Hantering av dfci (Device Firmware Configuration Interface)
Gäller för:
- Windows 11
- Windows 10
Med Windows Autopilot Deployment och Intune kan du hantera UEFI-inställningar (Unified Extensible Firmware Interface) när de har registrerats med hjälp av DFCI (Device Firmware Configuration Interface). MED DFCI kan Windows skicka hanteringskommandon från Intune till UEFI för Autopilot-distribuerade enheter. Med den här funktionen kan du begränsa slutanvändarens kontroll över BIOS-inställningar. Du kan till exempel låsa startalternativen för att förhindra att användare startar upp ett annat operativsystem, till exempel ett som inte har samma säkerhetsfunktioner.
Om en användare installerar om en tidigare Windows-version, installerar ett separat operativsystem eller formaterar hårddisken kan de inte åsidosätta DFCI-hanteringen. Den här funktionen kan också förhindra att skadlig kod kommunicerar med OS-processer, inklusive förhöjda OS-processer. DFCI:s förtroendekedja använder kryptering av offentliga nycklar och är inte beroende av lokal UEFI-lösenordssäkerhet. Det här säkerhetsskiktet hindrar lokala användare från att komma åt hanterade inställningar från enhetens UEFI-menyer.
En översikt över DFCI-fördelar, scenarier och krav finns i Introduktion till DFCI (Device Firmware Configuration Interface).
Viktigt
Enheter som har aktiverats för DFCI av OEM-tillverkaren och registrerats för Autopilot via OEM-tillverkaren eller en CSP i Partnercenter registreras automatiskt i DFCI-hantering under Autopilot-etableringen. Registrering i DFCI-hantering utlöser ytterligare en omstart under OOBE.
Livscykel för DFCI-hantering
Livscykeln för DFCI-hantering innehåller följande processer:
- UEFI-integrering
- Enhetsregistrering
- Skapa profil
- Registrering
- Hantering
- Pension
- Återhämtning
Se följande bild.
Krav
- Windows 10 version 1809 eller senare och en UEFI som stöds krävs.
- Enhetstillverkaren måste ha DFCI tillagt till sin inbyggda UEFI-programvara under tillverkningsprocessen, eller som en uppdatering av den inbyggda programvaran som du installerar. Kontakta enhetsleverantörerna för att fastställa vilka tillverkare som stöder DFCI eller vilken version av inbyggd programvara som behövs för att använda DFCI.
- Enheten måste hanteras med Microsoft Intune. Mer information finns i Registrera Windows-enheter i Intune med Windows Autopilot.
- Enheten måste registreras för Windows Autopilot av en Microsoft Cloud Solution Provider-partner (CSP) eller registreras direkt av OEM-tillverkaren. För Surface-enheter är Microsofts registreringsstöd tillgängligt på Microsoft Devices Autopilot-supporten.
Viktigt
Enheter som registrerats manuellt för Autopilot (till exempel genom att importera från en csv-fil) får inte använda DFCI. Det är avsiktligt att DFCI-hanteringen kräver extern attestering av enhetens kommersiella förvärv via en OEM-tillverkare eller en Microsoft CSP-partnerregistrering i Windows Autopilot. När enheten har registrerats visas dess serienummer i listan över Windows Autopilot-enheter.
Hantera DFCI-profil med Windows Autopilot
Det finns fyra grundläggande steg för att hantera DFCI-profilen med Windows Autopilot:
- Skapa en Autopilot-profil
- Skapa en profil för registreringsstatussidan
- Skapa en DFCI-profil
- Tilldela profilerna
Mer information finns i Skapa profiler och Tilldela profilerna och starta om .
Du kan också ändra befintliga DFCI-inställningar på enheter som används. Ändra inställningarna i din befintliga DFCI-profil och spara ändringarna. Eftersom profilen redan har tilldelats träder de nya DFCI-inställningarna i kraft nästa gång enheten synkroniseras eller enheten startas om.
Om du vill identifiera om en enhet är DFCI-klar kan du använda följande Intune-Graph API-anrop:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Mer information finns i Api-översikten för Intune-enheter och appar och Arbeta med Intune i Microsoft Graph .
OEM-tillverkare som stöder DFCI
- Acer
- Asus
- Dynabook
- Fujitsu
- Microsoft Surface
- Panasonic
Andra OEM-tillverkare väntar.
Se även
Microsoft DFCI-scenarier
Windows Autopilot- och Surface-enheter
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för