Zarządzanie interfejsem konfiguracji oprogramowania układowego urządzenia (DFCI)
Dotyczy:
- System Windows 11
- Windows 10
Dzięki Windows Autopilot Deployment i usłudze Intune można zarządzać ustawieniami interfejsu UEFI (Unified Extensible Firmware Interface) po ich zarejestrowaniu przy użyciu interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI). Interfejs DFCI umożliwia systemowi Windows przekazywanie poleceń zarządzania z usługi Intune do interfejsu UEFI dla urządzeń wdrożonych za pomocą rozwiązania Autopilot. Ta funkcja pozwala ograniczyć kontrolę użytkownika końcowego nad ustawieniami systemu BIOS. Można na przykład zablokować opcje rozruchu, aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego, takiego jak ten, który nie ma tych samych funkcji zabezpieczeń.
Jeśli użytkownik ponownie zainstaluje poprzednią wersję systemu Windows, zainstaluje oddzielny system operacyjny lub sformatuje dysk twardy, nie będzie mógł zastąpić zarządzania interfejsem DFCI. Ta funkcja może również uniemożliwiać złośliwemu oprogramowaniu komunikowanie się z procesami systemu operacyjnego, w tym z podwyższonym poziomem poziomu procesów systemu operacyjnego. Łańcuch zaufania interfejsu DFCI używa kryptografii klucza publicznego i nie zależy od lokalnych zabezpieczeń haseł UEFI. Ta warstwa zabezpieczeń blokuje użytkownikom lokalnym dostęp do ustawień zarządzanych z menu UEFI urządzenia.
Aby zapoznać się z omówieniem korzyści, scenariuszy i wymagań wstępnych DFCI, zobacz Wprowadzenie do interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI).
Ważna
Urządzenia włączone dla interfejsu DFCI przez producenta OEM i zarejestrowane dla rozwiązania Autopilot za pośrednictwem producenta OEM lub dostawcy CSP w Centrum partnerskim automatycznie rejestrują się w zarządzaniu interfejsem DFCI podczas aprowizacji rozwiązania Autopilot. Rejestracja w zarządzaniu interfejsem DFCI wyzwala dodatkowy ponowny rozruch podczas OOBE.
Cykl życia zarządzania interfejsem DFCI
Cykl życia zarządzania interfejsem DFCI obejmuje następujące procesy:
- Integracja interfejsu UEFI
- Rejestracja urządzenia
- Tworzenie profilu
- Rejestrowanie
- Zarządzanie
- Wycofanie
- Odzyskiwania
Zobacz poniższą ilustrację.
Wymagania
- Windows 10, wersja 1809 lub nowszym i wymagany jest obsługiwany interfejs UEFI.
- Producent urządzenia musi dodać interfejs DFCI do oprogramowania układowego UEFI w procesie produkcyjnym lub jako zainstalowaną aktualizację oprogramowania układowego. Skontaktuj się z dostawcami urządzeń, aby określić producentów, którzy obsługują interfejs DFCI, lub wersję oprogramowania układowego potrzebną do korzystania z interfejsu DFCI.
- Urządzenie musi być zarządzane przy użyciu Microsoft Intune. Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń z systemem Windows w usłudze Intune przy użyciu rozwiązania Windows Autopilot.
- Urządzenie musi być zarejestrowane w rozwiązaniu Windows Autopilot przez partnera programu Microsoft Cloud Solution Provider lub bezpośrednio przez producenta OEM. W przypadku urządzeń Surface pomoc techniczna dotycząca rejestracji firmy Microsoft jest dostępna w pomocy technicznej rozwiązania Autopilot dla urządzeń firmy Microsoft.
Ważna
Urządzenia ręcznie zarejestrowane dla rozwiązania Autopilot (na przykład przez zaimportowanie z pliku csv) nie mogą używać interfejsu DFCI. Zgodnie z projektem interfejsu DFCI, zarządzanie nim wymaga zewnętrznego zaświadczenia o komercyjnym pozyskaniu uzyskanym w ramach rejestracji producenta OEM lub partnera programu Microsoft CSP dla rozwiązania Windows Autopilot. Po zarejestrowaniu urządzenia jego numer seryjny jest wyświetlany na liście urządzeń z rozwiązaniem Windows Autopilot.
Zarządzanie profilem DFCI przy użyciu rozwiązania Windows Autopilot
Istnieją cztery podstawowe kroki zarządzania profilem DFCI za pomocą rozwiązania Windows Autopilot:
- Tworzenie profilu rozwiązania Autopilot
- Tworzenie profilu strony ze stanem rejestracji
- Tworzenie profilu DFCI
- Przypisywanie profilów
Aby uzyskać szczegółowe informacje, zobacz Tworzenie profilów i Przypisywanie profilów oraz ponowne uruchamianie .
Możesz również zmienić istniejące ustawienia interfejsu DFCI na urządzeniach, które są używane. W istniejącym profilu DFCI zmień ustawienia i zapisz zmiany. Ponieważ profil jest już przypisany, nowe ustawienia interfejsu DFCI wchodzą w życie po następnej synchronizacji urządzenia lub ponownym uruchomieniu urządzenia.
Aby określić, czy urządzenie jest gotowe do użycia z interfejsem DFCI, możesz użyć następującego wywołania interfejs Graph API usługi Intune:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Aby uzyskać więcej informacji, zobacz Omówienie interfejsu API urządzeń i aplikacji usługi Intune oraz Praca z usługą Intune w programie Microsoft Graph .
OEM obsługujące interfejs DFCI
- Acer
- Asus
- Dynabook
- Fujitsu
- Microsoft Surface
- Panasonic
Inne maszyny wirtualne są oczekujące.
Zobacz też
Scenariusze interfejsu DFCI firmy Microsoft
Urządzenia Windows Autopilot i Surface
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla