Verwenden von BIOS-Konfigurationsprofilen auf Windows-Geräten in Microsoft Intune
In Intune können Sie eine BIOS-Konfiguration und andere Einstellungen gerätekonfigurationsrichtlinie verwenden, um BIOS-Features und -Einstellungen zu aktivieren oder zu deaktivieren.
Mit einem OEM-Tool erstellen Sie eine BIOS-Konfigurationsdatei, die die BIOS-Features konfiguriert. Auf den Geräten installieren Sie die OEM-Win32-App, die die Konfiguration liest. Anschließend fügen Sie in der Intune BIOS-Richtlinie die BIOS-Konfigurationsdatei hinzu und weisen die Richtlinie Ihren Geräten zu.
Die Konfigurationsdatei enthält in der Regel Einstellungen, die das Gerät und die integrierte Hardware schützen.
Sie möchten z. B. verhindern, dass Endbenutzer das Gerät neu erstellen und aus der Intune-Verwaltung herauskommen. Für diese Aufgabe erstellen Sie eine BIOS-Konfigurationsdatei, die das Starten von USB deaktiviert. Anschließend fügen Sie diese Datei der richtlinie Intune hinzu und aktivieren ein BIOS-Kennwort. Mit diesen Schritten wird sichergestellt, dass die Konfiguration nicht überschrieben wird.
Diese Funktion gilt für:
- Windows 10 und höher
- Dell-Geräte
Dieser Artikel enthält weitere Informationen zur Konfigurationsdatei und win32-App und zeigt Ihnen, wie Sie die BIOS-Konfiguration und andere Einstellungsrichtlinien in Intune erstellen.
Warnung
Änderungen an der BIOS-Konfiguration können sich auf die Funktionalität und Funktionsfähigkeit des Geräts auswirken, einschließlich der Möglichkeit, mit BitLocker verschlüsselte Laufwerke zu starten oder darauf zuzugreifen. Dieses Feature ermöglicht es Intune Administratoren, BIOS-Konfigurationen auf ihren Geräten einfach zu aktualisieren. Wenn Sie Änderungen vornehmen, testen Und bereitstellen Sie sie in Phasen, um die Auswirkungen unerwarteter Konfigurationen zu minimieren.
Voraussetzungen
Um diese Richtlinie zu konfigurieren, melden Sie sich mindestens beim Intune Admin Center mit der Rolle Richtlinien- und Profil-Manager an. Weitere Informationen zu den integrierten Rollen in Intune erhalten Sie unter Rollenbasierte Zugriffssteuerung mit Microsoft Intune.
Dieses Feature unterstützt organization Geräte, die mdm-registriert sind, Intune. Persönliche Geräte und Geräte, die nicht in Intune registriert sind, werden nicht unterstützt.
Stellen Sie sicher, dass auf den Geräten kein vorhandenes BIOS-Kennwort konfiguriert ist. Dieses Feature erfordert, dass Intune über das BIOS-Kennwort verfügen. Wenn Intune nicht über das BIOS-Kennwort des Geräts verfügt, kann die BIOS-Konfiguration nicht aktualisiert werden.
Schritt 1: Erstellen der Konfigurationsdatei und Bereitstellen der App
Dieser Abschnitt konzentriert sich auf die Verwendung des OEM-Tools zum Erstellen der Konfigurationsdatei und das Bereitstellen der OEM-Win32-App auf den Geräten.
Erstellen Sie die Konfigurationsdatei mit dem OEM-Tool. Fügen Sie in der Datei die Features hinzu, die Sie konfigurieren möchten, und konfigurieren Sie sie. Sie können alle Konfigurationseinstellungen hinzufügen, die der OEM unterstützt.
- Für Dell können Sie das Tool Dell Command (öffnet die Website von Dell) verwenden, um die BIOS-Konfigurationsdatei zu erstellen.
Wenn Sie die Konfigurationsdatei erstellen, wird eine koordinierende Win32-App vom OEM bereitgestellt. Stellen Sie die OEM-Win32-App auf den Geräten bereit. Diese App:
- Fungiert als Agent, der die von Ihnen erstellte Konfigurationsdatei liest und die BIOS-Kennwörter der Geräte liest.
- Muss auf allen Geräten installiert sein, bevor Sie die Intune BIOS-Konfigurationsrichtlinie zuweisen.
Für Dell können Sie die App Dell Command (öffnet die Website von Dell) herunterladen.
Um diese App auf den Geräten zu installieren, können Sie Intune verwenden. Sie fügen die App zu Intune hinzu und machen sie zu einer erforderlichen App. Weisen Sie dann die App dem Gruppen- oder Zuweisungsfilter zu, den Sie in Schritt 2 – Erstellen einer Gruppe erstellen oder einen Zuweisungsfilter ( in diesem Artikel) erstellen.
Weitere Informationen zu Win32-Apps in Intune findest du unter Hinzufügen, Zuweisen und Überwachen einer Win32-App in Microsoft Intune.
Schritt 2: Erstellen einer Gruppe oder Verwenden eines Zuweisungsfilters
Es wird empfohlen, diese Richtlinie auf eine bestimmte Gruppe von Geräten zu konzentrieren. Folgende Optionen sind verfügbar:
- Option 1 : Erstellen Sie eine Gruppe, die die Geräte enthält. Wenn Sie die App-Richtlinie und die BIOS-Konfigurationsrichtlinie erstellen, weisen Sie die Richtlinien dieser Gruppe zu.
- Option 2 : Verwenden Sie einen Zuweisungsfilter basierend auf dem Gerätehersteller. Wenn Sie den Filter erstellen, richten Sie die OEM-Geräte als Ziel ein. Wenn Sie die App- und BIOS-Konfigurationsrichtlinien zuweisen, fügen Sie diesen Filter hinzu.
Weitere Informationen zu diesen Features finden Sie unter:
- Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten
- Verwenden Sie Filter, wenn Sie Apps, Richtlinien und Profile in Microsoft Intune
Schritt 3: Erstellen der BIOS-Konfigurationsrichtlinie in Intune
In dieser Richtlinie fügen Sie die erstellte Konfigurationsdatei hinzu.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Gerätekonfiguration>>Neue Richtlinieerstellen> aus.
Geben Sie die folgenden Eigenschaften ein:
- Plattform: Wählen Sie Windows 10 und höher aus.
- Profiltyp: Wählen Sie Vorlagen>BIOS-Konfiguration und andere Einstellungen aus.
Wählen Sie Erstellen aus.
Geben Sie in Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Profilname ist beispielsweise das BIOS-Konfigurationskennwort.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Wählen Sie Weiter aus.
Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:
Hardware: Wählen Sie ihren Hardware-OEM-Anbieter aus einer Liste der unterstützten OEMs aus. Derzeit wird nur Dell unterstützt.
Deaktivieren des BIOS-Kennwortschutzes pro Gerät: Diese Einstellung verwaltet das Kennwort, das die BIOS-Konfiguration auf dem Gerät schützt. Folgende Optionen sind verfügbar:
- Nein: Intune generiert ein eindeutiges Gerätekennwort für jedes Gerät. Um auf die BIOS-Konfiguration auf dem Gerät zuzugreifen und diese zu aktualisieren, müssen Benutzer dieses Kennwort eingeben.
- Ja: Es gibt kein Kennwort, das das BIOS schützt. Alle vorherigen Kennwörter werden entfernt. Endbenutzer können auf das BIOS zugreifen und die BIOS-Einstellungen auf dem Gerät ändern.
Konfigurationsdatei: Laden Sie die mit Ihrem OEM-Tool generierte Konfigurationsdatei hoch.
Laden Sie für Dell die Datei des Dell Client Configuration Tool Kit (
.cctk) hoch. Die Dateigrößenbeschränkung beträgt 2 MB.
Wählen Sie Weiter aus.
Wählen Sie unter Zuweisungen die neue Gerätegruppe aus, die Sie erstellt haben. Diese Gruppe empfängt Ihr Profil. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.
Wählen Sie Weiter aus.
Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.
Wenn jedes Gerät das nächste Mal eincheckt, gilt die Richtlinie.
Überwachen Ihrer Richtlinie mit integrierten Berichten
Nachdem Sie eine Richtlinie erstellt haben, können Sie im Intune Admin Center deren status überwachen und alle Fehler anzeigen.
- Wechseln Sie im Intune Admin Center zuGerätekonfigurationsrichtlinien>>.
- Wählen Sie die Richtlinie aus, die Sie überwachen möchten. Der Bericht Device status zeigt die status der Richtlinie sowie alle Fehlerdetails für die Problembehandlung an.
Für weitere Informationen wechseln Sie zu:
Abrufen der BIOS-Kennwörter
Intune speichert die BIOS-Kennwörter für jedes Gerät. Sie können die BIOS-Kennwörter mithilfe von Microsoft Graph abrufen. Zum Testen der Graph-APIs können Sie Microsoft Graph Explorer verwenden.
Wichtig
Stellen Sie sicher, dass Sie alle Kennwörter außerhalb von Intune sichern.
- Wenn ein Gerät aus Intune-Verwaltung entfernt wird, können Administratoren weiterhin BIOS-Kennwörter mithilfe der Microsoft Graph-HARDWAREPasswordInfo-API lesen.
- Wenn das Intune Abonnement für Ihren Mandanten endet, gibt es keine Möglichkeit, BIOS-Kennwörter zu lesen oder abzurufen. In diesem Fall besteht ihre einzige Möglichkeit darin, sich an Ihren OEM zu wenden.
Option 1: Lesen des BIOS-Kennworts auf jedem Gerät
Mit dieser Option werden die BIOS-Kennwörter jeweils auf einem Gerät abgerufen.
Erstellen Sie eine benutzerdefinierte Intune RBAC-Rolle mit der Berechtigung Bios-Kennwort lesen:
- Wählen Sie im Intune Admin CenterMandantenverwaltungsrollen>>Neue Rolle erstellen aus.
- Benennen Sie Ihre Rolle, und wählen Sie Weiter aus.
- Erweitern Sie unter Berechtigungendie Option Verwaltete Geräte> Legen Sie BIOS-Kennwort lesen auf Ja fest.
- Wählen Sie Weiter>Weiter>Erstellen aus.
Melden Sie sich mit dieser benutzerdefinierten RBAC-Rolle bei Ihrem Graph-Tool an, und verwenden Sie die Microsoft Graph-API hardwarePasswordInfo:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Option 2: Lesen des BIOS-Kennworts aller Geräte
Diese Option ruft eine Liste aller BIOS-Kennwörter aller Geräte ab.
In Microsoft Entra ID benötigen Sie die Rolle "Intune-Dienstadministrator" oder "Globaler Administrator".
Melden Sie sich mit einer der folgenden Rollen bei Ihrem Graph-Tool an, und verwenden Sie die Microsoft Graph-API hardwarePasswordInfo:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Weitere Informationen zu RBAC-Rollen findest du unter Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Microsoft Intune.
Entfernen des BIOS-Konfigurationskennworts
Wenn Sie die Verwaltung des BIOS Ihrer Geräte beenden oder Geräte dauerhaft aus Ihrem Mandanten entfernen möchten, müssen Sie das BIOS-Kennwort entfernen.
Um das BIOS-Kennwort zu entfernen, legen Sie in Ihrer Intune BIOS-Konfigurationsrichtlinie die Einstellung Gerätespezifischen BIOS-Kennwortschutz deaktivieren auf Ja fest. Weisen Sie dann die Richtlinie zu. Wenn das Gerät mit Intune eincheckt, gilt die Richtlinie. Auf dem Gerät können Sie das Gerät auch manuell mit Intune synchronisieren, um die Richtlinie anzuwenden.
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Wenn Sie die Registrierung des Geräts bei Intune aufheben, wird das BIOS-Kennwort nicht entfernt. Wenn Sie die Registrierung des Geräts aufheben, bevor Sie das Kennwort deaktivieren, müssen Sie das Kennwort auf dem Gerät manuell aktualisieren.
BIOS-Konfiguration im Vergleich zu DFCI
Intune verfügt über zwei Features, mit denen die BIOS-Einstellungen auf Windows-Geräten verwaltet werden können: BIOS-Konfiguration und andere Einstellungen und Device Firmware Configuration Interface (DFCI).
In der folgenden Tabelle werden diese Optionen verglichen.
| Feature | BIOS-Konfiguration und andere Einstellungen | DFCI |
|---|---|---|
| Unterstützte OEMs | Dell Möglicherweise noch mehr in der Zukunft |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Weitere Informationen findest du unter Microsoft DFCI-Szenarien. |
| Unterstützte Konfigurationen | Alle in Ihrem OEM-Tool verfügbaren Konfigurationen | Eine Reihe von Einstellungen zum Steuern von Sicherheitsfeatures, einigen Hardwarefeatures, Startoptionen, Ports und mehr |
| Anwenden von Einstellungen | Intune übermittelt die Konfigurationsdatei, wenn die Richtlinie zugewiesen wird. Der OEM-Agent auf dem Gerät wendet die Konfiguration an. | Über den UEFI-CSP mit der DFCI-Ebene, die vom Betriebssystem isoliert ist |
| Blockiert den Zugriff auf das BIOS-Menü | Ja, über BIOS-Kennwörter | Ja, über Zertifikate |
| Konfiguration während Windows Autopilot | Wählen Sie in den Einstellungen der Registrierungsstatusseite (ESP) die OEM Win32-App aus. | Intune registriert das Gerät automatisch in DFCI mgmt. |
| Berichterstellung | Meldet, ob die Konfigurationsdatei angewendet wurde. | Präziser Bericht für jede von Ihnen konfigurierte Einstellung. |
| Intune-Richtlinientyp | Geräte>Konfiguration>Vorlagen>BIOS-Konfiguration und andere Einstellungen | Geräte>Konfiguration>Vorlagen>Gerätefirmwarekonfigurationsschnittstelle |
Weitere Informationen zu DFCI:For more information on DFCI, go to:
- DFCI-Profile (Device Firmware Configuration Interface) auf Windows-Geräten in Microsoft Intune
- Microsoft DFCI-Szenarien
- DFCI auf Surface-Geräten
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für