Az eszköz belső vezérlőprogramjának konfigurációs felületi (DFCI-) profiljainak használata Windows-eszközökön a Microsoft Intune

  • Cikk

Ha a Intune használatával kezeli a Windows Autopilot-eszközöket, az eszköz belső vezérlőprogramjának konfigurációs felületével (DFCI) való regisztrálás után kezelheti az UEFI (BIOS) beállításait. Az előnyök, forgatókönyvek és előfeltételek áttekintéséért tekintse meg a DFCI áttekintését.

A DFCI lehetővé teszi a Windows számára, hogy felügyeleti parancsokat adjon át Intune-ből az UEFI-be (Unified Extensible Firmware Interface).

A Intune ezzel a funkcióval szabályozhatja a BIOS beállításait. A belső vezérlőprogram általában ellenállóbb a rosszindulatú támadásokkal szemben. Ez korlátozza a végfelhasználók számára a BIOS feletti ellenőrzést, ami egy sérült helyzetben jó.

Ez a funkció az alábbiakra vonatkozik:

  • Windows 11 a támogatott UEFI-n
  • Windows 10 RS5 (1809) és újabb verziók a támogatott UEFI-n

Például biztonságos környezetben használja a Windows-ügyféleszközöket, és le szeretné tiltani a kamerát. Letilthatja a kamerát a belső vezérlőprogram rétegében, így nem számít, mit csinál a végfelhasználó. Az operációs rendszer újratelepítése vagy a számítógép törlése nem kapcsolja vissza a kamerát. Egy másik példában zárolja a rendszerindítási beállításokat, hogy megakadályozza, hogy a felhasználók egy másik operációs rendszert vagy a Windows olyan régebbi verzióját indítsanak el, amely nem rendelkezik ugyanazokkal a biztonsági funkciókkal.

Ha egy régebbi Windows-verziót újratelepít, külön operációs rendszert telepít, vagy formázza a merevlemezt, nem bírálhatja felül a DFCI-kezelést. Ez a funkció megakadályozhatja, hogy a kártevők kommunikálnak az operációsrendszer-folyamatokkal, beleértve az emelt szintű operációsrendszer-folyamatokat is. A DFCI megbízhatósági lánca nyilvános kulcsú titkosítást használ, és nem függ a helyi UEFI (BIOS) jelszóbiztonságtól. Ez a biztonsági réteg megakadályozza, hogy a helyi felhasználók hozzáférjenek a felügyelt beállításokhoz az eszköz UEFI (BIOS) menüjéből.

Tipp

Dell-eszközök esetén BIOS-konfigurációs szabályzatot hozhat létre. További információt a BIOS-konfigurációs profilok használata Windows-eszközökön a Microsoft Intune-ben című témakörben talál.

Az első lépések

  • Az eszköz gyártójának DFCI-t kell hozzáadnia az UEFI belső vezérlőprogramjához a gyártási folyamat során, vagy telepítenie kell egy belső vezérlőprogram-frissítést. Az eszköz gyártóival együttműködve határozza meg a DFCI-t támogató gyártókat, illetve a DFCI használatához szükséges belsővezérlőprogram-verziót.

  • Az eszközt egy Microsoft felhőszolgáltatói (CSP-) partnernek kell regisztrálnia a Windows Autopilot szolgáltatásban, vagy közvetlenül az OEM-nek kell regisztrálnia.

    A Windows Autopilothoz manuálisan regisztrált, például csv-fájlból importált eszközök nem használhatják a DFCI-t. A DFCI-felügyelet kialakításához az eszköz kereskedelmi beszerzésének külső igazolása szükséges oem vagy Microsoft CSP-partnerregisztráción keresztül a Windows Autopilotba.

    Az eszköz regisztrálása után a sorozatszáma megjelenik a Windows Autopilot-eszközök listájában.

    A Windows Autopilot szolgáltatással kapcsolatos további információkért, beleértve az esetleges követelményeket is, tekintse meg a Windows Autopilot-regisztráció áttekintését.

A Microsoft Entra biztonsági csoportok létrehozása

A Windows Autopilot üzembehelyezési profiljai Microsoft Entra biztonsági csoportokhoz vannak rendelve. Mindenképpen hozzon létre olyan csoportokat, amelyek tartalmazzák a DFCI által támogatott eszközöket. DFCI-eszközök esetén a legtöbb szervezet felhasználói csoportok helyett eszközcsoportokat hozhat létre. Vegye figyelembe a következő forgatókönyveket:

  • Az emberi erőforrások (HR) különböző Windows-eszközökkel rendelkeznek. Biztonsági okokból nem szeretné, hogy a csoport tagjai használják a kamerát az eszközökön. Ebben a forgatókönyvben létrehozhat egy HR biztonsági felhasználói csoportot, így a szabályzat az eszköz típusától függetlenül a HR-csoport felhasználóira is vonatkozik.

  • A gyártópadlón 10 eszköz található. Minden eszközön meg szeretné akadályozni az eszközök USB-eszközről való rendszerindítását. Ebben a forgatókönyvben létrehozhat egy biztonságieszköz-csoportot, és hozzáadhatja ezt a 10 eszközt a csoporthoz.

A csoportok Intune való létrehozásáról a Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez című témakörben talál további információt.

Profilok létrehozása

A DFCI használatához hozza létre a következő profilokat, és rendelje hozzá őket a csoporthoz.

1. lépés – Windows Autopilot üzembehelyezési profil létrehozása

Ez a profil beállítja és előre konfigurálja az új eszközöket. A következő cikk a profil létrehozásának lépéseit sorolja fel:

2. lépés – Regisztrációs állapotlap-profil létrehozása

Ez a profil gondoskodik arról, hogy a Windows telepítése során az eszközök ellenőrizve legyenek és engedélyezve legyenek a DFCI-ben. Erősen ajánlott ezt a profilt használni az eszközhasználat letiltásához, amíg az összes alkalmazás és profil telepítve nem lesz.

A következő cikk a profil létrehozásának lépéseit sorolja fel:

3. lépés – A DFCI-profil létrehozása a Intune

Ez a profil tartalmazza a konfigurált DFCI-beállításokat.

Tipp

A DFCI-profilok konfigurálása és hozzárendelése a javításon túl zárolhatja az eszközt. Ezért figyeljen a konfigurált értékekre.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza az Eszközök>konfigurációja>Létrehozás lehetőséget.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza Windows 10 és újabb lehetőséget.
    • Profil típusa: Válassza a Sablonok>Eszköz belső vezérlőprogramjának konfigurációs felülete lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a házirendeket, hogy később könnyen azonosíthassa őket. Jó profilnév például a Windows – DFCI-beállítások Windows-eszközökön.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

    Válassza a Tovább gombot.

  6. A Konfigurációs beállítások területen konfigurálja az UEFI belső vezérlőprogram rétegében szabályozni kívánt beállításokat. Az összes beállítás és a műveletek listáját a következő oldalon találja:

    Válassza a Tovább gombot.

  7. A Hatókörcímkék (nem kötelező) csoportban rendeljen hozzá egy címkét a profil adott informatikai csoportokra (például US-NC IT Team vagy JohnGlenn_ITDepartment) való szűréséhez. A hatókörcímkékről további információt az RBAC és a hatókörcímkék használata elosztott it-hez című témakörben talál. Válassza a Tovább gombot.

  8. A Feladatok csoportban válassza ki, hogy mely felhasználók vagy felhasználói csoportok kapják meg a profilját. A profilok hozzárendeléséről további információt a Felhasználói és eszközprofilok hozzárendelése című témakörben talál. Válassza a Tovább gombot.

  9. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, és válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Amikor minden eszköz legközelebb bejelentkezik, a rendszer alkalmazza a szabályzatot.

A profilok hozzárendelése és újraindítása

Mindenképpen rendelje hozzá a profilokat a DFCI-eszközöket tartalmazó Microsoft Entra biztonsági csoportokhoz. A profil a létrehozásakor vagy után rendelhető hozzá.

Amikor az eszköz futtatja a Windows Autopilotot, a Regisztrációs állapot lapon a DFCI újraindítást kényszeríthet. Ez az első újraindítás regisztrálja az UEFI-t a Intune.

Ha ellenőrizni szeretné, hogy az eszköz regisztrálva van-e, újraindíthatja újra az eszközt, de nincs rá szükség. Az eszköz gyártójának utasításait követve nyissa meg az UEFI menüt, és ellenőrizze, hogy az UEFI kezelése megtörtént-e.

Amikor az eszköz legközelebb szinkronizál Intune, a Windows megkapja a DFCI-beállításokat. Indítsa újra az eszközt. Ez a harmadik újraindítás szükséges ahhoz, hogy az UEFI megkapja a DFCI-beállításokat a Windowstól.

Meglévő DFCI-beállítások frissítése

Ha módosítani szeretné a meglévő DFCI-beállításokat a használatban lévő eszközökön, megteheti. A meglévő DFCI-profilban módosítsa a beállításokat, és mentse a módosításokat. Mivel a profil már hozzá van rendelve, az új DFCI-beállítások a következő esetekben lépnek érvénybe:

  1. Az eszköz bejelentkezik a Intune szolgáltatásba a profilfrissítések áttekintése érdekében. A bejelentkezések különböző időpontokban történnek. További információért tekintse meg, hogy az eszközök mikor kapnak szabályzatot, profilt vagy alkalmazásfrissítést.
  2. Az új beállítások kényszerítéséhez indítsa újra az eszközt távolról vagy helyileg .

Azt is jelezheti , hogy az eszközök bejelentkeznek. A sikeres szinkronizálás után jelezzen az újraindításhoz.

Megjegyzés:

Ha törli a DFCI-profilt, vagy eltávolít egy eszközt a profilhoz rendelt csoportból, az nem távolítja el a DFCI-beállításokat, és nem engedélyezi újra az UEFI (BIOS) menüket. Ha le szeretné állítani a DFCI használatát, frissítse a meglévő DFCI-profil beállításait. A lépésekkel kapcsolatos további információkért tekintse meg az eszköz kivonását ebben a cikkben.

Konfliktusok

A DFCI-szabályzat létrehozásakor konfigurálja a kezelni kívánt Windows DFCI-beállításokat .

Egyes beállítások logikai kategóriába tartoznak, például Mikrofonok és hangszórók. Vannak olyan részletes beállítások is, mint a Mikrofonok. Ha ezek a beállítások ütköznek, a következők történnek:

  • Az első szinkronizálási kísérlet során a rendszer alkalmazza a részletes beállítást (Mikrofonok), a kategóriabeállítás pedig nem megfelelő (mikrofonok és hangszórók).

  • Az Intune szolgáltatással az első szinkronizálást követően a következő viselkedés ismétlődik:

    • Intune alkalmazza a kategóriabeállítást (Mikrofonok és hangszórók), mivel az nem megfelelő. A részletes beállítás (Mikrofonok) nem megfelelővé válik.
    • Intune alkalmazza a részletes beállítást (Mikrofonok), mivel az nem megfelelő. A kategóriabeállítás (mikrofonok és hangszórók) nem megfelelővé válik.

A ciklusos viselkedés elkerülése érdekében konfigurálja a kategóriabeállítást vagy a részletes beállításokat.

Például csak Wi-Fi választógombokat szeretné engedélyezni. Ebben a forgatókönyvben a következőt kell használnia:

  • Hagyja a Választógombok (Bluetooth, Wi-Fi, NFC stb.) kategória beállítását Nincs konfigurálva értékre.
  • A Wi-Fi rádió beállításnál állítsa Bekapcsolva értékre.
  • Állítsa az összes többi részletes választógombot Letiltva értékre.

Az eszköz újrafelhasználása, kivonása vagy helyreállítása

Újrafelhasználás

Ha azt tervezi, hogy alaphelyzetbe állítja a Windowst az eszköz újbóli vásárlásához, törölje az eszközt. Ne távolítsa el a Windows Autopilot-eszközrekordot.

Az eszköz törlése után helyezze át az eszközt az új DFCI- és Windows Autopilot-profilokhoz rendelt csoportba. A Windows telepítőjének újrafuttatásához indítsa újra az eszközt.

Kivonás

Ha készen áll arra, hogy kivonja az eszközt a felügyelet alól, frissítse a DFCI-profilt a kívánt UEFI (BIOS) beállításokra kilépési állapotban. Általában minden beállítást engedélyezni kell. Például:

  1. A Intune Felügyeleti központban nyissa meg a DFCI-profilját (Eszközök>konfigurációja).
  2. Módosítsa Az UEFI (BIOS) beállításainak módosítása a Csak nem konfigurált beállítások értékre a helyi felhasználó számára beállítást.
  3. Állítsa az összes többi beállítást a Nincs konfigurálva értékre.
  4. Mentse a beállításokat.

Ezek a lépések feloldják az eszköz UEFI (BIOS) menüinek zárolását. Az értékek változatlanok maradnak a profillal (Engedélyezve vagy Letiltva), és nem állíthatók vissza alapértelmezett operációsrendszer-értékekre.

Most már készen áll az eszköz törlésére. Az eszköz törlése után törölje a Windows Autopilot rekordot. A rekord törlése megakadályozza, hogy az eszköz újraindulásakor automatikusan újraregisztráljon.

Tipp

A Surface-eszközök DFCI-regisztrációból való eltávolításához lépjen a DFCI-felügyelet eltávolításához.

Visszaszerez

Ha töröl egy eszközt, és törli a Windows Autopilot rekordot az UEFI (BIOS) menük feloldása előtt, a menük zárolva maradnak. Intune nem tud profilfrissítéseket küldeni a zárolás feloldásához.

Az eszköz zárolásának feloldásához nyissa meg az UEFI (BIOS) menüt, és frissítse a felügyeletet a hálózatról. A helyreállítás feloldja a menük zárolását, de az UEFI (BIOS) beállításokat az előző Intune DFCI-profil értékeire állítja.

Végfelhasználói hatás

A DFCI-szabályzat alkalmazásakor a helyi felhasználók nem módosíthatják a DFCI által konfigurált beállításokat, még akkor sem, ha az UEFI (BIOS) menü jelszavas védelem alatt áll. A konfigurált beállításoktól függően előfordulhat, hogy a végfelhasználók hibaüzenetet kapnak arról, hogy a hardverösszetevők nem találhatók, vagy nem diagnosztizálhatók. Mindenképpen adja meg a végfelhasználóknak a letiltott lehetőségek ismertetését ismertető dokumentációt.