Paramètres de profil DFCI (Device Firmware Configuration Interface) dans Microsoft Intune

  • Article

Cet article répertorie et décrit les paramètres de profil DFCI que vous pouvez contrôler sur les appareils clients Windows. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour contrôler les fonctionnalités de sécurité, le matériel intégré et les options de démarrage dans la couche UEFI sur Windows.

Ces paramètres s’appliquent à :

  • Windows 11 sur l’interface UEFI prise en charge
  • Windows 10 RS5 (1809) et versions ultérieures sur l’interface UEFI prise en charge

Ces paramètres sont ajoutés à un profil de configuration d’appareil dans Intune, puis affectés ou déployés sur vos appareils clients Windows.

Avant de commencer

Avertissement

Fais attention. La configuration et l’affectation de profils DFCI peuvent verrouiller l’appareil au-delà de la réparation. Les paramètres de profil DFCI modifient le matériel de l’appareil et ne peuvent pas être résolus en recréant l’image du système d’exploitation.

Accès UEFI

  • Autoriser l’utilisateur local à modifier les paramètres UEFI : Vos options :
    • Paramètres non configurés uniquement : l’utilisateur local peut modifier n’importe quel paramètre, à l’exception de ceux explicitement définis sur Activer ou Désactiver par Intune.
    • Aucun : l’utilisateur local ne peut pas modifier les paramètres UEFI (BIOS), y compris les paramètres qui ne sont pas affichés dans le profil DFCI.

Fonctionnalités de sécurité

  • Virtualisation de l’UC et des E/S : les options disponibles sont :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
    • Activé : le BIOS active les fonctionnalités de virtualisation du processeur et des E/S de la plateforme pour que le système d’exploitation les utilise. Il active les technologies Device Guard et de sécurité basée sur la virtualisation Windows.

  • Table binaire de plateforme Windows (WPBT) : wpbt permet aux fournisseurs et aux fabricants OEM d’exécuter un .exe programme dans la couche UEFI. Chaque fois que Windows démarre, il examine l’UEFI et exécute ..exe Utilisez cette fonctionnalité pour exécuter des programmes qui ne sont pas inclus dans Windows Media.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les fournisseurs et les fabricants OEM à exécuter des programmes à l’aide de WPBT.
    • Activé : active WPBT et autorise .exe l’exécution des programmes de la couche UEFI.
    • Désactivé : désactive WPBT et empêche .exe l’exécution des programmes de la couche UEFI.

  • Multithreading simultané (SMT) : également appelé hyper-threading. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
    • Activé : active SMT dans la couche UEFI.
    • Désactivé : désactive SMT dans la couche UEFI.

Appareils photo

  • Caméras : ce paramètre gère toutes les caméras matérielles intégrées à l’appareil. Il ne gère pas les périphériques attachés, tels que les webcams USB.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les caméras intégrées.
    • Activé : tous les appareils photo intégrés gérés directement par UEFI (BIOS) sont activés. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.
    • Désactivé : toutes les caméras intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.

  • Caméras frontales : ce paramètre gère les caméras visibles avant intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les caméras lumineuses visibles avant intégrées.
    • Activé : toutes les caméras lumineuses visibles avant intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.
    • Désactivé : toutes les caméras lumineuses visibles avant intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.

  • Caméras arrière : ce paramètre gère les caméras lumineuses visibles arrière intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les caméras arrière intégrées.
    • Activé : toutes les caméras visibles arrière intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.
    • Désactivé : toutes les caméras visibles arrière intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.

  • Caméras infrarouges (IR) : ce paramètre gère les caméras infrarouges intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les caméras infrarouges intégrées.
    • Activé : toutes les caméras infrarouges intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.
    • Désactivé : toutes les caméras infrarouges intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les appareils photo USB, ne sont pas affectés.

Microphones et haut-parleurs

Nous vous recommandons de configurer les paramètres de catégorie Microphones et haut-parleursou les paramètres granulaires Microphones . Si vous configurez tous les paramètres, ces paramètres peuvent entraîner un conflit. Pour plus d’informations, consultez Vue d’ensemble du profil DFCI : Conflits.

  • Microphones et haut-parleurs : ce paramètre gère tous les microphones et haut-parleurs intégrés à l’appareil. Il ne gère pas les périphériques attachés, tels que les périphériques USB.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les microphones et haut-parleurs intégrés.
    • Activé : tous les microphones et haut-parleurs intégrés gérés directement par UEFI (BIOS) sont activés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : tous les microphones et haut-parleurs intégrés gérés directement par UEFI (BIOS) sont désactivés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

  • Microphones : ce paramètre gère les microphones intégrés gérés par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les microphones intégrés.
    • Activé : tous les microphones intégrés gérés directement par UEFI (BIOS) sont activés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : tous les microphones intégrés gérés directement par UEFI (BIOS) sont désactivés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

Radios

Nous vous recommandons de configurer les paramètres de catégorie Radios (Bluetooth, Wi-Fi, NFC, etc.)ou les paramètres granulaires Bluetooth, Wi-Fi, etc. Si vous configurez tous les paramètres, ces paramètres peuvent entraîner un conflit. Pour plus d’informations, consultez Vue d’ensemble du profil DFCI : Conflits.

  • Radios (Bluetooth, Wi-Fi, NFC, etc.) : ce paramètre gère toutes les radios intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer toutes les radios intégrées.

    • Activé : toutes les radios intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

    • Désactivé : toutes les radios intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

      Lorsqu’il est défini sur Désactivé, l’appareil nécessite une connexion réseau câblée. Sinon, l’appareil peut être ingérable.

  • Bluetooth : ce paramètre gère les radios Bluetooth intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les radios Bluetooth intégrées.
    • Activé : toutes les radios Bluetooth intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : toutes les radios Bluetooth intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

  • WWAN : ce paramètre gère les radios WWAN intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les radios WWAN intégrées.
    • Activé : toutes les radios WWAN intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : toutes les radios WWAN intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

  • NFC : ce paramètre gère les radios NFC intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les radios NFC intégrées.
    • Activé : toutes les radios NFC intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : toutes les radios NFC intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

  • Wi-Fi : ce paramètre gère les radios Wi-Fi intégrées gérées par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les radios Wi-Fi intégrées.
    • Activé : toutes les radios Wi-Fi intégrées gérées directement par UEFI (BIOS) sont activées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : toutes les radios Wi-Fi intégrées gérées directement par UEFI (BIOS) sont désactivées. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

Options de démarrage

Avertissement

La désactivation de toutes les options de démarrage externe ou de tous les ports externes complique considérablement la récupération du système d’exploitation. Pour récupérer un appareil qui ne peut plus démarrer Windows, vous devrez peut-être l’ouvrir physiquement et remplacer le stockage matériel.

  • Démarrage à partir d’un support externe (USB, SD) : les options disponibles sont :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le démarrage à partir d’un média externe.

    • Activé : UEFI (BIOS) permet le démarrage à partir d’un stockage autre que sur disque dur.

    • Désactivé : UEFI (BIOS) empêche le démarrage à partir du stockage non-disque dur, ce qui désactive également le démarrage à partir des cartes réseau.

      Lorsqu’il est défini sur Désactivé, ne définissez pas le paramètre de Démarrer à partir des cartes réseau sur Activé. Cela rend non conforme le paramètre Démarrer à partir d’un media externe (USB, SD) ou Démarrer à partir de cartes réseau.

  • Démarrer à partir de cartes réseau : les options disponibles sont :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le démarrage à partir de cartes réseau intégrées.
    • Activé : UEFI (BIOS) permet le démarrage à partir d’interfaces réseau intégrées.
    • Désactivé : UEFI (BIOS) empêche le démarrage des interfaces réseau intégrées.

Ports

Avertissement

La désactivation de toutes les options de démarrage externe ou de tous les ports externes complique considérablement la récupération du système d’exploitation. Pour récupérer un appareil qui ne peut plus démarrer Windows, vous devrez peut-être l’ouvrir physiquement et remplacer le stockage matériel.

  • TYPE USB A : ce paramètre gère les ports USB de type A intégrés gérés par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les ports USB de type A intégrés.
    • Activé : tous les ports USB de type A intégrés gérés directement par UEFI (BIOS) sont activés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : tous les ports USB de type A intégrés gérés directement par UEFI (BIOS) sont désactivés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

  • SD carte : ce paramètre gère les ports SD carte intégrés gérés par UEFI (BIOS). Il ne gère pas les périphériques attachés.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut activer les ports de carte SD intégrés.
    • Activé : tous les ports SD carte intégrés gérés directement par UEFI (BIOS) sont activés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.
    • Désactivé : tous les ports SD carte intégrés gérés directement par UEFI (BIOS) sont désactivés. Les périphériques, tels que les périphériques USB, ne sont pas affectés.

Paramètres de veille

  • Wake on LAN : Wake on LAN permet à un administrateur réseau de sortir à distance un appareil en mode veille à l’aide du réseau local.

    Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher l’éveil d’un appareil à l’aide du réseau lan.
    • Activé : UEFI (BIOS) permet de réveiller un appareil à l’aide du réseau local.
    • Désactivé : UEFI (BIOS) empêche l’éveil d’un appareil à l’aide du réseau local.

  • Mise sous tension : lorsque l’appareil est connecté à une source d’alimentation, ce paramètre détermine si les appareils éligibles peuvent être automatiquement démarrés à partir d’un état de mise en veille prolongée ou hors tension. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher l’éveil d’un appareil lorsqu’il est connecté à une source d’alimentation.
    • Activé : UEFI (BIOS) permet de réveiller un appareil lorsqu’il est connecté à une source d’alimentation.
    • Désactivé : UEFI (BIOS) empêche l’éveil d’un appareil lorsqu’il est connecté à une source d’alimentation.