DFCI-beheer (Device Firmware Configuration Interface)

• Van toepassing op:

  ✅ Windows 11, ✅ Windows 10

Met Windows Autopilot Deployment en Intune kunnen UEFI-instellingen (Unified Extensible Firmware Interface) worden beheerd nadat het apparaat is ingeschreven. UEFI-instellingen kunnen worden beheerd met behulp van de Device Firmware Configuration Interface (DFCI). Met DFCI kan Windows beheeropdrachten van Intune doorgeven aan UEFI voor door Autopilot geïmplementeerde apparaten. Met deze mogelijkheid kan de controle van eindgebruikers over BIOS-instellingen worden beperkt. De opstartopties kunnen bijvoorbeeld worden vergrendeld om te voorkomen dat gebruikers een ander besturingssysteem opstarten, zoals een besturingssysteem dat niet dezelfde beveiligingsfuncties heeft.

Als een gebruiker een eerdere Windows-versie opnieuw installeert, een afzonderlijk besturingssysteem installeert of de harde schijf formatteert, kan deze het DFCI-beheer niet overschrijven. Deze functie kan ook voorkomen dat malware communiceert met besturingssysteemprocessen, inclusief verhoogde besturingssysteemprocessen. De vertrouwensketen van DFCI maakt gebruik van cryptografie met openbare sleutels en is niet afhankelijk van lokale UEFI-wachtwoordbeveiliging. Deze beveiligingslaag voorkomt dat lokale gebruikers toegang hebben tot beheerde instellingen vanuit de UEFI-menu's van het apparaat.

Zie Inleiding tot device firmware configuration interface (DFCI) voor een overzicht van DFCI-voordelen, scenario's en vereisten.

Belangrijk

Een apparaat wordt automatisch ingeschreven in DFCI-beheer tijdens het inrichten van Autopilot wanneer de volgende acties worden uitgevoerd:

• De OEM schakelt het apparaat in voor DFCI.
• Het apparaat is geregistreerd voor Autopilot via de OEM of een Cloud Solution Partner (CSP) in partnercentrum.

Inschrijving in DFCI-beheer activeert een extra herstart tijdens de out-of-box experience (OOBE).

Levenscyclus van DFCI-beheer

De levenscyclus van DFCI-beheer omvat de volgende processen:

• UEFI-integratie.
• Apparaatregistratie.
• Profiel maken.
• Inschrijving.
• Beheer.
• Pensionering.
• Terugwinning.

Zie de volgende afbeelding:

Vereisten

• Er is een momenteel ondersteunde versie van Windows en een ondersteunde UEFI vereist.
• De fabrikant van het apparaat moet DFCI hebben toegevoegd aan hun UEFI-firmware in het productieproces, of als een firmware-update die kan worden geïnstalleerd. Neem contact op met de apparaatleveranciers om te bepalen welke fabrikanten DFCI ondersteunen of welke firmwareversie nodig is om DFCI te gebruiken.
• Het apparaat moet worden beheerd met Microsoft Intune. Zie Windows-apparaten inschrijven in Intune met Windows Autopilot voor meer informatie.
• Het apparaat moet voor Windows Autopilot zijn geregistreerd door een CSP-partner (Microsoft Cloud Solution Provider) of rechtstreeks door de OEM worden geregistreerd. Voor Surface-apparaten is ondersteuning voor Microsoft-registratie beschikbaar op Microsoft Devices Autopilot Support.

Belangrijk

Apparaten die handmatig zijn geregistreerd voor Autopilot (bijvoorbeeld door te importeren uit een CSV-bestand) mogen DFCI niet gebruiken. Standaard vereist DFCI-beheer een externe attestatie van de commerciële aankoop van het apparaat via een OEM- of Microsoft CSP-partnerregistratie bij Windows Autopilot. Wanneer het apparaat is geregistreerd, wordt het serienummer weergegeven in de lijst met Windows Autopilot-apparaten.

DFCI-profiel beheren met Windows Autopilot

Er zijn vier basisstappen voor het beheren van DFCI-profiel met Windows Autopilot:

1. Een Autopilot-profiel maken
2. Een profiel voor de pagina Status van de inschrijving maken
3. Een DFCI-profiel maken
4. De profielen toewijzen

Zie De profielen maken en De profielen toewijzen en opnieuw opstarten voor meer informatie.

De bestaande DFCI-instellingen kunnen ook worden gewijzigd op apparaten die in gebruik zijn. Wijzig in het bestaande DFCI-profiel de instellingen en sla de wijzigingen op. Omdat het profiel al is toegewezen, worden de nieuwe DFCI-instellingen van kracht wanneer het apparaat de volgende keer wordt gesynchroniseerd of het apparaat opnieuw wordt opgestart.

Om te bepalen of een apparaat gereed is voor DFCI, kan de volgende Intune Graph API-aanroep worden gebruikt:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Zie api-overzicht van Intune apparaten en apps enWerken met Intune in Microsoft Graph voor meer informatie.

OEM's die ondersteuning bieden voor DFCI

• Acer.
• Asus.
• Dynabook.
• Fujitsu.
• Microsoft Surface.
• Panasonic.
• VAIO.

Andere OEM's zijn in behandeling.

Bekende problemen

DFCI-inschrijving mislukt voor Professional-edities van Windows 11, versie 24H2

Datum toegevoegd: 9 oktober 2024

DFCI kan momenteel niet worden gebruikt op apparaten met Professional-edities van Windows 11 versie 24H2. Het probleem wordt onderzocht. Als tijdelijke oplossing moet u ervoor zorgen dat het apparaat tijdens of na OOBE-onboarding is bijgewerkt naar de Enterprise-editie van Windows 11, versie 24H2. Nadat u een upgrade hebt uitgevoerd naar de Enterprise-editie van Windows 11 versie 24H2, synchroniseert u het apparaat. Zodra het apparaat is gesynchroniseerd, start u het opnieuw op om het te registreren bij DFCI.

Verwante onderwerpen

• Microsoft DFCI-scenario's.
• Windows Autopilot- en Surface-apparaten.