Uso de perfiles de configuración de BIOS en dispositivos Windows en Microsoft Intune

En Intune, puede usar una configuración del BIOS y otra directiva de configuración de dispositivo de configuración para habilitar o deshabilitar las características y la configuración del BIOS.

Con una herramienta OEM, se crea un archivo de configuración del BIOS que configura las características del BIOS. En los dispositivos, instale la aplicación Oem Win32 que lee la configuración. A continuación, en la directiva de BIOS de Intune, agregue el archivo de configuración del BIOS y asigne la directiva a los dispositivos.

El archivo de configuración normalmente incluye opciones que protegen el dispositivo y protegen su hardware integrado.

Por ejemplo, quiere evitar que los usuarios finales vuelvan aimajar el dispositivo y salgan de la administración de Intune. Para esta tarea, creará un archivo de configuración del BIOS que deshabilita el arranque desde USB. A continuación, agregue este archivo a la directiva de Intune y habilite una contraseña de BIOS. Estos pasos garantizan que la configuración no se sobrescribe.

Esta característica se aplica a:

  • Windows 11
  • Windows 10
  • Dispositivos Dell

En este artículo se incluye más información sobre el archivo de configuración y la aplicación Win32, y se muestra cómo crear la configuración del BIOS y otras directivas de configuración en Intune.

Advertencia

Los cambios de configuración del BIOS pueden afectar a la funcionalidad y operabilidad del dispositivo, incluida la capacidad de arrancar o acceder a unidades cifradas de Bitlocker. Esta característica permite a los administradores de Intune actualizar fácilmente las configuraciones del BIOS en sus dispositivos. Al realizar cambios, pruebe e implemente en fases para minimizar el impacto de las configuraciones inesperadas.

Requisitos previos

  • Para configurar las directivas de Intune, como mínimo, inicie sesión en el Centro de administración de Intune con el rol Administrador de directivas y perfiles . Para obtener información sobre los roles integrados en Intune y lo que pueden hacer, vaya a:

  • Esta característica admite dispositivos propiedad de la organización que están inscritos en MDM en Intune. No se admiten dispositivos personales ni dispositivos no inscritos en Intune.

  • Asegúrese de que los dispositivos no tengan configurada una contraseña de BIOS existente. Esta característica requiere que Intune tenga la contraseña del BIOS. Si Intune no tiene la contraseña del BIOS del dispositivo, no puede actualizar la configuración del BIOS.

Paso 1: Creación del archivo de configuración e implementación de la aplicación

Esta sección se centra en el uso de la herramienta OEM para crear el archivo de configuración e implementar la aplicación Win32 de OEM en los dispositivos.

  1. Cree el archivo de configuración mediante una herramienta OEM. En el archivo, agregue y configure las características que desea configurar. Puede agregar cualquier configuración que admita el OEM.

    • Para Dell, puede usar la herramienta Comando de Dell (abre el sitio web de Dell) para crear el archivo de configuración del BIOS.
  2. Al crear el archivo de configuración, hay una aplicación de Win32 coordinada proporcionada por el OEM. Implemente la aplicación Win32 de OEM en los dispositivos. Esta aplicación:

    • Actúa como un agente que lee el archivo de configuración que crea y lee las contraseñas del BIOS de los dispositivos.
    • Debe instalarse en todos los dispositivos antes de asignar la directiva de configuración del BIOS de Intune.

    Para Dell, puede descargar la aplicación Dell Command (abre el sitio web de Dell).

    Para instalar esta aplicación en los dispositivos, puede usar Intune:

    • Agregue la aplicación a Intune y consiéguela como una aplicación necesaria.
    • Asigne la aplicación al grupo o filtro de asignación que cree en el paso siguiente (en este artículo).

    Para obtener información sobre las aplicaciones Win32 en Intune, vaya a Agregar, asignar y supervisar una aplicación Win32 en Microsoft Intune.

Paso 2: Creación de un grupo o uso de un filtro de asignación

Se recomienda centrar esta directiva en un conjunto específico de dispositivos. Las opciones son:

  • Opción 1 : cree un grupo que incluya los dispositivos. Al crear la directiva de aplicación y la directiva de configuración del BIOS, las directivas se asignan a este grupo.
  • Opción 2 : use un filtro de asignación basado en el fabricante del dispositivo. Al crear el filtro, seleccione como destino los dispositivos OEM. Cuando asigne las directivas de configuración de la aplicación y el BIOS, agregue este filtro.

Para obtener información sobre estas características, vaya a:

Paso 3: Creación de la directiva de configuración del BIOS en Intune

Esta directiva es donde se agrega el archivo de configuración que creó en el paso 1 con la herramienta OEM.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Dispositivos>Administrar dispositivos>Configuración>Crear>Nueva directiva.

  3. Escriba las propiedades siguientes:

    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: seleccione Plantillas>Configuración del BIOS y otras opciones.
  4. Seleccione Crear.

  5. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a las directivas para que pueda identificarlas de manera sencilla más adelante. Por ejemplo, un buen nombre de perfil es la contraseña de configuración del BIOS.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

    Seleccione Siguiente.

  6. En Opciones de configuración, establezca los siguientes parámetros:

    • Hardware: seleccione el proveedor de OEM de hardware en una lista de OEM admitidos. Actualmente, solo se admite Dell.

    • Deshabilitar la protección con contraseña del BIOS por dispositivo: esta configuración administra la contraseña que protege la configuración del BIOS en el dispositivo. Las opciones son:

      • No: Intune genera una contraseña de dispositivo única para cada dispositivo. Para acceder y actualizar la configuración del BIOS en el dispositivo, los usuarios deben escribir esta contraseña.
      • : no hay una contraseña que proteja el BIOS. Se quitan las contraseñas anteriores. Los usuarios finales pueden acceder al BIOS y cambiar la configuración del BIOS en el dispositivo.
    • Archivo de configuración: cargue el archivo de configuración generado con la herramienta OEM.

      Para Dell, cargue el archivo del kit de herramientas de configuración de cliente de Dell (.cctk). El límite de tamaño del archivo es de 2 MB.

    Seleccione Siguiente.

  7. En Asignaciones, seleccione el nuevo grupo de dispositivos que creó. Este grupo recibe el perfil. Para obtener información sobre la asignación de perfiles, vaya a Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente.

  8. En Revisar y crear, revise la configuración y seleccione Crear. Si selecciona Crear, se guardan los cambios y se asigna el perfil. La directiva también se muestra en la lista de perfiles.

La próxima vez que cada dispositivo se registra, se aplica la directiva.

Supervisión de la directiva con informes integrados

En el Centro de administración de Intune, después de crear una directiva, puede supervisar su estado y ver los errores.

  1. En el Centro de administración de Intune, vaya a la pestaña Dispositivos>administrar dispositivos>Directivas deconfiguración>.
  2. Seleccione la directiva que desea supervisar. El informe Estado del dispositivo muestra el estado de la directiva y muestra los detalles de error para la solución de problemas.

Para obtener más información, vaya a:

Recuperación de las contraseñas del BIOS

Intune almacena las contraseñas del BIOS para cada dispositivo. Puede obtener las contraseñas del BIOS mediante Microsoft Graph. Para probar las API de Graph, puede usar el Explorador de Microsoft Graph.

Importante

Asegúrese de realizar una copia de seguridad de todas las contraseñas fuera de Intune. Si no realiza una copia de seguridad de las contraseñas fuera de Intune, tenga en cuenta los siguientes escenarios:

  • Si se quita un dispositivo de la administración de Intune, los administradores pueden leer las contraseñas del BIOS mediante la API hardwarePasswordInfo de Microsoft Graph.
  • Si finaliza la suscripción de Intune para el inquilino, no hay forma de leer ni recuperar contraseñas de BIOS. En esta situación, su única opción es ponerse en contacto con el OEM.

Opción 1: Leer la contraseña del BIOS de un dispositivo a la vez

Esta opción obtiene las contraseñas del BIOS, un dispositivo a la vez.

  1. Cree un rol RBAC personalizado de Intune con el permiso Leer contraseña del bios :

    1. Como mínimo, inicie sesión en el Centro de administración de Intune como miembro del rol integrado Administrador de roles de Intune .

      Para obtener información sobre los roles integrados de Intune, vaya a:

    2. Seleccione Roles de administración> deinquilinos>Crear un nuevo rol.

    3. Asigne un nombre al rol y seleccione Siguiente.

    4. En Permisos, expanda Dispositivos administrados> Establezca La contraseña de lectura del bios en .

    5. Seleccione Siguiente>siguiente>crear.

  2. Inicie sesión en la herramienta graph con este rol RBAC personalizado y use hardwarePasswordInfo API de Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opción 2: Leer la contraseña del BIOS de todos los dispositivos

Esta opción obtiene una lista de todas las contraseñas de BIOS de todos los dispositivos.

  1. Como mínimo, necesita el rol Administrador de Intune en Microsoft Entra ID.

  2. Inicie sesión en la herramienta graph con este rol y use la API hardwarePasswordInfo de Microsoft Graph:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Para obtener información sobre los roles integrados, vaya a Roles integrados de Microsoft Entra.

Eliminación de la contraseña de configuración del BIOS

Si tiene previsto dejar de administrar el BIOS de los dispositivos o quitar dispositivos de forma permanente del inquilino, debe quitar la contraseña del BIOS.

Para quitar la contraseña del BIOS, en la directiva de configuración del BIOS de Intune, establezca la opción Deshabilitar protección con contraseña del BIOS por dispositivo en . A continuación, asigne la directiva. Cuando el dispositivo se registra con Intune, se aplica la directiva. En el dispositivo, también puede sincronizar manualmente el dispositivo con Intune para aplicar la directiva.

Una vez que se aplique la directiva, reinicie el dispositivo.

La anulación de la inscripción del dispositivo de Intune no quita la contraseña del BIOS. Si anula la inscripción del dispositivo antes de deshabilitar la contraseña, deberá actualizarla manualmente en el dispositivo.

Configuración del BIOS frente a DFCI

Intune tiene dos características que pueden administrar la configuración del BIOS en dispositivos Windows: configuración del BIOS y otras opciones y Device Firmware Configuration Interface (DFCI).

En la tabla siguiente se comparan estas opciones.

Característica Configuración del BIOS y otras opciones DFCI
OEM admitidos Dell

Posiblemente más en el futuro
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Para obtener más información, vaya a Escenarios dfci de Microsoft.
Configuraciones compatibles Todas las configuraciones disponibles en la herramienta OEM Un conjunto de opciones de configuración para controlar las características de seguridad, algunas características de hardware, opciones de arranque, puertos, etc.
Cómo se aplica la configuración Intune entrega el archivo de configuración cuando se asigna la directiva. El agente OEM del dispositivo aplica la configuración. A través de CSP de UEFI mediante la capa DFCI, que está aislada del sistema operativo
Bloquea el acceso al menú del BIOS Sí, a través de contraseñas de BIOS Sí, a través de certificados
Configuración durante Windows Autopilot En la configuración de la Página de estado de inscripción (ESP), seleccione la aplicación Oem Win32. Intune inscribe automáticamente el dispositivo en mgmt dfci.
Informes Notifica si se ha aplicado el archivo de configuración. Informe pormenorizada para cada configuración que configure.
Tipo de directiva de Intune Dispositivos>Administración de dispositivos>Configuración>Plantillas>Configuración del BIOS y otras opciones Dispositivos>Administración de dispositivos>Configuración>Plantillas>Interfaz de configuración del firmware del dispositivo

Para obtener información sobre DFCI, vaya a: