Nastavení profilu DFCI (Device Firmware Configuration Interface) v Microsoft Intune

  • Článek

Tento článek uvádí a popisuje nastavení profilu DFCI, která můžete ovládat na klientských zařízeních s Windows. V rámci řešení správy mobilních zařízení (MDM) použijte tato nastavení k řízení funkcí zabezpečení, integrovaného hardwaru a možností spouštění ve vrstvě UEFI ve Windows.

Tato nastavení platí pro:

  • Windows 11 u podporovaného rozhraní UEFI
  • Windows 10 RS5 (1809) a novější na podporovaném rozhraní UEFI

Tato nastavení se přidají do konfiguračního profilu zařízení v Intune a pak se přiřadí nebo nasadí do klientských zařízení s Windows.

Než začnete

Upozornění

Dej si pozor. Konfigurace a přiřazení profilů DFCI může zařízení uzamknout mimo opravu. Nastavení profilu DFCI změní hardware zařízení a nedá se opravit opětovným zobrazením operačního systému.

Přístup k rozhraní UEFI

  • Povolit místnímu uživateli změnit nastavení rozhraní UEFI: Vaše možnosti:
    • Pouze nenakonfigurované nastavení: Místní uživatel může změnit jakékoli nastavení s výjimkou nastavení explicitně nastavených na Povolit nebo Zakázat pomocí Intune.
    • Žádné: Místní uživatel nemůže změnit žádná nastavení UEFI (BIOS), včetně nastavení, která se nezobrazují v profilu DFCI.

Funkce zabezpečení

  • Virtualizace procesoru a vstupně-výstupních operací:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.
    • Povoleno: Systém BIOS umožňuje platformě využívat možnosti virtualizace procesoru a vstupně-výstupních operací v operačním systému. Zapne technologie Zabezpečení na základě virtualizace Windows a Ochrany Device Guard.

  • WPBT (Windows Platform Binary Table ): WPBT umožňuje dodavatelům a výrobcům OEM spouštět .exe program ve vrstvě UEFI. Pokaždé, když se Windows spustí, podívá se na rozhraní UEFI a spustí .exe. Pomocí této funkce můžete spouštět programy, které nejsou součástí médií Windows.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém dodavatelům a výrobcům OEM umožňovat spouštění programů pomocí WPBT.
    • Povoleno: Povolí WPBT a povolí .exe spouštění programů ve vrstvě UEFI.
    • Zakázáno: Zakáže WPBT a zabrání .exe spuštění programů ve vrstvě rozhraní UEFI.

  • Souběžné vícevláknové vytváření (SMT): Označuje se také jako hyper-threading. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje.
    • Povoleno: Povolí SMT ve vrstvě UEFI.
    • Zakázáno: Zakáže SMT ve vrstvě UEFI.

Kamery

  • Kamery: Toto nastavení spravuje všechny hardwarové kamery integrované do zařízení. Nespravuje připojená periferní zařízení, například webkamery USB.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované kamery.
    • Povoleno: Jsou povoleny všechny integrované kamery spravované přímo pomocí UEFI (BIOS). Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované kamery přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.

  • Přední kamery: Toto nastavení spravuje integrované kamery předního viditelného světla spravované systémem UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované přední kamery viditelného světla.
    • Povoleno: Jsou povoleny všechny integrované kamery s viditelným světlem na přední straně přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované přední kamery viditelného světla přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.

  • Zadní kamery: Toto nastavení spravuje vestavěné kamery se zadním viditelným světlem spravované systémem UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované zadní kamery.
    • Povoleno: Jsou povoleny všechny integrované kamery zadního viditelného světla přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.
    • Zakázáno: Všechny vestavěné kamery se zadním viditelným světlem přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.

  • Infračervené (IR) kamery: Toto nastavení spravuje integrované infračervené kamery spravované systémem UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované infračervené kamery.
    • Povoleno: Všechny integrované infračervené kamery přímo spravované rozhraním UEFI (BIOS) jsou povolené. Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované infračervené kamery přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou kamery USB, nejsou ovlivněna.

Mikrofony a reproduktory

Doporučujeme nakonfigurovat nastavení kategorie Mikrofony a reproduktorynebo Podrobné nastavení Mikrofony . Pokud nakonfigurujete všechna nastavení, můžou tato nastavení způsobit konflikt. Další informace najdete v tématu Přehled profilu DFCI: Konflikty.

  • Mikrofony a reproduktory: Toto nastavení spravuje všechny mikrofony a reproduktory integrované do zařízení. Nespravuje připojená periferní zařízení, jako jsou zařízení USB.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované mikrofony a reproduktory.
    • Povoleno: Jsou povoleny všechny integrované mikrofony a reproduktory přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované mikrofony a reproduktory přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

  • Mikrofony: Toto nastavení spravuje integrované mikrofony spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované mikrofony.
    • Povoleno: Jsou povoleny všechny integrované mikrofony přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované mikrofony přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

Rádia

Doporučujeme nakonfigurovat nastavení kategorie Radios (Bluetooth, Wi-Fi, NFC atd.)nebo podrobná nastavení Bluetooth, Wi-Fi atd. Pokud nakonfigurujete všechna nastavení, můžou tato nastavení způsobit konflikt. Další informace najdete v tématu Přehled profilu DFCI: Konflikty.

  • Vysílače (Bluetooth, Wi-Fi, NFC atd.): Toto nastavení spravuje všechna integrovaná rádia spravovaná rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit všechna integrovaná rádia.

    • Povoleno: Jsou povolená všechna integrovaná rádia přímo spravovaná rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

    • Zakázáno: Všechna integrovaná rádia přímo spravovaná rozhraním UEFI (BIOS) jsou zakázaná. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

      Pokud je tato možnost nastavená na Zakázáno, zařízení vyžaduje kabelové připojení k síti. Jinak může být zařízení nespravovatelné.

  • Bluetooth: Toto nastavení spravuje integrovaná vysílače Bluetooth spravovaná rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrovaná vysílače Bluetooth.
    • Povoleno: Jsou povolená všechna integrovaná vysílače Bluetooth přímo spravovaná rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechna integrovaná vysílače Bluetooth přímo spravovaná rozhraním UEFI (BIOS) jsou zakázaná. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

  • WWAN: Toto nastavení spravuje předdefinované vysílače WWAN spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrovaná rádia WWAN.
    • Povoleno: Jsou povolena všechna integrovaná rádia WWAN přímo spravovaná rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechna integrovaná rádia WWAN přímo spravovaná rozhraním UEFI (BIOS) jsou zakázaná. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

  • NFC: Toto nastavení spravuje integrované vysílače NFC spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované vysílače NFC.
    • Povoleno: Jsou povoleny všechny integrované vysílače NFC přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechna integrovaná vysílače NFC přímo spravovaná rozhraním UEFI (BIOS) jsou zakázaná. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

  • Wi-Fi: Toto nastavení spravuje integrované Wi-Fi vysílače spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované Wi-Fi rádia.
    • Povoleno: Jsou povoleny všechny integrované Wi-Fi vysílače přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované Wi-Fi vysílače přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

Možnosti spuštění

Upozornění

Zakázání všech možností externího spuštění nebo všech externích portů výrazně komplikuje obnovení operačního systému. Pokud chcete obnovit zařízení, které už nemůže spustit Windows, budete možná muset zařízení fyzicky otevřít a vyměnit hardwarové úložiště.

  • Spouštění z externího média (USB, SD): Vaše možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém umožňovat spouštění z externího média.

    • Povoleno: UEFI (BIOS) umožňuje spouštění z jiného než pevného disku.

    • Zakázáno: UEFI (BIOS) zabraňuje spouštění z jiného úložiště než pevného disku, což také zakazuje spouštění ze síťových adaptérů.

      Pokud je možnost Zakázáno, nenastavujte nastavení Spouštění ze síťových adaptérů na Povoleno. To způsobí, že nastavení Spouštění z externího média (USB, SD) nebo Spouštění ze síťových adaptérů přestane vyhovovat předpisům.

  • Spouštění ze síťových adaptérů: Vaše možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém umožňovat spouštění z integrovaných síťových adaptérů.
    • Povoleno: UEFI (BIOS) umožňuje spouštění z integrovaných síťových rozhraní.
    • Zakázáno: Rozhraní UEFI (BIOS) zabraňuje spouštění integrovaných síťových rozhraní.

Porty

Upozornění

Zakázání všech možností externího spuštění nebo všech externích portů výrazně komplikuje obnovení operačního systému. Pokud chcete obnovit zařízení, které už nemůže spustit Windows, budete možná muset zařízení fyzicky otevřít a vyměnit hardwarové úložiště.

  • USB typu A: Toto nastavení spravuje integrované porty USB typu A spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované porty USB typu A.
    • Povoleno: Jsou povoleny všechny integrované porty USB typu A, které přímo spravuje rozhraní UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované porty USB typu A přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

  • SD karta: Toto nastavení spravuje integrované porty karet SD spravované rozhraním UEFI (BIOS). Nespravuje připojená periferní zařízení.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém povolit integrované porty karet SD.
    • Povoleno: Jsou povoleny všechny integrované porty karet SD přímo spravované rozhraním UEFI (BIOS). Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.
    • Zakázáno: Všechny integrované porty karet SD přímo spravované rozhraním UEFI (BIOS) jsou zakázané. Periferní zařízení, jako jsou zařízení USB, nejsou ovlivněna.

Nastavení probuzení

  • Wake on LAN: Funkce Wake on LAN umožňuje správci sítě vzdáleně probudit zařízení v režimu spánku pomocí sítě LAN.

    Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém bránit probuzení zařízení pomocí sítě LAN.
    • Povoleno: UEFI (BIOS) umožňuje probudit zařízení pomocí sítě LAN.
    • Zakázáno: Rozhraní UEFI (BIOS) brání probuzení zařízení pomocí sítě LAN.

  • Probuzení při napájení: Když je zařízení připojené ke zdroji napájení, toto nastavení určuje, jestli se opravňující zařízení dají automaticky spustit z režimu hibernace nebo vypnutí. Možnosti:

    • Nenakonfigurované: Intune toto nastavení nemění ani neaktualizuje. Ve výchozím nastavení může operační systém bránit probuzení zařízení, když je připojené ke zdroji napájení.
    • Povoleno: UEFI (BIOS) umožňuje probudit zařízení, když je připojené ke zdroji napájení.
    • Zakázáno: Rozhraní UEFI (BIOS) brání probuzení zařízení, když je připojené ke zdroji napájení.