Usare i profili di configurazione del BIOS nei dispositivi Windows in Microsoft Intune
In Intune è possibile usare una configurazione bios e altri criteri di configurazione del dispositivo per abilitare o disabilitare le funzionalità e le impostazioni del BIOS.
Usando uno strumento OEM, si crea un file di configurazione del BIOS che configura le funzionalità del BIOS. Nei dispositivi si installa l'app Win32 OEM che legge la configurazione. Nel criterio BIOS di Intune aggiungere quindi il file di configurazione del BIOS e assegnare i criteri ai dispositivi.
Il file di configurazione include in genere impostazioni che consentono di proteggere il dispositivo e il relativo hardware predefinito.
Ad esempio, si vuole impedire agli utenti finali di ricreare la stima del dispositivo e di uscire dalla gestione di Intune. Per questa attività, si crea un file di configurazione del BIOS che disabilita l'avvio da USB. Aggiungere quindi questo file ai criteri di Intune e abilitare una password bios. Questi passaggi assicurano che la configurazione non venga sovrascritta.
Questa funzionalità si applica a:
- Windows 11
- Windows 10
- Dispositivi Dell
Questo articolo include altre informazioni sul file di configurazione e sull'app Win32 e illustra come creare la configurazione del BIOS e altri criteri di impostazioni in Intune.
Avviso
Le modifiche alla configurazione del BIOS possono influire sulla funzionalità e sull'operabilità del dispositivo, inclusa la possibilità di avviare o accedere alle unità crittografate bitlocker. Questa funzionalità consente agli amministratori di Intune di aggiornare facilmente le configurazioni del BIOS nei propri dispositivi. Quando si apportano modifiche, testare e distribuire in fasi per ridurre al minimo l'impatto di eventuali configurazioni impreviste.
Prerequisiti
Per configurare i criteri di Intune, accedere almeno all'interfaccia di amministrazione di Intune con il ruolo Gestione criteri e profili . Per informazioni sui ruoli predefiniti in Intune e sulle operazioni che possono eseguire, vedere:
Questa funzionalità supporta i dispositivi di proprietà dell'organizzazione registrati in MDM in Intune. I dispositivi personali e i dispositivi non registrati in Intune non sono supportati.
Assicurarsi che i dispositivi non dispongano di una password BIOS esistente configurata. Questa funzionalità richiede che Intune disponga della password del BIOS. Se Intune non ha la password del BIOS del dispositivo, non può aggiornare la configurazione del BIOS.
Passaggio 1: Creare il file di configurazione e distribuire l'app
Questa sezione è incentrata sull'uso dello strumento OEM per creare il file di configurazione e sulla distribuzione dell'app Win32 OEM nei dispositivi.
Creare il file di configurazione usando uno strumento OEM. Nel file aggiungere e configurare le funzionalità da configurare. È possibile aggiungere tutte le impostazioni di configurazione supportate dall'OEM.
- Per Dell, è possibile usare lo strumento Comando Dell (apre il sito Web di Dell) per creare il file di configurazione del BIOS.
Quando crei il file di configurazione, è disponibile un'app Win32 coordinata fornita dall'OEM. Distribuire l'app Win32 OEM nei dispositivi. Questa app:
- Funge da agente che legge il file di configurazione creato e legge le password del BIOS dei dispositivi.
- Deve essere installato in tutti i dispositivi prima di assegnare i criteri di configurazione del BIOS di Intune.
Per Dell, è possibile scaricare l'app Dell Command (apre il sito Web di Dell).
Per installare questa app nei dispositivi, è possibile usare Intune:
- Aggiungere l'app a Intune e renderla un'app obbligatoria.
- Assegnare l'app al gruppo o al filtro di assegnazione creato nel passaggio successivo (in questo articolo).
Per informazioni sulle app Win32 in Intune, vedere Aggiungere, assegnare e monitorare un'app Win32 in Microsoft Intune.
Passaggio 2: Creare un gruppo o usare un filtro di assegnazione
È consigliabile concentrare questo criterio su un set specifico di dispositivi. Le opzioni disponibili sono:
- Opzione 1 : creare un gruppo che includa i dispositivi. Quando si creano i criteri dell'app e i criteri di configurazione del BIOS, si assegnano i criteri a questo gruppo.
- Opzione 2 : usare un filtro di assegnazione basato sul produttore del dispositivo. Quando si crea il filtro, impostare come destinazione i dispositivi OEM. Quando si assegnano i criteri di configurazione dell'app e del BIOS, aggiungere questo filtro.
Per informazioni su queste funzionalità, vedere:
- Aggiungere gruppi per organizzare utenti e dispositivi
- Usare i filtri durante l'assegnazione di app, criteri e profili in Microsoft Intune
Passaggio 3: Creare i criteri di configurazione del BIOS in Intune
Questo criterio consente di aggiungere il file di configurazione creato nel passaggio 1 con lo strumento OEM.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.
Immettere le proprietà seguenti:
- Piattaforma: selezionare Windows 10 e versioni successive.
- Tipo di profilo: selezionare Modelli>configurazione BIOS e altre impostazioni.
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è la password di configurazione del BIOS.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Selezionare Avanti.
In Impostazioni di configurazione completare le impostazioni seguenti:
Hardware: selezionare il fornitore OEM hardware da un elenco di OEM supportati. Attualmente, è supportato solo Dell.
Disabilita la protezione password BIOS per dispositivo: questa impostazione gestisce la password che protegge la configurazione del BIOS nel dispositivo. Le opzioni disponibili sono:
- No: Intune genera una password del dispositivo univoca per ogni dispositivo. Per accedere e aggiornare la configurazione del BIOS nel dispositivo, gli utenti devono immettere questa password.
- Sì: non esiste una password che protegge il BIOS. Tutte le password precedenti vengono rimosse. Gli utenti finali possono accedere al BIOS e modificare le impostazioni del BIOS nel dispositivo.
File di configurazione: caricare il file di configurazione generato con lo strumento OEM.
Per Dell, caricare il file Dell Client Configuration Tool Kit (
.cctk
). Il limite di dimensioni del file è di 2 MB.
Seleziona Avanti.
In Assegnazioni selezionare il nuovo gruppo di dispositivi creato. Questo gruppo riceve il profilo. Per informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.
Seleziona Avanti.
In Rivedi e crea esaminare le impostazioni e selezionare Crea. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
La volta successiva in cui ogni dispositivo esegue il check-in, vengono applicati i criteri.
Monitorare i criteri con i report predefiniti
Nell'interfaccia di amministrazione di Intune, dopo aver creato un criterio, è possibile monitorarne lo stato e visualizzare eventuali errori.
- Nell'interfaccia di amministrazione di Intune passare alla scheda Dispositivi>Gestire i criteridi configurazione>dei dispositivi>.
- Selezionare il criterio da monitorare. Il report Stato dispositivo mostra lo stato dei criteri e visualizza i dettagli degli errori per la risoluzione dei problemi.
Per altre informazioni, vedere:
Recuperare le password del BIOS
Intune archivia le password del BIOS per ogni dispositivo. È possibile ottenere le password del BIOS usando Microsoft Graph. Per testare le API Graph, è possibile usare Microsoft Graph Explorer.
Importante
Assicurarsi di eseguire il backup di tutte le password all'esterno di Intune. Se non si esegue il backup delle password all'esterno di Intune, tenere presente gli scenari seguenti:
- Se un dispositivo viene rimosso dalla gestione di Intune, gli amministratori possono comunque leggere le password del BIOS usando l'API HardwarePasswordInfo di Microsoft Graph.
- Se la sottoscrizione di Intune per il tenant termina, non è possibile leggere o recuperare le password del BIOS. In questo caso, l'unica opzione consiste nel contattare l'OEM.
Opzione 1: leggere la password del BIOS un dispositivo alla volta
Questa opzione ottiene le password del BIOS, un dispositivo alla volta.
Creare un ruolo controllo degli accessi in base al ruolo personalizzato di Intune con l'autorizzazione Lettura password BIOS :
Accedere almeno all'interfaccia di amministrazione di Intune come membro del ruolo predefinito Amministratore ruolo di Intune in Intune.
Per informazioni sui ruoli predefiniti di Intune, vedere:
SelezionareRuoli di>amministrazione> tenantCrea un nuovo ruolo.
Assegnare un nome al ruolo e selezionare Avanti.
In Autorizzazioni espandere Dispositivi> gestiti Imposta password bios di lettura su Sì.
Selezionare Avanti>Crea successivo>.
Accedere allo strumento Graph con questo ruolo controllo degli accessi in base al ruolo personalizzato e usare l'API HardwarePasswordInfo di Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Opzione 2: leggere la password del BIOS di tutti i dispositivi
Questa opzione ottiene un elenco di tutte le password del BIOS di tutti i dispositivi.
È necessario almeno il ruolo di amministratore di Intune in Microsoft Entra ID.
Accedere allo strumento Graph con questo ruolo e usare l'API HardwarePasswordInfo di Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Per informazioni sui ruoli predefiniti, passare a Ruoli predefiniti di Microsoft Entra.
Rimuovere la password di configurazione del BIOS
Se si prevede di interrompere la gestione del BIOS dei dispositivi o di rimuovere definitivamente i dispositivi dal tenant, è necessario rimuovere la password del BIOS.
Per rimuovere la password del BIOS, nei criteri di configurazione del BIOS di Intune impostare l'impostazione Disabilita la protezione password BIOS per dispositivo su Sì. Assegnare quindi i criteri. Quando il dispositivo esegue l'accesso con Intune, vengono applicati i criteri. Nel dispositivo è anche possibile sincronizzare manualmente il dispositivo con Intune per applicare i criteri.
Dopo l'applicazione dei criteri, riavviare il dispositivo.
La registrazione del dispositivo da Intune non rimuove la password del BIOS. Se si annulla la registrazione del dispositivo prima di disabilitare la password, è necessario aggiornare manualmente la password nel dispositivo.
Configurazione del BIOS e DFCI
Intune dispone di due funzionalità in grado di gestire le impostazioni del BIOS nei dispositivi Windows: configurazione del BIOS e altre impostazioni e Device Firmware Configuration Interface (DFCI).
Nella tabella seguente vengono confrontate queste opzioni.
Caratteristica | Configurazione del BIOS e altre impostazioni | DFCI |
---|---|---|
OEM supportati | Dell Forse più in futuro |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Per altre informazioni, vedere Scenari di Microsoft DFCI. |
Configurazioni supportate | Tutte le configurazioni disponibili nello strumento OEM | Un set di impostazioni per controllare le funzionalità di sicurezza, alcune funzionalità hardware, le opzioni di avvio, le porte e altro ancora |
Modalità di applicazione delle impostazioni | Intune recapita il file di configurazione quando vengono assegnati i criteri. L'agente OEM nel dispositivo applica la configurazione. | Tramite UEFI CSP usando il livello DFCI, isolato dal sistema operativo |
Blocca l'accesso al menu BIOS | Sì, tramite password BIOS | Sì, tramite certificati |
Configurazione durante Windows Autopilot | Nelle impostazioni della pagina stato registrazione (ESP) selezionare l'app Win32 OEM. | Intune registra automaticamente il dispositivo in DFCI mgmt. |
Creazione di report | Segnala se il file di configurazione è stato applicato. | Report granulare per ogni impostazione configurata. |
Tipo di criterio di Intune | Dispositivi>Gestire i dispositivi>Configurazione>Modelli>Configurazione del BIOS e altre impostazioni | Dispositivi>Gestire i dispositivi>Configurazione>Modelli>Interfaccia di configurazione del firmware del dispositivo |
Per informazioni su DFCI, vedere:
- Profili DFCI (Device Firmware Configuration Interface) nei dispositivi Windows in Microsoft Intune
- Scenari di Microsoft DFCI
- DFCI nei dispositivi Surface