デバイス ファームウェア構成インターフェイス (DFCI) 管理
この記事の内容
DFCI 管理ライフサイクル
要件
Windows Autopilot を使用した DFCI プロファイルの管理
DFCI をサポートする OEM
既知の問題
関連コンテンツ
さらに 2 個を表示
Windows Autopilot DeploymentとIntuneでは、デバイスの登録後に統合拡張ファームウェア インターフェイス (UEFI) 設定を管理できます。 UEFI 設定は、デバイス ファームウェア構成インターフェイス (DFCI) を使用して管理できます。 DFCI を使用すると、Windows は Autopilot で展開されたデバイスの管理コマンドをIntuneから UEFI に渡すことができます。 この機能により、エンド ユーザーによる BIOS 設定の制御を制限できます。 たとえば、ブート オプションをロックダウンして、ユーザーが別の OS (同じセキュリティ機能を持たない OS など) を起動できないようにすることができます。
ユーザーが以前のバージョンの Windows を再インストールしたり、別の OS をインストールしたり、ハード ドライブをフォーマットしたりした場合、DFCI 管理をオーバーライドすることはできません。 また、この機能により、管理者特権の OS プロセスを含む、マルウェアが OS プロセスと通信するのを防ぐことができます。 DFCI の信頼チェーンでは公開キー暗号化が使用され、ローカルの UEFI パスワード セキュリティには依存しません。 このセキュリティ層は、ローカル ユーザーがデバイスの UEFI メニューからマネージド設定にアクセスできないようにブロックします。
DFCI の利点、シナリオ、要件の概要については、「 デバイス ファームウェア構成インターフェイス (DFCI) の概要」 を参照してください。
重要
次のアクションが発生すると、デバイスは Autopilot プロビジョニング中に DFCI 管理に自動的に登録されます。
OEM は、DFCI のデバイスを有効にします。
デバイスは、OEM またはパートナー センターのクラウド ソリューション パートナー (CSP) を介して Autopilot に登録されます。
DFCI 管理に登録すると、すぐに使用できるエクスペリエンス (OOBE) 中に追加の再起動がトリガーされます。
DFCI 管理ライフサイクルには、次のプロセスが含まれています。
UEFI 統合。
デバイスの登録。
プロファイルの作成。
在籍。
管理。
退職。
回復。
次の図を参照してください。
重要
Autopilot に手動で登録されたデバイス ( CSV ファイルからのインポート など) では、DFCI の使用は許可されません。 仕様により、DFCI の管理には、OEM または Microsoft CSP パートナーによる Windows Autopilot への登録により、デバイスの商用購入の外部構成証明が必要です。 デバイスが登録されると、そのシリアル番号が Windows Autopilot デバイスの一覧に表示されます。
Windows Autopilot を使用した DFCI プロファイルの管理
Windows Autopilot を使用した DFCI プロファイルの管理には、次の 4 つの基本的な手順があります。
Autopilot プロファイルを作成する
登録状態ページ プロファイルを作成する
DFCI プロファイルを作成する
プロファイルを割り当てる
詳細については、 プロファイルの作成 と プロファイルの割り当て、再起動 に関するページを参照してください。
既存の DFCI 設定 は、使用中のデバイスでも変更できます。 既存の DFCI プロファイルで、設定を変更し、変更を保存します。 プロファイルは既に割り当てられているため、新しい DFCI 設定は、次回デバイスの同期またはデバイスの再起動時に有効になります。
デバイスが DFCI の準備ができているかどうかを識別するために、次のIntune Graph API呼び出しを使用できます。
managedDevice/deviceFirmwareConfigurationInterfaceManaged
詳細については、「Intune デバイスとアプリ API の概要」および 「Microsoft Graph でのIntuneの操作 」を参照してください。
他の OEM は保留中です。
Windows 11 バージョン 24H2 の Professional エディションで DFCI 登録が失敗する
追加日: 2024 年 10 月 9 日
DFCI は現在、Windows 11 バージョン 24H2 の Professional エディションのデバイスでは使用できません。 この問題は調査中です。 回避策として、OOBE オンボード中または OOBE オンボード後に、デバイスが Windows 11 バージョン 24H2 の Enterprise エディションにアップグレードされていることを確認します。 Windows 11 バージョン 24H2 の Enterprise エディションにアップグレードした後、デバイスを同期します。 デバイスが同期されたら、デバイスを再起動して DFCI に登録します。