Configuración de perfil de Device Firmware Configuration Interface (DFCI) en Microsoft Intune

  • Artículo

En este artículo se enumeran y describen la configuración del perfil DFCI que puede controlar en los dispositivos cliente Windows. Como parte de la solución de administración de dispositivos móviles (MDM), use esta configuración para controlar las características de seguridad, el hardware integrado y las opciones de arranque en la capa UEFI en Windows.

Esta configuración se aplica a:

  • Windows 11 en UEFI compatible
  • Windows 10 RS5 (1809) y compatible con versiones posteriores en UEFI

Estas opciones se agregan a un perfil de configuración de dispositivo en Intune y, a continuación, se asignan o implementan en los dispositivos cliente windows.

Antes de empezar

Advertencia

Ten cuidado. La configuración y asignación de perfiles DFCI puede bloquear el dispositivo más allá de la reparación. La configuración del perfil dfci cambia el hardware del dispositivo y no se puede corregir mediante la nueva creación de imágenes del sistema operativo.

Acceso a UEFI

  • Permitir que el usuario local cambie la configuración de UEFI: sus opciones:
    • Solo los valores no configurados: el usuario local puede cambiar cualquier configuración, excepto esa configuración establecida explícitamente en Habilitar o Deshabilitar por Intune.
    • Ninguno: el usuario local no puede cambiar ninguna configuración de UEFI (BIOS), incluida la configuración que no se muestra en el perfil DFCI.

Características de seguridad

  • Virtualización de CPU y E/S: Sus opciones:

    • Sin configurar: Intune no cambia ni actualiza esta configuración.
    • Habilitado: el BIOS habilita las funciones de virtualización de E/S y CPU de la plataforma para su uso por parte del sistema operativo. Activa la seguridad basada en la virtualización de Windows y las tecnologías de Device Guard.

  • Tabla binaria de la plataforma Windows (WPBT): WPBT permite a los proveedores y oem ejecutar un .exe programa en la capa UEFI. Cada vez que se inicia Windows, examina la UEFI y ejecuta ..exe Use esta característica para ejecutar programas que no se incluyen con los medios de Windows.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir que proveedores y OEM ejecuten programas mediante WPBT.
    • Habilitado: habilita el WPBT y permite .exe que se ejecuten los programas de la capa UEFI.
    • Deshabilitado: deshabilita el WPBT e impide que se ejecuten .exe los programas de la capa UEFI.

  • Multithreading simultáneo (SMT): también conocido como hiperprocesamiento. Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración.
    • Habilitado: habilita SMT en la capa UEFI.
    • Deshabilitado: deshabilita SMT en la capa UEFI.

Cámaras

  • Cámaras: esta configuración administra todas las cámaras de hardware integradas en el dispositivo. No administra periféricos conectados, como cámaras web USB.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las cámaras integradas.
    • Habilitado: se habilitan todas las cámaras integradas administradas directamente mediante UEFI (BIOS). Los periféricos, como las cámaras USB, no se ven afectados.
    • Deshabilitado: todas las cámaras integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como las cámaras USB, no se ven afectados.

  • Cámaras frontales: esta configuración administra las cámaras de luz visibles frontales integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las cámaras de luz visibles frontales integradas.
    • Habilitado: todas las cámaras de luz frontales visibles integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como las cámaras USB, no se ven afectados.
    • Deshabilitado: todas las cámaras de luz visibles frontales integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como las cámaras USB, no se ven afectados.

  • Cámaras traseras: esta configuración administra las cámaras de luz traseras visibles integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las cámaras traseras integradas.
    • Habilitado: todas las cámaras de luz traseras visibles integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como las cámaras USB, no se ven afectados.
    • Deshabilitado: todas las cámaras de luz traseras visibles integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como las cámaras USB, no se ven afectados.

  • Cámaras infrarrojas (IR): esta configuración administra las cámaras infrarrojas integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las cámaras infrarrojas integradas.
    • Habilitado: todas las cámaras infrarrojas integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como las cámaras USB, no se ven afectados.
    • Deshabilitado: todas las cámaras infrarrojas integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como las cámaras USB, no se ven afectados.

Micrófonos y altavoces

Se recomienda configurar la categoría Micrófonos y altavoceso la configuración granular micrófonos . Si configura todas las opciones, estas opciones pueden provocar un conflicto. Para obtener más información, vaya a Información general del perfil DFCI: Conflictos.

  • Micrófonos y altavoces: esta configuración administra todos los micrófonos y altavoces integrados en el dispositivo. No administra periféricos conectados, como dispositivos USB.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar los micrófonos y altavoces integrados.
    • Habilitado: se habilitan todos los micrófonos y altavoces integrados administrados directamente mediante UEFI (BIOS). Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: se deshabilitan todos los micrófonos y altavoces integrados administrados directamente mediante UEFI (BIOS). Los periféricos, como los dispositivos USB, no se ven afectados.

  • Micrófonos: esta configuración administra los micrófonos integrados administrados por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar los micrófonos integrados.
    • Habilitado: todos los micrófonos integrados administrados directamente por UEFI (BIOS) están habilitados. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todos los micrófonos integrados administrados directamente por UEFI (BIOS) están deshabilitados. Los periféricos, como los dispositivos USB, no se ven afectados.

Radios

Te recomendamos que configures las opciones de la categoría Radios (Bluetooth, Wi-Fi, NFC, etc.)obluetooth,wi-fi, etc. pormenorizada. Si configura todas las opciones, estas opciones pueden provocar un conflicto. Para obtener más información, vaya a Información general del perfil DFCI: Conflictos.

  • Radios (Bluetooth, Wi-Fi, NFC, etc.): esta configuración administra todas las radios integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar todas las radios integradas.

    • Habilitado: se habilitan todas las señales de radio administradas directamente mediante UEFI (BIOS). Los periféricos, como los dispositivos USB, no se ven afectados.

    • Deshabilitado: se deshabilitan todas las señales de radio administradas directamente mediante UEFI (BIOS). Los periféricos, como los dispositivos USB, no se ven afectados.

      Cuando se establece en Deshabilitado, el dispositivo requiere una conexión de red cableada. De lo contrario, el dispositivo puede no administrarse.

  • Bluetooth: esta configuración administra las radios Bluetooth integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las radios Bluetooth integradas.
    • Habilitado: todas las radios Bluetooth integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todas las radios Bluetooth integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.

  • WWAN: esta configuración administra las radios WWAN integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las radios WWAN integradas.
    • Habilitado: todas las radios WWAN integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todas las radios WWAN integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.

  • NFC: esta configuración administra las radios NFC integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las radios NFC integradas.
    • Habilitado: todas las radios NFC integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todas las radios NFC integradas administradas directamente por UEFI (BIOS) están deshabilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.

  • Wi-Fi: esta configuración administra las radios Wi-Fi integradas administradas por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar las radios Wi-Fi integradas.
    • Habilitado: todas las radios Wi-Fi integradas administradas directamente por UEFI (BIOS) están habilitadas. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: se deshabilitan todas las radios Wi-Fi integradas administradas directamente por UEFI (BIOS). Los periféricos, como los dispositivos USB, no se ven afectados.

Opciones de arranque

Advertencia

Deshabilitar todas las opciones de arranque externas o todos los puertos externos complica significativamente la recuperación del sistema operativo. Para recuperar un dispositivo que ya no puede arrancar Windows, es posible que tenga que abrir físicamente el dispositivo y reemplazar el almacenamiento de hardware.

  • Arranque desde medios externos (USB, SD): Tus opciones:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el arranque desde medios externos.

    • Habilitado: UEFI (BIOS) permite el arranque desde almacenamiento que no sea un disco duro.

    • Deshabilitado: UEFI (BIOS) impide el arranque desde el almacenamiento que no es de disco duro, lo que también deshabilita el arranque desde adaptadores de red.

      Cuando se establece en Deshabilitado, no establezca el valor Arranque desde adaptadores de red en Habilitado. Hace que la configuración de Arranque desde medios externos (USB, SD) o de Arranque desde adaptadores de red no sea compatible.

  • Arranque desde adaptadores de red: Sus opciones:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría permitir el arranque desde adaptadores de red integrados.
    • Habilitado: UEFI (BIOS) permite el arranque desde interfaces de red integradas.
    • Deshabilitado: UEFI (BIOS) impide el arranque de interfaces de red integradas.

Puertos

Advertencia

Deshabilitar todas las opciones de arranque externas o todos los puertos externos complica significativamente la recuperación del sistema operativo. Para recuperar un dispositivo que ya no puede arrancar Windows, es posible que tenga que abrir físicamente el dispositivo y reemplazar el almacenamiento de hardware.

  • Tipo DE USB A: esta configuración administra los puertos USB de tipo A integrados administrados por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar los puertos USB de tipo A integrados.
    • Habilitado: todos los puertos USB integrados de tipo A administrados directamente por UEFI (BIOS) están habilitados. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todos los puertos USB integrados de tipo A administrados directamente por UEFI (BIOS) están deshabilitados. Los periféricos, como los dispositivos USB, no se ven afectados.

  • Tarjeta SD: esta configuración administra los puertos de tarjeta SD integrados administrados por UEFI (BIOS). No administra los periféricos conectados.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría habilitar los puertos de tarjeta SD integrados.
    • Habilitado: todos los puertos de tarjeta SD integrados administrados directamente por UEFI (BIOS) están habilitados. Los periféricos, como los dispositivos USB, no se ven afectados.
    • Deshabilitado: todos los puertos de tarjeta SD integrados administrados directamente por UEFI (BIOS) están deshabilitados. Los periféricos, como los dispositivos USB, no se ven afectados.

Configuración de reactivación

  • Wake on LAN: Wake on LAN permite a un administrador de red reactivar de forma remota un dispositivo en modo de suspensión mediante la LAN.

    Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir la reactivación de un dispositivo mediante la LAN.
    • Habilitado: UEFI (BIOS) permite activar un dispositivo mediante la LAN.
    • Deshabilitado: UEFI (BIOS) impide que se active un dispositivo mediante la LAN.

  • Reactivación de la alimentación: cuando el dispositivo está conectado a una fuente de alimentación, esta configuración administra si los dispositivos aptos se pueden iniciar automáticamente desde estados de hibernación o apagado. Sus opciones son:

    • Sin configurar: Intune no cambia ni actualiza esta configuración. De forma predeterminada, el sistema operativo podría impedir la reactivación de un dispositivo cuando está conectado a una fuente de alimentación.
    • Habilitado: UEFI (BIOS) permite activar un dispositivo cuando está conectado a una fuente de alimentación.
    • Deshabilitado: UEFI (BIOS) impide que se active un dispositivo cuando está conectado a una fuente de alimentación.