Gérer DFCI sur les appareils Surface

Introduction

Avec les profils DFCI (Device Firmware Configuration Interface) intégrés à Microsoft Intune, la gestion UEFI surface étend la pile de gestion moderne jusqu’au niveau matériel UEFI (Unified Extensible Firmware Interface). DFCI prend en charge l’approvisionnement sans contact, élimine les mots de passe BIOS, assure le contrôle des paramètres de sécurité, y compris les options de démarrage et les périphériques intégrés, et jette les bases de scénarios de sécurité avancés à l’avenir. Cette page répertorie tous les paramètres de stratégie DFCI sur les appareils Surface déployés par Autopilot éligibles.

Conçu pour être utilisé avec la gestion des appareils mobiles (MDM) au niveau du logiciel, DFCI permet aux administrateurs informatiques de désactiver à distance des composants matériels spécifiques et d’empêcher les utilisateurs finaux d’y accéder. Par exemple, si vous avez besoin de protéger des informations sensibles dans des zones hautement sécurisées, vous pouvez désactiver la caméra, et si vous ne souhaitez pas que les utilisateurs démarrent à partir de lecteurs USB, vous pouvez également désactiver cela.

Astuce

La prise en charge de certains paramètres de stratégie DFCI varie selon l’appareil. Passez en revue les informations de référence sur les paramètres de stratégie DFCI sur cette page et suivez les instructions Intune pour configurer et déployer des paramètres sur vos appareils.

Conditions préalables

Remarque

Les appareils enregistrés manuellement ou eux-mêmes pour Autopilot, tels qu’importés à partir d’un fichier CSV, ne sont pas autorisés à utiliser DFCI. Par conception, la gestion DFCI nécessite une attestation externe de l’acquisition commerciale de l’appareil via un partenaire CSP Microsoft ou une inscription Surface.

Informations de référence sur les paramètres de stratégie DFCI pour les appareils Surface

Appareils éligibles

  • Surface Pro 9 (références SKU commerciales uniquement)
  • Surface Pro 9 avec 5G (références SKU commerciales uniquement)
  • Surface Pro 8 (références SKU commerciales uniquement)
  • Surface Pro 7+ (références SKU commerciales uniquement)
  • Surface Pro 7 (toutes les références SKU)
  • Surface Pro X (toutes les références SKU)
  • Surface Laptop Studio (références SKU commerciales uniquement)
  • Surface Laptop 5 (références SKU commerciales uniquement)
  • Surface Laptop 4 (références SKU commerciales uniquement)
  • Surface Laptop 3 (processeurs Intel uniquement)
  • Surface Laptop Go
  • Surface Laptop 2 Go
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (références SKU commerciales uniquement)
  • Surface Studio 2+

Remarque

Surface Pro X ne prend pas en charge la gestion des paramètres DFCI pour l’appareil photo, l’audio et le Wi-Fi/Bluetooth intégrés. Certains paramètres plus récents sont uniquement pris en charge sur les appareils les plus récents.

Tableau 1. Informations de référence sur les paramètres de stratégie DFCI : Appareils Surface déployés automatiquement

Paramètre DFCI Description Pris en charge sur :
Accès UEFI
Autoriser l’utilisateur local à modifier les paramètres UEFI (BIOS) Ce paramètre vous permet de déterminer si les utilisateurs finaux peuvent modifier les paramètres UEFI sur les appareils éligibles.

- Si vous sélectionnez Uniquement les paramètres non configurés, les utilisateurs locaux (également appelés utilisateurs finaux) peuvent modifier n’importe quel paramètre UEFI, à l’exception des paramètres que vous avez explicitement activés ou désactivés via Intune.
- Si vous sélectionnez Aucun, les utilisateurs locaux ne peuvent pas modifier les paramètres UEFI, y compris les paramètres non affichés dans le profil DFCI.
Tous les appareils éligibles
Paramètres de sécurité
Multithreading simultané Ce paramètre vous permet de déterminer si la prise en charge du multithreading simultané (SMT) est activée sur les appareils éligibles. SMT prend en charge la technologie d’hyperthreading Intel, qui fournit deux processeurs logiques pour chaque cœur physique.

- Si vous activez ce paramètre, SMT est activé dans la couche UEFI.
- Si vous désactivez ce paramètre, SMT est désactivé dans la couche UEFI.
- Si vous ne configurez pas ce paramètre, SMT est activé.
Tous les appareils éligibles
Appareils photo
Appareils photo Ce paramètre vous permet de déterminer si la caméra intégrée peut fonctionner sur des appareils éligibles.

- Si vous activez ce paramètre, toutes les caméras intégrées sont autorisées. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, toutes les caméras intégrées sont désactivées. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, toutes les caméras intégrées sont activées.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Caméra frontale Ce paramètre vous permet de déterminer si la caméra frontale peut fonctionner sur des appareils éligibles.

- Si vous activez ce paramètre, la caméra frontale est autorisée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, la caméra avant est désactivée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, la caméra frontale est activée.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Caméra arrière Ce paramètre vous permet de déterminer si la caméra arrière peut fonctionner sur les appareils éligibles.

- Si vous activez ce paramètre, la caméra arrière est autorisée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, la caméra arrière est désactivée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, la caméra arrière est autorisée.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Caméra infrarouge (IR) Ce paramètre vous permet de déterminer si la caméra infrarouge peut fonctionner sur des appareils éligibles.

- Si vous activez ce paramètre, la caméra infrarouge est autorisée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, la caméra infrarouge est désactivée. Les périphériques, comme les caméras USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, la caméra infrarouge est autorisée.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Microphones et haut-parleurs
Microphones et haut-parleurs Ce paramètre vous permet de déterminer si l’audio intégré peut fonctionner sur les appareils éligibles.

- Si vous activez ce paramètre, tous les microphones et haut-parleurs intégrés sont autorisés. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, tous les microphones et haut-parleurs intégrés sont désactivés. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, les microphones et les haut-parleurs sont activés.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Microphones Ce paramètre vous permet de déterminer si le microphone intégré peut fonctionner sur des appareils éligibles. - Si vous activez ce paramètre, tous les microphones intégrés sont activés. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, tous les microphones intégrés sont désactivés. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, les microphones sont activés.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Radios
Radios (Bluetooth, Wi-Fi, NFC, etc.) Ce paramètre vous permet de déterminer si le Bluetooth intégré, le Wi-Fi ou la 5G peuvent fonctionner sur des appareils éligibles.

- Si vous activez ce paramètre, toutes les radios intégrées sont autorisées. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous désactivez ce paramètre, toutes les radios intégrées sont désactivées. Les périphériques, comme les périphériques USB, ne sont pas affectés.
- Si vous ne configurez pas ce paramètre, toutes les radios intégrées sont activées.

POINTE: Configurez le paramètre de catégorie Radios (Bluetooth, Wi-Fi, NFC, etc.) ou les paramètres granulaires Bluetooth, Wi-Fi. Si vous configurez tous les paramètres, ces paramètres peuvent entraîner un conflit. Pour plus d’informations, consultez Vue d’ensemble du profil DFCI : Conflits.

ATTENTION: Le paramètre Désactiver doit être utilisé uniquement sur les appareils dotés d’une connexion Ethernet câblée.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur tous les autres appareils éligibles.
Bluetooth Ce paramètre vous permet de déterminer si le Bluetooth intégré peut fonctionner sur des appareils éligibles.

- Si vous activez ce paramètre, bluetooth est activé.
- Si vous désactivez ce paramètre, bluetooth est désactivé.
- Si vous ne configurez pas ce paramètre, bluetooth est activé.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
WWAN Ce paramètre vous permet de déterminer si WWAN (sans fil 5G) intégré peut fonctionner sur des appareils éligibles

- Si vous activez ce paramètre, WWAN est activé.
- Si vous désactivez ce paramètre, WWAN est désactivé.
- Si vous ne configurez pas ce paramètre, WWAN est activé.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Wi-Fi Ce paramètre vous permet de déterminer si les Wi-Fi intégrées peuvent fonctionner sur des appareils éligibles

- Si vous activez ce paramètre, Wi-Fi est activé.
- Si vous désactivez ce paramètre, Wi-Fi est désactivé.
- Si vous ne configurez pas ce paramètre, Wi-Fi est activé.
- Non pris en charge sur Surface Pro X.
- Pris en charge sur Surface Pro 9 avec la 5G et tous les autres appareils éligibles.
Options de démarrage,
Démarrage à partir d’un média externe (USB, SD) Ce paramètre vous permet de déterminer si les appareils éligibles peuvent être démarrés à partir d’un média externe.

- Si vous activez ce paramètre, les utilisateurs finaux peuvent démarrer l’appareil à partir de clés USB ou d’autres technologies de stockage non-disque dur.
- Si vous désactivez ce paramètre, les utilisateurs finaux ne peuvent pas démarrer l’appareil à partir de clés USB ou d’autres technologies de stockage non-disque dur.
- Si vous ne configurez pas ce paramètre, les utilisateurs finaux peuvent démarrer l’appareil à partir de lecteurs flash USB ou d’autres technologies de stockage non-disque dur.
Tous les appareils éligibles
Ports
USB type A Ce paramètre vous permet de gérer la façon dont les appareils peuvent utiliser les connexions USB-A.

- Si vous activez ce paramètre, les connexions de données USB-A peuvent fonctionner sur des appareils éligibles.
- Si vous désactivez ce paramètre, les connexions de données USB-A ne peuvent pas fonctionner sur les appareils éligibles.

- Si vous ne configurez pas ce paramètre, les connexions de données USB-A peuvent fonctionner sur tous les appareils.

ATTENTION: Si vous désactivez le démarrage à partir d’un support externe et d’un type USB A et que l’appareil devient indémarrable pour une raison quelconque, vous ne pourrez pas récupérer l’appareil sans remplacer le DISQUE SSD. Vous ne pourrez pas démarrer à partir d’un média externe et effectuer un démarrage PXE ou une actualisation DFCI à partir du réseau.
Pris en charge uniquement sur Surface Laptop Go 2 et versions ultérieures (appareils publiés après le 1er juin 2022).
Paramètres de veille
Wake on LAN Ce paramètre vous permet de déterminer si les appareils éligibles peuvent être démarrés à distance à partir de la veille moderne ou de la mise en veille prolongée.

- Si vous activez ce paramètre, les appareils éligibles peuvent être configurés pour être activés à distance sur un réseau lan.
- Si vous désactivez ce paramètre, les appareils éligibles ne peuvent pas être configurés pour être mis en veille à distance sur un réseau lan.
- Si vous ne configurez pas ce paramètre, les appareils éligibles peuvent être configurés pour être mis en veille à distance sur un réseau lan.
Pris en charge uniquement sur Surface Laptop Go 2 et versions ultérieures (appareils publiés après le 1er juin 2022).
Sortir de l’alimentation Ce paramètre vous permet de déterminer si les appareils éligibles peuvent être automatiquement démarrés à partir d’un état de mise en veille prolongée ou hors tension lorsqu’ils sont connectés à l’alimentation.

- Si vous activez ce paramètre, les appareils Surface éligibles peuvent être configurés pour démarrer automatiquement lorsqu’ils sont connectés à l’alimentation
- Si vous désactivez ce paramètre, les appareils Surface éligibles ne peuvent pas être configurés pour démarrer automatiquement lorsqu’ils sont connectés à l’alimentation.
- Si vous ne configurez pas ce paramètre, les appareils Surface éligibles ne peuvent pas être configurés pour démarrer automatiquement lorsqu’ils sont reconnectés à l’alimentation.
Pris en charge uniquement sur Surface Laptop Go 2 et versions ultérieures (appareils publiés après le 1er juin 2022).

Remarque

DFCI dans Intune inclut des paramètres qui ne s’appliquent actuellement pas aux appareils Surface : virtualisation du processeur et des E/S, Désactivation du démarrage à partir de cartes réseau, Table binaire de plateforme Windows (WPBT), NFC et carte SD.

Prise en main

  1. Connectez-vous à votre locataire à endpoint.microsoft.com.

  2. Dans Microsoft Endpoint Manager Administration Center, sélectionnez Appareils > Profils de configuration > Créer un profil.

  3. Sous Plateforme, sélectionnez Windows 10 et versions ultérieures.

  4. Sous Type de profil, sélectionnez Modèles>Interface de configuration du microprogramme de l’appareil, puis créer.

    Commencer à créer un profil DFCI

  5. Consultez Utiliser des profils DFCI sur des appareils Windows dans Microsoft Intune pour obtenir des instructions complètes, notamment :

    • Créer vos groupes de sécurité Azure AD
    • Créer les profils
    • Affecter les profils et redémarrer
    • Mettre à jour les paramètres DFCI existants
    • Réutiliser, mettre hors service ou récupérer l’appareil

Empêcher les utilisateurs de modifier les paramètres UEFI

Pour de nombreux clients, la possibilité d’empêcher les utilisateurs de modifier les paramètres UEFI est extrêmement importante et constitue une raison principale d’utiliser DFCI. Comme indiqué ci-dessus dans le tableau 1, cette fonctionnalité est gérée via le paramètre Autoriser l’utilisateur local à modifier les paramètres UEFI. Si vous ne modifiez pas ou ne configurez pas ce paramètre, l’utilisateur local peut modifier tout paramètre UEFI non géré par Intune. Par conséquent, il est vivement recommandé de définir Autoriser l’utilisateur local à modifier les paramètres UEFI sur Aucun.

Bloquer l’accès utilisateur pour modifier les paramètres UEFI

Vérifier les paramètres UEFI sur les appareils gérés par DFCI

Dans un environnement de test, vous pouvez vérifier les paramètres dans l’interface UEFI surface.

  1. Ouvrez l’UEFI Surface :

    • Appuyez de façon prolongée sur le bouton d’augmenter le volume de votre Surface et, en même temps, appuyez et relâchez le bouton d’alimentation .
    • Lorsque vous voyez le logo Surface, relâchez le bouton augmenter le volume. Le menu UEFI s’affiche en quelques secondes.
  2. Sélectionnez Appareils. Le menu UEFI reflète les paramètres configurés, comme illustré dans la figure suivante.

    UEFI Surface.

    Remarque :

    • Les paramètres sont grisés (inactifs), car Autoriser l’utilisateur local à modifier le paramètre UEFI est défini sur Aucun.
    • L’option Audio intégrée est désactivée, car la stratégie Microphones et haut-parleurs est définie sur Désactivé.

Supprimer les paramètres de stratégie DFCI

Lorsque vous créez un profil DFCI, tous les paramètres configurés restent en vigueur sur tous les appareils dans l’étendue de gestion du profil. Vous pouvez uniquement supprimer les paramètres de stratégie DFCI en modifiant directement le profil DFCI. Si le profil DFCI d’origine a été supprimé, créez-en un et modifiez les paramètres appropriés.

Suppression de la gestion DFCI

Pour supprimer la gestion DFCI et rétablir le nouvel état de l’appareil :

  1. Mettre l’appareil hors service de Intune :
    1. Dans Endpoint Manager à endpoint.microsoft.com, choisissez Appareils>Tous les appareils.
    2. Sélectionnez l’appareil que vous souhaitez mettre hors service, puis choisissez Mettre hors service/Réinitialiser. Pour plus d’informations, consultez Supprimer des appareils à l’aide de la réinitialisation, de la mise hors service ou de la désinscription manuelle de l’appareil.
  2. Supprimez l’inscription Autopilot de Intune :
    1. Choisissez Inscription des appareils > Inscription Windows > Appareils.
    2. Sous Appareils Windows Autopilot, choisissez les appareils que vous souhaitez supprimer, puis choisissez Supprimer.
  3. Connectez l’appareil à l’Internet câblé à l’aide d’un adaptateur Ethernet de marque Surface. Redémarrez l’appareil et ouvrez le menu UEFI (appuyez de façon prolongée sur le bouton augmenter le volume tout en appuyant et en relâchant le bouton d’alimentation).
  4. Sélectionnez Gestion > Configurer l’actualisation > à partir du réseau, puis choisissez Refuser.

Pour gérer l’appareil avec Intune mais sans gestion DFCI, inscrivez-le automatiquement sur Autopilot et inscrivez-le dans Intune. DFCI ne sera pas appliqué aux appareils auto-inscrits.

En savoir plus