Gestire DFCI nei dispositivi Surface
Introduzione
Con i profili Device Firmware Configuration Interface (DFCI) integrati in Microsoft Intune, la gestione UEFI di Surface estende lo stack di gestione moderno fino al livello hardware UEFI (Unified Extensible Firmware Interface). DFCI supporta il provisioning senza tocco, elimina le password del BIOS, fornisce il controllo delle impostazioni di sicurezza, incluse le opzioni di avvio e le periferiche predefinite, e pone le basi per scenari di sicurezza avanzati in futuro. Questa pagina elenca tutte le impostazioni dei criteri DFCI nei dispositivi Surface distribuiti automaticamente idonei.
Progettato per essere usato con la gestione dei dispositivi mobili (MDM) a livello di software, DFCI consente agli amministratori IT di disabilitare in remoto componenti hardware specifici e impedire agli utenti finali di accedervi. Ad esempio, se è necessario proteggere le informazioni sensibili in aree altamente sicure, è possibile disabilitare la fotocamera e, se non si vuole che gli utenti si avviino da unità USB, è possibile disabilitare anche questo.
Suggerimento
Il supporto per alcune impostazioni dei criteri DFCI varia in base al dispositivo. Esaminare le informazioni di riferimento sulle impostazioni dei criteri DFCI in questa pagina e seguire le istruzioni di Intune per configurare e distribuire le impostazioni nei dispositivi.
Prerequisiti
- Windows 11 o Windows 10 versione 1809 (rilasciato a novembre 2018)
- I dispositivi devono essere registrati con Windows Autopilot tramite uno dei metodi seguenti:
Nota
I dispositivi manualmente o autoregistrati per Autopilot, ad esempio importati da un file CSV, non possono usare DFCI. Per impostazione predefinita, la gestione di DFCI richiede l'attestazione esterna dell'acquisizione commerciale del dispositivo tramite un partner Microsoft CSP o la registrazione di Surface.
Informazioni di riferimento sulle impostazioni dei criteri DFCI per i dispositivi Surface
Dispositivi idonei
- Surface Hub 3
- Surface Pro 10
- Surface Pro 9 (solo SKU commerciali)
- Surface Pro 9 con 5G (solo SKU commerciali)
- Surface Pro 8 (solo SKU commerciali)
- Surface Pro 7+ (solo SKU commerciali)
- Surface Pro 7 (tutti gli SKU)
- Surface Pro X (tutti gli SKU)
- Surface Laptop Studio (solo SKU commerciali di tutte le generazioni)
- Surface Laptop 6
- Surface Laptop 5 (solo SKU commerciali)
- Surface Laptop 4 (solo SKU commerciali)
- Surface Laptop 3 (solo processori Intel)
- Surface Laptop Go
- Surface Laptop Go 2 (solo SKU commerciali)
- Surface Laptop Go 3 (solo SKU commerciali)
- Surface Laptop SE
- Surface Book 3
- Surface Go 3 (solo SKU commerciali)
- Surface Go 4 (solo SKU commerciali)
- Surface Studio 2+
Nota
Surface Pro X non supporta la gestione delle impostazioni DFCI per fotocamera, audio e Wi-Fi/Bluetooth predefiniti. Alcune impostazioni più recenti sono supportate solo nei dispositivi più recenti.
Tabella 1. Informazioni di riferimento sulle impostazioni dei criteri DFCI: dispositivi Surface distribuiti automaticamente da Autopilot
| Impostazione DFCI | Descrizione | Supportato in |
|---|---|---|
| Accesso UEFI | ||
| Consenti all'utente locale di modificare le impostazioni UEFI (BIOS) | Questa impostazione consente di gestire se gli utenti finali possono modificare le impostazioni UEFI nei dispositivi idonei. - Se si seleziona Solo impostazioni non configurate, gli utenti locali (noti anche come utenti finali) possono modificare qualsiasi impostazione UEFI ad eccezione delle impostazioni abilitate o disabilitate in modo esplicito tramite Intune. - Se si seleziona Nessuno, gli utenti locali potrebbero non modificare le impostazioni UEFI, incluse le impostazioni non visualizzate nel profilo DFCI. |
Tutti i dispositivi idonei |
| Impostazioni relative alla sicurezza | ||
| Multithreading simultaneo | Questa impostazione consente di gestire se il supporto simultaneo multithreading (SMT) è abilitato nei dispositivi idonei. SMT supporta la tecnologia Intel hyperthreading, che fornisce due processori logici per ogni core fisico. - Se si abilita questa impostazione, SMT viene attivato nel livello UEFI. - Se si disabilita questa impostazione, SMT viene disattivato nel livello UEFI. - Se non si configura questa impostazione, SMT è abilitato. |
Tutti i dispositivi idonei |
| Fotocamere | ||
| Fotocamere | Questa impostazione consente di gestire se la fotocamera predefinita può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, sono consentite tutte le fotocamere predefinite. Le periferiche, come le fotocamere USB, non sono interessate. - Se disabiliti questa impostazione, tutte le fotocamere predefinite sono disabilitate. Le periferiche, come le fotocamere USB, non sono interessate. - Se non si configura questa impostazione, tutte le fotocamere predefinite sono abilitate. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Front Camera | Questa impostazione consente di gestire se la fotocamera front può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, la fotocamera front è consentita. Le periferiche, come le fotocamere USB, non sono interessate. - Se disabiliti questa impostazione, la fotocamera anteriore è disabilitata. Le periferiche, come le fotocamere USB, non sono interessate. - Se non si configura questa impostazione, la fotocamera front è abilitata. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Rear Camera | Questa impostazione consente di gestire se la fotocamera posteriore può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, la fotocamera posteriore è consentita. Le periferiche, come le fotocamere USB, non sono interessate. - Se disabiliti questa impostazione, la fotocamera posteriore è disabilitata. Le periferiche, come le fotocamere USB, non sono interessate. - Se non si configura questa impostazione, la fotocamera posteriore è consentita. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Fotocamera a infrarossi | Questa impostazione consente di gestire se la fotocamera a infrarossi può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, la fotocamera a infrarossi è consentita. Le periferiche, come le fotocamere USB, non sono interessate. - Se si disabilita questa impostazione, la fotocamera a infrarossi è disabilitata. Le periferiche, come le fotocamere USB, non sono interessate. - Se non si configura questa impostazione, la fotocamera a infrarossi è consentita. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Microfoni e altoparlanti | ||
| Microfoni e altoparlanti | Questa impostazione consente di gestire se l'audio di bordo può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, sono consentiti tutti i microfoni e gli altoparlanti predefiniti. Le periferiche, come i dispositivi USB, non sono interessate. - Se si disabilita questa impostazione, tutti i microfoni e gli altoparlanti predefiniti vengono disabilitati. Le periferiche, come i dispositivi USB, non sono interessate. - Se non si configura questa impostazione, i microfoni e gli altoparlanti sono abilitati. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Microfoni | Questa impostazione consente di gestire se il microfono predefinito può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, tutti i microfoni predefiniti sono abilitati. Le periferiche, come i dispositivi USB, non sono interessate. - Se si disabilita questa impostazione, tutti i microfoni predefiniti vengono disabilitati. Le periferiche, come i dispositivi USB, non sono interessate. - Se non si configura questa impostazione, i microfoni sono abilitati. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Radio | ||
| Radio (Bluetooth, Wi-Fi, NFC e così via) | Questa impostazione consente di gestire il funzionamento di Bluetooth, Wi-Fi o wireless 5G incorporato nei dispositivi idonei. - Se si abilita questa impostazione, sono consentite tutte le radio predefinite. Le periferiche, come i dispositivi USB, non sono interessate. - Se si disabilita questa impostazione, tutte le radio predefinite vengono disabilitate. Le periferiche, come i dispositivi USB, non sono interessate. - Se non si configura questa impostazione, tutte le radio predefinite sono abilitate. MANCIA: Configurare l'impostazione della categoria Radio (Bluetooth, Wi-Fi, NFC e così via) o le impostazioni granulari Bluetooth, Wi-Fi. Se si configurano tutte le impostazioni, queste impostazioni possono causare un conflitto. Per altre informazioni, vedere Panoramica del profilo DFCI: Conflitti. CAUTELA: L'impostazione Disabilita deve essere usata solo nei dispositivi con una connessione Ethernet cablata. |
- Non supportato in Surface Pro X. - Supportato in tutti gli altri dispositivi idonei. |
| Bluetooth | Questa impostazione consente di gestire se il Bluetooth predefinito può funzionare nei dispositivi idonei. - Se si abilita questa impostazione, il Bluetooth è abilitato. - Se si disabilita questa impostazione, il Bluetooth è disabilitato. - Se non si configura questa impostazione, il Bluetooth è abilitato. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| WWAN | Questa impostazione consente di gestire se il WWAN predefinito (wireless 5G) può funzionare nei dispositivi idonei - Se si abilita questa impostazione, wwan è abilitato. - Se si disabilita questa impostazione, WWAN è disabilitato. - Se non si configura questa impostazione, WWAN è abilitato. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Wi-Fi | Questa impostazione consente di gestire se i Wi-Fi predefiniti possono funzionare nei dispositivi idonei - Se si abilita questa impostazione, Wi-Fi è abilitata. - Se si disabilita questa impostazione, Wi-Fi è disabilitata. - Se non si configura questa impostazione, Wi-Fi è abilitata. |
- Non supportato in Surface Pro X. - Supportato in Surface Pro 9 con 5G e tutti gli altri dispositivi idonei. |
| Opzioni di avvio | ||
| Avvio da supporti esterni (USB, SD) | Questa impostazione consente di gestire se i dispositivi idonei possono essere avviati da supporti esterni. - Se si abilita questa impostazione, gli utenti finali possono avviare il dispositivo da unità flash USB o da altre tecnologie di archiviazione non disco rigido. - Se si disabilita questa impostazione, gli utenti finali non possono avviare il dispositivo da unità flash USB o altre tecnologie di archiviazione non disco rigido. - Se non si configura questa impostazione, gli utenti finali possono avviare il dispositivo da unità flash USB o da altre tecnologie di archiviazione non disco rigido. |
Tutti i dispositivi idonei |
| Porte | ||
| Tipo USB A | Questa impostazione consente di gestire il modo in cui i dispositivi possono usare le connessioni USB-A. - Se si abilita questa impostazione, le connessioni dati USB-A possono funzionare nei dispositivi idonei. - Se si disabilita questa impostazione, le connessioni dati USB-A non possono funzionare nei dispositivi idonei. - Se non si configura questa impostazione, le connessioni dati USB-A possono funzionare in tutti i dispositivi. CAUTELA: Se si disabilita sia l'avvio da supporti esterni che il tipo USB A e il dispositivo diventa non avviabile per qualsiasi motivo, non sarà possibile ripristinare il dispositivo senza sostituire l'SSD. Non sarà possibile eseguire l'avvio da supporti esterni ed eseguire un avvio PXE o un aggiornamento DFCI dalla rete. |
Supportato solo su Surface Laptop Go 2 e versioni successive (dispositivi rilasciati dopo il 1° giugno 2022). |
| Impostazioni di riattivazione | ||
| Riattivazione LAN | Questa impostazione consente di gestire se i dispositivi idonei possono essere avviati in remoto da Modern Standby o Hibernate. - Se si abilita questa impostazione, i dispositivi idonei possono essere configurati per riattivare la rete LAN in remoto. - Se si disabilita questa impostazione, i dispositivi idonei non possono essere configurati per la riattivazione remota sulla LAN. - Se non si configura questa impostazione, è possibile configurare i dispositivi idonei per la riattivazione remota sulla LAN. |
Supportato solo su Surface Laptop Go 2 e versioni successive (dispositivi rilasciati dopo il 1° giugno 2022). |
| Riattivazione dell'alimentazione | Questa impostazione consente di gestire se i dispositivi idonei possono essere avviati automaticamente dagli stati di ibernazione o spegnimento quando sono connessi all'alimentazione. - Se si abilita questa impostazione, i dispositivi Surface idonei possono essere configurati per l'avvio automatico quando sono connessi all'alimentazione - Se disabiliti questa impostazione, i dispositivi Surface idonei non possono essere configurati per l'avvio automatico quando sono connessi all'alimentazione. - Se non si configura questa impostazione, i dispositivi Surface idonei non possono essere configurati per l'avvio automatico quando si riconnette all'alimentazione. |
Supportato solo su Surface Laptop Go 2 e versioni successive (dispositivi rilasciati dopo il 1° giugno 2022). |
Nota
DFCI in Intune include impostazioni che attualmente non si applicano ai dispositivi Surface: virtualizzazione CPU e I/O, Disabilita avvio da schede di rete, WPBT (Windows Platform Binary Table), NFC e scheda SD.
Informazioni di base
Accedere al tenant all'indirizzo endpoint.microsoft.com.
Nell'interfaccia di amministrazione di Microsoft Intune selezionare Profili di configurazione dei dispositivi >> Crea profilo.
In Piattaforma selezionare Windows 10 e versioni successive.
In Tipo di profilo selezionare Modelli>Interfaccia di configurazione del firmware del dispositivo e quindi selezionare Crea.
Vedere Usare i profili DFCI nei dispositivi Windows in Microsoft Intune per istruzioni complete, tra cui:
- Creare i gruppi di sicurezza di Microsoft Entra
- Creare i profili
- Assegnare i profili e riavviare
- Aggiornare le impostazioni DFCI esistenti
- Riutilizzare, ritirare o ripristinare il dispositivo
Impedire agli utenti di modificare le impostazioni UEFI
Per molti clienti, la possibilità di impedire agli utenti di modificare le impostazioni UEFI è fondamentale e un motivo principale per usare DFCI. Come indicato in precedenza nella tabella 1, questa funzionalità viene gestita tramite l'impostazione Consenti all'utente locale di modificare le impostazioni UEFI. Se non si modifica o si configura questa impostazione, l'utente locale può modificare qualsiasi impostazione UEFI non gestita da Intune. È quindi consigliabile impostare Consenti all'utente locale di modificare le impostazioni UEFI su Nessuno.
Verificare le impostazioni UEFI nei dispositivi gestiti da DFCI
In un ambiente di test è possibile verificare le impostazioni nell'interfaccia UEFI di Surface.
Aprire Surface UEFI:
- Tenere premuto il pulsante di aumento del volume su Surface e, allo stesso tempo, premere e rilasciare il pulsante di accensione .
- Quando viene visualizzato il logo di Surface, rilasciare il pulsante di aumento del volume. Il menu UEFI verrà visualizzato entro pochi secondi.
Selezionare Dispositivi. Il menu UEFI rifletterà le impostazioni configurate, come illustrato nella figura seguente.
Nota
- Le impostazioni sono disattivate (inattivo) perché Consenti all'utente locale di modificare l'impostazione UEFI è impostato su Nessuno.
- L'audio della scheda è disattivato perché il criterio Microfoni e altoparlanti è impostato su Disabilitato.
Rimuovere le impostazioni dei criteri DFCI
Quando si crea un profilo DFCI, tutte le impostazioni configurate rimarranno attive in tutti i dispositivi nell'ambito di gestione del profilo. È possibile rimuovere le impostazioni dei criteri DFCI solo modificando direttamente il profilo DFCI. Se il profilo DFCI originale è stato eliminato, creare un nuovo profilo e modificare le impostazioni appropriate.
Rimozione della gestione DFCI
Per rimuovere la gestione DFCI e restituire il dispositivo al nuovo stato factory:
- Ritirare il dispositivo da Intune:
- In Endpoint Manager in endpoint.microsoft.com scegliere Dispositivi>tutti i dispositivi.
- Selezionare il dispositivo che si vuole ritirare e quindi scegliere Ritira/Cancella. Per altre informazioni, vedere Rimuovere i dispositivi usando la cancellazione, il ritiro o la registrazione manuale del dispositivo.
- Eliminare la registrazione di Autopilot da Intune:
- Scegliere Registrazione del dispositivo > Registrazione > dispositivi Dispositivi.
- In Dispositivi Windows Autopilot scegliere i dispositivi da eliminare e quindi scegliere Elimina.
- Connettere il dispositivo a Internet cablato con un adattatore Ethernet con marchio Surface. Riavviare il dispositivo e aprire il menu UEFI (premere e tenere premuto il pulsante di aumento del volume mentre si preme e rilascia anche il pulsante di accensione).
- Selezionare Gestione > Configura > aggiornamento dalla rete e quindi scegliere Rifiuto esplicito.
Per gestire il dispositivo con Intune ma senza la gestione di DFCI, registrarlo automaticamente in Autopilot e registrarlo in Intune. DFCI non verrà applicato ai dispositivi registrati automaticamente.