Usar perfis de configuração do BIOS em dispositivos Windows em Microsoft Intune

  • Artigo

Em Intune, você pode usar uma configuração do BIOS e outras configurações de política de configuração do dispositivo para habilitar ou desabilitar recursos e configurações do BIOS.

Usando uma ferramenta OEM, você cria um arquivo de configuração do BIOS que configura os recursos do BIOS. Nos dispositivos, você instala o aplicativo OEM Win32 que lê a configuração. Em seguida, na política de BIOS Intune, você adiciona o arquivo de configuração do BIOS e atribui a política aos seus dispositivos.

O arquivo de configuração normalmente inclui configurações que protegem o dispositivo e protegem seu hardware interno.

Por exemplo, você deseja impedir que os usuários finais reimaginem o dispositivo e saiam do gerenciamento de Intune. Para essa tarefa, você cria um arquivo de configuração do BIOS que desabilita a inicialização do USB. Em seguida, você adiciona esse arquivo à política Intune e habilita uma senha bios. Essas etapas garantem que a configuração não seja substituída.

Esse recurso aplica-se a:

  • Windows 10 e posterior
  • Dispositivos Dell

Este artigo inclui mais informações sobre o arquivo de configuração e o aplicativo Win32 e mostra como criar a configuração do BIOS e outras configurações na Intune.

Aviso

As alterações de configuração do BIOS podem afetar a funcionalidade e a operabilidade do dispositivo, incluindo a capacidade de inicializar ou acessar unidades criptografadas do Bitlocker. Esse recurso permite que Intune administradores atualizem facilmente as configurações do BIOS em seus dispositivos. Ao fazer alterações, teste e implante em fases para minimizar o impacto de qualquer configuração inesperada.

Pré-requisitos

  • Para configurar essa política, no mínimo, entre no centro de administração Intune com a função Gerenciador de Política e Perfil. Para obter mais informações sobre as funções internas no Intune, acesse Controle de acesso baseado em função com Microsoft Intune.

  • Esse recurso dá suporte a dispositivos de propriedade da organização que são MDM registrados no Intune. Não há suporte para dispositivos e dispositivos pessoais registrados em Intune.

  • Verifique se os dispositivos não têm uma senha bios existente configurada. Esse recurso requer que Intune tenha a senha do BIOS. Se Intune não tiver a senha BIOS do dispositivo, ele não poderá atualizar a configuração do BIOS.

Etapa 1 – Criar o arquivo de configuração e implantar o aplicativo

Esta seção se concentra em usar a ferramenta OEM para criar o arquivo de configuração e implantar o aplicativo OEM Win32 nos dispositivos.

  1. Crie o arquivo de configuração usando a ferramenta OEM. No arquivo, adicione e configure os recursos que você deseja configurar. Você pode adicionar todas as configurações compatíveis com o OEM.

    • Para a Dell, você pode usar a ferramenta Comando Dell (abre o site da Dell) para criar o arquivo de configuração do BIOS.

  2. Quando você cria o arquivo de configuração, há um aplicativo Win32 coordenado fornecido pelo OEM. Implante o aplicativo OEM Win32 nos dispositivos. Este aplicativo:

    • Atua como um agente que lê o arquivo de configuração que você cria e lê as senhas BIOS dos dispositivos.
    • Deve ser instalado em todos os dispositivos antes de atribuir a política de configuração do BIOS Intune.

    Para a Dell, você pode baixar o aplicativo Dell Command (abre o site da Dell).

    Para instalar esse aplicativo nos dispositivos, você pode usar Intune. Você adiciona o aplicativo a Intune e torna-o um aplicativo necessário. Em seguida, atribua o aplicativo ao grupo ou filtro de atribuição que você cria na Etapa 2 – Criar um grupo ou usar um filtro de atribuição (neste artigo).

    Para obter mais informações sobre aplicativos Win32 no Intune, acesse Adicionar, atribuir e monitorar um aplicativo Win32 em Microsoft Intune.

Etapa 2 – Criar um grupo ou usar um filtro de atribuição

É recomendável concentrar essa política em um conjunto específico de dispositivos. Suas opções:

  • Opção 1 – Criar um grupo que inclua os dispositivos. Ao criar a política de aplicativo e a política de configuração do BIOS, você atribui as políticas a esse grupo.
  • Opção 2 – Use um filtro de atribuição com base no fabricante do dispositivo. Ao criar o filtro, direcione os dispositivos OEM. Ao atribuir as políticas de configuração do aplicativo e do BIOS, adicione esse filtro.

Para obter mais informações sobre esses recursos, acesse:

Etapa 3 – Criar a política de configuração do BIOS no Intune

Essa política é onde você adiciona o arquivo de configuração que você criou.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConfiguração>de Dispositivos> Criar >Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Modelos>configuração BIOS e outras configurações.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é a senha de configuração do BIOS.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

    Selecione Avançar.

  6. Em Definições de configuração, defina as seguintes configurações:

    • Hardware: selecione seu fornecedor OEM de hardware em uma lista de OEMs com suporte. Atualmente, há suporte apenas para a Dell.

    • Desabilitar a proteção por senha do BIOS por dispositivo: essa configuração gerencia a senha que protege a configuração do BIOS no dispositivo. Suas opções:

      • Não: Intune gera uma senha de dispositivo exclusiva para cada dispositivo. Para acessar e atualizar a configuração do BIOS no dispositivo, os usuários devem inserir essa senha.
      • Sim: não há uma senha que proteja o BIOS. Todas as senhas anteriores são removidas. Os usuários finais podem acessar o BIOS e alterar as configurações do BIOS no dispositivo.

    • Arquivo de configuração: carregue o arquivo de configuração gerado com sua ferramenta OEM.

      Para a Dell, carregue o arquivo kit de ferramentas de configuração de cliente da Dell (.cctk). O limite de tamanho do arquivo é de 2 MB.

    Selecione Avançar.

  7. Em Atribuições, selecione o novo grupo de dispositivos que você criou. Esse grupo recebe seu perfil. Para obter mais informações sobre como atribuir perfis, acesse Atribuir perfis de usuário e dispositivo.

    Selecione Avançar.

  8. Em Examinar + criar, examine suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Na próxima vez que cada dispositivo fizer a verificação, a política se aplica.

Monitorar sua política com relatórios internos

No centro de administração Intune, depois de criar uma política, você pode monitorar sua status e ver quaisquer erros.

  1. No centro de administração Intune, acessePolíticas deConfiguração> de Dispositivos>.
  2. Selecione a política que você deseja monitorar. O relatório device status mostra o status da política e mostra todos os detalhes de erro para solução de problemas.

Para obter mais informações, confira:

Recuperar as senhas do BIOS

Intune armazena as senhas do BIOS para cada dispositivo. Você pode obter as senhas do BIOS usando o Microsoft Graph. Para testar as APIs do Graph, você pode usar o Microsoft Graph Explorer.

Importante

Faça backup de todas as senhas fora do Intune.

  • Se um dispositivo for removido do gerenciamento de Intune, os administradores ainda poderão ler senhas do BIOS usando a API do Microsoft Graph hardwarePasswordInfo.
  • Se a assinatura Intune para seu locatário terminar, não haverá como ler ou recuperar senhas do BIOS. Nessa situação, sua única opção é entrar em contato com seu OEM.

Opção 1 – Ler a senha do BIOS um dispositivo por vez

Essa opção obtém as senhas do BIOS, um dispositivo por vez.

  1. Criar uma função RBAC Intune personalizada com a permissão Senha de Leitura bios:

    1. No centro de administração Intune, selecioneFunções> de administração>de locatário Criar uma nova função.
    2. Nomeie sua função e selecione Avançar.
    3. Em Permissões, expanda Dispositivos gerenciados> Definir Senha de Leitura bios como Sim.
    4. Selecione Avançar>Criar>.

  2. Entre na ferramenta graph com essa função RBAC personalizada e use a API do Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opção 2 – Ler a senha do BIOS de todos os dispositivos

Essa opção obtém uma lista de todas as senhas do BIOS de todos os dispositivos.

  1. Você precisa da função Intune Administrador de Serviços ou da função de Administrador Global no Microsoft Entra ID.

  2. Entre na ferramenta graph com uma dessas funções e use a API do Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Para obter mais informações sobre funções RBAC, acesse RBAC (controle de acesso baseado em função) com Microsoft Intune.

Remover senha de configuração do BIOS

Se você estiver planejando parar de gerenciar o BIOS de seus dispositivos ou remover dispositivos permanentemente do seu locatário, você deverá remover a senha do BIOS.

Para remover a senha do BIOS, em seu Intune política de configuração do BIOS, defina a configuração de proteção de senha BIOS por dispositivo como Sim. Em seguida, atribua a política. Quando o dispositivo faz check-in com Intune, a política se aplica. No dispositivo, você também pode sincronizar manualmente o dispositivo com Intune para aplicar a política.

Após a aplicação da política, reinicialize o dispositivo.

Cancelar o registro do dispositivo de Intune não remove a senha do BIOS. Se você desativar o dispositivo antes de desabilitar a senha, precisará atualizar a senha manualmente no dispositivo.

Configuração do BIOS vs DFCI

Intune tem dois recursos que podem gerenciar as configurações do BIOS em dispositivos Windows: configuração do BIOS e outras configurações e DFCI (Interface de Configuração do Firmware de Dispositivo).

A tabela a seguir compara essas opções.

Recurso Configuração do BIOS e outras configurações DFCI
OEMs com suporte Dell

Possivelmente mais no futuro		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Para obter mais informações, acesse Cenários do Microsoft DFCI.
Configurações suportadas Todas as configurações disponíveis em sua ferramenta OEM Um conjunto de configurações para controlar recursos de segurança, alguns recursos de hardware, opções de inicialização, portas e muito mais
Como as configurações são aplicadas Intune entrega o arquivo de configuração quando a política é atribuída. O agente OEM no dispositivo aplica a configuração. Por meio do CSP da UEFI usando a camada DFCI, que é isolada do sistema operacional
Bloqueia o acesso ao menu BIOS Sim, por meio de senhas do BIOS Sim, por meio de certificados
Configuração durante o Windows Autopilot Nas configurações esp (Página de Status de Registro), selecione o aplicativo OEM Win32. Intune registra automaticamente o dispositivo no DFCI mgmt.
Relatórios Relata se o arquivo de configuração foi aplicado. Relatório granular para cada configuração que você configurar.
Tipo de política do Intune Dispositivos>Configuração>Modelos>Configuração do BIOS e outras configurações Dispositivos>Configuração>Modelos>Interface de Configuração do Firmware do Dispositivo

Para obter mais informações sobre o DFCI, acesse: