Управление интерфейсом конфигурации встроенного ПО устройства (DFCI)

Область применения:

• Windows 11
• Windows 10

С помощью Windows Autopilot Deployment и Intune вы можете управлять параметрами UEFI после их регистрации с помощью интерфейса конфигурации встроенного ПО устройства (DFCI). DFCI позволяет Windows передавать команды управления из Intune в UEFI для развернутых устройств Autopilot. Эта возможность позволяет ограничить контроль над параметрами BIOS для конечных пользователей. Например, можно заблокировать параметры загрузки, чтобы запретить пользователям загружать другую ОС, например ту, которая не имеет одинаковых функций безопасности.

Если пользователь переустановит предыдущую версию Windows, устанавливает отдельную ОС или форматирует жесткий диск, он не сможет переопределить управление DFCI. Эта функция также может препятствовать обмену вредоносными программами с процессами ОС, включая процессы ОС с повышенными привилегиями. Цепочка доверия DFCI использует шифрование с открытым ключом и не зависит от локальной безопасности паролей UEFI. Этот уровень безопасности блокирует доступ локальных пользователей к управляемым параметрам из меню UEFI устройства.

Общие сведения о преимуществах, сценариях и предварительных требованиях DFCI см. в статье Общие сведения о интерфейсе конфигурации встроенного ПО устройства (DFCI).

Важно!

Устройства, включенные в DFCI изготовителем оборудования и зарегистрированные для Autopilot через oem или CSP в Центре партнеров, автоматически регистрируются в управлении DFCI во время подготовки Autopilot. Регистрация в управлении DFCI активирует дополнительную перезагрузку во время запуска OOBE.

Жизненный цикл управления DFCI

Жизненный цикл управления DFCI включает в себя следующие процессы:

• Интеграция UEFI
• Регистрация устройства
• Создание профиля
• Регистрация
• Управление
• Выход из эксплуатации
• Восстановление

См. следующий рисунок.

Требования

• Windows 10, версия 1809 или более поздней версии и требуется поддерживаемый UEFI.
• Производитель устройства должен добавить DFCI в встроенное ПО UEFI в процессе производства или в качестве обновления встроенного ПО, которое вы устанавливаете. Обратитесь к поставщикам устройств, чтобы определить производителей, поддерживающих DFCI, или версию встроенного ПО, необходимую для использования DFCI.
• Устройством необходимо управлять с помощью Microsoft Intune. Дополнительные сведения см. в статье Регистрация устройств Windows в Intune с помощью Windows Autopilot.
• Устройство должно быть зарегистрировано в Windows Autopilot поставщиком облачных решений (Майкрософт) (CSP) или непосредственно изготовителем оборудования. Для устройств Surface поддержка регистрации Майкрософт доступна в разделе Поддержка Microsoft Devices Autopilot.

Важно!

Устройствам, вручную зарегистрированным для Autopilot (например, путем импорта из CSV-файла), запрещено использовать DFCI. DFCI устроен так, что требует внешней аттестации коммерческого приобретения устройства через OEM или путем регистрации партнера Microsoft CSP в Windows Autopilot. Когда ваше устройство зарегистрировано, его серийный номер отображается в списке устройств Windows Autopilot.

Управление профилем DFCI с помощью Windows Autopilot

Существует четыре основных шага по управлению профилем DFCI с помощью Windows Autopilot:

1. Создание профиля Autopilot
2. Создание профиля страницы состояния регистрации
3. Создание профиля DFCI
4. Назначение профилей

Дополнительные сведения см. в разделах Создание профилей и Назначение профилей и перезагрузка .

Вы также можете изменить существующие параметры DFCI на используемых устройствах. В существующем профиле DFCI измените параметры и сохраните изменения. Так как профиль уже назначен, новые параметры DFCI вступают в силу при следующей синхронизации устройства или перезагрузке устройства.

Изготовители оборудования, поддерживающие DFCI

• Acer
• Asus
• Dynabook
• Fujitsu
• Microsoft Surface
• Panasonic

Другие изготовители оборудования находятся в ожидании.

См. также

Сценарии Microsoft DFCI
Устройства Windows Autopilot и Surface