DFCI) 管理 (裝置韌體設定介面
透過 Windows Autopilot Deployment 和 Intune,可在裝置註冊之後管理整合可擴展固件介面 (UEFI) 設定。 您可以使用裝置韌體組態介面 (DFCI) 來管理 UEFI 設定。 DFCI 可讓 Windows 針對 Autopilot 部署的裝置,將管理命令從 Intune 傳遞至 UEFI。 這項功能允許限制使用者對 BIOS 設定的控制。 例如,可以鎖定開機選項,以防止用戶開機另一個操作系統,例如沒有相同安全性功能的作業系統。
如果使用者重新安裝舊版 Windows、安裝個別的 OS 或格式化硬碟,他們就無法覆寫 DFCI 管理。 這項功能也可以防止惡意代碼與OS程式通訊,包括提升許可權的OS程式。 DFCI 的信任鏈結會使用公鑰密碼編譯,且不相依於本機 UEFI 密碼安全性。 這一層安全性會封鎖本機使用者從裝置的 UEFI 功能表存取受控設定。
如需 DFCI 優點、案例和需求的概觀,請參閱裝置韌體設定介面 (DFCI) 簡介。
重要事項
發生下列動作時,裝置會在 Autopilot 布建期間自動註冊 DFCI 管理:
- OEM 會啟用 DFCI 的裝置。
- 裝置是透過 OEM 或雲端解決方案合作夥伴 (CSP) 在合作夥伴中心註冊為 Autopilot。
在 OOBE) 的全新體驗 (,DFCI 管理中的註冊會觸發額外的重新啟動。
DFCI 管理生命週期
DFCI 管理生命週期包含下列程式:
- UEFI 整合。
- 裝置註冊。
- 配置檔建立。
- 招生。
- 管理。
- 退休。
- 恢復。
請參閱下圖:
需求
- 目前支援的 Windows 版本和支援的 UEFI 是必要的。
- 裝置製造商必須在製造程式中將 DFCI 新增至其 UEFI 韌體,或新增為可安裝的韌體更新。 請與裝置廠商合作,以判斷 支援 DFCI 的製造商,或使用 DFCI 所需的韌體版本。
- 裝置必須使用 Microsoft Intune 來管理。 如需詳細資訊,請參閱使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置。
- 裝置必須由 Microsoft雲端解決方案提供者 (CSP) 合作夥伴註冊,或由 OEM 直接註冊,才能註冊 Windows Autopilot。 針對 Surface 裝置,Microsoft註冊支援可在 Microsoft 裝置 Autopilot 支援中取得。
重要事項
手動註冊 Autopilot (的裝置,例如 從 CSV 檔案 匯入) 不允許使用 DFCI。 根據設計,DFCI 管理需要透過 OEM 或向 Windows Autopilot 註冊Microsoft雲端解決方案提供者合作夥伴註冊,以外部證明裝置的商業取得。 註冊裝置時,其序號會顯示在 Windows Autopilot 裝置清單中。
使用 Windows Autopilot 管理 DFCI 配置檔
使用 Windows Autopilot 管理 DFCI 配置檔有四個基本步驟:
- 建立 Autopilot 配置檔
- 建立註冊狀態頁面配置檔
- 建立 DFCI 配置檔
- 指派配置檔
如需詳細資訊,請參閱 建立配置檔 和 指派配置檔,然後重新啟動 。
您也可以在使用中的裝置上變更現有的 DFCI 設定 。 在現有的 DFCI 設定檔中,變更設定並儲存變更。 由於已指派配置檔,所以下次裝置同步或裝置重新啟動時,新的 DFCI 設定會生效。
若要識別裝置是否已準備好 DFCI,可以使用下列 Intune 圖形 API 呼叫:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
如需詳細資訊,請參閱 Intune 裝置和應用程式 API 概觀和在 Microsoft Graph 中使用 Intune。
支援 DFCI 的 OEM
- 槭屬。
- Asus。
- 動態書。
- 富士通。
- Microsoft Surface。
- Panasonic。
- VAIO。
其他 OEM 則擱置中。
已知問題
專業版的 DFCI 註冊失敗,Windows 11 版本 24H2
新增日期: 2024 年 10 月 9 日
DFCI 目前無法在具有專業版 Windows 11 版本 24H2 的裝置上使用。 目前正在調查此問題。 因應措施是在 OOBE 上線期間或之後,確定裝置已升級至 Enterprise 版本的 Windows 11 24H2。 升級至 Enterprise 版本的 Windows 11 24H2 之後,請同步裝置。 同步處理裝置之後,請將它重新啟動,使其在 DFCI 中註冊。