Gestão da Interface de Configuração de Firmware do Dispositivo (DFCI)
Com a Implementação do Windows Autopilot e o Intune, as definições da Interface de Firmware Extensível Unificada (UEFI) podem ser geridas após a inscrição do dispositivo. As definições de UEFI podem ser geridas através da Interface de Configuração de Firmware do Dispositivo (DFCI). O DFCI permite que o Windows transmita comandos de gestão do Intune para o UEFI para dispositivos implementados no Autopilot. Esta capacidade permite limitar o controlo do utilizador final sobre as definições do BIOS. Por exemplo, as opções de arranque podem ser bloqueadas para impedir que os utilizadores iniciem outro SO, como um que não tenha as mesmas funcionalidades de segurança.
Se um utilizador reinstalar uma versão anterior do Windows, instalar um SO separado ou formatar o disco rígido, não poderá substituir a gestão do DFCI. Esta funcionalidade também pode impedir que o software maligno comunique com os processos do SO, incluindo processos de SO elevados. A cadeia de fidedignidade da DFCI utiliza criptografia de chaves públicas e não depende da segurança de palavras-passe UEFI locais. Esta camada de segurança impede que os utilizadores locais acedam às definições geridas a partir dos menus UEFI do dispositivo.
Para obter uma descrição geral dos benefícios, cenários e pré-requisitos do DFCI, veja Introdução à Interface de Configuração de Firmware do Dispositivo (DFCI).
Importante
Um dispositivo é inscrito automaticamente na gestão DFCI durante o aprovisionamento do Autopilot quando ocorrem as seguintes ações:
- O OEM ativa o dispositivo para DFCI.
- O dispositivo está registado no Autopilot através do OEM ou de um Parceiro de Solução Cloud (CSP) no Centro de Parceiros.
A inscrição na gestão DFCI aciona um reinício adicional durante a experiência inicial (OOBE).
Ciclo de vida de gestão do DFCI
O ciclo de vida de gestão do DFCI inclui os seguintes processos:
- Integração do UEFI.
- Registro de dispositivo.
- Criação de perfis.
- Inscrição.
- Gestão.
- Descontinuação.
- Recuperação.
Veja a seguinte figura:
Requisitos
- É necessária uma versão atualmente suportada do Windows e um UEFI suportado.
- O fabricante do dispositivo tem de ter o DFCI adicionado ao respetivo firmware UEFI no processo de fabrico ou como uma atualização de firmware que possa ser instalada. Trabalhe com os fornecedores de dispositivos para determinar os fabricantes que suportam o DFCI ou a versão de firmware necessária para utilizar o DFCI.
- O dispositivo tem de ser gerido com o Microsoft Intune. Para obter mais informações, veja Inscrever dispositivos Windows no Intune com o Windows Autopilot.
- O dispositivo precisa ser registrado para o Windows Autopilot por um parceiro CSP (Provedor de Soluções na Nuvem) do Microsoft Cloud ou registrado diretamente pelo OEM. Para dispositivos Surface, o suporte de registo da Microsoft está disponível em Suporte do Autopilot para Dispositivos Microsoft.
Importante
Os dispositivos registados manualmente no Autopilot (por exemplo, ao importar a partir de um ficheiro CSV) não têm permissão para utilizar o DFCI. Por design, o gerenciamento da DFCI requer um atestado externo da aquisição comercial do dispositivo por meio de um OEM ou um registro de parceiro CSP da Microsoft para o Windows Autopilot. Quando o dispositivo é registado, o respetivo número de série é apresentado na lista de dispositivos Windows Autopilot.
Gerir o perfil DFCI com o Windows Autopilot
Existem quatro passos básicos na gestão do perfil DFCI com o Windows Autopilot:
- Criar um Perfil do Autopilot
- Criar um perfil de página de estado de inscrição
- Criar um perfil DFCI
- Atribuir os perfis
Veja Criar os perfis , Atribuir os perfis e reiniciar para obter detalhes.
As definições DFCI existentes também podem ser alteradas em dispositivos que estão a ser utilizados. No perfil DFCI existente, altere as definições e guarde as alterações. Uma vez que o perfil já está atribuído, as novas definições DFCI são aplicadas quando a próxima vez que o dispositivo for sincronizado ou o dispositivo for reiniciado.
Para identificar se um dispositivo está pronto para DFCI, pode ser utilizada a seguinte chamada à Graph API do Intune:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Para obter mais informações, veja Descrição geral da API de aplicações e dispositivos do Intune e Trabalhar com o Intune no Microsoft Graph .
OEMs que suportam DFCI
- Acer.
- Asus.
- Dynabook.
- Fujitsu.
- Microsoft Surface.
- Panasonic.
Outros OEMs estão pendentes.
Conteúdo relacionado
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários