Zarządzanie interfejsem konfiguracji oprogramowania układowego urządzenia (DFCI)

Dzięki Windows Autopilot Deployment i usłudze Intune ustawienia interfejsu UEFI (Unified Extensible Firmware Interface) można zarządzać po zarejestrowaniu urządzenia. Ustawieniami INTERFEJSU UEFI można zarządzać przy użyciu interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI). Interfejs DFCI umożliwia systemowi Windows przekazywanie poleceń zarządzania z usługi Intune do interfejsu UEFI dla urządzeń wdrożonych za pomocą rozwiązania Windows Autopilot. Ta funkcja umożliwia ograniczenie kontroli użytkownika końcowego nad ustawieniami systemu BIOS. Na przykład opcje rozruchu można zablokować, aby uniemożliwić użytkownikom uruchamianie innego systemu operacyjnego, takiego jak taki, który nie ma tych samych funkcji zabezpieczeń.

Jeśli użytkownik ponownie zainstaluje poprzednią wersję systemu Windows, zainstaluje oddzielny system operacyjny lub sformatuje dysk twardy, nie będzie mógł zastąpić zarządzania interfejsem DFCI. Ta funkcja może również uniemożliwiać złośliwemu oprogramowaniu komunikowanie się z procesami systemu operacyjnego, w tym z podwyższonym poziomem poziomu procesów systemu operacyjnego. Łańcuch zaufania interfejsu DFCI używa kryptografii klucza publicznego i nie zależy od lokalnych zabezpieczeń haseł UEFI. Ta warstwa zabezpieczeń blokuje użytkownikom lokalnym dostęp do ustawień zarządzanych z menu UEFI urządzenia.

Aby zapoznać się z omówieniem korzyści, scenariuszy i wymagań interfejsu DFCI, zobacz Wprowadzenie do interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI).

Cykl życia zarządzania interfejsem DFCI

Cykl życia zarządzania interfejsem DFCI obejmuje następujące procesy:

• Integracja interfejsu UEFI.
• Rejestracja urządzenia.
• Tworzenie profilu.
• Rejestracji.
• Zarządzanie.
• Emeryturę.
• Odzyskiwania.

Zobacz następującą ilustrację:

Wymagania

• Wymagana jest obecnie obsługiwana wersja systemu Windows i obsługiwane interfejsy UEFI.
• Producent urządzenia musi mieć interfejs DFCI dodany do oprogramowania układowego UEFI w procesie produkcyjnym lub jako aktualizację oprogramowania układowego, którą można zainstalować. Skontaktuj się z dostawcami urządzeń, aby określić producentów, którzy obsługują interfejs DFCI, lub wersję oprogramowania układowego potrzebną do korzystania z interfejsu DFCI.
• Urządzeniem musi być zarządzana usługa Microsoft Intune. Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzeń z systemem Windows w usłudze Intune przy użyciu rozwiązania Windows Autopilot.
• Urządzenie musi być zarejestrowane w rozwiązaniu Windows Autopilot przez partnera programu Microsoft Cloud Solution Provider lub bezpośrednio przez producenta OEM. W przypadku urządzeń Surface obsługa rejestracji firmy Microsoft jest dostępna w pomocy technicznej rozwiązania Windows Autopilot dla urządzeń firmy Microsoft.

Zarządzanie profilem DFCI przy użyciu rozwiązania Windows Autopilot

Istnieją cztery podstawowe kroki zarządzania profilem DFCI za pomocą rozwiązania Windows Autopilot:

1. Tworzenie profilu rozwiązania Windows Autopilot
2. Tworzenie profilu strony ze stanem rejestracji
3. Tworzenie profilu DFCI
4. Przypisywanie profilów

Aby uzyskać szczegółowe informacje, zobacz Tworzenie profilów i Przypisywanie profilów oraz ponowne uruchamianie .

Istniejące ustawienia interfejsu DFCI można również zmienić na używanych urządzeniach. W istniejącym profilu DFCI zmień ustawienia i zapisz zmiany. Ponieważ profil jest już przypisany, nowe ustawienia interfejsu DFCI wchodzą w życie po następnej synchronizacji urządzenia lub ponownym uruchomieniu urządzenia.

Aby określić, czy urządzenie jest gotowe do użycia z interfejsem DFCI, można użyć następującego wywołania interfejs Graph API usługi Intune:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Aby uzyskać więcej informacji, zobacz Omówienie interfejsu API urządzeń i aplikacji usługi Intune oraz Praca z usługą Intune w programie Microsoft Graph .

OEM obsługujące interfejs DFCI

• Acer.
• Asus.
• Dynabook.
• Fujitsu.
• Microsoft Surface.
• Panasonic.
• VAIO.
• Samsung.
• NEC.

Inne maszyny wirtualne są oczekujące.

Znane problemy

Rejestracja DFCI kończy się niepowodzeniem w przypadku wersji Professional Windows 11 w wersji 24H2

Data dodania: 9 października 2024 r. Data aktualizacji: 11 lutego 2025 r.

Obecnie nie można skonfigurować interfejsu DFCI podczas środowiska OOBE (out-of-box experience) na urządzeniach z profesjonalnymi wersjami Windows 11 w wersji 24H2

W przypadku urządzeń, które zostały już aprowizowane i mają profesjonalne wersje Windows 11 w wersji 24H2, zainstaluj KB5046740 lub nowsze, aby zarejestrować się w interfejsie DFCI. Urządzenia z profesjonalnymi wersjami Windows 11 w wersji 24H2, na których zainstalowano KB5046740 lub nowsze, są automatycznie rejestrowane w interfejsie DFCI po ponownym uruchomieniu.

Jeśli interfejs DFCI musi zostać skonfigurowany podczas aprowizacji OOBE na urządzeniach 24H2, wykonaj następujące kroki:

1. Podczas dołączania OOBE upewnij się, że urządzenie zostało uaktualnione do wersji Enterprise Windows 11 w wersji 24H2.
2. Po uaktualnieniu do wersji Enterprise Windows 11 w wersji 24H2 zsynchronizuj urządzenie.
3. Po zsynchronizowaniu urządzenia uruchom je ponownie, aby zarejestrować je w interfejsie DFCI.

Zawartość pokrewna

• Scenariusze interfejsu DFCI firmy Microsoft.
• Urządzenia Windows Autopilot i Surface.