Dela via


Hantering av dfci (Device Firmware Configuration Interface)

Med Windows Autopilot-distribution och Intune kan UEFI-inställningar (Unified Extensible Firmware Interface) hanteras när enheten har registrerats. UEFI-inställningar kan hanteras med hjälp av DFCI (Device Firmware Configuration Interface). MED DFCI kan Windows skicka hanteringskommandon från Intune till UEFI för Autopilot-distribuerade enheter. Den här funktionen gör det möjligt att begränsa slutanvändarens kontroll över BIOS-inställningar. Startalternativen kan till exempel låsas för att förhindra att användare startar upp ett annat operativsystem, till exempel ett som inte har samma säkerhetsfunktioner.

Om en användare installerar om en tidigare Windows-version, installerar ett separat operativsystem eller formaterar hårddisken kan de inte åsidosätta DFCI-hanteringen. Den här funktionen kan också förhindra att skadlig kod kommunicerar med OS-processer, inklusive förhöjda OS-processer. DFCI:s förtroendekedja använder kryptering av offentliga nycklar och är inte beroende av lokal UEFI-lösenordssäkerhet. Det här säkerhetsskiktet hindrar lokala användare från att komma åt hanterade inställningar från enhetens UEFI-menyer.

En översikt över DFCI-fördelar, scenarier och krav finns i Introduktion till DFCI (Device Firmware Configuration Interface).

Viktigt

En enhet registreras automatiskt i DFCI-hantering under Autopilot-etablering när följande åtgärder inträffar:

  • OEM-tillverkaren aktiverar enheten för DFCI.
  • Enheten registreras för Autopilot via OEM-tillverkaren eller en molnlösningspartner (CSP) i Partnercenter.

Registrering i DFCI-hantering utlöser ytterligare en omstart under den färdiga upplevelsen (OOBE).

Livscykel för DFCI-hantering

Livscykeln för DFCI-hantering innehåller följande processer:

  • UEFI-integrering.
  • Enhetsregistrering.
  • Skapa profil.
  • Registrering.
  • Ledning.
  • Pensionering.
  • Återhämtning.

Se följande bild:

Skärmbild som visar arbetsflödet för hantering av enhetskonfigurationsgränssnitt för inbyggd programvara (DFCI)

Krav

Viktigt

Enheter som registrerats manuellt för Autopilot (till exempel genom att importera från en CSV-fil) får inte använda DFCI. Det är avsiktligt att DFCI-hanteringen kräver extern attestering av enhetens kommersiella förvärv via en OEM-tillverkare eller en Microsoft CSP-partnerregistrering i Windows Autopilot. När enheten har registrerats visas dess serienummer i listan över Windows Autopilot-enheter.

Hantera DFCI-profil med Windows Autopilot

Det finns fyra grundläggande steg för att hantera DFCI-profilen med Windows Autopilot:

  1. Skapa en Autopilot-profil
  2. Skapa en profil för registreringsstatussidan
  3. Skapa en DFCI-profil
  4. Tilldela profilerna

Mer information finns i Skapa profiler och Tilldela profilerna och starta om .

Befintliga DFCI-inställningar kan också ändras på enheter som används. I den befintliga DFCI-profilen ändrar du inställningarna och sparar ändringarna. Eftersom profilen redan har tilldelats träder de nya DFCI-inställningarna i kraft nästa gång enheten synkroniseras eller enheten startas om.

För att identifiera om en enhet är DFCI-klar kan följande Intune Graph API-anrop användas:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Mer information finns i Api-översikten för Intune-enheter och appar och Arbeta med Intune i Microsoft Graph .

OEM-tillverkare som stöder DFCI

Andra OEM-tillverkare väntar.