Teilen über


DFCI-Verwaltung (Device Firmware Configuration Interface)

Mit Windows Autopilot Deployment und Intune können UEFI-Einstellungen (Unified Extensible Firmware Interface) verwaltet werden, nachdem das Gerät registriert wurde. UEFI-Einstellungen können mithilfe der Device Firmware Configuration Interface (DFCI) verwaltet werden. DFCI ermöglicht Es Windows, Verwaltungsbefehle von Intune an UEFI für von Autopilot bereitgestellte Geräte zu übergeben. Diese Funktion ermöglicht es, die Kontrolle des Endbenutzers über BIOS-Einstellungen einzuschränken. Beispielsweise können die Startoptionen gesperrt werden, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten, z. B. ein Betriebssystem, das nicht über die gleichen Sicherheitsfeatures verfügt.

Wenn ein Benutzer eine frühere Windows-Version neu installiert, ein separates Betriebssystem installiert oder die Festplatte formatiert, kann er die DFCI-Verwaltung nicht überschreiben. Dieses Feature kann auch verhindern, dass Schadsoftware mit Betriebssystemprozessen kommuniziert, einschließlich höherer Betriebssystemprozesse. Die Vertrauenskette von DFCI verwendet Kryptografie mit öffentlichem Schlüssel und ist nicht von der lokalen UEFI-Kennwortsicherheit abhängig. Diese Sicherheitsebene hindert lokale Benutzer daran, über die UEFI-Menüs des Geräts auf verwaltete Einstellungen zuzugreifen.

Eine Übersicht über die Vorteile, Szenarien und Anforderungen von DFCI finden Sie unter Device Firmware Configuration Interface (DFCI) Einführung.

Wichtig

Ein Gerät wird während der Autopilot-Bereitstellung automatisch bei der DFCI-Verwaltung registriert, wenn die folgenden Aktionen auftreten:

  • Der OEM aktiviert das Gerät für DFCI.
  • Das Gerät wird über den OEM oder einen Cloud Solution Partner (CSP) im Partner Center für Autopilot registriert.

Die Registrierung in der DFCI-Verwaltung löst während der Out-of-Box-Benutzeroberfläche (OOBE) einen zusätzlichen Neustart aus.

DFCI-Verwaltungslebenszyklus

Der DFCI-Verwaltungslebenszyklus umfasst die folgenden Prozesse:

  • UEFI-Integration.
  • Geräteregistrierung
  • Profilerstellung.
  • Einschreibung.
  • Management.
  • Ruhestand.
  • Genesung.

Weitere Informationen finden Sie in der folgenden Abbildung:

Screenshot: DfCI-Verwaltungsworkflow (Device Firmware Configuration Interface)

Anforderungen

  • Eine derzeit unterstützte Version von Windows und eine unterstützte UEFI sind erforderlich.
  • Der Gerätehersteller muss dfci seiner UEFI-Firmware im Herstellungsprozess oder als Firmwareupdate hinzugefügt haben, das installiert werden kann. Arbeiten Sie mit den Geräteanbietern zusammen, um die Hersteller zu ermitteln, die DFCI unterstützen, oder die Firmwareversion, die für die Verwendung von DFCI erforderlich ist.
  • Das Gerät muss mit Microsoft Intune verwaltet werden. Weitere Informationen finden Sie unter Registrieren von Windows-Geräten in Intune mit Windows Autopilot.
  • Das Gerät muss von einem Microsoft CSP-Partner (Cloud Solution Provider) oder direkt vom OEM für Windows Autopilot registriert werden. Für Surface-Geräte ist der Microsoft-Registrierungssupport unter Microsoft Devices Autopilot Support verfügbar.

Wichtig

Geräte, die manuell für Autopilot registriert sind (z. B. durch Importieren aus einer CSV-Datei), dürfen DFCI nicht verwenden. Die DFCI-Verwaltung erfordert standardmäßig den externen Nachweis der kommerziellen Beschaffung des Geräts über eine OEM- oder CSP-Partnerregistrierung bei Windows Autopilot. Wenn das Gerät registriert ist, wird seine Seriennummer in der Liste der Windows Autopilot-Geräte angezeigt.

Verwalten des DFCI-Profils mit Windows Autopilot

Es gibt vier grundlegende Schritte zum Verwalten des DFCI-Profils mit Windows Autopilot:

  1. Erstellen eines Autopilot-Profils
  2. Erstellen eines Registrierungs-status-Seitenprofils
  3. Erstellen eines DFCI-Profils
  4. Zuweisen der Profile

Weitere Informationen finden Sie unter Erstellen der Profile und Zuweisen der Profile und Neustart .

Die vorhandenen DFCI-Einstellungen können auch auf geräten geändert werden, die verwendet werden. Ändern Sie im vorhandenen DFCI-Profil die Einstellungen, und speichern Sie die Änderungen. Da das Profil bereits zugewiesen ist, werden die neuen DFCI-Einstellungen wirksam, wenn das Gerät das nächste Mal synchronisiert oder das Gerät neu gestartet wird.

Um zu ermitteln, ob ein Gerät dfci-bereit ist, kann der folgende Intune Graph-API-Aufruf verwendet werden:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Weitere Informationen finden Sie unter Übersicht über die API für Intune Geräte und Apps und Arbeiten mit Intune in Microsoft Graph .

OEMs, die DFCI unterstützen

Andere OEMs sind ausstehend.

Bekannte Probleme

Fehler bei der DFCI-Registrierung für Professional-Editionen von Windows 11, Version 24H2

Hinzugefügt am: 9. Oktober 2024

DFCI kann derzeit nicht auf Geräten mit Professional-Editionen von Windows 11 Version 24H2 verwendet werden. Das Problem wird derzeit untersucht. Stellen Sie als Problemumgehung sicher, dass das Gerät während oder nach dem OOBE-Onboarding auf die Enterprise Edition von Windows 11, Version 24H2, aktualisiert wird. Nach dem Upgrade auf die Enterprise Edition von Windows 11 Version 24H2 synchronisieren Sie das Gerät. Nachdem das Gerät synchronisiert wurde, starten Sie es neu, um es bei DER DFCI zu registrieren.