Condividi tramite

Gestione dell'interfaccia di configurazione del firmware del dispositivo (DFCI)

Con la distribuzione di Windows Autopilot e Intune, le impostazioni UEFI (Unified Extensible Firmware Interface) possono essere gestite dopo la registrazione del dispositivo. Le impostazioni UEFI possono essere gestite usando l'interfaccia DFCI (Device Firmware Configuration Interface). DFCI consente a Windows di passare i comandi di gestione da Intune a UEFI per i dispositivi distribuiti con Autopilot. Questa funzionalità consente di limitare il controllo dell'utente finale sulle impostazioni del BIOS. Ad esempio, le opzioni di avvio possono essere bloccate per impedire agli utenti di avviare un altro sistema operativo, ad esempio uno che non ha le stesse funzionalità di sicurezza.

Se un utente reinstalla una versione precedente di Windows, installa un sistema operativo separato o formatta il disco rigido, non può ignorare la gestione di DFCI. Questa funzionalità può anche impedire che il malware comunichi con i processi del sistema operativo, inclusi i processi del sistema operativo con privilegi elevati. La catena di trust di DFCI usa la crittografia a chiave pubblica e non dipende dalla sicurezza delle password UEFI locali. Questo livello di sicurezza impedisce agli utenti locali di accedere alle impostazioni gestite dai menu UEFI del dispositivo.

Per una panoramica dei vantaggi, degli scenari e dei prerequisiti di DFCI, vedere Introduzione a Device Firmware Configuration Interface (DFCI).

Importante

Un dispositivo si registra automaticamente nella gestione DFCI durante il provisioning di Autopilot quando si verificano le azioni seguenti:

  • L'OEM abilita il dispositivo per DFCI.
  • Il dispositivo viene registrato per Autopilot tramite l'OEM o un Cloud Solution Partner (CSP) nel Centro per i partner.

La registrazione nella gestione di DFCI attiva un riavvio aggiuntivo durante l'esperienza predefinita della configurazione guidata.

Ciclo di vita della gestione DFCI

Il ciclo di vita di gestione di DFCI include i processi seguenti:

  • Integrazione UEFI.
  • Registrazione del dispositivo.
  • Creazione del profilo.
  • Iscrizione.
  • Gestione.
  • Pensionamento.
  • Guarigione.

Vedere la figura seguente:

Screenshot che mostra il flusso di lavoro gestione DFCI (Device Firmware Configuration Interface)

Requisiti

Importante

I dispositivi registrati manualmente per Autopilot (ad esempio importando da un file CSV) non possono usare DFCI. Per impostazione predefinita, la gestione DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un OEM o una registrazione di partner Microsoft CSP per Windows Autopilot. Quando il dispositivo è registrato, il relativo numero di serie viene visualizzato nell'elenco dei dispositivi Windows Autopilot.

Gestione del profilo DFCI con Windows Autopilot

La gestione del profilo DFCI con Windows Autopilot prevede quattro passaggi di base:

  1. Creare un profilo Autopilot
  2. Creare un profilo di pagina dello stato della registrazione
  3. Creare un profilo DFCI
  4. Assegnare i profili

Per informazioni dettagliate, vedere Creare i profilie assegnare i profili e riavviare .

Le impostazioni DFCI esistenti possono essere modificate anche nei dispositivi in uso. Nel profilo DFCI esistente modificare le impostazioni e salvare le modifiche. Poiché il profilo è già assegnato, le nuove impostazioni di DFCI diventano effettive alla successiva sincronizzazione del dispositivo o al riavvio del dispositivo.

Per identificare se un dispositivo è pronto per DFCI, è possibile usare la chiamata API Graph di Intune seguente:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Per altre informazioni, vedere Panoramica dell'API per dispositivi e app di Intune e Uso di Intune in Microsoft Graph .

OEM che supportano DFCI

Altri OEM sono in sospeso.

Contenuto correlato