Uso de perfiles de configuración de BIOS en dispositivos Windows en Microsoft Intune
En Intune, puede usar una configuración del BIOS y otra directiva de configuración de dispositivo de configuración para habilitar o deshabilitar las características y la configuración del BIOS.
Con una herramienta OEM, se crea un archivo de configuración del BIOS que configura las características del BIOS. En los dispositivos, instale la aplicación Oem Win32 que lee la configuración. A continuación, en la directiva Intune BIOS, agregue el archivo de configuración del BIOS y asigne la directiva a los dispositivos.
El archivo de configuración normalmente incluye opciones que protegen el dispositivo y protegen su hardware integrado.
Por ejemplo, quiere evitar que los usuarios finales vuelvan aimajar el dispositivo y salir de Intune administración. Para esta tarea, creará un archivo de configuración del BIOS que deshabilita el arranque desde USB. A continuación, agregue este archivo a la directiva de Intune y habilite una contraseña de BIOS. Estos pasos garantizan que la configuración no se sobrescribe.
Esta característica se aplica a:
- Windows 10 y versiones posteriores
- Dispositivos Dell
En este artículo se incluye más información sobre el archivo de configuración y la aplicación Win32, y se muestra cómo crear la configuración del BIOS y otras directivas de configuración en Intune.
Advertencia
Los cambios de configuración del BIOS pueden afectar a la funcionalidad y operabilidad del dispositivo, incluida la capacidad de arrancar o acceder a unidades cifradas de Bitlocker. Esta característica permite a Intune administradores actualizar fácilmente las configuraciones de BIOS en sus dispositivos. Al realizar cambios, pruebe e implemente en fases para minimizar el impacto de las configuraciones inesperadas.
Requisitos previos
Para configurar esta directiva, como mínimo, inicie sesión en el centro de administración de Intune con el rol Administrador de directivas y perfiles. Para obtener más información sobre los roles integrados en Intune, vaya a Control de acceso basado en rol con Microsoft Intune.
Esta característica admite dispositivos propiedad de la organización que están inscritos en MDM en Intune. No se admiten dispositivos personales ni dispositivos no inscritos en Intune.
Asegúrese de que los dispositivos no tengan configurada una contraseña de BIOS existente. Esta característica requiere que Intune tenga la contraseña del BIOS. Si Intune no tiene la contraseña del BIOS del dispositivo, no puede actualizar la configuración del BIOS.
Paso 1: Creación del archivo de configuración e implementación de la aplicación
Esta sección se centra en el uso de la herramienta OEM para crear el archivo de configuración e implementar la aplicación Win32 de OEM en los dispositivos.
Cree el archivo de configuración mediante la herramienta OEM. En el archivo, agregue y configure las características que desea configurar. Puede agregar cualquier configuración que admita el OEM.
- Para Dell, puede usar la herramienta Comando de Dell (abre el sitio web de Dell) para crear el archivo de configuración del BIOS.
Al crear el archivo de configuración, hay una aplicación de Win32 coordinada proporcionada por el OEM. Implemente la aplicación Win32 de OEM en los dispositivos. Esta aplicación:
- Actúa como un agente que lee el archivo de configuración que crea y lee las contraseñas del BIOS de los dispositivos.
- Debe instalarse en todos los dispositivos antes de asignar la directiva de configuración del BIOS de Intune.
Para Dell, puede descargar la aplicación Dell Command (abre el sitio web de Dell).
Para instalar esta aplicación en los dispositivos, puede usar Intune. Agrega la aplicación a Intune y la convierte en una aplicación necesaria. A continuación, asigne la aplicación al grupo o filtro de asignación que cree en Paso 2: Crear un grupo o usar un filtro de asignación (en este artículo).
Para obtener más información sobre las aplicaciones Win32 en Intune, vaya a Agregar, asignar y supervisar una aplicación Win32 en Microsoft Intune.
Paso 2: Creación de un grupo o uso de un filtro de asignación
Se recomienda centrar esta directiva en un conjunto específico de dispositivos. Sus opciones:
- Opción 1 : cree un grupo que incluya los dispositivos. Al crear la directiva de aplicación y la directiva de configuración del BIOS, las directivas se asignan a este grupo.
- Opción 2 : use un filtro de asignación basado en el fabricante del dispositivo. Al crear el filtro, seleccione como destino los dispositivos OEM. Cuando asigne las directivas de configuración de la aplicación y el BIOS, agregue este filtro.
Para obtener más información sobre estas características, vaya a:
- Agregar grupos para organizar usuarios y dispositivos
- Use filtros al asignar aplicaciones, directivas y perfiles en Microsoft Intune
Paso 3: Creación de la directiva de configuración del BIOS en Intune
Esta directiva es donde se agrega el archivo de configuración que ha creado.
Inicie sesión en el Centro de administración de Microsoft Intune.
SeleccioneConfiguración de>dispositivos>Crear>nueva directiva.
Escriba las propiedades siguientes:
- Plataforma: seleccione Windows 10 y posteriores.
- Tipo de perfil: seleccione Plantillas>Configuración del BIOS y otras opciones.
Seleccione Crear.
En Básico, escriba las propiedades siguientes:
- Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es la contraseña de configuración del BIOS.
- Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
Seleccione Siguiente.
En Opciones de configuración, establezca los siguientes parámetros:
Hardware: seleccione el proveedor de OEM de hardware en una lista de OEM admitidos. Actualmente, solo se admite Dell.
Deshabilitar la protección con contraseña del BIOS por dispositivo: esta configuración administra la contraseña que protege la configuración del BIOS en el dispositivo. Sus opciones:
- No: Intune genera una contraseña de dispositivo única para cada dispositivo. Para acceder y actualizar la configuración del BIOS en el dispositivo, los usuarios deben escribir esta contraseña.
- Sí: no hay una contraseña que proteja el BIOS. Se quitan las contraseñas anteriores. Los usuarios finales pueden acceder al BIOS y cambiar la configuración del BIOS en el dispositivo.
Archivo de configuración: cargue el archivo de configuración generado con la herramienta OEM.
Para Dell, cargue el archivo del kit de herramientas de configuración de cliente de Dell (
.cctk). El límite de tamaño del archivo es de 2 MB.
Seleccione Siguiente.
En Asignaciones, seleccione el nuevo grupo de dispositivos que creó. Este grupo recibe el perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.
Seleccione Siguiente.
En Revisar y crear, revise la configuración y seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.
La próxima vez que cada dispositivo se registra, se aplica la directiva.
Supervisión de la directiva con informes integrados
En el centro de administración de Intune, después de crear una directiva, puede supervisar su estado y ver los errores.
- En el centro de administración de Intune, vaya aDirectivasde configuración> de dispositivos>.
- Seleccione la directiva que desea supervisar. El informe Estado del dispositivo muestra el estado de la directiva y muestra los detalles de error para la solución de problemas.
Para obtener más información, vaya a:
Recuperación de las contraseñas del BIOS
Intune almacena las contraseñas del BIOS para cada dispositivo. Puede obtener las contraseñas del BIOS mediante Microsoft Graph. Para probar las API de Graph, puede usar el Explorador de Microsoft Graph.
Importante
Asegúrese de realizar una copia de seguridad de todas las contraseñas fuera de Intune.
- Si se quita un dispositivo de Intune administración, los administradores pueden leer las contraseñas del BIOS mediante hardwarePasswordInfo API de Microsoft Graph.
- Si finaliza la suscripción de Intune para el inquilino, no hay forma de leer ni recuperar contraseñas de BIOS. En esta situación, su única opción es ponerse en contacto con el OEM.
Opción 1: Leer la contraseña del BIOS de un dispositivo a la vez
Esta opción obtiene las contraseñas del BIOS, un dispositivo a la vez.
Cree un rol de RBAC de Intune personalizado con el permiso Leer contraseña del BIOS:
- En el centro de administración de Intune, seleccione Roles de administración> deinquilinos>Crear un nuevo rol.
- Asigne un nombre al rol y seleccione Siguiente.
- En Permisos, expanda Dispositivos administrados> Establezca La contraseña de lectura del bios en Sí.
- Seleccione Siguiente>siguiente>crear.
Inicie sesión en la herramienta graph con este rol RBAC personalizado y use hardwarePasswordInfo API de Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Opción 2: Leer la contraseña del BIOS de todos los dispositivos
Esta opción obtiene una lista de todas las contraseñas de BIOS de todos los dispositivos.
Necesita el rol de administrador de servicios Intune o el rol de administrador global en Microsoft Entra ID.
Inicie sesión en la herramienta graph con uno de estos roles y use hardwarePasswordInfo API de Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Para obtener más información sobre los roles de RBAC, vaya a Control de acceso basado en rol (RBAC) con Microsoft Intune.
Eliminación de la contraseña de configuración del BIOS
Si tiene previsto dejar de administrar el BIOS de los dispositivos o quitar dispositivos de forma permanente del inquilino, debe quitar la contraseña del BIOS.
Para quitar la contraseña del BIOS, en la directiva de configuración del BIOS de Intune, establezca la opción Deshabilitar protección con contraseña del BIOS por dispositivo en Sí. A continuación, asigne la directiva. Cuando el dispositivo se registra con Intune, se aplica la directiva. En el dispositivo, también puede sincronizar manualmente el dispositivo con Intune para aplicar la directiva.
Una vez que se aplique la directiva, reinicie el dispositivo.
Al anular la inscripción del dispositivo de Intune no se quita la contraseña del BIOS. Si anula la inscripción del dispositivo antes de deshabilitar la contraseña, deberá actualizarla manualmente en el dispositivo.
Configuración del BIOS frente a DFCI
Intune tiene dos características que pueden administrar la configuración del BIOS en dispositivos Windows: configuración del BIOS y otras opciones y Device Firmware Configuration Interface (DFCI).
En la tabla siguiente se comparan estas opciones.
| Característica | Configuración del BIOS y otras opciones | DFCI |
|---|---|---|
| OEM admitidos | Dell Posiblemente más en el futuro |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Para obtener más información, vaya a Escenarios dfci de Microsoft. |
| Configuraciones compatibles | Todas las configuraciones disponibles en la herramienta OEM | Un conjunto de opciones de configuración para controlar las características de seguridad, algunas características de hardware, opciones de arranque, puertos, etc. |
| Cómo se aplica la configuración | Intune entrega el archivo de configuración cuando se asigna la directiva. El agente OEM del dispositivo aplica la configuración. | A través de CSP de UEFI mediante la capa DFCI, que está aislada del sistema operativo |
| Bloquea el acceso al menú del BIOS | Sí, a través de contraseñas de BIOS | Sí, a través de certificados |
| Configuración durante Windows Autopilot | En la configuración de la Página de estado de inscripción (ESP), seleccione la aplicación Oem Win32. | Intune inscribe automáticamente el dispositivo en mgmt dfci. |
| Informes | Notifica si se ha aplicado el archivo de configuración. | Informe pormenorizada para cada configuración que configure. |
| Tipo de directiva de Intune | Dispositivos>Configuración>Plantillas>Configuración del BIOS y otras opciones | Dispositivos>Configuración>Plantillas>Interfaz de configuración del firmware del dispositivo |
Para obtener más información sobre DFCI, vaya a:
- Perfiles de la Interfaz de configuración de firmware de dispositivo (DFCI) en dispositivos Windows en Microsoft Intune
- Escenarios dfci de Microsoft
- DFCI en dispositivos Surface
Artículos relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de