Delen via


BIOS-configuratieprofielen gebruiken op Windows-apparaten in Microsoft Intune

In Intune kunt u een BIOS-configuratie en ander apparaatconfiguratiebeleid gebruiken om BIOS-functies en -instellingen in of uit te schakelen.

Met behulp van een OEM-hulpprogramma maakt u een BIOS-configuratiebestand waarmee de BIOS-functies worden geconfigureerd. Op de apparaten installeert u de OEM Win32-app die de configuratie leest. Vervolgens voegt u in het Bios-beleid van Intune het BIOS-configuratiebestand toe en wijst u het beleid toe aan uw apparaten.

Het configuratiebestand bevat doorgaans instellingen waarmee het apparaat en de ingebouwde hardware worden beveiligd.

U wilt bijvoorbeeld voorkomen dat eindgebruikers het apparaat opnieuw gebruiken en het Intune-beheer niet meer gebruiken. Voor deze taak maakt u een BIOS-configuratiebestand waarmee opstarten vanaf USB wordt uitgeschakeld. Vervolgens voegt u dit bestand toe aan het Intune-beleid en schakelt u een BIOS-wachtwoord in. Met deze stappen zorgt u ervoor dat de configuratie niet wordt overschreven.

Deze functie is van toepassing op:

  • Windows 11
  • Windows 10
  • Dell-apparaten

Dit artikel bevat meer informatie over het configuratiebestand en de Win32-app en laat zien hoe u de BIOS-configuratie en andere instellingen in Intune maakt.

Waarschuwing

Wijzigingen in de BIOS-configuratie kunnen van invloed zijn op de functionaliteit en de werking van het apparaat, waaronder de mogelijkheid om op te starten of toegang te krijgen tot met Bitlocker versleutelde stations. Met deze functie kunnen Intune-beheerders eenvoudig BIOS-configuraties op hun apparaten bijwerken. Wanneer u wijzigingen aanbrengt, test en implementeert u deze in fasen om de impact van onverwachte configuraties te minimaliseren.

Vereisten

  • Als u het Intune-beleid wilt configureren, meldt u zich minimaal aan bij het Intune-beheercentrum met de rol Beleids- en profielbeheerder . Ga naar voor informatie over de ingebouwde rollen in Intune en wat ze kunnen doen:

  • Deze functie ondersteunt apparaten die eigendom zijn van de organisatie die zijn ingeschreven bij Intune. Persoonlijke apparaten en apparaten die niet zijn ingeschreven bij Intune, worden niet ondersteund.

  • Zorg ervoor dat op de apparaten geen bestaand BIOS-wachtwoord is geconfigureerd. Voor deze functie moet Intune het BIOS-wachtwoord hebben. Als Intune het BIOS-wachtwoord van het apparaat niet heeft, kan de BIOS-configuratie niet worden bijgewerkt.

Stap 1: het configuratiebestand maken en de app implementeren

Deze sectie is gericht op het gebruik van het OEM-hulpprogramma om het configuratiebestand te maken en het implementeren van de OEM Win32-app op de apparaten.

  1. Maak het configuratiebestand met behulp van een OEM-hulpprogramma. Voeg in het bestand de functies toe en configureer deze die u wilt configureren. U kunt configuratie-instellingen toevoegen die door de OEM worden ondersteund.

    • Voor Dell kunt u het hulpprogramma Dell Command (hiermee opent u de website van Dell) gebruiken om het BIOS-configuratiebestand te maken.
  2. Wanneer u het configuratiebestand maakt, wordt er een coördinerende Win32-app geleverd door de OEM. Implementeer de OEM Win32-app op de apparaten. Deze app:

    • Fungeert als een agent die het configuratiebestand leest dat u maakt en de BIOS-wachtwoorden van de apparaten leest.
    • Moet op alle apparaten worden geïnstalleerd voordat u het Intune BIOS-configuratiebeleid toewijst.

    Voor Dell kunt u de app Dell Command (hiermee opent u de website van Dell) downloaden.

    Als u deze app op de apparaten wilt installeren, kunt u Intune gebruiken:

    • Voeg de app toe aan Intune en maak er een vereiste app van.
    • Wijs de app toe aan het groep- of toewijzingsfilter dat u in de volgende stap (in dit artikel) maakt.

    Ga naar Een Win32-app toevoegen, toewijzen en bewaken in Microsoft Intune voor informatie over Win32-apps in Intune.

Stap 2: een groep maken of een toewijzingsfilter gebruiken

Het wordt aanbevolen om dit beleid te richten op een specifieke set apparaten. Uw opties:

  • Optie 1 : maak een groep met de apparaten. Wanneer u het app-beleid en het BIOS-configuratiebeleid maakt, wijst u het beleid toe aan deze groep.
  • Optie 2 : gebruik een toewijzingsfilter op basis van de fabrikant van het apparaat. Wanneer u het filter maakt, richt u zich op de OEM-apparaten. Wanneer u het app- en BIOS-configuratiebeleid toewijst, voegt u dit filter toe.

Ga naar voor informatie over deze functies:

Stap 3: het BIOS-configuratiebeleid maken in Intune

Met dit beleid voegt u het configuratiebestand toe dat u in stap 1 hebt gemaakt met het OEM-hulpprogramma.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaten>Apparaten beheren>Configuratie>Maken>Nieuw beleid.

  3. Geef de volgende eigenschappen op:

    • Platform: selecteer Windows 10 en hoger.
    • Profieltype: Selecteer Sjablonen>BIOS-configuratie en andere instellingen.
  4. Selecteer Maken.

  5. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef je beleid een naam, zodat je ze later eenvoudig kunt identificeren. Een goede profielnaam is bijvoorbeeld bios-configuratiewachtwoord.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

    Selecteer Volgende.

  6. Configureer in Configuratie-instellingen de volgende instellingen:

    • Hardware: Selecteer de OEM-leverancier van uw hardware in een lijst met ondersteunde OEM's. Op dit moment wordt alleen Dell ondersteund.

    • BIOS-wachtwoordbeveiliging per apparaat uitschakelen: met deze instelling wordt het wachtwoord beheerd waarmee de BIOS-configuratie op het apparaat wordt beveiligd. Uw opties:

      • Nee: Intune genereert een uniek apparaatwachtwoord voor elk apparaat. Gebruikers moeten dit wachtwoord invoeren om de BIOS-configuratie op het apparaat te openen en bij te werken.
      • Ja: Er is geen wachtwoord dat het BIOS beveiligt. Eventuele eerdere wachtwoorden worden verwijderd. Eindgebruikers hebben toegang tot het BIOS en kunnen de BIOS-instellingen op het apparaat wijzigen.
    • Configuratiebestand: upload het configuratiebestand dat is gegenereerd met uw OEM-hulpprogramma.

      Voor Dell uploadt u het Dell Client Configuration Tool Kit-bestand (.cctk). De maximale bestandsgrootte is 2 MB.

    Selecteer Volgende.

  7. Selecteer in Toewijzingen de nieuwe apparaatgroep die u hebt gemaakt. Deze groep ontvangt uw profiel. Ga naar Gebruikers- en apparaatprofielen toewijzen voor informatie over het toewijzen van profielen.

    Selecteer Volgende.

  8. Controleer uw instellingen in Beoordelen en maken en selecteer Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

De volgende keer dat elk apparaat wordt ingecheckt, is het beleid van toepassing.

Uw beleid bewaken met ingebouwde rapporten

Nadat u in het Intune-beheercentrum een beleid hebt gemaakt, kunt u de status ervan controleren en eventuele fouten bekijken.

  1. Ga in het Intune-beheercentrum naar het tabblad Apparaten>Apparaten apparaten beheren>Configuratiebeleid>.
  2. Selecteer het beleid dat u wilt bewaken. In het rapport Apparaatstatus wordt de status van het beleid weergegeven en eventuele foutdetails voor het oplossen van problemen.

Ga voor meer informatie naar:

De BIOS-wachtwoorden ophalen

Intune slaat de BIOS-wachtwoorden voor elk apparaat op. U kunt de BIOS-wachtwoorden ophalen met Behulp van Microsoft Graph. Als u de Graph API's wilt testen, kunt u Microsoft Graph Explorer gebruiken.

Belangrijk

Zorg ervoor dat u een back-up maakt van alle wachtwoorden buiten Intune. Als u geen back-up maakt van de wachtwoorden buiten Intune, moet u rekening houden met de volgende scenario's:

  • Als een apparaat wordt verwijderd uit Intune-beheer, kunnen beheerders nog steeds BIOS-wachtwoorden lezen met behulp van de Microsoft Graph-hardwarePasswordInfo-API.
  • Als het Intune-abonnement voor uw tenant afloopt, kunt u BIOS-wachtwoorden niet lezen of ophalen. In dit geval kunt u alleen contact opnemen met uw OEM.

Optie 1: het BIOS-wachtwoord één apparaat tegelijk lezen

Met deze optie haalt u de BIOS-wachtwoorden op, één apparaat tegelijk.

  1. Maak een aangepaste Intune RBAC-rol met de machtiging Bios-wachtwoord lezen :

    1. Meld u minimaal aan bij het Intune-beheercentrum als lid van de ingebouwde Intune-rol Rolbeheerder .

      Ga naar voor informatie over de ingebouwde Intune-rollen:

    2. Selecteer TenantbeheerRollen>>Een nieuwe rol maken.

    3. Geef uw rol een naam en selecteer Volgende.

    4. Vouw in MachtigingenBeheerde apparaten> Wachtwoord voor bios lezen instellen op Ja uit.

    5. Selecteer Volgende>volgende>maken.

  2. Meld u aan bij uw Graph-hulpprogramma met deze aangepaste RBAC-rol en gebruik de Microsoft Graph hardwarePasswordInfo-API:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Optie 2: het BIOS-wachtwoord van alle apparaten lezen

Met deze optie wordt een lijst met alle BIOS-wachtwoorden van alle apparaten weergegeven.

  1. U hebt minimaal de rol Intune-beheerder nodig in Microsoft Entra ID.

  2. Meld u met deze rol aan bij uw Graph-hulpprogramma en gebruik de Microsoft Graph-hardwarePasswordInfo-API:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Ga naar Ingebouwde Rollen van Microsoft Entra voor informatie over de ingebouwde rollen.

BIOS-configuratiewachtwoord verwijderen

Als u van plan bent om het BIOS van uw apparaten niet meer te beheren of apparaten permanent uit uw tenant te verwijderen, moet u het BIOS-wachtwoord verwijderen.

Als u het BIOS-wachtwoord wilt verwijderen, stelt u in uw Intune BIOS-configuratiebeleid de instelling Bios-wachtwoordbeveiliging per apparaat uitschakelen in op Ja. Wijs vervolgens het beleid toe. Wanneer het apparaat wordt ingecheckt bij Intune, is het beleid van toepassing. Op het apparaat kunt u het apparaat ook handmatig synchroniseren met Intune om het beleid toe te passen.

Nadat het beleid van toepassing is, start u het apparaat opnieuw op.

Als u de registratie van het apparaat bij Intune ongedaan maakt, wordt het BIOS-wachtwoord niet verwijderd. Als u de registratie van het apparaat ongedaan wilt maken voordat u het wachtwoord uitschakelt, moet u het wachtwoord handmatig bijwerken op het apparaat.

BIOS-configuratie versus DFCI

Intune heeft twee functies waarmee de BIOS-instellingen op Windows-apparaten kunnen worden beheerd: BIOS-configuratie en andere instellingen en Device Firmware Configuration Interface (DFCI).

In de volgende tabel worden deze opties vergeleken.

Functie BIOS-configuratie en andere instellingen DFCI
Ondersteunde OEM's Dell

Mogelijk meer in de toekomst
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Ga naar Microsoft DFCI-scenario's voor meer informatie.
Ondersteunde configuraties Alle configuraties die beschikbaar zijn in uw OEM-hulpprogramma Een set instellingen voor het beheren van beveiligingsfuncties, sommige hardwarefuncties, opstartopties, poorten en meer
Hoe instellingen worden toegepast Intune levert het configuratiebestand wanneer het beleid wordt toegewezen. De OEM-agent op het apparaat past de configuratie toe. Via UEFI CSP met behulp van de DFCI-laag, die is geïsoleerd van het besturingssysteem
Toegang tot BIOS-menu blokkeren Ja, via BIOS-wachtwoorden Ja, via certificaten
Configuratie tijdens Windows Autopilot Selecteer in de instellingen van de inschrijvingsstatuspagina (ESP) de OEM Win32-app. Intune registreert het apparaat automatisch bij DFCI mgmt.
Rapportage Rapporteert of het configuratiebestand is toegepast. Gedetailleerd rapport voor elke instelling die u configureert.
Intune-beleidstype Apparaten>Apparaten beheren>Configuratie>Sjablonen>BIOS-configuratie en andere instellingen Apparaten>Apparaten beheren>Configuratie>Sjablonen>Configuratie-interface voor apparaatfirmware

Ga voor informatie over DFCI naar: