Использование профилей конфигурации BIOS на устройствах Windows в Microsoft Intune
В Intune можно использовать конфигурацию BIOS и политику конфигурации других параметров устройства для включения или отключения функций и параметров BIOS.
С помощью средства OEM вы создаете файл конфигурации BIOS, который настраивает функции BIOS. На устройствах устанавливается приложение OEM Win32, которое считывает конфигурацию. Затем в политике BIOS Intune добавьте файл конфигурации BIOS и назначите политику своим устройствам.
Файл конфигурации обычно содержит параметры, которые защищают устройство и его встроенное оборудование.
Например, необходимо запретить конечным пользователям повторно создавать образы устройства и выходить из управления Intune. Для этой задачи вы создадите файл конфигурации BIOS, который отключает загрузку с USB. Затем добавьте этот файл в политику Intune и включите пароль BIOS. Эти действия позволяют убедиться, что конфигурация не перезаписана.
Данная функция применяется к:
- Windows 10 и более поздние версии
- Устройства Dell
В этой статье содержатся дополнительные сведения о файле конфигурации и приложении Win32, а также показано, как создать политику конфигурации BIOS и других параметров в Intune.
Предупреждение
Изменения конфигурации BIOS могут повлиять на функциональность и работоспособность устройства, включая возможность загрузки зашифрованных дисков Bitlocker или доступа к ним. Эта функция позволяет администраторам Intune легко обновлять конфигурации BIOS на своих устройствах. При внесении изменений тестируйте и развертывайте поэтапно, чтобы свести к минимуму влияние любых непредвиденных конфигураций.
Предварительные требования
Чтобы настроить эту политику, как минимум, войдите в Центр администрирования Intune с помощью роли диспетчера политик и профилей. Дополнительные сведения о встроенных ролях в Intune см. в статье Управление доступом на основе ролей с помощью Microsoft Intune.
Эта функция поддерживает устройства, принадлежащие организации, зарегистрированные в Intune MDM. Личные устройства и устройства, не зарегистрированные в Intune, не поддерживаются.
Убедитесь, что на устройствах не настроен существующий пароль BIOS. Для этой функции требуется, чтобы Intune имели пароль BIOS. Если у Intune нет пароля BIOS устройства, обновление конфигурации BIOS невозможно.
Шаг 1. Создание файла конфигурации и развертывание приложения
В этом разделе основное внимание уделяется использованию средства OEM для создания файла конфигурации и развертыванию приложения OEM Win32 на устройствах.
Создайте файл конфигурации с помощью средства OEM. В файле добавьте и настройте компоненты, которые требуется настроить. Вы можете добавить любые параметры конфигурации, поддерживаемые изготовителем оборудования.
- Для Dell вы можете создать файл конфигурации BIOS с помощью средства Dell Command (открывает веб-сайт Dell).
При создании файла конфигурации изготовителем оборудования предоставляется координируемое приложение Win32. Разверните приложение OEM Win32 на устройствах. Это приложение:
- Действует как агент, который считывает создаваемый файл конфигурации и считывает пароли BIOS устройств.
- Перед назначением политики конфигурации BIOS Intune необходимо установить на всех устройствах.
Для Dell можно скачать приложение Dell Command (открывает веб-сайт Dell).
Чтобы установить это приложение на устройствах, можно использовать Intune. Вы добавляете приложение в Intune и делаете его обязательным. Затем назначьте приложение фильтру групп или назначений, которые вы создаете на шаге 2. Создание группы или используйте фильтр назначений (в этой статье).
Дополнительные сведения о приложениях Win32 в Intune см. в статье Добавление, назначение и мониторинг приложения Win32 в Microsoft Intune.
Шаг 2. Создание группы или использование фильтра назначений
Рекомендуется сосредоточить эту политику на определенном наборе устройств. Доступны следующие параметры:
- Вариант 1 . Создание группы, включающей устройства. При создании политики приложений и политики конфигурации BIOS политики назначаются этой группе.
- Вариант 2 . Используйте фильтр назначения на основе изготовителя устройства. При создании фильтра нацелимся на устройства OEM. При назначении политик конфигурации приложения и BIOS добавьте этот фильтр.
Дополнительные сведения об этих функциях см. в следующих статьях:
- Добавление групп для организации пользователей и устройств
- Используйте фильтры при назначении приложений, политик и профилей в Microsoft Intune
Шаг 3. Создание политики конфигурации BIOS в Intune
В эту политику добавляется созданный файл конфигурации.
Войдите в Центр администрирования Microsoft Intune.
ВыберитеКонфигурация>устройств>Создать>политику.
Укажите следующие свойства:
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Шаблоны>Конфигурация BIOS и другие параметры.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — пароль конфигурации BIOS.
- Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурациинастройте следующие параметры.
Оборудование. Выберите поставщика оборудования OEM из списка поддерживаемых oem-производителей. В настоящее время поддерживается только Dell.
Отключить защиту паролем BIOS для каждого устройства. Этот параметр управляет паролем, который защищает конфигурацию BIOS на устройстве. Доступны следующие параметры:
- Нет: Intune создает уникальный пароль для каждого устройства. Чтобы получить доступ к конфигурации BIOS на устройстве и обновить ее, пользователи должны ввести этот пароль.
- Да: нет пароля, защищающего BIOS. Все предыдущие пароли удаляются. Конечные пользователи могут получить доступ к BIOS и изменить параметры BIOS на устройстве.
Файл конфигурации. Отправьте файл конфигурации, созданный с помощью средства OEM.
Для Dell отправьте файл комплекта средств настройки клиента Dell (
.cctk
). Максимальный размер файла — 2 МБ.
Нажмите кнопку Далее.
В разделе Назначения выберите созданную группу устройств. Эта группа получает ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
В разделе Просмотр и создание проверьте параметры и выберите Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
При следующем входе каждого устройства применяется политика.
Мониторинг политики с помощью встроенных отчетов
В центре администрирования Intune после создания политики можно отслеживать ее состояние и видеть ошибки.
- В Центре администрирования Intune перейдите в разделПолитикиконфигурации>устройств>.
- Выберите политику, которую вы хотите отслеживать. В отчете о состоянии устройства отображается состояние политики и все сведения об ошибке для устранения неполадок.
Дополнительные сведения см. в статьях:
Получение паролей BIOS
Intune хранит пароли BIOS для каждого устройства. Пароли BIOS можно получить с помощью Microsoft Graph. Чтобы протестировать API Graph, можно использовать Microsoft Graph Обозреватель.
Важно!
Обязательно создайте резервную копию всех паролей за пределами Intune.
- Если устройство удалено из управления Intune, администраторы по-прежнему могут считывать пароли BIOS с помощью API hardwarePasswordInfo в Microsoft Graph.
- Если подписка на Intune для клиента заканчивается, считывать или извлекать пароли BIOS невозможно. В этой ситуации единственным вариантом является обращение к изготовителю оборудования.
Вариант 1. Чтение пароля BIOS по одному устройству за раз
Этот параметр получает пароли BIOS по одному устройству за раз.
Создайте настраиваемую роль Intune RBAC с разрешением На чтение пароля BIOS:
- В центре администрирования Intune выберите Администрирование> клиентаРоли>Создать новую роль.
- Назовите свою роль и нажмите кнопку Далее.
- В разделе Разрешения разверните узел Управляемые устройства> . Задайте для чтения пароля BIOS значениеДа.
- Выберите Next Next Create (Далее>создать>).
Войдите в средство Graph с помощью этой настраиваемой роли RBAC и используйте API hardwarePasswordInfo Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Вариант 2. Чтение пароля BIOS для всех устройств
Этот параметр получает список всех паролей BIOS для всех устройств.
В Microsoft Entra ID требуется роль администратора служб Intune или глобального администратора.
Войдите в средство Graph с одной из следующих ролей и используйте API hardwarePasswordInfo Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Дополнительные сведения о ролях RBAC см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.
Удаление пароля конфигурации BIOS
Если вы планируете прекратить управление BIOS устройств или окончательно удалить устройства из клиента, необходимо удалить пароль BIOS.
Чтобы удалить пароль BIOS, в политике конфигурации BIOS Intune задайте для параметра Отключить защиту BIOS паролем для каждого устройства значение Да. Затем назначьте политику. Когда устройство выполняет вход с Intune, применяется политика. На устройстве можно также вручную синхронизировать устройство с Intune, чтобы применить политику.
После применения политики перезагрузите устройство.
Отмена регистрации устройства с Intune не удаляет пароль BIOS. Если вы отмените регистрацию устройства перед отключением пароля, необходимо обновить пароль вручную на устройстве.
Конфигурация BIOS и DFCI
Intune имеет две функции, которые могут управлять параметрами BIOS на устройствах Windows: конфигурация BIOS и другие параметры и интерфейс конфигурации встроенного ПО устройства (DFCI).
Эти параметры сравниваются в следующей таблице.
Функция | Конфигурация BIOS и другие параметры | DFCI |
---|---|---|
Поддерживаемые изготовители оборудования | Dell Возможно, больше в будущем |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Дополнительные сведения см. в статье Сценарии Microsoft DFCI. |
Поддерживаемые конфигурации | Любые конфигурации, доступные в средстве oem | Набор параметров для управления функциями безопасности, некоторыми аппаратными функциями, параметрами загрузки, портами и т. д. |
Применение параметров | Intune доставляет файл конфигурации при назначении политики. Агент OEM на устройстве применяет конфигурацию. | Через UEFI CSP с использованием уровня DFCI, который изолирован от ОС |
Блокирует доступ к меню BIOS | Да, с помощью паролей BIOS | Да, через сертификаты |
Настройка во время Windows Autopilot | На странице состояния регистрации (ESP) выберите приложение OEM Win32. | Intune автоматически регистрирует устройство в DFCI mgmt. |
Создание отчетов | Сообщает о применении файла конфигурации. | Детализированный отчет для каждого настраиваемого параметра. |
Тип политики Intune | Устройств>Конфигурации>Шаблоны>Конфигурация BIOS и другие параметры | Устройств>Конфигурации>Шаблоны>Интерфейс конфигурации встроенного ПО устройства |
Дополнительные сведения о DFCI см. по следующему разделу:
- Профили интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
- Сценарии Microsoft DFCI
- DFCI на устройствах Surface
Связанные статьи
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по