设备固件配置接口 (DFCI) 管理
适用于:
- Windows 11
- Windows 10
使用Windows Autopilot Deployment和Intune,可以在使用设备固件配置接口 (DFCI) 管理统一可扩展固件接口 (UEFI) 设置。 DFCI 使 Windows 能够将管理命令从 Intune 传递到 Autopilot 部署设备的 UEFI。 此功能允许限制最终用户对 BIOS 设置的控制。 例如,可以锁定启动选项,以防止用户启动另一个 OS,例如不具有相同安全功能的 OS。
如果用户重新安装以前的 Windows 版本、安装单独的 OS 或格式化硬盘驱动器,则无法替代 DFCI 管理。 此功能还可以阻止恶意软件与 OS 进程(包括提升的 OS 进程)通信。 DFCI 的信任链使用公钥加密,不依赖于本地 UEFI 密码安全性。 此安全层阻止本地用户访问设备的 UEFI 菜单中的托管设置。
有关 DFCI 优势、方案和先决条件的概述,请参阅 设备固件配置接口 (DFCI) 简介。
重要
在 Autopilot 预配期间,由 OEM 启用 DFCI 并通过 OEM 或合作伙伴中心中的 CSP 注册 Autopilot 的设备会自动注册到 DFCI 管理中。 DFCI 管理中的注册将在 OOBE 期间触发额外的重新启动。
DFCI 管理生命周期
DFCI 管理生命周期包括以下过程:
- UEFI 集成
- 设备注册
- 配置文件创建
- 注册
- 管理
- 退休
- 恢复
请参阅下图。
要求
- Windows 10 版本 1809或更高版本,并且需要受支持的 UEFI。
- 设备制造商必须在制造过程中将 DFCI 添加到其 UEFI 固件中,或作为你安装的固件更新。 请与设备供应商协作,确定 支持 DFCI 的制造商或使用 DFCI 所需的固件版本。
- 必须使用Microsoft Intune管理设备。 有关详细信息,请参阅使用 Windows Autopilot 在 Intune 中注册 Windows 设备。
- 设备必须由 Microsoft 云解决方案提供商 (CSP) 合作伙伴注册为 Windows Autopilot,或由 OEM 直接注册。 对于 Surface 设备,Microsoft 设备 Autopilot 支持提供 Microsoft 注册支持。
重要
手动注册 Autopilot ((例如 通过从 csv 文件导入) )的设备不允许使用 DFCI。 DFCI 管理默认需要通过 OEM 或 Microsoft CSP 合作伙伴注册 Windows Autopilot 来对设备的商业采购进行外部认证。 注册设备后,其序列号将显示在 Windows Autopilot 设备列表中。
使用 Windows Autopilot 管理 DFCI 配置文件
使用 Windows Autopilot 管理 DFCI 配置文件有四个基本步骤:
- 创建 Autopilot 配置文件
- 创建注册状态页配置文件
- 创建 DFCI 配置文件
- 分配配置文件
有关详细信息 ,请参阅创建配置文件 和 分配配置文件并重新启动 。
还可以更改正在使用的设备上的 现有 DFCI 设置 。 在现有的 DFCI 配置文件中,更改设置并保存更改。 由于已分配配置文件,因此新的 DFCI 设置将在下次设备同步或设备重新启动时生效。
支持 DFCI 的 OEM
- 宏 碁
- 华硕
- Dynabook
- 富士通
- Microsoft Surface
- Panasonic
其他 OEM 正在挂起。
另请参阅
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈