Utiliser des profils de configuration BIOS sur des appareils Windows dans Microsoft Intune
Dans Intune, vous pouvez utiliser une stratégie de configuration du BIOS et d’autres paramètres pour activer ou désactiver les fonctionnalités et paramètres du BIOS.
À l’aide d’un outil OEM, vous créez un fichier de configuration bios qui configure les fonctionnalités du BIOS. Sur les appareils, vous installez l’application OEM Win32 qui lit la configuration. Ensuite, dans la stratégie BIOS Intune, vous ajoutez le fichier de configuration du BIOS et affectez la stratégie à vos appareils.
Le fichier de configuration inclut généralement des paramètres qui sécurisent l’appareil et sécurisent son matériel intégré.
Par exemple, vous souhaitez empêcher les utilisateurs finaux de réimaginer l’appareil et de sortir de Intune gestion. Pour cette tâche, vous créez un fichier de configuration du BIOS qui désactive le démarrage à partir d’USB. Ensuite, vous ajoutez ce fichier à la stratégie Intune et activez un mot de passe BIOS. Ces étapes permettent de s’assurer que la configuration n’est pas remplacée.
Cette fonctionnalité s’applique à :
- Windows 10 et versions ultérieures
- Appareils Dell
Cet article contient plus d’informations sur le fichier de configuration et l’application Win32, et vous montre comment créer la configuration du BIOS et d’autres stratégies de paramètres dans Intune.
Avertissement
Les modifications de configuration du BIOS peuvent avoir un impact sur les fonctionnalités et l’opérabilité de l’appareil, notamment la possibilité de démarrer ou d’accéder à des lecteurs chiffrés Bitlocker. Cette fonctionnalité permet aux administrateurs Intune de mettre à jour facilement les configurations du BIOS sur leurs appareils. Lorsque vous apportez des modifications, testez et déployez-les en plusieurs phases pour réduire l’impact des configurations inattendues.
Configuration requise
Pour configurer cette stratégie, connectez-vous au minimum au centre d’administration Intune avec le rôle Gestionnaire de stratégies et de profils. Pour plus d’informations sur les rôles intégrés dans Intune, accédez à Contrôle d’accès en fonction du rôle avec Microsoft Intune.
Cette fonctionnalité prend en charge les appareils appartenant à organization inscrits dans Intune. Les appareils personnels et les appareils non inscrits dans Intune ne sont pas pris en charge.
Assurez-vous que les appareils n’ont pas de mot de passe BIOS configuré. Cette fonctionnalité nécessite que Intune disposez du mot de passe bios. Si Intune n’a pas le mot de passe BIOS de l’appareil, il ne peut pas mettre à jour la configuration du BIOS.
Étape 1 : Créer le fichier de configuration et déployer l’application
Cette section se concentre sur l’utilisation de l’outil OEM pour créer le fichier de configuration et le déploiement de l’application OEM Win32 sur les appareils.
Créez le fichier de configuration à l’aide de l’outil OEM. Dans le fichier, ajoutez et configurez les fonctionnalités que vous souhaitez configurer. Vous pouvez ajouter tous les paramètres de configuration pris en charge par l’OEM.
- Pour Dell, vous pouvez utiliser l’outil Dell Command (ouvre le site web de Dell) pour créer le fichier de configuration du BIOS.
Lorsque vous créez le fichier de configuration, il existe une application Win32 de coordination fournie par l’OEM. Déployez l’application WIN32 OEM sur les appareils. Cette application :
- Agit comme un agent qui lit le fichier de configuration que vous créez et lit les mots de passe BIOS des appareils.
- Doit être installé sur tous les appareils avant d’attribuer la stratégie de configuration bios Intune.
Pour Dell, vous pouvez télécharger l’application Dell Command (ouvre le site web de Dell).
Pour installer cette application sur les appareils, vous pouvez utiliser Intune. Vous ajoutez l’application à Intune et en faites une application obligatoire. Ensuite, affectez l’application au filtre de groupe ou d’affectation que vous créez à l’étape 2 - Créer un groupe ou utilisez un filtre d’affectation (dans cet article).
Pour plus d’informations sur les applications Win32 dans Intune, accédez à Ajouter, attribuer et surveiller une application Win32 dans Microsoft Intune.
Étape 2 : Créer un groupe ou utiliser un filtre d’affectation
Il est recommandé de concentrer cette stratégie sur un ensemble spécifique d’appareils. Les options disponibles sont les suivantes :
- Option 1 : créez un groupe qui inclut les appareils. Lorsque vous créez la stratégie d’application et la stratégie de configuration du BIOS, vous attribuez les stratégies à ce groupe.
- Option 2 : utilisez un filtre d’affectation basé sur le fabricant de l’appareil. Lorsque vous créez le filtre, ciblez les appareils OEM. Lorsque vous affectez les stratégies de configuration de l’application et du BIOS, ajoutez ce filtre.
Pour plus d’informations sur ces fonctionnalités, accédez à :
- Ajouter des groupes pour organiser des utilisateurs et des appareils
- Utilisez des filtres lors de l’attribution de vos applications, stratégies et profils dans Microsoft Intune
Étape 3 : Créer la stratégie de configuration du BIOS dans Intune
Cette stratégie vous permet d’ajouter le fichier de configuration que vous avez créé.
Connectez-vous au Centre d’administration Microsoft Intune.
SélectionnezConfiguration des>appareils>Créer une>stratégie.
Entrez les propriétés suivantes :
- Plateforme : sélectionnez Windows 10 et ultérieur.
- Type de profil : sélectionnez Configurationdu BIOS des modèles > et d’autres paramètres.
Sélectionnez Créer.
Dans Informations de base, entrez les propriétés suivantes :
- Nom : entrez un nom descriptif pour le profil. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de profil est mot de passe de configuration du BIOS.
- Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
Sélectionnez Suivant.
Dans Paramètres de configuration, configurez les paramètres suivants :
Matériel : sélectionnez votre fournisseur OEM matériel dans la liste des fabricants OEM pris en charge. Actuellement, seul Dell est pris en charge.
Désactiver la protection par mot de passe BIOS par appareil : ce paramètre gère le mot de passe qui protège la configuration du BIOS sur l’appareil. Les options disponibles sont les suivantes :
- Non : Intune génère un mot de passe d’appareil unique pour chaque appareil. Pour accéder à la configuration du BIOS et le mettre à jour sur l’appareil, les utilisateurs doivent entrer ce mot de passe.
- Oui : Il n’existe pas de mot de passe protégeant le BIOS. Tous les mots de passe précédents sont supprimés. Les utilisateurs finaux peuvent accéder au BIOS et modifier les paramètres du BIOS sur l’appareil.
Fichier de configuration : chargez le fichier de configuration généré avec votre outil OEM.
Pour Dell, chargez le fichier Dell Client Configuration Tool Kit (
.cctk). La taille limite du fichier est de 2 Mo.
Sélectionnez Suivant.
Dans Affectations, sélectionnez le nouveau groupe d’appareils que vous avez créé. Ce groupe reçoit votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil.
Sélectionnez Suivant.
Dans Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.
La prochaine fois que chaque appareil s’est connecté, la stratégie s’applique.
Surveiller votre stratégie avec des rapports intégrés
Dans le centre d’administration Intune, après avoir créé une stratégie, vous pouvez surveiller son status et voir les erreurs éventuelles.
- Dans le centre d’administration Intune, accédez àStratégiesde configuration>des appareils>.
- Sélectionnez la stratégie que vous souhaitez surveiller. Le rapport Status de l’appareil affiche les status de la stratégie et affiche les détails de l’erreur pour la résolution des problèmes.
Pour plus d’informations, voir :
Récupérer les mots de passe bios
Intune stocke les mots de passe BIOS pour chaque appareil. Vous pouvez obtenir les mots de passe bios à l’aide de Microsoft Graph. Pour tester les API Graph, vous pouvez utiliser Microsoft Graph Explorer.
Importante
Veillez à sauvegarder tous les mots de passe en dehors de Intune.
- Si un appareil est supprimé de Intune gestion, les administrateurs peuvent toujours lire les mots de passe bios à l’aide de l’API hardwarePasswordInfo de Microsoft Graph.
- Si l’abonnement Intune de votre locataire se termine, il n’existe aucun moyen de lire ou de récupérer des mots de passe BIOS. Dans ce cas, votre seule option consiste à contacter votre OEM.
Option 1 : lire le mot de passe bios un appareil à la fois
Cette option obtient les mots de passe du BIOS, un appareil à la fois.
Créez un rôle RBAC Intune personnalisé avec l’autorisation Lire le mot de passe bios :
- Dans le centre d’administration Intune, sélectionnez Rôles d’administration>> des locatairesCréer un rôle.
- Nommez votre rôle, puis sélectionnez Suivant.
- Dans Autorisations, développez Appareils> gérés Définir le mot de passe de lecture du bios sur Oui.
- Sélectionnez Suivant>Créer>.
Connectez-vous à votre outil Graph avec ce rôle RBAC personnalisé et utilisez l’API Microsoft Graph hardwarePasswordInfo :
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Option 2 : lire le mot de passe BIOS de tous les appareils
Cette option obtient la liste de tous les mots de passe BIOS de tous les appareils.
Vous avez besoin du rôle Administrateur de service Intune ou Administrateur général dans Microsoft Entra ID.
Connectez-vous à votre outil Graph avec l’un de ces rôles et utilisez l’API Microsoft Graph hardwarePasswordInfo :
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Pour plus d’informations sur les rôles RBAC, accédez à Contrôle d’accès en fonction du rôle (RBAC) avec Microsoft Intune.
Supprimer le mot de passe de configuration du BIOS
Si vous envisagez d’arrêter la gestion du BIOS de vos appareils ou de supprimer définitivement des appareils de votre locataire, vous devez supprimer le mot de passe bios.
Pour supprimer le mot de passe BIOS, dans votre Intune stratégie de configuration BIOS, définissez le paramètre Désactiver la protection par mot de passe BIOS par appareil sur Oui. Ensuite, affectez la stratégie. Lorsque l’appareil s’archive avec Intune, la stratégie s’applique. Sur l’appareil, vous pouvez également synchroniser manuellement l’appareil avec Intune pour appliquer la stratégie.
Une fois la stratégie appliquée, redémarrez l’appareil.
La désinscription de l’appareil de Intune ne supprime pas le mot de passe du BIOS. Si vous désinscrivez l’appareil avant de désactiver le mot de passe, vous devez mettre à jour le mot de passe manuellement sur l’appareil.
Configuration du BIOS et DFCI
Intune dispose de deux fonctionnalités qui peuvent gérer les paramètres du BIOS sur les appareils Windows : la configuration du BIOS et d’autres paramètres et l’interface de configuration du microprogramme d’appareil (DFCI).
Le tableau suivant compare ces options.
| Fonctionnalité | Configuration du BIOS et autres paramètres | DFCI |
|---|---|---|
| Oem pris en charge | Dell Peut-être plus à l’avenir |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Pour plus d’informations, consultez Scénarios Microsoft DFCI. |
| Configurations prises en charge | Toutes les configurations disponibles dans votre outil OEM | Un ensemble de paramètres pour contrôler les fonctionnalités de sécurité, certaines fonctionnalités matérielles, les options de démarrage, les ports, etc. |
| Comment les paramètres sont appliqués | Intune remet le fichier de configuration lorsque la stratégie est affectée. L’agent OEM sur l’appareil applique la configuration. | Via le fournisseur de services de configuration UEFI à l’aide de la couche DFCI, qui est isolée du système d’exploitation |
| Bloque l’accès au menu BIOS | Oui, via des mots de passe BIOS | Oui, via des certificats |
| Configuration pendant Windows Autopilot | Dans les paramètres page d’état d’inscription (ESP), sélectionnez l’application WIN32 OEM. | Intune inscrit automatiquement l’appareil dans DFCI mgmt. |
| Compte-rendu | Indique si le fichier de configuration est appliqué. | Rapport granulaire pour chaque paramètre que vous configurez. |
| Type de stratégie Intune | Dispositifs>Configuration>Modèles>Configuration du BIOS et autres paramètres | Dispositifs>Configuration>Modèles>Interface de configuration du microprogramme de l’appareil |
Pour plus d’informations sur DFCI, consultez :
- Profils DFCI (Device Firmware Configuration Interface) sur les appareils Windows dans Microsoft Intune
- Scénarios Microsoft DFCI
- DFCI sur les appareils Surface
Articles connexes
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour