在 Surface 裝置上管理 DFCI

• 適用於:

  Windows 10, Windows 11

簡介

使用裝置韌體設定介面 (DFCI) 配置檔內建於 Microsoft Intune，Surface UEFI 管理會將新式管理堆疊向下延伸至整合可擴展固件介面 (UEFI) 硬體層級。 DFCI 支援零觸控布建、消除 BIOS 密碼、提供安全性設定的控制，包括開機選項和內建周邊，併為未來的進階安全性案例打下基礎。 此頁面會列出合格 Autopilot 部署 Surface 裝置上 的所有 DFCI 原則設定 。

DFCI 設計為與 MDM) (軟體層級行動裝置管理搭配使用，可讓 IT 系統管理員從遠端停用特定硬體元件，並防止終端使用者存取它們。 例如，如果您需要保護高度安全區域中的敏感性資訊，您可以停用相機，而且如果您不想讓使用者從USB磁碟驅動器開機，也可以停用該功能。

提示

某些 DFCI 原則設定的支援會因裝置而異。 檢閱此頁面上的 DFCI 原則設定參考，並遵循 Intune 指示來設定及部署設定至您的裝置。

必要條件

• 2018 年 11 月發行的 Windows 11 或 Windows 10 版本 1809 ()
• 裝置必須透過下列其中一種方法向 Windows Autopilot 註冊：
  • Microsoft 雲端解決方案提供者 (雲端解決方案提供者) 合作夥伴
  • 直接從 Surface

注意

不允許手動或自我註冊 Autopilot 的裝置，例如從 CSV 檔案匯入的裝置，以使用 DFCI。 根據設計，DFCI 管理需要透過 Microsoft CSP 合作夥伴或 Surface 註冊對裝置的商業取得進行外部證明。

Surface 裝置的 DFCI 原則設定參考

符合資格的裝置

• Surface Pro 10
• 僅 Surface Pro 9 個 (商業 SKU)
• 只有 5G (商業 SKU Surface Pro 9)
• 僅 Surface Pro 8 個 (商業 SKU)
• 僅 Surface Pro 7 個以上 (個商業 SKU)
• Surface Pro 7 (所有 SKU)
• Surface Pro X (所有 SKU)
• Surface Laptop Studio (所有世代，僅限商業 SKU)
• Surface Laptop 6
• 僅限 Surface Laptop 5 (商業 SKU)
• 僅限 Surface Laptop 4 (商業 SKU)
• Surface Laptop 3 (Intel 處理器僅)
• Surface Laptop Go
• 僅限 Surface Laptop Go 2 (商業 SKU)
• 僅限 Surface Laptop Go 3 (商業 SKU)
• Surface Laptop SE
• Surface Book 3
• 僅限 Surface Go 3 (商業 SKU)
• 僅限 Surface Go 4 (商業 SKU)
• Surface Studio 2+

注意

Surface Pro X 不支援內建相機、音訊和Wi-Fi/藍牙的 DFCI 設定管理。 只有最新的裝置才支援一些較新的設定。

表 1. DFCI 原則設定參考：Autopilot 部署的 Surface 裝置

DFCI 設定	描述	支援的版本
UEFI 存取
允許本機用戶變更 UEFI (BIOS) 設定	此設定可讓您管理終端使用者是否可以在合格裝置上修改 UEFI 設定。 - 如果您只選取 [未設定設定]，本機使用者 (也稱為終端使用者) 可能會變更任何 UEFI 設定，但您透過 Intune 明確啟用或停用的任何設定除外。 - 如果您選取 [ 無]，本機使用者可能不會變更 UEFI 設定，包括 DFCI 配置檔中未顯示的設定。	所有符合資格的裝置
安全性設定
同時多線程	此設定可讓您管理是否已在合格裝置上啟用同時多線程 (SMT) 支援。 SMT 支援 Intel 超線程技術，可為每個實體核心提供兩個邏輯處理器。 - 如果您啟用此設定，就會在 UEFI 層中開啟 SMT。 - 如果您停用此設定，UEFI 層中的 SMT 會關閉。 - 如果您未設定此設定，則會啟用 SMT。	所有符合資格的裝置
相機
相機	此設定可讓您管理內建相機是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許所有內建相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定，則會停用所有內建相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定，則會啟用所有內建相機。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
前方攝影機	此設定可讓您管理 Front 相機是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許 Front 相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定，則會停用 Front 相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定，則會啟用 Front 相機。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
後方攝影機	此設定可讓您管理後方相機是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許後方相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定，則會停用後方相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定，則允許後方相機。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
紅外線 (IR) 相機	此設定可讓您管理紅外線相機是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許紅外線相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定，則會停用紅外線相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定，則允許紅外線相機。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
麥克風和喇叭
麥克風和喇叭	此設定可讓您管理上線音訊是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定，則會停用所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定，則會啟用麥克風和喇叭。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
麥克風	此設定可讓您管理內建麥克風是否可以在合格的裝置上運作。 - 如果您啟用此設定，則會啟用所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定，則會停用所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定，則會啟用麥克風。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
無線通訊
藍牙、Wi-Fi、NFC 等 (無線電 )	此設定可讓您管理內建藍牙、Wi-Fi 或 5G 無線是否可以在合格的裝置上運作。 - 如果您啟用此設定，則允許所有內建無線電。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定，則會停用所有內建無線電。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定，則會啟用所有內建無線電。 提示： 設定類別設定 (藍牙、Wi-Fi、NFC 等 ) 或細微設定 藍牙、Wi-Fi。 如果您設定所有設定，這些設定可能會導致衝突。 如需詳細資訊，請移至 DFCI 配置檔概觀：衝突。 謹慎： [ 停用 ] 設定只能在具有有線乙太網路連線的裝置上使用。	- Surface Pro X 不支援。 - 所有其他合格裝置都支援。
藍牙	此設定可讓您管理內建藍牙是否可以在合格的裝置上運作。 - 如果您啟用此設定，則會啟用藍牙。 - 如果您停用此設定，則會停用藍牙。 - 如果您未設定此設定，則會啟用藍牙。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
WWAN	此設定可讓您管理內建的 WWAN (5G 無線) 是否可以在合格的裝置上運作 - 如果您啟用此設定，則會啟用 WWAN。 - 如果您停用此設定，則會停用 WWAN。 - 如果您未設定此設定，則會啟用 WWAN。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
Wi-Fi	此設定可讓您管理內建 Wi-Fi 是否可以在合格的裝置上運作 - 如果您啟用此設定，Wi-Fi 已啟用。 - 如果您停用此設定，Wi-Fi 停用。 - 如果您未設定此設定，則會啟用 Wi-Fi。	- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。
[開機選項]
從外部媒體開機 (USB、SD)	此設定可讓您管理是否可以從外部媒體開機合格的裝置。 - 如果您啟用此設定，終端使用者可以從 USB 快閃磁碟驅動器或其他非硬碟儲存技術將裝置開機。 - 如果您停用此設定，終端使用者就無法從 USB 快閃磁碟驅動器或其他非硬碟儲存技術開機裝置。 - 如果您未設定此設定，終端使用者可以從 USB 快閃磁碟驅動器或其他非硬碟儲存技術將裝置開機。	所有符合資格的裝置
連接埠
USB 類型 A	此設定可讓您管理裝置如何利用USB-A 連線。 - 如果您啟用此設定，USB-A 數據連線可以在合格的裝置上運作。 - 如果您停用此設定，USB-A 數據連線就無法在合格的裝置上運作。 - 如果您未設定此設定，USB-A 數據連線可以在所有裝置上運作。 謹慎： 如果您停用 來自外部媒體的開機 和 USB 類型 A，而且裝置因為任何原因而變成無法啟動，您將無法在不取代 SSD 的情況下復原裝置。 您將無法從外部媒體開機，並從網路執行 PXE 開機或 DFCI 重新整理。	只有 Surface Laptop Go 2 和更新版本才支援， (2022 年 6 月 1 日之後發行的裝置) 。
喚醒設定
網路喚醒	此設定可讓您管理合格的裝置是否可以從新式待命或休眠遠程啟動。 - 如果您啟用此設定，符合資格的裝置可以設定為遠端網路喚醒。 - 如果您停用此設定，則無法將符合資格的裝置設定為在 LAN 上遠端喚醒。 - 如果您未設定此設定，則可將符合資格的裝置設定為在 LAN 上遠端喚醒。	只有 Surface Laptop Go 2 和更新版本才支援， (2022 年 6 月 1 日之後發行的裝置) 。
電源喚醒	此設定可讓您管理合格裝置在連線到電源時，是否可以從休眠或關閉電源狀態自動啟動。 - 如果您啟用此設定，合格的 Surface 裝置可以在連線到電源時設定為自動啟動 - 如果您停用此設定，則無法將合格的 Surface 裝置設定為在連線到電源時自動啟動。 - 如果您未設定此設定，則無法將合格的 Surface 裝置設定為在重新連線到電源時自動啟動。	只有 Surface Laptop Go 2 和更新版本才支援， (2022 年 6 月 1 日之後發行的裝置) 。

注意

Intune 中的 DFCI 包含目前不適用於 Surface 裝置的設定：CPU 和 IO 虛擬化、停用從網路適配器開機、Windows 平臺二進位數據表 (WPBT) 、NFC 和 SD 記憶卡。

入門

1. 在 endpoint.microsoft.com 登入您的租 使用者。

2. 在 [Microsoft Intune 系統管理中心] 中，選取 [裝置>組態配置檔>] [建立配置檔]。

3. 在 [平臺] 底下，選取 [Windows 10 和更新版本]。

4. 在 [配置檔類型] 底下，選取 [ 範本>裝置韌體設定介面 ]，然後選取 [ 建立]。

   

5. 如需完整指示，請參閱在 Microsoft Intune 中的 Windows 裝置上使用 DFCI 配置檔，包括：

   • 建立 Microsoft Entra 安全組
   • 建立配置檔
   • 指派配置檔並重新啟動
   • 更新現有的 DFCI 設定
   • 重複使用、淘汰或復原裝置

防止使用者變更 UEFI 設定

對許多客戶而言，封鎖使用者變更 UEFI 設定的能力非常重要，也是使用 DFCI 的主要原因。 如上表 1 所列，這項功能是透過 [ 允許本機用戶變更 UEFI 設定] 設定來管理。 如果您未編輯或設定此設定，本機使用者可以變更 Intune 未管理的任何 UEFI 設定。 因此，強烈建議將 [ 允許本機用戶變更 UEFI 設定] 設 為 [ 無]。

驗證 DFCI 管理裝置上的 UEFI 設定

在測試環境中，您可以驗證 Surface UEFI 介面中的設定。

1. 開啟 Surface UEFI：

   • 按住 Surface 上的音 量向上按鈕 ，同時按下並放開 電源 按鈕。
   • 當您看到 Surface 標誌時，請放開 [向上音量] 按鈕。 UEFI 功能表會在幾秒鐘內顯示。

2. 選 取 [裝置]。 UEFI 功能表會反映已設定的設定，如下圖所示。

   

   注意

   • 因為 [ 允許本機用戶變更 UEFI] 設定 設為 [ 無]，所以設定會呈現灰色 (非作用中) 。
   • 因為 [麥克風和喇叭 ] 原則設定為 [停用]，所以 [上架音訊] 會設定為 [關閉 ]。

拿掉 DFCI 原則設定

當您建立 DFCI 設定檔時，所有設定的設定都會在設定檔管理範圍內的所有裝置上保持作用。 您只能直接編輯 DFCI 設定檔來移除 DFCI 原則設定。 如果已刪除原始的 DFCI 設定檔，請建立新的設定檔並編輯適當的設定。

拿掉 DFCI 管理

若要移除 DFCI 管理，並讓裝置恢復出廠新狀態：

1. 從 Intune 淘汰裝置：
   1. 在 endpoint.microsoft.com 的 [端點管理員] 中，選擇 [ 所有裝置>]。
   2. 選取您要淘汰的裝置，然後選擇 [ 淘汰/抹除]。 若要深入瞭解，請參閱 使用抹除、淘汰或手動取消註冊裝置來移除裝置。
2. 從 Intune 刪除 Autopilot 註冊：
   1. 選擇 [裝置註冊 > ][Windows 註冊 > 裝置]。
   2. 在 [Windows Autopilot 裝置] 底下，選擇您想要刪除的裝置，然後選擇 [ 刪除]。
3. 使用 Surface 品牌的乙太網路適配器將裝置連線到有線因特網。 重新啟動裝置並開啟 UEFI 功能表 (按住音量向上按鈕，同時按下並放開電源按鈕) 。
4. 選 取 [管理 > ][設定從網络重新整理 > ]，然後選擇 [退出]。

若要使用 Intune 但不使用 DFCI 管理來管理裝置，請向 Autopilot 自我註冊，並在 Intune 中註冊。 DFCI 不會套用至自我註冊裝置。

深入了解

• DFCI 管理 |Microsoft Docs
• 在 windows 裝置上使用 DFCI 設定檔 Microsoft Intune
• Windows 10/11 在 Microsoft Intune 中的 DFCI 設定
• Windows Autopilot
• Windows Autopilot 與 Surface 裝置
• Ignite 2019：宣佈從 Intune 遠端管理 Surface UEFI 設定