Använd DFCI-profiler (Device Firmware Configuration Interface) på Windows-enheter i Microsoft Intune

  • Artikel

När du använder Intune för att hantera Windows Autopilot-enheter kan du hantera UEFI-inställningar (BIOS) när de har registrerats med hjälp av DFCI (Device Firmware Configuration Interface). En översikt över fördelar, scenarier och förutsättningar finns i Översikt över DFCI.

Med DFCI kan Windows skicka hanteringskommandon från Intune till UEFI (Unified Extensible Firmware Interface).

I Intune använder du den här funktionen för att kontrollera BIOS-inställningar. Vanligtvis är inbyggd programvara mer motståndskraftig mot skadliga attacker. Den begränsar slutanvändarnas kontroll över BIOS, vilket är lämpligt i en komprometterad situation.

Den här funktionen gäller för:

  • Windows 11 på UEFI som stöds
  • Windows 10 RS5 (1809) och senare med UEFI som stöds

Du kan till exempel använda Windows-klientenheter i en säker miljö och inaktivera kameran. Du kan inaktivera kameran på lagret för inbyggd programvara så att det inte spelar någon roll vad slutanvändaren gör. Kameran aktiveras inte om operativsystemet startas om eller om datorn rensas. Ett annat exempel är att låsa startalternativen för att hindra användare från att starta ett annat operativsystem eller en äldre version av Windows som inte har samma säkerhetsfunktioner.

När du installerar om en äldre Windows-version, installerar ett separat operativsystem eller formaterar hårddisken kan du inte åsidosätta DFCI-hantering. Den här funktionen kan förhindra att skadlig kod kommunicerar med OS-processer, däribland förhöjda OS-processer. Förtroendekedjan i DFCI använder kryptering med offentlig nyckel och är inte beroende av lokal lösenordssäkerhet för UEFI (BIOS). Det här säkerhetslagret hindrar lokala användare från att komma åt hanterade inställningar från enhetens UEFI-menyer (BIOS).

Tips

För Dell-enheter kan du skapa en princip för BIOS-konfigurationer . Mer information finns i Använda BIOS-konfigurationsprofiler på Windows-enheter i Microsoft Intune.

Innan du börjar

  • Enhetstillverkaren måste ha lagt till DFCI i sin inbyggda UEFI-programvara under tillverkningsprocessen eller som en uppdatering av inbyggd programvara som du installerar. Ta hjälp av dina enhetsleverantörer för att fastställa vilka tillverkare som stöder DFCI eller vilken version av inbyggd programvara som krävs för användning av DFCI.

  • Enheten måste registreras för Windows Autopilot av en Microsoft Cloud Solution Provider-partner (CSP) eller registreras direkt av OEM-tillverkaren.

    Enheter som registrerats manuellt för Windows Autopilot, till exempel importerade från en csv-fil, får inte använda DFCI. Det är avsiktligt att DFCI-hanteringen kräver extern attestering av enhetens kommersiella förvärv via en OEM-tillverkare eller en Microsoft CSP-partnerregistrering i Windows Autopilot.

    När enheten har registrerats visas dess serienummer i listan över Windows Autopilot-enheter.

    Mer information om Windows Autopilot, inklusive eventuella krav, finns i Registreringsöversikt för Windows Autopilot.

Skapa dina Microsoft Entra säkerhetsgrupper

Windows Autopilot-distributionsprofiler tilldelas till Microsoft Entra säkerhetsgrupper. Se till att skapa grupper som omfattar dina DFCI-enheter som stöds. För DFCI-enheter kan de flesta organisationer skapa enhetsgrupper i stället för användargrupper. Beakta följande scenarier:

  • Personalavdelningen (HR) har olika Windows-enheter. Av säkerhetsskäl vill du inte att någon i den här gruppen ska använda kameran på enheterna. I det här scenariot kan du skapa en användargrupp för HR-säkerhet så att principen gäller för användarna i HR-gruppen oavsett enhetstyp.

  • På produktionsgolvet har du 10 enheter. Du vill förhindra alla enheter från att startas från en USB-enhet. I det här scenariot kan du skapa en säkerhetsenhetsgrupp och lägga till dessa 10 enheter i gruppen.

Mer information om hur du skapar grupper i Intune finns i Lägg till grupper för att organisera användare och enheter.

Skapa profilerna

För att använda DFCI skapar du följande profiler och tilldelar dem till din grupp.

Steg 1 – Skapa en Windows Autopilot-distributionsprofil

Den här profilen konfigurerar och förkonfigurerar nya enheter. I följande artikel visas stegen för att skapa profilen:

Steg 2 – Skapa en profil för registreringstillståndssidan

Den här profilen ser till att enheterna verifieras och aktiveras för DFCI under Windows-installationen. Det rekommenderas starkt att du använder den här profilen för att blockera enhetsanvändning tills alla appar och profiler har installerats.

I följande artikel visas stegen för att skapa profilen:

Steg 3 – Skapa DFCI-profilen i Intune

Den här profilen innehåller de DFCI-inställningar som du konfigurerar.

Tips

Att konfigurera och tilldela DFCI-profiler kan låsa enheten bortom reparation. Var därför uppmärksam på de värden som du konfigurerar.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enhetskonfiguration>>Skapa.

  3. Ange följande egenskaper:

    • Plattform: Välj Windows 10 och senare.
    • Profiltyp: Välj Mallar Konfigurationsgränssnitt för enhetens>inbyggda programvara.

  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel Windows – DFCI-inställningar på Windows-enheter.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

    Välj Nästa.

  6. I Konfigurationsinställningar konfigurerar du de inställningar som du vill styra i UEFI-lagret för inbyggd programvara. En lista över alla inställningar och vad de gör finns i:

    Välj Nästa.

  7. Under Omfångstaggar (valfritt), tilldelar du en tagg för att filtrera profilen till specifika IT-grupper, till exempel US-NC IT Team eller JohnGlenn_ITDepartment. Mer information om omfångstaggar finns i Använda RBAC och omfångstaggar för distribuerad IT. Välj Nästa.

  8. Under Tilldelningar väljer du de användare eller den användargrupp som ska få din profil. Mer information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler. Välj Nästa.

  9. Granska inställningarna i Granska + skapa och välj Skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Nästa gången varje enhet checkar in tillämpas principen.

Tilldela profilerna och starta om

Se till att tilldela profilerna till dina Microsoft Entra säkerhetsgrupper som innehåller dina DFCI-enheter. Profilen kan tilldelas när den skapas, eller efteråt.

När enheten kör Windows Autopilot kan DFCI framtvinga en omstart på sidan för registreringsstatus. Den första omstarten registrerar UEFI i Intune.

Om du vill bekräfta att enheten har registrerats kan du starta om enheten igen, men det är inget krav. Följ enhetstillverkarens instruktioner för att öppna UEFI-menyn och bekräfta att UEFI hanteras.

Nästa gången enheten synkroniserar med Intune, tar Windows emot DFCI-inställningarna. Starta om enheten. Den här tredje omstarten krävs för att UEFI ska kunna ta emot DFCI-inställningarna från Windows.

Uppdatera befintliga DFCI-inställningar

Om du vill ändra befintliga DFCI-inställningar på enheter som används kan du göra det. I din befintliga DFCI-profil ändrar du inställningarna och sparar ändringarna. Eftersom profilen redan har tilldelats börjar de nya DFCI-inställningarna gälla när:

  1. Enheten checkar in med Intune-tjänsten för att granska profiluppdateringar. Incheckningar sker då och då. Mer information finns i när enheter får en princip, profil eller appuppdateringar.
  2. Om du vill framtvinga de nya inställningarna startar du om enheten fjärrstyrt eller lokalt.

Du kan även signalera till enheter att checka in. Efter en lyckad synkronisering signalerar du för omstart.

Obs!

Om du tar bort DFCI-profilen, eller tar bort en enhet från den grupp som är tilldelad till profilen, innebär det inte att DFCI-inställningarna tas bort eller att UEFI-menyerna (BIOS) återaktiveras. Om du vill sluta använda DFCI uppdaterar du inställningarna i din befintliga DFCI-profil. Mer information om stegen finns i Dra tillbaka enheten i den här artikeln.

Konflikter

När du skapar DFCI-principen konfigurerar du de Windows DFCI-inställningar som du vill hantera.

Vissa inställningar finns i en logisk kategori, till exempel mikrofoner och högtalare. Det finns även detaljerade inställningar, till exempel mikrofoner. Om de här inställningarna är i konflikt händer följande:

  • I det första synkroniseringsförsöket tillämpas den detaljerade inställningen (Mikrofoner) och kategoriinställningen är inkompatibel (mikrofoner och högtalare).

  • Med varje synkronisering med Intune-tjänsten efter den första synkroniseringen sker följande beteende i en loop:

    • Intune tillämpar kategoriinställningen (mikrofoner och högtalare) eftersom den inte är kompatibel. Den detaljerade inställningen (Mikrofoner) blir inkompatibel.
    • Intune tillämpar den detaljerade inställningen (Mikrofoner) eftersom den inte är kompatibel. Kategoriinställningen (Mikrofoner och högtalare) blir inkompatibel.

Om du vill undvika det här loopbeteendet konfigurerar du kategoriinställningen eller de detaljerade inställningarna.

Du vill till exempel bara tillåta Wi-Fi radio. I det här scenariot gör du följande:

  • Låt kategorin Radio (Bluetooth, Wi-Fi, NFC osv.) vara inte konfigurerad.
  • För inställningen Wi-Fi-radio ställer du in den på Aktivera.
  • Ställ in alla andra detaljerade alternativinställningar på Inaktiverad.

Återanvända, återställa eller ta enheten ur bruk

Återanvända

Om du planerar att återställa Windows för att ändra syftet med enheten rensar du enheten. Ta inte bort enhetsposten för Windows Autopilot.

När du har rensat enheten flyttar du enheten till den grupp som tilldelats de nya DFCI- och Windows Autopilot-profilerna. Starta om enheten för att köra Windows-konfigurationen igen.

Pensionera

När du är redo att ta enheten ur bruk och frigöra den från hantering uppdaterar du DFCI-profilen till de UEFI-inställningar (BIOS) som du vill ha i utgångstillståndet. Vanligtvis vill du att alla inställningar är aktiverade. Till exempel:

  1. I Intune administrationscenter öppnar du din DFCI-profil (Enhetskonfiguration>).
  2. Ändra Tillåt lokal användare att ändra UEFI-inställningar (BIOS) till Endast ej konfigurerade inställningar.
  3. Ange alla andra inställningar till Ej konfigurerat.
  4. Spara dina inställningar.

De här stegen låser upp enhetens UEFI-menyer (BIOS). Värdena förblir samma som profilen (Aktiverade eller Inaktiverade) och återställs inte tillbaka till standardvärden för operativsystemet.

Du är nu redo att rensa enheten. När enheten har rensats tar du bort Windows Autopilot-posten. När du tar bort posten förhindras enheten från att automatiskt registreras på nytt när den startas om.

Tips

Om du vill ta bort Surface-enheter från DFCI-registrering går du till ta bort DFCI-hantering.

Återställa

Om du rensar en enhet och tar bort Windows Autopilot-posten innan du låser upp UEFI-menyerna (BIOS) förblir menyerna låsta. Intune kan inte skicka profiluppdateringar för att låsa upp dem.

Om du vill låsa upp enheten öppnar du UEFI-menyn (BIOS) och uppdaterar hanteringen från nätverket. Återställningen låser upp menyerna, men lämnar alla UEFI-inställningar (BIOS) som värdena i den tidigare Intune DFCI-profilen.

Påverkan för slutanvändare

När DFCI-principen tillämpas kan lokala användare inte ändra inställningar som konfigurerats av DFCI, även om UEFI-menyn (BIOS) är lösenordsskyddad. Beroende på de inställningar som du konfigurerar kan slutanvändare få felmeddelanden om att maskinvarukomponenter inte hittas eller inte kan diagnostiseras. Ge slutanvändarna dokumentation som förklarar de alternativ som du har inaktiverat.