Utilizar perfis de configuração do BIOS em dispositivos Windows no Microsoft Intune

No Intune, pode utilizar uma configuração do BIOS e outras definições da política de configuração do dispositivo para ativar ou desativar as funcionalidades e definições do BIOS.

Com uma ferramenta OEM, pode criar um ficheiro de configuração bios que configura as funcionalidades do BIOS. Nos dispositivos, instala a aplicação OEM Win32 que lê a configuração. Em seguida, na política bios do Intune, adicione o ficheiro de configuração do BIOS e atribua a política aos seus dispositivos.

Normalmente, o ficheiro de configuração inclui definições que protegem o dispositivo e protegem o hardware incorporado.

Por exemplo, quer impedir que os utilizadores finais reimaginem o dispositivo e saiam da gestão do Intune. Para esta tarefa, vai criar um ficheiro de configuração do BIOS que desativa o arranque a partir de USB. Em seguida, adicione este ficheiro à política do Intune e ative uma palavra-passe do BIOS. Estes passos garantem que a configuração não é substituída.

Esse recurso aplica-se a:

• Windows 11
• Windows 10
• Dispositivos Dell

Este artigo inclui mais informações sobre o ficheiro de configuração e a aplicação Win32 e mostra-lhe como criar a configuração do BIOS e outras políticas de definições no Intune.

Aviso

As alterações de configuração do BIOS podem afetar a funcionalidade e a operabilidade do dispositivo, incluindo a capacidade de iniciar ou aceder a unidades encriptadas do Bitlocker. Esta funcionalidade permite que os administradores do Intune atualizem facilmente as configurações do BIOS nos respetivos dispositivos. Quando efetua alterações, teste e implemente em fases para minimizar o impacto de quaisquer configurações inesperadas.

Pré-requisitos

• Para configurar as políticas do Intune, no mínimo, inicie sessão no centro de administração do Intune com a função Gestor de Políticas e Perfis . Para obter informações sobre as funções incorporadas no Intune e sobre o que podem fazer, aceda a:

  • Controle de acesso baseado em função (RBAC) com Microsoft Intune
  • Permissões de função incorporadas para o Microsoft Intune

• Esta funcionalidade suporta dispositivos pertencentes à organização inscritos na MDM no Intune. Os dispositivos pessoais e os dispositivos não inscritos no Intune não são suportados.

• Certifique-se de que os dispositivos não têm uma palavra-passe do BIOS configurada. Esta funcionalidade requer que o Intune tenha a palavra-passe do BIOS. Se o Intune não tiver a palavra-passe do BIOS do dispositivo, não poderá atualizar a configuração do BIOS.

Passo 1 – Criar o ficheiro de configuração e implementar a aplicação

Esta secção centra-se na utilização da ferramenta OEM para criar o ficheiro de configuração e na implementação da aplicação OEM Win32 nos dispositivos.

1. Crie o ficheiro de configuração com uma ferramenta OEM. No ficheiro, adicione e configure as funcionalidades que pretende configurar. Pode adicionar quaisquer definições de configuração suportadas pelo OEM.

   • Para a Dell, pode utilizar a ferramenta Dell Command (abre o site da Dell) para criar o ficheiro de configuração do BIOS.

2. Quando cria o ficheiro de configuração, existe uma aplicação Win32 coordenada fornecida pelo OEM. Implemente a aplicação OEM Win32 nos dispositivos. Esta aplicação:

   • Atua como um agente que lê o ficheiro de configuração que cria e lê as palavras-passe do BIOS dos dispositivos.
   • Tem de estar instalado em todos os dispositivos antes de atribuir a política de configuração do BIOS do Intune.

   Para a Dell, pode transferir a aplicação Dell Command (abre o site da Dell).

   Para instalar esta aplicação nos dispositivos, pode utilizar o Intune:

   • Adicione a aplicação ao Intune e torne-a numa aplicação necessária.
   • Atribua a aplicação ao filtro de grupo ou atribuição que criar no passo seguinte (neste artigo).

   Para obter informações sobre as aplicações Win32 no Intune, aceda a Adicionar, atribuir e monitorizar uma aplicação Win32 no Microsoft Intune.

Passo 2 – Criar um grupo ou utilizar um filtro de atribuição

Recomenda-se que concentre esta política num conjunto específico de dispositivos. Suas opções:

• Opção 1 – crie um grupo que inclua os dispositivos. Quando cria a política de aplicações e a política de configuração do BIOS, atribui as políticas a este grupo.
• Opção 2 – utilize um filtro de atribuição com base no fabricante do dispositivo. Quando criar o filtro, direcione os dispositivos OEM. Quando atribuir a aplicação e as políticas de configuração do BIOS, adicione este filtro.

Para obter informações sobre estas funcionalidades, aceda a:

• Adicionar grupos para organizar usuários e dispositivos
• Use filtros ao atribuir seus aplicativos, políticas e perfis no Microsoft Intune

Passo 3 – Criar a política de configuração do BIOS no Intune

É nesta política que adiciona o ficheiro de configuração que criou no Passo 1 com a ferramenta OEM.

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

3. Insira as seguintes propriedades:

   • Plataforma: selecione Windows 10 e posteriores.
   • Tipo de perfil: selecione Configuração do BIOS de Modelos>e outras definições.

4. Selecionar Criar.

5. Em Noções básicas, insira as seguintes propriedades:

   • Nome: insira um nome descritivo para o perfil. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é palavra-passe de configuração do BIOS.
   • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

   Selecione Avançar.

6. Em Definições de configuração, defina as seguintes configurações:

   • Hardware: selecione o fornecedor OEM de hardware numa lista de OEMs suportados. Atualmente, apenas o Dell é suportado.

   • Desativar a proteção por palavra-passe do BIOS por dispositivo: esta definição gere a palavra-passe que protege a configuração do BIOS no dispositivo. Suas opções:

     • Não: o Intune gera uma palavra-passe de dispositivo exclusiva para cada dispositivo. Para aceder e atualizar a configuração do BIOS no dispositivo, os utilizadores têm de introduzir esta palavra-passe.
     • Sim: não existe uma palavra-passe a proteger o BIOS. Todas as palavras-passe anteriores são removidas. Os utilizadores finais podem aceder ao BIOS e alterar as definições do BIOS no dispositivo.

   • Ficheiro de configuração: carregue o ficheiro de configuração gerado com a ferramenta OEM.

     Para a Dell, carregue o ficheiro Dell Client Configuration Tool Kit (.cctk). O limite de tamanho do ficheiro é de 2 MB.

   Selecione Avançar.

7. Em Atribuições, selecione o novo grupo de dispositivos que criou. Este grupo recebe o seu perfil. Para obter informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

   Selecione Avançar.

8. Em Rever + criar, reveja as suas definições e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Da próxima vez que cada dispositivo iniciar sessão, a política aplica-se.

Monitorizar a política com relatórios incorporados

No centro de administração do Intune, depois de criar uma política, pode monitorizar o respetivo estado e ver erros.

1. No centro de administração do Intune, aceda ao separador Dispositivos>Gerir PolíticasdeConfiguração> deDispositivos>.
2. Selecione a política que pretende monitorizar. O relatório Estado do dispositivo mostra o estado da política e mostra os detalhes do erro para a resolução de problemas.

Para obter mais informações, confira:

• Monitorar políticas de configuração de dispositivos no Microsoft Intune
• Relatórios do Intune

Obter as palavras-passe do BIOS

O Intune armazena as palavras-passe do BIOS para cada dispositivo. Pode obter as palavras-passe do BIOS com o Microsoft Graph. Para testar as Graph APIs, pode utilizar o Explorador do Microsoft Graph.

Importante

Certifique-se de que faz uma cópia de segurança de todas as palavras-passe fora do Intune. Se não fizer uma cópia de segurança das palavras-passe fora do Intune, tenha em atenção os seguintes cenários:

• Se um dispositivo for removido da gestão do Intune, os administradores ainda podem ler palavras-passe do BIOS com a API Microsoft Graph hardwarePasswordInfo.
• Se a subscrição do Intune do seu inquilino terminar, não existe forma de ler ou obter palavras-passe do BIOS. Nesta situação, a sua única opção é contactar o seu OEM.

Opção 1 – Ler a palavra-passe do BIOS um dispositivo de cada vez

Esta opção obtém as palavras-passe do BIOS, um dispositivo de cada vez.

1. Crie uma função RBAC personalizada do Intune com a permissão Ler Palavra-passe do Bios :

   1. No mínimo, inicie sessão no centro de administração do Intune como membro da função incorporada administrador de funções do Intune no Intune.

      Para obter informações sobre as funções incorporadas do Intune, aceda a:

      • Controle de acesso baseado em função (RBAC) com Microsoft Intune
      • Permissões de função incorporadas para o Microsoft Intune

   2. SelecioneFunções> de administração> deinquilinos Criar uma nova função.

   3. Atribua um nome à sua função e selecione Seguinte.

   4. Em Permissões, expanda Dispositivos geridos> Defina Ler Palavra-passe de Bios como Sim.

   5. Selecione Próxima>Criação Seguinte>.

2. Inicie sessão na sua ferramenta Graph com esta função RBAC personalizada e utilize a API Microsoft Graph hardwarePasswordInfo:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opção 2 – Ler a palavra-passe do BIOS de todos os dispositivos

Esta opção obtém uma lista de todas as palavras-passe do BIOS de todos os dispositivos.

1. No mínimo, precisa da função de Administrador do Intune no ID do Microsoft Entra.

2. Inicie sessão na sua ferramenta Graph com esta função e utilize o hardware do Microsoft GraphPasswordInfo API:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Para obter informações sobre as funções incorporadas, aceda a Funções incorporadas do Microsoft Entra.

Remover palavra-passe de configuração do BIOS

Se estiver a planear deixar de gerir o BIOS dos seus dispositivos ou remover dispositivos permanentemente do seu inquilino, tem de remover a palavra-passe do BIOS.

Para remover a palavra-passe do BIOS, na política de configuração do BIOS do Intune, defina a definição Desativar proteção por palavra-passe do BIOS por dispositivo como Sim. Em seguida, atribua a política. Quando o dispositivo faz o check-in com o Intune, aplica-se a política. No dispositivo, também pode sincronizar manualmente o dispositivo com o Intune para aplicar a política.

Após a aplicação da política, reinicie o dispositivo.

Anular a inscrição do dispositivo no Intune não remove a palavra-passe do BIOS. Se anular a inscrição do dispositivo antes de desativar a palavra-passe, terá de atualizar a palavra-passe manualmente no dispositivo.

Configuração do BIOS vs. DFCI

O Intune tem duas funcionalidades que podem gerir as definições do BIOS em dispositivos Windows: configuração do BIOS e outras definições e Interface de Configuração de Firmware do Dispositivo (DFCI).

A tabela seguinte compara estas opções.

Recurso	Configuração do BIOS e outras definições	DFCI
OEMs suportados	Dell Possivelmente mais no futuro	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Para obter mais informações, aceda a Cenários MICROSOFT DFCI.
Configurações suportadas	Todas as configurações disponíveis na sua ferramenta OEM	Um conjunto de definições para controlar as funcionalidades de segurança, algumas funcionalidades de hardware, opções de arranque, portas e muito mais
Como as definições são aplicadas	O Intune fornece o ficheiro de configuração quando a política é atribuída. O agente OEM no dispositivo aplica a configuração.	Através do UEFI CSP com a camada DFCI, que está isolada do SO
Bloqueia o acesso ao menu BIOS	Sim, através de palavras-passe do BIOS	Sim, através de certificados
Configuração durante o Windows Autopilot	Nas definições da Página de Estado de Inscrição (ESP), selecione a aplicação OEM Win32.	O Intune inscreve automaticamente o dispositivo no mgmt DFCI.
Relatórios	Comunica se o ficheiro de configuração foi aplicado.	Relatório granular para cada definição que configurar.
Tipo de política do Intune	Dispositivos>Gerir dispositivos>Configuração>Modelos>Configuração do BIOS e outras definições	Dispositivos>Gerir dispositivos>Configuração>Modelos>Interface de Configuração de Firmware do Dispositivo

Para obter informações sobre o DFCI, aceda a:

• Perfis dfCI (Device Firmware Configuration Interface) em dispositivos Windows no Microsoft Intune
• Cenários do Microsoft DFCI
• DFCI em dispositivos Surface

Artigos relacionados

• Atribuir o perfil
• Monitorar o status do perfil