Microsoft Intune'da Windows cihazlarında BIOS yapılandırma profillerini kullanma
Intune,BIOS özelliklerini ve ayarlarını etkinleştirmek veya devre dışı bırakmak için bir BIOS yapılandırması ve diğer ayarlar cihaz yapılandırma ilkesini kullanabilirsiniz.
BIR OEM aracı kullanarak, BIOS özelliklerini yapılandıran bir BIOS yapılandırma dosyası oluşturursunuz. Cihazlarda, yapılandırmayı okuyan OEM Win32 uygulamasını yüklersiniz. Ardından, Intune BIOS ilkesinde BIOS yapılandırma dosyasını ekler ve ilkeyi cihazlarınıza atarsınız.
Yapılandırma dosyası genellikle cihazın güvenliğini sağlayan ve yerleşik donanımın güvenliğini sağlayan ayarları içerir.
Örneğin, son kullanıcıların cihazı yeniden kullanmasını ve Intune yönetiminden çıkmasını engellemek istiyorsunuz. Bu görev için, USB'den önyüklemeyi devre dışı bırakmayan bir BIOS yapılandırma dosyası oluşturursunuz. Ardından, bu dosyayı Intune ilkesine ekler ve bios parolasını etkinleştirirsiniz. Bu adımlar yapılandırmanın üzerine yazılmamasını sağlar.
Bu özellik şu platformlarda geçerlidir:
- Windows 10 ve üzeri
- Dell cihazları
Bu makale, yapılandırma dosyası ve Win32 uygulaması hakkında daha fazla bilgi içerir ve Intune'de BIOS yapılandırmasını ve diğer ayarlar ilkesini nasıl oluşturabileceğinizi gösterir.
Uyarı
BIOS yapılandırma değişiklikleri, Bitlocker şifreli sürücüleri önyükleme veya erişim de dahil olmak üzere cihaz işlevselliğini ve çalışabilirliğini etkileyebilir. Bu özellik, Intune yöneticilerin cihazlarında BIOS yapılandırmalarını kolayca güncelleştirmesine olanak tanır. Değişiklik yaptığınızda, beklenmeyen yapılandırmaların etkisini en aza indirmek için aşamalar halinde test edin ve dağıtın.
Önkoşullar
Bu ilkeyi yapılandırmak için en azından Intune yönetim merkezinde İlke ve Profil yöneticisi rolüyle oturum açın. Intune'daki yerleşik roller hakkında daha fazla bilgi için Microsoft Intune ile rol tabanlı erişim denetimi'ne gidin.
Bu özellik, Intune kayıtlı MDM olan kuruluşa ait cihazları destekler. Intune kayıtlı olmayan kişisel cihazlar ve cihazlar desteklenmez.
Cihazların yapılandırılmış bir BIOS parolası olmadığından emin olun. Bu özellik, Intune BIOS parolasına sahip olmasını gerektirir. Intune cihazın BIOS parolasına sahip değilse BIOS yapılandırmasını güncelleştiremez.
1. Adım - Yapılandırma dosyasını oluşturma ve uygulamayı dağıtma
Bu bölüm, yapılandırma dosyasını oluşturmak için OEM aracını kullanmaya ve OEM Win32 uygulamasını cihazlara dağıtmaya odaklanır.
OEM aracını kullanarak yapılandırma dosyasını oluşturun. Dosyada, yapılandırmak istediğiniz özellikleri ekleyin ve yapılandırın. OEM'in desteklediği tüm yapılandırma ayarlarını ekleyebilirsiniz.
- Dell için, BIOS yapılandırma dosyasını oluşturmak için Dell Komutu (Dell'in web sitesini açar) aracını kullanabilirsiniz.
Yapılandırma dosyasını oluşturduğunuzda, OEM tarafından sağlanan bir koordine Win32 uygulaması vardır. OEM Win32 uygulamasını cihazlara dağıtın. Bu uygulama:
- Oluşturduğunuz yapılandırma dosyasını okuyan ve cihazların BIOS parolalarını okuyan bir aracı görevi görür.
- Intune BIOS yapılandırma ilkesini atamadan önce tüm cihazlara yüklenmelidir.
Dell için Dell Komutu (Dell'in web sitesini açar) uygulamasını indirebilirsiniz.
Bu uygulamayı cihazlara yüklemek için Intune kullanabilirsiniz. Uygulamayı Intune ekleyip gerekli bir uygulama haline getirirsiniz. Ardından, uygulamayı 2. Adım : Grup oluşturma veya atama filtresi kullanma (bu makalede) içinde oluşturduğunuz grup veya atama filtresine atayın.
Intune'daki Win32 uygulamaları hakkında daha fazla bilgi için Microsoft Intune'da Win32 uygulaması ekleme, atama ve izleme bölümüne gidin.
2. Adım - Grup oluşturma veya atama filtresi kullanma
Bu ilkenin belirli bir cihaz kümesine odaklanması önerilir. Seçenekleriniz:
- Seçenek 1 - Cihazları içeren bir grup oluşturun. Uygulama ilkesini ve BIOS yapılandırma ilkesini oluşturduğunuzda, ilkeleri bu gruba atarsınız.
- Seçenek 2 - Cihaz üreticisine göre bir atama filtresi kullanın. Filtreyi oluşturduğunuzda OEM cihazlarını hedefleyin. Uygulama ve BIOS yapılandırma ilkelerini atadığınızda bu filtreyi ekleyin.
Bu özellikler hakkında daha fazla bilgi için şuraya gidin:
- Kullanıcıları ve cihazları düzenlemek için grup ekleme
- Microsoft Intune'de uygulamalarınızı, ilkelerinizi ve profillerinizi atarken filtreleri kullanma
3. Adım - Intune'de BIOS yapılandırma ilkesi oluşturma
Bu ilke, oluşturduğunuz yapılandırma dosyasını eklediğiniz yerdir.
Microsoft Intune yönetim merkezinde oturum açın.
Cihazlar>Yapılandırması>Yeni ilke oluştur'u> seçin.
Aşağıdaki özellikleri girin:
- Platform: Windows 10 ve üzerini seçin.
- Profil türü: Şablonlar>BIOS yapılandırması ve diğer ayarları seçin.
Oluştur’u seçin.
Temel Bilgiler’de aşağıdaki özellikleri girin:
- Ad: Profil için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, iyi bir profil adı BIOS yapılandırma parolasıdır.
- Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.
İleri'yi seçin.
Yapılandırma ayarları'nda aşağıdaki ayarları yapılandırın:
Donanım: Desteklenen OEM'ler listesinden donanım OEM satıcınızı seçin. Şu anda yalnızca Dell desteklenmektedir.
Cihaz başına BIOS parola korumasını devre dışı bırakma: Bu ayar, cihazdaki BIOS yapılandırmasını koruyan parolayı yönetir. Seçenekleriniz:
- Hayır: Intune her cihaz için benzersiz bir cihaz parolası oluşturur. Cihazdaki BIOS yapılandırmasına erişmek ve güncelleştirmek için kullanıcıların bu parolayı girmesi gerekir.
- Evet: BIOS'ları koruyan bir parola yoktur. Önceki tüm parolalar kaldırılır. Son kullanıcılar BIOS'a erişebilir ve cihazdaki BIOS ayarlarını değiştirebilir.
Yapılandırma dosyası: OEM aracınızla oluşturulan yapılandırma dosyasını karşıya yükleyin.
Dell için, Dell İstemci Yapılandırma Araç Seti dosyasını (
.cctk) karşıya yükleyin. Dosya boyutu sınırı 2 MB'tır.
İleri'yi seçin.
Atamalar'da, oluşturduğunuz yeni cihaz grubunu seçin. Bu grup profilinizi alır. Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama bölümüne gidin.
İleri'yi seçin.
Gözden geçir + oluştur bölümünde ayarlarınızı gözden geçirin ve Oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.
Her cihaz bir sonraki girişte ilke uygulanır.
Yerleşik raporlarla ilkenizi izleme
Intune yönetim merkezinde bir ilke oluşturduktan sonra, ilkenin durumunu izleyebilir ve hataları görebilirsiniz.
- Intune yönetim merkezindeCihazlar>Yapılandırma>İlkeleri'ne gidin.
- İzlemek istediğiniz ilkeyi seçin. Cihaz durumu raporu ilkenin durumunu gösterir ve sorun giderme için tüm hata ayrıntılarını gösterir.
Daha fazla bilgi için şuraya gidin:
BIOS parolalarını alma
Intune her cihaz için BIOS parolalarını depolar. MICROSOFT Graph kullanarak BIOS parolalarını alabilirsiniz. Graph API'lerini test etmek için Microsoft Graph Gezgini'ni kullanabilirsiniz.
Önemli
tüm parolaları Intune dışında yedeklediğinizden emin olun.
- Bir cihaz Intune yönetiminden kaldırılırsa, yöneticiler Microsoft Graph donanımıPasswordInfo API'sini kullanarak BIOS parolalarını okumaya devam edebilir.
- Kiracınızın Intune aboneliği sona eriyorsa BIOS parolalarını okumanın veya almanın hiçbir yolu yoktur. Bu durumda tek seçeneğiniz OEM'inize başvurmaktır.
Seçenek 1 - BIOS parolasını bir kerede bir cihaz okuma
Bu seçenek BIOS parolalarını, bir kerede bir cihaz alır.
Bios Parolasını Okuma izniyle özel bir Intune RBAC rolü oluşturun:
- Intune yönetim merkezindeKiracı yönetimi>Rolleri>Yeni rol oluştur'u seçin.
- Rolünüzü adlandırıpİleri'yi seçin.
- İzinler bölümünde Yönetilen cihazlar'ı>Okuma Bios ParolasınıEvet olarak ayarlayın'ı genişletin.
- Sonraki Sonraki>Oluştur'u> seçin.
Bu özel RBAC rolüyle Graph aracınızda oturum açın ve Microsoft Graph donanımıPasswordInfo API'sini kullanın:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Seçenek 2 - Tüm cihazların BIOS parolasını okuyun
Bu seçenek, tüm cihazların tüm BIOS parolalarının listesini alır.
Microsoft Entra ID Intune Hizmet Yöneticisi rolüne veya Genel Yönetici rolüne ihtiyacınız vardır.
Graph aracınızda şu rollerden biriyle oturum açın ve Microsoft Graph donanımıPasswordInfo API'sini kullanın:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
RBAC rolleri hakkında daha fazla bilgi için Microsoft Intune ile Rol tabanlı erişim denetimi (RBAC) bölümüne gidin.
BIOS yapılandırma parolasını kaldırma
Cihazlarınızın BIOS'unu yönetmeyi durdurmayı veya cihazları kiracınızdan kalıcı olarak kaldırmayı planlıyorsanız BIOS parolasını kaldırmanız gerekir.
BIOS parolasını kaldırmak için, Intune BIOS yapılandırma ilkenizde Cihaz başına BIOS parola korumasını devre dışı bırak ayarını Evet olarak ayarlayın. Ardından ilkeyi atayın. Cihaz Intune ile giriş yaparken ilke uygulanır. Cihazda, ilkeyi uygulamak için cihazı Intune ile el ile de eşitleyebilirsiniz.
İlke uygulandıktan sonra cihazı yeniden başlatın.
Cihazın Intune kaydının kaldırılması BIOS parolasını kaldırmaz. Parolayı devre dışı bırakmadan önce cihazın kaydını kaldırırsanız, cihazda parolayı el ile güncelleştirmeniz gerekir.
BIOS yapılandırması ve DFCI karşılaştırması
Intune, Windows cihazlarında BIOS ayarlarını yönetebilen iki özelliğe sahiptir: BIOS yapılandırması ve diğer ayarlar ve Cihaz Üretici Yazılımı Yapılandırma Arabirimi (DFCI).
Aşağıdaki tablo bu seçenekleri karşılaştırır.
| Özellik | BIOS yapılandırması ve diğer ayarlar | DFCI |
|---|---|---|
| Desteklenen OEM'ler | Dell Gelecekte muhtemelen daha fazlası |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Daha fazla bilgi için Microsoft DFCI Senaryoları'na gidin. |
| Desteklenen yapılandırmalar | OEM aracınızda kullanılabilen tüm yapılandırmalar | Güvenlik özelliklerini, bazı donanım özelliklerini, önyükleme seçeneklerini, bağlantı noktalarını ve daha fazlasını denetlemek için bir dizi ayar |
| Ayarlar nasıl uygulanır? | Intune, ilke atandığında yapılandırma dosyasını teslim eder. Cihazdaki OEM aracısı yapılandırmayı uygular. | İşletim sisteminden yalıtılmış DFCI katmanını kullanarak UEFI CSP aracılığıyla |
| BIOS menüsüne erişimi engeller | Evet, BIOS parolaları aracılığıyla | Evet, sertifikalar aracılığıyla |
| Windows Autopilot sırasında yapılandırma | Kayıt Durumu Sayfası (ESP) ayarlarında OEM Win32 uygulamasını seçin. | Intune cihazı otomatik olarak DFCI mgmt'ye kaydeder. |
| Raporlama | Yapılandırma dosyasının uygulanmış olup olmadığını bildirir. | Yapılandırdığınız her ayar için ayrıntılı rapor. |
| Intune ilke türü | Aygıtları>Yapılandırma>Şablon>BIOS yapılandırması ve diğer ayarlar | Aygıtları>Yapılandırma>Şablon>Cihaz Üretici Yazılımı Yapılandırma Arabirimi |
DFCI hakkında daha fazla bilgi için şuraya gidin:
- Microsoft Intune'deki Windows cihazlarında Cihaz Üretici Yazılımı Yapılandırma Arabirimi (DFCI) profilleri
- Microsoft DFCI Senaryoları
- Surface cihazlarda DFCI
İlgili makaleler
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin