Delen via

DFCI-beheer (Device Firmware Configuration Interface)

Met Windows Autopilot Deployment en Intune kunnen UEFI-instellingen (Unified Extensible Firmware Interface) worden beheerd nadat het apparaat is ingeschreven. UEFI-instellingen kunnen worden beheerd met behulp van de Device Firmware Configuration Interface (DFCI). Met DFCI kan Windows beheeropdrachten van Intune doorgeven aan UEFI voor door Autopilot geïmplementeerde apparaten. Met deze mogelijkheid kan de controle van eindgebruikers over BIOS-instellingen worden beperkt. De opstartopties kunnen bijvoorbeeld worden vergrendeld om te voorkomen dat gebruikers een ander besturingssysteem opstarten, zoals een besturingssysteem dat niet dezelfde beveiligingsfuncties heeft.

Als een gebruiker een eerdere Windows-versie opnieuw installeert, een afzonderlijk besturingssysteem installeert of de harde schijf formatteert, kan deze het DFCI-beheer niet overschrijven. Deze functie kan ook voorkomen dat malware communiceert met besturingssysteemprocessen, inclusief verhoogde besturingssysteemprocessen. De vertrouwensketen van DFCI maakt gebruik van cryptografie met openbare sleutels en is niet afhankelijk van lokale UEFI-wachtwoordbeveiliging. Deze beveiligingslaag voorkomt dat lokale gebruikers toegang hebben tot beheerde instellingen vanuit de UEFI-menu's van het apparaat.

Zie Inleiding tot device firmware configuration interface (DFCI) voor een overzicht van DFCI-voordelen, scenario's en vereisten.

Belangrijk

Een apparaat wordt automatisch ingeschreven in DFCI-beheer tijdens het inrichten van Autopilot wanneer de volgende acties worden uitgevoerd:

  • De OEM schakelt het apparaat in voor DFCI.
  • Het apparaat is geregistreerd voor Autopilot via de OEM of een Cloud Solution Partner (CSP) in partnercentrum.

Inschrijving in DFCI-beheer activeert een extra herstart tijdens de out-of-box experience (OOBE).

Levenscyclus van DFCI-beheer

De levenscyclus van DFCI-beheer omvat de volgende processen:

  • UEFI-integratie.
  • Apparaatregistratie.
  • Profiel maken.
  • Inschrijving.
  • Beheer.
  • Pensionering.
  • Terugwinning.

Zie de volgende afbeelding:

Schermopname van de DFCI-beheerwerkstroom (Device Firmware Configuration Interface)

Vereisten

Belangrijk

Apparaten die handmatig zijn geregistreerd voor Autopilot (bijvoorbeeld door te importeren uit een CSV-bestand) mogen DFCI niet gebruiken. Standaard vereist DFCI-beheer een externe attestatie van de commerciële aankoop van het apparaat via een OEM- of Microsoft CSP-partnerregistratie bij Windows Autopilot. Wanneer het apparaat is geregistreerd, wordt het serienummer weergegeven in de lijst met Windows Autopilot-apparaten.

DFCI-profiel beheren met Windows Autopilot

Er zijn vier basisstappen voor het beheren van DFCI-profiel met Windows Autopilot:

  1. Een Autopilot-profiel maken
  2. Een profiel voor de pagina Status van de inschrijving maken
  3. Een DFCI-profiel maken
  4. De profielen toewijzen

Zie De profielen maken en De profielen toewijzen en opnieuw opstarten voor meer informatie.

De bestaande DFCI-instellingen kunnen ook worden gewijzigd op apparaten die in gebruik zijn. Wijzig in het bestaande DFCI-profiel de instellingen en sla de wijzigingen op. Omdat het profiel al is toegewezen, worden de nieuwe DFCI-instellingen van kracht wanneer het apparaat de volgende keer wordt gesynchroniseerd of het apparaat opnieuw wordt opgestart.

Om te bepalen of een apparaat gereed is voor DFCI, kan de volgende Intune Graph API-aanroep worden gebruikt:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Zie Api-overzicht van Intune-apparaten en -apps enWerken met Intune in Microsoft Graph voor meer informatie.

OEM's die ondersteuning bieden voor DFCI

Andere OEM's zijn in behandeling.

Verwante onderwerpen