Partilhar via

Gestão da Interface de Configuração de Firmware do Dispositivo (DFCI)

Com a Implementação do Windows Autopilot e o Intune, as definições da Interface de Firmware Extensível Unificada (UEFI) podem ser geridas após a inscrição do dispositivo. As definições de UEFI podem ser geridas através da Interface de Configuração de Firmware do Dispositivo (DFCI). O DFCI permite que o Windows transmita comandos de gestão do Intune para o UEFI para dispositivos implementados no Autopilot. Esta capacidade permite limitar o controlo do utilizador final sobre as definições do BIOS. Por exemplo, as opções de arranque podem ser bloqueadas para impedir que os utilizadores iniciem outro SO, como um que não tenha as mesmas funcionalidades de segurança.

Se um utilizador reinstalar uma versão anterior do Windows, instalar um SO separado ou formatar o disco rígido, não poderá substituir a gestão do DFCI. Esta funcionalidade também pode impedir que o software maligno comunique com os processos do SO, incluindo processos de SO elevados. A cadeia de fidedignidade da DFCI utiliza criptografia de chaves públicas e não depende da segurança de palavras-passe UEFI locais. Esta camada de segurança impede que os utilizadores locais acedam às definições geridas a partir dos menus UEFI do dispositivo.

Para obter uma descrição geral dos benefícios, cenários e pré-requisitos do DFCI, veja Introdução à Interface de Configuração de Firmware do Dispositivo (DFCI).

Importante

Um dispositivo é inscrito automaticamente na gestão DFCI durante o aprovisionamento do Autopilot quando ocorrem as seguintes ações:

  • O OEM ativa o dispositivo para DFCI.
  • O dispositivo está registado no Autopilot através do OEM ou de um Parceiro de Solução Cloud (CSP) no Centro de Parceiros.

A inscrição na gestão DFCI aciona um reinício adicional durante a experiência inicial (OOBE).

Ciclo de vida de gestão do DFCI

O ciclo de vida de gestão do DFCI inclui os seguintes processos:

  • Integração do UEFI.
  • Registro de dispositivo.
  • Criação de perfis.
  • Inscrição.
  • Gestão.
  • Descontinuação.
  • Recuperação.

Veja a seguinte figura:

Captura de ecrã a mostrar o fluxo de trabalho gestão da Interface de Configuração de Firmware (DFCI) do Dispositivo

Requisitos

Importante

Os dispositivos registados manualmente no Autopilot (por exemplo, ao importar a partir de um ficheiro CSV) não têm permissão para utilizar o DFCI. Por design, o gerenciamento da DFCI requer um atestado externo da aquisição comercial do dispositivo por meio de um OEM ou um registro de parceiro CSP da Microsoft para o Windows Autopilot. Quando o dispositivo é registado, o respetivo número de série é apresentado na lista de dispositivos Windows Autopilot.

Gerir o perfil DFCI com o Windows Autopilot

Existem quatro passos básicos na gestão do perfil DFCI com o Windows Autopilot:

  1. Criar um Perfil do Autopilot
  2. Criar um perfil de página de estado de inscrição
  3. Criar um perfil DFCI
  4. Atribuir os perfis

Veja Criar os perfis , Atribuir os perfis e reiniciar para obter detalhes.

As definições DFCI existentes também podem ser alteradas em dispositivos que estão a ser utilizados. No perfil DFCI existente, altere as definições e guarde as alterações. Uma vez que o perfil já está atribuído, as novas definições DFCI são aplicadas quando a próxima vez que o dispositivo for sincronizado ou o dispositivo for reiniciado.

Para identificar se um dispositivo está pronto para DFCI, pode ser utilizada a seguinte chamada à Graph API do Intune:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Para obter mais informações, veja Descrição geral da API de aplicações e dispositivos do Intune e Trabalhar com o Intune no Microsoft Graph .

OEMs que suportam DFCI

Outros OEMs estão pendentes.

Conteúdo relacionado