DFCI-profielinstellingen (Device Firmware Configuration Interface) in Microsoft Intune

In dit artikel worden de DFCI-profielinstellingen beschreven die u kunt beheren op Windows-clientapparaten. Als onderdeel van uw MDM-oplossing (Mobile Device Management) gebruikt u deze instellingen om beveiligingsfuncties, de ingebouwde hardware en de opstartopties in de UEFI-laag in Windows te beheren.

Deze instellingen zijn van toepassing op:

• Windows 11 op ondersteunde UEFI
• Windows 10 RS5 (1809) en hoger op ondersteunde UEFI

Deze instellingen worden toegevoegd aan een apparaatconfiguratieprofiel in Intune en vervolgens toegewezen aan of geïmplementeerd op uw Windows-clientapparaten.

Voordat u begint

• Maak het Windows DFCI-profiel. Er zijn meer vereisten voor het maken van DFCI-profielen. Ga voor meer specifieke informatie naar DFCI-profielen gebruiken op Windows-apparaten in Microsoft Intune.
• Sommige instellingen zijn niet voor alle apparaten beschikbaar. Als u wilt controleren of een instelling al dan niet beschikbaar is op uw apparaat, neemt u contact op met de fabrikant van uw apparaat.
• Deze instellingen gebruiken de UEFI-CSP.

Waarschuwing

Wees voorzichtig. Als u DFCI-profielen configureert en toewijst, kan het apparaat onherstelbaar worden vergrendeld. De DFCI-profielinstellingen wijzigen de hardware van het apparaat en kunnen niet worden opgelost door het besturingssysteem opnieuw in te stellen.

UEFI-toegang

• Lokale gebruiker toestaan UEFI-instellingen te wijzigen: Uw opties:
  • Alleen niet geconfigureerde instellingen: de lokale gebruiker kan elke instelling wijzigen , behalve deze instellingen die expliciet zijn ingesteld op In- of Uitschakelen door Intune.
  • Geen: de lokale gebruiker kan geen UEFI-instellingen (BIOS) wijzigen, inclusief instellingen die niet worden weergegeven in het DFCI-profiel.

Beveiligingsfuncties

• CPU- en IO-virtualisatie: uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
  • Ingeschakeld: Het BIOS schakelt de CPU- en IO-virtualisatiemogelijkheden van het platform in voor gebruik door het besturingssysteem. Hiermee worden op Windows Virtualization Gebaseerde beveiligings- en Device Guard-technologieën ingeschakeld.

• Windows Platform Binary Table (WPBT): Met de WPBT kunnen leveranciers en OEM's een .exe programma uitvoeren in de UEFI-laag. Telkens wanneer Windows wordt opgestart, wordt de UEFI bekeken en wordt de .exeuitgevoerd. Gebruik deze functie om programma's uit te voeren die niet zijn opgenomen in de Windows-media.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem leveranciers en OEM's toestaan om programma's uit te voeren met behulp van de WPBT.
  • Ingeschakeld: hiermee wordt de WPBT ingeschakeld en kunnen .exe programma's in de UEFI-laag worden uitgevoerd.
  • Uitgeschakeld: hiermee schakelt u de WPBT uit en voorkomt u dat .exe programma's in de UEFI-laag worden uitgevoerd.

• Gelijktijdige multithreading (SMT): ook wel hyperthreading genoemd. Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij.
  • Ingeschakeld: hiermee schakelt u SMT in de UEFI-laag in.
  • Uitgeschakeld: SMT in de UEFI-laag wordt uitgeschakeld.

Camera's

• Camera's: met deze instelling worden alle hardwarecamera's beheerd die in het apparaat zijn ingebouwd. Het beheert geen aangesloten randapparatuur, zoals USB-webcams.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde camera's inschakelen.
  • Ingeschakeld: alle ingebouwde camera's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde camera's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.

• Camera's aan de voorzijde: met deze instelling beheert u de ingebouwde camera's voor zichtbaar licht die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde zichtbare lichtcamera's aan de voorzijde inschakelen.
  • Ingeschakeld: alle ingebouwde zichtbare lichtcamera's aan de voorzijde die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.
  • Uitgeschakeld: Alle ingebouwde zichtbare lichtcamera's aan de voorzijde die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.

• Achtercamera's: met deze instelling worden de ingebouwde camera's met zichtbaar licht aan de achterzijde beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde camera's aan de achterzijde inschakelen.
  • Ingeschakeld: alle ingebouwde zichtbare lichtcamera's aan de achterzijde die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.
  • Uitgeschakeld: Alle ingebouwde zichtbare lichtcamera's aan de achterzijde die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.

• Infraroodcamera's (IR): met deze instelling beheert u de ingebouwde infraroodcamera's die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde infraroodcamera's inschakelen.
  • Ingeschakeld: alle ingebouwde infraroodcamera's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde infraroodcamera's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-camera's, worden niet beïnvloed.

Microfoons en luidsprekers

We raden u aan de categorie-instellingen voor microfoons en luidsprekersof de gedetailleerde instellingen voor microfoons te configureren. Als u alle instellingen configureert, kunnen deze instellingen een conflict veroorzaken. Ga voor meer informatie naar DFCI-profieloverzicht: Conflicten.

• Microfoons en luidsprekers: met deze instelling beheert u alle microfoons en luidsprekers die in het apparaat zijn ingebouwd. Het beheert geen aangesloten randapparatuur, zoals USB-apparaten.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde microfoons en luidsprekers inschakelen.
  • Ingeschakeld: alle ingebouwde microfoons en luidsprekers die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde microfoons en luidsprekers die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

• Microfoons: met deze instelling beheert u de ingebouwde microfoons die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde microfoons inschakelen.
  • Ingeschakeld: alle ingebouwde microfoons die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde microfoons die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

Radios

We raden u aan de categorie-instellingen voor Radio's (Bluetooth, Wi-Fi, NFC, enzovoort)of de gedetailleerde instellingen voor Bluetooth, Wi-Fi, enzovoort te configureren. Als u alle instellingen configureert, kunnen deze instellingen een conflict veroorzaken. Ga voor meer informatie naar DFCI-profieloverzicht: Conflicten.

• Radio's (Bluetooth, Wi-Fi, NFC, enz.): met deze instelling worden alle ingebouwde radio's beheerd die door UEFI (BIOS) worden beheerd. Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem alle ingebouwde radio's inschakelen.

  • Ingeschakeld: alle ingebouwde radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

  • Uitgeschakeld: alle ingebouwde radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

    Wanneer deze optie is ingesteld op Uitgeschakeld, is voor het apparaat een bekabelde netwerkverbinding vereist. Anders kan het apparaat onbeheersbaar zijn.

• Bluetooth: met deze instelling beheert u de ingebouwde Bluetooth-radio's die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde Bluetooth-radio's inschakelen.
  • Ingeschakeld: alle ingebouwde Bluetooth-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde Bluetooth-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

• WWAN: met deze instelling beheert u de ingebouwde WWAN-radio's die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde WWAN-radio's inschakelen.
  • Ingeschakeld: alle ingebouwde WWAN-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: Alle ingebouwde WWAN-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

• NFC: met deze instelling beheert u de ingebouwde NFC-radio's die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde NFC-radio's inschakelen.
  • Ingeschakeld: alle ingebouwde NFC-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: Alle ingebouwde NFC-radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

• Wi-Fi: met deze instelling beheert u de ingebouwde Wi-Fi radio's die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde Wi-Fi radio's inschakelen.
  • Ingeschakeld: alle ingebouwde Wi-Fi radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde Wi-Fi radio's die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

Opstartopties

Waarschuwing

Het uitschakelen van alle externe opstartopties of alle externe poorten bemoeilijkt het herstel van het besturingssysteem aanzienlijk. Als u een apparaat wilt herstellen dat Windows niet meer kan opstarten, moet u het apparaat mogelijk fysiek openen en de hardwareopslag vervangen.

• Opstarten vanaf externe media (USB, SD): Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard is het mogelijk dat het besturingssysteem opstarten vanaf externe media toestaat.

  • Ingeschakeld: UEFI (BIOS) staat opstarten toe vanaf niet-hardeschijfopslag.

  • Uitgeschakeld: UEFI (BIOS) voorkomt opstarten vanuit niet-hardeschijfopslag, waardoor ook opstarten vanaf netwerkadapters wordt uitgeschakeld.

    Wanneer deze optie is ingesteld op Uitgeschakeld, stelt u de instelling Opstarten vanaf netwerkadapters niet in op Ingeschakeld. Hierdoor wordt de instelling Opstarten vanaf externe media (USB, SD) of Opstarten vanaf netwerkadapters niet compatibel.

• Opstarten vanaf netwerkadapters: uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard is het mogelijk dat het besturingssysteem opstarten vanaf ingebouwde netwerkadapters toestaat.
  • Ingeschakeld: UEFI (BIOS) staat opstarten vanaf ingebouwde netwerkinterfaces toe.
  • Uitgeschakeld: UEFI (BIOS) voorkomt het opstarten van ingebouwde netwerkinterfaces.

Poorten

Waarschuwing

Het uitschakelen van alle externe opstartopties of alle externe poorten bemoeilijkt het herstel van het besturingssysteem aanzienlijk. Als u een apparaat wilt herstellen dat Windows niet meer kan opstarten, moet u het apparaat mogelijk fysiek openen en de hardwareopslag vervangen.

• USB-type A: met deze instelling worden de ingebouwde USB-poorten van het type A beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde USB-poorten van het type A inschakelen.
  • Ingeschakeld: Alle ingebouwde USB-poorten van het type A die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde USB-poorten van het type A die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

• SD-kaart: met deze instelling beheert u de ingebouwde SD-kaartpoorten die worden beheerd door UEFI (BIOS). Het beheert geen gekoppelde randapparatuur.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem de ingebouwde SD-kaartpoorten inschakelen.
  • Ingeschakeld: Alle ingebouwde SD-kaartpoorten die rechtstreeks worden beheerd door UEFI (BIOS) zijn ingeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.
  • Uitgeschakeld: alle ingebouwde SD-kaartpoorten die rechtstreeks worden beheerd door UEFI (BIOS) zijn uitgeschakeld. Randapparatuur, zoals USB-apparaten, worden niet beïnvloed.

Instellingen voor activeren

• Wake on LAN: Met Wake on LAN kan een netwerkbeheerder een apparaat in de slaapstand op afstand activeren met behulp van het LAN.

  Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem voorkomen dat een apparaat wordt geactiveerd met behulp van het LAN.
  • Ingeschakeld: UEFI (BIOS) maakt het mogelijk om een apparaat te laten ontwaken met behulp van het LAN.
  • Uitgeschakeld: UEFI (BIOS) voorkomt dat een apparaat via het LAN wordt geactiveerd.

• Sluimerstand: wanneer het apparaat is verbonden met een voedingsbron, wordt met deze instelling bepaald of in aanmerking komende apparaten automatisch kunnen worden gestart vanuit de sluimerstand of uitschakeling. Uw opties:

  • Niet geconfigureerd: Intune wijzigt of werkt deze instelling niet bij. Standaard kan het besturingssysteem voorkomen dat een apparaat wordt geactiveerd wanneer het is verbonden met een voedingsbron.
  • Ingeschakeld: UEFI (BIOS) maakt het mogelijk om een apparaat te laten ontwaken wanneer het is verbonden met een voedingsbron.
  • Uitgeschakeld: UEFI (BIOS) voorkomt dat een apparaat wordt geactiveerd wanneer het is verbonden met een voedingsbron.

Verwante artikelen

• Voor andere technische informatie over elke instelling en welke edities van Windows worden ondersteund, gaat u naar Windows 10/11 Beleids-CSP-verwijzing.

• Gebruik DFCI-profielen op Windows-apparaten in Microsoft Intune.

• Wijs het profiel toe en controleer de status ervan.