DFCI-Profile (Device Firmware Configuration Interface) auf Windows-Geräten in Microsoft Intune verwenden

Wenn Sie Intune zum Verwalten von Windows Autopilot-Geräten verwenden, können Sie UEFI-Einstellungen (BIOS) nach der Registrierung mithilfe der Device Firmware Configuration Interface (DFCI) verwalten. Eine Übersicht über Vorteile, Szenarien und Voraussetzungen erfahren Sie unter Übersicht über DFCI.

DFCI ermöglicht Windows das Weitergeben von Verwaltungsbefehlen von Intune an UEFI (Unified Extensible Firmware Interface).

Verwenden Sie dieses Feature in Intune zum Steuern von BIOS-Einstellungen. In der Regel ist Firmware resilienter gegen böswillige Angriffe. Dadurch wird die Kontrolle des Endbenutzers über das BIOS beschränkt, was bei einer Kompromittierung gut ist.

Diese Funktion gilt für:

  • Windows 11 auf unterstütztem UEFI
  • Windows 10 RS5 (1809) und höher auf unterstützter UEFI

Beispielsweise verwenden Sie Windows-Clientgeräte in einer sicheren Umgebung und wollen die Kamera deaktivieren. Sie können diese also auf Firmwareebene deaktivieren, sodass es keine Rolle spielt, was der Endbenutzer tut. Selbst wenn das Betriebssystem neu installiert oder der Computer zurückgesetzt wird, wird die Kamera nicht wieder eingeschaltet. Ein anderes Beispiel besteht darin, die Startoptionen zu sperren, um zu verhindern, dass Benutzer ein anderes Betriebssystem oder eine ältere Version von Windows starten, die nicht über die gleichen Sicherheitsfeatures verfügt.

Wenn Sie eine ältere Windows-Version neu installieren und ein separates Betriebssystem installieren oder die Festplatte formatieren, können Sie die DFCI-Verwaltung nicht außer Kraft setzen. Dieses Feature kann verhindern, dass Malware mit Betriebssystemprozessen (einschließlich Betriebssystemprozesse mit erhöhten Rechten) kommuniziert. Die DFCI-Vertrauenskette verwendet die Kryptografie mit öffentlichem Schlüssel und ist nicht von der Sicherheit des lokalen UEFI-Kennworts (BIOS) abhängig. Diese Schutzfunktion blockiert für lokale Benutzer den Zugriff auf verwaltete Einstellungen über die UEFI-Menüs (BIOS) des Geräts.

Tipp

Für Dell-Geräte können Sie eine BIOS-Konfigurationsrichtlinie erstellen. Weitere Informationen findest du unter Verwenden von BIOS-Konfigurationsprofilen auf Windows-Geräten in Microsoft Intune.

Bevor Sie beginnen

  • Der Gerätehersteller muss der UEFI-Firmware im Fertigungsprozess DFCI hinzufügen oder als Firmwareupdate bereitstellen, das Sie installieren. Arbeiten Sie mit Geräteanbietern zusammen, um die Hersteller zu ermitteln, die DFCI unterstützen oder die Firmwareversion für die Verwendung von DFCI unterstützen.

  • Das Gerät muss von einem Microsoft CSP-Partner (Cloud Solution Provider) oder direkt vom OEM für Windows Autopilot registriert werden.

    Geräte, die manuell für Windows Autopilot registriert sind, z. B. aus einer CSV-Datei importiert, dürfen DFCI nicht verwenden. Die DFCI-Verwaltung erfordert standardmäßig den externen Nachweis der kommerziellen Beschaffung des Geräts über eine OEM- oder CSP-Partnerregistrierung bei Windows Autopilot.

    Nach der Registrierung des Geräts wird dessen Seriennummer in der Liste der Windows Autopilot-Geräte angezeigt.

    Weitere Informationen zu Windows Autopilot, einschließlich aller Anforderungen, finden Sie unter Übersicht über die Windows Autopilot-Registrierung.

Erstellen Ihrer Microsoft Entra-Sicherheitsgruppen

Windows Autopilot-Bereitstellungsprofile werden Microsoft Entra-Sicherheitsgruppen zugewiesen. Stellen Sie sicher, dass Sie Gruppen erstellen, die Ihre von DFCI unterstützten Geräte enthalten. Die meisten Organisationen erstellen für DFCI-Geräte Gerätegruppen anstelle von Benutzergruppen. Betrachten Sie dazu die folgenden Szenarien:

  • Personalwesen (HR) verfügt über unterschiedliche Windows-Geräte. Aus Sicherheitsgründen möchten Sie, dass niemand in dieser Abteilung die Kamera der Geräte verwendet. In diesem Szenario können Sie eine Benutzergruppe für die Mitarbeiter der Personalabteilung erstellen, sodass die Richtlinie unabhängig vom Gerätetyp für die Benutzer in der Personalabteilungsgruppe gilt.

  • Im Produktionsbereich sind 10 Geräte vorhanden. Sie möchten auf allen Geräten das Starten über ein USB-Gerät verhindern. In diesem Szenario können Sie eine Gerätegruppe erstellen und der Gruppe diese 10 Geräte hinzufügen.

Weitere Informationen zum Erstellen von Gruppen in Intune findest du unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Erstellen der Profile

Erstellen Sie die folgenden Profile, und weisen Sie diese Ihrer Gruppe zu, um DFCI zu verwenden.

Schritt 1: Erstellen eines Windows Autopilot-Bereitstellungsprofils

Mit diesem Profil werden neue Geräte eingerichtet und vorkonfiguriert. Der folgende Artikel listet die Schritte zum Erstellen des Profils auf:

Schritt 2: Erstellen eines Profils für die Registrierungsstatusseite

Dieses Profil stellt sicher, dass Geräte während des Windows Setups überprüft und für DFCI aktiviert werden. Es wird dringend empfohlen, dieses Profil zu verwenden, um die Geräteverwendung zu blockieren, bis alle Apps und Profile installiert sind.

Der folgende Artikel listet die Schritte zum Erstellen des Profils auf:

Schritt 3: Erstellen des DFCI-Profils in Intune

Dieses Profil enthält die von Ihnen konfigurierten DFCI-Einstellungen.

Tipp

Das Konfigurieren und Zuweisen von DFCI-Profilen kann das Gerät irreparabel sperren. Achten Sie also auf die Werte, die Sie konfigurieren.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Geräte verwalten>Konfiguration>Erstellen>Neue Richtlinie aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profiltyp: Wählen Sie Vorlagen>Gerätefirmwarekonfigurationsschnittstelle aus.
  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen. Ein guter Profilname ist z. B. Windows – DFCI-Einstellungen auf Windows-Geräten.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    Wählen Sie Weiter aus.

  6. Konfigurieren Sie in den Konfigurationseinstellungen die Einstellungen, die Sie auf der UEFI-Firmwareebene steuern möchten. Eine Liste aller Einstellungen und ihrer Wirkung finden Sie unter:

    Wählen Sie Weiter aus.

  7. Weisen Sie in Bereichstags (optional) ein Tag zu, um das Profil nach bestimmten IT-Gruppen wie US-NC IT Team oder JohnGlenn_ITDepartment zu filtern. Weitere Informationen zu Bereichstags findest du unter Verwenden von RBAC und Bereichsmarkierungen für verteilte IT. Wählen Sie Weiter aus.

  8. Wählen Sie unter Zuweisungen die Benutzer oder Benutzergruppen aus, denen Ihr Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen findest du unter Zuweisen von Benutzer- und Geräteprofilen. Wählen Sie Weiter aus.

  9. Überprüfen Sie Ihre Einstellungen unter Überprüfen und Erstellen, und wählen Sie Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Wenn die Geräte das nächste Mal einchecken, wird die Richtlinie angewendet.

Zuweisen der Profile und Neustarten

Weisen Sie die Profile Ihren Microsoft Entra-Sicherheitsgruppen zu, die Ihre DFCI-Geräte enthalten. Das Profil kann beim Erstellen oder anschließend zugewiesen werden.

Wenn das Gerät Windows Autopilot ausführt, kann DFCI während der Seite zum „Registrierungsstatus“ einen Neustart erzwingen. Mit diesem ersten Neustart wird UEFI in Intune registriert.

Wenn Sie sich vergewissern möchten, dass das Gerät registriert ist, können Sie es nochmals neu starten, dies ist jedoch nicht erforderlich. Befolgen Sie die Anweisungen des Geräteherstellers, um das UEFI-Menü zu öffnen, und bestätigen Sie, dass UEFI nun verwaltet wird.

Das nächste Mal, wenn das Gerät mit Intune synchronisiert wird, empfängt Windows die DFCI-Einstellungen. Starten Sie das Gerät neu. Dieser dritte Neustart ist erforderlich, damit UEFI die DFCI-Einstellungen von Windows empfängt.

Aktualisieren vorhandener DFCI-Einstellungen

Wenn Sie möchten, können Sie vorhandene DFCI-Einstellungen auf verwendeten Geräten ändern. Ändern Sie die Einstellungen in Ihrem vorhandenen DFCI-Profil, und speichern Sie Ihre Änderungen. Da das Profil bereits zugewiesen ist, werden die neuen DFCI-Einstellungen in folgenden Situationen wirksam:

  1. Das Gerät wird beim Intune-Dienst eingecheckt, um Profilaktualisierungen zu überprüfen. Check-Ins erfolgen zu verschiedenen Zeitpunkten. Weitere Informationen finden Sie unter Wann Geräte richtlinien-, profil- oder App-Updates erhalten.
  2. Führen Sie remote oder lokal einen Neustart des Geräts durch, um die neuen Einstellungen zu erzwingen.

Sie können Geräten auch signalisieren, dass diese einchecken sollen. Signalisieren Sie nach einer erfolgreichen Synchronisierung, dass das Gerät neu gestartet werden soll.

Hinweis

Wenn Sie das DFCI-Profil löschen oder ein Gerät aus der Gruppe entfernen, die dem Profil zugewiesen ist, werden keine DFCI-Einstellungen entfernt oder UEFI-Menüs (BIOS) erneut aktiviert. Wenn Sie dfci nicht mehr verwenden möchten, aktualisieren Sie die Einstellungen in Ihrem vorhandenen DFCI-Profil. Weitere Informationen zu den Schritten findest du unter Außerbetriebnahme des Geräts in diesem Artikel.

Konflikte

Wenn Sie die DFCI-Richtlinie erstellen, konfigurieren Sie die Windows-DFCI-Einstellungen, die Sie verwalten möchten.

Einige Einstellungen befinden sich in einer logischen Kategorie, wie z. B. Mikrofone und Lautsprecher. Es gibt auch granulare Einstellungen, wie z. B. Mikrofone. Wenn diese Einstellungen in Konflikt geraten, passiert Folgendes:

  • Beim ersten Synchronisierungsversuch wird die granulare Einstellung (Mikrofone) angewendet, und die Kategorieeinstellung ist nicht konform (Mikrofone und Lautsprecher).

  • Bei jeder Synchronisierung mit dem Intune-Dienst nach der ersten Synchronisierung tritt in einer Schleife folgendes Verhalten auf:

    • Intune wendet die Kategorieeinstellung (Mikrofone und Lautsprecher) an, da sie nicht konform ist. Die granulare Einstellung (Mikrofone) wird nicht konform.
    • Intune wendet die granulare Einstellung (Mikrofone) an, da sie nicht konform ist. Die Kategorieeinstellung (Mikrofone und Lautsprecher) wird nicht konform.

Um dieses Schleifenverhalten zu vermeiden, konfigurieren Sie die Kategorieeinstellung oder die granularen Einstellungen.

Beispielsweise möchten Sie nur WLAN Radios zulassen. In diesem Szenario:

  • Belassen Sie die Einstellung der Kategorie Funkgeräte (Bluetooth, WLAN, NFC usw.) auf Nicht konfiguriert.
  • Stellen Sie die WLAN Funkeinstellung auf Aktivieren ein.
  • Setzen Sie alle anderen granularen Funkeinstellungen auf Disabled.

Wiederverwenden, Deaktivieren oder Wiederherstellen des Geräts

Wiederverwenden

Setzen Sie das Gerät zurück, wenn Sie Windows zurücksetzen möchten, um das Gerät wieder zu verwenden. Entfernen Sie den Windows Autopilot-Gerätedatensatz nicht .

Verschieben Sie das Gerät nach dem Zurücksetzen des Geräts in die Gruppe, der die neuen DFCI- und Windows Autopilot-Profile zugewiesen sind. Stellen Sie sicher, dass Sie das Gerät neu starten, um das Windows Setup erneut auszuführen.

Zurückziehen

Aktualisieren Sie das DFCI-Profil auf die gewünschten UEFI-Einstellungen (BIOS), wenn Sie das Gerät deaktivieren und bei der Verwaltung nicht mehr berücksichtigen möchten. In der Regel möchten Sie, dass alle Einstellungen aktiviert sind. Beispiel:

  1. Öffnen Sie im Intune Admin Center Ihr DFCI-Profil (Geräte>Verwalten von Geräten>Konfiguration).
  2. Ändern Sie die Einstellung Lokalem Benutzer das Ändern von UEFI-Einstellungen erlauben (BIOS) in Nur nicht konfigurierte Einstellungen.
  3. Legen Sie alle anderen Einstellungen auf Nicht konfiguriert fest.
  4. Speichern Sie Ihre Einstellungen.

Mit diesen Schritten werden die UEFI-Menüs (BIOS) des Geräts entsperrt. Die Werte und das Profil bleiben identisch (Aktiviert oder Deaktiviert) und werden nicht auf die Standardwerte des Betriebssystems zurückgesetzt.

Sie können das Gerät jetzt zurücksetzen. Nachdem das Gerät zurückgesetzt wurde, löschen Sie den Windows Autopilot-Eintrag. Durch das Löschen des Datensatzes wird verhindert, dass das Gerät bei einem Neustart automatisch erneut registriert wird.

Tipp

Um Surface-Geräte aus der DFCI-Registrierung zu entfernen, wechseln Sie zu Entfernen der DFCI-Verwaltung.

Wiederherstellen

Wenn Sie ein Gerät zurücksetzen und den Windows Autopilot-Eintrag löschen, bevor Sie die UEFI-Menüs (BIOS) entsperren, bleiben die Menüs gesperrt. Intune kann keine Profilupdates zum Entsperren senden.

Um das Gerät zu entsperren, öffnen Sie das UEFI-Menü (BIOS), und aktualisieren Sie die Verwaltung über das Netzwerk. Durch die Wiederherstellung werden die Menüs entsperrt, aber für alle UEFI-Einstellungen (BIOS) bleiben die im vorherigen Intune-DFCI-Profil festgelegten Werte erhalten.

Auswirkungen auf den Endbenutzer

Wenn die DFCI-Richtlinie angewendet wird, können lokale Benutzer von DFCI konfigurierte Einstellungen nicht ändern, auch wenn das UEFI-Menü (BIOS) kennwortgeschützt ist. Abhängig von den von Ihnen konfigurierten Einstellungen erhalten Endbenutzer möglicherweise Fehlermeldungen, dass Hardwarekomponenten nicht gefunden werden oder nicht diagnostiziert werden können. Stellen Sie sicher, dass Endbenutzern eine Dokumentation bereitgestellt wird, in der die von Ihnen deaktivierten Optionen erläutert werden.