, ale nie jest to wymagane. Użyj instrukcji dostarczonych przez producenta urządzenia, aby otworzyć menu interfejsu UEFI i potwierdzić, że jest on zarządzany.

Podczas następnego synchronizowania urządzenia z usługą Intune system Windows otrzyma ustawienia interfejsu DFCI. Uruchom ponownie urządzenie. Ten trzeci ponowny rozruch jest wymagany do odebrania ustawień interfejsu DFCI z systemu Windows.

Aktualizowanie istniejących ustawień interfejsu DFCI

Jeśli chcesz zmienić istniejące ustawienia interfejsu DFCI na używanych urządzeniach, jest to możliwe. W istniejącym profilu interfejsu DFCI zmień ustawienia i zapisz zmiany. Ponieważ profil jest już przypisany, nowe ustawienia interfejsu DFCI zaczną obowiązywać, gdy:

  1. Urządzenie zostanie zaewidencjonowane w usłudze Intune w celu przejrzenia aktualizacji profilów. Ewidencjonowanie jest wykonywane w różnych godzinach. Aby uzyskać więcej informacji, przejdź do tematu , gdy urządzenia uzyskują aktualizacje zasad, profilu lub aplikacji.
  2. Aby wymusić nowe ustawienia, uruchom ponownie urządzenie zdalnie lub lokalnie.

Możesz też przesłać do urządzeń sygnał ewidencjonowania. Po pomyślnym wykonaniu synchronizacji prześlij sygnał ponownego uruchomienia.

Uwaga

Usunięcie profilu interfejsu DFCI ani usunięcie urządzenia z grupy przypisanej do profilu nie powoduje usunięcia ustawień interfejsu DFCI ani ponownego włączenia menu interfejsu UEFI (BIOS). Jeśli chcesz przestać korzystać z interfejsu DFCI, zaktualizuj ustawienia w istniejącym profilu DFCI. Aby uzyskać więcej informacji na temat kroków, przejdź na emeryturę urządzenia w tym artykule.

Konflikty

Podczas tworzenia zasad DFCI należy skonfigurować ustawienia interfejsu DFCI systemu Windows , które mają być zarządzane.

Niektóre ustawienia należą do kategorii logicznej, takiej jak Mikrofony i głośniki. Dostępne są również szczegółowe ustawienia, takie jak mikrofony. Jeśli te ustawienia powodują konflikt, dzieje się następująca sytuacja:

  • Podczas pierwszej próby synchronizacji zastosowano szczegółowe ustawienie (mikrofony), a ustawienie kategorii jest niezgodne (mikrofony i głośniki).

  • W przypadku każdej synchronizacji z usługą Intune po pierwszej synchronizacji następujące zachowanie odbywa się w pętli:

    • Intune stosuje ustawienie kategorii (mikrofony i głośniki), ponieważ nie jest zgodne. Szczegółowe ustawienie (mikrofony) staje się niezgodne.
    • Intune stosuje ustawienie szczegółowe (mikrofony), ponieważ nie jest zgodne. Ustawienie kategorii (mikrofony i głośniki) staje się niezgodne.

Aby uniknąć tego zachowania pętli, skonfiguruj ustawienie kategorii lub ustawienia szczegółowe.

Na przykład chcesz zezwalać tylko na Wi-Fi radia. W tym scenariuszu:

  • Pozostaw ustawienie Radio (Bluetooth, Wi-Fi, NFC itp.) kategorii Radios (Bluetooth, Wi-Fi, NFC itp.) na wartość Nie skonfigurowano.
  • W przypadku ustawienia radiowego sieci Wi-Fi ustaw go na wartość Włącz.
  • Ustaw wszystkie inne szczegółowe ustawienia radiowe na wartość Wyłączone.

Ponowne użycie, wycofanie lub odzyskanie urządzenia

Ponowne użycie

Jeśli planujesz zresetować system Windows w celu zmiany przeznaczenia urządzenia, wyczyść urządzenie. Nie usuwaj rekordu urządzenia rozwiązania Windows Autopilot.

Po wyczyszczeniu urządzenia przenieś urządzenie do grupy przypisanej do nowych profilów DFCI i Windows Autopilot. Upewnij się, że uruchomiono ponownie urządzenie, aby uruchomić ponownie instalatora systemu Windows.

Wycofaj

Gdy wszystko będzie gotowe do wycofania urządzenia i zwolnienia go z zarządzania, zaktualizuj profil interfejsu DFCI za pomocą ustawień interfejsu UEFI (BIOS), które mają być aktywne po zakończeniu procesu. Zwykle wszystkie ustawienia są włączone. Przykład:

  1. W centrum administracyjnym Intune otwórz profil DFCI (Konfiguracja urządzeń>).
  2. Zmień ustawienie Zezwalaj użytkownikom lokalnym na zmienianie ustawień interfejsu UEFI (BIOS) na Tylko nieskonfigurowane ustawienia.
  3. Ustaw wszystkie inne ustawienia na wartość Nie skonfigurowano.
  4. Zapisz ustawienia.

Te kroki służą do odblokowania menu interfejsu UEFI (BIOS) urządzenia. Wartości pozostaną takie same jak w profilu (Włączone lub Wyłączone) i nie zostaną przywrócone do wartości domyślnych systemu operacyjnego.

Teraz można przystąpić do czyszczenia urządzenia. Po wyczyszczoniu urządzenia usuń rekord rozwiązania Windows Autopilot. Usunięcie rekordu uniemożliwia automatyczne ponowne zarejestrowanie urządzenia po jego ponownym uruchomieniu.

Porada

Aby usunąć urządzenia Surface z rejestracji DFCI, przejdź do usuwania zarządzania interfejsem DFCI.

Odzyskiwanie

Jeśli wyczyścisz urządzenie i usuniesz rekord rozwiązania Windows Autopilot przed odblokowaniem menu UEFI (BIOS), menu pozostaną zablokowane. Usługa Intune nie może wysłać aktualizacji profilu, aby je odblokować.

Aby odblokować urządzenie, otwórz menu UEFI (BIOS) i odśwież zarządzanie z sieci. Odzyskiwanie odblokowuje menu, ale pozostawia wszystkie ustawienia UEFI (BIOS) skonfigurowane za pomocą wartości z poprzedniego profilu DFCI usługi Intune.

Wpływ na użytkowników końcowych

Po zastosowaniu zasad interfejsu DFCI użytkownicy lokalni nie mogą zmieniać ustawień skonfigurowanych przy pomocy interfejsu DFCI, nawet jeśli menu interfejsu UEFI (BIOS) jest chronione hasłem. W zależności od skonfigurowanych ustawień, użytkownicy końcowi mogą otrzymywać błędy dotyczące niemożliwości znalezienia lub zdiagnozowania składników sprzętowych. Pamiętaj o dostarczeniu użytkownikom końcowym dokumentacji wyjaśniającej wyłączone opcje.