在 Microsoft Intune 中使用 Windows 设备上的设备固件配置接口 (DFCI) 配置文件

使用 Intune 管理 Windows Autopilot 设备时,可以在使用设备固件配置接口 (DFCI) 注册 UEFI (BIOS) 设置后对其进行管理。 有关优势、方案和先决条件的概述,请转到 DFCI 概述

DFCI 支持 Windows 将管理命令从 Intune 传递到 UEFI(统一可扩展固件接口)。

在 Intune 中,使用此功能控制 BIOS 设置。 通常固件更能抵抗恶意攻击。 它限制最终用户对 BIOS 的控制权,这在受威胁时非常有效。

此功能适用于:

  • 受支持的 UEFI 上的 Windows 11
  • 支持 UEFI 上的 Windows 10 RS5 (1809) 及更高版本

例如,在安全环境中使用 Windows 客户端设备,并且想要禁用摄像头。 可以在固件层禁用相机,这样最终用户的操作便无关紧要。 重新安装 OS 或擦除计算机不会重新打开相机。 在另一个示例中,锁定启动选项,以防止用户启动另一个 OS 或不具有相同安全功能的旧版本 Windows。

重新安装旧版本 Windows 时,安装独立的 OS 或格式化硬盘不会使 DFCI 管理失效。 此功能可以防止恶意软件与 OS 进程(包括优化的 OS 进程)进行通信。 DFCI 的信任链使用公钥加密,并且不依赖于本地 UEFI (BIOS) 密码安全。 此安全层阻止本地用户通过设备的 UEFI (BIOS) 菜单访问托管设置。

准备工作

  • 设备制造商必须在制造过程中将 DFCI 添加到 UEFI 固件,或将其作为安装的固件更新进行添加。 与设备供应商合作确定支持 DFCI 的制造商或使用 DFCI 所需的固件版本。

  • 设备必须由 Microsoft 云解决方案提供商 (CSP) 合作伙伴注册为 Windows Autopilot,或由 OEM 直接注册。

    不允许手动注册 Windows Autopilot 的设备(例如 从 csv 文件导入的设备)使用 DFCI。 DFCI 管理默认需要通过 OEM 或 Microsoft CSP 合作伙伴注册 Windows Autopilot 来对设备的商业采购进行外部认证。

    注册设备后,其序列号将显示在 Windows Autopilot 设备列表中。

    有关 Windows Autopilot 的详细信息(包括任何要求),请转到 Windows Autopilot 注册概述

创建Microsoft Entra安全组

Windows Autopilot 部署配置文件分配给Microsoft Entra安全组。 确保创建包含支持 DFCI 设备的组。 对于 DFCI 设备,大多数组织可能会创建设备组,而不是用户组。 请考虑以下方案:

  • 人力资源 (人力资源) 具有不同的 Windows 设备。 出于安全原因,最好不让此组中的任何人使用设备上的相机。 这种情况下,可以创建 HR 安全用户组,以便策略无视设备类型而应用于 HR 组中的用户。

  • 生产车间有 10 台设备。 对于所有这些设备,最好阻止使用 USB 设备启动设备。 这种情况下,可以创建安全设备组,并将这 10 台设备添加到组中。

有关在 Intune 中创建组的详细信息,请转到 添加组以组织用户和设备

创建配置文件

若要使用 DFCI,请创建以下配置文件,并将其分配到组中。

步骤 1:创建 Windows Autopilot 部署配置文件

此配置文件设置和预配置新设备。 以下文章列出了创建配置文件的步骤:

步骤 2:创建注册状态页配置文件

此配置文件确保 Windows 安装过程中设备验证并启用 DFCI。 强烈建议使用此配置文件,在安装所有应用和配置文件之前阻止使用设备。

以下文章列出了创建配置文件的步骤:

步骤 3:在 Intune 中创建 DFCI 配置文件

此配置文件包含所配置的 DFCI 设置。

提示

配置和分配 DFCI 配置文件可锁定设备,使其无法修复。 因此,请注意配置的值。

  1. 登录到Microsoft Intune管理中心

  2. 选择“ 设备>配置>创建”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:选择 “模板>设备固件配置接口”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 Windows:Windows 设备上的 DFCI 设置
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

    选择 下一步

  6. 在“配置设置”中,配置要在 UEFI 固件层中控制的设置。 有关所有设置及其功能的列表,请转到:

    选择 下一步

  7. 在“作用域标记”(可选)中,分配一个标记以将配置文件筛选到特定 IT 组(如 US-NC IT TeamJohnGlenn_ITDepartment。 有关范围标记的详细信息,请转到 使用分布式 IT 的 RBAC 和范围标记。 选择 下一步

  8. 在“分配”中,选择要接收配置文件的用户或用户组。 有关分配配置文件的详细信息,请转到 分配用户和设备配置文件。 选择 下一步

  9. 在“审阅 + 创建”中,查看设置并选择“创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

每台设备在下次签入时,将应用该策略。

分配配置文件,并重启

请务必将配置文件分配给包含 DFCI 设备的Microsoft Entra安全组。 可以在创建配置文件时或之后分配配置文件。

设备运行 Windows Autopilot 时,DFCI 可能会在“注册状态页”期间强制重启。 第一次重新启动会将 UEFI 注册到 Intune。

如果要确认设备已注册,则可以再次重新启动该设备,但这不是必需的。 按设备制造商的说明打开 UEFI 菜单,确认 UEFI 现在已托管。

设备下一次与 Intune 同步时,Windows 将接收 DFCI 设置。 重新启动设备。 需要第三次重新启动,UEFI 才能接收来自 Windows 的 DFCI 设置。

更新现有 DFCI 设置

如果要更改所用设备上的现有 DFCI 设置,可执行以下操作。 在现有的 DFCI 配置文件中,更改设置,并保存更改。 由于已分配配置文件,因此新的 DFCI 设置在以下情况下生效:

  1. 设备签入 Intune 服务以查看配置文件更新。 可在任意时间点进行签入。 有关详细信息,请转到 设备获取策略、配置文件或应用更新的时间
  2. 若要强制执行新的设置,请远程或本地重启设备。

还可以向设备发送信号进行签入。 成功同步之后,发信号示意重启

注意

删除 DFCI 配置文件或从分配到配置文件的组中删除设备不会删除 DFCI 设置或重新启用 UEFI (BIOS) 菜单。 如果要停止使用 DFCI,请更新现有 DFCI 配置文件中的设置。 有关步骤的详细信息,请转到本文中的 停用设备

冲突

创建 DFCI 策略时,请配置要管理的 Windows DFCI 设置

某些设置属于逻辑类别,例如“麦克风和扬声器”。 还有粒度设置,例如“麦克风”。 如果这些设置发生冲突,则会发生以下情况:

  • 在第一次同步尝试中,将 (麦克风) 应用精细设置,并且类别设置不符合 (麦克风和扬声器) 。

  • 在第一次同步后,每次与 Intune 服务同步时,以下行为会循环发生:

    • Intune 应用了类别设置(麦克风和扬声器),因为其不符合。 麦克风) (粒度设置变得不符合要求。
    • Intune 应用了粒度设置(麦克风),因为其不符合。 麦克风和扬声器) (类别设置变得不符合要求。

若要避免此循环行为,请配置类别设置粒度设置。

例如,你希望仅允许 Wi-Fi 无线电。 在此方案中,你:

  • 无线电 (蓝牙、Wi-Fi、NFC 等) 类别设置保留为“未配置”。
  • 对于 Wi-Fi 无线电设置,将其设置为“已启用”。
  • 将所有其他粒度无线电设置为“已禁用”。

重用、停用或恢复设备

重用

如果计划重置 Windows 以更改设备用途,请擦除设备请勿删除 Windows Autopilot 设备记录。

擦除设备后,将设备移动到分配了新 DFCI 和 Windows Autopilot 配置文件的组。 确保重启设备以重新运行 Windows 设置。

停用

准备好停用设备并解除管理之后,在退出状态下将 DFCI 配置文件更新为所需的 UEFI (BIOS) 设置。 通常最好启用所有设置。 例如:

  1. 在 Intune 管理中心中, (设备>配置) 打开 DFCI 配置文件。
  2. 将“允许本地用户更改 UEFI (BIOS) 设置”更改为“仅未配置的设置”。
  3. 将所有其他设置设置为“未配置”
  4. 保存设置。

这些步骤会解锁设备的 UEFI (BIOS) 菜单。 这些值与配置文件(“已启用”或“已禁用”)相同,并未重置为任何默认的 OS 值。

现在即可擦除设备。 擦除设备后,删除 Windows Autopilot 记录。 删除记录会阻止设备在重启时自动重新注册。

提示

若要从 DFCI 注册中删除 Surface 设备,请转到 删除 DFCI 管理

恢复

如果在解锁 UEFI (BIOS) 菜单之前擦除设备并删除 Windows Autopilot 记录,则菜单将保持锁定状态。 Intune 无法发送配置文件更新以将其解锁。

若要解锁设备,请打开 UEFI (BIOS) 菜单,然后从网络刷新管理。 恢复会解锁菜单,但会将所有 UEFI (BIOS) 设置设为先前 Intune DFCI 配置文件中的值。

最终用户影响

应用 DFCI 策略时,即便 UEFI (BIOS) 菜单受密码保护,本地用户也无法更改 DFCI 配置的设置。 基于配置的设置,最终用户可能会收到“未找到或无法诊断硬件组件”错误。 请务必为最终用户提供阐明已禁用选项的文档。

后续步骤

分配配置文件之后,监视其状态