DFCI-Profileinstellungen (Device Firmware Configuration Interface, Schnittstelle zur Konfiguration der Gerätefirmware) in Microsoft Intune

In diesem Artikel werden die DFCI-Profileinstellungen aufgeführt und beschrieben, die Sie auf Windows-Clientgeräten steuern können. Verwenden Sie als Teil Ihrer Mdm-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) diese Einstellungen, um Sicherheitsfeatures, die integrierte Hardware und die Startoptionen auf der UEFI-Ebene unter Windows zu steuern.

Diese Einstellungen gelten für:

  • Windows 11 auf unterstütztem UEFI
  • Windows 10 RS5 (1809) und höher auf unterstützter UEFI

Diese Einstellungen werden einem Gerätekonfigurationsprofil in Intune hinzugefügt und dann Ihren Windows-Clientgeräten zugewiesen oder bereitgestellt.

Bevor Sie beginnen

Warnung

Sei vorsichtig. Das Konfigurieren und Zuweisen von DFCI-Profilen kann das Gerät irreparabel sperren. Die DFCI-Profileinstellungen ändern die Gerätehardware und können nicht durch ein erneutes Image des Betriebssystems behoben werden.

Sicherheitsfeatures

  • Zulassen, dass der lokale Benutzer UEFI-Einstellungen ändert: Ihre Optionen:

    • Nur nicht konfigurierte Einstellungen: Der lokale Benutzer kann jede Einstellung mit Ausnahme der Einstellungen ändern, die durch Intune explizit auf Aktivieren oder Deaktivieren festgelegt sind.
    • Keine: Der lokale Benutzer darf keine UEFI-Einstellungen (BIOS) einschließlich der nicht im DFCI-Profil angezeigten Einstellungen ändern.
  • CPU- und E/A-Virtualisierung: Ihre Optionen:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
    • Aktiviert: Das BIOS ermöglicht dem Betriebssystem die Verwendung der CPU- und E/A-Funktionen des Betriebssystems. Virtualisierungsbasierte Sicherheits- und Device Guard-Technologien werden eingeschaltet.
  • Windows Platform Binary Table (WPBT): Die WPBT ermöglicht Es Anbietern und OEMs, ein .exe Programm auf der UEFI-Ebene auszuführen. Jedes Mal, wenn Windows gestartet wird, wird die UEFI überprüft und ausgeführt .exe. Es wird verwendet, um Programme auszuführen, die nicht im Lieferumfang von Windows Media enthalten sind.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig erlaubt das Betriebssystem Anbietern und OEMs, Programme mithilfe des WPBT auszuführen.
    • Aktiviert: Aktiviert das WPBT und ermöglicht .exe die Ausführung von Programmen auf der UEFI-Ebene.
    • Deaktiviert: Deaktiviert das WPBT und verhindert, dass .exe Programme auf der UEFI-Ebene ausgeführt werden.
  • Gleichzeitiges Multithreading (SMT): Wird auch als Hyperthreading bezeichnet. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert.
    • Aktiviert: Aktiviert SMT auf der UEFI-Ebene.
    • Deaktiviert: Deaktiviert SMT auf der UEFI-Ebene.

Kameras

  • Kameras: Diese Einstellung verwaltet alle in das Gerät integrierten Hardwarekameras. Angeschlossene Peripheriegeräte, z. B. USB-Webcams, werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Kameras.
    • Aktiviert: Alle integrierten Kameras, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
    • Deaktiviert: Alle integrierten Kameras, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
  • Frontkameras: Diese Einstellung verwaltet die integrierten Frontkameras für sichtbares Licht, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Frontkameras für sichtbares Licht.
    • Aktiviert: Alle integrierten frontseitigen Sichtbarlichtkameras, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
    • Deaktiviert: Alle integrierten frontseitigen Sichtbarlichtkameras, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
  • Rückfahrkameras: Diese Einstellung verwaltet die integrierten Hinterlichtkameras, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten rückwärtigen Kameras.
    • Aktiviert: Alle integrierten Rücklichtkameras, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
    • Deaktiviert: Alle integrierten Rücklichtkameras, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
  • Infrarotkameras (IR): Diese Einstellung verwaltet die integrierten Infrarotkameras, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Infrarotkameras.
    • Aktiviert: Alle integrierten Infrarotkameras, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.
    • Deaktiviert: Alle integrierten Infrarotkameras, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Kameras sind nicht betroffen.

Mikrofone und Lautsprecher

Tipp

Konfigurieren Sie die Kategorieeinstellung (Mikrofone und Lautsprecher) oder die differenzierten Einstellungen (Mikrofone). Wenn Sie alle Einstellungen konfigurieren, können diese Einstellungen zu einem Konflikt führen. Weitere Informationen findest du unter DFCI-Profilübersicht: Konflikte.

  • Mikrofone und Lautsprecher: Diese Einstellung verwaltet alle Mikrofone und Lautsprecher, die in das Gerät integriert sind. Angeschlossene Peripheriegeräte, z. B. USB-Geräte, werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Mikrofone und Lautsprecher.
    • Aktiviert: Alle integrierten Mikrofone und Lautsprecher, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten Mikrofone und Lautsprecher, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
  • Mikrofone: Diese Einstellung verwaltet die integrierten Mikrofone, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Mikrofone.
    • Aktiviert: Alle integrierten Mikrofone, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten Mikrofone, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.

Radios

Tipp

Konfigurieren der Kategorieeinstellung (Funkgeräte (Bluetooth, WLAN, NFC usw.)) oder die präzisen Einstellungen (Bluetooth, WLAN). Wenn Sie alle Einstellungen konfigurieren, können diese Einstellungen zu einem Konflikt führen. Weitere Informationen findest du unter DFCI-Profilübersicht: Konflikte.

  • Radios (Bluetooth, WLAN, NFC usw.): Diese Einstellung verwaltet alle integrierten Radios, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise alle integrierten Radios.

    • Aktiviert: Alle integrierten Drahtlosfunktionen, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.

    • Deaktiviert: Alle integrierten Drahtlosfunktionen, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.

      Warnung

      Wenn Sie die Einstellung Radios deaktivieren, ist für das Gerät eine kabelgebundene Netzwerkverbindung erforderlich. Andernfalls kann das Gerät nicht verwaltet werden.

  • Bluetooth: Diese Einstellung verwaltet die integrierten Bluetooth-Funkgeräte, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Bluetooth-Funkgeräte.
    • Aktiviert: Alle integrierten Bluetooth-Radios, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten Bluetooth-Radios, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
  • WWAN: Diese Einstellung verwaltet die integrierten WWAN-Funkgeräte, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten WWAN-Funkgeräte.
    • Aktiviert: Alle integrierten WWAN-Radios, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten WWAN-Radios, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
  • NFC: Diese Einstellung verwaltet die integrierten NFC-Funkgeräte, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten NFC-Funkgeräte.
    • Aktiviert: Alle integrierten NFC-Funkgeräte, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten NFC-Funkgeräte, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
  • WLAN: Diese Einstellung verwaltet die integrierten Wi-Fi Radios, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten Wi-Fi Radios.
    • Aktiviert: Alle integrierten Wi-Fi Radios, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten Wi-Fi Radios, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.

Startoptionen

Warnung

Das Deaktivieren aller externen Startoptionen oder aller externen Ports erschwert die Wiederherstellung des Betriebssystems erheblich. Um ein Gerät wiederherzustellen, das Windows nicht mehr starten kann, müssen Sie das Gerät möglicherweise physisch öffnen und den Hardwarespeicher ersetzen.

  • Starten von externen Medien aus (USB, SD): Ihre Optionen:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Starten von externen Medien zu.

    • Aktiviert: UEFI (BIOS) ermöglicht das Starten von externen Medien aus (nicht über Festplattenspeicher).

    • Deaktiviert: UEFI (BIOS) verhindert das Starten von Nicht-Festplattenspeicher, wodurch auch das Starten von Netzwerkadaptern deaktiviert wird.

      Bei Festlegung auf Deaktiviert dürfen Sie die Einstellung Start von Netzwerkadaptern nicht auf Aktiviert festlegen. Dadurch würden die Einstellungen Start von externen Medien (USB, SD) oder Start von Netzwerkadaptern nicht mehr konform sein.

  • Starten von Netzwerkadaptern: Ihre Optionen:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig lässt das Betriebssystem möglicherweise das Starten von integrierten Netzwerkadaptern zu.
    • Aktiviert: UEFI (BIOS) ermöglicht das Starten von integrierten Netzwerkschnittstellen aus.
    • Deaktiviert: UEFI (BIOS) verhindert das Starten integrierter Netzwerkschnittstellen.

Ports

Warnung

Das Deaktivieren aller externen Startoptionen oder aller externen Ports erschwert die Wiederherstellung des Betriebssystems erheblich. Um ein Gerät wiederherzustellen, das Windows nicht mehr starten kann, müssen Sie das Gerät möglicherweise physisch öffnen und den Hardwarespeicher ersetzen.

  • USB-Typ A: Diese Einstellung verwaltet die integrierten USB-Ports vom Typ A, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten USB-Anschlüsse vom Typ A.
    • Aktiviert: Alle integrierten USB-Ports vom Typ A, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten USB-Ports vom Typ A, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
  • SD Karte: Diese Einstellung verwaltet die integrierten SD-Karte-Ports, die von UEFI (BIOS) verwaltet werden. Angefügte Peripheriegeräte werden nicht verwaltet.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig aktiviert das Betriebssystem möglicherweise die integrierten SD-Karte-Ports.
    • Aktiviert: Alle integrierten SD-Karte Ports, die direkt von UEFI (BIOS) verwaltet werden, sind aktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.
    • Deaktiviert: Alle integrierten SD-Karte Ports, die direkt von UEFI (BIOS) verwaltet werden, sind deaktiviert. Peripheriegeräte wie USB-Geräte sind nicht betroffen.

Aktivierungseinstellungen

  • Wake-on-LAN: Wake-on-LAN ermöglicht es einem Netzwerkadministrator, ein Gerät über das LAN im Ruhezustandsmodus remote zu reaktivieren.

    Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig verhindert das Betriebssystem möglicherweise das Reaktivieren eines Geräts über das LAN.
    • Aktiviert: UEFI (BIOS) ermöglicht das Reaktivieren eines Geräts über das LAN.
    • Deaktiviert: UEFI (BIOS) verhindert, dass ein Gerät über das LAN aktiviert wird.
  • Einschalten: Wenn das Gerät mit einer Stromquelle verbunden ist, wird mit dieser Einstellung verwaltet, ob berechtigte Geräte automatisch aus dem Ruhezustand oder ausgeschaltet gestartet werden können. Folgende Optionen sind verfügbar:

    • Nicht konfiguriert: Diese Einstellung wird von Intune nicht geändert oder aktualisiert. Standardmäßig verhindert das Betriebssystem das Reaktivieren eines Geräts, wenn es mit einer Stromquelle verbunden ist.
    • Aktiviert: UEFI (BIOS) ermöglicht das Reaktivieren eines Geräts, wenn es mit einer Stromquelle verbunden ist.
    • Deaktiviert: UEFI (BIOS) verhindert das Reaktivieren eines Geräts, wenn es mit einer Stromquelle verbunden ist.

Nächste Schritte

Weitere technische Details zu den einzelnen Einstellungen und zu den unterstützten Editionen von Windows finden Sie unter Windows 10/11-Richtlinien-CSP-Referenz.

Verwenden Sie DFCI-Profile auf Windows-Geräten in Microsoft Intune.

Weisen Sie das Profil zu, und überwachen Sie dessen Status.