Configuração de perdil da Interface de Configuração de Firmware do Dispositivo (DFCI) no Microsoft Intune

Este artigo lista e descreve as configurações de perfil DFCI que você pode controlar em dispositivos cliente Windows. Como parte da solução MDM (gerenciamento de dispositivo móvel), use essas configurações para controlar recursos de segurança, o hardware interno e as opções de inicialização na camada UEFI no Windows.

Essas configurações se aplicam a:

• Windows 11 na UEFI com suporte
• Windows 10 RS5 (1809) e posterior na UEFI com suporte

Essas configurações são adicionadas a um perfil de configuração de dispositivo no Intune e atribuídas ou implantadas em seus dispositivos cliente Windows.

Antes de começar

• Crie o perfil DFCI Windows 10/11. Há mais requisitos para criar perfis DFCI. Para obter informações mais específicas, acesse Usar perfis DFCI em dispositivos Windows em Microsoft Intune.
• Algumas configurações não estão disponíveis para todos os dispositivos. Para confirmar se uma configuração está ou não disponível em seu dispositivo, entre em contato com o fabricante do dispositivo.
• Essas configurações usam o CSP da UEFI.

Aviso

Tenha cuidado. Configurar e atribuir perfis DFCI pode bloquear o dispositivo de forma irreparável. As configurações de perfil do DFCI alteram o hardware do dispositivo e não podem ser corrigidas re-imagens do sistema operacional.

Acesso UEFI

• Permitir que o usuário local altere as configurações da UEFI: suas opções:
  • Somente as configurações não configuradas: o usuário local pode alterar qualquer configuração, exceto aquelas configurações definidas explicitamente como Habilitar ou Desabilitar por Intune.
  • Nenhum: o usuário local não pode alterar nenhuma configuração de UEFI (BIOS), incluindo configurações não mostradas no perfil DFCI.

Recursos de segurança

• Virtualização de CPU e E/S: suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração.
  • Habilitada: o BIOS habilita os recursos de virtualização de CPU e E/S da plataforma para uso pelo sistema operacional. Ele ativa as tecnologias de Segurança com Base em Virtualização e Device Guard do Windows.

• Tabela Binária da Plataforma do Windows (WPBT): o WPBT permite que fornecedores e OEMs executem um .exe programa na camada UEFI. Toda vez que o Windows inicializa, ele olha para o UEFI e executa o .exe. Use esse recurso para executar programas que não estão incluídos na mídia do Windows.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir que fornecedores e OEMs executem programas usando o WPBT.
  • Habilitado: habilita o WPBT e permite que .exe programas na camada UEFI sejam executados.
  • Desabilitado: desabilita .exe o WPBT e impede que programas na camada UEFI sejam executados.

• SMT (multithreading simultâneo): também conhecido como hiper-threading. Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração.
  • Habilitado: habilita o SMT na camada UEFI.
  • Desabilitado: desabilita o SMT na camada UEFI.

Câmeras

• Câmeras: essa configuração gerencia todas as câmeras de hardware internas no dispositivo. Ele não gerencia periféricos anexados, como webcams USB.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as câmeras internas.
  • Habilitada: todas as câmeras internas gerenciadas diretamente pela UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Desabilitado: todas as câmeras internas gerenciadas diretamente pelo UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.

• Câmeras frontais: essa configuração gerencia as câmeras de luz visível internas gerenciadas pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as câmeras de luz visível internas.
  • Habilitado: todas as câmeras de luz visível internas diretamente gerenciadas pelo UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Desabilitado: todas as câmeras de luz visível internas diretamente gerenciadas pela UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.

• Câmeras traseiras: essa configuração gerencia as câmeras de luz visível traseira internas gerenciadas pelo UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as câmeras traseiras internas.
  • Habilitado: todas as câmeras de luz visível traseira internas gerenciadas diretamente pelo UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Desabilitado: todas as câmeras de luz visível traseira internas gerenciadas diretamente pelo UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.

• Câmeras de IR (infravermelho): essa configuração gerencia as câmeras infravermelhas internas gerenciadas pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as câmeras infravermelhas internas.
  • Habilitados: todas as câmeras infravermelhas internas gerenciadas diretamente pelo UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Desabilitado: todas as câmeras infravermelhas internas gerenciadas diretamente pelo UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.

Microfones e alto-falantes

É recomendável configurar as configurações de categoria Microfones e alto-falantesou as configurações granulares microfones . Se você configurar todas as configurações, essas configurações poderão causar um conflito. Para obter mais informações, acesse a visão geral do perfil dfci: conflitos.

• Microfones e alto-falantes: essa configuração gerencia todos os microfones e alto-falantes integrados ao dispositivo. Ele não gerencia periféricos anexados, como dispositivos USB.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os microfones internos e os alto-falantes.
  • Habilitada: todos os microfones internos e alto-falantes gerenciados diretamente pela UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os microfones internos e alto-falantes gerenciados diretamente pela UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

• Microfones: essa configuração gerencia os microfones internos gerenciados pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os microfones internos.
  • Habilitado: todos os microfones internos gerenciados diretamente pelo UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os microfones internos gerenciados diretamente pelo UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

Rádios

Recomendamos configurar as configurações de categoria Radios (Bluetooth, Wi-Fi, NFC etc.)ouBluetooth, Wi-Fi etc. Se você configurar todas as configurações, essas configurações poderão causar um conflito. Para obter mais informações, acesse a visão geral do perfil dfci: conflitos.

• Rádios (Bluetooth, Wi-Fi, NFC etc.): essa configuração gerencia todos os rádios internos gerenciados pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar todos os rádios internos.

  • Habilitada: todos os rádios internos gerenciados diretamente pela UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

  • Desabilitado: todos os rádios internos gerenciados diretamente pela UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

    Quando definido como Desabilitado, o dispositivo requer uma conexão de rede com fio. Caso contrário, o dispositivo pode ser incontrolável.

• Bluetooth: essa configuração gerencia os rádios Bluetooth internos gerenciados pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os rádios Bluetooth internos.
  • Habilitado: todos os rádios Bluetooth internos gerenciados diretamente pelo UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os rádios Bluetooth internos gerenciados diretamente pelo UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

• WWAN: essa configuração gerencia os rádios WWAN internos gerenciados pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os rádios WWAN internos.
  • Habilitado: todos os rádios WWAN internos gerenciados diretamente pela UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os rádios WWAN internos gerenciados diretamente pelo UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

• NFC: essa configuração gerencia os rádios NFC internos gerenciados pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os rádios NFC internos.
  • Habilitado: todos os rádios NFC internos gerenciados diretamente pelo UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os rádios NFC internos gerenciados diretamente pelo UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

• Wi-Fi: essa configuração gerencia os rádios Wi-Fi internos gerenciados pelo UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar os rádios Wi-Fi internos.
  • Habilitado: todos os rádios Wi-Fi internos gerenciados diretamente pelo UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todos os rádios Wi-Fi internos gerenciados diretamente pelo UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

Opções de inicialização

Aviso

Desabilitar todas as opções de inicialização externa ou todas as portas externas complica significativamente a recuperação do sistema operacional. Para recuperar um dispositivo que não pode mais inicializar o Windows, talvez seja necessário abrir fisicamente o dispositivo e substituir o armazenamento de hardware.

• Inicialização de mídia externa (USB, SD): suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a inicialização de mídia externa.

  • Habilitada: a UEFI (BIOS) permite a inicialização do armazenamento que não é do disco rígido.

  • Desabilitado: o UEFI (BIOS) impede a inicialização do armazenamento não rígido, o que também desabilita a inicialização de adaptadores de rede.

    Quando definido como Desabilitado, não defina a configuração Inicializar por adaptadores de rede como Habilitada. Isso faz com que a configuração Inicialização a partir de mídia externa (USB, SD) ou Inicialização a partir de adaptadores de rede não seja compatível.

• Inicialização de adaptadores de rede: suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode permitir a inicialização de adaptadores de rede internos.
  • Habilitada: UEFI (BIOS) permite a inicialização de interfaces de rede internas.
  • Desabilitado: o UEFI (BIOS) impede a inicialização de interfaces de rede internas.

Portas

Aviso

Desabilitar todas as opções de inicialização externa ou todas as portas externas complica significativamente a recuperação do sistema operacional. Para recuperar um dispositivo que não pode mais inicializar o Windows, talvez seja necessário abrir fisicamente o dispositivo e substituir o armazenamento de hardware.

• Tipo USB A: essa configuração gerencia as portas USB internas tipo A gerenciadas pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as portas USB internas tipo A.
  • Habilitado: todas as portas USB internas tipo A gerenciadas diretamente pelo UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todas as portas USB internas tipo A gerenciadas diretamente pelo UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como dispositivos USB, não são afetados.

• SD cartão: essa configuração gerencia as portas de cartão do SD internas gerenciadas pela UEFI (BIOS). Ele não gerencia periféricos anexados.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode habilitar as portas internas do SD cartão.
  • Habilitado: todas as portas de cartão de SD internas gerenciadas diretamente pelo UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Desabilitado: todas as portas de cartão de SD internas gerenciadas diretamente pelo UEFI (BIOS) estão desabilitadas. Dispositivos periféricos, como dispositivos USB, não são afetados.

Configurações de wake

• Wake on LAN: o wake on LAN permite que um administrador de rede acorde remotamente um dispositivo no modo de sono usando a LAN.

  Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir o despertar de um dispositivo usando a LAN.
  • Habilitado: o UEFI (BIOS) permite acordar um dispositivo usando a LAN.
  • Desabilitado: a UEFI (BIOS) impede acordar um dispositivo usando a LAN.

• Ativar a energia: quando o dispositivo está conectado a uma fonte de energia, essa configuração é gerenciada se os dispositivos qualificados puderem ser iniciados automaticamente a partir de estados de hibernação ou desligados. Suas opções:

  • Não configurado: o Intune não altera nem atualiza essa configuração. Por padrão, o sistema operacional pode impedir o despertar de um dispositivo quando ele está conectado a uma fonte de energia.
  • Habilitado: o UEFI (BIOS) permite acordar um dispositivo quando ele está conectado a uma fonte de energia.
  • Desabilitado: o UEFI (BIOS) impede acordar um dispositivo quando ele está conectado a uma fonte de energia.

Artigos relacionados

• Para obter outros detalhes técnicos sobre cada configuração e quais edições do Windows têm suporte, acesse Windows 10/11 Referência de CSP de Política.

• Use perfis DFCI em dispositivos Windows em Microsoft Intune.

• Atribuir o perfil e monitorar o status dele.