Profilinställningar för DFCI (Device Firmware Configuration Interface) i Microsoft Intune

Den här artikeln listar och beskriver de DFCI-profilinställningar som du kan styra på Windows-klientenheter. Som en del av din MDM-lösning (hantering av mobila enheter) använder du de här inställningarna för att styra säkerhetsfunktioner, inbyggd maskinvara och startalternativen i UEFI-lagret i Windows.

De här inställningarna gäller för:

• Windows 11 på UEFI som stöds
• Windows 10 RS5 (1809) och senare med UEFI som stöds

De här inställningarna läggs till i en enhetskonfigurationsprofil i Intune och tilldelas eller distribueras sedan till dina Windows-klientenheter.

Innan du börjar

• Skapa Windows 10/11 DFCI-profilen. Det finns fler krav för att skapa DFCI-profiler. Mer specifik information finns i Använda DFCI-profiler på Windows-enheter i Microsoft Intune.
• Vissa inställningar är inte tillgängliga för alla enheter. Kontakta enhetstillverkaren för att kontrollera om en inställning är eller inte är tillgänglig på enheten.
• De här inställningarna använder UEFI CSP.

Varning

Var försiktig. Att konfigurera och tilldela DFCI-profiler kan låsa enheten bortom reparation. Inställningarna för DFCI-profilen ändrar enhetens maskinvara och kan inte åtgärdas genom ombildning av operativsystemet.

UEFI-åtkomst

• Tillåt lokal användare att ändra UEFI-inställningar: Dina alternativ:
  • Endast inte konfigurerade inställningar: Den lokala användaren kan ändra alla inställningar förutom de inställningar som uttryckligen anges till Aktivera eller Inaktivera av Intune.
  • Ingen: Den lokala användaren kan inte ändra några UEFI-inställningar (BIOS), inklusive inställningar som inte visas i DFCI-profilen.

Säkerhetslösningar

• CPU- och IO-virtualisering:Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
  • Aktiverad: BIOS gör plattformens funktioner för CPU- och I/O-virtualisering tillgängliga för användning av operativsystemet. Det aktiverar Windows-tekniker för virtualiseringsbaserad säkerhet och enhetsskydd.

• Windows Platform Binary Table (WPBT): MED WPBT kan leverantörer och OEM-tillverkare köra ett .exe program i UEFI-lagret. Varje gång Windows startar tittar det på UEFI och kör .exe. Använd den här funktionen om du vill köra program som inte ingår i Windows-mediet.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard tillåta att leverantörer och OEM-tillverkare kör program med WPBT.
  • Aktiverad: Aktiverar WPBT och tillåter .exe att program i UEFI-lagret körs.
  • Inaktiverad: Inaktiverar WPBT och förhindrar .exe att program i UEFI-lagret körs.

• Samtidig multitrådning (SMT): Kallas även hypertrådning. Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen.
  • Aktiverad: Aktiverar SMT i UEFI-lagret.
  • Inaktiverad: Inaktiverar SMT i UEFI-lagret.

Kameror

• Kameror: Den här inställningen hanterar alla maskinvarukameror som är inbyggda i enheten. Den hanterar inte ansluten kringutrustning, till exempel USB-webbkameror.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda kamerorna.
  • Aktiverad: Alla inbyggda kameror som hanteras direkt av UEFI (BIOS) aktiveras. Kringutrustning, till exempel USB-kameror, påverkas inte.
  • Inaktiverad: Alla inbyggda kameror som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.

• Frontkameror: Den här inställningen hanterar de inbyggda främre synliga ljuskamerorna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda synliga ljuskamerorna framför.
  • Aktiverad: Alla inbyggda främre synliga ljuskameror som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.
  • Inaktiverad: Alla inbyggda främre synliga ljuskameror som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.

• Bakre kameror: Den här inställningen hanterar de inbyggda bakre synliga ljuskamerorna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda bakre kamerorna.
  • Aktiverad: Alla inbyggda bakåt synliga ljuskameror som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.
  • Inaktiverad: Alla inbyggda bakåt synliga ljuskameror som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.

• IR-kameror (IR): Den här inställningen hanterar de inbyggda infraröda kamerorna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda infraröda kamerorna.
  • Aktiverad: Alla inbyggda infraröda kameror som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.
  • Inaktiverad: Alla inbyggda infraröda kameror som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-kameror, påverkas inte.

Mikrofoner och högtalare

Vi rekommenderar att du konfigurerar kategoriinställningarna mikrofoner och högtalareeller detaljerade inställningar för mikrofoner . Om du konfigurerar alla inställningar kan de här inställningarna orsaka en konflikt. Mer information finns i Översikt över DFCI-profil: Konflikter.

• Mikrofoner och högtalare: Den här inställningen hanterar alla mikrofoner och högtalare som är inbyggda i enheten. Den hanterar inte ansluten kringutrustning, till exempel USB-enheter.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda mikrofonerna och högtalarna.
  • Aktiverad: Alla inbyggda mikrofoner och högtalare som hanteras direkt av UEFI (BIOS) aktiveras. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda mikrofoner och högtalare som hanteras direkt av UEFI (BIOS) inaktiveras. Kringutrustning, till exempel USB-enheter, påverkas inte.

• Mikrofoner: Den här inställningen hanterar de inbyggda mikrofoner som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda mikrofonerna.
  • Aktiverad: Alla inbyggda mikrofoner som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda mikrofoner som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

Radioapparater

Vi rekommenderar att du konfigurerar inställningarna för Radio (Bluetooth, Wi-Fi, NFC osv.)eller inställningarna för Bluetooth, Wi-Fi osv. Om du konfigurerar alla inställningar kan de här inställningarna orsaka en konflikt. Mer information finns i Översikt över DFCI-profil: Konflikter.

• Radio (Bluetooth, Wi-Fi, NFC osv.): Den här inställningen hanterar alla inbyggda radioapparater som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera alla inbyggda radioprogram.

  • Aktiverad: Alla inbyggda radior som hanteras direkt av UEFI (BIOS) aktiveras. Kringutrustning, till exempel USB-enheter, påverkas inte.

  • Inaktiverad: Alla inbyggda radior som hanteras direkt av UEFI (BIOS) inaktiveras. Kringutrustning, till exempel USB-enheter, påverkas inte.

    När inställningen är Inaktiverad kräver enheten en kabelansluten nätverksanslutning. Annars kan enheten vara ohanterlig.

• Bluetooth: Den här inställningen hanterar de inbyggda Bluetooth-radioapparater som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda Bluetooth-radioapparaterna.
  • Aktiverad: Alla inbyggda Bluetooth-radioapparater som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda Bluetooth-radioapparater som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

• WWAN: Den här inställningen hanterar de inbyggda WWAN-radiorna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda WWAN-radioapparaterna.
  • Aktiverad: Alla inbyggda WWAN-radioapparater som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda WWAN-radioapparater som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

• NFC: Den här inställningen hanterar de inbyggda NFC-radiorna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda NFC-radioapparaterna.
  • Aktiverad: Alla inbyggda NFC-radioapparater som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda NFC-radioapparater som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

• Wi-Fi: Den här inställningen hanterar de inbyggda Wi-Fi-radio som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda Wi-Fi-radioapparaterna.
  • Aktiverad: Alla inbyggda Wi-Fi-radio som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda Wi-Fi-radio som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

Startalternativ

Varning

Om du inaktiverar alla externa startalternativ eller alla externa portar kompliceras os-återställningen avsevärt. Om du vill återställa en enhet som inte längre kan starta Windows kan du behöva öppna enheten fysiskt och ersätta maskinvarulagringen.

• Starta från extern media (USB, SD): Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard tillåta start från externa medier.

  • Aktiverad: UEFI (BIOS) tillåter start från icke-hårddiskbaserad lagring.

  • Inaktiverad: UEFI (BIOS) förhindrar start från lagring utan hårddisk, vilket även inaktiverar start från nätverkskort.

    Ange inte inställningen Starta från nätverkskort till Aktiverad när inställningen Är inaktiverad. Det gör att inställningen Starta från externa medier (USB, SD) eller inställningen Starta från nätverkskort inte är kompatibel.

• Starta från nätverkskort: Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard tillåta start från inbyggda nätverkskort.
  • Aktiverad: UEFI (BIOS) tillåter start från inbyggda nätverksgränssnitt.
  • Inaktiverad: UEFI (BIOS) förhindrar start av inbyggda nätverksgränssnitt.

Portar

Varning

Om du inaktiverar alla externa startalternativ eller alla externa portar kompliceras os-återställningen avsevärt. Om du vill återställa en enhet som inte längre kan starta Windows kan du behöva öppna enheten fysiskt och ersätta maskinvarulagringen.

• USB-typ A: Den här inställningen hanterar de inbyggda USB-portarna av typen A som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda USB-portarna av typen A.
  • Aktiverad: Alla inbyggda USB-portar av typen A som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda USB-portar av typen A som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

• SD-kort: Den här inställningen hanterar de inbyggda SD-kortportarna som hanteras av UEFI (BIOS). Den hanterar inte ansluten kringutrustning.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard aktivera de inbyggda SD-kortportarna.
  • Aktiverad: Alla inbyggda SD-kortportar som hanteras direkt av UEFI (BIOS) är aktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.
  • Inaktiverad: Alla inbyggda SD-kortportar som hanteras direkt av UEFI (BIOS) är inaktiverade. Kringutrustning, till exempel USB-enheter, påverkas inte.

Väckningsinställningar

• Wake on LAN: Wake on LAN låter en nätverksadministratör fjärraktivering av en enhet i viloläge med hjälp av LAN.

  Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard förhindra att en enhet aktiveras med hjälp av LAN.
  • Aktiverad: UEFI (BIOS) tillåter att en enhet aktiveras med hjälp av LAN.
  • Inaktiverad: UEFI (BIOS) förhindrar att en enhet aktiveras med hjälp av LAN.

• Aktivera ström: När enheten är ansluten till en strömkälla, hanterar den här inställningen om berättigade enheter automatiskt kan startas från viloläge eller avstängningstillstånd. Dina alternativ:

  • Inte konfigurerad: Intune varken ändrar eller uppdaterar den här inställningen. Operativsystemet kan som standard förhindra att en enhet aktiveras när den är ansluten till en strömkälla.
  • Aktiverad: UEFI (BIOS) tillåter att en enhet aktiveras när den är ansluten till en strömkälla.
  • Inaktiverad: UEFI (BIOS) förhindrar att en enhet aktiveras när den är ansluten till en strömkälla.

Relaterade artiklar

• Mer teknisk information om varje inställning och vilka utgåvor av Windows som stöds finns i CSP-referens för Windows 10/11-princip.

• Använd DFCI-profiler på Windows-enheter i Microsoft Intune.

• Tilldela profilen och övervaka dess status.