Microsoft Intune 中的 UEFI 设置的设备固件配置接口 (DFCI) 配置文件设置

  • 项目

本文列出并介绍了可在 Windows 客户端设备上控制的 DFCI 配置文件设置。 作为移动设备管理 (MDM) 解决方案的一部分,使用这些设置来控制 Windows 上 UEFI 层中的安全功能、内置硬件和启动选项。

这些设置适用于:

  • 受支持的 UEFI 上的 Windows 11
  • 支持 UEFI 上的 Windows 10 RS5 (1809) 及更高版本

这些设置将添加到 Intune 中的设备配置文件,然后分配或部署到 Windows 客户端设备。

开始之前

警告

小心。 配置和分配 DFCI 配置文件可锁定设备,使其无法修复。 DFCI 配置文件设置会更改设备硬件,无法通过重新映像 OS 来修复。

UEFI 访问

  • 允许本地用户更改 UEFI 设置:选项:
    • 仅未配置设置:本地用户可以更改除通过Intune显式设置为“启用”“禁用”的设置之外的任何设置。
    • :本地用户无法更改任何 UEFI (BIOS) 设置,包括 DFCI 配置文件中未显示的设置。

安全功能

  • CPU 和 IO 虚拟化:你的选项:

    • 未配置:Intune 不会更改或更新此设置。
    • 已启用:BIOS 支持平台的 CPU 和 IO 虚拟化功能,供 OS 使用。 它会启用基于 Windows 虚拟化的安全和设备防护技术。

  • Windows 平台二进制表 (WPBT) :WPBT 允许供应商和 OEM 在 UEFI 层中运行 .exe 程序。 每次 Windows 启动时,它都会查看 UEFI,并运行 .exe。 使用此功能可运行 Windows 媒体中未包含的程序。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能允许供应商和 OEM 使用 WPBT 运行程序。
    • 已启用:启用 WPBT 并允许 .exe UEFI 层中的程序运行。
    • 已禁用:禁用 WPBT 并阻止 .exe UEFI 层中的程序运行。

  • 同时进行多线程 处理 (SMT) :也称为超线程处理。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。
    • 已启用:在 UEFI 层中启用 SMT。
    • 已禁用:禁用 UEFI 层中的 SMT。

相机

  • 相机:此设置管理设备中内置的所有硬件相机。 它不管理附加的外围设备,例如 USB 网络摄像头。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置相机。
    • 已启用:启用由 UEFI (BIOS) 直接管理的所有内置相机。 USB 相机等外围设备不受影响。
    • 已禁用:禁用 UEFI (BIOS) 直接管理的所有内置摄像头。 USB 相机等外围设备不受影响。

  • 前置摄像头:此设置管理由 UEFI (BIOS) 管理的内置前置可见光摄像头。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置正面可见光相机。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置前置可见光摄像头。 USB 相机等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置前置可见光摄像头。 USB 相机等外围设备不受影响。

  • 后置摄像头:此设置管理由 UEFI (BIOS) 管理的内置后置可见光摄像头。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置后置摄像头。
    • 已启用:已启用由 UEFI (BIOS) 直接管理的所有内置后可见光摄像头。 USB 相机等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置后置可见光摄像头。 USB 相机等外围设备不受影响。

  • 红外 (IR) 相机:此设置管理由 UEFI (BIOS) 管理的内置红外摄像头。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置红外摄像头。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置红外摄像头。 USB 相机等外围设备不受影响。
    • 已禁用:禁用由 UEFI 直接管理的所有内置红外相机 (BIOS) 。 USB 相机等外围设备不受影响。

麦克风和扬声器

建议配置“麦克风和扬声器”类别设置“麦克风”粒度设置。 如果配置所有设置,则这些设置可能会导致冲突。 有关详细信息,请转到 DFCI 配置文件概述:冲突

  • 麦克风和扬声器:此设置管理设备中内置的所有麦克风和扬声器。 它不管理附加的外围设备,例如 USB 设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置麦克风和扬声器。
    • 已启用:启用由 UEFI (BIOS) 直接管理的所有内置麦克风和扬声器。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置麦克风和扬声器。 USB 设备等外围设备不受影响。

  • 麦克风:此设置管理由 UEFI (BIOS) 管理的内置麦克风。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置麦克风。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置麦克风。 USB 设备等外围设备不受影响。
    • 已禁用:禁用 UEFI (BIOS) 直接管理的所有内置麦克风。 USB 设备等外围设备不受影响。

收音机

建议配置无线电 (蓝牙、Wi-Fi、NFC 等 ) 类别设置蓝牙Wi-Fi 等精细设置。 如果配置所有设置,这些设置可能会导致冲突。 有关详细信息,请转到 DFCI 配置文件概述:冲突

  • 无线电 (蓝牙、Wi-Fi、NFC 等 ) :此设置管理由 UEFI 管理的所有内置无线电 (BIOS) 。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用所有内置无线电。

    • 已启用:启用由 UEFI (BIOS) 直接管理的所有内置无线收发器。 USB 设备等外围设备不受影响。

    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置无线收发器。 USB 设备等外围设备不受影响。

      设置为 “已禁用”时,设备需要有线网络连接。 否则,设备可能不可管理。

  • 蓝牙:此设置管理由 UEFI (BIOS) 管理的内置蓝牙无线电。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置蓝牙无线电。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置蓝牙无线电。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置蓝牙无线电。 USB 设备等外围设备不受影响。

  • WWAN:此设置管理由 UEFI (BIOS) 管理的内置 WWAN 无线电。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置 WWAN 无线电。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置 WWAN 无线电。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI 直接管理的所有内置 WWAN 无线电 (BIOS) 。 USB 设备等外围设备不受影响。

  • NFC:此设置管理由 UEFI (BIOS) 管理的内置 NFC 无线电。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置 NFC 无线电。
    • 已启用:已启用由 UEFI (BIOS) 直接管理的所有内置 NFC 无线电。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置 NFC 无线电。 USB 设备等外围设备不受影响。

  • Wi-Fi:此设置管理由 UEFI (BIOS) 管理的内置 Wi-Fi 无线电。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置 Wi-Fi 无线电。
    • 已启用:已启用 UEFI (BIOS) 直接管理的所有内置 Wi-Fi 无线电。 USB 设备等外围设备不受影响。
    • 已禁用:禁用 UEFI (BIOS) 直接管理的所有内置 Wi-Fi 无线电。 USB 设备等外围设备不受影响。

启动选项

警告

禁用所有外部启动选项或所有外部端口会使 OS 恢复非常复杂。 若要恢复无法再启动 Windows 的设备,可能需要以物理方式打开设备并更换硬件存储。

  • 通过外部媒体 (USB、SD) 启动:你的选项:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能允许从外部媒体启动。

    • 已启用:UEFI (BIOS) 支持通过非硬盘存储启动。

    • 已禁用:UEFI (BIOS) 会阻止从非硬盘驱动器存储启动,这也会禁用从网络适配器启动。

      设置为“已禁用”时,请勿将“从网络适配器启用”设置设为“已启用”。 它会导致“从外部媒体(USB、SD)启动”设置或“从网络适配器启动”设置变得不合规。

  • 通过网络适配器启动:你的选项:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能允许从内置网络适配器启动。
    • 已启用:UEFI (BIOS) 支持通过内置网络接口启动。
    • 禁用:UEFI (BIOS) 阻止启动内置网络接口。

端口

警告

禁用所有外部启动选项或所有外部端口会使 OS 恢复非常复杂。 若要恢复无法再启动 Windows 的设备,可能需要以物理方式打开设备并更换硬件存储。

  • USB 类型 A:此设置管理由 UEFI (BIOS) 管理的内置 USB 类型 A 端口。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置 USB 类型 A 端口。
    • 已启用:已启用由 UEFI (BIOS) 直接管理的所有内置 USB 类型 A 端口。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置 USB 类型 A 端口。 USB 设备等外围设备不受影响。

  • SD 卡:此设置管理由 UEFI (BIOS) 管理的内置 SD 卡端口。 它不管理附加的外围设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会启用内置 SD 卡端口。
    • 已启用:已启用由 UEFI (BIOS) 直接管理的所有内置 SD 卡端口。 USB 设备等外围设备不受影响。
    • 已禁用:禁用由 UEFI (BIOS) 直接管理的所有内置 SD 卡端口。 USB 设备等外围设备不受影响。

唤醒设置

  • LAN 唤醒:LAN 唤醒允许网络管理员使用 LAN 在睡眠模式下远程唤醒设备。

    选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会阻止使用 LAN 唤醒设备。
    • 已启用:UEFI (BIOS) 允许使用 LAN 唤醒设备。
    • 已禁用:UEFI (BIOS) 阻止使用 LAN 唤醒设备。

  • 电源唤醒:当设备连接到电源时,此设置将管理符合条件的设备是否可以从休眠或关机状态自动启动。 选项包括:

    • 未配置:Intune 不会更改或更新此设置。 默认情况下,OS 可能会在设备连接到电源时阻止唤醒设备。
    • 已启用:UEFI (BIOS) 允许在设备连接到电源时唤醒设备。
    • 已禁用:UEFI (BIOS) 可防止在设备连接到电源时唤醒设备。