Utilize perfis de interface de configuração de firmware do dispositivo em dispositivos Windows em Microsoft Intune

  • Artigo

Quando utilizar o Intune para gerir dispositivos Autopilot, pode gerir as definições da UEFI (BIOS) após a sua inscrição, utilizando a Interface de Configuração do Firmware do Dispositivo (DFCI). Para uma visão geral dos benefícios, cenários e pré-requisitos, consulte a visão geral do DFCI.

O DFCI permite que Windows passem comandos de gestão de Intune a UEFI (Interface de Firmware Extensível Unificado).

No Intune, utilize esta função para controlar as definições de BIOS. Normalmente, o firmware é mais resistente a ataques maliciosos. Limita o controlo dos utilizadores finais sobre o BIOS, o que é bom numa situação comprometida.

Esta funcionalidade aplica-se a:

  • Windows 10 RS5 (1809) e mais tarde em UEFI apoiado

Por exemplo, utiliza Windows 10 dispositivos num ambiente seguro e pretende desativar a câmara. Pode desativar a câmara na camada de firmware, por isso não importa o que o utilizador final faça. Reinstalar o SISTEMA ou limpar o computador não volta a ligar a câmara. Noutro exemplo, bloqueie as opções de boot para evitar que os utilizadores arranquem outro SISTEMA, ou uma versão mais antiga de Windows que não possui as mesmas funcionalidades de segurança.

Quando reinstalar uma versão Windows mais antiga, instalar um SISTEMA separado ou formatar o disco rígido, não é possível anular a gestão dfci. Esta funcionalidade pode impedir que o malware comunique com os processos de SO, incluindo processos elevados de SO. A cadeia de confiança da DFCI usa a criptografia de chaves públicas e não depende da segurança da palavra-passe local UEFI (BIOS). Esta camada de segurança impede os utilizadores locais de acederem a configurações geridas a partir dos menus UEFI (BIOS) do dispositivo.

Antes de começar

  • O fabricante do dispositivo deve ter o DFCI adicionado ao seu firmware UEFI no processo de fabrico ou como uma atualização de firmware que instale. Trabalhe com os fornecedores de dispositivos para determinar os fabricantes que suportam o DFCI,ou a versão de firmware necessária para utilizar o DFCI.

  • O aparelho deve ser registado para Windows Autopilot por um parceiro Fornecedor de Soluções em Nuvem da Microsoft (CSP)ou registado diretamente pelo OEM.

    Os dispositivos registados manualmente para o Autopilot, como importados de um ficheiro CSV,não estão autorizados a utilizar o DFCI. Por design, a gestão dfci requer a atestado externo da aquisição comercial do dispositivo através de um registo de parceiroS OEM ou um parceiro da Microsoft CSP para Windows Autopilot.

    Uma vez registado o seu dispositivo, o seu número de série é mostrado na lista de Windows dispositivos Autopilot.

    Para obter mais informações sobre o Autopilot, incluindo quaisquer requisitos, consulte Windows visão geral do registo do Autopilot.

Crie os seus grupos de segurança Azure AD

Os perfis de implantação do piloto automático são atribuídos a grupos de segurança Azure AD. Certifique-se de criar grupos que incluam os seus dispositivos suportados pelo DFCI. Para dispositivos DFCI, a maioria da organização pode criar grupos de dispositivos, em vez de grupos de utilizadores. Pondere os seguintes cenários:

  • Recursos Humanos (HR) tem diferentes dispositivos Windows. Por razões de segurança, não quer que ninguém neste grupo use a câmara nos dispositivos. Neste cenário, pode criar um grupo de utilizadores de segurança RH para que a política se aplique aos utilizadores do grupo HR, qualquer que seja o tipo de dispositivo.
  • No piso de fabricação, tem 10 dispositivos. Em todos os dispositivos, pretende evitar o arranque dos dispositivos a partir de um dispositivo USB. Neste cenário, é possível criar um grupo de dispositivos de segurança e adicionar estes 10 dispositivos ao grupo.

Para obter mais informações sobre a criação de grupos no Intune, consulte grupos Add para organizar utilizadores e dispositivos.

Criar os perfis

Para utilizar o DFCI, crie os seguintes perfis e atribua-os ao seu grupo.

Criar um perfil de implementação do Autopilot

Este perfil configura e configura novos dispositivos. O perfil de implementação do piloto automático lista os passos para criar o perfil.

Criar um perfil de página do Estado de inscrição

Este perfil garante que os dispositivos são verificados e ativados para DFCI durante a configuração Windows. É altamente recomendado usar este perfil para bloquear a utilização do dispositivo até que todas as aplicações e perfis sejam instalados. O perfil da Página do Estado de inscrição lista os passos para criar o perfil.

Criar o perfil DFCI

Este perfil inclui as definições DFCI que configura.

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Selecione perfis > de configuração de dispositivos > Criar perfil.

  3. Introduza as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posterior.
    • Perfil: Selecione interface de > configuração de firmware de dispositivos de modelos.

  4. Selecione Criar.

  5. No Básico, insira as seguintes propriedades:

    • Nome: Introduza um nome descritivo para o perfil. Atribua nomes às políticas de forma que possa identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é Windows: Configurar as definições DFCI em dispositivos Windows.
    • Descrição: Introduza uma descrição para o perfil. Esta definição é opcional, mas recomendada.

  6. Selecione Seguinte.

  7. Nas definições de configuração, configure as seguintes definições:

    • Permitir que o utilizador local altere as definições DA UEFI (BIOS): As suas opções:

      • Apenas não configurações configuradas: O utilizador local pode alterar qualquer definição, exceto as definições explicitamente definidas para Ativar ou Desativar por Intune.
      • Nenhuma: O utilizador local não pode alterar nenhuma definição UEFI (BIOS), incluindo as definições não mostradas no perfil DFCI.

    • Virtualização cpu e IO: As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: O BIOS permite as capacidades de virtualização cpu e IO da plataforma para utilização pelo SISTEMA. Liga-se Windows tecnologias de segurança baseada em virtualização e proteção de dispositivos.

    • Câmaras: As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: Todas as câmaras incorporadas geridas diretamente pela UEFI (BIOS) estão ativadas. Os periféricos, como as câmaras USB, não são afetados.
      • Desativado: Todas as câmaras incorporadas geridas diretamente pela UEFI (BIOS) estão desativadas. Os periféricos, como as câmaras USB, não são afetados.

    • Microfones e altifalantes: As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: Todos os microfones e altifalantes incorporados geridos diretamente pela UEFI (BIOS) estão ativados. Os periféricos, como os dispositivos USB, não são afetados.
      • Desativado: Todos os microfones e altifalantes incorporados geridos diretamente pela UEFI (BIOS) estão desactivdos. Os periféricos, como os dispositivos USB, não são afetados.

    • Rádios (Bluetooth, Wi-Fi, NFC, etc.): As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: Todos os rádios incorporados geridos diretamente pela UEFI (BIOS) estão ativados. Os periféricos, como os dispositivos USB, não são afetados.
      • Desativado: Todos os rádios incorporados geridos diretamente pela UEFI (BIOS) estão desativadas. Os periféricos, como os dispositivos USB, não são afetados.

      Aviso

      Se desativar a definição de Rádios, o dispositivo necessita de uma ligação de rede com fios. Caso contrário, o dispositivo pode não ser incontrolável.

    • Arranque a partir de meios externos (USB, SD): As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: A UEFI (BIOS) permite o arranque do armazenamento de unidades não rígidas.
      • Desativado: A UEFI (BIOS) não permite o arranque do armazenamento de unidades não rígidas.

    • Arranque dos adaptadores de rede: As suas opções:

      • Não configurado: Intune não muda ou atualiza esta definição.
      • Ativado: A UEFI (BIOS) permite o arranque a partir de interfaces de rede incorporadas.
      • Desativado: A UEFI (BIOS) não permite o arranque de interfaces de rede incorporadas.

  8. Selecione Seguinte.

  9. Nas etiquetas Scope (opcional), atribua uma etiqueta para filtrar o perfil a grupos de TI específicos, tais como US-NC IT Team ou JohnGlenn_ITDepartment . Para obter mais informações sobre etiquetas de âmbito, consulte Use RBAC e etiquetas de âmbito para TI distribuídos.

    Selecione Seguinte.

  10. Em Atribuições, selecione os utilizadores ou grupo de utilizadores que receberão o seu perfil. Para obter mais informações sobre a atribuição de perfis, consulte perfils de utilizador e dispositivo de atribuição.

    Selecione Seguinte.

  11. Em Rever + criar, rever as suas definições. Quando selecionar Criar, as suas alterações são guardadas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Da próxima vez que cada dispositivo entrar, a apólice é aplicada.

Atribua os perfis e reinicie

Certifique-se de atribuir os perfis aos seus grupos de segurança Azure AD que incluem os seus dispositivos DFCI. O perfil pode ser atribuído quando é criado, ou depois.

Quando o dispositivo executa o Windows Autopilot, durante a página 'Estado de Inscrição', o DFCI pode forçar um reboot. Este primeiro reboot inscreve UEFI para Intune.

Se pretender confirmar que o dispositivo está matriculado, pode reiniciar o dispositivo novamente, mas não é necessário. Utilize as instruções do fabricante do dispositivo para abrir o menu UEFI e confirme que a UEFI é agora gerida.

Da próxima vez que o dispositivo sincronizar com o Intune, Windows recebe as definições dfci. Reinicie o dispositivo. Este terceiro reboot é necessário para que a UEFI receba as definições dfci a partir de Windows.

Atualizar as definições dfci existentes

Se pretender alterar as definições dfci existentes em dispositivos que estão a ser utilizados, pode. No seu perfil DFCI existente, altere as definições e guarde as suas alterações. Uma vez que o perfil já está atribuído, as novas definições dfci fazem efeito quando:

  1. O dispositivo faz o check-in com o serviço Intune para rever as atualizações de perfis. Os check-ins acontecem em vários momentos. Para obter mais informações, consulte quando os dispositivos obtêm uma atualização de política, perfil ou aplicação.

  2. Para impor as novas definições, reinicie o dispositivo remotamente ou localmente.

Também pode sinalizar dispositivos para fazer o check-in. Depois de uma sincronização bem sucedida, sinal para reiniciar.

Nota

Eliminar o perfil DFCI, ou remover um dispositivo do grupo atribuído ao perfil não remove as definições dfci ou reecamlha os menus UEFI (BIOS). Se quiser parar de usar DFCI, atualize o seu perfil DFCI existente. Para obter mais informações sobre os degraus, consulte a reforma do dispositivo neste artigo.

Reutilizar, retirar ou recuperar o dispositivo

Reutilizar

Se pretende restabelecer Windows reutilizar o dispositivo, limpe o dispositivo. Não retire o registo do dispositivo Autopilot.

Depois de limpar o dispositivo, mova o dispositivo para o grupo que atribuiu os novos perfis DFCI e Autopilot. Certifique-se de que reinicia o dispositivo para voltar a Windows configuração.

Extinguir

Quando estiver pronto para retirar o dispositivo e libertá-lo da gestão, atualize o perfil DFCI para as definições UEFI (BIOS) que deseja no estado de saída. Normalmente, pretende ativar todas as definições. Por exemplo:

  1. Abra o seu perfil DFCI (Perfis de configuração de > dispositivos).
  2. Altere o Permitir que o utilizador local altere as definições DA UEFI (BIOS) para apenas definições não configuradas.
  3. Definir todas as outras definições para Não configurar.
  4. Guarde as suas definições.

Estes passos desbloqueiam os menus UEFI (BIOS) do dispositivo. Os valores permanecem os mesmos que o perfil (Ativado ou Desativado), e não são ressaltados para valores de SO predefinidos.

Está pronto para limpar o dispositivo. Uma vez limpo o dispositivo, elimine o registo do Piloto Automático. A eliminação do registo impede que o dispositivo se reinscreva automaticamente quando este reinicia.

Dica

Para remover os dispositivos Surface da inscrição dfci, consulte a remoção da gestão dfci.

Recuperar

Se limpar um dispositivo e eliminar o registo do Piloto Automático antes de desbloquear os menus UEFI (BIOS), os menus permanecem bloqueados. A Intune não pode enviar atualizações de perfil para desbloqueá-la.

Para desbloquear o dispositivo, abra o menu UEFI (BIOS) e refresque a gestão da rede. A recuperação desbloqueia os menus, mas deixa todas as definições UEFI (BIOS) definidas para os valores no perfil DFCI anterior.

Impacto do utilizador final

Quando a política dfci é aplicada, os utilizadores locais não podem alterar as definições configuradas pelo DFCI, mesmo que o menu UEFI (BIOS) esteja protegido por palavra-passe. Dependendo das definições configuradas, os utilizadores finais podem receber erros que não são encontrados ou não podem ser diagnosticados. Certifique-se de fornecer documentação aos utilizadores finais explicando as opções que desativou.

Passos seguintes

Após a atribuição do perfil, monitorize o seu estado.