Использование профилей интерфейса конфигурации встроенного ПО устройства (DFCI) на устройствах с Windows в Microsoft Intune

  • Статья

При использовании Intune для управления устройствами Windows Autopilot вы можете управлять параметрами UEFI (BIOS) после их регистрации с помощью интерфейса конфигурации встроенного ПО устройства (DFCI). Общие сведения о преимуществах, сценариях и предварительных требованиях см. в статье Обзор DFCI.

DFCI позволяет Windows передавать команды управления из Intune в UEFI (Единый расширяемый интерфейс EFI).

В Intune эту функцию можно использовать для управления параметрами BIOS. Как правило, встроенное ПО является более устойчивым к атакам злоумышленников. Оно ограничивает возможности управления BIOS, что полезно в ситуации компрометации.

Данная функция применяется к:

  • Windows 11 на поддерживаемом UEFI
  • Windows 10 RS5 (1809) и более поздним версиям с поддерживаемым UEFI

Например, вы используете клиентские устройства c Windows в безопасной среде и хотите отключить камеру. Камеру можно отключить на уровне встроенного ПО, чтобы не беспокоиться, что может сделать конечный пользователь. Переустановка операционной системы или очистка компьютера не приводит к включению камеры. В другом примере можно блокировать параметры загрузки, чтобы предотвратить загрузку пользователями другой ОС или более старой версии Windows, которая не имеет аналогичных функций безопасности.

При переустановке старой версии Windows, установке отдельной операционной системы или форматировании жесткого диска настройки DFCI переопределить невозможно. Эта функция может препятствовать взаимодействию вредоносных программ с процессами ОС, в том числе обладающими повышенными правами. Цепочка доверия DFCI использует шифрование с открытым ключом и не зависит от безопасности локального пароля UEFI (BIOS). Этот уровень безопасности блокирует доступ локальных пользователей к управляемым параметрам в меню UEFI устройства (BIOS).

Совет

Для устройств Dell можно создать политику конфигураций BIOS . Дополнительные сведения см. в статье Использование профилей конфигурации BIOS на устройствах Windows в Microsoft Intune.

Прежде чем начать

  • Изготовитель устройства должен добавить DFCI к встроенному ПО UEFI в процессе производства или в составе устанавливаемого обновления. Обратитесь к поставщикам устройств, чтобы определить производителей, которые поддерживают DFCI, или версию встроенного ПО, требуемую для использования DFCI.

  • Устройство должно быть зарегистрировано в Windows Autopilot поставщиком облачных решений (Майкрософт) (CSP) или непосредственно изготовителем оборудования.

    Устройствам, вручную зарегистрированным для Windows Autopilot, например импортированным из CSV-файла, запрещено использовать DFCI. DFCI устроен так, что требует внешней аттестации коммерческого приобретения устройства через OEM или путем регистрации партнера Microsoft CSP в Windows Autopilot.

    После регистрации устройства его серийный номер отображается в списке устройств Windows Autopilot.

    Дополнительные сведения о Windows Autopilot, включая любые требования, см. в статье Общие сведения о регистрации Windows Autopilot.

Создание групп безопасности Microsoft Entra

Профили развертывания Windows Autopilot назначаются Microsoft Entra группам безопасности. Следует создать группы, включающие поддерживаемые DFCI устройства. Для устройств с DFCI большинство организаций могут создать группы устройств, а не группы пользователей. Рассмотрим следующие сценарии.

  • Управление персоналом (HR) имеет разные устройства Windows. По соображениям безопасности вы не хотите, чтобы произвольный пользователь в этой группе мог использовать камеру на устройствах. В этом сценарии можно создать группу "Пользователи безопасности отдела кадров", чтобы политика применялась к пользователям в группе "Отдел кадров" независимо от типа устройства.

  • В производственном цехе у вас есть 10 устройств. На всех устройствах необходимо запретить загрузку с USB-устройства. В этом сценарии можно создать группу устройств безопасности и добавить в нее эти 10 устройств.

Дополнительные сведения о создании групп в Intune см. в статье Добавление групп для организации пользователей и устройств.

Создание профилей

Чтобы использовать DFCI, создайте следующие профили и назначьте их группе.

Шаг 1. Создание профиля развертывания Windows Autopilot

Этот профиль настраивает и предварительно настраивает новые устройства. В следующей статье перечислены действия по созданию профиля.

Шаг 2. Создание профиля страницы состояния регистрации

Этот профиль гарантирует, что устройства будут проверены и DFCI будет включен во время установки Windows. Настоятельно рекомендуется применять этот профиль для блокировки использования устройства до тех пор, пока не будут установлены все приложения и профили.

В следующей статье перечислены действия по созданию профиля.

Шаг 3. Создание профиля DFCI в Intune

Этот профиль включает настраиваемые вами параметры DFCI.

Совет

Настройка и назначение профилей DFCI может заблокировать устройство без возможности восстановления. Поэтому будьте внимательны при настройке значений.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеКонфигурация>устройств>Создать.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздняя версия.
    • Тип профиля: выберите Шаблоны>Интерфейс конфигурации встроенного ПО устройства.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — Параметры Windows — DFCI на устройствах Windows.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В параметрах конфигурации настройте параметры, которыми вы хотите управлять на уровне встроенного ПО UEFI. Полный список параметров и сведения об их назначении см. в статье:

    Нажмите кнопку Далее.

  7. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах область см. в статье Использование тегов RBAC и область для распределенной ИТ-службы. Нажмите кнопку Далее.

  8. В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. Нажмите кнопку Далее.

  9. В разделе Проверка и создание проверьте параметры и выберите Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Политика будет применена при следующей синхронизации устройства.

Назначение профилей и перезагрузка

Обязательно назначьте профили Microsoft Entra группам безопасности, которые включают устройства DFCI. Этот профиль может быть назначен при создании или позднее.

Когда устройство запускает программу Windows Autopilot, DFCI может принудительно выполнить перезапуск на странице состояния регистрации. При этом первом перезапуске UEFI регистрируется в Intune.

Если вы хотите убедиться, что устройство зарегистрировано, перезапустите его еще раз. Но это не обязательно. Следуйте инструкциям изготовителя устройства, чтобы открыть меню UEFI и подтвердить, что UEFI теперь управляется.

В следующий раз, когда устройство синхронизируется с Intune, Windows получит параметры DFCI. Перезапустите устройство. При этом третьем перезапуске UEFI сможет получить параметры DFCI из Windows.

Обновление существующих параметров DFCI

Если вы хотите изменить существующие параметры DFCI на используемых устройствах, то можете это сделать. В существующем профиле DFCI измените параметры и сохраните изменения. Так как профиль уже назначен, новые параметры DFCI вступают в силу в следующих случаях.

  1. Устройство обращается к службе Intune для проверки обновлений профилей. Обращения происходят в разное время. Дополнительные сведения см. в статье, когда устройства получают обновления политики, профиля или приложения.
  2. Чтобы применить новые параметры, перезагрузите устройство удаленно или локально.

Вы также можете приказать устройству обратиться к службе. После успешной синхронизации отправьте сигнал для перезагрузки.

Примечание.

Удаление профиля DFCI или удаление устройства из группы, назначенной профилю, не приводит к удалению параметров DFCI или повторному включению меню UEFI (BIOS). Если вы хотите прекратить использование DFCI, обновите параметры в существующем профиле DFCI. Дополнительные сведения о шагах см. в этой статье, чтобы снять устройство с учета .

Conflicts

При создании политики DFCI вы настраиваете параметры DFCI Windows, которыми нужно управлять.

Некоторые параметры находятся в логической категории, например Микрофоны и динамики. Существуют также детализированные параметры, например Микрофоны. Если эти параметры конфликтуют, происходит следующее.

  • При первой попытке синхронизации применяется детальный параметр (микрофоны), а параметр категории не соответствует требованиям (микрофоны и динамики).

  • При каждой синхронизации со службой Intune после первой синхронизации выполняются следующие циклические действия.

    • Intune применяет параметр категории (микрофоны и динамики), так как он не соответствует требованиям. Детальный параметр (микрофоны) становится несоответствующим.
    • Intune применяет детализированный параметр (микрофоны), так как он не соответствует требованиям. Параметр категории (микрофоны и динамики) становится несоответствующим.

Чтобы избежать этого циклического поведения, настройте параметр категории или детализированные параметры.

Например, вы хотите разрешить только радиосигнал Wi-Fi. В этом сценарии вы:

  • Оставите для параметра Радио (Bluetooth, Wi-Fi, NFC и т. д.) значение Не настроено.
  • Для параметра радиосигнала Wi-Fi установите значение Включить.
  • Для всех остальных детализированных параметров радиосигналов установите значение Отключено.

Повторное использование, снятие с учета или восстановление устройства

Повторное использование

Если вы планируете сбросить настройки Windows для изменения назначения устройства, используйте очистку устройства. Не удаляйте запись устройства Windows Autopilot.

После очистки устройства переместите устройство в группу, назначенную новым профилям DFCI и Windows Autopilot. Не забудьте перезагрузить устройство, чтобы повторно запустить программу установки Windows.

Прекращение использования

Когда вы будете готовы прекратить использование устройства и освободить его от управления, обновите профиль DFCI, задав параметры UEFI (BIOS), которые нужны вам после выхода. Обычно требуется, чтобы все параметры были включены. Например:

  1. В Центре администрирования Intune откройте профиль DFCI (Конфигурацияустройств>).
  2. Измените параметр Разрешить локальному пользователю изменять параметры UEFI (BIOS), задав значение Только ненастроенные параметры.
  3. Задайте для всех остальных параметров значение Не настроено.
  4. Сохраните заданные параметры.

Эти действия разблокируют меню UEFI устройства (BIOS). Значения остаются теми же, что и для профиля (Включено или Отключено) и не возвращаются к значениям ОС по умолчанию.

Теперь все готово для очистки устройства. После очистки устройства удалите запись Windows Autopilot. Удаление записи предотвращает автоматическую повторную регистрацию устройства при перезагрузке.

Совет

Чтобы удалить устройства Surface из регистрации DFCI, перейдите к разделу Удаление управления DFCI.

Восстановление

При очистке устройства и удалении записи Windows Autopilot перед разблокировкой меню UEFI (BIOS) меню останутся заблокированными. Intune не может отправить обновления профиля, чтобы разблокировать его.

Чтобы разблокировать устройство, откройте меню UEFI (BIOS) и обновите функцию управления по сети. При восстановлении меню будет разблокировано, но при этом у всех параметров UEFI (BIOS) останутся значения, указанные для предыдущего профиля DFCI в Intune.

Воздействие на пользователей

При применении политики DFCI локальные пользователи не могут изменять параметры, настроенные DFCI, даже если меню UEFI (BIOS) защищено паролем. В зависимости от настроенных параметров конечные пользователи могут получать сообщения об ошибках, которые не были найдены или не удается диагностировать. Обязательно предоставьте конечным пользователям документацию, объясняющую, какие параметры отключены.