在 windows 裝置上使用裝置韌體設定介面 (DFCI) 配置檔 Microsoft Intune

  • 文章

當您使用 Intune 來管理 Windows Autopilot 裝置時,您可以在使用裝置韌體設定介面 (DFCI) 註冊 UEFI (BIOS) 設定之後加以管理。 如需權益、案例和必要條件的概觀,請移至 DFCI 概觀

DFCI 可讓 Windows 將管理命令從 Intune 傳遞至 UEFI (整合可擴展固件介面) 。

在 Intune 中,使用此功能來控制 BIOS 設定。 一般而言,韌體對惡意攻擊更具復原能力。 它會限制使用者對 BIOS 的控制,這在遭到入侵的情況下是不錯的。

本功能適用於:

  • 在支援的 UEFI 上 Windows 11
  • 在支援的 UEFI 上 Windows 10 RS5 (1809) 及更新版本

例如,您在安全的環境中使用 Windows 用戶端裝置,並想要停用相機。 您可以停用韌體層的相機,因此使用者執行的動作並不重要。 重新安裝 OS 或抹除電腦將不會重新開啟相機。 在另一個範例中,鎖定開機選項以防止用戶開機其他操作系統,或是沒有相同安全性功能的舊版 Windows。

當您重新安裝較舊的 Windows 版本、安裝個別的 OS 或格式化硬碟時,您無法覆寫 DFCI 管理。 這項功能可防止惡意代碼與OS程式通訊,包括提升許可權的OS程式。 DFCI 的信任鏈結會使用公鑰密碼編譯,而不會依賴本機 UEFI (BIOS) 密碼安全性。 這一層安全性會封鎖本機使用者從裝置的 UEFI (BIOS) 選單存取受控設定。

提示

針對 Dell 裝置,您可以建立 BIOS 設定 原則。 如需詳細資訊,請移至在 Microsoft Intune 中的 Windows 裝置上使用 BIOS 組態配置檔

開始之前

  • 裝置製造商必須在製造程式中將 DFCI 新增至其 UEFI 韌體,或作為您安裝的韌體更新。 請與您的裝置廠商合作,以判斷 支援 DFCI 的製造商,或使用 DFCI 所需的韌體版本。

  • 裝置必須由 Microsoft 雲端解決方案提供者 (雲端解決方案提供者) 合作夥伴註冊,或由 OEM 直接註冊。

    手動註冊 Windows Autopilot 的裝置,例如 從 csv 檔案匯入的裝置,不允許使用 DFCI。 根據設計,DFCI 管理需要透過 OEM 或 Microsoft CSP 合作夥伴向 Windows Autopilot 註冊,以外部證明裝置的商業取得。

    註冊您的裝置之後,其序號會顯示在 Windows Autopilot 裝置清單中。

    如需 Windows Autopilot 的詳細資訊,包括任何需求,請移至 Windows Autopilot 註冊概觀

建立 Microsoft Entra 安全組

Windows Autopilot 部署配置檔會指派給 Microsoft Entra 安全組。 請務必建立包含 DFCI 支援裝置的群組。 針對 DFCI 裝置,大部分的組織可能會建立裝置群組,而不是使用者群組。 請考量下列案例:

  • 人力資源 (人力資源) 有不同的 Windows 裝置。 基於安全性理由,您不希望此群組中的任何人在裝置上使用相機。 在此案例中,您可以建立 HR 安全性使用者群組,讓原則適用於 HR 群組中的使用者,無論裝置類型為何。

  • 在製造樓層,您有10部裝置。 在所有裝置上,您都想要防止從 USB 裝置開機裝置。 在此案例中,您可以建立安全性裝置群組,並將這10個裝置新增至群組。

如需在 Intune 中建立群組的詳細資訊,請移至新增群組以組織用戶和裝置

建立配置檔

若要使用 DFCI,請建立下列配置檔,並將它們指派給您的群組。

步驟 1 - 建立 Windows Autopilot 部署配置檔

此設定檔會設定並預先設定新的裝置。 下列文章列出建立設定檔的步驟:

步驟 2 - 建立註冊狀態頁面配置檔

此配置檔可確保裝置在 Windows 安裝期間已通過 DFCI 的驗證和啟用。 強烈建議使用此設定檔來封鎖裝置使用,直到安裝所有應用程式和配置檔為止。

下列文章列出建立設定檔的步驟:

步驟 3 - 在 Intune 中建立 DFCI 配置檔

這個設定檔包含您設定的 DFCI 設定。

提示

設定和指派 DFCI 配置檔可以鎖定裝置,而無法修復。 因此,請注意您設定的值。

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>設定>建立]

  3. 輸入下列內容:

    • 平台:選擇 [Windows 10 及更新版本]
    • 配置檔類型:選取 [範本>裝置韌體設定介面]

  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 Windows 裝置上的 Windows - DFCI 設定
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。

    選取[下一步]。

  6. 在 [ 組態設定] 中,設定您想要在 UEFI 韌體層中控制的設定。 如需所有設定及其用途的清單,請移至:

    選取[下一步]。

  7. 在 [範圍標籤] (選擇性) 中,指派標籤來針對特定 IT 群組篩選設定檔,例如 US-NC IT TeamJohnGlenn_ITDepartment。 如需範圍標籤的詳細資訊,請移至 使用分散式IT的 RBAC 和範圍標籤。 選取[下一步]。

  8. 在 [指派] 中,選取將接收您設定檔的使用者或使用者群組。 如需指派配置檔的詳細資訊,請移至 指派使用者和裝置配置檔。 選取 [下一步]

  9. 在 [ 檢閱 + 建立] 中,檢閱您的設定,然後選取 [ 建立]。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

當每個裝置下次簽入時,就會套用原則。

指派配置檔並重新啟動

請務必將配置檔指派給包含 DFCI 裝置的 Microsoft Entra 安全組。 配置檔可以在建立或之後指派。

當裝置執行 Windows Autopilot 時,在 [註冊狀態] 頁面期間,DFCI 可能會強制重新啟動。 第一次重新啟動會註冊 UEFI 以 Intune。

如果您想要確認裝置已註冊,您可以再次將裝置重新啟動,但並非必要。 使用裝置製造商的指示開啟 UEFI 功能表,並確認 UEFI 現在已受管理。

下次裝置與 Intune 同步時,Windows 會收到 DFCI 設定。 重新啟動裝置。 需要第三次重新啟動,UEFI 才能從 Windows 接收 DFCI 設定。

更新現有的 DFCI 設定

如果您想要在使用中的裝置上變更現有的 DFCI 設定,您可以。 在現有的 DFCI 設定檔中,變更設定並儲存變更。 由於已指派配置檔,因此新的 DFCI 設定會在下列時機生效:

  1. 裝置會使用 Intune 服務簽入,以檢閱配置檔更新。 簽入會在不同時間發生。 如需詳細資訊,請移至 裝置取得原則、配置檔或應用程式更新的時機
  2. 若要強制執行新的設定,請 從遠端 或本機重新啟動裝置。

您也可以 向裝置發出簽入訊號。 成功同步處理之後, 會發出重新啟動的訊號

注意事項

刪除 DFCI 設定檔,或從指派給配置檔的群組中移除裝置,並不會移除 DFCI 設定或重新啟用 UEFI (BIOS) 選單。 如果您想要停止使用 DFCI,請更新現有 DFCI 設定檔中的設定。 如需步驟的詳細資訊,請移至本文中的 淘汰裝置

Conflicts

當您建立 DFCI 原則時,您會設定想要管理 的 Windows DFCI 設定

某些設定屬於邏輯類別,例如 麥克風和喇叭。 還有細微的設定,例如 麥克風。 如果這些設定發生衝突,則會發生下列情況:

  • 在第一次同步處理嘗試中,會 (麥克風) 套用細微設定,而類別設定 (麥克風和喇叭) 不相容。

  • 第一次同步處理之後,每次與 Intune 服務同步時,迴圈中都會發生下列行為:

    • Intune 會將類別設定套用 (麥克風和喇叭) ,因為它不符合規範。 麥克風) (細微設定會變得不相容。
    • Intune (麥克風) 套用細微設定,因為它不符合規範。 (麥克風和喇叭) 的類別設定會變成不符合規範。

若要避免此循環行為,請設定類別設定 細微設定。

例如,您只想要允許 Wi-Fi 無線電。 在此案例中,您:

  • 將類別 Radios (藍牙、Wi-Fi、NFC等保留 ) 設定為 [未設定]
  • 針對 Wi-Fi 無線電設置,將它設定為 [啟用]
  • 將所有其他細微的無線電設定設定設為 [ 已停用]

重複使用、淘汰或復原裝置

重用

如果您打算重設 Windows 以重新規劃裝置,請 抹除裝置請勿移除 Windows Autopilot 裝置記錄。

抹除裝置之後,將裝置移至指派新 DFCI 和 Windows Autopilot 配置檔的群組。 請務必重新啟動裝置,以重新執行 Windows 安裝程式。

淘汰

當您準備好淘汰裝置並從管理中釋放裝置時,請將 DFCI 配置檔更新為 UEFI (BIOS) 您想要在結束狀態下設定。 一般而言,您會想要啟用所有設定。 例如:

  1. 在 Intune 系統管理中心, (裝置>設定) 開啟您的 DFCI 配置檔。
  2. 將 [ 允許本機用戶變更 UEFI (BIOS) 設定 變更為 [僅限未設定的設定]
  3. 將所有其他設定設定為 [未設定]
  4. 儲存您的設定。

這些步驟會解除鎖定裝置的 UEFI (BIOS) 選單。 這些值與已啟用或停用) (配置檔維持相同,而且不會設回任何預設 OS 值。

您現在已準備好抹除裝置。 抹除裝置之後,請刪除 Windows Autopilot 記錄。 刪除記錄可防止裝置在重新啟動時自動重新註冊。

提示

若要從 DFCI 註冊中移除 Surface 裝置,請移 至移除 DFCI 管理

恢復

如果您抹除裝置,並在解除鎖定 UEFI (BIOS) 選單之前刪除 Windows Autopilot 記錄,則功能表會保持鎖定狀態。 Intune 無法傳送配置檔更新來解除鎖定。

若要解除鎖定裝置,請開啟 [UEFI (BIOS) ] 功能表,然後從網路重新整理管理。 復原會解除鎖定功能表,但會將所有 UEFI (BIOS) 設定保留為先前 Intune DFCI 設定檔中的值。

用戶影響

套用 DFCI 原則時,本機用戶無法變更 DFCI 所設定的設定,即使 UEFI (BIOS) 功能表受到密碼保護也一樣。 根據您設定的設定,終端使用者可能會收到找不到硬體元件或無法診斷的錯誤。 請務必提供檔給使用者,說明您已停用的選項。