在 Microsoft Intune 中的 Windows 裝置上使用 BIOS 組態配置檔

在 Intune 中，您可以使用 BIOS 組態和其他設定 裝置設定原則來啟用或停用 BIOS 功能和設定。

使用 OEM 工具，您可以建立 BIOS 組態檔來設定 BIOS 功能。 在裝置上，您會安裝讀取設定的 OEM Win32 應用程式。 然後，在 Intune BIOS 原則中，新增 BIOS 組態檔，並將原則指派給您的裝置。

組態檔通常包含可保護裝置並保護其內建硬體的設定。

例如，您想要防止終端使用者重新製作裝置的映像，並離開 Intune 管理。 針對這項工作，您會建立 BIOS 組態檔，以停用從 USB 開機。 然後，您會將此檔案新增至 Intune 原則，並啟用 BIOS 密碼。 這些步驟可確保不會覆寫組態。

本功能適用於：

• Windows 10 和更新版本
• Dell 裝置

本文包含組態檔和 Win32 應用程式的詳細資訊，並說明如何在 Intune 中建立 BIOS 組態和其他設定 原則。

警告

BIOS 組態變更可能會影響裝置功能和可操作性，包括開機或存取 Bitlocker 加密磁碟驅動器的能力。 這項功能可讓 Intune 系統管理員輕鬆地更新其裝置上的 BIOS 設定。 當您進行變更時，請分階段測試和部署，以將任何非預期組態的影響降到最低。

必要條件

• 若要設定 Intune 原則，請至少使用原則 和配置檔 管理員角色登入 Intune 系統管理中心。 如需 Intune 中內建角色及其功能的相關信息，請移至：

  • 使用 Microsoft Intune 的角色型存取控制 (RBAC)
  • Microsoft Intune 的內建角色許可權

• 此功能支援在 Intune 中註冊 MDM 的組織擁有裝置。 不支援未在 Intune 中註冊的個人裝置和裝置。

• 請確定裝置未設定現有的 BIOS 密碼。 這項功能需要 Intune 具有 BIOS 密碼。 如果 Intune 沒有裝置的 BIOS 密碼，則無法更新 BIOS 設定。

步驟 1 - 建立組態檔並部署應用程式

本節著重於使用 OEM 工具來建立組態檔，以及將 OEM Win32 應用程式部署到裝置。

1. 使用 OEM 工具建立組態檔。 在檔案中，新增和設定您想要設定的功能。 您可以新增 OEM 支援的任何組態設定。

   • 針對 Dell，您可以使用 Dell 命令 (開啟 Dell 的網站) 工具來建立 BIOS 組態檔。

2. 當您建立組態檔時，OEM 會提供協調的 Win32 應用程式。 將 OEM Win32 應用程式部署至裝置。 此應用程式：

   • 做為代理程式，可讀取您建立的組態檔，並讀取裝置的 BIOS 密碼。
   • 必須先安裝在所有裝置上，才能指派 Intune BIOS 設定原則。

   針對 Dell，您可以下載 Dell 命令 (開啟 Dell 的網站) 應用程式。

   若要在裝置上安裝此應用程式，您可以使用 Intune：

   • 將應用程式新增至 Intune，並使其成為必要的應用程式。
   • 將應用程式指派給您在本文 (下一個步驟 中建立的群組或指派篩選) 。

   如需 Intune 中 Win32 應用程式的資訊，請移至在 Microsoft Intune 中新增、指派及監視 Win32 應用程式。

步驟 2 - 建立群組或使用指派篩選

建議您將此原則聚焦在一組特定的裝置上。 選項包括：

• 選項 1 - 建立包含裝置的群組。 當您建立應用程式原則和 BIOS 設定原則時，會將原則指派給此群組。
• 選項 2 - 根據裝置製造商使用指派篩選。 當您建立篩選條件時，請以 OEM 裝置為目標。 當您指派應用程式和 BIOS 設定原則時，請新增此篩選條件。

如需這些功能的資訊，請移至：

• 新增群組以組織用戶和裝置
• 在 Microsoft Intune 中指派應用程式、原則和配置檔時，請使用篩選條件

步驟 3 - 在 Intune 中建立 BIOS 設定原則

此原則可讓您使用 OEM 工具新增您在步驟 1 中建立的組態檔。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>管理裝置>設定>] [建立>新原則]。

3. 輸入下列內容：

   • 平台：選 取 [Windows 10 和更新版本]。
   • 配置檔類型：選取 範本>BIOS組態和其他設定。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入設定檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的配置檔名稱是 BIOS組態密碼。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

   選取[下一步]。

6. 在 [組態設定] 中，進行下列設定：

   • 硬體：從支援的 OEM 清單中選取您的硬體 OEM 廠商。 目前僅支援 Dell。

   • 停用個別裝置 BIOS 密碼保護：此設定會管理可保護裝置上 BIOS 設定的密碼。 選項包括：

     • 否：Intune 會為每個裝置產生唯一的裝置密碼。 若要存取和更新裝置上的 BIOS 設定，用戶必須輸入此密碼。
     • 是：沒有保護 BIOS 的密碼。 任何先前的密碼都會移除。 終端使用者可以存取 BIOS 並變更裝置上的 BIOS 設定。

   • 組態檔：上傳使用 OEM 工具產生的組態檔。

     針對 Dell，請將 Dell Client Configuration Tool Kit 檔案上傳 (.cctk) 。 檔案大小限制為 2 MB。

   選取 [下一步]。

7. 在 [ 指派] 中，選取您建立的新裝置群組。 此群組會接收您的配置檔。 如需指派配置文件的資訊，請移至 指派使用者和裝置配置檔。

   選取 [下一步]。

8. 在 [ 檢閱 + 建立] 中，檢閱您的設定，然後選取 [ 建立]。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

下次每次裝置簽入時，都會套用原則。

使用內建報表監視您的原則

在 Intune 系統管理中心中，建立原則之後，您可以監視其狀態，並查看任何錯誤。

1. 在 Intune 系統管理中心中，移至 [裝置>管理裝置][設定原則>]索>引標籤。
2. 選取您想要監視的原則。 [ 裝置狀態 ] 報告會顯示原則的狀態，並顯示用於疑難解答的任何錯誤詳細數據。

如需詳細資訊，請移至：

• 在 Microsoft Intune 中監視裝置設定原則
• Intune 報告

擷取 BIOS 密碼

Intune 會儲存每個裝置的BIOS密碼。 您可以使用 Microsoft Graph 取得 BIOS 密碼。 若要測試圖形 API，您可以使用 Graph 總管 Microsoft。

重要事項

請務必備份 Intune 外部的所有密碼。 如果您未在 Intune 外部備份密碼，請注意下列案例：

• 如果裝置已從 Intune 管理中移除，則系統管理員仍然可以使用 Microsoft Graph hardwarePasswordInfo API 讀取 BIOS 密碼。
• 如果您租使用者的 Intune 訂用帳戶結束，則無法讀取或擷取 BIOS 密碼。 在此情況下，您唯一的選項是連絡您的 OEM。

選項 1 - 一次讀取一部裝置的 BIOS 密碼

此選項會取得 BIOS 密碼，一次一部裝置。

1. 使用 讀取生物密碼 許可權建立自訂 Intune RBAC 角色：

   1. 至少以 Intune 角色管理員內建 Intune 角色的成員身分登入 Intune 系統管理中心。

      如需 Intune 內建角色的相關信息，請移至：

      • 使用 Microsoft Intune 的角色型存取控制 (RBAC)
      • Microsoft Intune 的內建角色許可權

   2. 選取 [租用戶系統管理>角色>] [建立新角色]。

   3. 為 您的角色命名，然後選取 [下一步]。

   4. 在 [ 許可權] 中，展開 [ 受控裝置> ] 將 [讀取生物密碼 ] 設定為 [是]。

   5. 選取 [下一步>>建立]。

2. 使用此自定義 RBAC 角色登入您的 Graph 工具，並使用 Microsoft Graph hardwarePasswordInfo API：

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

選項 2 - 讀取所有裝置的 BIOS 密碼

這個選項會取得所有裝置的所有 BIOS 密碼清單。

1. 在 Microsoft Entra ID 中，您至少需要 Intune 系統管理員 角色。

2. 使用此角色登入您的 Graph 工具，並使用 Microsoft Graph hardwarePasswordInfo API：

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

如需內建角色的相關信息，請移至 Microsoft Entra 內建角色。

拿掉 BIOS 設定密碼

如果您打算停止管理裝置的 BIOS，或從租使用者永久移除裝置，則必須移除 BIOS 密碼。

若要移除 BIOS 密碼，請在 Intune BIOS 設定原則中，將 [ 停用個別裝置 BIOS 密碼保護 ] 設定設為 [ 是]。 然後，指派原則。 當裝置 使用 Intune 簽入時，就會套用原則。 在裝置上，您也可以手動同步裝置與 Intune 以套用原則。

套用原則之後，請重新啟動裝置。

從 Intune 取消註冊裝置並不會移除 BIOS 密碼。 如果您在停用密碼之前取消註冊裝置，則需要在裝置上手動更新密碼。

BIOS 組態與 DFCI

Intune 有兩個功能可管理 Windows 裝置上的 BIOS 設定： BIOS 組態和其他設定 ，以及 裝置韌體設定介面 (DFCI) 。

下表比較這些選項。

功能	BIOS 組態和其他設定	DFCI
支援的 OEM	Dell 未來可能會更多	Surface、Acer、Asus、Dynabook、Fujitsu、Panasonic 如需詳細資訊，請移至 Microsoft DFCI 案例。
支援的設定	OEM 工具中可用的任何設定	一組用來控制安全性功能、一些硬體功能、開機選項、埠等等的設定
如何套用設定	Intune 會在指派原則時傳遞組態檔。 裝置上的 OEM 代理程式會套用設定。	透過 UEFI CSP 使用與 OS 隔離的 DFCI 層
封鎖對 BIOS 功能表的存取	是，透過BIOS密碼	是，透過憑證
Windows Autopilot 期間的設定	在 [註冊狀態] 頁面 (ESP) 設定中，選取 OEM Win32 應用程式。	Intune 會在 DFCI mgmt 中自動註冊裝置。
報表	報告是否已套用組態檔。	您所設定之每個設定的細微報表。
Intune 原則類型	設備>管理裝置>配置>範本>BIOS 組態和其他設定	設備>管理裝置>配置>範本>裝置韌體設定介面

如需 DFCI 的相關信息，請移至：

• Microsoft Intune 中 Windows 裝置上的裝置韌體設定介面 (DFCI) 配置檔
• Microsoft DFCI 案例
• Surface 裝置上的 DFCI

相關文章

• 指派配置檔
• 監視配置文件狀態