Use perfis de interface de configuração de firmware de dispositivo (DFCI) em dispositivos Windows no Microsoft Intune

Quando você usa Intune para gerenciar dispositivos Windows Autopilot, você pode gerenciar as configurações do UEFI (BIOS) depois que elas forem registradas usando a DFCI (Interface de Configuração de Firmware de Dispositivo). Para obter uma visão geral dos benefícios, cenários e pré-requisitos, acesse Visão geral do DFCI.

A DFCI permite que o Windows transmita comandos de gerenciamento do Intune para a UEFI (Unified Extensible Firmware Interface).

No Intune, use esse recurso para controlar as configurações do BIOS. Normalmente, o firmware é mais resiliente a ataques mal-intencionados. Ele limita o controle dos usuários finais do BIOS, o que é bom em uma situação comprometida.

Esse recurso aplica-se a:

• Windows 11 na UEFI com suporte
• Windows 10 RS5 (1809) e posterior na UEFI com suporte

Por exemplo, você usa dispositivos cliente Windows em um ambiente seguro e deseja desabilitar a câmera. Você pode desabilitar a câmera na camada de firmware, de modo que não importa o que o usuário final faça. Reinstalar o sistema operacional ou apagar o computador não ligará a câmera novamente. Em outro exemplo, bloqueie as opções de inicialização para impedir que os usuários inicializem outro sistema operacional ou uma versão mais antiga do Windows que não tem os mesmos recursos de segurança.

Se reinstalar uma versão mais antiga do Windows, instalar um sistema operacional separado ou formatar o disco rígido, você não poderá substituir o gerenciamento da DFCI. Esse recurso pode impedir que malwares se comuniquem com processos do sistema operacional, incluindo processos elevados do sistema operacional. A cadeia confiável da DFCI usa criptografia de chave pública e não depende da segurança de senha da UEFI (BIOS) local. Essa camada de segurança impede que usuários locais acessem configurações gerenciadas dos menus da UEFI (BIOS) do dispositivo.

Dica

Para dispositivos Dell, você pode criar uma política de configurações do BIOS . Para obter mais informações, acesse Usar perfis de configuração do BIOS em dispositivos Windows em Microsoft Intune.

Antes de começar

• O fabricante do dispositivo precisa ter a DFCI adicionada a seu firmware da UEFI no processo de fabricação ou como uma atualização de firmware instalada. Trabalhe com seus fornecedores de dispositivo para determinar os fabricantes que dão suporte à DFCI ou a versão de firmware necessária para usar a DFCI.

• O dispositivo precisa ser registrado para o Windows Autopilot por um parceiro CSP (Provedor de Soluções na Nuvem) do Microsoft Cloud ou registrado diretamente pelo OEM.

  Os dispositivos registrados manualmente para o Windows Autopilot, como importados de um arquivo csv, não têm permissão para usar o DFCI. Por design, o gerenciamento da DFCI requer um atestado externo da aquisição comercial do dispositivo por meio de um OEM ou um registro de parceiro CSP da Microsoft para o Windows Autopilot.

  Depois que o dispositivo for registrado, seu número de série será mostrado na lista de dispositivos do Windows Autopilot.

  Para obter mais informações sobre o Windows Autopilot, incluindo quaisquer requisitos, acesse a visão geral do registro do Windows Autopilot.

Criar seus grupos de segurança Microsoft Entra

Os perfis de implantação do Windows Autopilot são atribuídos a grupos de segurança Microsoft Entra. Crie grupos que incluam seus dispositivos compatíveis com a DFCI. Para dispositivos DFCI, a maioria das organizações pode criar grupos de dispositivos em vez de grupos de usuários. Considere as seguintes situações:

• Os Recursos Humanos (RH) têm dispositivos Windows diferentes. Por motivos de segurança, você não quer que ninguém nesse grupo use a câmera nos dispositivos. Nesse cenário, você pode criar um grupo de usuários de segurança do RH para que a política se aplique aos usuários nesse grupo, seja qual for o tipo de dispositivo.

• No chão de fábrica, você tem 10 dispositivos. Em todos os dispositivos, você deseja impedir a inicialização dos dispositivos usando um dispositivo USB. Nesse cenário, você pode criar um grupo de dispositivos de segurança e adicionar esses 10 dispositivos ao grupo.

Para obter mais informações sobre como criar grupos em Intune, acesse Adicionar grupos para organizar usuários e dispositivos.

Criar os perfis

Para usar a DFCI, crie os seguintes perfis e atribua-os ao seu grupo.

Etapa 1 – Criar um perfil de implantação do Windows Autopilot

Esse perfil configura e pré-configura novos dispositivos. O artigo a seguir lista as etapas para criar o perfil:

• Perfil de implantação do Windows Autopilot

Etapa 2 – Criar um perfil de Página de Estado de Registro

Esse perfil garante que os dispositivos sejam verificados e habilitados para a DFCI durante a Instalação do Windows. É altamente recomendável usá-lo para bloquear o uso do dispositivo até que todos os aplicativos e perfis sejam instalados.

O artigo a seguir lista as etapas para criar o perfil:

• Perfil da página do estado de inscrição

Etapa 3 – Criar o perfil DFCI no Intune

Esse perfil inclui as configurações da DFCI que você define.

Dica

Configurar e atribuir perfis DFCI pode bloquear o dispositivo de forma irreparável. Portanto, preste atenção aos valores que você configura.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Criarconfiguração>de dispositivos>.

3. Insira as seguintes propriedades:

   • Plataforma: escolha Windows 10 e posterior.
   • Tipo de perfil: selecione Modelos>Interface de Configuração do Firmware de Dispositivo.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é Configurações do Windows – DFCI em dispositivos Windows.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

   Selecione Avançar.

6. Em Definições de configuração, defina as configurações que deseja controlar na camada de firmware UEFI. Para uma lista de todas as configurações e o que elas fazem, acesse:

   • Configurações do Windows DFCI

   Selecione Avançar.

7. Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como US-NC IT Team ou JohnGlenn_ITDepartment. Para obter mais informações sobre marcas de escopo, acesse Usar RBAC e marcas de escopo para TI distribuída. Selecione Avançar.

8. Em Atribuições, selecione os usuários ou o grupo de usuários que receberão seu perfil. Para obter mais informações sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo. Selecione Avançar.

9. Em Analisar + criar, analise suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Na próxima vez em que cada dispositivo fizer check-in, a política será aplicada.

Atribuir os perfis e reinicializar

Atribua os perfis aos seus grupos de segurança Microsoft Entra que incluem seus dispositivos DFCI. O perfil pode ser atribuído quando é criado ou após.

Quando o dispositivo executa o Windows Autopilot, durante a Página de Status do Registro, a DFCI pode forçar uma reinicialização. Essa primeira reinicialização registra a UEFI no Intune.

Se quiser confirmar se o dispositivo está registrado, você pode reinicializar o dispositivo novamente, mas isso não é necessário. Use as instruções do fabricante do dispositivo para abrir o menu da UEFI e confirmar que agora a UEFI é gerenciada.

Na próxima vez que o dispositivo sincronizar com o Intune, o Windows receberá as configurações de DFCI. Reinicialize o dispositivo. Essa terceira reinicialização é necessária para que a UEFI receba as configurações de DFCI do Windows.

Atualizar configurações de DFCI existentes

Se quiser alterar configurações da DFCI existentes em dispositivos que estão em uso, você poderá fazer isso. No perfil da DFCI existente, altere as configurações e salve as alterações. Como o perfil já foi atribuído, as novas configurações da DFCI entrarão em vigor quando:

1. O dispositivo fizer o check-in no serviço do Intune para verificar se há atualizações de perfil. Os check-ins acontecem em vários momentos. Para obter mais informações, acesse quando os dispositivos recebem uma política, perfil ou atualizações de aplicativo.
2. Para impor as novas configurações, reinicialize o dispositivo remotamente ou localmente.

Você também pode sinalizar os dispositivos para que façam check-in. Após uma sincronização bem-sucedida, sinalize-os para reinicialização.

Observação

Excluir o perfil da DFCI ou remover um dispositivo do grupo atribuído ao perfil não remove as configurações da DFCI nem reabilita os menus da UEFI (BIOS). Se você quiser parar de usar o DFCI, atualize as configurações em seu perfil DFCI existente. Para obter mais informações sobre as etapas, vá para retirar o dispositivo neste artigo.

Conflitos

Ao criar a política DFCI, você define as configurações do Windows DFCI que deseja gerenciar.

Algumas configurações estão em uma categoria lógica, como Microfones e alto-falantes. Também há configurações granulares, como Microfones. Se essas configurações entrarem em conflito, acontece o seguinte:

• Na primeira tentativa de sincronização, a configuração granular é aplicada (Microfones) e a configuração de categoria não é compatível (Microfones e Alto-falantes).

• Com cada sincronização com o serviço do Intune após a primeira sincronização, o seguinte comportamento ocorre em um loop:

  • O Intune aplica a configuração de categoria (Microfones e Alto-falantes), pois não é compatível. A configuração granular (Microfones) torna-se incompatíveis.
  • O Intune aplica a configuração granular (Microfones), pois não é compatível. A configuração de categoria (Microfones e Alto-falantes) torna-se incompatíveis.

Para evitar esse comportamento de loop, defina a configuração de categoria ou as configurações granulares.

Por exemplo, você deseja permitir apenas rádios Wi-Fi. Nesse cenário, você:

• Deixe a categoria Rádios (Bluetooth, Wi-Fi, NFC, etc.) configurando para Não configurado.
• Para a configuração de rádio Wi-Fi, defina-a como Habilitar.
• Defina todas as outras configurações de rádio granulares como Desabilitado.

Reutilizar, desativar ou recuperar o dispositivo

Reutilizar

Se planejar redefinir o Windows para realocar o dispositivo, apague o dispositivo. Não remova o registro do dispositivo Windows Autopilot.

Depois de limpar o dispositivo, mova o dispositivo para o grupo atribuído aos novos perfis DFCI e Windows Autopilot. Reinicialize o dispositivo para executar novamente a Instalação do Windows.

Desativar

Quando estiver pronto para desativar o dispositivo e liberá-lo do gerenciamento, atualize no perfil da DFCI as configurações da UEFI (BIOS) que você deseja no estado de saída. Normalmente, você deseja que todas as configurações estejam habilitadas. Por exemplo:

1. No centro de administração Intune, abra o perfil DFCI (Configuraçãode Dispositivos>).
2. Altere o Permitir que o usuário local altere as configurações de UEFI (BIOS) para Somente configurações não definidas.
3. Defina todas as outras configurações como Não configuradas.
4. Salvar suas configurações.

Estas etapas desbloqueiam os menus da UEFI (BIOS) do dispositivo. Os valores permanecem os mesmos que os do perfil (Habilitado ou Desabilitado) e não são redefinidos com os valores padrão do sistema operacional.

Agora, você está pronto para apagar o dispositivo. Depois que o dispositivo for apagado, exclua o registro do Windows Autopilot. A exclusão do registro impede que o dispositivo volte a ser registrado automaticamente quando for reinicializado.

Dica

Para remover dispositivos Surface do registro do DFCI, vá para remover o gerenciamento do DFCI.

Recuperar

Se você apagar um dispositivo e excluir o registro do Windows Autopilot antes de desbloquear os menus UEFI (BIOS), os menus permanecerão bloqueados. O Intune não pode enviar atualizações de perfil para desbloqueá-lo.

Para desbloquear o dispositivo, abra o menu UEFI (BIOS) e atualize o gerenciamento de rede. A recuperação desbloqueia os menus, mas deixa todas as configurações de UEFI (BIOS) definidas para os valores do perfil anterior da DFCI do Intune.

Impacto para o usuário final

Quando a política da DFCI é aplicada, os usuários locais não podem alterar as configurações definidas pela DFCI, mesmo que o menu da UEFI (BIOS) seja protegido por senha. Dependendo das configurações definidas, os usuários finais podem receber erros indicando que componentes de hardware não foram encontrados ou não podem ser diagnosticados. Forneça uma documentação aos usuários finais explicando as opções que você desabilitou.

Artigos relacionados

• Atribuir o perfil
• Monitorar o status do perfil