Med Windows Autopilot Deployment och Intune kan UEFI-inställningar (Unified Extensible Firmware Interface) hanteras när enheten har registrerats. UEFI-inställningar kan hanteras med hjälp av DFCI (Device Firmware Configuration Interface). MED DFCI kan Windows skicka hanteringskommandon från Intune till UEFI för Autopilot-distribuerade enheter. Den här funktionen gör det möjligt att begränsa slutanvändarens kontroll över BIOS-inställningar. Startalternativen kan till exempel låsas för att förhindra att användare startar upp ett annat operativsystem, till exempel ett som inte har samma säkerhetsfunktioner.
Om en användare installerar om en tidigare Windows-version, installerar ett separat operativsystem eller formaterar hårddisken kan de inte åsidosätta DFCI-hanteringen. Den här funktionen kan också förhindra att skadlig kod kommunicerar med OS-processer, inklusive förhöjda OS-processer. DFCI:s förtroendekedja använder kryptering av offentliga nycklar och är inte beroende av lokal UEFI-lösenordssäkerhet. Det här säkerhetsskiktet hindrar lokala användare från att komma åt hanterade inställningar från enhetens UEFI-menyer.
En enhet registreras automatiskt i DFCI-hantering under Autopilot-etablering när följande åtgärder inträffar:
OEM-tillverkaren aktiverar enheten för DFCI.
Enheten registreras för Autopilot via OEM-tillverkaren eller en molnlösningspartner (CSP) i Partnercenter.
Registrering i DFCI-hantering utlöser ytterligare en omstart under den färdiga upplevelsen (OOBE).
Livscykel för DFCI-hantering
Livscykeln för DFCI-hantering innehåller följande processer:
UEFI-integrering.
Enhetsregistrering.
Skapa profil.
Registrering.
Ledning.
Pensionering.
Återhämtning.
Se följande bild:
Krav
En version av Windows som stöds för närvarande och en UEFI som stöds krävs.
Enhetstillverkaren måste ha DFCI tillagt till sin inbyggda UEFI-programvara under tillverkningsprocessen, eller som en uppdatering av inbyggd programvara som kan installeras. Kontakta enhetsleverantörerna för att fastställa vilka tillverkare som stöder DFCI eller vilken version av inbyggd programvara som behövs för att använda DFCI.
Enheter som registrerats manuellt för Autopilot (till exempel genom att importera från en CSV-fil) får inte använda DFCI. Det är avsiktligt att DFCI-hanteringen kräver extern attestering av enhetens kommersiella förvärv via en OEM-tillverkare eller en Microsoft CSP-partnerregistrering i Windows Autopilot. När enheten har registrerats visas dess serienummer i listan över Windows Autopilot-enheter.
Hantera DFCI-profil med Windows Autopilot
Det finns fyra grundläggande steg för att hantera DFCI-profilen med Windows Autopilot:
Befintliga DFCI-inställningar kan också ändras på enheter som används. I den befintliga DFCI-profilen ändrar du inställningarna och sparar ändringarna. Eftersom profilen redan har tilldelats träder de nya DFCI-inställningarna i kraft nästa gång enheten synkroniseras eller enheten startas om.
För att identifiera om en enhet är DFCI-klar kan följande Intune Graph API-anrop användas:
DFCI-registreringen misslyckas för Professional-utgåvor av Windows 11 version 24H2
Tillagt datum: 9 oktober 2024
DFCI kan för närvarande inte användas på enheter med Professional-utgåvor av Windows 11 version 24H2. Problemet håller på att undersökas. Som en lösning bör du se till att enheten uppgraderas till Enterprise-versionen av Windows 11 version 24H2 under eller efter OOBE-registrering. När du har uppgraderat till Enterprise-versionen av Windows 11, version 24H2, synkroniserar du enheten. När enheten har synkroniserats startar du om den för att få den registrerad i DFCI.
Learn about Microsoft Surace Device management including support requests, DFCI and UEFI settings, the Intune Admin Center and Surface Management portal.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.