Gerenciar DFCI em dispositivos Surface

Introdução

Com perfis de DFCI (Interface de Configuração de Firmware de Dispositivo) integrados a Microsoft Intune, o gerenciamento do Surface UEFI estende a pilha de gerenciamento moderna até o nível de hardware UEFI (Unified Extensible Firmware Interface). O DFCI dá suporte ao provisionamento de toque zero, elimina senhas do BIOS, fornece controle de configurações de segurança, incluindo opções de inicialização e periféricos internos e estabelece as bases para cenários avançados de segurança no futuro. Esta página lista todas as configurações de política do DFCI em dispositivos Surface qualificados implantados pelo Autopilot.

Projetado para ser usado com o MDM (gerenciamento de dispositivo móvel) no nível do software, o DFCI permite que os administradores de TI desabilitem remotamente componentes de hardware específicos e impeçam que os usuários finais os acessem. Por exemplo, se você precisar proteger informações confidenciais em áreas altamente seguras, poderá desabilitar a câmera e, se não quiser que os usuários inicializem de unidades USB, também poderá desabilitar isso.

Dica

O suporte para algumas configurações de política dfci varia de acordo com o dispositivo. Examine a referência de configurações de política do DFCI nesta página e siga Intune instruções para configurar e implantar configurações em seus dispositivos.

Pré-requisitos

Observação

Dispositivos registrados manualmente ou auto-registrados para o Autopilot, como importados de um arquivo CSV, não têm permissão para usar o DFCI. Por design, o gerenciamento do DFCI requer atestado externo da aquisição comercial do dispositivo por meio de um parceiro do Microsoft CSP ou registro do Surface.

Referência de configurações de política do DFCI para dispositivos Surface

Dispositivos qualificados

  • Surface Pro 9 (somente SKUs comerciais)
  • Surface Pro 9 com 5G (somente SKUs comerciais)
  • Surface Pro 8 (somente SKUs comerciais)
  • Surface Pro 7+ (somente SKUs comerciais)
  • Surface Pro 7 (todas as SKUs)
  • Surface Pro X (todas as SKUs)
  • Surface Laptop Studio (todas as gerações, somente SKUs comerciais)
  • Surface Laptop 5 (somente SKUs comerciais)
  • Surface Laptop 4 (somente SKUs comerciais)
  • Surface Laptop 3 (somente processadores Intel)
  • Surface Laptop Go
  • Surface Laptop Go 2 (somente SKUs comerciais)
  • Surface Laptop Go 3 (somente SKUs comerciais)
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (somente SKUs comerciais)
  • Surface Go 4 (somente SKUs comerciais)
  • Surface Studio 2+

Observação

Surface Pro X não dá suporte ao gerenciamento de configurações do DFCI para câmera interna, áudio e Wi-Fi/Bluetooth. Algumas configurações mais recentes só têm suporte nos dispositivos mais recentes.

Tabela 1. Referência de configurações de política do DFCI: dispositivos Surface implantados pelo Autopilot

Configuração DFCI Descrição Compatível em
Acesso UEFI
Permitir que o usuário local altere as configurações do UEFI (BIOS) Essa configuração permite gerenciar se os usuários finais podem modificar as configurações uefi em dispositivos qualificados.

- Se você selecionar Somente configurações não configuradas, os usuários locais (também conhecidos como usuários finais) poderão alterar qualquer configuração UEFI, exceto as configurações que você habilitou ou desabilitou explicitamente por meio de Intune.
- Se você selecionar Nenhum, os usuários locais podem não alterar as configurações da UEFI, incluindo configurações não mostradas no perfil DFCI.
Todos os dispositivos qualificados
Configurações de segurança
Multithreading simultâneo Essa configuração permite gerenciar se o suporte simultâneo de SMT (multithreading) está habilitado em dispositivos qualificados. O SMT dá suporte à tecnologia intel de hiperthreading, que fornece dois processadores lógicos para cada núcleo físico.

- Se você habilitar essa configuração, o SMT será ativado na camada UEFI.
- Se você desabilitar essa configuração, o SMT será desativado na camada UEFI.
- Se você não configurar essa configuração, o SMT estará habilitado.
Todos os dispositivos qualificados
Câmeras
Câmeras Essa configuração permite gerenciar se a câmera interna pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todas as câmeras internas serão permitidas. Periféricos, como câmeras USB, não são afetados.
- Se você desabilitar essa configuração, todas as câmeras internas serão desabilitadas. Periféricos, como câmeras USB, não são afetados.
- Se você não configurar essa configuração, todas as câmeras internas estarão habilitadas.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Câmera Frontal Essa configuração permite gerenciar se a câmera Frontal pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, a câmera frontal será permitida. Periféricos, como câmeras USB, não são afetados.
- Se você desabilitar essa configuração, a câmera Frontal será desabilitada. Periféricos, como câmeras USB, não são afetados.
- Se você não configurar essa configuração, a câmera Frontal estará habilitada.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Câmera Traseira Essa configuração permite gerenciar se a câmera traseira pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, a câmera traseira será permitida. Periféricos, como câmeras USB, não são afetados.
- Se você desabilitar essa configuração, a câmera traseira será desabilitada. Periféricos, como câmeras USB, não são afetados.
- Se você não configurar essa configuração, a câmera traseira será permitida.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Câmera de infravermelho (IV) Essa configuração permite gerenciar se a câmera Infravermelha pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, a câmera infravermelha será permitida. Periféricos, como câmeras USB, não são afetados.
- Se você desabilitar essa configuração, a câmera infravermelha será desabilitada. Periféricos, como câmeras USB, não são afetados.
- Se você não configurar essa configuração, a câmera infravermelha será permitida.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Microfones e alto-falantes
Microfones e alto-falantes Essa configuração permite gerenciar se o áudio a bordo pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todos os microfones internos e alto-falantes serão permitidos. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os microfones internos e alto-falantes serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não configurar essa configuração, microfones e alto-falantes estarão habilitados.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Microfones Essa configuração permite gerenciar se o microfone interno pode funcionar em dispositivos qualificados. - Se você habilitar essa configuração, todos os microfones internos serão habilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os microfones internos serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não configurar essa configuração, os microfones estarão habilitados.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Rádios
Rádios (Bluetooth, Wi-Fi, NFC etc.) Essa configuração permite gerenciar se o Bluetooth interno, o Wi-Fi ou o 5G sem fio podem funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, todos os rádios internos serão permitidos. Periféricos, como dispositivos USB, não são afetados.
- Se você desabilitar essa configuração, todos os rádios internos serão desabilitados. Periféricos, como dispositivos USB, não são afetados.
- Se você não configurar essa configuração, todos os rádios internos serão habilitados.

PONTA: Configure a configuração de categoria Rádios (Bluetooth, Wi-Fi, NFC etc.) ou as configurações granulares Bluetooth, Wi-Fi. Se você configurar todas as configurações, essas configurações poderão causar um conflito. Para obter mais informações, acesse a visão geral do perfil dfci: conflitos.

CUIDADO: A configuração de desabilitar só deve ser usada em dispositivos com uma conexão Ethernet com fio.
- Não há suporte no Surface Pro X.
– com suporte em todos os outros dispositivos qualificados.
Bluetooth Essa configuração permite gerenciar se o Bluetooth interno pode funcionar em dispositivos qualificados.

- Se você habilitar essa configuração, o Bluetooth estará habilitado.
- Se você desabilitar essa configuração, o Bluetooth será desabilitado.
- Se você não configurar essa configuração, o Bluetooth estará habilitado.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
WWAN Essa configuração permite gerenciar se o WWAN interno (sem fio 5G) pode funcionar em dispositivos qualificados

- Se você habilitar essa configuração, o WWAN estará habilitado.
- Se você desabilitar essa configuração, o WWAN será desabilitado.
- Se você não configurar essa configuração, o WWAN estará habilitado.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Wi-Fi Essa configuração permite gerenciar se o Wi-Fi interno pode funcionar em dispositivos qualificados

- Se você habilitar essa configuração, Wi-Fi estará habilitada.
- Se você desabilitar essa configuração, Wi-Fi será desabilitado.
- Se você não configurar essa configuração, Wi-Fi está habilitado.
- Não há suporte no Surface Pro X.
– com suporte em Surface Pro 9 com 5G e todos os outros dispositivos qualificados.
Opções de inicialização
Inicialização de mídia externa (USB, SD) Essa configuração permite gerenciar se dispositivos qualificados podem ser inicializados de mídia externa.

- Se você habilitar essa configuração, os usuários finais poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento que não são de disco rígido.
- Se você desabilitar essa configuração, os usuários finais não poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento que não são de disco rígido.
- Se você não configurar essa configuração, os usuários finais poderão inicializar o dispositivo de unidades flash USB ou outras tecnologias de armazenamento que não são de disco rígido.
Todos os dispositivos qualificados
Portas
Tipo USB A Essa configuração permite gerenciar como os dispositivos podem utilizar conexões USB-A.

- Se você habilitar essa configuração, as conexões de dados USB-A poderão funcionar em dispositivos qualificados.
- Se você desabilitar essa configuração, as conexões de dados USB-A não poderão funcionar em dispositivos qualificados.

- Se você não configurar essa configuração, as conexões de dados USB-A poderão funcionar em todos os dispositivos.

CUIDADO: Se você desabilitar a Inicialização da mídia externa e o tipo USB A e o dispositivo se tornar inbootável por qualquer motivo, você não poderá recuperar o dispositivo sem substituir o SSD. Você não poderá inicializar a partir de mídia externa e executar uma inicialização PXE ou atualização do DFCI da rede.
Com suporte apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1º de junho de 2022).
Configurações de wake
Wake-on-LAN Essa configuração permite gerenciar se os dispositivos qualificados podem ser iniciados remotamente em Espera Moderna ou Hibernar.

- Se você habilitar essa configuração, os dispositivos qualificados poderão ser configurados para o Wake-on-LAN remotamente.
- Se você desabilitar essa configuração, os dispositivos qualificados não poderão ser configurados para acordar remotamente na LAN.
- Se você não configurar essa configuração, os dispositivos qualificados poderão ser configurados para acordar remotamente na LAN.
Com suporte apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1º de junho de 2022).
Wake-on-Power Essa configuração permite gerenciar se os dispositivos qualificados podem ser iniciados automaticamente a partir da hibernação ou dos estados desligados quando conectados à energia.

- Se você habilitar essa configuração, os dispositivos Surface qualificados poderão ser configurados para iniciar automaticamente quando conectados à energia
- Se você desabilitar essa configuração, os dispositivos Surface qualificados não poderão ser configurados para iniciar automaticamente quando conectados à energia.
- Se você não configurar essa configuração, os dispositivos Surface qualificados não poderão ser configurados para iniciar automaticamente quando reconectados à energia.
Com suporte apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1º de junho de 2022).

Observação

O DFCI no Intune inclui configurações que atualmente não se aplicam aos dispositivos Surface: virtualização de CPU e IO, Inicialização de Desabilitar de adaptadores de rede, WPBT (Tabela Binária da Plataforma windows), NFC e cartão do SD.

Introdução

  1. Entre no locatário no endpoint.microsoft.com.

  2. No centro de administração Microsoft Intune, selecione Perfis de configuração de dispositivos >> Criar perfil.

  3. Em Plataforma, selecione Windows 10 e posterior.

  4. Em Tipo de perfil, selecione Modelos>Interface de Configuração do Firmware do Dispositivo e selecione Criar.

    Começar a criar o perfil DFCI

  5. Consulte Usar perfis DFCI em dispositivos Windows em Microsoft Intune para obter instruções completas, incluindo:

    • Criar seus grupos de segurança Microsoft Entra
    • Criar os perfis
    • Atribuir os perfis e reinicializar
    • Atualizar as configurações de DFCI existentes
    • Reutilizar, aposentar ou recuperar o dispositivo

Impedir que os usuários alterem as configurações do UEFI

Para muitos clientes, a capacidade de impedir que os usuários alterem as configurações da UEFI é extremamente importante e uma razão primária para usar o DFCI. Conforme listado acima na Tabela 1, essa funcionalidade é gerenciada por meio da configuração Permitir que o usuário local altere as configurações da UEFI. Se você não editar ou configurar essa configuração, o usuário local poderá alterar qualquer configuração UEFI não gerenciada por Intune. Portanto, é altamente recomendável definir Permitir que o usuário local altere as configurações da UEFI como Nenhuma.

Bloquear o acesso do usuário para alterar as configurações do UEFI

Verificar as configurações uefi em dispositivos gerenciados pelo DFCI

Em um ambiente de teste, você pode verificar as configurações na interface UEFI do Surface.

  1. Abrir o UEFI do Surface:

    • Pressione e segure o botão volume-up no Surface e, ao mesmo tempo, pressione e solte o botão de energia .
    • Quando você vir o logotipo do Surface, libere o botão volume-up. O menu UEFI será exibido dentro de alguns segundos.
  2. Selecione Dispositivos. O menu UEFI refletirá as configurações configuradas, conforme mostrado na figura a seguir.

    Surface UEFI.

    Observação

    • As configurações são esmaeecidos (inativos) porque Permitir que o usuário local altere a configuração UEFI é definido como Nenhum.
    • O áudio a bordo está definido como desativado porque a política Microfones e alto-falantes está definida como Desabilitada.

Remover configurações de política do DFCI

Quando você cria um perfil DFCI, todas as configurações configuradas permanecerão em vigor em todos os dispositivos dentro do escopo de gerenciamento do perfil. Você só pode remover as configurações de política do DFCI editando o perfil DFCI diretamente. Se o perfil DFCI original tiver sido excluído, crie um novo perfil e edite as configurações apropriadas.

Removendo o gerenciamento do DFCI

Para remover o gerenciamento do DFCI e retornar o dispositivo ao novo estado de fábrica:

  1. Retire o dispositivo do Intune:
    1. No Endpoint Manager em endpoint.microsoft.com, escolha Dispositivos>Todos os Dispositivos.
    2. Selecione o dispositivo que você deseja retirar e escolha Retirar/Apagar. Para saber mais, confira Remover dispositivos usando apagar, retirar ou desativar manualmente o dispositivo.
  2. Exclua o registro do Autopilot de Intune:
    1. Escolha Registro de dispositivo > Dispositivos de registro > do Windows Dispositivos.
    2. Em dispositivos Windows Autopilot, escolha os dispositivos que você deseja excluir e escolha Excluir.
  3. Conecte o dispositivo à Internet com fio com um adaptador ethernet da marca Surface. Reinicie o dispositivo e abra o menu UEFI (pressione e segure o botão volume-up enquanto também pressiona e libera o botão de energia).
  4. Selecione Gerenciamento > Configurar > Atualização na Rede e, em seguida, escolha Opt-out.

Para gerenciar o dispositivo com Intune mas sem o gerenciamento do DFCI, registre-o automaticamente no Autopilot e registre-o no Intune. O DFCI não será aplicado a dispositivos auto-registrados.

Saiba mais