Správa rozhraní DFCI (Device Firmware Configuration Interface)
Pomocí Windows Autopilot Deployment a Intune je možné spravovat nastavení rozhraní UEFI (Unified Extensible Firmware Interface) po registraci zařízení. Nastavení rozhraní UEFI je možné spravovat pomocí rozhraní DFCI (Device Firmware Configuration Interface). DFCI umožňuje systému Windows předávat příkazy pro správu z Intune do rozhraní UEFI pro zařízení nasazená autopilotem. Tato funkce umožňuje omezit kontrolu koncového uživatele nad nastavením systému BIOS. Možnosti spouštění je například možné uzamknout, aby uživatelé nemohli spustit jiný operační systém, například ten, který nemá stejné funkce zabezpečení.
Pokud uživatel přeinstaluje předchozí verzi Windows, nainstaluje samostatný operační systém nebo zformátuje pevný disk, nemůže přepsat správu DFCI. Tato funkce může také zabránit malwaru v komunikaci s procesy operačního systému, včetně procesů operačního systému se zvýšenými oprávněními. Řetězec důvěryhodnosti DFCI používá kryptografii s veřejným klíčem a nezávisí na místním zabezpečení hesel UEFI. Tato vrstva zabezpečení blokuje místním uživatelům přístup ke spravovaným nastavením z nabídek UEFI zařízení.
Přehled výhod DFCI, scénářů a požadavků najdete v tématu Seznámení s rozhraním DFCI (Device Firmware Configuration Interface).
Důležité
Zařízení se při zřizování Autopilotu automaticky zaregistruje do správy DFCI, pokud dojde k následujícím akcím:
- Výrobce OEM povolí zařízení pro DFCI.
- Zařízení je zaregistrované pro Autopilot prostřednictvím OEM nebo CSP (Cloud Solution Partner) v Partnerském centru.
Registrace ve správě DFCI aktivuje další restartování během počátečního nastavení počítače(OOBE).
Životní cyklus správy DFCI
Životní cyklus správy DFCI zahrnuje následující procesy:
- Integrace rozhraní UEFI.
- Registrace zařízení.
- Vytvoření profilu.
- Registrace.
- Management.
- Odchod do důchodu.
- Zotavení.
Podívejte se na následující obrázek:
Požadavky
- Vyžaduje se aktuálně podporovaná verze Windows a podporované rozhraní UEFI.
- Výrobce zařízení musí mít DFCI přidaný do svého firmwaru UEFI ve výrobním procesu nebo jako aktualizaci firmwaru, kterou lze nainstalovat. Ve spolupráci s dodavateli zařízení určete výrobce, kteří podporují DFCI, nebo verzi firmwaru potřebnou k použití DFCI.
- Zařízení se musí spravovat pomocí Microsoft Intune. Další informace najdete v tématu Registrace zařízení s Windows v Intune pomocí Windows Autopilotu.
- Zařízení musí být zaregistrované pro Windows Autopilot partnerem CSP (Microsoft Cloud Solution Provider) nebo přímo výrobcem OEM. U zařízení Surface je podpora registrace od Microsoftu k dispozici na webu Microsoft Devices Autopilot Support.
Důležité
Zařízení ručně zaregistrovaná pro Autopilot (například importem ze souboru CSV) nesmí používat DFCI. Správa DFCI vyžaduje externí ověření komerčního pořízení zařízení prostřednictvím registrace výrobce OEM nebo partnera Microsoft CSP ve Windows Autopilotu. Když je zařízení zaregistrované, zobrazí se jeho sériové číslo v seznamu zařízení Windows Autopilot.
Správa profilu DFCI pomocí Windows Autopilotu
Při správě profilu DFCI pomocí Windows Autopilotu existují čtyři základní kroky:
- Vytvoření profilu Autopilotu
- Vytvoření profilu stránky stavu registrace
- Vytvoření profilu DFCI
- Přiřazení profilů
Podrobnosti najdete v tématech Vytvoření profilůa Přiřazení profilů a restartování .
Stávající nastavení DFCI je také možné změnit na zařízeních, která se používají. V existujícím profilu DFCI změňte nastavení a uložte změny. Vzhledem k tomu, že profil už je přiřazený, nové nastavení DFCI se projeví při příští synchronizaci zařízení nebo restartování zařízení.
Pokud chcete zjistit, jestli je zařízení připravené na DFCI, můžete použít následující Intune Graph API volání:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Další informace najdete v tématech přehled rozhraní API Intune zařízení a aplikací a Práce s Intune v Microsoft Graphu.
Výrobce OEM, které podporují DFCI
- Acer.
- Asus.
- Dynabook.
- Fujitsu.
- Microsoft Surface.
- Panasonic.
- VAIO.
Ostatní OEM čekají na vyřízení.
Známé problémy
Neúspěšná registrace DFCI u edicí Professional Windows 11 verze 24H2
Datum přidání: 9. října 2024
DFCI se v současné době nedá používat na zařízeních s edicemi Professional Windows 11 verze 24H2. Problém se prošetřuje. Jako alternativní řešení se ujistěte, že je zařízení upgradované na edici Enterprise Windows 11 verze 24H2 během onboardingu nebo po onboardingu OOBE. Po upgradu na edici Enterprise Windows 11 verze 24H2 synchronizujte zařízení. Jakmile se zařízení synchronizuje, restartujte ho, aby se zaregistrovalo v DFCI.