Usar perfiles de Interfaz de Configuración de Firmware de Dispositivo (DFCI) en dispositivos Windows en Microsoft Intune

Al usar Intune para administrar dispositivos Windows Autopilot, puede administrar la configuración de UEFI (BIOS) después de inscribirlos mediante la Interfaz de configuración de firmware de dispositivo (DFCI). Para obtener información general sobre las ventajas, los escenarios y los requisitos previos, vaya a Información general de DFCI.

DFCI permite a Windows pasar comandos de administración de Intune a UEFI (Unified Extensible Firmware Interface).

En Intune, use esta característica para controlar la configuración del BIOS. Normalmente, el firmware es más resistente a los ataques malintencionados. Limita el control de los usuarios finales sobre el BIOS, algo adecuado en una situación de peligro.

Esta característica se aplica a:

• Windows 11 en UEFI compatible
• Windows 10 RS5 (1809) y compatible con versiones posteriores en UEFI

Por ejemplo, usted usa dispositivos cliente Windows en un entorno seguro y desea deshabilitar la cámara. Puede deshabilitar la cámara en el nivel de firmware, por lo que no importa lo que haga el usuario final. La reinstalación del sistema operativo o el borrado del equipo no volverán a activar la cámara. En otro ejemplo, bloquea las opciones de arranque para impedir que los usuarios arranquen otro sistema operativo, o bien una versión anterior de Windows que no tenga las mismas características de seguridad.

Al volver a instalar una versión anterior de Windows, un sistema operativo independiente o formatear la unidad de disco duro, no se puede invalidar la administración de DFCI. Esta característica puede impedir que el malware se comunique con los procesos del sistema operativo, incluidos los que tienen privilegios elevados. La cadena de confianza de DFCI usa criptografía de clave pública y no depende de la seguridad de contraseña de UEFI (BIOS) local. Este nivel de seguridad impide que los usuarios locales accedan a la configuración administrada desde los menús de UEFI (BIOS) del dispositivo.

Sugerencia

En el caso de los dispositivos Dell, puede crear una directiva de configuraciones de BIOS . Para obtener más información, vaya a Uso de perfiles de configuración del BIOS en dispositivos Windows en Microsoft Intune.

Antes de empezar

• El fabricante del dispositivo debe haber agregado DFCI a su firmware de UEFI en el proceso de fabricación, o bien como una actualización de firmware para instalar. Trabaje con los proveedores de dispositivos para determinar los fabricantes que admiten DFCI o la versión de firmware necesaria para usar DFCI.

• El dispositivo debe estar registrado para Windows Autopilot por un asociado de Proveedor de soluciones en la nube (CSP) de Microsoft o registrado directamente por el OEM.

  Los dispositivos registrados manualmente para Windows Autopilot, como los importados desde un archivo csv, no pueden usar DFCI. Por diseño, la administración de DFCI exige la atestación externa de la adquisición comercial del dispositivo a través de un OEM o un registro de asociado de CSP de Microsoft en Windows Autopilot.

  Una vez registrado el dispositivo, el número de serie se muestra en la lista de dispositivos Windows Autopilot.

  Para obtener más información sobre Windows Autopilot, incluidos los requisitos, vaya a Introducción al registro de Windows Autopilot.

Creación de grupos de seguridad de Microsoft Entra

Los perfiles de implementación de Windows Autopilot se asignan a Microsoft Entra grupos de seguridad. Asegúrese de crear grupos que incluyan los dispositivos compatibles con DFCI. Para los dispositivos DFCI, la mayoría de las organizaciones pueden crear grupos de dispositivos, en lugar de grupos de usuarios. Considere los escenarios siguientes:

• Los recursos humanos (RR. HH.) tienen diferentes dispositivos Windows. Por motivos de seguridad, no quiere que nadie de este grupo use la cámara de los dispositivos. En este escenario, puede crear un grupo de usuarios de seguridad de RR.HH. para que la directiva se aplique a los usuarios del grupo de RR.HH, con independencia del tipo de dispositivo.

• En la planta de fabricación, tiene 10 dispositivos. En todos los dispositivos, quiere impedir el arranque desde un dispositivo USB. En este escenario, puede crear un grupo de dispositivos de seguridad y agregar estos 10 dispositivos al grupo.

Para obtener más información sobre cómo crear grupos en Intune, vaya a Agregar grupos para organizar usuarios y dispositivos.

Creación de los perfiles

Para usar DFCI, cree los perfiles siguientes y asígnelos al grupo.

Paso 1: Creación de un perfil de implementación de Windows Autopilot

Este perfil configura y preconfigura nuevos dispositivos. En el siguiente artículo se enumeran los pasos para crear el perfil:

• Perfil de implementación de Windows Autopilot

Paso 2: Creación de un perfil de página de estado de inscripción

Este perfil garantiza que los dispositivos se comprueban y se habilitan para DFCI durante la configuración de Windows. Se recomienda encarecidamente usar este perfil para bloquear el uso del dispositivo hasta que se hayan instalado todas las aplicaciones y perfiles.

En el siguiente artículo se enumeran los pasos para crear el perfil:

• Perfil de página de estado de inscripción

Paso 3: Creación del perfil DFCI en Intune

Este perfil incluye los valores de DFCI que configure.

Sugerencia

La configuración y asignación de perfiles DFCI puede bloquear el dispositivo más allá de la reparación. Por lo tanto, preste atención a los valores que configure.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Creaciónde configuración de>dispositivos>.

3. Escriba las propiedades siguientes:

   • Plataforma: seleccione Windows 10 y versiones posteriores.
   • Tipo de perfil: seleccione Plantillas>Interfaz de configuración de firmware del dispositivo.

4. Seleccione Crear.

5. En Básico, escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es Configuración de Windows - DFCI en dispositivos Windows.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

   Seleccione Siguiente.

6. En Opciones de configuración, configure las opciones que desea controlar en la capa de firmware UEFI. Para obtener una lista de todas las opciones de configuración y lo que hacen, vaya a:

   • Configuración Windows DFCI

   Seleccione Siguiente.

7. En Etiquetas de ámbito (opcional), asigne una etiqueta para filtrar el perfil por grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vaya a Uso de RBAC y etiquetas de ámbito para TI distribuida. Seleccione Siguiente.

8. En Asignaciones, seleccione los usuarios o el grupo de usuarios que van a recibir el perfil. Para obtener más información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo. Seleccione Siguiente.

9. En Revisar y crear, revise la configuración y seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La próxima vez que se registre cada dispositivo, se aplicará la directiva.

Asigne los perfiles y después reinicie

Asegúrese de asignar los perfiles a los grupos de seguridad de Microsoft Entra que incluyen los dispositivos DFCI. El perfil se puede asignar cuando se crea o más adelante.

Cuando el dispositivo ejecuta Windows Autopilot, durante la página de estado de inscripción, DFCI puede forzar un reinicio. Este primer reinicio inscribe UEFI en Intune.

Si quiere confirmar que el dispositivo está inscrito, puede reiniciar el dispositivo de nuevo, pero no es necesario. Siga las instrucciones del fabricante del dispositivo para abrir el menú de UEFI y confirme que UEFI está ahora administrado.

La próxima vez que el dispositivo se sincronice con Intune, Windows recibirá la configuración de DFCI. Reinicie el dispositivo. Este tercer reinicio es necesario para que UEFI reciba la configuración de DFCI de Windows.

Actualización de la configuración existente de DFCI

Si quiere cambiar la configuración existente de DFCI en los dispositivos en uso, puede hacerlo. En el perfil de DFCI existente, cambie la configuración y guarde los cambios. Como el perfil ya está asignado, la nueva configuración de DFCI surte efecto cuando:

1. El dispositivo se registra con el servicio de Intune para revisar las actualizaciones del perfil. Los registros se producen varias veces. Para obtener más información, vaya a Cuando los dispositivos obtienen una directiva, perfil o actualizaciones de aplicaciones.
2. Para aplicar la nueva configuración, reinicie el dispositivo de forma remota o local.

También puede señalar dispositivos para que se registren. Después de una sincronización correcta, señale para reiniciar.

Nota:

La eliminación del perfil de DFCI o la eliminación de un dispositivo del grupo asignado al perfil no quita la configuración de DFCI ni vuelve a habilitar los menús de UEFI (BIOS). Si desea dejar de usar DFCI, actualice la configuración del perfil DFCI existente. Para obtener más información sobre los pasos, vaya a retirar el dispositivo en este artículo.

Conflictos

Al crear la directiva DFCI, se configuran la configuración Windows DFCI que desea administrar.

Algunas opciones de configuración se encuentran en una categoría lógica, como Micrófonos y altavoces. También hay una configuración granular, como Micrófonos. Si esta configuración se encuentra en conflicto, ocurre lo siguiente:

• En el primer intento de sincronización, se aplica la configuración granular (Micrófonos) y la configuración de categoría no es compatible (Micrófonos y altavoces).

• Con cada sincronización con el servicio de Intune después de la primera sincronización, el siguiente comportamiento se produce en un bucle:

  • Intune aplica la configuración de categoría (Micrófonos y Altavoces) ya que no es compatible. La configuración pormenorizada (micrófonos) se vuelve no conforme.
  • Intune aplica la configuración granular (Micrófonos) ya que no es compatible. La configuración de categoría (micrófonos y altavoces) se vuelve no conforme.

Para evitar este comportamiento de bucle, configure la configuración de categoría o la configuración granular.

Por ejemplo, solo quiere permitir radios Wi-Fi. En este escenario, debe hacer lo siguiente:

• Deje la configuración de la categoría Radios (Bluetooth, Wi-Fi, NFC, etc.) en No configurado.
• Para la configuración de radio Wi-Fi, establézcala en Habilitar.
• Establezca todos los demás ajustes granulares de radio en Deshabilitado.

Reutilización, retirada o recuperación del dispositivo

Reutilización

Si tiene previsto restablecer Windows para reasignar el dispositivo, borre el dispositivo . No quite el registro del dispositivo Windows Autopilot.

Después de limpiar el dispositivo, mueva el dispositivo al grupo asignado a los nuevos perfiles DFCI y Windows Autopilot. Asegúrese de reiniciar el dispositivo para volver a ejecutar la configuración de Windows.

Retirar

Cuando esté listo para retirar el dispositivo y liberarlo de la administración, actualice el perfil de DFCI a la configuración de UEFI (BIOS) que quiera en el estado de salida. Normalmente, querrá habilitar todas las opciones. Por ejemplo:

1. En el centro de administración de Intune, abra el perfil dfci (configuración dedispositivos>).
2. Cambie la configuración Permitir que el usuario local cambie la configuración de UEFI (BIOS) a Solo valores no configurados.
3. Establezca el resto de los valores en No configurado.
4. Guarde la configuración.

Con estos pasos se desbloquean los menús de UEFI (BIOS) del dispositivo. Los valores siguen siendo los mismos que en el perfil (Habilitado o Deshabilitado), y no se vuelven a establecer en ningún valor de sistema operativo predeterminado.

Ya está listo para borrar el dispositivo. Una vez borrado el dispositivo, elimine el registro de Windows Autopilot. Al eliminar el registro se impide que el dispositivo se vuelva a inscribir de forma automática cuando se reinicie.

Sugerencia

Para quitar dispositivos Surface de la inscripción de DFCI, vaya a Eliminación de la administración de DFCI.

Recuperación

Si borras un dispositivo y eliminas el registro de Windows Autopilot antes de desbloquear los menús UEFI (BIOS), los menús permanecen bloqueados. Intune no puede enviar actualizaciones de perfil para desbloquearlo.

Para desbloquear el dispositivo, abra el menú UEFI (BIOS) y actualice la administración desde la red. La recuperación desbloquea los menús, pero deja toda la configuración de UEFI (BIOS) establecida en los valores del perfil de DFCI de Intune anterior.

Impacto en el usuario final

Cuando se aplica la directiva de DFCI, los usuarios locales no pueden cambiar la configuración establecida por DFCI, incluso si el menú de UEFI (BIOS) está protegido mediante una contraseña. En función de la configuración que establezca, es posible que los usuarios finales reciban errores sobre componentes de hardware que no se encuentran o que no se pueden diagnosticar. Asegúrese de proporcionar documentación a los usuarios finales en la que se expliquen las opciones que ha deshabilitado.

Artículos relacionados

• Asignación del perfil
• Supervisión del estado del perfil.