DFCI-Verwaltung (Device Firmware Configuration Interface)

Gilt für:

  • Windows 11
  • Windows 10

Mit Windows Autopilot Deployment und Intune können Sie UEFI-Einstellungen (Unified Extensible Firmware Interface) nach der Registrierung mithilfe der Device Firmware Configuration Interface (DFCI) verwalten. DFCI ermöglicht Es Windows, Verwaltungsbefehle von Intune an UEFI für von Autopilot bereitgestellte Geräte zu übergeben. Mit dieser Funktion können Sie die Kontrolle des Endbenutzers über BIOS-Einstellungen einschränken. Beispielsweise können Sie die Startoptionen sperren, um zu verhindern, dass Benutzer ein anderes Betriebssystem starten, z. B. ein Betriebssystem, das nicht über die gleichen Sicherheitsfeatures verfügt.

Wenn ein Benutzer eine frühere Windows-Version neu installiert, ein separates Betriebssystem installiert oder die Festplatte formatiert, kann er die DFCI-Verwaltung nicht überschreiben. Dieses Feature kann auch verhindern, dass Schadsoftware mit Betriebssystemprozessen kommuniziert, einschließlich höherer Betriebssystemprozesse. Die Vertrauenskette von DFCI verwendet Kryptografie mit öffentlichem Schlüssel und ist nicht von der lokalen UEFI-Kennwortsicherheit abhängig. Diese Sicherheitsebene hindert lokale Benutzer daran, über die UEFI-Menüs des Geräts auf verwaltete Einstellungen zuzugreifen.

Eine Übersicht über die Vorteile, Szenarien und Voraussetzungen von DFCI finden Sie unter Device Firmware Configuration Interface (DFCI)-Einführung.

Wichtig

Geräte, die vom OEM für DFCI aktiviert und über den OEM oder einen CSP im Partner Center für Autopilot registriert sind, registrieren sich während der Autopilot-Bereitstellung automatisch für die DFCI-Verwaltung. Die Registrierung in der DFCI-Verwaltung löst einen zusätzlichen Neustart während der OOBE aus.

DFCI-Verwaltungslebenszyklus

Der DFCI-Verwaltungslebenszyklus umfasst die folgenden Prozesse:

  • UEFI-Integration
  • Geräteregistrierung
  • Profilerstellung
  • Registrierung
  • Verwaltung
  • Auslaufen
  • Wiederherstellung

Weitere Informationen finden Sie in der folgenden Abbildung.

Lebenszyklus

Anforderungen

Wichtig

Geräte, die manuell für Autopilot registriert sind (z. B. durch Importieren aus einer CSV-Datei), dürfen DFCI nicht verwenden. Die DFCI-Verwaltung erfordert standardmäßig den externen Nachweis der kommerziellen Beschaffung des Geräts über eine OEM- oder CSP-Partnerregistrierung bei Windows Autopilot. Wenn Ihr Gerät registriert ist, wird dessen Seriennummer in der Liste der Windows Autopilot-Geräte angezeigt.

Verwalten des DFCI-Profils mit Windows Autopilot

Es gibt vier grundlegende Schritte zum Verwalten des DFCI-Profils mit Windows Autopilot:

  1. Erstellen eines Autopilot-Profils
  2. Erstellen eines Registrierungs-status-Seitenprofils
  3. Erstellen eines DFCI-Profils
  4. Zuweisen der Profile

Weitere Informationen finden Sie unter Erstellen der Profile und Zuweisen der Profile und Neustart .

Sie können auch vorhandene DFCI-Einstellungen auf geräten ändern, die verwendet werden. Ändern Sie in Ihrem vorhandenen DFCI-Profil die Einstellungen, und speichern Sie ihre Änderungen. Da das Profil bereits zugewiesen ist, werden die neuen DFCI-Einstellungen wirksam, wenn das Gerät das nächste Mal synchronisiert oder das Gerät neu gestartet wird.

OEMs, die DFCI unterstützen

Andere OEMs sind ausstehend.

Siehe auch

Microsoft DFCI-Szenarien
Windows Autopilot und Surface-Geräte