Gestione dell'interfaccia di configurazione del firmware del dispositivo (DFCI)

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Con Windows Autopilot Deployment e Intune, le impostazioni UEFI (Unified Extensible Firmware Interface) possono essere gestite dopo la registrazione del dispositivo. Le impostazioni UEFI possono essere gestite usando l'interfaccia DFCI (Device Firmware Configuration Interface). DFCI consente a Windows di passare i comandi di gestione da Intune a UEFI per i dispositivi distribuiti con Autopilot. Questa funzionalità consente di limitare il controllo dell'utente finale sulle impostazioni del BIOS. Ad esempio, le opzioni di avvio possono essere bloccate per impedire agli utenti di avviare un altro sistema operativo, ad esempio uno che non ha le stesse funzionalità di sicurezza.

Se un utente reinstalla una versione precedente di Windows, installa un sistema operativo separato o formatta il disco rigido, non può ignorare la gestione di DFCI. Questa funzionalità può anche impedire che il malware comunichi con i processi del sistema operativo, inclusi i processi del sistema operativo con privilegi elevati. La catena di trust di DFCI usa la crittografia a chiave pubblica e non dipende dalla sicurezza delle password UEFI locali. Questo livello di sicurezza impedisce agli utenti locali di accedere alle impostazioni gestite dai menu UEFI del dispositivo.

Per una panoramica dei vantaggi, degli scenari e dei requisiti di DFCI, vedere Introduzione a Device Firmware Configuration Interface (DFCI).

Importante

Un dispositivo si registra automaticamente nella gestione DFCI durante il provisioning di Autopilot quando si verificano le azioni seguenti:

• L'OEM abilita il dispositivo per DFCI.
• Il dispositivo viene registrato per Autopilot tramite l'OEM o un Cloud Solution Partner (CSP) nel Centro per i partner.

La registrazione nella gestione di DFCI attiva un riavvio aggiuntivo durante l'esperienza predefinita della configurazione guidata.

Ciclo di vita della gestione DFCI

Il ciclo di vita di gestione di DFCI include i processi seguenti:

• Integrazione UEFI.
• Registrazione del dispositivo.
• Creazione del profilo.
• Iscrizione.
• Gestione.
• Pensionamento.
• Guarigione.

Vedere la figura seguente:

Requisiti

• È necessaria una versione attualmente supportata di Windows e un UEFI supportato.
• Il produttore del dispositivo deve avere DFCI aggiunto al firmware UEFI nel processo di produzione o come aggiornamento del firmware che può essere installato. Collaborare con i fornitori di dispositivi per determinare i produttori che supportano DFCI o la versione del firmware necessaria per usare DFCI.
• Il dispositivo deve essere gestito con Microsoft Intune. Per altre informazioni, vedere Registrare i dispositivi Windows in Intune usando Windows Autopilot.
• Il dispositivo deve essere registrato per Windows Autopilot da un partner Microsoft Cloud Solution Provider (CSP) o registrato direttamente dall'OEM. Per i dispositivi Surface, il supporto per la registrazione Microsoft è disponibile nel supporto di Microsoft Devices Autopilot.

Importante

I dispositivi registrati manualmente per Autopilot (ad esempio importando da un file CSV) non possono usare DFCI. Per impostazione predefinita, la gestione DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un OEM o una registrazione di partner Microsoft CSP per Windows Autopilot. Quando il dispositivo è registrato, il relativo numero di serie viene visualizzato nell'elenco dei dispositivi Windows Autopilot.

Gestione del profilo DFCI con Windows Autopilot

La gestione del profilo DFCI con Windows Autopilot prevede quattro passaggi di base:

1. Creare un profilo Autopilot
2. Creare un profilo di pagina dello stato della registrazione
3. Creare un profilo DFCI
4. Assegnare i profili

Per informazioni dettagliate, vedere Creare i profilie assegnare i profili e riavviare .

Le impostazioni DFCI esistenti possono essere modificate anche nei dispositivi in uso. Nel profilo DFCI esistente modificare le impostazioni e salvare le modifiche. Poiché il profilo è già assegnato, le nuove impostazioni di DFCI diventano effettive alla successiva sincronizzazione del dispositivo o al riavvio del dispositivo.

Per identificare se un dispositivo è pronto per DFCI, è possibile usare la chiamata Intune API Graph seguente:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Per altre informazioni, vedere Panoramica dell'API Intune dispositivi e app e Uso di Intune in Microsoft Graph.

OEM che supportano DFCI

• Acer.
• Asus.
• Dynabook.
• Fujitsu.
• Microsoft Surface.
• Panasonic.
• VAIO.

Altri OEM sono in sospeso.

Problemi noti

La registrazione DFCI non riesce per le edizioni Professional di Windows 11 versione 24H2

Data aggiunta: 9 ottobre 2024

DFCI non può essere attualmente usato nei dispositivi con edizioni Professional di Windows 11 versione 24H2. Il problema è in fase di indagine. Come soluzione alternativa, assicurarsi che il dispositivo venga aggiornato all'edizione Enterprise di Windows 11 versione 24H2 durante o dopo l'onboarding di Configurazione guidata. Dopo l'aggiornamento all'edizione Enterprise di Windows 11 versione 24H2, sincronizzare il dispositivo. Dopo aver sincronizzato il dispositivo, riavviarlo per registrarlo in DFCI.

Contenuto correlato

• Scenari microsoft DFCI.
• Dispositivi Windows Autopilot e Surface.