デバイス ファームウェア構成インターフェイス (DFCI) 管理

  • [アーティクル]

適用対象:

  • Windows 11
  • Windows 10

Windows Autopilot DeploymentとIntuneを使用すると、デバイス ファームウェア構成インターフェイス (DFCI) を使用して、統合拡張ファームウェア インターフェイス (UEFI) 設定を登録した後で管理できます。 DFCI を使用すると、Windows は Autopilot で展開されたデバイスの管理コマンドをIntuneから UEFI に渡すことができます。 この機能を使用すると、エンド ユーザーによる BIOS 設定の制御を制限できます。 たとえば、ブート オプションをロックダウンして、ユーザーが別の OS (同じセキュリティ機能を持たない OS など) を起動できないようにすることができます。

ユーザーが以前のバージョンの Windows を再インストールしたり、別の OS をインストールしたり、ハード ドライブをフォーマットしたりした場合、DFCI 管理をオーバーライドすることはできません。 また、この機能により、管理者特権の OS プロセスを含む、マルウェアが OS プロセスと通信するのを防ぐことができます。 DFCI の信頼チェーンでは公開キー暗号化が使用され、ローカルの UEFI パスワード セキュリティには依存しません。 このセキュリティ層は、ローカル ユーザーがデバイスの UEFI メニューからマネージド設定にアクセスできないようにブロックします。

DFCI の利点、シナリオ、および前提条件の概要については、「 デバイス ファームウェア構成インターフェイス (DFCI) の概要」を参照してください。

重要

OEM によって DFCI に対して有効になり、パートナー センターの OEM または CSP を介して Autopilot に登録されたデバイスは、Autopilot プロビジョニング中に DFCI 管理に自動的に登録されます。 DFCI 管理に登録すると、OOBE 中に追加の再起動がトリガーされます。

DFCI 管理ライフサイクル

DFCI 管理ライフサイクルには、次のプロセスが含まれています。

  • UEFI 統合
  • デバイスの登録
  • プロファイルの作成
  • 登録
  • 管理
  • 退職
  • 回復

次の図を参照してください。

ライフサイクル

要件

重要

Autopilot に手動で登録されたデバイス ( csv ファイルからのインポートなど) では、DFCI を使用できません。 仕様により、DFCI の管理には、OEM または Microsoft CSP パートナーによる Windows Autopilot への登録により、デバイスの商用購入の外部構成証明が必要です。 デバイスが登録されると、そのシリアル番号が Windows Autopilot デバイスの一覧に表示されます。

Windows Autopilot を使用した DFCI プロファイルの管理

Windows Autopilot を使用した DFCI プロファイルの管理には、次の 4 つの基本的な手順があります。

  1. Autopilot プロファイルを作成する
  2. 登録状態ページ プロファイルを作成する
  3. DFCI プロファイルを作成する
  4. プロファイルを割り当てる

詳細については、 プロファイルの作成プロファイルの割り当て、再起動 に関するページを参照してください。

使用中のデバイス上の 既存の DFCI 設定を変更 することもできます。 既存の DFCI プロファイルで、設定を変更し、変更を保存します。 プロファイルは既に割り当てられているため、新しい DFCI 設定は、次回デバイスの同期またはデバイスの再起動時に有効になります。

DFCI をサポートする OEM

他の OEM は保留中です。

関連項目

Microsoft DFCI シナリオ
Windows Autopilot と Surface デバイス