Usare profili di configurazione BIOS nei dispositivi Windows in Microsoft Intune

  • Articolo

In Intune è possibile usare una configurazione BIOS e altri criteri di configurazione del dispositivo per abilitare o disabilitare le funzionalità e le impostazioni del BIOS.

Usando uno strumento OEM, si crea un file di configurazione del BIOS che configura le funzionalità del BIOS. Nei dispositivi si installa l'app Win32 OEM che legge la configurazione. Quindi, nei criteri Intune BIOS, si aggiunge il file di configurazione del BIOS e si assegnano i criteri ai dispositivi.

Il file di configurazione include in genere impostazioni che consentono di proteggere il dispositivo e il relativo hardware predefinito.

Ad esempio, si vuole impedire agli utenti finali di ricreare la stima del dispositivo e uscire dalla gestione Intune. Per questa attività, si crea un file di configurazione del BIOS che disabilita l'avvio da USB. Aggiungere quindi questo file ai criteri di Intune e abilitare una password DEL BIOS. Questi passaggi assicurano che la configurazione non venga sovrascritta.

Questa funzionalità si applica a:

  • Windows 10 e versioni successive
  • Dispositivi Dell

Questo articolo include altre informazioni sul file di configurazione e sull'app Win32 e illustra come creare la configurazione del BIOS e altri criteri di impostazioni in Intune.

Avviso

Le modifiche alla configurazione del BIOS possono influire sulla funzionalità e sull'operabilità del dispositivo, inclusa la possibilità di avviare o accedere alle unità crittografate bitlocker. Questa funzionalità consente agli amministratori Intune di aggiornare facilmente le configurazioni del BIOS nei propri dispositivi. Quando si apportano modifiche, testare e distribuire in fasi per ridurre al minimo l'impatto di eventuali configurazioni impreviste.

Prerequisiti

  • Per configurare questo criterio, accedere almeno all'interfaccia di amministrazione Intune con il ruolo Gestione criteri e profili. Per altre informazioni sui ruoli predefiniti in Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

  • Questa funzionalità supporta i dispositivi di proprietà dell'organizzazione registrati in Intune. I dispositivi personali e i dispositivi non registrati in Intune non sono supportati.

  • Assicurarsi che i dispositivi non dispongano di una password BIOS esistente configurata. Questa funzionalità richiede che Intune abbiano la password del BIOS. Se Intune non dispone della password del BIOS del dispositivo, non può aggiornare la configurazione del BIOS.

Passaggio 1: Creare il file di configurazione e distribuire l'app

Questa sezione è incentrata sull'uso dello strumento OEM per creare il file di configurazione e sulla distribuzione dell'app Win32 OEM nei dispositivi.

  1. Creare il file di configurazione usando lo strumento OEM. Nel file aggiungere e configurare le funzionalità da configurare. È possibile aggiungere tutte le impostazioni di configurazione supportate dall'OEM.

    • Per Dell, è possibile usare lo strumento Comando Dell (apre il sito Web di Dell) per creare il file di configurazione del BIOS.

  2. Quando crei il file di configurazione, è disponibile un'app Win32 coordinata fornita dall'OEM. Distribuire l'app Win32 OEM nei dispositivi. Questa app:

    • Funge da agente che legge il file di configurazione creato e legge le password del BIOS dei dispositivi.
    • Deve essere installato in tutti i dispositivi prima di assegnare i criteri di configurazione del BIOS Intune.

    Per Dell, è possibile scaricare l'app Dell Command (apre il sito Web di Dell).

    Per installare questa app nei dispositivi, è possibile usare Intune. Aggiungere l'app a Intune e renderla un'app obbligatoria. Assegnare quindi l'app al filtro di gruppo o assegnazione creato nel passaggio 2 - Creare un gruppo o usare un filtro di assegnazione (in questo articolo).

    Per altre informazioni sulle app Win32 in Intune, vedere Aggiungere, assegnare e monitorare un'app Win32 in Microsoft Intune.

Passaggio 2: Creare un gruppo o usare un filtro di assegnazione

È consigliabile concentrare questo criterio su un set specifico di dispositivi. Le opzioni disponibili sono:

  • Opzione 1 : creare un gruppo che includa i dispositivi. Quando si creano i criteri dell'app e i criteri di configurazione del BIOS, si assegnano i criteri a questo gruppo.
  • Opzione 2 : usare un filtro di assegnazione basato sul produttore del dispositivo. Quando si crea il filtro, impostare come destinazione i dispositivi OEM. Quando si assegnano i criteri di configurazione dell'app e del BIOS, aggiungere questo filtro.

Per altre informazioni su queste funzionalità, vedere:

Passaggio 3: Creare i criteri di configurazione del BIOS in Intune

Questo criterio consente di aggiungere il file di configurazione creato.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. SelezionareConfigurazione>dispositivi>Crea>nuovo criterio.

  3. Immettere le proprietà seguenti:

    • Piattaforma: selezionare Windows 10 e versioni successive.
    • Tipo di profilo: selezionare Modelli>configurazione BIOS e altre impostazioni.

  4. Selezionare Crea.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è la password di configurazione del BIOS.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

    Selezionare Avanti.

  6. In Impostazioni di configurazione completare le impostazioni seguenti:

    • Hardware: selezionare il fornitore OEM hardware da un elenco di OEM supportati. Attualmente, è supportato solo Dell.

    • Disabilita la protezione password BIOS per dispositivo: questa impostazione gestisce la password che protegge la configurazione del BIOS nel dispositivo. Le opzioni disponibili sono:

      • No: Intune genera una password del dispositivo univoca per ogni dispositivo. Per accedere e aggiornare la configurazione del BIOS nel dispositivo, gli utenti devono immettere questa password.
      • : non esiste una password che protegge il BIOS. Tutte le password precedenti vengono rimosse. Gli utenti finali possono accedere al BIOS e modificare le impostazioni del BIOS nel dispositivo.

    • File di configurazione: caricare il file di configurazione generato con lo strumento OEM.

      Per Dell, caricare il file Dell Client Configuration Tool Kit (.cctk). Il limite di dimensioni del file è di 2 MB.

    Seleziona Avanti.

  7. In Assegnazioni selezionare il nuovo gruppo di dispositivi creato. Questo gruppo riceve il profilo. Per altre informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

  8. In Rivedi e crea esaminare le impostazioni e selezionare Crea. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

La volta successiva in cui ogni dispositivo esegue il check-in, vengono applicati i criteri.

Monitorare i criteri con i report predefiniti

Nell'interfaccia di amministrazione Intune, dopo aver creato un criterio, è possibile monitorarne lo stato e visualizzare eventuali errori.

  1. Nell'interfaccia di amministrazione Intune passare aCriteridi configurazione>dei dispositivi>.
  2. Selezionare il criterio da monitorare. Il report Stato dispositivo mostra lo stato dei criteri e visualizza i dettagli degli errori per la risoluzione dei problemi.

Per altre informazioni, vedere:

Recuperare le password del BIOS

Intune archivia le password del BIOS per ogni dispositivo. È possibile ottenere le password del BIOS usando Microsoft Graph. Per testare le API Graph, è possibile usare Microsoft Graph Explorer.

Importante

Assicurarsi di eseguire il backup di tutte le password all'esterno di Intune.

  • Se un dispositivo viene rimosso dalla gestione Intune, gli amministratori possono comunque leggere le password del BIOS usando l'API HardwarePasswordInfo di Microsoft Graph.
  • Se la sottoscrizione Intune per il tenant termina, non è possibile leggere o recuperare le password del BIOS. In questo caso, l'unica opzione consiste nel contattare l'OEM.

Opzione 1: leggere la password del BIOS un dispositivo alla volta

Questa opzione ottiene le password del BIOS, un dispositivo alla volta.

  1. Creare un ruolo controllo degli accessi in base al ruolo Intune personalizzato con l'autorizzazione Lettura password BIOS:

    1. Nell'interfaccia di amministrazione Intune selezionareRuoli> di amministrazione> tenantCrea un nuovo ruolo.
    2. Assegnare un nome al ruolo e selezionare Avanti.
    3. In Autorizzazioni espandere Dispositivi> gestiti Imposta password bios di lettura su .
    4. Selezionare Avanti>Crea successivo>.

  2. Accedere allo strumento Graph con questo ruolo controllo degli accessi in base al ruolo personalizzato e usare l'API HardwarePasswordInfo di Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opzione 2: leggere la password del BIOS di tutti i dispositivi

Questa opzione ottiene un elenco di tutte le password del BIOS di tutti i dispositivi.

  1. In Microsoft Entra ID è necessario il ruolo amministratore del servizio Intune o amministratore globale.

  2. Accedere allo strumento Graph con uno di questi ruoli e usare l'API HardwarePasswordInfo di Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Per altre informazioni sui ruoli del controllo degli accessi in base al ruolo, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Rimuovere la password di configurazione del BIOS

Se si prevede di interrompere la gestione del BIOS dei dispositivi o di rimuovere definitivamente i dispositivi dal tenant, è necessario rimuovere la password del BIOS.

Per rimuovere la password del BIOS, nei criteri di configurazione del BIOS Intune impostare l'impostazione Disabilita la protezione password BIOS per dispositivo su . Assegnare quindi i criteri. Quando il dispositivo esegue l'accesso con Intune, vengono applicati i criteri. Nel dispositivo è anche possibile sincronizzare manualmente il dispositivo con Intune per applicare i criteri.

Dopo l'applicazione dei criteri, riavviare il dispositivo.

La registrazione del dispositivo da Intune non rimuove la password del BIOS. Se si annulla la registrazione del dispositivo prima di disabilitare la password, è necessario aggiornare manualmente la password nel dispositivo.

Configurazione del BIOS e DFCI

Intune dispone di due funzionalità in grado di gestire le impostazioni del BIOS nei dispositivi Windows: configurazione del BIOS e altre impostazioni e Device Firmware Configuration Interface (DFCI).

Nella tabella seguente vengono confrontate queste opzioni.

Caratteristica Configurazione del BIOS e altre impostazioni DFCI
OEM supportati Dell

Forse più in futuro		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Per altre informazioni, vedere Scenari di Microsoft DFCI.
Configurazioni supportate Tutte le configurazioni disponibili nello strumento OEM Un set di impostazioni per controllare le funzionalità di sicurezza, alcune funzionalità hardware, le opzioni di avvio, le porte e altro ancora
Modalità di applicazione delle impostazioni Intune recapita il file di configurazione quando vengono assegnati i criteri. L'agente OEM nel dispositivo applica la configurazione. Tramite UEFI CSP usando il livello DFCI, isolato dal sistema operativo
Blocca l'accesso al menu BIOS Sì, tramite password BIOS Sì, tramite certificati
Configurazione durante Windows Autopilot Nelle impostazioni della pagina stato registrazione (ESP) selezionare l'app Win32 OEM. Intune registra automaticamente il dispositivo in DFCI mgmt.
Creazione di report Segnala se il file di configurazione è stato applicato. Report granulare per ogni impostazione configurata.
Intune tipo di criterio Dispositivi>Configurazione>Modelli>Configurazione del BIOS e altre impostazioni Dispositivi>Configurazione>Modelli>Interfaccia di configurazione del firmware del dispositivo

Per altre informazioni su DFCI, vedere: