Gestione dell'interfaccia di configurazione del firmware del dispositivo (DFCI)
Si applica a:
- Windows 11
- Windows 10
Con Windows Autopilot Deployment e Intune, è possibile gestire le impostazioni UEFI (Unified Extensible Firmware Interface) dopo la registrazione tramite Device Firmware Configuration Interface (DFCI). DFCI consente a Windows di passare i comandi di gestione da Intune a UEFI per i dispositivi distribuiti con Autopilot. Questa funzionalità consente di limitare il controllo dell'utente finale sulle impostazioni del BIOS. Ad esempio, è possibile bloccare le opzioni di avvio per impedire agli utenti di avviare un altro sistema operativo, ad esempio uno che non ha le stesse funzionalità di sicurezza.
Se un utente reinstalla una versione precedente di Windows, installa un sistema operativo separato o formatta il disco rigido, non può ignorare la gestione di DFCI. Questa funzionalità può anche impedire che il malware comunichi con i processi del sistema operativo, inclusi i processi del sistema operativo con privilegi elevati. La catena di trust di DFCI usa la crittografia a chiave pubblica e non dipende dalla sicurezza delle password UEFI locali. Questo livello di sicurezza impedisce agli utenti locali di accedere alle impostazioni gestite dai menu UEFI del dispositivo.
Per una panoramica dei vantaggi, degli scenari e dei prerequisiti di DFCI, vedere Introduzione a Device Firmware Configuration Interface (DFCI).
Importante
I dispositivi abilitati per DFCI dall'OEM e registrati per Autopilot tramite l'OEM o un CSP nel Centro per i partner si registrano automaticamente nella gestione DFCI durante il provisioning di Autopilot. La registrazione nella gestione di DFCI attiva un riavvio aggiuntivo durante la Configurazione guidata.
Ciclo di vita della gestione DFCI
Il ciclo di vita di gestione di DFCI include i processi seguenti:
- Integrazione UEFI
- Registrazione del dispositivo
- Creazione del profilo
- Registrazione
- Gestione
- Ritiro
- Ripristino
Vedere la figura seguente.
Requisiti
- Windows 10, versione 1809 o versioni successive ed è necessario un UEFI supportato.
- Il produttore del dispositivo deve avere DFCI aggiunto al firmware UEFI nel processo di produzione o come aggiornamento del firmware installato. Collaborare con i fornitori di dispositivi per determinare i produttori che supportano DFCI o la versione del firmware necessaria per usare DFCI.
- Il dispositivo deve essere gestito con Microsoft Intune. Per altre informazioni, vedere Registrare dispositivi Windows in Intune usando Windows Autopilot.
- Il dispositivo deve essere registrato per Windows Autopilot da un partner Microsoft Cloud Solution Provider (CSP) o registrato direttamente dall'OEM. Per i dispositivi Surface, il supporto per la registrazione Microsoft è disponibile nel supporto di Microsoft Devices Autopilot.
Importante
I dispositivi registrati manualmente per Autopilot (ad esempio importando da un file CSV) non possono usare DFCI. Per impostazione predefinita, la gestione DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un OEM o una registrazione di partner Microsoft CSP per Windows Autopilot. Dopo la registrazione del dispositivo, il numero di serie viene visualizzato nell'elenco dei dispositivi Windows Autopilot.
Gestione del profilo DFCI con Windows Autopilot
La gestione del profilo DFCI con Windows Autopilot prevede quattro passaggi di base:
- Creare un profilo Autopilot
- Creare un profilo di pagina dello stato della registrazione
- Creare un profilo DFCI
- Assegnare i profili
Per informazioni dettagliate, vedere Creare i profilie assegnare i profili e riavviare .
È anche possibile modificare le impostazioni DFCI esistenti nei dispositivi in uso. Nel profilo DFCI esistente modificare le impostazioni e salvare le modifiche. Poiché il profilo è già assegnato, le nuove impostazioni di DFCI diventano effettive alla successiva sincronizzazione del dispositivo o al riavvio del dispositivo.
Per identificare se un dispositivo è pronto per DFCI, è possibile usare la chiamata API Graph di Intune seguente:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Per altre informazioni, vedere Panoramica dell'API per dispositivi e app di Intune e Uso di Intune in Microsoft Graph .
OEM che supportano DFCI
- Acer
- Asus
- Dynabook
- Fujitsu
- Microsoft Surface
- Panasonic
Altri OEM sono in sospeso.
Vedere anche
Scenari di Microsoft DFCI
Windows Autopilot e dispositivi Surface
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per