Utiliser des profils DFCI (Device Firmware Configuration Interface) sur les appareils Windows dans Microsoft Intune

Lorsque vous utilisez Intune pour gérer les appareils Windows Autopilot, vous pouvez gérer les paramètres UEFI (BIOS) après leur inscription à l’aide de l’interface de configuration du microprogramme d’appareil (DFCI). Pour obtenir une vue d’ensemble des avantages, des scénarios et des prérequis, accédez à Vue d’ensemble de DFCI.

L’interface DFCI permet à Windows de transmettre des commandes de gestion d’Intune à l’interface UEFI (Unified Extensible Firmware Interface).

Dans Intune, utilisez cette fonctionnalité pour contrôler les paramètres BIOS. En règle générale, le microprogramme est plus résilient aux attaques malveillantes. Il limite le contrôle des utilisateurs finaux sur le BIOS, ce qui est parfait dans une situation compromise.

Cette fonctionnalité s’applique à :

• Windows 11 sur l’interface UEFI prise en charge
• Windows 10 RS5 (1809) et versions ultérieures sur l’interface UEFI prise en charge

Par exemple, vous utilisez des appareils clients Windows dans un environnement sécurisé et vous souhaitez désactiver la caméra. Vous pouvez désactiver la caméra au niveau de la couche du microprogramme, de sorte que les actions de l’utilisateur final soient sans effet. La réinstallation du système d’exploitation ou la réinitialisation de l’ordinateur ne réactive pas l’appareil photo. Dans un autre exemple, verrouillez les options de démarrage pour empêcher les utilisateurs de démarrer un autre système d’exploitation ou une version antérieure de Windows qui ne dispose pas des mêmes fonctionnalités de sécurité.

Lorsque vous réinstallez une ancienne version de Windows, installez un autre système d’exploitation ou formatez le disque dur, vous ne pouvez pas remplacer la gestion DFCI. Cette fonctionnalité peut empêcher les logiciels malveillants de communiquer avec les processus du système d’exploitation, y compris les processus OS élevés. La chaîne d’approbation de l’interface DFCI utilise le chiffrement à clé publique et ne dépend pas de la sécurité de mot de passe UEFI (BIOS) locale. Cette couche de sécurité empêche les utilisateurs locaux d’accéder aux paramètres gérés à partir des menus UEFI (BIOS) de l’appareil.

Conseil

Pour les appareils Dell, vous pouvez créer une stratégie de configuration du BIOS . Pour plus d’informations, consultez Utiliser des profils de configuration BIOS sur des appareils Windows dans Microsoft Intune.

Avant de commencer

• Le fabricant de l’appareil doit avoir ajouté l’interface DFCI à son microprogramme UEFI dans le processus de fabrication, ou en tant que mise à jour du microprogramme à installer. Collaborez avec vos fournisseurs d’appareils pour déterminer les fabricants qui prennent en charge l’interface DFCI ou la version du microprogramme nécessaire pour utiliser DFCI.

• L’appareil doit être inscrit pour Windows Autopilot par un partenaire fournisseur de solutions Microsoft Cloud (CSP), ou inscrit directement par l’OEM.

  Les appareils inscrits manuellement pour Windows Autopilot, tels qu’importés à partir d’un fichier csv, ne sont pas autorisés à utiliser DFCI. De par sa conception, la gestion DFCI nécessite une attestation externe de l’acquisition commerciale de l’appareil par le biais d’un fabricant d’ordinateurs OEM ou via l’inscription à Windows Autopilot par un partenaire Microsoft CSP.

  Une fois votre appareil inscrit, son numéro de série est affiché dans la liste des appareils Windows Autopilot.

  Pour plus d’informations sur Windows Autopilot, y compris les exigences, consultez Vue d’ensemble de l’inscription Windows Autopilot.

Créer vos groupes de sécurité Microsoft Entra

Les profils de déploiement Windows Autopilot sont affectés à Microsoft Entra groupes de sécurité. Veillez à créer des groupes qui incluent vos appareils pris en charge par DFCI. Pour les appareils DFCI, la plupart des organisations peuvent créer des groupes d’appareils à la place de groupes d’utilisateurs. Plusieurs scénarios sont envisageables :

• Les ressources humaines (RH) ont différents appareils Windows. Pour des raisons de sécurité, vous voulez qu’aucun utilisateur de ce groupe n’utilise l’appareil photo sur ces appareils. Dans ce scénario, vous pouvez créer un groupe d’utilisateurs de sécurité RH afin que la stratégie s’applique aux utilisateurs du groupe RH, quel que soit le type d’appareil.

• Dans l’atelier de fabrication, vous avez 10 appareils. Vous voulez empêcher le démarrage de tous ces appareils à partir d’un périphérique USB. Dans ce scénario, vous pouvez créer un groupe d’appareils de sécurité et ajouter les 10 appareils dans ce groupe.

Pour plus d’informations sur la création de groupes dans Intune, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.

Créer les profils

Pour utiliser DFCI, créez les profils suivants et affectez-les à votre groupe.

Étape 1 : Créer un profil de déploiement Windows Autopilot

Ce profil configure et préconfigure les nouveaux appareils. L’article suivant répertorie les étapes de création du profil :

• Profil de déploiement Windows Autopilot

Étape 2 : Créer un profil de page d’état d’inscription

Ce profil garantit que les appareils sont vérifiés et activés pour DFCI lors de l’installation de Windows. Il est fortement recommandé d’utiliser ce profil pour bloquer l’utilisation des appareils jusqu’à ce que toutes les applications et tous les profils soient installés.

L’article suivant répertorie les étapes de création du profil :

• Profil de page d’état d’inscription

Étape 3 : Créer le profil DFCI dans Intune

Ce profil inclut les paramètres DFCI que vous configurez.

Conseil

La configuration et l’affectation de profils DFCI peuvent verrouiller l’appareil au-delà de la réparation. Par conséquent, faites attention aux valeurs que vous configurez.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezConfiguration>des appareils>Créer.

3. Entrez les propriétés suivantes :

   • Plateforme : choisissez Windows 10 et ultérieur.
   • Type de profil : sélectionnez Modèles Interface> deconfiguration du microprogramme de l’appareil.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommez vos stratégies afin de pouvoir les identifier facilement ultérieurement. Par exemple, un bon nom de profil est Windows - Paramètres DFCI sur les appareils Windows.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

   Sélectionnez Suivant.

6. Dans Paramètres de configuration, configurez les paramètres que vous souhaitez contrôler dans la couche de microprogramme UEFI. Pour obtenir la liste de tous les paramètres et ce qu’ils font, accédez à :

   • Paramètres DFCI Windows

   Sélectionnez Suivant.

7. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser RBAC et les balises d’étendue pour l’informatique distribuée. Sélectionnez Suivant.

8. Dans Affectations, sélectionnez les utilisateurs ou le groupe d’utilisateurs qui recevront votre profil. Pour plus d’informations sur l’attribution de profils, accédez à Attribuer des profils d’utilisateur et d’appareil. Sélectionnez Suivant.

9. Dans Vérifier + créer, passez en revue vos paramètres et sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Lors du prochain check-in de chaque appareil, la stratégie est appliquée.

Affecter les profils et redémarrer

Veillez à affecter les profils à vos groupes de sécurité Microsoft Entra qui incluent vos appareils DFCI. Le profil peut être affecté lors de sa création, ou après.

Lorsque l’appareil exécute Windows Autopilot dans la page d’état d’inscription, DFCI peut forcer un redémarrage. Ce premier redémarrage inscrit UEFI dans Intune.

Si vous souhaitez confirmer l’inscription de l’appareil, vous pouvez redémarrer l’appareil, mais ce n’est pas obligatoire. Utilisez les instructions du fabricant de l’appareil pour ouvrir le menu UEFI, puis confirmez la gestion d’UEFI.

La prochaine fois que l’appareil se synchronise avec Intune, Windows reçoit les paramètres DFCI. Redémarrez l’appareil. Ce troisième redémarrage est nécessaire pour permettre à l’UEFI de recevoir les paramètres DFCI de Windows.

Mettre à jour les paramètres DFCI

Vous pouvez modifier les paramètres DFCI configurés sur les appareils en cours d’utilisation, si vous le souhaitez. Dans votre profil DFCI, modifiez les paramètres et enregistrez vos modifications. Comme le profil est déjà attribué, les nouveaux paramètres DFCI prennent effet lorsque :

1. L’appareil s’enregistre auprès du service Intune pour passer en revue les mises à jour de profil. Ces opérations interviennent à des moments différents. Pour plus d’informations, accédez à Quand les appareils obtiennent des mises à jour de stratégie, de profil ou d’application.
2. Pour appliquer les nouveaux paramètres, redémarrez l’appareil à distance ou localement.

Vous pouvez également signaler aux appareils de s’enregistrer. Après une synchronisation réussie, signalez-leur de redémarrer.

Remarque

La suppression du profil DFCI ou la suppression d’un appareil du groupe attribué au profil n’entraîne pas la suppression des paramètres DFCI ni la réactivation des menus UEFI (BIOS). Si vous souhaitez arrêter d’utiliser DFCI, mettez à jour les paramètres de votre profil DFCI existant. Pour plus d’informations sur les étapes, consultez mettre hors service l’appareil dans cet article.

Conflicts

Lorsque vous créez la stratégie DFCI, vous configurez les paramètres DFCI Windows que vous souhaitez gérer.

Certains paramètres sont dans une catégorie logique, comme les microphones et les haut-parleurs. Il existe également des paramètres granulaires, tels que les microphones. Si ces paramètres sont en conflit, les événements suivants se produisent :

• Lors de la première tentative de synchronisation, le paramètre granulaire est appliqué (Microphones) et le paramètre de catégorie n’est pas conforme (Microphones et haut-parleurs).

• À chaque synchronisation avec le service Intune après la première synchronisation, le comportement suivant se produit dans une boucle :

  • Intune applique le paramètre de catégorie (microphones et haut-parleurs), car il n’est pas conforme. Le paramètre granulaire (Microphones) devient non conforme.
  • Intune applique le paramètre granulaire (microphones), car il n’est pas conforme. Le paramètre de catégorie (Microphones et Haut-parleurs) devient non conforme.

Pour éviter ce comportement de bouclage, configurez le paramètre de catégorie ou les paramètres granulaires.

Par exemple, vous souhaitez autoriser uniquement les radios Wi-Fi. Dans ce scénario, vous :

• Laissez le paramètre Radios de catégorie (Bluetooth, Wi-Fi, NFC, etc.) sur Non configuré.
• Pour le paramètre radio Wi-Fi, définissez-le sur Activer.
• Définissez tous les autres paramètres radio granulaires sur Désactivé.

Réutiliser, mettre hors service ou récupérer l’appareil

Réutiliser

Si vous envisagez de réinitialiser Windows pour réaffecter l’appareil, réinitialisez l’appareil. Ne supprimez pas l’enregistrement d’appareil Windows Autopilot.

Après avoir réinitialisation de l’appareil, déplacez-le vers le groupe affecté aux nouveaux profils DFCI et Windows Autopilot. Veillez à redémarrer l’appareil pour réexécuter le programme d’installation de Windows.

Mettre hors service

Lorsque vous êtes prêt à mettre hors service l’appareil et à abandonner sa gestion, mettez à jour le profil DFCI avec les paramètres UEFI (BIOS) que vous souhaitez à l’état de sortie. En règle générale, tous les paramètres doivent être activés. Par exemple :

1. Dans le centre d’administration Intune, ouvrez votre profil DFCI (Configurationdes appareils>).
2. Modifiez le paramètre Autoriser l’utilisateur local à modifier les paramètres UEFI (BIOS) en spécifiant Uniquement les paramètres non configurés.
3. Définissez tous les autres paramètres sur Non configuré.
4. Enregistrez vos paramètres.

Ces étapes déverrouillent les menus UEFI (BIOS) de l’appareil. Les valeurs restent les mêmes que celles du profil (activées ou désactivées) et ne sont pas redéfinies sur les valeurs par défaut du système d’exploitation.

Vous êtes maintenant prêt à réinitialiser l’appareil. Une fois l’appareil effacé, supprimez l’enregistrement Windows Autopilot. La suppression de cet enregistrement empêche l’appareil de se réinscrire automatiquement lorsqu’il redémarre.

Conseil

Pour supprimer des appareils Surface de l’inscription DFCI, accédez à la suppression de la gestion DFCI.

Récupérer

Si vous effacez un appareil et supprimez l’enregistrement Windows Autopilot avant de déverrouiller les menus UEFI (BIOS), les menus restent verrouillés. Intune ne peut pas envoyer les mises à jour de profil pour les déverrouiller.

Pour déverrouiller l’appareil, ouvrez le menu UEFI (BIOS), puis actualisez la gestion à partir du réseau. La récupération déverrouille les menus, mais conserve tous les paramètres UEFI (BIOS) tels qu’ils étaient définis sur les valeurs du profil DFCI Intune précédent.

Impact sur les utilisateurs finaux

Lorsque la stratégie DFCI est appliquée, les utilisateurs locaux ne peuvent pas modifier les paramètres configurés par DFCI, même si le menu UEFI (BIOS) est protégé par mot de passe. Selon les paramètres que vous configurez, les utilisateurs finaux peuvent recevoir des erreurs signalant que les composants matériels sont introuvables ou ne peuvent pas être diagnostiqués. Veillez à fournir aux utilisateurs finaux de la documentation expliquant les options que vous avez désactivées.

Articles connexes

• Affecter le profil
• Superviser l’état du profil