Använda BIOS-konfigurationsprofiler på Windows-enheter i Microsoft Intune
I Intune kan du använda en BIOS-konfiguration och andra inställningar för enhetskonfigurationsprincip för att aktivera eller inaktivera BIOS-funktioner och inställningar.
Med hjälp av ett OEM-verktyg skapar du en BIOS-konfigurationsfil som konfigurerar BIOS-funktionerna. På enheterna installerar du OEM Win32-appen som läser konfigurationen. I Intune BIOS-principen lägger du sedan till BIOS-konfigurationsfilen och tilldelar principen till dina enheter.
Konfigurationsfilen innehåller vanligtvis inställningar som skyddar enheten och skyddar den inbyggda maskinvaran.
Du vill till exempel förhindra att slutanvändarna kan återskapa enheten och komma ur Intune hantering. För den här uppgiften skapar du en BIOS-konfigurationsfil som inaktiverar start från USB. Sedan lägger du till den här filen i Intune-principen och aktiverar ett BIOS-lösenord. De här stegen kontrollerar att konfigurationen inte skrivs över.
Den här funktionen gäller för:
- Windows 10 och senare
- Dell-enheter
Den här artikeln innehåller mer information om konfigurationsfilen och Win32-appen och visar hur du skapar BIOS-konfigurationen och andra inställningar i Intune.
Varning
Ändringar i BIOS-konfigurationen kan påverka enhetens funktioner och funktionsduglighet, inklusive möjligheten att starta eller komma åt Bitlocker-krypterade enheter. Med den här funktionen kan Intune administratörer enkelt uppdatera BIOS-konfigurationer på sina enheter. När du gör ändringar testar och distribuerar du i faser för att minimera effekten av oväntade konfigurationer.
Förutsättningar
Om du vill konfigurera den här principen loggar du minst in på Intune administrationscenter med rollen Princip- och profilhanterare. Mer information om de inbyggda rollerna i Intune finns i Rollbaserad åtkomstkontroll med Microsoft Intune.
Den här funktionen stöder organisationsägda enheter som är MDM-registrerade i Intune. Personliga enheter och enheter som inte har registrerats i Intune stöds inte.
Kontrollera att enheterna inte har något befintligt BIOS-lösenord konfigurerat. Den här funktionen kräver att Intune har BIOS-lösenordet. Om Intune inte har enhetens BIOS-lösenord kan den inte uppdatera BIOS-konfigurationen.
Steg 1 – Skapa konfigurationsfilen och distribuera appen
Det här avsnittet fokuserar på att använda OEM-verktyget för att skapa konfigurationsfilen och distribuera OEM Win32-appen till enheterna.
Skapa konfigurationsfilen med hjälp av OEM-verktyget. I filen lägger du till och konfigurerar de funktioner som du vill konfigurera. Du kan lägga till alla konfigurationsinställningar som OEM-tillverkaren stöder.
- För Dell kan du använda dellkommandot (öppnar Dells webbplats) för att skapa BIOS-konfigurationsfilen.
När du skapar konfigurationsfilen finns det en samordnande Win32-app från OEM-tillverkaren. Distribuera OEM Win32-appen till enheterna. Den här appen:
- Fungerar som en agent som läser konfigurationsfilen som du skapar och läser BIOS-lösenorden för enheterna.
- Måste installeras på alla enheter innan du tilldelar Intune BIOS-konfigurationsprincipen.
För Dell kan du ladda ned Dell Command-appen (öppnar Dells webbplats).
Om du vill installera den här appen på enheterna kan du använda Intune. Du lägger till appen i Intune och gör den till en obligatorisk app. Tilldela sedan appen till den grupp eller det tilldelningsfilter som du skapar i steg 2 – Skapa en grupp eller använd ett tilldelningsfilter (i den här artikeln).
Mer information om Win32-appar i Intune finns i Lägg till, tilldela och övervaka en Win32-app i Microsoft Intune.
Steg 2 – Skapa en grupp eller använd ett tilldelningsfilter
Vi rekommenderar att du fokuserar den här principen på en specifik uppsättning enheter. Dina alternativ:
- Alternativ 1 – Skapa en grupp som innehåller enheterna. När du skapar appprincipen och BIOS-konfigurationsprincipen tilldelar du principerna till den här gruppen.
- Alternativ 2 – Använd ett tilldelningsfilter baserat på enhetstillverkaren. När du skapar filtret riktar du in dig på OEM-enheterna. När du tilldelar app- och BIOS-konfigurationsprinciper lägger du till det här filtret.
Mer information om dessa funktioner finns i:
- Lägga till grupper för att organisera användare och enheter
- Använd filter när du tilldelar appar, principer och profiler i Microsoft Intune
Steg 3 – Skapa BIOS-konfigurationsprincipen i Intune
I den här principen lägger du till konfigurationsfilen som du skapade.
Logga in på Microsoft Intune administrationscenter.
Välj Enhetskonfiguration>>Skapa>ny princip.
Ange följande egenskaper:
- Plattform: Välj Windows 10 och senare.
- Profiltyp: Välj Mallar>BIOS-konfiguration och andra inställningar.
Välj Skapa.
Ange följande egenskaper i Grundinställningar:
- Namn: Ange ett beskrivande namn på profilen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel BIOS-konfigurationslösenord.
- Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
Välj Nästa.
I Konfigurationsinställningar, konfigurerar du följande inställningar:
Maskinvara: Välj oem-maskinvaruleverantör från en lista över OEM-tillverkare som stöds. För närvarande stöds endast Dell.
Inaktivera BIOS-lösenordsskydd per enhet: Den här inställningen hanterar det lösenord som skyddar BIOS-konfigurationen på enheten. Dina alternativ:
- Nej: Intune genererar ett unikt enhetslösenord för varje enhet. För att få åtkomst till och uppdatera BIOS-konfigurationen på enheten måste användarna ange det här lösenordet.
- Ja: Det finns inget lösenord som skyddar BIOS. Alla tidigare lösenord tas bort. Slutanvändare kan komma åt BIOS och ändra BIOS-inställningarna på enheten.
Konfigurationsfil: Ladda upp konfigurationsfilen som genererats med OEM-verktyget.
För Dell laddar du upp Filen Dell Client Configuration Tool Kit (
.cctk). Filstorleksgränsen är 2 MB.
Välj Nästa.
I Tilldelningar väljer du den nya enhetsgrupp som du skapade. Den här gruppen tar emot din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.
Välj Nästa.
Granska inställningarna i Granska + skapa och välj Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.
Nästa gång varje enhet checkar in tillämpas principen.
Övervaka din princip med inbyggda rapporter
När du har skapat en princip i Intune administrationscenter kan du övervaka dess status och se eventuella fel.
- I Intune administrationscenter går du till Enhetskonfigurationsprinciper>>.
- Välj den princip som du vill övervaka. Rapporten Enhetsstatus visar status för principen och visar eventuell felinformation för felsökning.
Mer information finns i:
Hämta BIOS-lösenorden
Intune lagrar BIOS-lösenorden för varje enhet. Du kan hämta BIOS-lösenorden med hjälp av Microsoft Graph. Om du vill testa Graph-API:erna kan du använda Microsoft Graph Explorer.
Viktigt
Se till att säkerhetskopiera alla lösenord utanför Intune.
- Om en enhet tas bort från Intune hantering kan administratörer fortfarande läsa BIOS-lösenord med hjälp av Api:et Microsoft Graph hardwarePasswordInfo.
- Om den Intune prenumerationen för din klientorganisation upphör går det inte att läsa eller hämta BIOS-lösenord. I det här fallet är ditt enda alternativ att kontakta oem-tillverkaren.
Alternativ 1 – Läs BIOS-lösenordet en enhet i taget
Det här alternativet hämtar BIOS-lösenorden, en enhet i taget.
Skapa en anpassad Intune RBAC-roll med behörigheten Läs Bios-lösenord:
- I Intune administrationscenter väljer duRoller>för innehavaradministration>Skapa en ny roll.
- Namnge din roll och välj Nästa.
- I Behörigheter expanderar du Hanterade enheter> Ange Läs bios-lösenord till Ja.
- Välj Nästa>nästa>skapa.
Logga in på graph-verktyget med den här anpassade RBAC-rollen och använd Microsoft Graph hardwarePasswordInfo-API:et:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Alternativ 2 – Läsa BIOS-lösenordet för alla enheter
Det här alternativet hämtar en lista över alla BIOS-lösenord för alla enheter.
Du behöver rollen Intune tjänstadministratör eller global administratör i Microsoft Entra ID.
Logga in på graph-verktyget med någon av dessa roller och använd Microsoft Graph hardwarePasswordInfo-API:et:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Mer information om RBAC-roller finns i Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune.
Ta bort BIOS-konfigurationslösenord
Om du planerar att sluta hantera BIOS för dina enheter eller ta bort enheter permanent från klientorganisationen måste du ta bort BIOS-lösenordet.
Om du vill ta bort BIOS-lösenordet i din Intune BIOS-konfigurationsprincip anger du inställningen Inaktivera BIOS-lösenordsskydd per enhet till Ja. Tilldela sedan principen. När enheten checkar in med Intune gäller principen. På enheten kan du också synkronisera enheten manuellt med Intune för att tillämpa principen.
När principen har tillämpas startar du om enheten.
Avregistrering av enheten från Intune tar inte bort BIOS-lösenordet. Om du avregistrerar enheten innan du inaktiverar lösenordet måste du uppdatera lösenordet manuellt på enheten.
BIOS-konfiguration jämfört med DFCI
Intune har två funktioner som kan hantera BIOS-inställningarna på Windows-enheter: BIOS-konfiguration och andra inställningar och DFCI (Device Firmware Configuration Interface).
I följande tabell jämförs dessa alternativ.
| Funktion | BIOS-konfiguration och andra inställningar | DFCI |
|---|---|---|
| OEM-tillverkare som stöds | Dell Möjligen mer i framtiden |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Mer information finns i Microsoft DFCI-scenarier. |
| Konfigurationer som stöds | Alla konfigurationer som är tillgängliga i OEM-verktyget | En uppsättning inställningar för att styra säkerhetsfunktioner, vissa maskinvarufunktioner, startalternativ, portar med mera |
| Så här tillämpas inställningarna | Intune levererar konfigurationsfilen när principen tilldelas. OEM-agenten på enheten tillämpar konfigurationen. | Via UEFI CSP med hjälp av DFCI-lagret, som är isolerat från operativsystemet |
| Blockerar åtkomst till BIOS-menyn | Ja, via BIOS-lösenord | Ja, via certifikat |
| Konfiguration under Windows Autopilot | I inställningarna för registreringsstatussidan (ESP) väljer du OEM Win32-appen. | Intune registrerar automatiskt enheten i DFCI mgmt. |
| Rapportering | Rapporterar om konfigurationsfilen tillämpas. | Detaljerad rapport för varje inställning som du konfigurerar. |
| Intune principtyp | Enheter>Konfiguration>Mallar>BIOS-konfiguration och andra inställningar | Enheter>Konfiguration>Mallar>Konfigurationsgränssnitt för enhetens inbyggda programvara |
Mer information om DFCI finns i:
- DFCI-profiler (Device Firmware Configuration Interface) på Windows-enheter i Microsoft Intune
- Microsoft DFCI-scenarier
- DFCI på Surface-enheter
Relaterade artiklar
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för