Eszköz belső vezérlőprogramjának konfigurációs felületének (DFCI) profilbeállításai a Microsoft Intune

Ez a cikk felsorolja és ismerteti a Windows-ügyféleszközökön szabályozható DFCI-profilbeállításokat. A mobileszköz-kezelési (MDM) megoldás részeként ezekkel a beállításokkal szabályozhatja a biztonsági funkciókat, a beépített hardvereket és a Windows UEFI rétegének rendszerindítási beállításait.

Ezek a beállítások a következőkre vonatkoznak:

• Windows 11 a támogatott UEFI-n
• Windows 10 RS5 (1809) és újabb verziók a támogatott UEFI-n

Ezeket a beállításokat a rendszer hozzáadja egy eszközkonfigurációs profilhoz a Intune, majd hozzárendeli vagy telepíti a Windows-ügyféleszközökre.

Az első lépések

• Hozza létre a Windows 10/11 DFCI-profilt. A DFCI-profilok létrehozásának további követelményei vannak. További információt a DFCI-profilok használata Windows-eszközökön a Microsoft Intune-ben című témakörben talál.
• Egyes beállítások nem minden eszközön érhetők el. Ha ellenőrizni szeretné, hogy egy beállítás elérhető-e az eszközön, forduljon az eszköz gyártójához.
• Ezek a beállítások az UEFI CSP-t használják.

Figyelmeztetés

Légy óvatos. A DFCI-profilok konfigurálása és hozzárendelése a javításon túl zárolhatja az eszközt. A DFCI-profil beállításai megváltoztatják az eszköz hardverét, és nem javíthatók az operációs rendszer újraképezésével.

UEFI-hozzáférés

• Az UEFI-beállítások módosításának engedélyezése a helyi felhasználó számára: Az Ön beállításai:
  • Csak nem konfigurált beállítások: A helyi felhasználó bármilyen beállítást módosíthat, kivéve azokat a beállításokat, amelyek kifejezetten engedélyezve vagy letiltva vannak Intune.
  • Nincs: A helyi felhasználó nem módosíthatja az UEFI (BIOS) beállításait, beleértve a DFCI-profilban nem látható beállításokat.

Biztonsági funkciók

• CPU- és I/O-virtualizálás: Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
  • Engedélyezve: A BIOS lehetővé teszi a platform processzor- és I/O-virtualizálási képességeit az operációs rendszer számára. Bekapcsolja a Windows Virtualization Based Security és a Device Guard technológiákat.

• Windows platform bináris táblája (WPBT): A WPBT lehetővé teszi a szállítók és az oem-ek számára, .exe hogy programot futtassanak az UEFI-rétegben. A Windows minden indításakor megvizsgálja az UEFI-t, és futtatja a következőt .exe: . Ezzel a funkcióval olyan programokat futtathat, amelyek nem szerepelnek a Windows-médiafájlokban.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer lehetővé teheti, hogy a szállítók és az oem-ek programokat futtassanak a WPBT használatával.
  • Engedélyezve: Engedélyezi a WPBT-t, és engedélyezi .exe az UEFI-rétegben lévő programok futtatását.
  • Letiltva: Letiltja a WPBT-t, és megakadályozza .exe az UEFI-rétegben lévő programok futását.

• Egyidejű többszálúság (SMT): Más néven hyper-threading. Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást.
  • Engedélyezve: Engedélyezi az SMT-t az UEFI-rétegben.
  • Letiltva: Letiltja az SMT-t az UEFI-rétegben.

Kamerák

• Kamerák: Ez a beállítás kezeli az eszközbe épített összes hardverkamerát. Nem kezeli a csatlakoztatott perifériákat, például az USB-webkamerákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített kamerákat.
  • Engedélyezve: Minden, közvetlenül az UEFI (BIOS) által felügyelt beépített kamera engedélyezve van. A perifériákra, például az USB-kamerákra nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített kamera le van tiltva. A perifériákra, például az USB-kamerákra nincs hatással.

• Előlapi kamerák: Ez a beállítás az UEFI (BIOS) által kezelt beépített, előre látható fénykamerákat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített, előre látható fénykamerák használatát.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt beépített, előre látható fénykamerák engedélyezve vannak. A perifériákra, például az USB-kamerákra nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt beépített, előre látható fénykamerák le vannak tiltva. A perifériákra, például az USB-kamerákra nincs hatással.

• Hátsó kamerák: Ez a beállítás az UEFI (BIOS) által kezelt beépített hátsó fénykamerákat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített hátsó kamerákat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt beépített hátsó fénykamerák engedélyezve vannak. A perifériákra, például az USB-kamerákra nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt beépített hátsó fénykamerák le vannak tiltva. A perifériákra, például az USB-kamerákra nincs hatással.

• Infravörös (IR) kamerák: Ez a beállítás az UEFI (BIOS) által kezelt beépített infravörös kamerákat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített infravörös kamerákat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített infravörös kamera engedélyezve van. A perifériákra, például az USB-kamerákra nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített infravörös kamera le van tiltva. A perifériákra, például az USB-kamerákra nincs hatással.

Mikrofonok és hangszórók

Javasoljuk, hogy konfigurálja a Mikrofonok és hangszórók kategória beállításait vagy a Mikrofonok részletes beállításait. Ha az összes beállítást konfigurálja, ezek a beállítások ütközést okozhatnak. További információ: DFCI-profil áttekintése: Ütközések.

• Mikrofonok és hangszórók: Ez a beállítás kezeli az eszközbe épített összes mikrofont és hangszórót. Nem kezeli a csatlakoztatott perifériákat, például az USB-eszközöket.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített mikrofonokat és hangszórókat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített mikrofon és hangszóró engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt beépített mikrofonok és hangszórók le vannak tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

• Mikrofonok: Ez a beállítás az UEFI (BIOS) által felügyelt beépített mikrofonokat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített mikrofonokat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített mikrofon engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített mikrofon le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

Rádiók

Javasoljuk, hogy konfigurálja a rádiók (Bluetooth, Wi-Fi, NFC stb.) kategóriabeállításait , illetve a Bluetooth, Wi-Fi stb. részletes beállításait. Ha az összes beállítást konfigurálja, ezek a beállítások ütközést okozhatnak. További információ: DFCI-profil áttekintése: Ütközések.

• Rádiók (Bluetooth, Wi-Fi, NFC stb.): Ez a beállítás kezeli az UEFI (BIOS) által kezelt összes beépített rádiót. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer minden beépített rádiót engedélyezhet.

  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített rádió engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.

  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített rádió le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

    Ha a Letiltva értékre van állítva, az eszköznek vezetékes hálózati kapcsolatra van szüksége. Ellenkező esetben az eszköz nem kezelhető.

• Bluetooth: Ez a beállítás kezeli az UEFI (BIOS) által kezelt beépített Bluetooth-rádiókat. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített Bluetooth-rádiókat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített Bluetooth-rádió engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített Bluetooth-rádió le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

• WWAN: Ez a beállítás az UEFI (BIOS) által kezelt beépített WWAN-rádiókat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített WWAN-rádiókat.
  • Engedélyezve: Minden beépített WWAN-rádió, amelyet közvetlenül az UEFI (BIOS) kezel, engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt beépített WWAN-rádiók le vannak tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

• NFC: Ez a beállítás kezeli az UEFI (BIOS) által kezelt beépített NFC-rádiókat. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített NFC-rádiókat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített NFC-rádió engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt beépített NFC-rádiók le vannak tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

• Wi-Fi: Ez a beállítás az UEFI (BIOS) által kezelt beépített Wi-Fi rádiókat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített Wi-Fi rádiókat.
  • Engedélyezve: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített Wi-Fi rádió engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített Wi-Fi rádió le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

Rendszerindítási beállítások

Figyelmeztetés

Az összes külső rendszerindítási beállítás vagy az összes külső port letiltása jelentősen megnehezíti az operációs rendszer helyreállítását. Egy olyan eszköz helyreállításához, amely már nem tudja elindítani a Windowst, előfordulhat, hogy fizikailag meg kell nyitnia az eszközt, és le kell cserélnie a hardveres tárolót.

• Rendszerindítás külső adathordozóról (USB, SD): Az Ön beállításai:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a külső adathordozóról való indítást.

  • Engedélyezve: Az UEFI (BIOS) lehetővé teszi a nem merevlemez-tárolóból való indítást.

  • Letiltva: Az UEFI (BIOS) megakadályozza a nem merevlemez-tárolóból való rendszerindítást, ami a hálózati adapterekről való rendszerindítást is letiltja.

    Ha a Letiltva értékre van állítva, ne állítsa a Rendszerindítás hálózati adapterekről beállítást Engedélyezve értékre. Emiatt a rendszerindítás külső adathordozóról (USB, SD) vagy Rendszerindítás hálózati adapterről beállítás nem megfelelővé válik.

• Rendszerindítás hálózati adapterekről: Az Ön beállításai:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített hálózati adapterekről való rendszerindítást.
  • Engedélyezve: Az UEFI (BIOS) lehetővé teszi a rendszerindítást a beépített hálózati adapterekről.
  • Letiltva: Az UEFI (BIOS) megakadályozza a beépített hálózati adapterek rendszerindítását.

Portok

Figyelmeztetés

Az összes külső rendszerindítási beállítás vagy az összes külső port letiltása jelentősen megnehezíti az operációs rendszer helyreállítását. Egy olyan eszköz helyreállításához, amely már nem tudja elindítani a Windowst, előfordulhat, hogy fizikailag meg kell nyitnia az eszközt, és le kell cserélnie a hardveres tárolót.

• A USB-típus: Ez a beállítás kezeli az UEFI (BIOS) által kezelt beépített A típusú USB-portokat. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített A típusú USB-portokat.
  • Engedélyezve: Minden beépített A típusú USB-port, amelyet közvetlenül az UEFI (BIOS) kezel, engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Minden beépített A típusú USB-port, amelyet közvetlenül az UEFI (BIOS) kezel, le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

• SD-kártya: Ez a beállítás az UEFI (BIOS) által kezelt beépített SD-kártyaportokat kezeli. Nem kezeli a csatlakoztatott perifériákat.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer engedélyezheti a beépített SD-kártyaportokat.
  • Engedélyezve: Minden beépített SD-kártyaport, amelyet közvetlenül az UEFI (BIOS) kezel, engedélyezve van. A perifériákra, például az USB-eszközökre nincs hatással.
  • Letiltva: Az UEFI (BIOS) által közvetlenül felügyelt összes beépített SD-kártyaport le van tiltva. A perifériákra, például az USB-eszközökre nincs hatással.

Ébresztési beállítások

• Ébresztés lan-on: A hálózati ébresztés lehetővé teszi, hogy a hálózati rendszergazda távolról felébresztse az eszközt alvó módban a helyi hálózat használatával.

  Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer megakadályozhatja, hogy az eszköz a LAN-t használja.
  • Engedélyezve: Az UEFI (BIOS) lehetővé teszi az eszközök lan-kapcsolaton keresztüli felébresztését.
  • Letiltva: Az UEFI (BIOS) megakadályozza az eszközök lan-kapcsolaton keresztüli felébresztését.

• Ébresztés bekapcsolt állapotban: Ha az eszköz csatlakozik egy áramforráshoz, ez a beállítás kezeli, hogy a jogosult eszközök automatikusan elindíthatók-e hibernált vagy kikapcsolt állapotból. Az Ön lehetőségei:

  • Nincs konfigurálva: Intune nem módosítja vagy frissíti ezt a beállítást. Alapértelmezés szerint az operációs rendszer megakadályozhatja az eszközök felébresztését, amikor áramforráshoz csatlakozik.
  • Engedélyezve: Az UEFI (BIOS) lehetővé teszi az eszközök felébresztését, amikor áramforráshoz csatlakozik.
  • Letiltva: Az UEFI (BIOS) megakadályozza az eszközök felébresztését, ha áramforráshoz csatlakozik.

Kapcsolódó cikkek

• Az egyes beállításokkal és a Windows támogatott kiadásaival kapcsolatos további technikai részletekért tekintse meg a Windows 10/11 Házirend CSP-referenciáját.

• DFCI-profilok használata Windows-eszközökön a Microsoft Intune.

• Rendelje hozzá a profilt, és figyelje az állapotát.