DFCI) 管理 (裝置韌體設定介面
適用於:
- Windows 11
- Windows 10
使用 Windows Autopilot Deployment 和 Intune,您可以在使用裝置韌體組態介面 (DFCI) 註冊 UEFI) 設定之後,管理整合可延伸韌體介面 (UEFI 設定。 DFCI 可讓 Windows 針對 Autopilot 部署的裝置,將管理命令從 Intune 傳遞至 UEFI。 這項功能可讓您限制使用者對 BIOS 設定的控制。 例如,您可以鎖定開機選項,以防止使用者啟動另一個作業系統,例如沒有相同安全性功能的作業系統。
如果使用者重新安裝舊版 Windows、安裝個別的 OS 或格式化硬碟,他們就無法覆寫 DFCI 管理。 這項功能也可以防止惡意程式碼與 OS 程式通訊,包括提升許可權的 OS 程式。 DFCI 的信任鏈結會使用公開金鑰密碼編譯,且不相依于本機 UEFI 密碼安全性。 這一層安全性會封鎖本機使用者從裝置的 UEFI 功能表存取受控設定。
如需 DFCI 優點、案例和必要條件的概觀,請參閱 裝置韌體設定介面 (DFCI) 簡介。
重要事項
由 OEM 啟用 DFCI 並透過 OEM 或合作夥伴中心的 CSP 註冊 DFCI 的裝置,會在 Autopilot 布建期間自動註冊 DFCI 管理。 在 DFCI 管理中註冊會在 OOBE 期間觸發額外的重新開機。
DFCI 管理生命週期
DFCI 管理生命週期包含下列程式:
- UEFI 整合
- 裝置登錄
- 設定檔建立
- 註冊
- 管理
- 退休
- 復原
請參閱下圖。
需求
- Windows 10 版本 1809或更新版本,而且需要支援的 UEFI。
- 裝置製造商必須在製造程式中將 DFCI 新增至其 UEFI 韌體,或作為您安裝的韌體更新。 請與您的裝置廠商合作,以判斷 支援 DFCI 的製造商,或使用 DFCI 所需的韌體版本。
- 裝置必須使用Microsoft Intune來管理。 如需詳細資訊,請 參閱在 Intune 中使用 Windows Autopilot 註冊 Windows 裝置。
- 裝置必須由 Microsoft 雲端解決方案提供者 (雲端解決方案提供者) 合作夥伴註冊,或由 OEM 直接註冊。 針對 Surface 裝置, Microsoft 裝置 Autopilot 支援提供 Microsoft 註冊支援。
重要事項
手動註冊 Autopilot (的裝置,例如 從 csv 檔案 匯入) 不允許使用 DFCI。 根據設計,DFCI 管理需要透過 OEM 或 Microsoft CSP 合作夥伴向 Windows Autopilot 註冊,以外部證明裝置的商業取得。 註冊您的裝置時,其序號會顯示在 Windows Autopilot 裝置清單中。
使用 Windows Autopilot 管理 DFCI 設定檔
使用 Windows Autopilot 管理 DFCI 設定檔有四個基本步驟:
- 建立 Autopilot 設定檔
- 建立註冊狀態頁面設定檔
- 建立 DFCI 設定檔
- 指派設定檔
如需詳細資訊,請參閱 建立設定檔 和 指派設定檔,然後重新開機 。
您也可以在使用中的裝置上 變更現有的 DFCI 設定 。 在現有的 DFCI 設定檔中,變更設定並儲存變更。 由於已指派設定檔,所以下次裝置同步或裝置重新開機時,新的 DFCI 設定會生效。
若要識別裝置是否已準備好 DFCI,您可以使用下列 Intune 圖形 API呼叫:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
如需詳細資訊,請參閱Intune 裝置和應用程式 API 概觀和在 Microsoft Graph 中使用 Intune。
支援 DFCI 的 OEM
- 宏 碁
- 華碩
- Dynabook
- 富士通
- Microsoft Surface
- 松下
其他 OEM 則擱置中。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應