BIOS-konfigurációs profilok használata Windows-eszközökön a Microsoft Intune-ban

Az Intune-ban a BIOS-konfiguráció és más beállítások eszközkonfigurációs szabályzata segítségével engedélyezheti vagy letilthatja a BIOS-funkciókat és -beállításokat.

OEM-eszközzel létrehoz egy BIOS-konfigurációs fájlt, amely konfigurálja a BIOS funkcióit. Az eszközökön telepítenie kell a konfigurációt beolvasó OEM Win32 alkalmazást. Ezután az Intune BIOS-szabályzatban adja hozzá a BIOS konfigurációs fájlt, és rendelje hozzá a szabályzatot az eszközeihez.

A konfigurációs fájl általában olyan beállításokat tartalmaz, amelyek biztosítják az eszköz védelmét és a beépített hardver védelmét.

Például meg szeretné akadályozni, hogy a végfelhasználók újraképezzék az eszközt, és kikerüljenek az Intune felügyeletéből. Ehhez a feladathoz létre kell hoznia egy BIOS-konfigurációs fájlt, amely letiltja az USB-ről történő rendszerindítást. Ezután adja hozzá ezt a fájlt az Intune-szabályzathoz, és engedélyezze a BIOS-jelszót. Ezek a lépések biztosítják, hogy a konfiguráció ne legyen felülírva.

Ez a funkció az alábbiakra vonatkozik:

• Windows 10 és újabb verziók
• Dell-eszközök

Ez a cikk további információkat tartalmaz a konfigurációs fájlról és a Win32-alkalmazásról, valamint bemutatja, hogyan hozhatja létre a BIOS konfigurációs és egyéb beállítási szabályzatát az Intune-ban.

Figyelmeztetés

A BIOS-konfiguráció módosítása hatással lehet az eszköz működésére és működőképességére, beleértve a BitLocker titkosított meghajtók rendszerindításának vagy elérésének képességét. Ezzel a funkcióval az Intune-rendszergazdák egyszerűen frissíthetik a BIOS-konfigurációkat az eszközeiken. Ha módosításokat hajt végre, tesztelje és helyezze üzembe a fázisokat a váratlan konfigurációk hatásának minimalizálása érdekében.

Előfeltételek

• Az Intune-szabályzatok konfigurálásához legalább jelentkezzen be az Intune Felügyeleti központba a Szabályzat és profilkezelő szerepkörrel. Az Intune beépített szerepköreivel és azok használatával kapcsolatos információkért látogasson el a következőre:

  • Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal
  • Beépített szerepkör-engedélyek a Microsoft Intune-hoz

• Ez a funkció támogatja az Intune-ban regisztrált MDM-et használó szervezeti tulajdonú eszközöket. Az Intune-ban nem regisztrált személyes eszközök és eszközök nem támogatottak.

• Győződjön meg arról, hogy az eszközök nem rendelkeznek konfigurált BIOS-jelszóval. Ehhez a funkcióhoz az Intune-nak rendelkeznie kell a BIOS-jelszóval. Ha az Intune nem rendelkezik az eszköz BIOS-jelszavával, akkor nem tudja frissíteni a BIOS-konfigurációt.

1. lépés – A konfigurációs fájl létrehozása és az alkalmazás üzembe helyezése

Ez a szakasz az OEM-eszköz használatával hozza létre a konfigurációs fájlt, és üzembe helyezi az OEM Win32 alkalmazást az eszközökön.

1. Hozza létre a konfigurációs fájlt egy OEM-eszközzel. A fájlban adja hozzá és konfigurálja a konfigurálni kívánt szolgáltatásokat. Az OEM által támogatott konfigurációs beállításokat hozzáadhatja.

   • A Dell esetében a Dell-parancs (a Dell webhelyének megnyitása) eszközzel hozhatja létre a BIOS konfigurációs fájlt.

2. A konfigurációs fájl létrehozásakor az OEM egy koordináló Win32-alkalmazást biztosít. Helyezze üzembe az OEM Win32 alkalmazást az eszközökön. Ez az alkalmazás:

   • Ügynökként működik, amely beolvassa a létrehozott konfigurációs fájlt, és beolvassa az eszközök BIOS-jelszavát.
   • Az Intune BIOS konfigurációs szabályzatának hozzárendelése előtt telepíteni kell az összes eszközre.

   A Dell esetében letöltheti a Dell-parancsot (megnyitja a Dell webhelyét) alkalmazást.

   Az alkalmazás eszközökre való telepítéséhez használhatja az Intune-t:

   • Adja hozzá az alkalmazást az Intune-hoz, és tegye kötelező alkalmazássá.
   • Rendelje hozzá az alkalmazást a következő lépésben létrehozott csoporthoz vagy hozzárendelési szűrőhöz (ebben a cikkben).

   Az Intune-beli Win32-alkalmazásokról további információt a Win32-alkalmazások hozzáadása, hozzárendelése és figyelése a Microsoft Intune-ban című témakörben talál.

2. lépés – Csoport létrehozása vagy hozzárendelési szűrő használata

Javasoljuk, hogy ezt a szabályzatot egy adott eszközcsoportra összpontosítsa. Az Ön lehetőségei:

• 1. lehetőség – Hozzon létre egy csoportot, amely tartalmazza az eszközöket. Az alkalmazásszabályzat és a BIOS konfigurációs szabályzatának létrehozásakor hozzárendeli a szabályzatokat ehhez a csoporthoz.
• 2. lehetőség – Az eszköz gyártójától függően használjon hozzárendelési szűrőt. A szűrő létrehozásakor célozza meg az OEM-eszközöket. Az alkalmazás- és BIOS-konfigurációs szabályzatok hozzárendelésekor adja hozzá ezt a szűrőt.

Ezekről a funkciókról a következő oldalon talál további információt:

• Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez
• Szűrők használata az alkalmazások, szabályzatok és profilok Microsoft Intune-ban való hozzárendeléséhez

3. lépés – A BIOS konfigurációs szabályzatának létrehozása az Intune-ban

Ebben a szabályzatban adhatja hozzá az 1. lépésben létrehozott konfigurációs fájlt az OEM-eszközzel.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>Kezelése eszközök>konfigurációja>Új szabályzatlétrehozása> lehetőséget.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza a Windows 10 vagy újabb lehetőséget.
   • Profil típusa: Válassza a Sablonok>BIOS-konfiguráció és egyéb beállítások lehetőséget.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Egy jó profilnév például a BIOS konfigurációs jelszava.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

   Válassza a Tovább gombot.

6. A Konfigurációs beállítások területen konfigurálja a következő beállításokat:

   • Hardver: Válassza ki a hardvergyártót a támogatott OEM-ek listájából. Jelenleg csak a Dell támogatott.

   • Eszközönkénti BIOS jelszóvédelem letiltása: Ez a beállítás kezeli az eszközön a BIOS-konfigurációt védő jelszót. Az Ön lehetőségei:

     • Nem: Az Intune minden eszközhöz egyedi eszközjelszót hoz létre. Az eszközön található BIOS-konfiguráció eléréséhez és frissítéséhez a felhasználóknak meg kell adniuk ezt a jelszót.
     • Igen: A BIOS-t nem védi jelszó. A korábbi jelszavakat a rendszer eltávolítja. A végfelhasználók hozzáférhetnek a BIOS-hez, és módosíthatják az eszköz BIOS-beállításait.

   • Konfigurációs fájl: Töltse fel az OEM-eszközzel létrehozott konfigurációs fájlt.

     Dell esetén töltse fel a Dell ügyfélkonfigurációs eszközkészlet fájlját (.cctk). A fájlméretkorlát 2 MB.

   Válassza a Tovább gombot.

7. A Hozzárendelések területen válassza ki a létrehozott új eszközcsoportot. Ez a csoport megkapja a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál.

   Válassza a Tovább gombot.

8. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Amikor minden eszköz legközelebb bejelentkezik, a szabályzat érvényes lesz.

A szabályzat figyelése beépített jelentésekkel

Az Intune Felügyeleti központban a szabályzat létrehozása után figyelheti annak állapotát, és megtekintheti az esetleges hibákat.

1. Az Intune Felügyeleti központban lépjen az Eszközök>kezeléseEszközkonfigurációs>>szabályzatok lapra.
2. Válassza ki a figyelni kívánt szabályzatot. Az Eszközállapot jelentés megjeleníti a szabályzat állapotát, és megjeleníti a hibaelhárításhoz szükséges hibák részleteit.

További információt a következő témakörben talál:

• Eszközkonfigurációs szabályzatok monitorozása a Microsoft Intune-ban
• Intune-jelentések

A BIOS-jelszavak lekérése

Az Intune minden eszközhöz tárolja a BIOS-jelszavakat. A BIOS-jelszavakat a Microsoft Graph használatával szerezheti be. A Graph API-k teszteléséhez használhatja a Microsoft Graph Explorert.

Fontos

Győződjön meg arról, hogy az Intune-on kívül minden jelszóról biztonsági másolatot készít. Ha nem készít biztonsági másolatot a jelszavakról az Intune-on kívül, vegye figyelembe a következő forgatókönyveket:

• Ha egy eszközt eltávolítanak az Intune-felügyeletből, a rendszergazdák továbbra is olvashatják a BIOS-jelszavakat a Microsoft Graph hardwarePasswordInfo API használatával.
• Ha a bérlő Intune-előfizetése lejár, akkor nem lehet BIOS-jelszavakat olvasni vagy lekérni. Ebben az esetben az egyetlen lehetőség, hogy kapcsolatba lép az OEM-rel.

1. lehetőség – A BIOS-jelszó olvasása egyszerre egy eszközön

Ez a beállítás egyszerre egy eszközre lekéri a BIOS-jelszavakat.

1. Hozzon létre egy egyéni Intune RBAC-szerepkört a Bios-jelszó olvasása engedéllyel:

   1. Legalább jelentkezzen be az Intune felügyeleti központba az Intune-beli szerepkör-rendszergazda beépített Intune-szerepkör tagjaként.

      Az Intune beépített szerepköreivel kapcsolatos információkért látogasson el a következőre:

      • Szerepköralapú hozzáférés-vezérlés (RBAC) a Microsoft Intune-nal
      • Beépített szerepkör-engedélyek a Microsoft Intune-hoz

   2. Válassza a Bérlői felügyeleti>szerepkörök>Új szerepkör létrehozása lehetőséget.

   3. Nevezze el a szerepkört, és válassza a Tovább gombot.

   4. Az Engedélyek területen bontsa ki a Felügyelt eszközök> Állítsa a Bios-jelszó olvasása beállítástIgen értékre.

   5. Válassza a Következő>következő>létrehozás lehetőséget.

2. Jelentkezzen be a Graph-eszközbe ezzel az egyéni RBAC-szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

2. lehetőség – Az összes eszköz BIOS-jelszavának olvasása

Ez a beállítás lekéri az összes eszköz BIOS-jelszavának listáját.

1. Legalább intune-rendszergazdai szerepkörre van szükség a Microsoft Entra ID-ban.

2. Jelentkezzen be a Graph-eszközbe ezzel a szerepkörrel, és használja a Microsoft Graph hardwarePasswordInfo API-t:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

A beépített szerepkörökről további információt a Microsoft Entra beépített szerepkörei című témakörben talál.

BIOS-konfigurációs jelszó eltávolítása

Ha azt tervezi, hogy leállítja az eszközök BIOS-kezelését, vagy véglegesen eltávolítja az eszközöket a bérlőből, akkor el kell távolítania a BIOS-jelszót.

A BIOS-jelszó eltávolításához az Intune BIOS konfigurációs szabályzatában állítsa az Eszközönkénti BIOS jelszóvédelem letiltása beállítást Igen értékre. Ezután rendelje hozzá a szabályzatot. Amikor az eszköz bejelentkezik az Intune-nal, a szabályzat érvényes lesz. Az eszközön manuálisan is szinkronizálhatja az eszközt az Intune-nal a szabályzat alkalmazásához.

A szabályzat alkalmazása után indítsa újra az eszközt.

Az eszköz Intune-ból való regisztrációjának törlése nem távolítja el a BIOS-jelszót. Ha a jelszó letiltása előtt megszünteti az eszköz regisztrációját, manuálisan kell frissítenie a jelszót az eszközön.

BIOS-konfiguráció és DFCI

Az Intune két olyan funkcióval rendelkezik, amelyek kezelhetik a BIOS beállításait a Windows-eszközökön: a BIOS konfigurációját és egyéb beállításait, valamint az eszköz belső vezérlőprogramjának konfigurációs felületét (DFCI).

Az alábbi táblázat ezeket a lehetőségeket hasonlítja össze.

Funkció	BIOS-konfiguráció és egyéb beállítások	DFCI
Támogatott oem-ek	Dell Valószínűleg több a jövőben	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic További információ: Microsoft DFCI-forgatókönyvek.
Támogatott konfigurációk	Az OEM-eszközben elérhető konfigurációk	A biztonsági funkciók, egyes hardverfunkciók, rendszerindítási beállítások, portok és egyebek vezérlésére alkalmas beállítások
A beállítások alkalmazása	Az Intune a szabályzat hozzárendelésekor kézbesíti a konfigurációs fájlt. Az eszközön lévő OEM-ügynök alkalmazza a konfigurációt.	Az UEFI CSP-vel az operációs rendszertől elkülönített DFCI-réteg használatával
A BIOS-hoz való hozzáférés blokkolása menü	Igen, BIOS-jelszavakon keresztül	Igen, tanúsítványokon keresztül
Konfigurálás a Windows Autopilot alatt	A Regisztrációs állapot lap (ESP) beállításai között válassza ki az OEM Win32 alkalmazást.	Az Intune automatikusan regisztrálja az eszközt a DFCI mgmt-ben.
Jelentés	Jelzi, hogy a konfigurációs fájl alkalmazva van-e.	Részletes jelentés minden konfigurált beállításról.
Intune-szabályzattípus	Eszközök>Eszközök> kezeléseKonfiguráció>Sablonok>BIOS-konfiguráció és egyéb beállítások	Eszközök>Eszközök> kezeléseKonfiguráció>Sablonok>Eszköz belső vezérlőprogramjának konfigurációs felülete

A DFCI-vel kapcsolatos információkért látogasson el a következőre:

• Eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljai Windows-eszközökön a Microsoft Intune-ban
• Microsoft DFCI-forgatókönyvek
• DFCI Surface-eszközökön

Kapcsolódó cikkek

• A profil hozzárendelése
• A profil állapotának figyelése