次の方法で共有

Microsoft Intune のデバイス ファームウェア構成インターフェイス (DFCI) プロファイル設定

  • [アーティクル]

この記事では、Windows クライアント デバイスで制御できる DFCI プロファイル設定の一覧と説明を示します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、Windows 上の UEFI レイヤーのセキュリティ機能、組み込みハードウェア、ブート オプションを制御します。

これらの設定は以下に適用されます:

  • サポートされている UEFI での Windows 11
  • サポートされている UEFI での Windows 10 RS5 (1809) 以降

これらの設定は、Intune のデバイス構成プロファイルに追加されてから、Windows クライアント デバイスに割り当てまたは展開されます。

開始する前に

警告

注意してください。 DFCI プロファイルを構成および割り当てると、修復できないほどデバイスがロックされる可能性があります。 DFCI プロファイル設定によってデバイス ハードウェアが変更され、OS を再イメージングして修正することはできません。

UEFI アクセス

  • ローカル ユーザーによる UEFI 設定の変更を許可する: オプション:
    • 未構成の設定のみ: ローカル ユーザーは、Intune で [有効] または [無効] に明示的に設定されている設定を除き、任意の設定を変更できます。
    • なし: ローカル ユーザーは、DFCI プロファイルに表示されていない設定を含め、UEFI (BIOS) 設定を変更できません。

セキュリティ機能

  • [CPU と IO の仮想化]: 次のようなオプションがあります。

    • [未構成]: Intune では、この設定は変更または更新されません。
    • [有効]: BIOS によって、プラットフォームの CPU と IO の仮想化機能が有効にされ、OS で使用できるようになります。 Windows の仮想化ベースのセキュリティと Device Guard のテクノロジが有効になります。

  • Windows プラットフォーム バイナリ テーブル (WPBT): WPBT を使用すると、ベンダーと OEM は UEFI レイヤーで .exe プログラムを実行できます。 Windows が起動するたびに、UEFI を確認し、 .exeを実行します。 この機能を使用して、Windows メディアに含まれていないプログラムを実行します。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS では、ベンダーと OEM が WPBT を使用してプログラムを実行できる場合があります。
    • 有効: WPBT を有効にし、UEFI レイヤー内のプログラム .exe 実行できるようにします。
    • 無効: WPBT を無効にし、UEFI レイヤー内 .exe プログラムが実行されないようにします。

  • 同時マルチスレッド (SMT): ハイパースレッディングとも呼ばれます。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。
    • 有効: UEFI レイヤーで SMT を有効にします。
    • 無効: UEFI レイヤーの SMT を無効にします。

カメラ

  • カメラ: この設定は、デバイスに組み込まれているすべてのハードウェア カメラを管理します。 USB Web カメラなどの接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのカメラが有効になる場合があります。
    • [有効]: UEFI (BIOS) によって直接管理されているすべての組み込みカメラが有効になります。 USB カメラのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みカメラが無効になります。 USB カメラのような周辺機器は影響を受けません。

  • フロント カメラ: この設定は、UEFI (BIOS) によって管理される組み込みのフロント 可視光カメラを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS では、組み込みのフロント 可視光カメラが有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みのフロント 可視光カメラが有効になります。 USB カメラのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みのフロント 可視光カメラが無効になります。 USB カメラのような周辺機器は影響を受けません。

  • リア カメラ: この設定は、UEFI (BIOS) によって管理される組み込みのリア 可視光カメラを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのリア カメラが有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みのリア可視光カメラが有効になります。 USB カメラのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みのリア可視光カメラが無効になります。 USB カメラのような周辺機器は影響を受けません。

  • 赤外線 (IR) カメラ: この設定は、UEFI (BIOS) によって管理される組み込みの赤外線カメラを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの赤外線カメラが有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みの赤外線カメラが有効になります。 USB カメラのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みの赤外線カメラが無効になります。 USB カメラのような周辺機器は影響を受けません。

マイクとスピーカー

マイクとスピーカーカテゴリの設定またはマイクの詳細な設定を構成することをお勧めします。 すべての設定を構成すると、これらの設定が競合する可能性があります。 詳細については、「 DFCI プロファイルの概要: 競合」を参照してください。

  • マイクとスピーカー: この設定は、デバイスに組み込まれているすべてのマイクとスピーカーを管理します。 USB デバイスなど、接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのマイクとスピーカーが有効になる場合があります。
    • [有効]: UEFI (BIOS) によって直接管理されているすべての組み込みのマイクとスピーカーが有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • [無効]: UEFI (BIOS) によって直接管理されているすべての組み込みのマイクとスピーカーが無効になります。 USB デバイスのような周辺機器は影響を受けません。

  • マイク: この設定は、UEFI (BIOS) によって管理される組み込みのマイクを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのマイクが有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みマイクが有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みマイクが無効になります。 USB デバイスのような周辺機器は影響を受けません。

ラジオ

ラジオ (Bluetooth、Wi-Fi、NFC など) カテゴリの設定、またはBluetoothWi-Fi などの詳細な設定を構成することをお勧めします。 すべての設定を構成すると、これらの設定が競合する可能性があります。 詳細については、「 DFCI プロファイルの概要: 競合」を参照してください。

  • 無線 (Bluetooth、Wi-Fi、NFC など): この設定は、UEFI (BIOS) によって管理されるすべての組み込み無線を管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によってすべての組み込み無線が有効になる場合があります。

    • [有効]: UEFI (BIOS) によって直接管理されているすべての組み込み無線機能が有効になります。 USB デバイスのような周辺機器は影響を受けません。

    • [無効]: UEFI (BIOS) によって直接管理されているすべての組み込み無線機能が無効になります。 USB デバイスのような周辺機器は影響を受けません。

      [無効] に設定されている場合、デバイスには有線ネットワーク接続が必要です。 それ以外の場合、デバイスは管理できません。

  • Bluetooth: この設定は、UEFI (BIOS) によって管理される組み込みのBluetooth無線を管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのBluetooth無線が有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みBluetooth無線が有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みBluetooth無線が無効になります。 USB デバイスのような周辺機器は影響を受けません。

  • WWAN: この設定は、UEFI (BIOS) によって管理される組み込みの WWAN 無線を管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの WWAN 無線が有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みの WWAN 無線が有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みの WWAN 無線が無効になります。 USB デバイスのような周辺機器は影響を受けません。

  • NFC: この設定は、UEFI (BIOS) によって管理される組み込みの NFC 無線を管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの NFC 無線が有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込みの NFC 無線が有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込みの NFC 無線が無効になります。 USB デバイスのような周辺機器は影響を受けません。

  • Wi-Fi: この設定は、UEFI (BIOS) によって管理される組み込みの Wi-Fi 無線を管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの Wi-Fi 無線が有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込み Wi-Fi 無線が有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込み Wi-Fi 無線が無効になります。 USB デバイスのような周辺機器は影響を受けません。

ブート オプション

警告

すべての外部ブート オプションまたはすべての外部ポートを無効にすると、OS の回復が大幅に複雑になります。 Windows を起動できなくなったデバイスを回復するには、デバイスを物理的に開き、ハードウェア ストレージを交換する必要がある場合があります。

  • [外部メディア (USB、SD) からのブート]: 次のようなオプションがあります。

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって外部メディアからの起動が許可される場合があります。

    • [有効]: UEFI (BIOS) で、ハード ドライブ以外のストレージから起動できます。

    • 無効: UEFI (BIOS) では、ハード ドライブ以外のストレージからの起動が禁止され、ネットワーク アダプターからの起動も無効になります。

      [無効] に設定する場合には、[ネットワーク アダプターからのブート] 設定を [有効] に設定しないでください。 これにより、[外部メディア (USB, SD) からのブート] 設定、または [ネットワーク アダプターからのブート] 設定が準拠しなくなります。

  • [ネットワーク アダプターからのブート]: 次のようなオプションがあります。

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みのネットワーク アダプターからの起動が許可される場合があります。
    • [有効]: UEFI (BIOS) で、組み込みネットワーク インターフェイスから起動できます。
    • 無効: UEFI (BIOS) では、組み込みのネットワーク インターフェイスを起動できません。

ポート

警告

すべての外部ブート オプションまたはすべての外部ポートを無効にすると、OS の回復が大幅に複雑になります。 Windows を起動できなくなったデバイスを回復するには、デバイスを物理的に開き、ハードウェア ストレージを交換する必要がある場合があります。

  • USB タイプ A: この設定は、UEFI (BIOS) によって管理される組み込みの USB タイプ A ポートを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの USB タイプ A ポートが有効になる場合があります。
    • 有効: すべての組み込み USB 型 UEFI (BIOS) によって直接管理されるポートが有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: すべての組み込み USB 型 UEFI (BIOS) によって直接管理されるポートが無効になります。 USB デバイスのような周辺機器は影響を受けません。

  • SD カード: この設定は、UEFI (BIOS) によって管理される組み込みの SD カード ポートを管理します。 接続されている周辺機器は管理されません。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS によって組み込みの SD カード ポートが有効になる場合があります。
    • 有効: UEFI (BIOS) によって直接管理されているすべての組み込み SD カード ポートが有効になります。 USB デバイスのような周辺機器は影響を受けません。
    • 無効: UEFI (BIOS) によって直接管理されているすべての組み込み SD カード ポートが無効になります。 USB デバイスのような周辺機器は影響を受けません。

ウェイク設定

  • [LAN でスリープ解除]: ネットワーク管理者が LAN を使用してスリープ モードでデバイスをリモートスリープ解除できます。

    次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS は LAN を使用してデバイスのスリープ解除を妨げる可能性があります。
    • 有効: UEFI (BIOS) を使用すると、LAN を使用してデバイスをスリープ解除できます。
    • 無効: UEFI (BIOS) は、LAN を使用してデバイスをスリープ解除することを防ぎます。

  • 電源のスリープ解除: デバイスが電源に接続されている場合、この設定は、対象となるデバイスを休止状態または電源オフ状態から自動的に開始できるかどうかを管理します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS は、電源に接続されているデバイスのスリープ解除を妨げる可能性があります。
    • 有効: UEFI (BIOS) を使用すると、電源に接続されているときにデバイスをスリープ解除できます。
    • 無効: UEFI (BIOS) は、電源に接続されているデバイスのスリープ解除を防ぎます。