Eszköz belső vezérlőprogramjának konfigurációs felületének (DFCI) kezelése

• A következőre érvényes::

  ✅ Windows 11, ✅ Windows 10

A Windows Autopilot Deployment és Intune az egyesített bővíthető belső vezérlőprogram felületének (UEFI) beállításai kezelhetők az eszköz regisztrálása után. Az UEFI-beállítások az eszköz belső vezérlőprogramjának konfigurációs felületével (DFCI) kezelhetők. A DFCI lehetővé teszi, hogy a Windows felügyeleti parancsokat adjon át Intune az Autopilot által telepített eszközök UEFI-nek. Ez a képesség lehetővé teszi a végfelhasználó számára a BIOS-beállítások feletti vezérlés korlátozását. A rendszerindítási beállítások például zárolhatók, hogy a felhasználók ne indítsanak el egy másik operációs rendszert, például olyat, amely nem rendelkezik ugyanazokkal a biztonsági funkciókkal.

Ha egy felhasználó újratelepít egy korábbi Windows-verziót, telepít egy külön operációs rendszert, vagy formázja a merevlemezt, nem bírálhatja felül a DFCI-kezelést. Ez a funkció azt is megakadályozhatja, hogy a kártevők kommunikálnak az operációsrendszer-folyamatokkal, beleértve az emelt szintű operációsrendszer-folyamatokat is. A DFCI megbízhatósági lánca nyilvános kulcsú titkosítást használ, és nem függ a helyi UEFI jelszóbiztonságtól. Ez a biztonsági réteg megakadályozza, hogy a helyi felhasználók hozzáférjenek a felügyelt beállításokhoz az eszköz UEFI-menüiből.

A DFCI előnyeinek, forgatókönyveinek és követelményeinek áttekintéséért lásd: Az eszköz belső vezérlőprogramjának konfigurációs felülete (DFCI) – bevezetés.

Fontos

Az eszközök automatikusan regisztrálnak a DFCI-felügyeletbe az Autopilot kiépítése során, amikor a következő műveletek történnek:

• Az OEM engedélyezi az eszközt a DFCI számára.
• Az eszköz regisztrálva van az Autopilot szolgáltatásban az OEM-en vagy egy felhőszolgáltatói partneren (CSP) keresztül a Partnerközpontban.

A DFCI-felügyeletbe való regisztráció további újraindítást vált ki a kezdőélmény (OOBE) során.

A DFCI felügyeleti életciklusa

A DFCI felügyeleti életciklusa a következő folyamatokat tartalmazza:

• UEFI-integráció.
• Eszközregisztráció.
• Profil létrehozása.
• Beiratkozás.
• Menedzsment.
• Visszavonultság.
• Felépülés.

Lásd az alábbi ábrát:

Követelmények

• A Windows jelenleg támogatott verziója és egy támogatott UEFI szükséges.
• Az eszköz gyártójának dFCI-t kell hozzáadnia az UEFI belső vezérlőprogramjához a gyártási folyamat során, vagy telepíthető belsővezérlőprogram-frissítésként. Az eszköz gyártóival együttműködve határozza meg a DFCI-t támogató gyártókat, illetve a DFCI használatához szükséges belső vezérlőprogram-verziót.
• Az eszközt Microsoft Intune kell felügyelni. További információ: Windows-eszközök regisztrálása Intune a Windows Autopilot használatával.
• Az eszközt egy Microsoft felhőszolgáltatói (CSP-) partnernek kell regisztrálnia a Windows Autopilot szolgáltatásban, vagy közvetlenül az OEM-nek kell regisztrálnia. Surface-eszközök esetén a Microsoft regisztrációs támogatása a Microsoft Devices Autopilot Support webhelyen érhető el.

Fontos

Az Autopilothoz manuálisan regisztrált eszközök (például CSV-fájlból történő importálás) nem használhatják a DFCI-t. A DFCI-felügyelet kialakításához az eszköz kereskedelmi beszerzésének külső igazolása szükséges oem vagy Microsoft CSP-partnerregisztráción keresztül a Windows Autopilotba. Ha az eszköz regisztrálva van, a sorozatszáma megjelenik a Windows Autopilot-eszközök listájában.

DFCI-profil kezelése a Windows Autopilottal

A DFCI-profil windowsos Autopilottal való kezelésének négy alapvető lépése van:

1. Autopilot-profil létrehozása
2. Regisztrációs állapotlapprofil létrehozása
3. DFCI-profil létrehozása
4. A profilok hozzárendelése

A részletekért lásd: A profilok létrehozása és a Profilok hozzárendelése, majd újraindítás .

A meglévő DFCI-beállítások a használatban lévő eszközökön is módosíthatók. A meglévő DFCI-profilban módosítsa a beállításokat, és mentse a módosításokat. Mivel a profil már hozzá van rendelve, az új DFCI-beállítások akkor lépnek érvénybe, amikor az eszköz legközelebb szinkronizálódik vagy újraindul.

Annak megállapításához, hogy egy eszköz készen áll-e a DFCI-ra, a következő Intune Graph API hívás használható:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

További információ: Intune eszközök és alkalmazások API áttekintése és A Intune használata a Microsoft Graphban.

A DFCI-t támogató oem-gépek

• Acer.
• Asus.
• Dynabook.
• Fujitsu.
• Microsoft Surface.
• Panasonic.
• VAIO.

Más operációs rendszerek függőben vannak.

Ismert problémák

A DFCI-regisztráció meghiúsul a Windows 11 Professional 24H2-es verziójában

Hozzáadás dátuma: 2024. október 9.

A DFCI jelenleg nem használható a Windows 11 Professional 24H2-es verziójával rendelkező eszközökön. A probléma kivizsgálása folyamatban van. Áthidaló megoldásként győződjön meg arról, hogy az eszköz az OOBE bevezetése során vagy után a Windows 11 Enterprise kiadására, a 24H2-es verzióra frissült. A Windows 11 Enterprise kiadásának 24H2-es verziójára való frissítés után szinkronizálja az eszközt. Az eszköz szinkronizálása után indítsa újra, hogy regisztrálva legyen a DFCI-ben.

Kapcsolódó tartalom

• Microsoft DFCI-forgatókönyvek.
• Windows Autopilot- és Surface-eszközök.