Administración de la interfaz de configuración de firmware de dispositivo (DFCI)

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10

Con Windows Autopilot Deployment y Intune, la configuración de la interfaz de firmware extensible unificada (UEFI) se puede administrar después de inscribir el dispositivo. La configuración de UEFI se puede administrar mediante la interfaz de configuración de firmware de dispositivo (DFCI). DFCI permite a Windows pasar comandos de administración de Intune a UEFI para dispositivos implementados por Autopilot. Esta funcionalidad permite limitar el control del usuario final sobre la configuración del BIOS. Por ejemplo, las opciones de arranque se pueden bloquear para evitar que los usuarios arranquen otro sistema operativo, como el que no tiene las mismas características de seguridad.

Si un usuario vuelve a instalar una versión anterior de Windows, instala un sistema operativo independiente o da formato al disco duro, no puede invalidar la administración dfci. Esta característica también puede impedir que el malware se comunique con los procesos del sistema operativo, incluidos los procesos de so con privilegios elevados. La cadena de confianza de DFCI usa criptografía de clave pública y no depende de la seguridad de contraseñas UEFI local. Esta capa de seguridad impide que los usuarios locales accedan a la configuración administrada desde los menús UEFI del dispositivo.

Para obtener información general sobre las ventajas, escenarios y requisitos de DFCI, consulte Introducción a device firmware configuration interface (DFCI).

Importante

Un dispositivo se inscribe automáticamente en la administración de DFCI durante el aprovisionamiento de Autopilot cuando se producen las siguientes acciones:

• El OEM habilita el dispositivo para DFCI.
• El dispositivo está registrado para Autopilot a través del OEM o un partner de solución en la nube (CSP) en el Centro de partners.

La inscripción en la administración de DFCI desencadena un reinicio adicional durante la experiencia integrada (OOBE).

Ciclo de vida de administración de DFCI

El ciclo de vida de administración de DFCI incluye los siguientes procesos:

• Integración de UEFI.
• Registro de dispositivos.
• Creación de perfiles.
• Inscripción.
• Administración.
• Jubilación.
• Recuperación.

Consulte la siguiente ilustración:

Requisitos

• Se requiere una versión compatible actualmente de Windows y una UEFI compatible.
• El fabricante del dispositivo debe tener DFCI agregado a su firmware UEFI en el proceso de fabricación o como una actualización de firmware que se pueda instalar. Trabaje con los proveedores de dispositivos para determinar los fabricantes que admiten DFCI o la versión de firmware necesaria para usar DFCI.
• El dispositivo debe administrarse con Microsoft Intune. Para obtener más información, vea Inscribir dispositivos Windows en Intune con Windows Autopilot.
• El dispositivo debe estar registrado para Windows Autopilot por un asociado de Proveedor de soluciones en la nube (CSP) de Microsoft o registrado directamente por el OEM. En el caso de los dispositivos Surface, el soporte técnico de registro de Microsoft está disponible en Soporte técnico de Microsoft Devices Autopilot.

Importante

Los dispositivos registrados manualmente para Autopilot (por ejemplo, al importar desde un archivo CSV) no pueden usar DFCI. Por diseño, la administración de DFCI exige la atestación externa de la adquisición comercial del dispositivo a través de un OEM o un registro de asociado de CSP de Microsoft en Windows Autopilot. Cuando el dispositivo está registrado, su número de serie se muestra en la lista de dispositivos Windows Autopilot.

Administración del perfil dfci con Windows Autopilot

Hay cuatro pasos básicos para administrar el perfil DFCI con Windows Autopilot:

1. Creación de un perfil de Autopilot
2. Creación de un perfil de página de estado de inscripción
3. Creación de un perfil DFCI
4. Asignar los perfiles

Consulte Creación de perfiles y Asignación de perfiles y reinicio para obtener más información.

La configuración de DFCI existente también se puede cambiar en los dispositivos que están en uso. En el perfil DFCI existente, cambie la configuración y guarde los cambios. Dado que el perfil ya está asignado, la nueva configuración de DFCI surte efecto cuando la próxima vez que el dispositivo se sincronice o se reinicie el dispositivo.

Para identificar si un dispositivo está listo para DFCI, se puede usar la siguiente llamada Intune Graph API:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Para obtener más información, vea Intune introducción a la API de dispositivos y aplicaciones y Trabajar con Intune en Microsoft Graph .

OEM que admiten DFCI

• Acer.
• Asus.
• Dynabook.
• Fujitsu.
• Microsoft Surface.
• Panasonic.
• VAIO.

Otros OEM están pendientes.

Problemas conocidos

Se produce un error en la inscripción de DFCI para las ediciones Professional de Windows 11, versión 24H2

Fecha agregada: 9 de octubre de 2024

DFCI no se puede usar actualmente en dispositivos con ediciones Professional de Windows 11, versión 24H2. El problema se está investigando. Como solución alternativa, asegúrese de que el dispositivo se actualiza a la edición Enterprise de Windows 11, versión 24H2 durante o después de la incorporación de OOBE. Después de actualizar a la edición Enterprise de Windows 11, versión 24H2, sincronice el dispositivo. Una vez sincronizado el dispositivo, reinicialo para inscribirlo en DFCI.

Contenido relacionado

• Escenarios dfci de Microsoft.
• Dispositivos Windows Autopilot y Surface.