Freigeben über

DFCI-Verwaltung (Device Firmware Configuration Interface)

Mit der Windows Autopilot-Bereitstellung und Intune können UEFI-Einstellungen (Unified Extensible Firmware Interface) verwaltet werden, nachdem das Gerät registriert wurde. UEFI-Einstellungen können mithilfe der Device Firmware Configuration Interface (DFCI) verwaltet werden. DFCI ermöglicht Es Windows, Verwaltungsbefehle von Intune an UEFI für von Autopilot bereitgestellte Geräte zu übergeben. Diese Funktion ermöglicht es, die Kontrolle des Endbenutzers über BIOS-Einstellungen einzuschränken. Beispielsweise können die Startoptionen gesperrt werden, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten, z. B. ein Betriebssystem, das nicht über die gleichen Sicherheitsfeatures verfügt.

Wenn ein Benutzer eine frühere Windows-Version neu installiert, ein separates Betriebssystem installiert oder die Festplatte formatiert, kann er die DFCI-Verwaltung nicht überschreiben. Dieses Feature kann auch verhindern, dass Schadsoftware mit Betriebssystemprozessen kommuniziert, einschließlich höherer Betriebssystemprozesse. Die Vertrauenskette von DFCI verwendet Kryptografie mit öffentlichem Schlüssel und ist nicht von der lokalen UEFI-Kennwortsicherheit abhängig. Diese Sicherheitsebene hindert lokale Benutzer daran, über die UEFI-Menüs des Geräts auf verwaltete Einstellungen zuzugreifen.

Eine Übersicht über die Vorteile, Szenarien und Voraussetzungen von DFCI finden Sie unter Device Firmware Configuration Interface (DFCI)-Einführung.

Wichtig

Ein Gerät wird während der Autopilot-Bereitstellung automatisch bei der DFCI-Verwaltung registriert, wenn die folgenden Aktionen auftreten:

  • Der OEM aktiviert das Gerät für DFCI.
  • Das Gerät wird über den OEM oder einen Cloud Solution Partner (CSP) im Partner Center für Autopilot registriert.

Die Registrierung in der DFCI-Verwaltung löst während der Out-of-Box-Benutzeroberfläche (OOBE) einen zusätzlichen Neustart aus.

DFCI-Verwaltungslebenszyklus

Der DFCI-Verwaltungslebenszyklus umfasst die folgenden Prozesse:

  • UEFI-Integration.
  • Geräteregistrierung
  • Profilerstellung.
  • Einschreibung.
  • Management.
  • Ruhestand.
  • Genesung.

Weitere Informationen finden Sie in der folgenden Abbildung:

Screenshot: DfCI-Verwaltungsworkflow (Device Firmware Configuration Interface)

Anforderungen

Wichtig

Geräte, die manuell für Autopilot registriert sind (z. B. durch Importieren aus einer CSV-Datei), dürfen DFCI nicht verwenden. Die DFCI-Verwaltung erfordert standardmäßig den externen Nachweis der kommerziellen Beschaffung des Geräts über eine OEM- oder CSP-Partnerregistrierung bei Windows Autopilot. Wenn das Gerät registriert ist, wird seine Seriennummer in der Liste der Windows Autopilot-Geräte angezeigt.

Verwalten des DFCI-Profils mit Windows Autopilot

Es gibt vier grundlegende Schritte zum Verwalten des DFCI-Profils mit Windows Autopilot:

  1. Erstellen eines Autopilot-Profils
  2. Erstellen eines Profils auf der Registrierungsstatusseite
  3. Erstellen eines DFCI-Profils
  4. Zuweisen der Profile

Weitere Informationen finden Sie unter Erstellen der Profile und Zuweisen der Profile und Neustart .

Die vorhandenen DFCI-Einstellungen können auch auf geräten geändert werden, die verwendet werden. Ändern Sie im vorhandenen DFCI-Profil die Einstellungen, und speichern Sie die Änderungen. Da das Profil bereits zugewiesen ist, werden die neuen DFCI-Einstellungen wirksam, wenn das Gerät das nächste Mal synchronisiert oder das Gerät neu gestartet wird.

Um zu ermitteln, ob ein Gerät DFCI-bereit ist, kann der folgende Intune Graph-API-Aufruf verwendet werden:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Weitere Informationen finden Sie unter Übersicht über die Intune-Api für Geräte und Apps und Arbeiten mit Intune in Microsoft Graph .

OEMs, die DFCI unterstützen

Andere OEMs sind ausstehend.

Verwandte Inhalte