Administrar DFCI en dispositivos Surface
Introducción
Con los perfiles de Device Firmware Configuration Interface (DFCI) integrados en Microsoft Intune, la administración de UEFI de Surface amplía la pila de administración moderna hasta el nivel de hardware unified Extensible Firmware Interface (UEFI). DFCI admite el aprovisionamiento sin intervención, elimina las contraseñas de BIOS, proporciona control de la configuración de seguridad, incluidas las opciones de arranque y periféricos integrados, y establece las bases para escenarios de seguridad avanzados en el futuro. En esta página se enumeran todas las configuraciones de directiva DFCI en dispositivos Surface implementados por Autopilot aptos.
Diseñado para usarse con la administración de dispositivos móviles (MDM) de nivel de software, DFCI permite a los administradores de TI deshabilitar de forma remota componentes de hardware específicos e impedir que los usuarios finales accedan a ellos. Por ejemplo, si necesita proteger la información confidencial en áreas muy seguras, puede deshabilitar la cámara y, si no desea que los usuarios arranquen desde unidades USB, también puede deshabilitarla.
Sugerencia
La compatibilidad con algunas configuraciones de directiva dfci varía según el dispositivo. Revise la referencia de configuración de directiva DFCI en esta página y siga Intune instrucciones para configurar e implementar la configuración en los dispositivos.
Requisitos previos
- Windows 11 o Windows 10 versión 1809 (publicada en noviembre de 2018)
- Los dispositivos deben registrarse con Windows Autopilot mediante uno de los métodos siguientes:
Nota
Los dispositivos registrados manualmente o automáticamente para Autopilot, como los importados desde un archivo CSV, no pueden usar DFCI. Por diseño, la administración de DFCI requiere la atestación externa de la adquisición comercial del dispositivo a través de un asociado de CSP de Microsoft o un registro de Surface.
Referencia de configuración de directivas DFCI para dispositivos Surface
Dispositivos aptos
- Surface Pro 10
- Surface Pro 9 (solo SKU comerciales)
- Surface Pro 9 con 5G (solo SKU comerciales)
- Surface Pro 8 (solo SKU comerciales)
- Surface Pro 7+ (solo SKU comerciales)
- Surface Pro 7 (todas las SKU)
- Surface Pro X (todas las SKU)
- Surface Laptop Studio (solo para todas las generaciones, SKU comerciales)
- Surface Laptop 6
- Surface Laptop 5 (solo SKU comerciales)
- Surface Laptop 4 (solo SKU comerciales)
- Surface Laptop 3 (solo procesadores Intel)
- Surface Laptop Go
- Surface Laptop Go 2 (solo SKU comerciales)
- Surface Laptop Go 3 (solo SKU comerciales)
- Surface Laptop SE
- Surface Book 3
- Surface Go 3 (solo SKU comerciales)
- Surface Go 4 (solo SKU comerciales)
- Surface Studio 2+
Nota
Surface Pro X no admite la administración de la configuración dfci para la cámara, audio y Wi-Fi/Bluetooth integrados. Algunas configuraciones más recientes solo se admiten en los dispositivos más recientes.
Tabla 1. Referencia de configuración de directiva DFCI: Dispositivos Surface implementados por Autopilot
| Configuración de DFCI | Descripción | Compatible en |
|---|---|---|
| Acceso a UEFI | ||
| Permitir que el usuario local cambie la configuración de UEFI (BIOS) | Esta configuración le permite administrar si los usuarios finales pueden modificar la configuración de UEFI en los dispositivos aptos. - Si selecciona Solo configuración no configurada, los usuarios locales (también conocidos como usuarios finales) pueden cambiar cualquier configuración de UEFI, excepto cualquier configuración que haya habilitado o deshabilitado explícitamente a través de Intune. - Si selecciona Ninguno, es posible que los usuarios locales no cambien la configuración de UEFI, incluida la configuración que no se muestra en el perfil dfci. |
Todos los dispositivos aptos |
| Configuración de seguridad | ||
| Multithreading simultáneo | Esta configuración le permite administrar si la compatibilidad simultánea con multithreading (SMT) está habilitada en los dispositivos aptos. SMT admite la tecnología intel hyperthreading, que proporciona dos procesadores lógicos para cada núcleo físico. - Si habilita esta configuración, SMT se activa en la capa UEFI. - Si deshabilita esta configuración, SMT se desactiva en la capa UEFI. - Si no configura esta configuración, SMT está habilitado. |
Todos los dispositivos aptos |
| Cámaras | ||
| Cámaras | Esta configuración le permite administrar si la cámara integrada puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permiten todas las cámaras integradas. Los periféricos, como las cámaras USB, no se ven afectados. - Si deshabilita esta configuración, todas las cámaras integradas están deshabilitadas. Los periféricos, como las cámaras USB, no se ven afectados. - Si no configura esta configuración, todas las cámaras integradas están habilitadas. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Cámara frontal | Esta configuración le permite administrar si la cámara frontal puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permite la cámara frontal. Los periféricos, como las cámaras USB, no se ven afectados. - Si deshabilita esta configuración, la cámara frontal está deshabilitada. Los periféricos, como las cámaras USB, no se ven afectados. - Si no configura esta configuración, la cámara frontal está habilitada. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Cámara trasera | Esta configuración le permite administrar si la cámara trasera puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permite la cámara trasera. Los periféricos, como las cámaras USB, no se ven afectados. - Si deshabilita esta configuración, la cámara trasera está deshabilitada. Los periféricos, como las cámaras USB, no se ven afectados. - Si no configura esta configuración, se permite la cámara trasera. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Cámara de infrarrojos (IR) | Esta configuración le permite administrar si la cámara infrarroja puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permite la cámara infrarroja. Los periféricos, como las cámaras USB, no se ven afectados. - Si deshabilita esta configuración, la cámara infrarroja está deshabilitada. Los periféricos, como las cámaras USB, no se ven afectados. - Si no configura esta configuración, se permite la cámara infrarroja. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Micrófonos y altavoces | ||
| Micrófonos y altavoces | Esta configuración le permite administrar si el audio a bordo puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permiten todos los micrófonos y altavoces integrados. Los periféricos, como los dispositivos USB, no se ven afectados. - Si deshabilita esta configuración, todos los micrófonos y altavoces integrados están deshabilitados. Los periféricos, como los dispositivos USB, no se ven afectados. - Si no configura esta configuración, los micrófonos y los altavoces están habilitados. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Micrófonos | Esta configuración le permite administrar si el micrófono integrado puede funcionar en dispositivos aptos. - Si habilita esta configuración, todos los micrófonos integrados están habilitados. Los periféricos, como los dispositivos USB, no se ven afectados. - Si deshabilita esta configuración, se deshabilitan todos los micrófonos integrados. Los periféricos, como los dispositivos USB, no se ven afectados. - Si no configura esta configuración, los micrófonos están habilitados. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Señales de radio | ||
| Radios (Bluetooth, Wi-Fi, NFC, etc.) | Esta configuración le permite administrar si bluetooth integrado, Wi-Fi o 5G inalámbrico puede funcionar en dispositivos aptos. - Si habilita esta configuración, se permiten todas las radios integradas. Los periféricos, como los dispositivos USB, no se ven afectados. - Si deshabilita esta configuración, se deshabilitan todas las radios integradas. Los periféricos, como los dispositivos USB, no se ven afectados. - Si no configura esta opción, todas las radios integradas están habilitadas. PROPINA: Configure la configuración de categoría Radios (Bluetooth, Wi-Fi, NFC, etc.) o la configuración granular Bluetooth, Wi-Fi. Si configura todas las opciones, estas opciones pueden provocar un conflicto. Para obtener más información, vaya a Información general del perfil DFCI: Conflictos. PRECAUCIÓN: La opción Deshabilitar solo debe usarse en dispositivos con una conexión Ethernet cableada. |
- No se admite en Surface Pro X. - Compatible con todos los demás dispositivos aptos. |
| Bluetooth | Esta configuración le permite administrar si el Bluetooth integrado puede funcionar en dispositivos aptos. - Si habilita esta configuración, Bluetooth está habilitado. - Si deshabilita esta configuración, Bluetooth está deshabilitado. - Si no configura esta configuración, Bluetooth está habilitado. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| WWAN | Esta configuración le permite administrar si WWAN integrado (inalámbrico 5G) puede funcionar en dispositivos aptos. - Si habilita esta configuración, WWAN está habilitado. - Si deshabilita esta configuración, WWAN está deshabilitado. - Si no configura esta configuración, WWAN está habilitado. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Wi-Fi | Esta configuración le permite administrar si los Wi-Fi integrados pueden funcionar en dispositivos aptos - Si habilita esta configuración, Wi-Fi está habilitado. - Si deshabilita esta configuración, Wi-Fi está deshabilitada. - Si no configura esta configuración, Wi-Fi está habilitado. |
- No se admite en Surface Pro X. - Compatible con Surface Pro 9 con 5G y todos los demás dispositivos aptos. |
| Opciones de arranque | ||
| Arranque desde medios externos (USB, SD) | Esta configuración le permite administrar si los dispositivos aptos se pueden arrancar desde medios externos. - Si habilita esta configuración, los usuarios finales pueden arrancar el dispositivo desde unidades flash USB u otras tecnologías de almacenamiento que no sean de disco duro. - Si deshabilita esta configuración, los usuarios finales no podrán arrancar el dispositivo desde unidades flash USB u otras tecnologías de almacenamiento que no sean de disco duro. - Si no configura esta configuración, los usuarios finales pueden arrancar el dispositivo desde unidades flash USB u otras tecnologías de almacenamiento que no sean de disco duro. |
Todos los dispositivos aptos |
| Puertos | ||
| Tipo USB A | Esta configuración le permite administrar cómo los dispositivos pueden usar conexiones USB-A. - Si habilita esta configuración, las conexiones de datos USB-A pueden funcionar en dispositivos aptos. - Si deshabilita esta configuración, las conexiones de datos USB-A no pueden funcionar en dispositivos aptos. - Si no configura esta configuración, las conexiones de datos USB-A pueden funcionar en todos los dispositivos. PRECAUCIÓN: Si deshabilita el arranque desde medios externos y el tipo USB A, y el dispositivo se vuelve inarrantable por cualquier motivo, no podrá recuperar el dispositivo sin reemplazar el SSD. No podrá arrancar desde medios externos y realizar un arranque PXE o una actualización DFCI desde la red. |
Solo se admite en Surface Laptop Go 2 y versiones posteriores (dispositivos publicados después del 1 de junio de 2022). |
| Configuración de reactivación | ||
| Wake-on-LAN | Esta configuración le permite administrar si los dispositivos aptos se pueden iniciar de forma remota desde Modern Standby o Hibernate. - Si habilita esta configuración, los dispositivos aptos se pueden configurar para wake-on-LAN de forma remota. - Si deshabilita esta configuración, los dispositivos aptos no se pueden configurar para activarse de forma remota en LAN. - Si no configura esta configuración, los dispositivos aptos se pueden configurar para activarse de forma remota en LAN. |
Solo se admite en Surface Laptop Go 2 y versiones posteriores (dispositivos publicados después del 1 de junio de 2022). |
| Reactivación del encendido | Esta configuración le permite administrar si los dispositivos aptos se pueden iniciar automáticamente desde estados de hibernación o apagado cuando se conectan a la alimentación. - Si habilitas esta configuración, los dispositivos Surface aptos se pueden configurar para que se inicien automáticamente cuando estén conectados a la alimentación. - Si deshabilitas esta configuración, los dispositivos Surface aptos no se pueden configurar para que se inicien automáticamente cuando estén conectados a la alimentación. - Si no configuras esta opción, los dispositivos Surface aptos no se pueden configurar para que se inicien automáticamente cuando se vuelvan a conectar a la alimentación. |
Solo se admite en Surface Laptop Go 2 y versiones posteriores (dispositivos publicados después del 1 de junio de 2022). |
Nota
DFCI en Intune incluye configuraciones que no se aplican actualmente a dispositivos Surface: virtualización de CPU e E/S, deshabilitación del arranque desde adaptadores de red, tabla binaria de la plataforma Windows (WPBT), NFC y tarjeta SD.
Comenzar
Inicie sesión en el inquilino en endpoint.microsoft.com.
En el centro de administración de Microsoft Intune, seleccione Perfiles de configuración de > dispositivos > Crear perfil.
En Plataforma, seleccione Windows 10 y versiones posteriores.
En Tipo de perfil, seleccione Plantillas>Interfaz de configuración de firmware del dispositivo y, a continuación, seleccione Crear.
Consulte Uso de perfiles DFCI en dispositivos Windows en Microsoft Intune para obtener instrucciones completas, entre las que se incluyen:
- Creación de grupos de seguridad de Microsoft Entra
- Creación de los perfiles
- Asignar los perfiles y reiniciar
- Actualización de la configuración de DFCI existente
- Reutilización, retirada o recuperación del dispositivo
Impedir que los usuarios cambien la configuración de UEFI
Para muchos clientes, la capacidad de impedir que los usuarios cambien la configuración de UEFI es fundamental y una razón principal para usar DFCI. Como se mencionó anteriormente en la tabla 1, esta funcionalidad se administra mediante la configuración Permitir que el usuario local cambie la configuración de UEFI. Si no edita ni configura esta configuración, el usuario local puede cambiar cualquier configuración de UEFI no administrada por Intune. Por lo tanto, se recomienda encarecidamente establecer Permitir que el usuario local cambie la configuración de UEFI a Ninguno.
Comprobación de la configuración de UEFI en dispositivos administrados por DFCI
En un entorno de prueba, puedes comprobar la configuración en la interfaz UEFI de Surface.
Abra Surface UEFI:
- Mantén presionado el botón de subir volumen en surface y, al mismo tiempo, presiona y suelta el botón de encendido .
- Cuando veas el logotipo de Surface, suelta el botón de subir volumen. El menú UEFI se mostrará en unos segundos.
Seleccione Dispositivos. El menú UEFI reflejará los valores configurados, como se muestra en la ilustración siguiente.
Nota
- La configuración está atenuada (inactiva) porque Permitir que el usuario local cambie la configuración de UEFI está establecida en Ninguno.
- Audio integrado está desactivado porque la directiva Micrófonos y altavoces está establecida en Deshabilitado.
Eliminación de la configuración de directivas DFCI
Al crear un perfil DFCI, todos los valores configurados permanecerán en vigor en todos los dispositivos dentro del ámbito de administración del perfil. Solo puede quitar la configuración de directiva DFCI editando el perfil DFCI directamente. Si se ha eliminado el perfil DFCI original, cree un nuevo perfil y edite la configuración adecuada.
Eliminación de la administración de DFCI
Para quitar la administración de DFCI y devolver el dispositivo al nuevo estado de fábrica:
- Retire el dispositivo de Intune:
- En Endpoint Manager en endpoint.microsoft.com, elija Dispositivos>todos los dispositivos.
- Seleccione el dispositivo que desea retirar y, a continuación, elija Retirar o borrar. Para obtener más información, consulte Eliminación de dispositivos mediante el borrado, retirada o anulación manual de la inscripción del dispositivo.
- Elimine el registro de Autopilot de Intune:
- Elija Dispositivos de inscripción > de Dispositivos de inscripción > de Windows.
- En Dispositivos Windows Autopilot, elija los dispositivos que desea eliminar y, a continuación, elija Eliminar.
- Conecte el dispositivo a Internet por cable con un adaptador Ethernet de marca Surface. Reinicie el dispositivo y abra el menú UEFI (mantenga presionado el botón de subir el volumen mientras también presiona y suelta el botón de encendido).
- Seleccione Management Configure > Refresh from Network (Configuración de administración > de actualización desde la red) y, a continuación, elija Opt-out (Optar por no participar).
Para administrar el dispositivo con Intune pero sin administración dfci, regístrelo automáticamente en Autopilot e inscríbase en Intune. DFCI no se aplicará a los dispositivos auto registrados.
Obtén más información
- Administración de DFCI | Microsoft Docs
- Uso de perfiles DFCI en dispositivos Windows en Microsoft Intune
- Configuración de DFCI para Windows 10/11 en Microsoft Intune
- Windows Autopilot
- Dispositivos Windows Autopilot y Surface
- Ignite 2019: Anuncio de la administración remota de la configuración de UEFI de Surface desde Intune
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de