Använda BIOS-konfigurationsprofiler på Windows-enheter i Microsoft Intune

I Intune kan du använda en BIOS-konfiguration och andra inställningar för enhetskonfiguration för att aktivera eller inaktivera BIOS-funktioner och inställningar.

Med hjälp av ett OEM-verktyg skapar du en BIOS-konfigurationsfil som konfigurerar BIOS-funktionerna. På enheterna installerar du OEM Win32-appen som läser konfigurationen. I Intune BIOS-principen lägger du sedan till BIOS-konfigurationsfilen och tilldelar principen till dina enheter.

Konfigurationsfilen innehåller vanligtvis inställningar som skyddar enheten och skyddar den inbyggda maskinvaran.

Du vill till exempel förhindra att slutanvändare återskapar enheten och kommer ut ur Intune-hanteringen. För den här uppgiften skapar du en BIOS-konfigurationsfil som inaktiverar start från USB. Sedan lägger du till den här filen i Intune-principen och aktiverar ett BIOS-lösenord. De här stegen kontrollerar att konfigurationen inte skrivs över.

Den här funktionen gäller för:

• Windows 11
• Windows 10
• Dell-enheter

Den här artikeln innehåller mer information om konfigurationsfilen och Win32-appen och visar hur du skapar BIOS-konfigurationen och andra inställningar i Intune.

Varning

Ändringar i BIOS-konfigurationen kan påverka enhetens funktioner och funktionsduglighet, inklusive möjligheten att starta eller komma åt Bitlocker-krypterade enheter. Med den här funktionen kan Intune-administratörer enkelt uppdatera BIOS-konfigurationer på sina enheter. När du gör ändringar testar och distribuerar du i faser för att minimera effekten av oväntade konfigurationer.

Förhandskrav

• Om du vill konfigurera Intune-principerna loggar du minst in på Intune-administrationscentret med rollen Princip- och profilhanterare . Information om de inbyggda rollerna i Intune och vad de kan göra finns i:

  • Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune
  • Inbyggda rollbehörigheter för Microsoft Intune

• Den här funktionen stöder organisationsägda enheter som är MDM-registrerade i Intune. Personliga enheter och enheter som inte har registrerats i Intune stöds inte.

• Kontrollera att enheterna inte har något befintligt BIOS-lösenord konfigurerat. Den här funktionen kräver att Intune har BIOS-lösenordet. Om Intune inte har BIOS-lösenordet för enheten kan det inte uppdatera BIOS-konfigurationen.

Steg 1 – Skapa konfigurationsfilen och distribuera appen

Det här avsnittet fokuserar på att använda OEM-verktyget för att skapa konfigurationsfilen och distribuera OEM Win32-appen till enheterna.

1. Skapa konfigurationsfilen med hjälp av ett OEM-verktyg. I filen lägger du till och konfigurerar de funktioner som du vill konfigurera. Du kan lägga till alla konfigurationsinställningar som OEM-tillverkaren stöder.

   • För Dell kan du använda dellkommandot (öppnar Dells webbplats) för att skapa BIOS-konfigurationsfilen.

2. När du skapar konfigurationsfilen finns det en samordnande Win32-app från OEM-tillverkaren. Distribuera OEM Win32-appen till enheterna. Den här appen:

   • Fungerar som en agent som läser konfigurationsfilen som du skapar och läser BIOS-lösenorden för enheterna.
   • Måste installeras på alla enheter innan du tilldelar Intune BIOS-konfigurationsprincipen.

   För Dell kan du ladda ned Dell Command-appen (öppnar Dells webbplats).

   Om du vill installera den här appen på enheterna kan du använda Intune:

   • Lägg till appen i Intune och gör den till en obligatorisk app.
   • Tilldela appen till den grupp eller det tilldelningsfilter som du skapar i nästa steg (i den här artikeln).

   Information om Win32-appar i Intune finns i Lägg till, tilldela och övervaka en Win32-app i Microsoft Intune.

Steg 2 – Skapa en grupp eller använd ett tilldelningsfilter

Vi rekommenderar att du fokuserar den här principen på en specifik uppsättning enheter. Dina alternativ:

• Alternativ 1 – Skapa en grupp som innehåller enheterna. När du skapar appprincipen och BIOS-konfigurationsprincipen tilldelar du principerna till den här gruppen.
• Alternativ 2 – Använd ett tilldelningsfilter baserat på enhetstillverkaren. När du skapar filtret riktar du in dig på OEM-enheterna. När du tilldelar app- och BIOS-konfigurationsprinciper lägger du till det här filtret.

Information om dessa funktioner finns i:

• Lägga till grupper för att organisera användare och enheter
• Använd filter när du tilldelar appar, principer och profiler i Microsoft Intune

Steg 3 – Skapa BIOS-konfigurationsprincipen i Intune

I den här principen lägger du till konfigurationsfilen som du skapade i steg 1 med OEM-verktyget.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

3. Ange följande egenskaper:

   • Plattform: Välj Windows 10 och senare.
   • Profiltyp: Välj Mallar>BIOS-konfiguration och andra inställningar.

4. Välj Skapa.

5. Ange följande egenskaper i Grundinställningar:

   • Namn: Ange ett beskrivande namn på profilen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel BIOS-konfigurationslösenord.
   • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

   Välj Nästa.

6. I Konfigurationsinställningar, konfigurerar du följande inställningar:

   • Maskinvara: Välj oem-maskinvaruleverantör från en lista över OEM-tillverkare som stöds. För närvarande stöds endast Dell.

   • Inaktivera BIOS-lösenordsskydd per enhet: Den här inställningen hanterar det lösenord som skyddar BIOS-konfigurationen på enheten. Dina alternativ:

     • Nej: Intune genererar ett unikt enhetslösenord för varje enhet. För att få åtkomst till och uppdatera BIOS-konfigurationen på enheten måste användarna ange det här lösenordet.
     • Ja: Det finns inget lösenord som skyddar BIOS. Alla tidigare lösenord tas bort. Slutanvändare kan komma åt BIOS och ändra BIOS-inställningarna på enheten.

   • Konfigurationsfil: Ladda upp konfigurationsfilen som genererats med OEM-verktyget.

     För Dell laddar du upp Filen Dell Client Configuration Tool Kit (.cctk). Filstorleksgränsen är 2 MB.

   Välj Nästa.

7. I Tilldelningar väljer du den nya enhetsgrupp som du skapade. Den här gruppen tar emot din profil. Information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

   Välj Nästa.

8. Granska inställningarna i Granska + skapa och välj Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Nästa gång varje enhet checkar in tillämpas principen.

Övervaka din princip med inbyggda rapporter

När du har skapat en princip i Intune-administrationscentret kan du övervaka dess status och se eventuella fel.

1. I administrationscentret för Intune går du till fliken Enheter>Hantera enheter>Konfigurationsprinciper>.
2. Välj den princip som du vill övervaka. Rapporten Enhetsstatus visar status för principen och visar eventuell felinformation för felsökning.

Mer information finns i:

• Övervaka enhetskonfigurationsprinciper i Microsoft Intune
• Intune-rapporter

Hämta BIOS-lösenorden

Intune lagrar BIOS-lösenorden för varje enhet. Du kan hämta BIOS-lösenorden med hjälp av Microsoft Graph. Om du vill testa Graph-API:erna kan du använda Microsoft Graph Explorer.

Viktigt

Se till att du säkerhetskopierar alla lösenord utanför Intune. Om du inte säkerhetskopierar lösenorden utanför Intune bör du vara medveten om följande scenarier:

• Om en enhet tas bort från Intune-hanteringen kan administratörer fortfarande läsa BIOS-lösenord med hjälp av Api:et Microsoft Graph hardwarePasswordInfo.
• Om Intune-prenumerationen för din klientorganisation upphör går det inte att läsa eller hämta BIOS-lösenord. I det här fallet är ditt enda alternativ att kontakta oem-tillverkaren.

Alternativ 1 – Läs BIOS-lösenordet en enhet i taget

Det här alternativet hämtar BIOS-lösenorden, en enhet i taget.

1. Skapa en anpassad Intune RBAC-roll med behörigheten Läs Bios-lösenord :

   1. Logga minst in på Intune-administrationscentret som medlem i den inbyggda Intune-rollen Intune-rolladministratör .

      Information om inbyggda Intune-roller finns i:

      • Rollbaserad åtkomstkontroll (RBAC) med Microsoft Intune
      • Inbyggda rollbehörigheter för Microsoft Intune

   2. VäljInnehavaradministrationsroller>>Skapa en ny roll.

   3. Namnge din roll och välj Nästa.

   4. I Behörigheter expanderar du Hanterade enheter> Ange Läs bios-lösenord till Ja.

   5. Välj Nästa>nästa>skapa.

2. Logga in på graph-verktyget med den här anpassade RBAC-rollen och använd Microsoft Graph hardwarePasswordInfo-API:et:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Alternativ 2 – Läsa BIOS-lösenordet för alla enheter

Det här alternativet hämtar en lista över alla BIOS-lösenord för alla enheter.

1. Du behöver minst rollen Intune-administratör i Microsoft Entra-ID.

2. Logga in på graph-verktyget med den här rollen och använd Microsoft Graph hardwarePasswordInfo API:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Information om de inbyggda rollerna finns i Inbyggda Roller i Microsoft Entra.

Ta bort BIOS-konfigurationslösenord

Om du planerar att sluta hantera BIOS för dina enheter eller ta bort enheter permanent från klientorganisationen måste du ta bort BIOS-lösenordet.

Om du vill ta bort BIOS-lösenordet anger du inställningen Inaktivera BIOS-lösenordsskydd per enhet i intune BIOS-konfigurationsprincipen till Ja. Tilldela sedan principen. När enheten checkar in med Intune gäller principen. På enheten kan du också synkronisera enheten manuellt med Intune för att tillämpa principen.

När principen har tillämpas startar du om enheten.

Om du avregistrerar enheten från Intune tar du inte bort BIOS-lösenordet. Om du avregistrerar enheten innan du inaktiverar lösenordet måste du uppdatera lösenordet manuellt på enheten.

BIOS-konfiguration jämfört med DFCI

Intune har två funktioner som kan hantera BIOS-inställningarna på Windows-enheter: BIOS-konfiguration och andra inställningar ochdfci (Device Firmware Configuration Interface).

I följande tabell jämförs dessa alternativ.

Funktion	BIOS-konfiguration och andra inställningar	DFCI
OEM-tillverkare som stöds	Dell Möjligen mer i framtiden	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Mer information finns i Microsoft DFCI-scenarier.
Konfigurationer som stöds	Alla konfigurationer som är tillgängliga i OEM-verktyget	En uppsättning inställningar för att styra säkerhetsfunktioner, vissa maskinvarufunktioner, startalternativ, portar med mera
Så här tillämpas inställningarna	Intune levererar konfigurationsfilen när principen tilldelas. OEM-agenten på enheten tillämpar konfigurationen.	Via UEFI CSP med hjälp av DFCI-lagret, som är isolerat från operativsystemet
Blockerar åtkomst till BIOS-menyn	Ja, via BIOS-lösenord	Ja, via certifikat
Konfiguration under Windows Autopilot	I inställningarna för registreringsstatussidan (ESP) väljer du OEM Win32-appen.	Intune registrerar automatiskt enheten i DFCI mgmt.
Rapportering	Rapporterar om konfigurationsfilen tillämpas.	Detaljerad rapport för varje inställning som du konfigurerar.
Intune-principtyp	Enheter>Hantera enheter>Konfiguration>Mallar>BIOS-konfiguration och andra inställningar	Enheter>Hantera enheter>Konfiguration>Mallar>Konfigurationsgränssnitt för enhetens inbyggda programvara

Information om DFCI finns i:

• DFCI-profiler (Device Firmware Configuration Interface) på Windows-enheter i Microsoft Intune
• Microsoft DFCI-scenarier
• DFCI på Surface-enheter

Relaterade artiklar

• Tilldela profilen
• Övervaka profilstatusen