裝置韌體設定介面 (DFCI) 管理

使用 Windows Autopilot Deployment 和 Intune，在註冊裝置之後，可以管理統一可延伸韌體介面 (UEFI) 設定。 您可以使用裝置韌體組態介面 (DFCI) 來管理 UEFI 設定。 DFCI 可讓 Windows 將管理命令 從 Intune 傳遞至 UEFI，以取得 Windows Autopilot 部署的裝置。 此功能允許限制最終使用者對 BIOS 設定的控制。 例如，可以鎖定啟動選項以防止使用者啟動另一個作業系統，例如沒有相同安全功能的作業系統。

如果使用者重新安裝舊版 Windows 、安裝個別的 OS 或格式化硬碟，他們就無法覆寫 DFCI 管理。 此功能還可以防止惡意軟體與作業系統進程通訊，包括提升的作業系統進程。 DFCI 的信任鏈結會使用公開金鑰加密，而且不相依於本機 UEFI 密碼安全性。 此安全層會阻止本機使用者從裝置的 UEFI 功能表存取受管理設定。

如需 DFCI 優點、案例和需求的概觀，請參閱 DFCI) 簡介 (裝置韌體設定介面。

DFCI 管理生命週期

DFCI 管理生命週期包含下列程式：

• UEFI 整合。
• 裝置註冊。
• 建立設定檔。
• 註冊。
• 管理。
• 隱居。
• 復原。

請參見下圖：

需求

• 需要目前支援的 Windows 版本和支援的 UEFI。
• 裝置製造商必須在製造程式中將 DFCI 新增至其 UEFI 韌體，或作為可安裝的韌體更新。 請與裝置廠商合作，以判斷 支援 DFCI 的製造商，或使用 DFCI 所需的韌體版本。
• 裝置必須使用 Microsoft Intune 進行管理。 如需詳細資訊，請參閱 使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置。
• 裝置必須由 Microsoft 雲端解決方案提供者 (CSP) 合作夥伴註冊 Windows Autopilot，或由 OEM 直接註冊。 針對 Surface 裝置，可在 Microsoft 裝置 Windows Autopilot 支援中取得 Microsoft 註冊支援。

使用 Windows Autopilot 管理 DFCI 配置檔

使用 Windows Autopilot 管理 DFCI 配置檔有四個基本步驟：

1. 建立 Windows Autopilot 設定檔
2. 建立註冊狀態頁面設定檔
3. 建立 DFCI 設定檔
4. 指派設定檔

如需詳細資料，請參閱 建立設定檔 和 指派設定檔，然後重新開機 。

現有的 DFCI 設定 也可以在使用中的裝置上變更。 在現有的 DFCI 配置檔中，變更設定並儲存變更。 由於配置檔已指派，因此新的 DFCI 設定會在下次裝置同步處理或裝置重新啟動時生效。

若要識別裝置是否已就緒 DFCI，可以使用下列 Intune 圖形 API 呼叫：

managedDevice/deviceFirmwareConfigurationInterfaceManaged

如需詳細資訊，請參閱 Intune 裝置和應用程式 API 概觀 和 在 Microsoft Graph 中使用 Intune 。

支援 DFCI 的 OEM

• 宏碁。
• 華碩。
• 戴納布克。
• 富士通。
• Microsoft Surface。
• 松下。
• 瓦約。
• 三星。
• NEC。

其他原始設備製造商正在等待中。

已知問題

Windows 11 24H2 專業版的 DFCI 註冊失敗

新增日期： 2024 年 10 月 9 日 更新日期： 2025 年 2 月 11 日

目前無法在具有專業版 Windows 11 24H2 的裝置上設定 DFCI (現成體驗 OOBE)

對於已佈建且具有專業版 Windows 11 24H2 版的裝置，請安裝 KB5046740 或更新版本以註冊 DFCI。 具有專業版 Windows 11 版本 24H2 且已安裝 KB5046740 或更新版本的裝置會在重新開機之後自動註冊到 DFCI 中。

如果需要在 24H2 裝置上布建 OOBE 期間設定 DFCI，請遵循下列步驟：

1. 在 OOBE 上線期間，請確定裝置已升級至 Windows 11 企業版 24H2。
2. 升級至 Windows 11 企業版 24H2 之後，請同步處理裝置。
3. 同步處理裝置之後，請重新啟動裝置，以將其註冊到 DFCI。

相關內容

• Microsoft DFCI 案例。
• Windows Autopilot 和 Surface 裝置。