Verwenden von BIOS-Konfigurationsprofilen auf Windows-Geräten in Microsoft Intune

In Intune können Sie eine BIOS-Konfiguration und andere Einstellungen gerätekonfigurationsrichtlinie verwenden, um BIOS-Features und -Einstellungen zu aktivieren oder zu deaktivieren.

Mit einem OEM-Tool erstellen Sie eine BIOS-Konfigurationsdatei, die die BIOS-Features konfiguriert. Auf den Geräten installieren Sie die OEM-Win32-App, die die Konfiguration liest. Anschließend fügen Sie in der Intune-BIOS-Richtlinie die BIOS-Konfigurationsdatei hinzu und weisen die Richtlinie Ihren Geräten zu.

Die Konfigurationsdatei enthält in der Regel Einstellungen, die das Gerät und die integrierte Hardware schützen.

Sie möchten beispielsweise verhindern, dass Endbenutzer das Gerät neu erstellen und aus der Intune-Verwaltung herauskommen. Für diese Aufgabe erstellen Sie eine BIOS-Konfigurationsdatei, die das Starten von USB deaktiviert. Anschließend fügen Sie diese Datei der Intune-Richtlinie hinzu und aktivieren ein BIOS-Kennwort. Mit diesen Schritten wird sichergestellt, dass die Konfiguration nicht überschrieben wird.

Diese Funktion gilt für:

  • Windows 11
  • Windows 10
  • Dell-Geräte

Dieser Artikel enthält weitere Informationen zur Konfigurationsdatei und win32-App und zeigt Ihnen, wie Sie die BIOS-Konfiguration und andere Einstellungsrichtlinien in Intune erstellen.

Warnung

Änderungen an der BIOS-Konfiguration können sich auf die Funktionalität und Funktionsfähigkeit des Geräts auswirken, einschließlich der Möglichkeit, mit BitLocker verschlüsselte Laufwerke zu starten oder darauf zuzugreifen. Dieses Feature ermöglicht Es Intune-Administratoren, BIOS-Konfigurationen auf ihren Geräten einfach zu aktualisieren. Wenn Sie Änderungen vornehmen, testen Und bereitstellen Sie sie in Phasen, um die Auswirkungen unerwarteter Konfigurationen zu minimieren.

Voraussetzungen

  • Um die Intune-Richtlinien zu konfigurieren, melden Sie sich mindestens beim Intune Admin Center mit der Rolle Richtlinien- und Profil-Manager an. Informationen zu den integrierten Rollen in Intune und deren Möglichkeiten finden Sie unter:

  • Dieses Feature unterstützt organisationseigene Geräte, die bei Intune mdm-registriert sind. Persönliche Geräte und Geräte, die nicht in Intune registriert sind, werden nicht unterstützt.

  • Stellen Sie sicher, dass auf den Geräten kein vorhandenes BIOS-Kennwort konfiguriert ist. Dieses Feature erfordert, dass Intune über das BIOS-Kennwort verfügt. Wenn Intune nicht über das BIOS-Kennwort des Geräts verfügt, kann die BIOS-Konfiguration nicht aktualisiert werden.

Schritt 1: Erstellen der Konfigurationsdatei und Bereitstellen der App

Dieser Abschnitt konzentriert sich auf die Verwendung des OEM-Tools zum Erstellen der Konfigurationsdatei und das Bereitstellen der OEM-Win32-App auf den Geräten.

  1. Erstellen Sie die Konfigurationsdatei mithilfe eines OEM-Tools. Fügen Sie in der Datei die Features hinzu, die Sie konfigurieren möchten, und konfigurieren Sie sie. Sie können alle Konfigurationseinstellungen hinzufügen, die der OEM unterstützt.

    • Für Dell können Sie das Tool Dell Command (öffnet die Website von Dell) verwenden, um die BIOS-Konfigurationsdatei zu erstellen.
  2. Wenn Sie die Konfigurationsdatei erstellen, wird eine koordinierende Win32-App vom OEM bereitgestellt. Stellen Sie die OEM-Win32-App auf den Geräten bereit. Diese App:

    • Fungiert als Agent, der die von Ihnen erstellte Konfigurationsdatei liest und die BIOS-Kennwörter der Geräte liest.
    • Muss auf allen Geräten installiert sein, bevor Sie die Intune-BIOS-Konfigurationsrichtlinie zuweisen.

    Für Dell können Sie die App Dell Command (öffnet die Website von Dell) herunterladen.

    Um diese App auf den Geräten zu installieren, können Sie Intune verwenden:

    • Fügen Sie die App zu Intune hinzu, und machen Sie sie zu einer erforderlichen App.
    • Weisen Sie die App dem Gruppen- oder Zuweisungsfilter zu, den Sie im nächsten Schritt (in diesem Artikel) erstellen.

    Informationen zu Win32-Apps in Intune findest du unter Hinzufügen, Zuweisen und Überwachen einer Win32-App in Microsoft Intune.

Schritt 2: Erstellen einer Gruppe oder Verwenden eines Zuweisungsfilters

Es wird empfohlen, diese Richtlinie auf eine bestimmte Gruppe von Geräten zu konzentrieren. Ihre Optionen:

  • Option 1 : Erstellen Sie eine Gruppe, die die Geräte enthält. Wenn Sie die App-Richtlinie und die BIOS-Konfigurationsrichtlinie erstellen, weisen Sie die Richtlinien dieser Gruppe zu.
  • Option 2 : Verwenden Sie einen Zuweisungsfilter basierend auf dem Gerätehersteller. Wenn Sie den Filter erstellen, richten Sie die OEM-Geräte als Ziel ein. Wenn Sie die App- und BIOS-Konfigurationsrichtlinien zuweisen, fügen Sie diesen Filter hinzu.

Informationen zu diesen Features finden Sie unter:

Schritt 3: Erstellen der BIOS-Konfigurationsrichtlinie in Intune

In dieser Richtlinie fügen Sie die Konfigurationsdatei hinzu, die Sie in Schritt 1 mit dem OEM-Tool erstellt haben.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen>BIOS-Konfiguration und andere Einstellungen aus.
  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Profilname ist beispielsweise das BIOS-Konfigurationskennwort.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    Wählen Sie Weiter aus.

  6. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

    • Hardware: Wählen Sie ihren Hardware-OEM-Anbieter aus einer Liste der unterstützten OEMs aus. Derzeit wird nur Dell unterstützt.

    • Deaktivieren des BIOS-Kennwortschutzes pro Gerät: Diese Einstellung verwaltet das Kennwort, das die BIOS-Konfiguration auf dem Gerät schützt. Ihre Optionen:

      • Nein: Intune generiert für jedes Gerät ein eindeutiges Gerätekennwort. Um auf die BIOS-Konfiguration auf dem Gerät zuzugreifen und diese zu aktualisieren, müssen Benutzer dieses Kennwort eingeben.
      • Ja: Es gibt kein Kennwort, das das BIOS schützt. Alle vorherigen Kennwörter werden entfernt. Endbenutzer können auf das BIOS zugreifen und die BIOS-Einstellungen auf dem Gerät ändern.
    • Konfigurationsdatei: Laden Sie die mit Ihrem OEM-Tool generierte Konfigurationsdatei hoch.

      Laden Sie für Dell die Datei des Dell Client Configuration Tool Kit (.cctk) hoch. Die Dateigrößenbeschränkung beträgt 2 MB.

    Wählen Sie Weiter aus.

  7. Wählen Sie unter Zuweisungen die neue Gerätegruppe aus, die Sie erstellt haben. Diese Gruppe empfängt Ihr Profil. Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen.

    Wählen Sie Weiter aus.

  8. Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn jedes Gerät das nächste Mal eincheckt, gilt die Richtlinie.

Überwachen Ihrer Richtlinie mit integrierten Berichten

Nachdem Sie eine Richtlinie erstellt haben, können Sie im Intune Admin Center deren Status überwachen und alle Fehler anzeigen.

  1. Wechseln Sie im Intune Admin Center zur Registerkarte Geräte>Verwalten von Geräten>Konfigurationsrichtlinien>.
  2. Wählen Sie die Richtlinie aus, die Sie überwachen möchten. Der Gerätestatusbericht zeigt den Status der Richtlinie und alle Fehlerdetails für die Problembehandlung an.

Weitere Informationen finden Sie unter:

Abrufen der BIOS-Kennwörter

Intune speichert die BIOS-Kennwörter für jedes Gerät. Sie können die BIOS-Kennwörter mithilfe von Microsoft Graph abrufen. Zum Testen der Graph-APIs können Sie den Microsoft Graph-Explorer verwenden.

Wichtig

Stellen Sie sicher, dass Sie alle Kennwörter außerhalb von Intune sichern. Wenn Sie die Kennwörter nicht außerhalb von Intune sichern, beachten Sie die folgenden Szenarien:

  • Wenn ein Gerät aus der Intune-Verwaltung entfernt wird, können Administratoren weiterhin BIOS-Kennwörter mithilfe der Microsoft Graph-HARDWAREPasswordInfo-API lesen.
  • Wenn das Intune-Abonnement für Ihren Mandanten endet, gibt es keine Möglichkeit, BIOS-Kennwörter zu lesen oder abzurufen. In diesem Fall besteht ihre einzige Möglichkeit darin, sich an Ihren OEM zu wenden.

Option 1: Lesen des BIOS-Kennworts auf jedem Gerät

Mit dieser Option werden die BIOS-Kennwörter jeweils auf einem Gerät abgerufen.

  1. Erstellen Sie eine benutzerdefinierte Intune RBAC-Rolle mit der Berechtigung Bios-Kennwort lesen :

    1. Melden Sie sich mindestens beim Intune Admin Center als Mitglied der integrierten Intune-Rolle "Intune-Rollenadministrator " an.

      Informationen zu den integrierten Intune-Rollen findest du unter:

    2. Wählen Sie Mandantenverwaltungsrollen>>Neue Rolle erstellen aus.

    3. Benennen Sie Ihre Rolle, und wählen Sie Weiter aus.

    4. Erweitern Sie unter Berechtigungendie Option Verwaltete Geräte> Legen Sie BIOS-Kennwort lesen auf Ja fest.

    5. Wählen Sie Weiter>Weiter>Erstellen aus.

  2. Melden Sie sich mit dieser benutzerdefinierten RBAC-Rolle bei Ihrem Graph-Tool an, und verwenden Sie die Microsoft Graph-API hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Option 2: Lesen des BIOS-Kennworts aller Geräte

Diese Option ruft eine Liste aller BIOS-Kennwörter aller Geräte ab.

  1. Sie benötigen mindestens die Rolle "Intune-Administrator " in Microsoft Entra ID.

  2. Melden Sie sich mit dieser Rolle bei Ihrem Graph-Tool an, und verwenden Sie die Microsoft Graph-API hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Informationen zu den integrierten Rollen findest du unter Integrierte Microsoft Entra-Rollen.

Entfernen des BIOS-Konfigurationskennworts

Wenn Sie die Verwaltung des BIOS Ihrer Geräte beenden oder Geräte dauerhaft aus Ihrem Mandanten entfernen möchten, müssen Sie das BIOS-Kennwort entfernen.

Um das BIOS-Kennwort zu entfernen, legen Sie in Ihrer Intune-BIOS-Konfigurationsrichtlinie die Einstellung Gerätespezifischen BIOS-Kennwortschutz deaktivieren auf Ja fest. Weisen Sie dann die Richtlinie zu. Wenn das Gerät bei Intune eincheckt, gilt die Richtlinie. Auf dem Gerät können Sie das Gerät auch manuell mit Intune synchronisieren, um die Richtlinie anzuwenden.

Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.

Wenn Sie die Registrierung des Geräts bei Intune aufheben, wird das BIOS-Kennwort nicht entfernt. Wenn Sie die Registrierung des Geräts aufheben, bevor Sie das Kennwort deaktivieren, müssen Sie das Kennwort auf dem Gerät manuell aktualisieren.

BIOS-Konfiguration im Vergleich zu DFCI

Intune verfügt über zwei Features, mit denen die BIOS-Einstellungen auf Windows-Geräten verwaltet werden können: BIOS-Konfiguration und andere Einstellungen und Device Firmware Configuration Interface (DFCI).

In der folgenden Tabelle werden diese Optionen verglichen.

Feature BIOS-Konfiguration und andere Einstellungen DFCI
Unterstützte OEMs Dell

Möglicherweise noch mehr in der Zukunft
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Weitere Informationen findest du unter Microsoft DFCI-Szenarien.
Unterstützte Konfigurationen Alle in Ihrem OEM-Tool verfügbaren Konfigurationen Eine Reihe von Einstellungen zum Steuern von Sicherheitsfeatures, einigen Hardwarefeatures, Startoptionen, Ports und mehr
Anwenden von Einstellungen Intune übermittelt die Konfigurationsdatei, wenn die Richtlinie zugewiesen wird. Der OEM-Agent auf dem Gerät wendet die Konfiguration an. Über den UEFI-CSP mit der DFCI-Ebene, die vom Betriebssystem isoliert ist
Blockiert den Zugriff auf das BIOS-Menü Ja, über BIOS-Kennwörter Ja, über Zertifikate
Konfiguration während Windows Autopilot Wählen Sie in den Einstellungen der Registrierungsstatusseite (ESP) die OEM Win32-App aus. Intune registriert das Gerät automatisch in DFCI mgmt.
Berichterstellung Meldet, ob die Konfigurationsdatei angewendet wurde. Präziser Bericht für jede von Ihnen konfigurierte Einstellung.
Intune-Richtlinientyp Geräte>Verwalten von Geräten>Konfiguration>Schablonen>BIOS-Konfiguration und andere Einstellungen Geräte>Verwalten von Geräten>Konfiguration>Schablonen>Gerätefirmwarekonfigurationsschnittstelle

Informationen zur DFCI:For information on DFCI, go to: