デバイス ファームウェア構成インターフェイス (DFCI) 管理
Windows Autopilot DeploymentとIntuneでは、デバイスの登録後に統合拡張ファームウェア インターフェイス (UEFI) 設定を管理できます。 UEFI 設定は、デバイス ファームウェア構成インターフェイス (DFCI) を使用して管理できます。 DFCI を使用すると、Windows は Autopilot で展開されたデバイスの管理コマンドをIntuneから UEFI に渡すことができます。 この機能により、エンド ユーザーによる BIOS 設定の制御を制限できます。 たとえば、ブート オプションをロックダウンして、ユーザーが別の OS (同じセキュリティ機能を持たない OS など) を起動できないようにすることができます。
ユーザーが以前のバージョンの Windows を再インストールしたり、別の OS をインストールしたり、ハード ドライブをフォーマットしたりした場合、DFCI 管理をオーバーライドすることはできません。 また、この機能により、管理者特権の OS プロセスを含む、マルウェアが OS プロセスと通信するのを防ぐことができます。 DFCI の信頼チェーンでは公開キー暗号化が使用され、ローカルの UEFI パスワード セキュリティには依存しません。 このセキュリティ層は、ローカル ユーザーがデバイスの UEFI メニューからマネージド設定にアクセスできないようにブロックします。
DFCI の利点、シナリオ、要件の概要については、「 デバイス ファームウェア構成インターフェイス (DFCI) の概要」を参照してください。
重要
次のアクションが発生すると、デバイスは Autopilot プロビジョニング中に DFCI 管理に自動的に登録されます。
- OEM は、DFCI のデバイスを有効にします。
- デバイスは、OEM またはパートナー センターのクラウド ソリューション パートナー (CSP) を介して Autopilot に登録されます。
DFCI 管理に登録すると、すぐに使用できるエクスペリエンス (OOBE) 中に追加の再起動がトリガーされます。
DFCI 管理ライフサイクルには、次のプロセスが含まれています。
- UEFI 統合。
- デバイスの登録。
- プロファイルの作成。
- 在籍。
- 管理。
- 退職。
- 回復。
次の図を参照してください。
- 現在サポートされているバージョンの Windows とサポートされている UEFI が必要です。
- デバイスの製造元は、製造プロセスで DFCI を UEFI ファームウェアに追加するか、インストールできるファームウェア更新プログラムとして追加する必要があります。 デバイス ベンダーと協力して、 DFCI をサポートする製造元、または DFCI を使用するために必要なファームウェア バージョンを確認します。
- デバイスは、Microsoft Intuneで管理する必要があります。 詳細については、「Windows Autopilot を使用してIntuneに Windows デバイスを登録する」を参照してください。
- デバイスは、Microsoft クラウド ソリューション プロバイダー (CSP) パートナーによって Windows Autopilot 用に登録されているか、OEM によって直接登録されている必要があります。 Surface デバイスの場合、Microsoft 登録サポートは Microsoft Devices Autopilot サポートで利用できます。
重要
Autopilot に手動で登録されたデバイス ( CSV ファイルからのインポートなど) では、DFCI の使用は許可されません。 仕様により、DFCI の管理には、OEM または Microsoft CSP パートナーによる Windows Autopilot への登録により、デバイスの商用購入の外部構成証明が必要です。 デバイスが登録されると、そのシリアル番号が Windows Autopilot デバイスの一覧に表示されます。
Windows Autopilot を使用した DFCI プロファイルの管理には、次の 4 つの基本的な手順があります。
- Autopilot プロファイルを作成する
- 登録状態ページ プロファイルを作成する
- DFCI プロファイルを作成する
- プロファイルを割り当てる
詳細については、 プロファイルの作成 と プロファイルの割り当て、再起動 に関するページを参照してください。
既存の DFCI 設定 は、使用中のデバイスでも変更できます。 既存の DFCI プロファイルで、設定を変更し、変更を保存します。 プロファイルは既に割り当てられているため、新しい DFCI 設定は、次回デバイスの同期またはデバイスの再起動時に有効になります。
デバイスが DFCI の準備ができているかどうかを識別するために、次のIntune Graph API呼び出しを使用できます。
managedDevice/deviceFirmwareConfigurationInterfaceManaged
詳細については、「Intune デバイスとアプリ API の概要」および「Microsoft Graph でのIntuneの操作」を参照してください。
- エイサー。
- Asus。
- ダイナブック。
- 富士通。
- Microsoft Surface。
- パナソニック。
- VAIO。
- Samsung。
他の OEM は保留中です。
追加日: 2024 年 10 月 9 日
DFCI は現在、Windows 11 バージョン 24H2 の Professional エディションのデバイスでは使用できません。 この問題は調査中です。 回避策として、OOBE オンボード中または OOBE オンボード後に、デバイスが Windows 11 バージョン 24H2 の Enterprise エディションにアップグレードされていることを確認します。 Windows 11 バージョン 24H2 の Enterprise エディションにアップグレードした後、デバイスを同期します。 デバイスが同期されたら、デバイスを再起動して DFCI に登録します。