Использование профилей конфигурации BIOS на устройствах Windows в Microsoft Intune

  • Статья

В Intune можно использовать конфигурацию BIOS и политику конфигурации других параметров устройства для включения или отключения функций и параметров BIOS.

С помощью средства OEM вы создаете файл конфигурации BIOS, который настраивает функции BIOS. На устройствах устанавливается приложение OEM Win32, которое считывает конфигурацию. Затем в политике BIOS Intune добавьте файл конфигурации BIOS и назначите политику своим устройствам.

Файл конфигурации обычно содержит параметры, которые защищают устройство и его встроенное оборудование.

Например, необходимо запретить конечным пользователям повторно создавать образы устройства и выходить из управления Intune. Для этой задачи вы создадите файл конфигурации BIOS, который отключает загрузку с USB. Затем добавьте этот файл в политику Intune и включите пароль BIOS. Эти действия позволяют убедиться, что конфигурация не перезаписана.

Данная функция применяется к:

  • Windows 10 и более поздние версии
  • Устройства Dell

В этой статье содержатся дополнительные сведения о файле конфигурации и приложении Win32, а также показано, как создать политику конфигурации BIOS и других параметров в Intune.

Предупреждение

Изменения конфигурации BIOS могут повлиять на функциональность и работоспособность устройства, включая возможность загрузки зашифрованных дисков Bitlocker или доступа к ним. Эта функция позволяет администраторам Intune легко обновлять конфигурации BIOS на своих устройствах. При внесении изменений тестируйте и развертывайте поэтапно, чтобы свести к минимуму влияние любых непредвиденных конфигураций.

Предварительные требования

  • Чтобы настроить эту политику, как минимум, войдите в Центр администрирования Intune с помощью роли диспетчера политик и профилей. Дополнительные сведения о встроенных ролях в Intune см. в статье Управление доступом на основе ролей с помощью Microsoft Intune.

  • Эта функция поддерживает устройства, принадлежащие организации, зарегистрированные в Intune MDM. Личные устройства и устройства, не зарегистрированные в Intune, не поддерживаются.

  • Убедитесь, что на устройствах не настроен существующий пароль BIOS. Для этой функции требуется, чтобы Intune имели пароль BIOS. Если у Intune нет пароля BIOS устройства, обновление конфигурации BIOS невозможно.

Шаг 1. Создание файла конфигурации и развертывание приложения

В этом разделе основное внимание уделяется использованию средства OEM для создания файла конфигурации и развертыванию приложения OEM Win32 на устройствах.

  1. Создайте файл конфигурации с помощью средства OEM. В файле добавьте и настройте компоненты, которые требуется настроить. Вы можете добавить любые параметры конфигурации, поддерживаемые изготовителем оборудования.

    • Для Dell вы можете создать файл конфигурации BIOS с помощью средства Dell Command (открывает веб-сайт Dell).

  2. При создании файла конфигурации изготовителем оборудования предоставляется координируемое приложение Win32. Разверните приложение OEM Win32 на устройствах. Это приложение:

    • Действует как агент, который считывает создаваемый файл конфигурации и считывает пароли BIOS устройств.
    • Перед назначением политики конфигурации BIOS Intune необходимо установить на всех устройствах.

    Для Dell можно скачать приложение Dell Command (открывает веб-сайт Dell).

    Чтобы установить это приложение на устройствах, можно использовать Intune. Вы добавляете приложение в Intune и делаете его обязательным. Затем назначьте приложение фильтру групп или назначений, которые вы создаете на шаге 2. Создание группы или используйте фильтр назначений (в этой статье).

    Дополнительные сведения о приложениях Win32 в Intune см. в статье Добавление, назначение и мониторинг приложения Win32 в Microsoft Intune.

Шаг 2. Создание группы или использование фильтра назначений

Рекомендуется сосредоточить эту политику на определенном наборе устройств. Доступны следующие параметры:

  • Вариант 1 . Создание группы, включающей устройства. При создании политики приложений и политики конфигурации BIOS политики назначаются этой группе.
  • Вариант 2 . Используйте фильтр назначения на основе изготовителя устройства. При создании фильтра нацелимся на устройства OEM. При назначении политик конфигурации приложения и BIOS добавьте этот фильтр.

Дополнительные сведения об этих функциях см. в следующих статьях:

Шаг 3. Создание политики конфигурации BIOS в Intune

В эту политику добавляется созданный файл конфигурации.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеКонфигурация>устройств>Создать>политику.

  3. Укажите следующие свойства:

    • Платформа: выберите Windows 10 и более поздних версий.
    • Тип профиля: выберите Шаблоны>Конфигурация BIOS и другие параметры.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — пароль конфигурации BIOS.
    • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

    Нажмите кнопку Далее.

  6. В разделе Параметры конфигурациинастройте следующие параметры.

    • Оборудование. Выберите поставщика оборудования OEM из списка поддерживаемых oem-производителей. В настоящее время поддерживается только Dell.

    • Отключить защиту паролем BIOS для каждого устройства. Этот параметр управляет паролем, который защищает конфигурацию BIOS на устройстве. Доступны следующие параметры:

      • Нет: Intune создает уникальный пароль для каждого устройства. Чтобы получить доступ к конфигурации BIOS на устройстве и обновить ее, пользователи должны ввести этот пароль.
      • Да: нет пароля, защищающего BIOS. Все предыдущие пароли удаляются. Конечные пользователи могут получить доступ к BIOS и изменить параметры BIOS на устройстве.

    • Файл конфигурации. Отправьте файл конфигурации, созданный с помощью средства OEM.

      Для Dell отправьте файл комплекта средств настройки клиента Dell (.cctk). Максимальный размер файла — 2 МБ.

    Нажмите кнопку Далее.

  7. В разделе Назначения выберите созданную группу устройств. Эта группа получает ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  8. В разделе Просмотр и создание проверьте параметры и выберите Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

При следующем входе каждого устройства применяется политика.

Мониторинг политики с помощью встроенных отчетов

В центре администрирования Intune после создания политики можно отслеживать ее состояние и видеть ошибки.

  1. В Центре администрирования Intune перейдите в разделПолитикиконфигурации>устройств>.
  2. Выберите политику, которую вы хотите отслеживать. В отчете о состоянии устройства отображается состояние политики и все сведения об ошибке для устранения неполадок.

Дополнительные сведения см. в статьях:

Получение паролей BIOS

Intune хранит пароли BIOS для каждого устройства. Пароли BIOS можно получить с помощью Microsoft Graph. Чтобы протестировать API Graph, можно использовать Microsoft Graph Обозреватель.

Важно!

Обязательно создайте резервную копию всех паролей за пределами Intune.

  • Если устройство удалено из управления Intune, администраторы по-прежнему могут считывать пароли BIOS с помощью API hardwarePasswordInfo в Microsoft Graph.
  • Если подписка на Intune для клиента заканчивается, считывать или извлекать пароли BIOS невозможно. В этой ситуации единственным вариантом является обращение к изготовителю оборудования.

Вариант 1. Чтение пароля BIOS по одному устройству за раз

Этот параметр получает пароли BIOS по одному устройству за раз.

  1. Создайте настраиваемую роль Intune RBAC с разрешением На чтение пароля BIOS:

    1. В центре администрирования Intune выберите Администрирование> клиентаРоли>Создать новую роль.
    2. Назовите свою роль и нажмите кнопку Далее.
    3. В разделе Разрешения разверните узел Управляемые устройства> . Задайте для чтения пароля BIOS значениеДа.
    4. Выберите Next Next Create (Далее>создать>).

  2. Войдите в средство Graph с помощью этой настраиваемой роли RBAC и используйте API hardwarePasswordInfo Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Вариант 2. Чтение пароля BIOS для всех устройств

Этот параметр получает список всех паролей BIOS для всех устройств.

  1. В Microsoft Entra ID требуется роль администратора служб Intune или глобального администратора.

  2. Войдите в средство Graph с одной из следующих ролей и используйте API hardwarePasswordInfo Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Дополнительные сведения о ролях RBAC см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Удаление пароля конфигурации BIOS

Если вы планируете прекратить управление BIOS устройств или окончательно удалить устройства из клиента, необходимо удалить пароль BIOS.

Чтобы удалить пароль BIOS, в политике конфигурации BIOS Intune задайте для параметра Отключить защиту BIOS паролем для каждого устройства значение Да. Затем назначьте политику. Когда устройство выполняет вход с Intune, применяется политика. На устройстве можно также вручную синхронизировать устройство с Intune, чтобы применить политику.

После применения политики перезагрузите устройство.

Отмена регистрации устройства с Intune не удаляет пароль BIOS. Если вы отмените регистрацию устройства перед отключением пароля, необходимо обновить пароль вручную на устройстве.

Конфигурация BIOS и DFCI

Intune имеет две функции, которые могут управлять параметрами BIOS на устройствах Windows: конфигурация BIOS и другие параметры и интерфейс конфигурации встроенного ПО устройства (DFCI).

Эти параметры сравниваются в следующей таблице.

Функция Конфигурация BIOS и другие параметры DFCI
Поддерживаемые изготовители оборудования Dell

Возможно, больше в будущем		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Дополнительные сведения см. в статье Сценарии Microsoft DFCI.
Поддерживаемые конфигурации Любые конфигурации, доступные в средстве oem Набор параметров для управления функциями безопасности, некоторыми аппаратными функциями, параметрами загрузки, портами и т. д.
Применение параметров Intune доставляет файл конфигурации при назначении политики. Агент OEM на устройстве применяет конфигурацию. Через UEFI CSP с использованием уровня DFCI, который изолирован от ОС
Блокирует доступ к меню BIOS Да, с помощью паролей BIOS Да, через сертификаты
Настройка во время Windows Autopilot На странице состояния регистрации (ESP) выберите приложение OEM Win32. Intune автоматически регистрирует устройство в DFCI mgmt.
Создание отчетов Сообщает о применении файла конфигурации. Детализированный отчет для каждого настраиваемого параметра.
Тип политики Intune Устройств>Конфигурации>Шаблоны>Конфигурация BIOS и другие параметры Устройств>Конфигурации>Шаблоны>Интерфейс конфигурации встроенного ПО устройства

Дополнительные сведения о DFCI см. по следующему разделу: