Použití profilů DFCI (Device Firmware Configuration Interface) na zařízeních s Windows v Microsoft Intune

  • Článek

Pokud používáte Intune ke správě zařízení Windows Autopilot, můžete spravovat nastavení UEFI (BIOS) po jejich registraci pomocí rozhraní DFCI (Device Firmware Configuration Interface). Přehled výhod, scénářů a požadavků najdete v tématu Přehled DFCI.

DFCI umožňuje systému Windows předávat příkazy pro správu z Intune rozhraní UEFI (Unified Extensible Firmware Interface).

V Intune použijte tuto funkci k řízení nastavení systému BIOS. Firmware je obvykle odolnější vůči útokům se zlými úmysly. Omezuje kontrolu koncových uživatelů nad systémem BIOS, což je dobré v ohrožené situaci.

Tato funkce platí pro:

  • Windows 11 u podporovaného rozhraní UEFI
  • Windows 10 RS5 (1809) a novější na podporovaném rozhraní UEFI

Například používáte klientská zařízení s Windows v zabezpečeném prostředí a chcete zakázat kameru. Kameru můžete zakázat na vrstvě firmwaru, takže nezáleží na tom, co dělá koncový uživatel. Opětovná instalace operačního systému nebo vymazání počítače kameru znovu nezapne. V jiném příkladu zamkněte možnosti spouštění, abyste uživatelům zabránili ve spuštění jiného operačního systému nebo starší verze Windows, která nemá stejné funkce zabezpečení.

Když přeinstalujete starší verzi Windows, nainstalujete samostatný operační systém nebo naformátujete pevný disk, nemůžete přepsat správu DFCI. Tato funkce může zabránit malwaru v komunikaci s procesy operačního systému, včetně procesů operačního systému se zvýšenými oprávněními. Řetězec důvěryhodnosti DFCI používá kryptografii s veřejným klíčem a nezávisí na zabezpečení místních hesel UEFI (BIOS). Tato vrstva zabezpečení blokuje místním uživatelům přístup ke spravovaným nastavením z nabídek UEFI (BIOS) zařízení.

Tip

Pro zařízení Dell můžete vytvořit zásady konfigurace systému BIOS . Další informace najdete v tématu Použití konfiguračních profilů systému BIOS na zařízeních s Windows v Microsoft Intune.

Než začnete

  • Výrobce zařízení musí mít DFCI přidaný do svého firmwaru UEFI ve výrobním procesu nebo jako aktualizaci firmwaru, kterou nainstalujete. Ve spolupráci s dodavateli zařízení určete výrobce, kteří podporují DFCI, nebo verzi firmwaru potřebnou k použití DFCI.

  • Zařízení musí být zaregistrované pro Windows Autopilot partnerem CSP (Microsoft Cloud Solution Provider) nebo přímo výrobcem OEM.

    Zařízení ručně zaregistrovaná pro Windows Autopilot, například importovaná ze souboru CSV, nesmí používat DFCI. Správa DFCI vyžaduje externí ověření komerčního pořízení zařízení prostřednictvím registrace výrobce OEM nebo partnera Microsoft CSP ve Windows Autopilotu.

    Po registraci zařízení se jeho sériové číslo zobrazí v seznamu zařízení Windows Autopilot.

    Další informace o Windows Autopilotu, včetně všech požadavků, najdete v článku Přehled registrace Windows Autopilotu.

Vytvoření skupin zabezpečení Microsoft Entra

Profily nasazení Windows Autopilotu se přiřazují Microsoft Entra skupinám zabezpečení. Nezapomeňte vytvořit skupiny, které obsahují vaše zařízení podporovaná DFCI. U zařízení DFCI může většina organizací místo skupin uživatelů vytvářet skupiny zařízení. Zvažte následující scénáře:

  • Lidské zdroje (HR) mají různá zařízení s Windows. Z bezpečnostních důvodů nechcete, aby někdo v této skupině používal kameru na zařízeních. V tomto scénáři můžete vytvořit skupinu Uživatelů zabezpečení lidských zdrojů, aby se zásady vztahovaly na uživatele ve skupině HR bez ohledu na typ zařízení.

  • Na výrobní podlaze máte 10 zařízení. Na všech zařízeních chcete zabránit spouštění zařízení ze zařízení USB. V tomto scénáři můžete vytvořit skupinu zařízení zabezpečení a přidat těchto 10 zařízení do skupiny.

Další informace o vytváření skupin v Intune najdete v tématu Přidání skupin pro uspořádání uživatelů a zařízení.

Vytvoření profilů

Pokud chcete použít DFCI, vytvořte následující profily a přiřaďte je ke své skupině.

Krok 1 – vytvoření profilu nasazení Windows Autopilotu

Tento profil nastavuje a předkonfiguruje nová zařízení. Následující článek uvádí postup vytvoření profilu:

Krok 2 – vytvoření profilu stránky stavu registrace

Tento profil zajišťuje, že zařízení jsou během instalace Windows ověřená a povolená pro DFCI. Důrazně doporučujeme používat tento profil k blokování používání zařízení, dokud se nenainstalují všechny aplikace a profily.

Následující článek uvádí postup vytvoření profilu:

Krok 3 – Vytvoření profilu DFCI v Intune

Tento profil zahrnuje nastavení DFCI, která nakonfigurujete.

Tip

Konfigurace a přiřazení profilů DFCI může zařízení uzamknout mimo opravu. Proto věnujte pozornost hodnotám, které nakonfigurujete.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Vytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony>Rozhraní konfigurace firmwaru zařízení.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název profilu je například Windows – nastavení DFCI na zařízeních s Windows.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

    Vyberte Další.

  6. V části Nastavení konfigurace nakonfigurujte nastavení, která chcete řídit, ve vrstvě firmwaru rozhraní UEFI. Seznam všech nastavení a jejich funkce najdete tady:

    Vyberte Další.

  7. V části Značky oboru (volitelné) přiřaďte značku pro filtrování profilu pro konkrétní skupiny IT, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití značek RBAC a oborů pro distribuované IT. Vyberte Další.

  8. V Zadání vyberte uživatele nebo skupinu uživatelů, kterým se zobrazí váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení. Vyberte Další.

  9. V části Zkontrolovat a vytvořit zkontrolujte nastavení a vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Při příštím přihlášení každého zařízení se zásada použije.

Přiřazení profilů a restartování

Nezapomeňte profily přiřadit ke skupinám zabezpečení Microsoft Entra, které zahrnují vaše zařízení DFCI. Profil je možné přiřadit při vytvoření nebo po jeho vytvoření.

Když zařízení spustí Windows Autopilot, může DFCI na stránce Stav registrace vynutit restartování. Při prvním restartování se rozhraní UEFI zaregistruje do Intune.

Pokud chcete ověřit, že je zařízení zaregistrované, můžete ho znovu restartovat, ale není to nutné. Podle pokynů výrobce zařízení otevřete nabídku rozhraní UEFI a ověřte, že je rozhraní UEFI teď spravované.

Při příští synchronizaci zařízení s Intune systém Windows obdrží nastavení DFCI. Restartujte zařízení. Toto třetí restartování je nutné, aby rozhraní UEFI přijalo nastavení DFCI z Windows.

Aktualizace existujících nastavení DFCI

Pokud chcete změnit existující nastavení DFCI na zařízeních, která se používají, můžete. V existujícím profilu DFCI změňte nastavení a uložte změny. Vzhledem k tomu, že profil je už přiřazený, nové nastavení DFCI se projeví v následujících případech:

  1. Zařízení se přihlásí ke službě Intune a zkontroluje aktualizace profilu. K ohlášení se dochází v různých časech. Další informace najdete v článku o tom, kdy zařízení získají aktualizace zásad, profilu nebo aplikací.
  2. Pokud chcete vynutit nové nastavení, vzdáleně nebo místně restartujte zařízení.

Můžete také signalizovat zařízení, která se mají oznamovat. Po úspěšné synchronizaci signalizujete restartování.

Poznámka

Odstraněním profilu DFCI nebo odebráním zařízení ze skupiny přiřazené k profilu nedojde k odebrání nastavení DFCI ani opětovnému povolení nabídek UEFI (BIOS). Pokud chcete DFCI přestat používat, aktualizujte nastavení ve svém stávajícím profilu DFCI. Další informace o postupu najdete v tomto článku v části Vyřazení zařízení .

Konflikty

Při vytváření zásad DFCI nakonfigurujete nastavení Windows DFCI , které chcete spravovat.

Některá nastavení jsou v logické kategorii, například Mikrofony a Reproduktory. K dispozici jsou také podrobná nastavení, například Mikrofony. Pokud tato nastavení kolidují, stane se toto:

  • Při prvním pokusu o synchronizaci se použije podrobné nastavení (Mikrofony) a nastavení kategorie není v souladu (Mikrofony a reproduktory).

  • Při každé synchronizaci se službou Intune po první synchronizaci dochází ve smyčce k následujícímu chování:

    • Intune použije nastavení kategorie (Mikrofony a reproduktory), protože nevyhovuje předpisům. Podrobné nastavení (Mikrofony) přestane být v souladu.
    • Intune použije podrobné nastavení (Mikrofony), protože nevyhovuje předpisům. Nastavení kategorie (Mikrofony a reproduktory) přestane být v souladu s předpisy.

Chcete-li se tomuto chování ve smyčce vyhnout, nakonfigurujte nastavení kategorie nebo podrobné nastavení.

Chcete například povolit jenom Wi-Fi rádia. V tomto scénáři:

  • V kategorii Radios (Bluetooth, Wi-Fi, NFC atd.) ponechte nastavení Nenakonfigurováno.
  • Pro nastavení rádia Wi-Fi nastavte ho na Povolit.
  • Nastavte všechna ostatní podrobná nastavení rádia na Zakázáno.

Opakované použití, vyřazení nebo obnovení zařízení

Opětovné použití

Pokud máte v úmyslu obnovit Windows do továrního nastavení, abyste zařízení mohli znovu použít, pak zařízení vymažte. Neodebívejte záznam zařízení Windows Autopilot.

Po vymazání zařízení přesuňte zařízení do skupiny přiřazené novým profilům DFCI a Windows Autopilot. Nezapomeňte zařízení restartovat, aby se znovu spustit instalační program Windows.

Vyřazení

Až budete připraveni zařízení vyřadit a uvolnit ho ze správy, aktualizujte profil DFCI na požadované nastavení UEFI (BIOS) ve stavu ukončení. Obvykle chcete povolit všechna nastavení. Příklady:

  1. V Centru pro správu Intune otevřete profil DFCI (Konfigurace zařízení>).
  2. Změňte možnost Povolit místnímu uživateli změnit nastavení UEFI (BIOS) na Pouze nenakonfigurováno nastavení.
  3. Nastavte všechna ostatní nastavení na Nenakonfigurováno.
  4. Uložte nastavení.

Tento postup odemkne nabídky UEFI (BIOS) zařízení. Hodnoty zůstanou stejné jako profil (Povoleno nebo Zakázáno) a nenastaví se zpět na žádné výchozí hodnoty operačního systému.

Teď jste připraveni zařízení vymazat. Po vymazání zařízení odstraňte záznam Windows Autopilot. Odstranění záznamu zabrání automatické opětovné registraci zařízení při restartování.

Tip

Pokud chcete odebrat zařízení Surface z registrace DFCI, přejděte k odebrání správy DFCI.

Obnovit

Pokud vymažete zařízení a před odemknutím nabídek UEFI (BIOS) odstraníte záznam Windows Autopilot, zůstanou nabídky zamknuté. Intune nemůže odeslat aktualizace profilu k odemknutí.

Pokud chcete zařízení odemknout, otevřete nabídku UEFI (BIOS) a aktualizujte správu ze sítě. Obnovení odemkne nabídky, ale ponechá všechna nastavení UEFI (BIOS) nastavená na hodnoty v předchozím profilu Intune DFCI.

Dopad na koncové uživatele

Při použití zásady DFCI nemůžou místní uživatelé měnit nastavení nakonfigurovaná službou DFCI, a to ani v případě, že je nabídka UEFI (BIOS) chráněná heslem. V závislosti na nastavení, která nakonfigurujete, se koncovým uživatelům můžou zobrazit chyby, že se hardwarové komponenty nenašly nebo se nedají diagnostikovat. Nezapomeňte koncovým uživatelům poskytnout dokumentaci s vysvětlením možností, které jste zakázali.