Verwalten von DFCI auf Surface-Geräten

Einführung

Mit dfci-Profilen (Device Firmware Configuration Interface), die in Microsoft Intune integriert sind, erweitert die Surface UEFI-Verwaltung den modernen Verwaltungsstapel auf die UEFI-Hardwareebene (Unified Extensible Firmware Interface). DFCI unterstützt die Zero-Touch-Bereitstellung, eliminiert BIOS-Kennwörter, ermöglicht die Steuerung von Sicherheitseinstellungen, einschließlich Startoptionen und integrierten Peripheriegeräten, und legt die Grundlage für erweiterte Sicherheitsszenarien in der Zukunft. Auf dieser Seite werden alle DFCI-Richtlinieneinstellungen auf berechtigten, von Autopilot bereitgestellten Surface-Geräten aufgelistet.

DFCI wurde für die Verwendung mit der Verwaltung mobiler Geräte auf Softwareebene (Mobile Device Management, MDM) entwickelt und ermöglicht ES IT-Administratoren, bestimmte Hardwarekomponenten remote zu deaktivieren und zu verhindern, dass Endbenutzer darauf zugreifen. Wenn Sie z. B. vertrauliche Informationen in besonders sicheren Bereichen schützen müssen, können Sie die Kamera deaktivieren, und wenn Sie nicht möchten, dass Benutzer von USB-Laufwerken gestartet werden, können Sie dies auch deaktivieren.

Tipp

Die Unterstützung einiger DFCI-Richtlinieneinstellungen variiert je nach Gerät. Lesen Sie die Referenz zu DFCI-Richtlinieneinstellungen auf dieser Seite, und befolgen Sie Intune Anweisungen zum Konfigurieren und Bereitstellen von Einstellungen auf Ihren Geräten.

Voraussetzungen

Hinweis

Geräte, die manuell oder selbst für Autopilot registriert sind, z. B. aus einer CSV-Datei importiert, dürfen DFCI nicht verwenden. Standardmäßig erfordert die DFCI-Verwaltung einen externen Nachweis des kommerziellen Erwerbs des Geräts über einen Microsoft CSP-Partner oder eine Surface-Registrierung.

Referenz zu DFCI-Richtlinieneinstellungen für Surface-Geräte

Berechtigte Geräte

  • Surface Pro 9 (nur kommerzielle SKUs)
  • Surface Pro 9 mit 5G (nur kommerzielle SKUs)
  • Surface Pro 8 (nur kommerzielle SKUs)
  • Surface Pro 7+ (nur kommerzielle SKUs)
  • Surface Pro 7 (alle SKUs)
  • Surface Pro X (alle SKUs)
  • Surface Laptop Studio (nur kommerzielle SKUs)
  • Surface Laptop 5 (nur kommerzielle SKUs)
  • Surface Laptop 4 (nur kommerzielle SKUs)
  • Surface Laptop 3 (nur Intel-Prozessoren)
  • Surface Laptop Go
  • Surface Laptop Go 2
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (nur kommerzielle SKUs)
  • Surface Studio 2+

Hinweis

Surface Pro X unterstützt keine DFCI-Einstellungsverwaltung für integrierte Kamera, Audio und WLAN/Bluetooth. Einige neuere Einstellungen werden nur auf den neuesten Geräten unterstützt.

Tabelle 1: Referenz zu DFCI-Richtlinieneinstellungen: Von Autopilot bereitgestellte Surface-Geräte

DFCI-Einstellung Beschreibung Unterstützung
UEFI-Zugriff
Lokale Benutzer dürfen UEFI-Einstellungen (BIOS) ändern Mit dieser Einstellung können Sie verwalten, ob Endbenutzer UEFI-Einstellungen auf berechtigten Geräten ändern können.

– Wenn Sie Nur nicht konfigurierte Einstellungen auswählen, können lokale Benutzer (auch als Endbenutzer bezeichnet) UEFI-Einstellungen mit Ausnahme aller Einstellungen ändern, die Sie explizit über Intune aktiviert oder deaktiviert haben.
– Wenn Sie Keine auswählen, ändern lokale Benutzer UEFI-Einstellungen möglicherweise nicht, einschließlich Einstellungen, die nicht im DFCI-Profil angezeigt werden.
Alle berechtigten Geräte
Sicherheitseinstellungen
Gleichzeitiges Multithreading Mit dieser Einstellung können Sie verwalten, ob die Unterstützung für gleichzeitiges Multithreading (SMT) auf berechtigten Geräten aktiviert ist. SMT unterstützt die Intel Hyperthreading-Technologie, die zwei logische Prozessoren für jeden physischen Kern bereitstellt.

– Wenn Sie diese Einstellung aktivieren, ist SMT auf der UEFI-Ebene aktiviert.
– Wenn Sie diese Einstellung deaktivieren, wird SMT in der UEFI-Ebene deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist SMT aktiviert.
Alle berechtigten Geräte
Kameras
Kameras Mit dieser Einstellung können Sie verwalten, ob die integrierte Kamera auf geeigneten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Kameras zulässig. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, werden alle integrierten Kameras deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind alle integrierten Kameras aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Frontkamera Mit dieser Einstellung können Sie verwalten, ob die Frontkamera auf geeigneten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist die Frontkamera zulässig. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, ist die Frontkamera deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, ist die Frontkamera aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Rückwärtige Kamera Mit dieser Einstellung können Sie verwalten, ob die Rückfahrkamera auf geeigneten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist die Rückfahrkamera zulässig. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, ist die Rückfahrkamera deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, ist die Rückfahrkamera zulässig.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Infrarotkamera Mit dieser Einstellung können Sie festlegen, ob die Infrarotkamera auf geeigneten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist die Infrarotkamera zulässig. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, ist die Infrarotkamera deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, ist die Infrarotkamera zulässig.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Mikrofone und Lautsprecher
Mikrofone und Lautsprecher Mit dieser Einstellung können Sie festlegen, ob die an Bord befindliche Audiofunktion auf berechtigten Geräten möglich ist.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Mikrofone und Lautsprecher zulässig. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, werden alle integrierten Mikrofone und Lautsprecher deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind Mikrofone und Lautsprecher aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Mikrofone Mit dieser Einstellung können Sie verwalten, ob das integrierte Mikrofon auf berechtigten Geräten funktionieren kann. – Wenn Sie diese Einstellung aktivieren, sind alle integrierten Mikrofone aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, sind alle integrierten Mikrofone deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind Mikrofone aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Funkempfang
Radios (Bluetooth, WLAN, NFC usw.) Mit dieser Einstellung können Sie festlegen, ob integrierte Bluetooth-, WLAN- oder 5G-Funkgeräte auf geeigneten Geräten funktionieren können.

– Wenn Sie diese Einstellung aktivieren, sind alle integrierten Funkgeräte zulässig. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung deaktivieren, werden alle integrierten Radios deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
– Wenn Sie diese Einstellung nicht konfigurieren, sind alle integrierten Funkgeräte aktiviert.

TIPP: Konfigurieren Sie die Kategorieeinstellung Radios (Bluetooth, WLAN, NFC usw.) oder die präzisen Einstellungen Bluetooth, WLAN. Wenn Sie alle Einstellungen konfigurieren, können diese Einstellungen zu einem Konflikt führen. Weitere Informationen findest du unter DFCI-Profilübersicht: Konflikte.

VORSICHT: Die Einstellung Deaktivieren sollte nur auf Geräten mit einer kabelgebundenen Ethernet-Verbindung verwendet werden.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf allen anderen berechtigten Geräten.
Bluetooth Mit dieser Einstellung können Sie festlegen, ob integriertes Bluetooth auf berechtigten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist Bluetooth aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist Bluetooth deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist Bluetooth aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
WWAN Mit dieser Einstellung können Sie verwalten, ob der integrierte WWAN (5G Wireless) auf berechtigten Geräten funktionieren kann.

– Wenn Sie diese Einstellung aktivieren, ist WWAN aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist WWAN deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist WWAN aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
WLAN Mit dieser Einstellung können Sie verwalten, ob integrierte Wi-Fi auf berechtigten Geräten funktionieren können.

– Wenn Sie diese Einstellung aktivieren, ist Wi-Fi aktiviert.
– Wenn Sie diese Einstellung deaktivieren, ist Wi-Fi deaktiviert.
– Wenn Sie diese Einstellung nicht konfigurieren, ist Wi-Fi aktiviert.
– Wird auf Surface Pro X nicht unterstützt.
– Unterstützt auf Surface Pro 9 mit 5G und allen anderen berechtigten Geräten.
Startoptionen
Starten von externen Medien (USB, SD) Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte von externen Medien gestartet werden können.

– Wenn Sie diese Einstellung aktivieren, können Endbenutzer das Gerät von USB-Speichersticks oder anderen Speichertechnologien starten, die keine Festplatten sind.
– Wenn Sie diese Einstellung deaktivieren, können Endbenutzer das Gerät nicht von USB-Speichersticks oder anderen Nicht-Festplattenspeichertechnologien starten.
- Wenn Sie diese Einstellung nicht konfigurieren, können Endbenutzer das Gerät von USB-Speichersticks oder anderen Speichertechnologien starten, die keine Festplatten sind.
Alle berechtigten Geräte
Anschlüsse
USB Typ A Mit dieser Einstellung können Sie verwalten, wie Geräte USB-A-Verbindungen nutzen können.

– Wenn Sie diese Einstellung aktivieren, können USB-A-Datenverbindungen auf berechtigten Geräten funktionieren.
– Wenn Sie diese Einstellung deaktivieren, können USB-A-Datenverbindungen auf berechtigten Geräten nicht funktionieren.

– Wenn Sie diese Einstellung nicht konfigurieren, können USB-A-Datenverbindungen auf allen Geräten funktionieren.

VORSICHT: Wenn Sie sowohl das Starten von externen Medien als auch den USB-Typ A deaktivieren und das Gerät aus irgendeinem Grund nicht mehr gestartet werden kann, können Sie das Gerät nicht wiederherstellen, ohne die SSD zu ersetzen. Sie können nicht von externen Medien starten und einen PXE-Start oder eine DFCI-Aktualisierung aus dem Netzwerk ausführen.
Wird nur auf Surface Laptop Go 2 und höher unterstützt (Geräte, die nach dem 1. Juni 2022 veröffentlicht wurden).
Aktivierungseinstellungen
Wake-on-LAN Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte remote über den modernen Standbymodus oder den Ruhezustand gestartet werden können.

– Wenn Sie diese Einstellung aktivieren, können berechtigte Geräte so konfiguriert werden, dass sie remote wake on LAN sind.
– Wenn Sie diese Einstellung deaktivieren, können berechtigte Geräte nicht so konfiguriert werden, dass sie remote im LAN reaktivieren.
- Wenn Sie diese Einstellung nicht konfigurieren, können berechtigte Geräte so konfiguriert werden, dass sie remote im LAN reaktivieren.
Wird nur auf Surface Laptop Go 2 und höher unterstützt (Geräte, die nach dem 1. Juni 2022 veröffentlicht wurden).
Aktivierung beim Einschalten Mit dieser Einstellung können Sie verwalten, ob berechtigte Geräte automatisch aus dem Ruhezustand oder ausgeschaltet gestartet werden können, wenn sie an die Stromversorgung angeschlossen sind.

– Wenn Sie diese Einstellung aktivieren, können berechtigte Surface-Geräte so konfiguriert werden, dass sie automatisch gestartet werden, wenn sie an den Strom angeschlossen sind.
– Wenn Sie diese Einstellung deaktivieren, können berechtigte Surface-Geräte nicht so konfiguriert werden, dass sie automatisch gestartet werden, wenn sie an den Strom angeschlossen sind.
- Wenn Sie diese Einstellung nicht konfigurieren, können berechtigte Surface-Geräte nicht so konfiguriert werden, dass sie automatisch gestartet werden, wenn sie erneut mit dem Strom verbunden sind.
Wird nur auf Surface Laptop Go 2 und höher unterstützt (Geräte, die nach dem 1. Juni 2022 veröffentlicht wurden).

Hinweis

DFCI in Intune enthält Einstellungen, die derzeit nicht für Surface-Geräte gelten: CPU- und E/A-Virtualisierung, Deaktivieren des Starts von Netzwerkadaptern, Windows Platform Binary Table (WPBT), NFC und SD-Karte.

Erste Schritte

  1. Melden Sie sich unter endpoint.microsoft.com bei Ihrem Mandanten an.

  2. Wählen Sie im Microsoft Endpoint Manager Admin Center die Option GeräteKonfigurationsprofile >> Profil erstellen aus.

  3. Wählen Sie unter Plattform die Option Windows 10 und höher aus.

  4. Wählen Sie unter Profiltyp die Option Vorlagen>Gerätefirmwarekonfigurationsschnittstelle und dann Erstellen aus.

    Erstellen eines DFCI-Profils beginnen

  5. Vollständige Anweisungen finden Sie unter Verwenden von DFCI-Profilen auf Windows-Geräten in Microsoft Intune, einschließlich:

    • Erstellen Ihrer Azure AD-Sicherheitsgruppen
    • Erstellen der Profile
    • Zuweisen der Profile und Neustart
    • Aktualisieren vorhandener DFCI-Einstellungen
    • Wiederverwendung, Außerbetriebnahme oder Wiederherstellung des Geräts

Verhindern, dass Benutzer UEFI-Einstellungen ändern

Für viele Kunden ist die Möglichkeit, Benutzer daran zu hindern, UEFI-Einstellungen zu ändern, von entscheidender Bedeutung und ein Hauptgrund für die Verwendung von DFCI. Wie oben in Tabelle 1 aufgeführt, wird diese Funktionalität über die Einstellung Lokales Ändern von UEFI-Einstellungen zulassen verwaltet. Wenn Sie diese Einstellung nicht bearbeiten oder konfigurieren, kann der lokale Benutzer alle UEFI-Einstellungen ändern, die nicht von Intune verwaltet werden. Daher wird dringend empfohlen, die Einstellung Lokales Ändern der UEFI-Einstellungen zulassen auf Keine festzulegen.

Benutzerzugriff blockieren, um UEFI-Einstellungen zu ändern

Überprüfen der UEFI-Einstellungen auf von DFCI verwalteten Geräten

In einer Testumgebung können Sie Einstellungen in der Surface UEFI-Schnittstelle überprüfen.

  1. Surface UEFI öffnen:

    • Halten Sie die Lauter-Taste auf Ihrem Surface gedrückt, und drücken Sie gleichzeitig den Netzschalter , und lassen Sie sie los.
    • Wenn das Surface-Logo angezeigt wird, lassen Sie die Lauter-Taste los. Das UEFI-Menü wird innerhalb weniger Sekunden angezeigt.
  2. Wählen Sie Geräte aus. Das UEFI-Menü spiegelt die konfigurierten Einstellungen wider, wie in der folgenden Abbildung dargestellt.

    Surface UEFI.

    Hinweis:

    • Die Einstellungen sind abgeblendet (inaktiv), da lokale Benutzer das Ändern der UEFI-Einstellung zulassen auf Keine festgelegt ist.
    • On-board Audio ist auf off festgelegt, da die Richtlinie Mikrofone und Lautsprecher auf Deaktiviert festgelegt ist.

Entfernen der DFCI-Richtlinieneinstellungen

Wenn Sie ein DFCI-Profil erstellen, bleiben alle konfigurierten Einstellungen auf allen Geräten innerhalb des Verwaltungsbereichs des Profils wirksam. Sie können DFCI-Richtlinieneinstellungen nur entfernen, indem Sie das DFCI-Profil direkt bearbeiten. Wenn das ursprüngliche DFCI-Profil gelöscht wurde, erstellen Sie ein neues Profil, und bearbeiten Sie die entsprechenden Einstellungen.

Entfernen der DFCI-Verwaltung

So entfernen Sie die DFCI-Verwaltung und versetzen das Gerät in den neuen werksseitigen Zustand:

  1. Das Gerät wird von Intune außer Betrieb genommen:
    1. Wählen Sie in Endpoint Manager unter endpoint.microsoft.com Die Option Geräte>Alle Geräte aus.
    2. Wählen Sie das Gerät aus, das Sie außer Betrieb nehmen möchten, und wählen Sie dann Zurückziehen/Zurücksetzen aus. Weitere Informationen finden Sie unter Entfernen von Geräten durch Zurücksetzen, Außerbetriebnahme oder manuelles Aufheben der Registrierung des Geräts.
  2. Löschen Sie die Autopilot-Registrierung aus Intune:
    1. Wählen Sie Geräteregistrierung > Windows-Registrierung > Geräte aus.
    2. Wählen Sie unter Windows Autopilot-Geräte die Geräte aus, die Sie löschen möchten, und wählen Sie dann Löschen aus.
  3. Verbinden Sie das Gerät mit einem Ethernet-Adapter der Marke Surface mit dem kabelgebundenen Internet. Starten Sie das Gerät neu, und öffnen Sie das UEFI-Menü (halten Sie die Lauter-Taste gedrückt, während Sie auch den Netzschalter drücken und loslassen).
  4. Wählen Sie Verwaltung > Aktualisierung aus Netzwerk konfigurieren >und dann Abmelden aus.

Um das Gerät mit Intune aber ohne DFCI-Verwaltung zu verwalten, registrieren Sie es selbst bei Autopilot, und registrieren Sie es bei Intune. DFCI wird nicht auf selbst registrierte Geräte angewendet.

Weitere Informationen