Gerenciar DFCI em dispositivos Surface

  • Artigo
  • 10 minutos para ler
  • Aplica-se a:
    Windows 10, Windows 11

Introdução

Com perfis DFCI (Interface de Configuração de Firmware de Dispositivo) integrados ao Microsoft Intune, o gerenciamento uefi do Surface estende a pilha de gerenciamento moderna para baixo até o nível de hardware UEFI (Unified Extensible Firmware Interface). A DFCI dá suporte ao provisionamento de toque zero, elimina senhas de BIOS, fornece controle das configurações de segurança, incluindo opções de inicialização e periféricos internos e estabelece as bases para cenários de segurança avançados no futuro. Esta página lista todas as configurações de política dfci em dispositivos Surface qualificados implantados pelo Autopilot.

Projetada para ser usada com o MDM (gerenciamento de dispositivo móvel) no nível do software, a DFCI permite que os administradores de TI desabilitem remotamente componentes de hardware específicos e impeçam que os usuários finais os acessem. Por exemplo, se você precisar proteger informações confidenciais em áreas altamente seguras, poderá desabilitar a câmera e, se não quiser que os usuários inicializem de unidades USB, você também poderá desabilitá-la.

Dica

O suporte para algumas configurações de política da DFCI varia de acordo com o dispositivo. Examine a referência de configurações de política dfci nesta página e siga Intune instruções para definir e implantar configurações em seus dispositivos.

Pré-requisitos

Observação

Os dispositivos manualmente ou auto-registrados para o Autopilot, como importados de um arquivo CSV, não têm permissão para usar DFCI. Por design, o gerenciamento de DFCI requer atestado externo da aquisição comercial do dispositivo por meio de um parceiro CSP da Microsoft ou registro do Surface.

Referência de configurações de política dfci para dispositivos Surface

Dispositivos qualificados

  • Surface Pro 8 (somente SKUs comerciais)
  • Surface Pro 7+ (somente SKUs comerciais)
  • Surface Pro 7 (todos os SKUs)
  • Surface Pro X (todos os SKUs)
  • Surface Laptop Studio (somente SKUs comerciais)
  • Surface Laptop 4 (somente SKUs comerciais)
  • Surface Laptop 3 (somente processadores Intel)
  • Surface Laptop Go
  • Surface Laptop Go 2
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (somente SKUs comerciais)

Observação

Surface Pro X não dá suporte ao gerenciamento de configurações de DFCI para câmera interna, áudio e Wi-Fi/Bluetooth. Algumas configurações mais recentes só têm suporte nos dispositivos mais recentes.

Tabela 1. Referência de configurações de política dfci: dispositivos Surface implantados pelo Autopilot

Configuração de DFCI Descrição Compatível em
Acesso UEFI
Permitir que o usuário local altere as configurações de UEFI (BIOS) Essa configuração permite que você gerencie se os usuários finais podem modificar as configurações de UEFI em dispositivos qualificados.

- Se você selecionar Apenas as configurações não definidas, os usuários locais (também conhecidos como usuários finais) poderão alterar qualquer configuração de UEFI, exceto as configurações que você habilitou ou desabilitou explicitamente por meio do Intune.**
- Se você selecionar Nenhum, os usuários locais não poderão alterar as configurações de UEFI, incluindo as configurações não mostradas no perfil dfci.		 Todos os dispositivos qualificados
Configurações de segurança
Multithreading simultâneo Essa configuração permite que você gerencie se o suporte simultâneo a multithreading (SMT) está habilitado em dispositivos qualificados. A SMT dá suporte à tecnologia intel hyperthreading, que fornece dois processadores lógicos para cada núcleo físico.

- Se você habilitar essa configuração, a SMT será ativada na camada UEFI.
- Se você desabilitar essa configuração, o SMT será desativado na camada UEFI.
– Se você não definir essa configuração, a SMT estará habilitada.		 Todos os dispositivos qualificados
Câmeras
Câmeras Essa configuração permite que você gerencie se a câmera interna pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todas as câmeras internas serão permitidas. Periféricos, como câmeras USB, não são afetados.
- Se você desabilitar essa configuração, todas as câmeras internas serão desabilitadas. Periféricos, como câmeras USB, não são afetados.
- Se você não definir essa configuração, todas as câmeras internas serão habilitadas.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Microfones e alto-falantes
Microfones e alto-falantes Essa configuração permite que você gerencie se o áudio integrado pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todos os microfones e alto-falantes internos serão permitidos. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os microfones e alto-falantes internos serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não definir essa configuração, os microfones e alto-falantes serão habilitados.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Microfones Essa configuração permite que você gerencie se o microfone interno pode funcionar em dispositivos qualificados. - Se você habilitar essa configuração, todos os microfones internos serão habilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os microfones internos serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não definir essa configuração, os microfones serão habilitados.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Rádios
Rádios (Bluetooth, Wi-Fi, NFC etc.) Essa configuração permite que você gerencie se o Bluetooth interno, o Wi-Fi ou a NFC (comunicação a curta distância) podem funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todos os rádios internos serão permitidos. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os rádios internos serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não definir essa configuração, todos os rádios internos serão habilitados.

PONTA: Defina a configuração de categoria Rádios (Bluetooth, Wi-Fi, NFC etc.) ou as configurações granulares Bluetooth, Wi-Fi. Se você definir todas as configurações, essas configurações poderão causar um conflito. Para obter mais informações, acesse a visão geral do perfil dfci: conflitos.

CUIDADO: A configuração Desabilitar só deve ser usada em dispositivos com uma conexão Ethernet com fio.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Bluetooth Essa configuração permite que você gerencie se o Bluetooth interno pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, o Bluetooth estará habilitado.
- Se você desabilitar essa configuração, o Bluetooth será desabilitado.
- Se você não definir essa configuração, o Bluetooth estará habilitado.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Wi-Fi Essa configuração permite que você gerencie se os Wi-Fi internos podem funcionar em dispositivos qualificados

- Se você habilitar essa configuração, Wi-Fi está habilitado.
- Se você desabilitar essa configuração, Wi-Fi será desabilitado.
- Se você não definir essa configuração, a Wi-Fi está habilitada.		 - Sem suporte no Surface Pro X.
- Com suporte em todos os outros dispositivos qualificados.
Opções de inicialização
Inicialização de mídia externa (USB, SD) Essa configuração permite que você gerencie se os dispositivos qualificados podem ser inicializados de mídia externa.

- Se você habilitar essa configuração, os usuários finais poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento não disco rígido.
- Se você desabilitar essa configuração, os usuários finais não poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento não disco rígido.
- Se você não definir essa configuração, os usuários finais poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento não disco rígido.		 Todos os dispositivos qualificados
Portas
Tipo USB A Essa configuração permite gerenciar como os dispositivos podem utilizar conexões USB-A.

- Se você habilitar essa configuração, as conexões de dados USB-A poderão funcionar em dispositivos qualificados.
- Se você desabilitar essa configuração, as conexões de dados USB-A não poderão funcionar em dispositivos qualificados.

- Se você não definir essa configuração, as conexões de dados USB-A poderão funcionar em todos os dispositivos.

CUIDADO: Se você desabilitar **** a inicialização da mídia externa e do tipo USB A e o dispositivo se tornar não configurável por qualquer motivo, você não poderá recuperar o dispositivo sem substituir o SSD. Você não poderá inicializar da mídia externa e executar uma inicialização PXE ou uma atualização DFCI da rede.		 Compatível apenas com o Surface Laptop Go 2 e posterior.
Configurações de ativação
Wake on LAN Essa configuração permite que você gerencie se os dispositivos qualificados podem ser iniciados remotamente do Modo de Espera Moderno ou hibernar.

- Se você habilitar essa configuração, os dispositivos qualificados poderão ser configurados para ativar remotamente o Wake on LAN.
- Se você desabilitar essa configuração, os dispositivos qualificados não poderão ser configurados para ativar remotamente a LAN.
- Se você não definir essa configuração, os dispositivos qualificados poderão ser configurados para ativar remotamente a LAN.		 Compatível apenas com o Surface Laptop Go 2 e posterior.
Ativar energia Essa configuração permite que você gerencie se os dispositivos qualificados podem ser iniciados automaticamente de estados de hibernação ou desligados quando conectados à energia.

- Se você habilitar essa configuração, os dispositivos Surface qualificados poderão ser configurados para iniciar automaticamente quando conectados à energia
- Se você desabilitar essa configuração, os dispositivos Surface qualificados não poderão ser configurados para serem iniciados automaticamente quando conectados à energia.
- Se você não definir essa configuração, os dispositivos Surface qualificados não poderão ser configurados para serem iniciados automaticamente quando reconectados à energia.		 Compatível apenas com o Surface Laptop Go 2 e posterior.

Observação

A DFCI no Intune inclui três configurações que atualmente não se aplicam a dispositivos Surface: (1) virtualização de CPU e E/S, (2) Desabilitar Inicialização de adaptadores de rede e (3) WPBT (Tabela Binária da Plataforma Windows).

Introdução

  1. Entre em seu locatário em endpoint.microsoft.com.

  2. No Microsoft Endpoint Manager Administração Center, selecione Dispositivos > de Configuração > criar perfil.

  3. Em Plataforma, selecione Windows 10 e posterior.

  4. Em Tipo de perfil, selecione Interface de Configuração do > Firmware do Dispositivo de Modelos e, em seguida, selecione Criar.

    Começar a criar perfil DFCI

  5. Consulte Usar perfis DFCI em dispositivos Windows Microsoft Intune para obter instruções completas, incluindo:

    • Criar seus grupos Azure AD segurança
    • Criar os perfis
    • Atribuir os perfis e reinicializar
    • Atualizar as configurações de DFCI existentes
    • Reutilizar, desativar ou recuperar o dispositivo

Impedir que os usuários alterem as configurações da UEFI

Para muitos clientes, a capacidade de impedir que os usuários alterem as configurações da UEFI é extremamente importante e um dos principais motivos para usar a DFCI. Conforme listado acima na Tabela 1, essa funcionalidade é gerenciada por meio da configuração Permitir que o usuário local altere as configurações de UEFI. Se você não editar ou definir essa configuração, o usuário local poderá alterar qualquer configuração uefi não gerenciada por Intune. Portanto, é altamente recomendável definir Permitir que o usuário local altere as configurações de UEFI para Nenhum.

Bloquear o acesso do usuário para alterar as configurações da UEFI

Verificar as configurações de UEFI em dispositivos gerenciados pela DFCI

Em um ambiente de teste, você pode verificar as configurações na interface UEFI do Surface.

  1. Abra a UEFI do Surface:

    • Pressione e segure o botão de aumentar o volume no Surface e, ao mesmo tempo, pressione e solte o botão de energia.
    • Quando você vir o logotipo do Surface, solte o botão aumentar o volume. O menu UEFI será exibido em alguns segundos.

  2. Selecione Dispositivos. O menu UEFI refletirá as configurações definidas, conforme mostrado na figura a seguir.

    UEFI do Surface.

    Observação:

    • As configurações estão esmaeadas (inativas) porque Permitir que o usuário local altere a configuração uefi está definida como Nenhum.
    • O áudio integrado está definido como desativado porque a política de microfones e alto-falantes está definida como Desabilitada.

Remover configurações de política dfci

Quando você cria um perfil DFCI, todas as configurações definidas permanecerão em vigor em todos os dispositivos dentro do escopo de gerenciamento do perfil. Você só pode remover as configurações de política dfci editando o perfil dfci diretamente. Se o perfil DFCI original tiver sido excluído, crie um novo perfil e edite as configurações apropriadas.

Removendo o gerenciamento de DFCI

Para remover o gerenciamento de DFCI e retornar o dispositivo para o novo estado de fábrica:

  1. Desative o dispositivo da Intune:
    1. No Endpoint Manager no endpoint.microsoft.com, escolha Dispositivos Todos > os Dispositivos.
    2. Selecione o dispositivo que você deseja desativar e escolha Desativar/Apagar. Para saber mais, confira Remover dispositivos usando apagar, desativar ou cancelar o registro manual do dispositivo.
  2. Exclua o registro do Autopilot Intune:
    1. Escolha Registro de dispositivo > registro do Windows > Dispositivos.
    2. Em dispositivos Windows Autopilot, escolha os dispositivos que você deseja excluir e, em seguida, escolha Excluir.
  3. Conecte o dispositivo à Internet com fio com um adaptador Ethernet da marca Surface. Reinicie o dispositivo e abra o menu UEFI (pressione e segure o botão de aumentar o volume enquanto também pressiona e libera o botão de energia).
  4. Selecione Gerenciamento > Configurar > Atualizar da Rede e escolha Recusar.

Para gerenciar o dispositivo com Intune, mas sem gerenciamento de DFCI, registre-o automaticamente no Autopilot e registre-o no Intune. A DFCI não será aplicada a dispositivos auto-registrados.

Saiba mais