Microsoft Intune で Windows デバイスのデバイスのファームウェア構成インターフェイス (DFCI) プロファイルを使用する

  • [アーティクル]

Intuneを使用して Windows Autopilot デバイスを管理する場合は、デバイス ファームウェア構成インターフェイス (DFCI) を使用して登録した後、UEFI (BIOS) 設定を管理できます。 利点、シナリオ、前提条件の概要については、「 DFCI の概要」を参照してください。

管理コマンドを Intune から UEFI (Unified Extensible Firmware Interface) に渡すことが、DFCI によって Windows で可能になります。

Intune では、この機能を使用して BIOS の設定を制御します。 通常、ファームウェアは悪意のある攻撃に対して高い回復性があります。 エンド ユーザーによる BIOS の制御が制限され、侵害された状況に適しています。

この機能は、以下に適用されます。

  • サポートされている UEFI での Windows 11
  • サポートされている UEFI での Windows 10 RS5 (1809) 以降

たとえば、セキュリティを確保した環境で Windows クライアント デバイスを使用して、カメラを無効にします。 ファームウェア レイヤーでカメラを無効にすることができるので、エンド ユーザーが何を行っても関係ありません。 OS を再インストールしたり、コンピューターをワイプしても、カメラが有効に戻ることはありません。 別の例としては、ユーザーが別の OS を起動したり、同じセキュリティ機能を持たない古いバージョンの Windows を起動したりできないように、ブート オプションをロックダウンします。

古いバージョンの Windows を再インストールしたり、別の OS をインストールしたり、ハード ドライブをフォーマットしたりしても、DFCI の管理をオーバーライドすることはできません。 この機能を使用すると、管理者特権の OS プロセスも含めて、マルウェアが OS プロセスと通信するのを防ぐことができます。 DFCI の信頼チェーンでは、公開キー暗号化が使用され、ローカルの UEFI (BIOS) パスワード セキュリティには依存しません。 このセキュリティ レイヤーでは、ローカル ユーザーがデバイスの UEFI (BIOS) メニューから管理された設定にアクセスするのがブロックされます。

ヒント

Dell デバイスの場合は、 BIOS 構成ポリシーを 作成できます。 詳細については、「Microsoft Intuneの Windows デバイスで BIOS 構成プロファイルを使用する」を参照してください。

はじめに

  • デバイスの製造元により、製造プロセスにおいて、またはユーザーがインストールするファームウェアの更新プログラムとして、UEFI ファームウェアに DFCI が追加されている必要があります。 デバイスのベンダーと協力して、DFCI をサポートしている製造元、または DFCI を使用するために必要なファームウェアのバージョンを確認します。

  • デバイスは、Microsoft クラウド ソリューション プロバイダー (CSP) パートナーによって Windows Autopilot 用に登録されているか、OEM によって直接登録されている必要があります。

    CSV ファイルからインポートするなど、Windows Autopilot に手動で登録されたデバイスは、DFCI を使用できません。 仕様により、DFCI の管理には、OEM または Microsoft CSP パートナーによる Windows Autopilot への登録により、デバイスの商用購入の外部構成証明が必要です。

    デバイスが登録されると、そのシリアル番号が Windows Autopilot デバイスの一覧に表示されます。

    要件など、Windows Autopilot の詳細については、「 Windows Autopilot 登録の概要」を参照してください。

Microsoft Entra セキュリティ グループを作成する

Windows Autopilot 展開プロファイルは、Microsoft Entraセキュリティ グループに割り当てられます。 必ず、DFCI でサポートされているデバイスが含まれるグループを作成してください。 DFCI デバイスの場合、ほとんどの組織ではユーザー グループではなくデバイス グループを作成できます。 次のようなシナリオを考えてみましょう。

  • 人事 (HR) には、さまざまな Windows デバイスがあります。 セキュリティ上の理由から、このグループ内のすべてのユーザーがデバイスのカメラを使用できないようにします。 このシナリオでは、HR セキュリティ ユーザー グループを作成し、デバイスの種類に関係なく、HR グループのユーザーにポリシーが適用されるようにすることができます。

  • 製造現場には、10 台のデバイスがあります。 すべてのデバイスで、USB デバイスからデバイスを起動できないようにします。 このシナリオでは、セキュリティ デバイス グループを作成し、10 台のデバイスをグループに追加することができます。

Intuneでのグループの作成の詳細については、「グループを追加してユーザーとデバイスを整理する」を参照してください。

プロファイルを作成する

DFCI を使用するには、次のプロファイルを作成し、グループにそれを割り当てます。

手順 1 - Windows Autopilot 展開プロファイルを作成する

このプロファイルは、新しいデバイスを設定して事前構成します。 次の記事に、プロファイルを作成する手順を示します。

手順 2 - 登録状態ページ プロファイルを作成する

このプロファイルにより、Windows のセットアップ中にデバイスが DFCI に対して検証されて、有効になります。 このプロファイルを使用して、すべてのアプリとプロファイルがインストールされるまで、デバイスの使用をブロックすることを強くお勧めします。

次の記事に、プロファイルを作成する手順を示します。

手順 3 - Intuneで DFCI プロファイルを作成する

このプロファイルには、構成する DFCI の設定が含まれています。

ヒント

DFCI プロファイルを構成および割り当てると、修復できないほどデバイスがロックされる可能性があります。 そのため、構成する値に注意してください。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス構成の作成] を>選択します>。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: [ テンプレート>] [デバイス ファームウェア構成インターフェイス] を選択します。

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は 、Windows デバイスの Windows - DFCI 設定です。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

    [次へ] を選択します。

  6. [構成設定] で、UEFI ファームウェアレイヤーで制御する設定を構成します。 すべての設定のリストとその機能については、次の URL にアクセスしてください。

    [次へ] を選択します。

  7. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。 [次へ] を選択します。

  8. [割り当て] で、プロファイルを受け取るユーザーまたはユーザー グループを選択します。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。 [次へ] を選択します。

  9. [確認と作成] で設定を確認し、[作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

ポリシーは、次に各デバイスがチェックインするときに適用されます。

プロファイルを割り当てて再起動する

DFCI デバイスを含むMicrosoft Entraセキュリティ グループにプロファイルを割り当ててください。 プロファイルは、作成時または後で割り当てることができます。

デバイスで Windows Autopilot が実行されると、DFCI によって登録ステータス ページの間に再起動が強制される場合があります。 この最初の再起動により、UEFI が Intune に登録されます。

デバイスが登録されていることを確認する場合は、デバイスをもう一度再起動することができますが、これは必須ではありません。 デバイスの製造元の指示に従って、UEFI メニューを開き、UFEI がマネージド状態になっていることを確認します。

次にデバイスが Intune と同期されたときに、Windows は DFCI 設定を受信します。 デバイスを再起動します。 この 3 回目の再起動は、UEFI が Windows から DFCI 設定を受信するために必要です。

既存の DFCI の設定を更新する

使用中のデバイスで、既存の DFCI の設定を変更することができます。 既存の DFCI プロファイルで、設定を変更し、変更を保存します。 プロファイルは既に割り当てられているため、新しい DFCI の設定は次の場合に有効になります。

  1. デバイスが Intune サービスでチェックインして、プロファイルの更新を確認します。 チェックインはさまざまなタイミングで行われます。 詳細については、 デバイスがポリシー、プロファイル、またはアプリの更新プログラムを取得するタイミングに関するページを参照してください。
  2. 強制的に新しい設定を適用するには、リモートまたはローカルでデバイスを再起動します。

また、チェックインするようデバイスに指示することもできます。 同期が成功したら、再起動するように指示します。

注:

DFCI プロファイルを削除するか、プロファイルに割り当てられているグループからデバイスを削除しても、DFCI の設定は削除されず、UEFI (BIOS) メニューが再び有効になることもありません。 DFCI の使用を停止する場合は、既存の DFCI プロファイルの設定を更新します。 手順の詳細については、この記事の 「デバイスを廃止する 」を参照してください。

競合

DFCI ポリシーを作成するときに、管理する [Windows DFCI 設定] を構成します。

一部の設定は、 [マイクやスピーカー] などの論理カテゴリにあります。 [マイク] などの細かい設定もあります。 これらの設定が競合する場合は、次のことが発生します。

  • 最初の同期試行では、きめ細かい設定 (マイク) が適用され、カテゴリ設定が非準拠 (マイクとスピーカー) です。

  • 最初の同期後に Intune サービスと同期するたびに、次の動作がループで発生します。

    • Intune は準拠していないため、カテゴリ設定 (マイクとスピーカー) を適用します。 きめ細かい設定 (マイク) が非準拠になります。
    • Intune は準拠していないため、細かな設定 (マイク) を適用します。 カテゴリ設定 (マイクとスピーカー) が非準拠になります。

このループ動作を回避するには、カテゴリ設定または詳細設定を構成します。

たとえば、Wi-Fi 無線のみを許可する場合などです。 このシナリオでは、次のことを行います。

  • カテゴリ [ラジオ (Bluetooth、Wi-Fi、NFC など)] の設定は [未構成] のままにします。
  • Wi-Fi ラジオ設定の場合は、[有効] に設定します。
  • その他のすべての詳細な無線設定を [無効] に設定します。

デバイスを再利用、インベントリから削除、または復旧する

再利用する

デバイスの用途を変更するために Windows をリセットする場合は、デバイスをワイプします。 Windows Autopilot デバイス レコードは削除 しないでください

デバイスをワイプした後、新しい DFCI プロファイルと Windows Autopilot プロファイルが割り当てられているグループにデバイスを移動します。 必ず、デバイスを再起動して Windows セットアップを再実行してください。

破棄

デバイスをインベントリから削除して管理から解放する準備ができたら、終了状態で使用する UEFI (BIOS) の設定に DFCI プロファイルを更新します。 通常は、すべての設定を有効にします。 例:

  1. Intune管理センターで、DFCI プロファイル (デバイス>構成) を開きます。
  2. [ローカル ユーザーが UEFI 設定を変更できるようにする][構成されていない設定のみ] に変更します。
  3. その他の設定はすべて、[未構成] に設定します。
  4. 設定内容を保存します。

これらの手順により、デバイスの UEFI (BIOS) メニューのロックが解除されます。 値はプロファイルと同じままになり (有効または無効)、OS の既定値には戻されません。

これで、デバイスをワイプする準備ができました。 デバイスがワイプされたら、Windows Autopilot レコードを削除します。 レコードを削除すると、再起動してもデバイスは自動的に再登録されません。

ヒント

DFCI 登録から Surface デバイスを削除するには、 DFCI 管理の削除に移動します。

復旧する

デバイスをワイプし、UEFI (BIOS) メニューのロックを解除する前に Windows Autopilot レコードを削除した場合、メニューはロックされたままになります。 Intune では、プロファイルの更新を送信してロックを解除することはできません。

デバイスのロックを解除するには、UEFI (BIOS) メニューを開き、ネットワークから管理を更新します。 復旧によってメニューのロックが解除されますが、UEFI (BIOS) 設定はすべて、前の Intune DFCI プロファイルの値に設定されたままになります。

エンド ユーザーへの影響

DFCI ポリシーが適用されると、ローカル ユーザーは、UEFI (BIOS) メニューがパスワードで保護されている場合でも、DFCI によって構成された設定を変更することはできません。 構成した設定によっては、ハードウェア コンポーネントが見つからない、または診断できないというエラーが、エンド ユーザーに表示されることがあります。 無効にされているオプションについて説明したドキュメントを、エンド ユーザーに提供してください。