BIOS-konfigurációs profilok használata Windows-eszközökön a Microsoft Intune-ban
Az Intune-ban a BIOS-konfiguráció és más beállítások eszközkonfigurációs szabályzata segítségével engedélyezheti vagy letilthatja a BIOS-funkciókat és -beállításokat.
OEM-eszközzel létrehoz egy BIOS-konfigurációs fájlt, amely konfigurálja a BIOS funkcióit. Az eszközökön telepítenie kell a konfigurációt beolvasó OEM Win32 alkalmazást. Ezután az Intune BIOS-szabályzatban adja hozzá a BIOS konfigurációs fájlt, és rendelje hozzá a szabályzatot az eszközeihez.
A konfigurációs fájl általában olyan beállításokat tartalmaz, amelyek biztosítják az eszköz védelmét és a beépített hardver védelmét.
Például meg szeretné akadályozni, hogy a végfelhasználók újraképezzék az eszközt, és kikerüljenek az Intune felügyeletéből. Ehhez a feladathoz létre kell hoznia egy BIOS-konfigurációs fájlt, amely letiltja az USB-ről történő rendszerindítást. Ezután adja hozzá ezt a fájlt az Intune-szabályzathoz, és engedélyezze a BIOS-jelszót. Ezek a lépések biztosítják, hogy a konfiguráció ne legyen felülírva.
Ez a funkció az alábbiakra vonatkozik:
- Windows 11
- Windows 10
- Dell-eszközök
Ez a cikk további információkat tartalmaz a konfigurációs fájlról és a Win32-alkalmazásról, valamint bemutatja, hogyan hozhatja létre a BIOS konfigurációs és egyéb beállítási szabályzatát az Intune-ban.
Figyelmeztetés
A BIOS-konfiguráció módosítása hatással lehet az eszköz működésére és működőképességére, beleértve a BitLocker titkosított meghajtók rendszerindításának vagy elérésének képességét. Ezzel a funkcióval az Intune-rendszergazdák egyszerűen frissíthetik a BIOS-konfigurációkat az eszközeiken. Ha módosításokat hajt végre, tesztelje és helyezze üzembe a fázisokat a váratlan konfigurációk hatásának minimalizálása érdekében.
Előfeltételek
Az Intune-szabályzatok konfigurálásához legalább jelentkezzen be az Intune Felügyeleti központba a Szabályzat és profilkezelő szerepkörrel. Az Intune beépített szerepköreivel és azok használatával kapcsolatos információkért látogasson el a következőre:
Ez a funkció támogatja az Intune-ban regisztrált MDM-et használó szervezeti tulajdonú eszközöket. Az Intune-ban nem regisztrált személyes eszközök és eszközök nem támogatottak.
Győződjön meg arról, hogy az eszközök nem rendelkeznek konfigurált BIOS-jelszóval. Ehhez a funkcióhoz az Intune-nak rendelkeznie kell a BIOS-jelszóval. Ha az Intune nem rendelkezik az eszköz BIOS-jelszavával, akkor nem tudja frissíteni a BIOS-konfigurációt.
1. lépés – A konfigurációs fájl létrehozása és az alkalmazás üzembe helyezése
Ez a szakasz az OEM-eszköz használatával hozza létre a konfigurációs fájlt, és üzembe helyezi az OEM Win32 alkalmazást az eszközökön.
Hozza létre a konfigurációs fájlt egy OEM-eszközzel. A fájlban adja hozzá és konfigurálja a konfigurálni kívánt szolgáltatásokat. Az OEM által támogatott konfigurációs beállításokat hozzáadhatja.
- A Dell esetében a Dell-parancs (a Dell webhelyének megnyitása) eszközzel hozhatja létre a BIOS konfigurációs fájlt.
A konfigurációs fájl létrehozásakor az OEM egy koordináló Win32-alkalmazást biztosít. Helyezze üzembe az OEM Win32 alkalmazást az eszközökön. Ez az alkalmazás:
- Ügynökként működik, amely beolvassa a létrehozott konfigurációs fájlt, és beolvassa az eszközök BIOS-jelszavát.
- Az Intune BIOS konfigurációs szabályzatának hozzárendelése előtt telepíteni kell az összes eszközre.
A Dell esetében letöltheti a Dell-parancsot (megnyitja a Dell webhelyét) alkalmazást.
Az alkalmazás eszközökre való telepítéséhez használhatja az Intune-t:
- Adja hozzá az alkalmazást az Intune-hoz, és tegye kötelező alkalmazássá.
- Rendelje hozzá az alkalmazást a következő lépésben létrehozott csoporthoz vagy hozzárendelési szűrőhöz (ebben a cikkben).
Az Intune-beli Win32-alkalmazásokról további információt a Win32-alkalmazások hozzáadása, hozzárendelése és figyelése a Microsoft Intune-ban című témakörben talál.
2. lépés – Csoport létrehozása vagy hozzárendelési szűrő használata
Javasoljuk, hogy ezt a szabályzatot egy adott eszközcsoportra összpontosítsa. Az Ön lehetőségei:
- 1. lehetőség – Hozzon létre egy csoportot, amely tartalmazza az eszközöket. Az alkalmazásszabályzat és a BIOS konfigurációs szabályzatának létrehozásakor hozzárendeli a szabályzatokat ehhez a csoporthoz.
- 2. lehetőség – Az eszköz gyártójától függően használjon hozzárendelési szűrőt. A szűrő létrehozásakor célozza meg az OEM-eszközöket. Az alkalmazás- és BIOS-konfigurációs szabályzatok hozzárendelésekor adja hozzá ezt a szűrőt.
Ezekről a funkciókról a következő oldalon talál további információt:
- Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez
- Szűrők használata az alkalmazások, szabályzatok és profilok Microsoft Intune-ban való hozzárendeléséhez
3. lépés – A BIOS konfigurációs szabályzatának létrehozása az Intune-ban
Ebben a szabályzatban adhatja hozzá az 1. lépésben létrehozott konfigurációs fájlt az OEM-eszközzel.
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza az Eszközök>Eszközök kezelése>Konfiguráció>Létrehozás>Új házirend lehetőséget.
Adja meg a következő tulajdonságokat:
- Platform: Válassza a Windows 10 vagy újabb lehetőséget.
- Profil típusa: Válassza a Sablonok>BIOS-konfiguráció és egyéb beállítások lehetőséget.
Válassza a Létrehozás lehetőséget.
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a profil leíró nevét. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó profilnév például a BIOS konfigurációs jelszava.
- Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen konfigurálja a következő beállításokat:
Hardver: Válassza ki a hardvergyártót a támogatott OEM-ek listájából. Jelenleg csak a Dell támogatott.
Eszközönkénti BIOS jelszóvédelem letiltása: Ez a beállítás kezeli az eszközön a BIOS-konfigurációt védő jelszót. Az Ön lehetőségei:
- Nem: Az Intune minden eszközhöz egyedi eszközjelszót hoz létre. Az eszközön található BIOS-konfiguráció eléréséhez és frissítéséhez a felhasználóknak meg kell adniuk ezt a jelszót.
- Igen: A BIOS-t nem védi jelszó. A korábbi jelszavakat a rendszer eltávolítja. A végfelhasználók hozzáférhetnek a BIOS-hez, és módosíthatják az eszköz BIOS-beállításait.
Konfigurációs fájl: Töltse fel az OEM-eszközzel létrehozott konfigurációs fájlt.
Dell esetén töltse fel a Dell ügyfélkonfigurációs eszközkészlet fájlját (
.cctk
). A fájlméretkorlát 2 MB.
Válassza a Tovább gombot.
A Hozzárendelések területen válassza ki a létrehozott új eszközcsoportot. Ez a csoport megkapja a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.
Válassza a Tovább gombot.
A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.
Amikor minden eszköz legközelebb bejelentkezik, a szabályzat érvényes lesz.
A szabályzat figyelése beépített jelentésekkel
Az Intune Felügyeleti központban a szabályzat létrehozása után figyelheti annak állapotát, és megtekintheti az esetleges hibákat.
- Az Intune Felügyeleti központban lépjen az Eszközök>kezeléseEszközkonfigurációs>>szabályzatok lapra.
- Válassza ki a figyelni kívánt szabályzatot. Az Eszközállapot jelentés megjeleníti a szabályzat állapotát, és megjeleníti a hibaelhárításhoz szükséges hibák részleteit.
További információ:
A BIOS-jelszavak lekérése
Az Intune minden eszközhöz tárolja a BIOS-jelszavakat. A BIOS-jelszavakat a Microsoft Graph használatával szerezheti be. A Graph API-k teszteléséhez használhatja a Microsoft Graph Explorert.
Fontos
Győződjön meg arról, hogy az Intune-on kívül minden jelszóról biztonsági másolatot készít. Ha nem készít biztonsági másolatot a jelszavakról az Intune-on kívül, vegye figyelembe a következő forgatókönyveket:
- Ha egy eszközt eltávolítanak az Intune-felügyeletből, a rendszergazdák továbbra is olvashatják a BIOS-jelszavakat a Microsoft Graph hardwarePasswordInfo API használatával.
- Ha a bérlő Intune-előfizetése lejár, akkor nem lehet BIOS-jelszavakat olvasni vagy lekérni. Ebben az esetben az egyetlen lehetőség, hogy kapcsolatba lép az OEM-rel.
1. lehetőség – A BIOS-jelszó olvasása egyszerre egy eszközön
Ez a beállítás egyszerre egy eszközre lekéri a BIOS-jelszavakat.
Hozzon létre egy egyéni Intune RBAC-szerepkört a Bios-jelszó olvasása engedéllyel:
Legalább jelentkezzen be az Intune felügyeleti központba az Intune-beli szerepkör-rendszergazda beépített Intune-szerepkör tagjaként.
Az Intune beépített szerepköreivel kapcsolatos információkért látogasson el a következőre:
Válassza a Bérlői felügyeleti>szerepkörök>Új szerepkör létrehozása lehetőséget.
Nevezze el a szerepkört, és válassza a Tovább gombot.
Az Engedélyek területen bontsa ki a Felügyelt eszközök> Állítsa a Bios-jelszó olvasása beállítástIgen értékre.
Válassza a Következő>következő>létrehozás lehetőséget.
Jelentkezzen be a Graph-eszközbe ezzel az egyéni RBAC-szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
2. lehetőség – Az összes eszköz BIOS-jelszavának olvasása
Ez a beállítás lekéri az összes eszköz BIOS-jelszavának listáját.
Legalább intune-rendszergazdai szerepkörre van szükség a Microsoft Entra ID-ban.
Jelentkezzen be a Graph-eszközbe ezzel a szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
A beépített szerepkörökről további információt a Microsoft Entra beépített szerepkörei című témakörben talál.
BIOS-konfigurációs jelszó eltávolítása
Ha azt tervezi, hogy leállítja az eszközök BIOS-kezelését, vagy véglegesen eltávolítja az eszközöket a bérlőből, akkor el kell távolítania a BIOS-jelszót.
A BIOS-jelszó eltávolításához az Intune BIOS konfigurációs szabályzatában állítsa az Eszközönkénti BIOS jelszóvédelem letiltása beállítást Igen értékre. Ezután rendelje hozzá a szabályzatot. Amikor az eszköz bejelentkezik az Intune-nal, a szabályzat érvényes lesz. Az eszközön manuálisan is szinkronizálhatja az eszközt az Intune-nal a szabályzat alkalmazásához.
A szabályzat alkalmazása után indítsa újra az eszközt.
Az eszköz Intune-ból való regisztrációjának törlése nem távolítja el a BIOS-jelszót. Ha a jelszó letiltása előtt megszünteti az eszköz regisztrációját, manuálisan kell frissítenie a jelszót az eszközön.
BIOS-konfiguráció és DFCI
Az Intune két olyan funkcióval rendelkezik, amelyek kezelhetik a BIOS beállításait a Windows-eszközökön: a BIOS konfigurációját és egyéb beállításait, valamint az eszköz belső vezérlőprogramjának konfigurációs felületét (DFCI).
Az alábbi táblázat ezeket a lehetőségeket hasonlítja össze.
Funkció | BIOS-konfiguráció és egyéb beállítások | DFCI |
---|---|---|
Támogatott oem-ek | Dell Valószínűleg több a jövőben |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic További információ: Microsoft DFCI-forgatókönyvek. |
Támogatott konfigurációk | Az OEM-eszközben elérhető konfigurációk | A biztonsági funkciók, egyes hardverfunkciók, rendszerindítási beállítások, portok és egyebek vezérlésére alkalmas beállítások |
A beállítások alkalmazása | Az Intune a szabályzat hozzárendelésekor kézbesíti a konfigurációs fájlt. Az eszközön lévő OEM-ügynök alkalmazza a konfigurációt. | Az UEFI CSP-vel az operációs rendszertől elkülönített DFCI-réteg használatával |
A BIOS-hoz való hozzáférés blokkolása menü | Igen, BIOS-jelszavakon keresztül | Igen, tanúsítványokon keresztül |
Konfigurálás a Windows Autopilot alatt | A Regisztrációs állapot lap (ESP) beállításai között válassza ki az OEM Win32 alkalmazást. | Az Intune automatikusan regisztrálja az eszközt a DFCI mgmt-ben. |
Jelentés | Jelzi, hogy a konfigurációs fájl alkalmazva van-e. | Részletes jelentés minden konfigurált beállításról. |
Intune-szabályzattípus | Eszközök>Eszközök> kezeléseKonfiguráció>Sablonok>BIOS-konfiguráció és egyéb beállítások | Eszközök>Eszközök> kezeléseKonfiguráció>Sablonok>Eszköz belső vezérlőprogramjának konfigurációs felülete |
A DFCI-vel kapcsolatos információkért látogasson el a következőre:
- Eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljai Windows-eszközökön a Microsoft Intune-ban
- Microsoft DFCI-forgatókönyvek
- DFCI Surface-eszközökön