在 Surface 裝置上管理 DFCI
簡介
使用裝置韌體設定介面 (內建在 Microsoft Intune 的 DFCI ) 配置檔,Surface UEFI 管理會將新式管理堆疊向下延伸至整合可擴展固件介面 (UEFI) 硬體層級。 DFCI 支援零觸控布建、消除 BIOS 密碼、提供安全性設定的控制,包括開機選項和內建周邊,併為未來的進階安全性案例打下基礎。 此頁面會列出合格 Autopilot 部署 Surface 裝置上 的所有 DFCI 原則設定 。
DFCI 設計為與 MDM) (軟體層級行動裝置管理搭配使用,可讓 IT 系統管理員從遠端停用特定硬體元件,並防止終端使用者存取它們。 例如,如果您需要保護高度安全區域中的敏感性資訊,您可以停用相機,而且如果您不想讓使用者從USB磁碟驅動器開機,也可以停用該功能。
提示
某些 DFCI 原則設定的支援會因裝置而異。 檢閱此頁面上的 DFCI 原則設定參考,並遵循 Intune 指示來設定及部署設定至您的裝置。
必要條件
- 2018 年 11 月發行的 Windows 11 或 Windows 10 版本 1809 ()
- 裝置必須透過下列其中一種方法向 Windows Autopilot 註冊:
注意
不允許手動或自我註冊 Autopilot 的裝置,例如從 CSV 檔案匯入的裝置,以使用 DFCI。 根據設計,DFCI 管理需要透過 Microsoft CSP 合作夥伴或 Surface 註冊來外部證明裝置的商業取得。
Surface 裝置的 DFCI 原則設定參考
符合資格的裝置
- Surface Hub 3
- 在 Windows 上執行 Microsoft Teams 會議室 的 Surface Hub 2S
- Surface Pro (第 11 版僅) (商業 SKU)
- Surface Pro 10
- 僅 Surface Pro 9 個 (商業 SKU)
- 只有 5G (商業 SKU Surface Pro 9)
- 僅 Surface Pro 8 個 (商業 SKU)
- 僅 Surface Pro 7 個以上 (個商業 SKU)
- Surface Pro 7 (所有 SKU)
- Surface Pro X (所有 SKU)
- Surface Laptop Studio (所有世代,僅限商業 SKU)
- Surface Laptop (第 7 版僅) (商業 SKU)
- Surface Laptop 6
- 僅Surface Laptop 5 個 (商業 SKU)
- 僅Surface Laptop 4 個 (商業 SKU)
- 僅 Surface Laptop 3 (Intel 處理器)
- Surface Laptop Go
- 僅Surface Laptop Go 2 (商業 SKU)
- 僅限Surface Laptop Go 3 (商業 SKU)
- Surface Laptop SE
- Surface Book 3
- 僅限 Surface Go 3 (商業 SKU)
- 僅限 Surface Go 4 (商業 SKU)
- Surface Studio 2+
注意
Surface Pro X 不支援內建相機、音訊和Wi-Fi/藍牙的 DFCI 設定管理。 只有最新的裝置才支援一些較新的設定。
表 1. DFCI 原則設定參考:Autopilot 部署的 Surface 裝置
| DFCI 設定 | 描述 | 支援的版本 |
|---|---|---|
| UEFI 存取 | ||
| 允許本機用戶變更 UEFI (BIOS) 設定 | 此設定可讓您管理終端使用者是否可以在合格裝置上修改 UEFI 設定。 - 如果您只選取 [未設定設定],本機使用者 (也稱為終端使用者) 可能會變更任何 UEFI 設定,但您已透過 Intune 明確啟用或停用的任何設定除外。 - 如果您選取 [ 無],本機使用者可能不會變更 UEFI 設定,包括 DFCI 配置檔中未顯示的設定。 |
所有符合資格的裝置 |
| 安全性設定 | ||
| 同時多線程 | 此設定可讓您管理是否已在合格裝置上啟用同時多線程 (SMT) 支援。 SMT 支援 Intel 超線程技術,可為每個實體核心提供兩個邏輯處理器。 - 如果您啟用此設定,就會在 UEFI 層中開啟 SMT。 - 如果您停用此設定,UEFI 層中的 SMT 會關閉。 - 如果您未設定此設定,則會啟用 SMT。 |
所有符合資格的裝置 |
| 相機 | ||
| 相機 | 此設定可讓您管理內建相機是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許所有內建相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定,則會停用所有內建相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定,則會啟用所有內建相機。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 前方攝影機 | 此設定可讓您管理 Front 相機是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許 Front 相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定,則會停用 Front 相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定,則會啟用 Front 相機。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 後方攝影機 | 此設定可讓您管理後方相機是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許後方相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定,則會停用後方相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定,則允許後方相機。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 紅外線 (IR) 相機 | 此設定可讓您管理紅外線相機是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許紅外線相機。 USB 相機等周邊設備不會受到影響。 - 如果您停用此設定,則會停用紅外線相機。 USB 相機等周邊設備不會受到影響。 - 如果您未設定此設定,則允許紅外線相機。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 麥克風和喇叭 | ||
| 麥克風和喇叭 | 此設定可讓您管理上線音訊是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定,則會停用所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定,則會啟用麥克風和喇叭。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 麥克風 | 此設定可讓您管理內建麥克風是否可以在合格的裝置上運作。 - 如果您啟用此設定,則會啟用所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定,則會停用所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定,則會啟用麥克風。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| 無線通訊 | ||
| 藍牙、Wi-Fi、NFC 等 (無線電 ) | 此設定可讓您管理內建藍牙、Wi-Fi 或 5G 無線是否可以在合格的裝置上運作。 - 如果您啟用此設定,則允許所有內建無線電。 USB 裝置等周邊裝置不會受到影響。 - 如果您停用此設定,則會停用所有內建無線電。 USB 裝置等周邊裝置不會受到影響。 - 如果您未設定此設定,則會啟用所有內建無線電。 提示: 設定類別設定 (藍牙、Wi-Fi、NFC 等 ) 或細微設定 藍牙、Wi-Fi。 如果您設定所有設定,這些設定可能會導致衝突。 如需詳細資訊,請移至 DFCI 配置檔概觀:衝突。 謹慎: [ 停用 ] 設定只能在具有有線乙太網路連線的裝置上使用。 |
- Surface Pro X 不支援。 - 所有其他合格裝置都支援。 |
| 藍牙 | 此設定可讓您管理內建藍牙是否可以在合格的裝置上運作。 - 如果您啟用此設定,則會啟用藍牙。 - 如果您停用此設定,則會停用藍牙。 - 如果您未設定此設定,則會啟用藍牙。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| WWAN | 此設定可讓您管理內建的 WWAN (5G 無線) 是否可以在合格的裝置上運作 - 如果您啟用此設定,則會啟用 WWAN。 - 如果您停用此設定,則會停用 WWAN。 - 如果您未設定此設定,則會啟用 WWAN。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| Wi-Fi | 此設定可讓您管理內建 Wi-Fi 是否可以在合格的裝置上運作 - 如果您啟用此設定,Wi-Fi 已啟用。 - 如果您停用此設定,Wi-Fi 停用。 - 如果您未設定此設定,則會啟用 Wi-Fi。 |
- Surface Pro X 不支援。 - 支援 Surface Pro 9 搭配 5G 和其他所有符合資格的裝置。 |
| [開機選項] | ||
| 從外部媒體開機 (USB、SD) | 此設定可讓您管理是否可以從外部媒體開機合格的裝置。 - 如果您啟用此設定,終端使用者可以從 USB 快閃磁碟驅動器或其他非硬碟儲存技術將裝置開機。 - 如果您停用此設定,終端使用者就無法從 USB 快閃磁碟驅動器或其他非硬碟儲存技術開機裝置。 - 如果您未設定此設定,終端使用者可以從 USB 快閃磁碟驅動器或其他非硬碟儲存技術將裝置開機。 |
所有符合資格的裝置 |
| 連接埠 | ||
| USB 類型 A | 此設定可讓您管理裝置如何利用USB-A 連線。 - 如果您啟用此設定,USB-A 數據連線可以在合格的裝置上運作。 - 如果您停用此設定,USB-A 數據連線就無法在合格的裝置上運作。 - 如果您未設定此設定,USB-A 數據連線可以在所有裝置上運作。 謹慎: 如果您停用 來自外部媒體的開機 和 USB 類型 A,而且裝置因為任何原因而變成無法啟動,您將無法在不取代 SSD 的情況下復原裝置。 您將無法從外部媒體開機,並從網路執行 PXE 開機或 DFCI 重新整理。 |
僅支援在 2022 年 6 月 1 日之後發行的 Surface Laptop Go 2 和更新版本 (裝置) 。 |
| 喚醒設定 | ||
| 網路喚醒 | 此設定可讓您管理合格的裝置是否可以從新式待命或休眠遠程啟動。 - 如果您啟用此設定,符合資格的裝置可以設定為遠端網路喚醒。 - 如果您停用此設定,則無法將符合資格的裝置設定為在 LAN 上遠端喚醒。 - 如果您未設定此設定,則可將符合資格的裝置設定為在 LAN 上遠端喚醒。 |
僅支援在 2022 年 6 月 1 日之後發行的 Surface Laptop Go 2 和更新版本 (裝置) 。 |
| 電源喚醒 | 此設定可讓您管理合格裝置在連線到電源時,是否可以從休眠或關閉電源狀態自動啟動。 - 如果您啟用此設定,合格的 Surface 裝置可以在連線到電源時設定為自動啟動 - 如果您停用此設定,則無法將合格的 Surface 裝置設定為在連線到電源時自動啟動。 - 如果您未設定此設定,則無法將合格的 Surface 裝置設定為在重新連線到電源時自動啟動。 |
僅支援在 2022 年 6 月 1 日之後發行的 Surface Laptop Go 2 和更新版本 (裝置) 。 |
注意
Intune 中的 DFCI 包含目前不適用於 Surface 裝置的設定:CPU 和 IO 虛擬化、停用從網路適配器開機、Windows 平臺二進位數據表 (WPBT) 、NFC 和 SD 記憶卡。
入門
在 endpoint.microsoft.com 登入您的租 使用者。
在 [Microsoft Intune 系統管理中心] 中,選取 [裝置>組態配置檔>] [建立配置檔]。
在 [平臺] 底下,選取 [Windows 10 及更新版本]。
在 [配置檔類型] 底下,選取 [ 範本>裝置韌體設定介面 ],然後選取 [ 建立]。
如需完整指示,請參閱在 Microsoft Intune 中的 Windows 裝置上使用 DFCI 配置檔,包括:
- 建立 Microsoft Entra 安全組
- 建立配置檔
- 指派配置檔並重新啟動
- 更新現有的 DFCI 設定
- 重複使用、淘汰或復原裝置
防止使用者變更 UEFI 設定
對許多客戶而言,封鎖使用者變更 UEFI 設定的能力非常重要,也是使用 DFCI 的主要原因。 如上表 1 所列,這項功能是透過 [ 允許本機用戶變更 UEFI 設定] 設定來管理。 如果您未編輯或設定此設定,本機使用者可以變更 Intune 未管理的任何 UEFI 設定。 因此,強烈建議將 [ 允許本機用戶變更 UEFI 設定] 設 為 [ 無]。
驗證 DFCI 管理裝置上的 UEFI 設定
在測試環境中,您可以驗證 Surface UEFI 介面中的設定。
開啟 Surface UEFI:
- 按住 Surface 上的音 量向上按鈕 ,同時按下並放開 電源 按鈕。
- 當您看到 Surface 標誌時,請放開 [向上音量] 按鈕。 UEFI 功能表會在幾秒鐘內顯示。
選 取 [裝置]。 UEFI 功能表會反映已設定的設定,如下圖所示。
注意
- 因為 [ 允許本機用戶變更 UEFI] 設定 設為 [ 無],所以設定會呈現灰色 (非作用中) 。
- 因為 [麥克風和喇叭 ] 原則設定為 [停用],所以 [上架音訊] 會設定為 [關閉 ]。
拿掉 DFCI 原則設定
當您建立 DFCI 設定檔時,所有設定的設定都會在設定檔管理範圍內的所有裝置上保持作用。 您只能直接編輯 DFCI 設定檔來移除 DFCI 原則設定。 如果已刪除原始的 DFCI 設定檔,請建立新的設定檔並編輯適當的設定。
拿掉 DFCI 管理
若要移除 DFCI 管理,並讓裝置恢復出廠新狀態:
- 從 Intune 淘汰裝置:
- 在 endpoint.microsoft.com 的 [端點管理員] 中,選擇 [ 所有裝置>]。
- 選取您要淘汰的裝置,然後選擇 [ 淘汰/抹除]。 若要深入瞭解,請參閱 使用抹除、淘汰或手動取消註冊裝置來移除裝置。
- 從 Intune 刪除 Autopilot 註冊:
- 選擇 [裝置註冊 > ][Windows 註冊 > 裝置]。
- 在 [Windows Autopilot 裝置] 底下,選擇您想要刪除的裝置,然後選擇 [ 刪除]。
- 使用 Surface 品牌的乙太網路適配器將裝置連線到有線因特網。 重新啟動裝置並開啟 UEFI 功能表 (按住音量向上按鈕,同時按下並放開電源按鈕) 。
- 選 取 [管理 > ][設定從網络重新整理 > ],然後選擇 [退出]。
若要使用 Intune 但不使用 DFCI 管理來管理裝置,請向 Autopilot 自我註冊,並在 Intune 中註冊。 DFCI 不會套用至自我註冊裝置。