Impostazioni del profilo DFCI (Device Firmware Configuration Interface) in Microsoft Intune

  • Articolo

Questo articolo elenca e descrive le impostazioni del profilo DFCI che è possibile controllare nei dispositivi client Windows. Come parte della soluzione di gestione dei dispositivi mobili (MDM), usare queste impostazioni per controllare le funzionalità di sicurezza, l'hardware predefinito e le opzioni di avvio nel livello UEFI in Windows.

Queste impostazioni si applicano a:

  • Windows 11 su UEFI supportato
  • Windows 10 RS5 (1809) e versioni successive su firmware UEFI supportato

Queste impostazioni vengono aggiunte a un profilo di configurazione del dispositivo in Intune e quindi assegnate o distribuite ai dispositivi client Windows.

Prima di iniziare

Avviso

Stai attento. La configurazione e l'assegnazione di profili DFCI possono bloccare il dispositivo in modo indolore. Le impostazioni del profilo DFCI modificano l'hardware del dispositivo e non possono essere corrette ricreando l'immagine del sistema operativo.

Accesso UEFI

  • Consenti all'utente locale di modificare le impostazioni UEFI: Opzioni:
    • Solo impostazioni non configurate: l'utente locale può modificare qualsiasi impostazione, ad eccezione di quelle impostate in modo esplicito su Abilita o Disabilita tramite Intune.
    • Nessuno: l'utente locale non può modificare le impostazioni UEFI (BIOS), incluse le impostazioni non visualizzate nel profilo DFCI.

Funzionalità di sicurezza

  • Virtualizzazione CPU e I/O: Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione.
    • Abilitato: il BIOS abilita le funzionalità di virtualizzazione di CPU e I/O della piattaforma per l'uso da parte del sistema operativo. Attiva le tecnologie di sicurezza basata sulla virtualizzazione Windows e Device Guard.

  • Windows Platform Binary Table (WPBT): WPBT consente a fornitori e OEM di eseguire un .exe programma a livello UEFI. Ogni volta che Windows viene avviato, esamina UEFI ed esegue ..exe Usare questa funzionalità per eseguire programmi che non sono inclusi nel supporto di Windows.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire a fornitori e OEM di eseguire programmi tramite WPBT.
    • Abilitato: abilita WPBT e consente l'esecuzione di .exe programmi nel livello UEFI.
    • Disabilitato: disabilita il WPBT e impedisce .exe l'esecuzione dei programmi nel livello UEFI.

  • Multithreading simultaneo (SMT): noto anche come hyper-threading. Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione.
    • Abilitato: abilita SMT nel livello UEFI.
    • Disabilitato: disabilita SMT nel livello UEFI.

Videocamere

  • Fotocamere: questa impostazione gestisce tutte le fotocamere hardware integrate nel dispositivo. Non gestisce le periferiche collegate, ad esempio le webcam USB.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le fotocamere predefinite.
    • Abilitato: tutte le fotocamere incorporate gestite direttamente da UEFI (BIOS) vengono abilitate. Le periferiche, come le fotocamere USB, non sono interessate.
    • Disabilitato: tutte le fotocamere predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come le fotocamere USB, non sono interessate.

  • Fotocamere anteriori: questa impostazione gestisce le fotocamere a luce visibile frontale integrate gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le fotocamere a luce visibile frontale predefinite.
    • Abilitato: sono abilitate tutte le fotocamere a luce visibile frontale integrate gestite direttamente da UEFI (BIOS). Le periferiche, come le fotocamere USB, non sono interessate.
    • Disabilitato: tutte le fotocamere a luce visibile frontale integrate gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come le fotocamere USB, non sono interessate.

  • Fotocamere posteriori: questa impostazione gestisce le fotocamere a luce visibile posteriori integrate gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le fotocamere posteriori predefinite.
    • Abilitato: sono abilitate tutte le fotocamere a luce visibile posteriore integrate gestite direttamente da UEFI (BIOS). Le periferiche, come le fotocamere USB, non sono interessate.
    • Disabilitato: tutte le fotocamere a luce visibile posteriore integrate gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come le fotocamere USB, non sono interessate.

  • Fotocamere a infrarossi (IR): questa impostazione gestisce le fotocamere a infrarossi predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le fotocamere a infrarossi predefinite.
    • Abilitato: tutte le fotocamere a infrarossi predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come le fotocamere USB, non sono interessate.
    • Disabilitato: tutte le fotocamere a infrarossi predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come le fotocamere USB, non sono interessate.

Microfoni e altoparlanti

È consigliabile configurare le impostazioni della categoria Microfoni e altoparlantio le impostazioni granulari Microfoni . Se si configurano tutte le impostazioni, queste impostazioni possono causare un conflitto. Per altre informazioni, vedere Panoramica del profilo DFCI: Conflitti.

  • Microfoni e altoparlanti: questa impostazione gestisce tutti i microfoni e gli altoparlanti integrati nel dispositivo. Non gestisce le periferiche collegate, ad esempio i dispositivi USB.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare i microfoni e gli altoparlanti predefiniti.
    • Abilitato: tutti i microfoni e gli altoparlanti gestiti direttamente da UEFI (BIOS) vengono abilitati. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutti i microfoni e gli altoparlanti gestiti direttamente da UEFI (BIOS) vengono disabilitati. Le periferiche, come i dispositivi USB, non sono interessate.

  • Microfoni: questa impostazione gestisce i microfoni predefiniti gestiti da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare i microfoni predefiniti.
    • Abilitato: tutti i microfoni predefiniti gestiti direttamente da UEFI (BIOS) sono abilitati. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutti i microfoni predefiniti gestiti direttamente da UEFI (BIOS) sono disabilitati. Le periferiche, come i dispositivi USB, non sono interessate.

Radio

È consigliabile configurare le impostazioni della categoria Radio (Bluetooth, Wi-Fi, NFC e così via)o le impostazioni granulari bluetooth, Wi-Fi e così via. Se si configurano tutte le impostazioni, queste impostazioni possono causare un conflitto. Per altre informazioni, vedere Panoramica del profilo DFCI: Conflitti.

  • Radio (Bluetooth, Wi-Fi, NFC e così via): questa impostazione gestisce tutte le radio predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare tutte le radio predefinite.

    • Abilitato: tutte le radio incorporate gestite direttamente da UEFI (BIOS) vengono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.

    • Disabilitato: tutte le radio incorporate gestite direttamente da UEFI (BIOS) vengono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

      Se impostato su Disabilitato, il dispositivo richiede una connessione di rete cablata. In caso contrario, il dispositivo può essere ingestibile.

  • Bluetooth: questa impostazione gestisce le radio Bluetooth predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le radio Bluetooth predefinite.
    • Abilitato: tutte le radio Bluetooth predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le radio Bluetooth predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

  • WWAN: questa impostazione gestisce le radio WWAN predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le radio WWAN predefinite.
    • Abilitato: tutte le radio WWAN predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le radio WWAN predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

  • NFC: questa impostazione gestisce le radio NFC predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le radio NFC predefinite.
    • Abilitato: tutte le radio NFC predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le radio NFC predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

  • Wi-Fi: questa impostazione gestisce le radio Wi-Fi predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le radio Wi-Fi predefinite.
    • Abilitato: tutte le radio Wi-Fi predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le radio Wi-Fi predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

Opzioni di avvio

Avviso

La disabilitazione di tutte le opzioni di avvio esterno o di tutte le porte esterne complica notevolmente il ripristino del sistema operativo. Per ripristinare un dispositivo che non può più avviare Windows, potrebbe essere necessario aprire fisicamente il dispositivo e sostituire l'archiviazione hardware.

  • Avvio da supporti esterni (USB, SD): Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire l'avvio da supporti esterni.

    • Abilitato: UEFI (BIOS) consente l'avvio da supporti di archiviazione non su disco rigido.

    • Disabilitato: UEFI (BIOS) impedisce l'avvio dall'archiviazione su disco non rigido, disabilitando anche l'avvio dalle schede di rete.

      Se impostato su Disabilitato, non impostare l'impostazione Avvia da schede di rete su Abilitato. L'impostazione Avvia da supporti esterni (USB, SD) o Avvia da schede di rete non diventa conforme.

  • Avvio da schede di rete: Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe consentire l'avvio da schede di rete predefinite.
    • Abilitato: UEFI (BIOS) consente l'avvio dalle interfacce di rete predefinite.
    • Disabilitato: UEFI (BIOS) impedisce l'avvio di interfacce di rete predefinite.

Porte

Avviso

La disabilitazione di tutte le opzioni di avvio esterno o di tutte le porte esterne complica notevolmente il ripristino del sistema operativo. Per ripristinare un dispositivo che non può più avviare Windows, potrebbe essere necessario aprire fisicamente il dispositivo e sostituire l'archiviazione hardware.

  • Tipo USB A: questa impostazione gestisce le porte USB di tipo A predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le porte USB di tipo A predefinite.
    • Abilitato: tutte le porte USB di tipo A predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le porte USB predefinite di tipo A gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

  • Scheda SD: questa impostazione gestisce le porte della scheda SD predefinite gestite da UEFI (BIOS). Non gestisce le periferiche collegate.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe abilitare le porte della scheda SD predefinite.
    • Abilitato: tutte le porte della scheda SD predefinite gestite direttamente da UEFI (BIOS) sono abilitate. Le periferiche, come i dispositivi USB, non sono interessate.
    • Disabilitato: tutte le porte delle schede SD predefinite gestite direttamente da UEFI (BIOS) sono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate.

Impostazioni di riattivazione

  • Riattivazione LAN: la riattivazione LAN consente a un amministratore di rete di riattivare in remoto un dispositivo in modalità sospensione usando la LAN.

    Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe impedire la riattivarsi di un dispositivo usando la LAN.
    • Abilitato: UEFI (BIOS) consente di riattivare un dispositivo usando la LAN.
    • Disabilitato: UEFI (BIOS) impedisce di riattivare un dispositivo usando la LAN.

  • Riattivazione: quando il dispositivo è connesso a un'origine alimentazione, questa impostazione gestisce se i dispositivi idonei possono essere avviati automaticamente dallo stato di ibernazione o spegnimento. Le opzioni disponibili sono:

    • Non configurato: Intune non modifica o aggiorna questa impostazione. Per impostazione predefinita, il sistema operativo potrebbe impedire di riattivare un dispositivo quando è connesso a un'origine alimentazione.
    • Abilitato: UEFI (BIOS) consente di riattivare un dispositivo quando è connesso a una fonte di alimentazione.
    • Disabilitato: UEFI (BIOS) impedisce di riattivare un dispositivo quando è connesso a una fonte di alimentazione.