Použití konfiguračních profilů systému BIOS na zařízeních s Windows v Microsoft Intune

  • Článek

V Intune můžete pomocí konfigurace systému BIOS a dalších nastavení zásad konfigurace zařízení povolit nebo zakázat funkce a nastavení systému BIOS.

Pomocí nástroje OEM vytvoříte konfigurační soubor systému BIOS, který konfiguruje funkce systému BIOS. Na zařízení nainstalujete aplikaci OEM Win32, která čte konfiguraci. Potom v zásadách Intune SYSTÉMU BIOS přidáte konfigurační soubor systému BIOS a přiřadíte zásady svým zařízením.

Konfigurační soubor obvykle obsahuje nastavení, která zabezpečí zařízení a jeho integrovaný hardware.

Chcete například zabránit koncovým uživatelům v opětovném nastavení zařízení a vypadnutí ze správy Intune. Pro tuto úlohu vytvoříte konfigurační soubor systému BIOS, který zakáže spouštění z USB. Potom tento soubor přidáte do zásad Intune a povolíte heslo systému BIOS. Tyto kroky zajistí, že konfigurace není přepsána.

Tato funkce platí pro:

  • Windows 10 a novější
  • Zařízení Dell

Tento článek obsahuje další informace o konfiguračním souboru a aplikaci Win32 a ukazuje, jak vytvořit konfiguraci systému BIOS a další zásady nastavení v Intune.

Upozornění

Změny konfigurace systému BIOS můžou mít vliv na funkčnost a provozuschopnost zařízení, včetně možnosti spouštění šifrovaných jednotek nástrojem BitLocker nebo k jejich přístupu. Tato funkce umožňuje správcům Intune snadno aktualizovat konfigurace systému BIOS na svých zařízeních. Když provedete změny, otestujte a nasaďte je ve fázích, abyste minimalizovali dopad všech neočekávaných konfigurací.

Požadavky

  • Pokud chcete tuto zásadu nakonfigurovat, přihlaste se minimálně do Centra pro správu Intune pomocí role Správce zásad a profilů. Další informace o předdefinovaných rolích v Intune najdete v tématu Řízení přístupu na základě role s Microsoft Intune.

  • Tato funkce podporuje zařízení vlastněná organizací, která jsou zaregistrovaná v MDM v Intune. Osobní zařízení a zařízení nezaregistrovaná v Intune se nepodporují.

  • Ujistěte se, že zařízení nemají nakonfigurované stávající heslo systému BIOS. Tato funkce vyžaduje, aby Intune měli heslo systému BIOS. Pokud Intune nemá heslo systému BIOS zařízení, nemůže aktualizovat konfiguraci systému BIOS.

Krok 1 – Vytvoření konfiguračního souboru a nasazení aplikace

Tato část se zaměřuje na vytvoření konfiguračního souboru pomocí nástroje OEM a nasazení aplikace OEM Win32 do zařízení.

  1. Vytvořte konfigurační soubor pomocí nástroje OEM. V souboru přidejte a nakonfigurujte funkce, které chcete konfigurovat. Můžete přidat libovolné nastavení konfigurace, které výrobce OEM podporuje.

    • V případě společnosti Dell můžete konfigurační soubor systému BIOS vytvořit pomocí nástroje Dell Command (otevře se web společnosti Dell).

  2. Při vytváření konfiguračního souboru existuje koordinovaná aplikace Win32 od výrobce OEM. Nasaďte do zařízení aplikaci OEM Win32. Tato aplikace:

    • Funguje jako agent, který čte konfigurační soubor, který vytvoříte, a čte hesla systému BIOS zařízení.
    • Před přiřazením zásad konfigurace Intune systému BIOS musí být nainstalovaný na všech zařízeních.

    V případě společnosti Dell si můžete stáhnout aplikaci Dell Command (otevře se web společnosti Dell).

    K instalaci této aplikace na zařízení můžete použít Intune. Aplikaci přidáte do Intune a nastavíte ji jako požadovanou aplikaci. Potom aplikaci přiřaďte k filtru skupiny nebo přiřazení, který vytvoříte v kroku 2 – Vytvoření skupiny nebo použití filtru přiřazení (v tomto článku).

    Další informace o aplikacích Win32 v Intune najdete v článku Přidání, přiřazení a monitorování aplikace Win32 v Microsoft Intune.

Krok 2 – Vytvoření skupiny nebo použití filtru přiřazení

Doporučuje se zaměřit tuto zásadu na konkrétní sadu zařízení. Možnosti:

  • Možnost 1 – Vytvořte skupinu, která zahrnuje zařízení. Když vytvoříte zásady aplikace a zásady konfigurace systému BIOS, přiřadíte je této skupině.
  • Možnost 2 – Použijte filtr přiřazení podle výrobce zařízení. Když vytváříte filtr, zaměřte se na zařízení OEM. Když přiřadíte zásady konfigurace aplikace a systému BIOS, přidejte tento filtr.

Další informace o těchto funkcích najdete tady:

Krok 3 – Vytvoření zásady konfigurace systému BIOS v Intune

Do této zásady přidáte konfigurační soubor, který jste vytvořili.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. VyberteKonfigurace>zařízení>Vytvořit>novou zásadu.

  3. Zadejte tyto vlastnosti:

    • Platforma: Vyberte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony>Konfigurace systému BIOS a další nastavení.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem profilu je například konfigurační heslo systému BIOS.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

    Vyberte Další.

  6. V Nastavení konfigurace nakonfigurujte následující nastavení:

    • Hardware: Ze seznamu podporovaných výrobců OEM vyberte dodavatele hardwaru OEM. V současné době je podporována pouze společnost Dell.

    • Zakázat ochranu heslem systému BIOS pro jednotlivá zařízení: Toto nastavení spravuje heslo, které chrání konfiguraci systému BIOS v zařízení. Možnosti:

      • Ne: Intune vygeneruje pro každé zařízení jedinečné heslo zařízení. Pokud uživatelé chtějí získat přístup ke konfiguraci systému BIOS v zařízení a aktualizovat ji, musí zadat toto heslo.
      • Ano: Systém BIOS nechrání heslem. Všechna předchozí hesla se odeberou. Koncoví uživatelé mají přístup k systému BIOS a měnit nastavení systému BIOS na zařízení.

    • Konfigurační soubor: Nahrajte konfigurační soubor vygenerovaný nástrojem OEM.

      V případě společnosti Dell nahrajte soubor sady Dell Client Configuration Tool Kit (.cctk). Limit velikosti souboru je 2 MB.

    Vyberte Další.

  7. V části Přiřazení vyberte novou skupinu zařízení, kterou jste vytvořili. Tato skupina obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  8. V části Zkontrolovat a vytvořit zkontrolujte nastavení a vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Při příštím přihlášení každého zařízení se použijí zásady.

Monitorování zásad pomocí předdefinovaných sestav

V Centru pro správu Intune můžete po vytvoření zásady monitorovat její stav a zobrazit případné chyby.

  1. V Centru pro správu Intune přejděte naZásadykonfigurace>zařízení>.
  2. Vyberte zásadu, kterou chcete monitorovat. Zpráva o stavu zařízení zobrazuje stav zásad a všechny podrobnosti o chybách pro účely řešení potíží.

Další informace najdete tady:

Načtení hesel systému BIOS

Intune ukládá hesla systému BIOS pro každé zařízení. Hesla systému BIOS můžete získat pomocí Microsoft Graphu. K testování rozhraní Graph API můžete použít Microsoft Graph Explorer.

Důležité

Nezapomeňte zálohovat všechna hesla mimo Intune.

  • Pokud je zařízení odebráno ze správy Intune, můžou správci dál číst hesla systému BIOS pomocí rozhraní API Microsoft Graph hardwarePasswordInfo.
  • Pokud Intune předplatné pro vašeho tenanta skončí, neexistuje žádný způsob, jak číst nebo načítat hesla systému BIOS. V takovém případě je jedinou možností kontaktovat výrobce OEM.

Možnost 1 – Čtení hesla systému BIOS po jednom zařízení

Tato možnost získá hesla systému BIOS, a to po jednom zařízení.

  1. Vytvořte vlastní roli Intune RBAC s oprávněním Číst heslo systému BIOS:

    1. V Centru pro správu Intune vyberte Role pro správu>tenanta Vytvořit>novou roli.
    2. Pojmenujte svoji roli a vyberte Další.
    3. V části Oprávnění rozbalte Spravovaná zařízení> Nastavte heslo systému BIOS pro čtení na Ano.
    4. Vyberte Další>další>vytvoření.

  2. Přihlaste se k nástroji Graph pomocí této vlastní role RBAC a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Možnost 2 – Přečtení hesla systému BIOS pro všechna zařízení

Tato možnost získá seznam všech hesel systému BIOS všech zařízení.

  1. V Microsoft Entra ID potřebujete roli správce služeb Intune nebo roli globálního správce.

  2. Přihlaste se k nástroji Graph pomocí jedné z těchto rolí a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Další informace o rolích RBAC najdete v tématu Řízení přístupu na základě role (RBAC) s Microsoft Intune.

Odebrat heslo konfigurace systému BIOS

Pokud plánujete ukončit správu systému BIOS vašich zařízení nebo zařízení trvale odebrat z tenanta, musíte odebrat heslo systému BIOS.

Pokud chcete odebrat heslo systému BIOS, nastavte v zásadách konfigurace systému Intune BIOS nastavení Zakázat ochranu heslem systému BIOS na zařízení na Ano. Pak zásadu přiřaďte. Když se zařízení přihlásí pomocí Intune, použijí se zásady. Na zařízení můžete také ručně synchronizovat zařízení s Intune, aby se zásady použily.

Jakmile se zásada použije, restartujte zařízení.

Zrušením registrace zařízení v Intune se neodebere heslo systému BIOS. Pokud zrušíte registraci zařízení před zakázání hesla, budete muset heslo na zařízení aktualizovat ručně.

Konfigurace systému BIOS vs. DFCI

Intune má dvě funkce, které můžou spravovat nastavení systému BIOS na zařízeních s Windows: konfigurace systému BIOS a další nastavení a rozhraní DFCI (Device Firmware Configuration Interface).

Následující tabulka porovnává tyto možnosti.

Funkce Konfigurace systému BIOS a další nastavení DFCI
Podporované OEM Dell

Možná ještě více v budoucnu		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Další informace najdete v tématu Scénáře Microsoft DFCI.
Podporované konfigurace Všechny konfigurace dostupné v nástroji OEM Sada nastavení pro řízení funkcí zabezpečení, některých hardwarových funkcí, možností spouštění, portů a dalších
Způsob použití nastavení Intune doručí konfigurační soubor při přiřazení zásady. Agent OEM na zařízení použije konfiguraci. Prostřednictvím poskytovatele CSP UEFI s využitím vrstvy DFCI, která je izolovaná od operačního systému
Blokuje přístup k nabídce systému BIOS. Ano, prostřednictvím hesel systému BIOS Ano, prostřednictvím certifikátů
Konfigurace během Windows Autopilotu V nastavení stránky stavu registrace (ESP) vyberte aplikaci OEM Win32. Intune zařízení automaticky zaregistruje v nástroji DFCI mgmt.
Vytváření sestav Hlásí, jestli se použil konfigurační soubor. Podrobná sestava pro každé nastavení, které nakonfigurujete.
typ zásad Intune Zařízení>Konfigurace>Šablony>Konfigurace systému BIOS a další nastavení Zařízení>Konfigurace>Šablony>Rozhraní konfigurace firmwaru zařízení

Další informace o DFCI najdete tady: