Gestion de l’interface de configuration du microprogramme d’appareil (DFCI)
Avec Windows Autopilot Deployment et Intune, les paramètres UEFI (Unified Extensible Firmware Interface) peuvent être gérés après l’inscription de l’appareil. Les paramètres UEFI peuvent être gérés à l’aide de l’interface de configuration du microprogramme d’appareil (DFCI). DFCI permet à Windows de passer des commandes de gestion de Intune à UEFI pour les appareils autopilot déployés. Cette fonctionnalité permet de limiter le contrôle de l’utilisateur final sur les paramètres du BIOS. Par exemple, les options de démarrage peuvent être verrouillées pour empêcher les utilisateurs de démarrer un autre système d’exploitation, par exemple un système d’exploitation qui n’a pas les mêmes fonctionnalités de sécurité.
Si un utilisateur réinstalle une version précédente de Windows, installe un système d’exploitation distinct ou met en forme le disque dur, il ne peut pas remplacer la gestion DFCI. Cette fonctionnalité peut également empêcher les programmes malveillants de communiquer avec les processus du système d’exploitation, y compris les processus de système d’exploitation élevés. La chaîne d’approbation de DFCI utilise le chiffrement à clé publique et ne dépend pas de la sécurité de mot de passe UEFI locale. Cette couche de sécurité empêche les utilisateurs locaux d’accéder aux paramètres gérés à partir des menus UEFI de l’appareil.
Pour obtenir une vue d’ensemble des avantages, des scénarios et des exigences de DFCI, consultez Présentation de l’interface de configuration du microprogramme d’appareil (DFCI).
Importante
Un appareil s’inscrit automatiquement dans la gestion DFCI pendant l’approvisionnement Autopilot lorsque les actions suivantes se produisent :
- L’OEM active l’appareil pour DFCI.
- L’appareil est inscrit pour Autopilot via l’OEM ou un partenaire de solution cloud (CSP) dans l’Espace partenaires.
L’inscription dans la gestion DFCI déclenche un redémarrage supplémentaire pendant l’expérience OOBE (out-of-box experience).
Cycle de vie de la gestion DFCI
Le cycle de vie de gestion DFCI comprend les processus suivants :
- Intégration UEFI.
- Inscription de l’appareil
- Création de profil.
- Inscription.
- Gestion.
- Retraite.
- Récupération.
Consultez la figure suivante :
Configuration requise
- Une version de Windows actuellement prise en charge et une UEFI prise en charge sont nécessaires.
- Le fabricant de l’appareil doit avoir ajouté DFCI à son microprogramme UEFI dans le processus de fabrication ou en tant que mise à jour du microprogramme qui peut être installée. Collaborez avec les fournisseurs d’appareils pour déterminer les fabricants qui prennent en charge DFCI ou la version du microprogramme nécessaire pour utiliser DFCI.
- L’appareil doit être géré avec Microsoft Intune. Pour plus d’informations, consultez Inscrire des appareils Windows dans Intune à l’aide de Windows Autopilot.
- L’appareil doit être inscrit pour Windows Autopilot par un partenaire fournisseur de solutions Microsoft Cloud (CSP), ou inscrit directement par l’OEM. Pour les appareils Surface, la prise en charge de l’inscription Microsoft est disponible sur le support Microsoft Devices Autopilot.
Importante
Les appareils inscrits manuellement pour Autopilot (par exemple , en important à partir d’un fichier CSV) ne sont pas autorisés à utiliser DFCI. De par sa conception, la gestion DFCI nécessite une attestation externe de l’acquisition commerciale de l’appareil par le biais d’un fabricant d’ordinateurs OEM ou via l’inscription à Windows Autopilot par un partenaire Microsoft CSP. Lorsque l’appareil est inscrit, son numéro de série s’affiche dans la liste des appareils Windows Autopilot.
Gestion du profil DFCI avec Windows Autopilot
Il existe quatre étapes de base dans la gestion du profil DFCI avec Windows Autopilot :
- Créer un profil Autopilot
- Créer un profil de page d’status d’inscription
- Créer un profil DFCI
- Affecter les profils
Pour plus d’informations , consultez Créer les profils et Affecter les profils et redémarrer .
Les paramètres DFCI existants peuvent également être modifiés sur les appareils en cours d’utilisation. Dans le profil DFCI existant, modifiez les paramètres et enregistrez les modifications. Étant donné que le profil est déjà attribué, les nouveaux paramètres DFCI prennent effet lors de la prochaine synchronisation de l’appareil ou du redémarrage de l’appareil.
Pour déterminer si un appareil est prêt pour DFCI, vous pouvez utiliser l’appel Intune API Graph suivant :
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Pour plus d’informations, consultez Intune vue d’ensemble de l’API d’appareils et d’applications et Utilisation de Intune dans Microsoft Graph .
Oem qui prennent en charge DFCI
- Acer.
- Asus.
- Dynabook.
- Fujitsu.
- Microsoft Surface.
- Panasonic.
- VAIO.
D’autres oem sont en attente.
Problèmes connus
Échec de l’inscription DFCI pour les éditions Professional de Windows 11, version 24H2
Date d’ajout : 9 octobre 2024
DFCI ne peut actuellement pas être utilisé sur les appareils dotés des éditions Professional de Windows 11, version 24H2. Le problème est en cours d’examen. Pour contourner ce problème, assurez-vous que l’appareil est mis à niveau vers l’édition Enterprise de Windows 11, version 24H2 pendant ou après l’intégration OOBE. Après la mise à niveau vers l’édition Enterprise de Windows 11, version 24H2, synchronisez l’appareil. Une fois l’appareil synchronisé, redémarrez-le pour l’inscrire dans DFCI.