Używanie profilów konfiguracji systemu BIOS na urządzeniach z systemem Windows w usłudze Microsoft Intune

W usłudze Intune można użyć konfiguracji systemu BIOS i innych ustawień zasad konfiguracji urządzenia, aby włączyć lub wyłączyć funkcje i ustawienia systemu BIOS.

Za pomocą narzędzia OEM tworzysz plik konfiguracji systemu BIOS, który konfiguruje funkcje systemu BIOS. Na urządzeniach zainstalujesz aplikację OEM Win32, która odczytuje konfigurację. Następnie w zasadach systemu BIOS usługi Intune należy dodać plik konfiguracji systemu BIOS i przypisać zasady do urządzeń.

Plik konfiguracji zazwyczaj zawiera ustawienia, które zabezpieczają urządzenie i zabezpieczają jego wbudowany sprzęt.

Na przykład chcesz uniemożliwić użytkownikom końcowym ponowne obrazowanie urządzenia i wyjście z zarządzania usługą Intune. W tym zadaniu utworzysz plik konfiguracji systemu BIOS, który wyłącza rozruch z portu USB. Następnie należy dodać ten plik do zasad usługi Intune i włączyć hasło systemu BIOS. Te kroki upewnij się, że konfiguracja nie została zastąpiona.

Ta funkcja ma zastosowanie do:

• Windows 10 lub nowszy
• Urządzenia firmy Dell

Ten artykuł zawiera więcej informacji na temat pliku konfiguracji i aplikacji Win32 oraz pokazuje, jak utworzyć konfigurację systemu BIOS i inne zasady ustawień w usłudze Intune.

Ostrzeżenie

Zmiany konfiguracji systemu BIOS mogą mieć wpływ na funkcjonalność i funkcjonalność urządzenia, w tym możliwość rozruchu lub uzyskiwania dostępu do dysków zaszyfrowanych za pomocą funkcji Bitlocker. Ta funkcja umożliwia administratorom usługi Intune łatwe aktualizowanie konfiguracji systemu BIOS na swoich urządzeniach. Po wprowadzeniu zmian przetestuj i wdróż w fazach, aby zminimalizować wpływ nieoczekiwanych konfiguracji.

Wymagania wstępne

• Aby skonfigurować zasady usługi Intune, co najmniej zaloguj się do centrum administracyjnego usługi Intune przy użyciu roli Menedżer zasad i profilów . Aby uzyskać informacje na temat wbudowanych ról w usłudze Intune i ich możliwości, przejdź do:

  • Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune
  • Wbudowane uprawnienia roli dla usługi Microsoft Intune

• Ta funkcja obsługuje urządzenia należące do organizacji, które są zarejestrowane w usłudze Intune za pomocą rozwiązania MDM. Urządzenia osobiste i urządzenia niezarejestrowane w usłudze Intune nie są obsługiwane.

• Upewnij się, że urządzenia nie mają skonfigurowanego istniejącego hasła biosu. Ta funkcja wymaga, aby usługa Intune miała hasło systemu BIOS. Jeśli usługa Intune nie ma hasła biosu urządzenia, nie może zaktualizować konfiguracji systemu BIOS.

Krok 1. Tworzenie pliku konfiguracji i wdrażanie aplikacji

W tej sekcji skupiono się na użyciu narzędzia OEM do utworzenia pliku konfiguracji i wdrożeniu aplikacji OEM Win32 na urządzeniach.

1. Utwórz plik konfiguracji przy użyciu narzędzia OEM. W pliku dodaj i skonfiguruj funkcje, które chcesz skonfigurować. Możesz dodać dowolne ustawienia konfiguracji obsługiwane przez producenta OEM.

   • W przypadku firmy Dell możesz użyć narzędzia Dell Command (otwiera witrynę internetową firmy Dell) w celu utworzenia pliku konfiguracji systemu BIOS.

2. Podczas tworzenia pliku konfiguracji istnieje koordynowana aplikacja Win32 udostępniana przez producenta OEM. Wdróż aplikację OEM Win32 na urządzeniach. Ta aplikacja:

   • Działa jako agent, który odczytuje utworzony plik konfiguracji i odczytuje hasła biosu urządzeń.
   • Przed przypisaniem zasad konfiguracji systemu BIOS usługi Intune należy zainstalować na wszystkich urządzeniach.

   W przypadku firmy Dell możesz pobrać aplikację Dell Command (otwiera witrynę internetową firmy Dell).

   Aby zainstalować tę aplikację na urządzeniach, możesz użyć usługi Intune:

   • Dodaj aplikację do usługi Intune i ustaw ją jako wymaganą.
   • Przypisz aplikację do grupy lub filtru przypisania utworzonego w następnym kroku (w tym artykule).

   Aby uzyskać informacje na temat aplikacji Win32 w usłudze Intune, przejdź do tematu Dodawanie, przypisywanie i monitorowanie aplikacji Win32 w usłudze Microsoft Intune.

Krok 2. Tworzenie grupy lub używanie filtru przypisania

Zaleca się skoncentrowanie tych zasad na określonym zestawie urządzeń. Dostępne opcje:

• Opcja 1 — utwórz grupę zawierającą urządzenia. Podczas tworzenia zasad aplikacji i zasad konfiguracji systemu BIOS należy przypisać zasady do tej grupy.
• Opcja 2 — użyj filtru przypisania na podstawie producenta urządzenia. Podczas tworzenia filtru należy kierować elementy do urządzeń OEM. Po przypisaniu zasad konfiguracji aplikacji i systemu BIOS dodaj ten filtr.

Aby uzyskać informacje na temat tych funkcji, przejdź do:

• Dodawanie grup w celu organizowania użytkowników i urządzeń
• Używanie filtrów podczas przypisywania aplikacji, zasad i profilów w usłudze Microsoft Intune

Krok 3. Tworzenie zasad konfiguracji systemu BIOS w usłudze Intune

Te zasady umożliwiają dodanie pliku konfiguracji utworzonego w kroku 1 za pomocą narzędzia OEM.

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz pozycję Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz pozycję Windows 10 i nowsze.
   • Typ profilu: wybierz pozycjęKonfiguracja systemu BIOSszablonów> i inne ustawienia.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę zasadom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to hasło konfiguracji systemu BIOS.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

   Wybierz pozycję Dalej.

6. W obszarze Ustawienia konfiguracji skonfiguruj następujące ustawienia:

   • Sprzęt: wybierz dostawcę sprzętu OEM z listy obsługiwanych producentów OEM. Obecnie obsługiwana jest tylko firma Dell.

   • Wyłącz ochronę haseł systemu BIOS dla poszczególnych urządzeń: to ustawienie zarządza hasłem, które chroni konfigurację systemu BIOS na urządzeniu. Dostępne opcje:

     • Nie: usługa Intune generuje unikatowe hasło urządzenia dla każdego urządzenia. Aby uzyskać dostęp do konfiguracji systemu BIOS i zaktualizować ją na urządzeniu, użytkownicy muszą wprowadzić to hasło.
     • Tak: nie ma hasła chroniącego system BIOS. Wszystkie poprzednie hasła zostaną usunięte. Użytkownicy końcowi mogą uzyskiwać dostęp do systemu BIOS i zmieniać ustawienia systemu BIOS na urządzeniu.

   • Plik konfiguracji: przekaż plik konfiguracji wygenerowany za pomocą narzędzia OEM.

     W przypadku firmy Dell przekaż plik Dell Client Configuration Tool Kit (.cctk). Limit rozmiaru pliku wynosi 2 MB.

   Wybierz pozycję Dalej.

7. W obszarze Przypisania wybierz utworzoną nową grupę urządzeń. Ta grupa odbiera Twój profil. Aby uzyskać informacje na temat przypisywania profilów, przejdź do tematu Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

8. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia i wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Przy następnym zaewidencjonowanie każdego urządzenia zasady są stosowane.

Monitorowanie zasad za pomocą wbudowanych raportów

Po utworzeniu zasad w centrum administracyjnym usługi Intune można monitorować jego stan i wyświetlać błędy.

1. W centrum administracyjnym usługi Intune przejdź do karty Zarządzanie>urządzeniami>— zasadykonfiguracji>.
2. Wybierz zasady, które chcesz monitorować. Raport Stan urządzenia pokazuje stan zasad i zawiera wszystkie szczegóły błędu dotyczące rozwiązywania problemów.

Aby uzyskać więcej informacji, zobacz:

• Monitorowanie zasad konfiguracji urządzeń w usłudze Microsoft Intune
• Raporty usługi Intune

Pobieranie haseł systemu BIOS

Usługa Intune przechowuje hasła biosu dla każdego urządzenia. Hasła systemu BIOS można uzyskać przy użyciu programu Microsoft Graph. Aby przetestować interfejsy API programu Graph, możesz użyć Eksploratora programu Microsoft Graph.

Ważna

Upewnij się, że tworzysz kopię zapasową wszystkich haseł poza usługą Intune. Jeśli nie tworzysz kopii zapasowej haseł poza usługą Intune, pamiętaj o następujących scenariuszach:

• Jeśli urządzenie zostanie usunięte z zarządzania usługi Intune, administratorzy nadal będą mogli odczytywać hasła systemu BIOS przy użyciu interfejsu API Microsoft Graph hardwarePasswordInfo.
• Jeśli subskrypcja usługi Intune dla dzierżawy zakończy się, nie ma możliwości odczytywania ani pobierania haseł systemu BIOS. W takiej sytuacji jedyną opcją jest skontaktowanie się z producentem OEM.

Opcja 1 — odczytywanie hasła systemu BIOS po jednym urządzeniu naraz

Ta opcja pobiera hasła biosu, po jednym urządzeniu naraz.

1. Utwórz niestandardową rolę RBAC usługi Intune z uprawnieniem Odczytaj hasło biosu :

   1. Co najmniej zaloguj się do centrum administracyjnego usługi Intune jako członek wbudowanej roli administratora ról usługi Intune .

      Aby uzyskać informacje na temat wbudowanych ról usługi Intune, przejdź do:

      • Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune
      • Wbudowane uprawnienia roli dla usługi Microsoft Intune

   2. Wybierz pozycjęRole>administracji>dzierżawy Utwórz nową rolę.

   3. Nadaj swojej roli nazwę i wybierz pozycję Dalej.

   4. W obszarze Uprawnienia rozwiń pozycję Urządzenia> zarządzane Ustaw hasło odczytu biosu na Wartość Tak.

   5. Wybierz pozycję NextNext Create (Dalej>>utwórz).

2. Zaloguj się do narzędzia Graph przy użyciu tej niestandardowej roli RBAC i użyj interfejsu API Microsoft Graph HardwarePasswordInfo:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opcja 2 — odczytywanie hasła biosu dla wszystkich urządzeń

Ta opcja pobiera listę wszystkich haseł BIOS wszystkich urządzeń.

1. Co najmniej potrzebna jest rola administratora usługi Intune w identyfikatorze Microsoft Entra.

2. Zaloguj się do narzędzia Graph przy użyciu tej roli i użyj interfejsu API Microsoft Graph HardwarePasswordInfo:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Aby uzyskać informacje na temat wbudowanych ról, przejdź do wbudowanych ról usługi Microsoft Entra.

Usuwanie hasła konfiguracji systemu BIOS

Jeśli planujesz przestać zarządzać systemem BIOS urządzeń lub trwale usunąć urządzenia z dzierżawy, musisz usunąć hasło biosu.

Aby usunąć hasło systemu BIOS, w zasadach konfiguracji systemu BIOS usługi Intune ustaw ustawienie Wyłącz ochronę haseł biosu na urządzeniu na wartość Tak. Następnie przypisz zasady. Gdy urządzenie zaewidencjonuje w usłudze Intune, zasady mają zastosowanie. Na urządzeniu można również ręcznie zsynchronizować urządzenie z usługą Intune, aby zastosować zasady.

Po wprowadzeniu zasad uruchom ponownie urządzenie.

Wyrejestrowanie urządzenia z usługi Intune nie powoduje usunięcia hasła systemu BIOS. Jeśli wyrejestrujesz urządzenie przed wyłączeniem hasła, musisz ręcznie zaktualizować hasło na urządzeniu.

Konfiguracja systemu BIOS a interfejs DFCI

Usługa Intune ma dwie funkcje, które mogą zarządzać ustawieniami systemu BIOS na urządzeniach z systemem Windows: konfiguracja systemu BIOS i inne ustawienia oraz interfejs konfiguracji oprogramowania układowego urządzenia (DFCI).

Poniższa tabela porównuje te opcje.

Funkcja	Konfiguracja systemu BIOS i inne ustawienia	DFCI
Obsługiwane maszyny OEM	Dell Być może więcej w przyszłości	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Aby uzyskać więcej informacji, przejdź do obszaru Scenariusze DFCI firmy Microsoft.
Obsługiwane konfiguracje	Wszelkie konfiguracje dostępne w narzędziu OEM	Zestaw ustawień do sterowania funkcjami zabezpieczeń, niektórymi funkcjami sprzętowymi, opcjami rozruchu, portami i nie tylko
Sposób stosowania ustawień	Usługa Intune dostarcza plik konfiguracji po przypisaniu zasad. Agent OEM na urządzeniu stosuje konfigurację.	Za pośrednictwem dostawcy CSP uefi przy użyciu warstwy DFCI, która jest odizolowana od systemu operacyjnego
Blokuje dostęp do menu biosu	Tak, za pośrednictwem haseł systemu BIOS	Tak, za pośrednictwem certyfikatów
Konfiguracja podczas rozwiązania Windows Autopilot	W ustawieniach strony ze stanem rejestracji (ESP) wybierz aplikację OEM Win32.	Usługa Intune automatycznie rejestruje urządzenie w programie DFCI mgmt.
Raportowanie	Raportuje, czy plik konfiguracji został zastosowany.	Szczegółowy raport dla każdego skonfigurowanego ustawienia.
Typ zasad usługi Intune	Urządzeń>Zarządzanie urządzeniami>Konfiguracja>Szablony>Konfiguracja systemu BIOS i inne ustawienia	Urządzeń>Zarządzanie urządzeniami>Konfiguracja>Szablony>Interfejs konfiguracji oprogramowania układowego urządzenia

Aby uzyskać informacje na temat interfejsu DFCI, przejdź do:

• Profile interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) na urządzeniach z systemem Windows w usłudze Microsoft Intune
• Scenariusze interfejsu DFCI firmy Microsoft
• Interfejs DFCI na urządzeniach Surface

Artykuły pokrewne

• Przypisywanie profilu
• Monitorowanie stanu profilu