Administración de la interfaz de configuración de firmware de dispositivo (DFCI)
Se aplica a:
- Windows 11
- Windows 10
Con Windows Autopilot Deployment y Intune, puede administrar la configuración de la interfaz de firmware extensible unificada (UEFI) después de inscribirse mediante la interfaz de configuración de firmware del dispositivo (DFCI). DFCI permite a Windows pasar comandos de administración de Intune a UEFI para dispositivos implementados por Autopilot. Esta funcionalidad permite limitar el control del usuario final sobre la configuración del BIOS. Por ejemplo, puede bloquear las opciones de arranque para evitar que los usuarios arranquen otro sistema operativo, como el que no tiene las mismas características de seguridad.
Si un usuario vuelve a instalar una versión anterior de Windows, instala un sistema operativo independiente o da formato al disco duro, no puede invalidar la administración dfci. Esta característica también puede impedir que el malware se comunique con los procesos del sistema operativo, incluidos los procesos de so con privilegios elevados. La cadena de confianza de DFCI usa criptografía de clave pública y no depende de la seguridad de contraseñas UEFI local. Esta capa de seguridad impide que los usuarios locales accedan a la configuración administrada desde los menús UEFI del dispositivo.
Para obtener información general sobre las ventajas, los escenarios y los requisitos previos de DFCI, consulte Introducción a device firmware configuration interface (DFCI).
Importante
Los dispositivos habilitados para DFCI por el OEM y registrados para Autopilot a través del OEM o un CSP en el Centro de partners se inscriben automáticamente en la administración de DFCI durante el aprovisionamiento de Autopilot. La inscripción en la administración de DFCI desencadena un reinicio adicional durante la OOBE.
Ciclo de vida de administración de DFCI
El ciclo de vida de administración de DFCI incluye los siguientes procesos:
- Integración de UEFI
- Registro de dispositivos
- Creación de perfiles
- Inscripción
- Administración
- Retiradas
- Recuperación
Consulte la siguiente ilustración.
Requisitos
- Windows 10, versión 1809 o posterior y se requiere una UEFI compatible.
- El fabricante del dispositivo debe tener DFCI agregado a su firmware UEFI en el proceso de fabricación o como una actualización de firmware que instale. Trabaje con los proveedores de dispositivos para determinar los fabricantes que admiten DFCI o la versión de firmware necesaria para usar DFCI.
- El dispositivo debe administrarse con Microsoft Intune. Para obtener más información, vea Inscribir dispositivos Windows en Intune con Windows Autopilot.
- El dispositivo debe estar registrado para Windows Autopilot por un asociado de Proveedor de soluciones en la nube (CSP) de Microsoft o registrado directamente por el OEM. En el caso de los dispositivos Surface, el soporte técnico de registro de Microsoft está disponible en Soporte técnico de Microsoft Devices Autopilot.
Importante
Los dispositivos registrados manualmente para Autopilot (por ejemplo, al importar desde un archivo csv) no pueden usar DFCI. Por diseño, la administración de DFCI exige la atestación externa de la adquisición comercial del dispositivo a través de un OEM o un registro de asociado de CSP de Microsoft en Windows Autopilot. Una vez registrado el dispositivo, se mostrará el número de serie en la lista de dispositivos de Windows Autopilot.
Administración del perfil dfci con Windows Autopilot
Hay cuatro pasos básicos para administrar el perfil DFCI con Windows Autopilot:
- Creación de un perfil de Autopilot
- Creación de un perfil de página de estado de inscripción
- Creación de un perfil DFCI
- Asignar los perfiles
Consulte Creación de perfiles y Asignación de perfiles y reinicio para obtener más información.
También puede cambiar la configuración de DFCI existente en los dispositivos que están en uso. En el perfil dfci existente, cambie la configuración y guarde los cambios. Dado que el perfil ya está asignado, la nueva configuración de DFCI surte efecto cuando la próxima vez que el dispositivo se sincronice o se reinicie el dispositivo.
OEM que admiten DFCI
- Acer
- Asus
- Dynabook
- Fujitsu
- Microsoft Surface
- Panasonic
Otros OEM están pendientes.
Vea también
Escenarios dfci de Microsoft
Dispositivos Windows Autopilot y Surface
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de