デバイス ファームウェア構成インターフェイス (DFCI) 管理
Windows Autopilot の展開と Intune では、デバイスの登録後に統合拡張ファームウェア インターフェイス (UEFI) 設定を管理できます。 UEFI 設定は、デバイス ファームウェア構成インターフェイス (DFCI) を使用して管理できます。 DFCI を使用すると、Windows は 、Autopilot で展開されたデバイスの管理コマンドを Intune から UEFI に渡すことができます。 この機能により、エンド ユーザーによる BIOS 設定の制御を制限できます。 たとえば、ブート オプションをロックダウンして、ユーザーが別の OS (同じセキュリティ機能を持たない OS など) を起動できないようにすることができます。
ユーザーが以前のバージョンの Windows を再インストールしたり、別の OS をインストールしたり、ハード ドライブをフォーマットしたりした場合、DFCI 管理をオーバーライドすることはできません。 また、この機能により、管理者特権の OS プロセスを含む、マルウェアが OS プロセスと通信するのを防ぐことができます。 DFCI の信頼チェーンでは公開キー暗号化が使用され、ローカルの UEFI パスワード セキュリティには依存しません。 このセキュリティ層は、ローカル ユーザーがデバイスの UEFI メニューからマネージド設定にアクセスできないようにブロックします。
DFCI の利点、シナリオ、および前提条件の概要については、「 デバイス ファームウェア構成インターフェイス (DFCI) の概要」を参照してください。
重要
次のアクションが発生すると、デバイスは Autopilot プロビジョニング中に DFCI 管理に自動的に登録されます。
- OEM は、DFCI のデバイスを有効にします。
- デバイスは、OEM またはパートナー センターのクラウド ソリューション パートナー (CSP) を介して Autopilot に登録されます。
DFCI 管理に登録すると、すぐに使用できるエクスペリエンス (OOBE) 中に追加の再起動がトリガーされます。
DFCI 管理ライフサイクル
DFCI 管理ライフサイクルには、次のプロセスが含まれています。
- UEFI 統合。
- デバイスの登録。
- プロファイルの作成。
- 在籍。
- 管理。
- 退職。
- 回復。
次の図を参照してください。
要件
- 現在サポートされているバージョンの Windows とサポートされている UEFI が必要です。
- デバイスの製造元は、製造プロセスで DFCI を UEFI ファームウェアに追加するか、インストールできるファームウェア更新プログラムとして追加する必要があります。 デバイス ベンダーと協力して、 DFCI をサポートする製造元、または DFCI を使用するために必要なファームウェア バージョンを確認します。
- デバイスは Microsoft Intune で管理する必要があります。 詳細については、「 Windows Autopilot を使用して Intune に Windows デバイスを登録する」を参照してください。
- デバイスは、Microsoft クラウド ソリューション プロバイダー (CSP) パートナーによって Windows Autopilot 用に登録されているか、OEM によって直接登録されている必要があります。 Surface デバイスの場合、Microsoft 登録サポートは Microsoft Devices Autopilot サポートで利用できます。
重要
Autopilot に手動で登録されたデバイス ( CSV ファイルからのインポートなど) では、DFCI の使用は許可されません。 仕様により、DFCI の管理には、OEM または Microsoft CSP パートナーによる Windows Autopilot への登録により、デバイスの商用購入の外部構成証明が必要です。 デバイスが登録されると、そのシリアル番号が Windows Autopilot デバイスの一覧に表示されます。
Windows Autopilot を使用した DFCI プロファイルの管理
Windows Autopilot を使用した DFCI プロファイルの管理には、次の 4 つの基本的な手順があります。
- Autopilot プロファイルを作成する
- 登録状態ページ プロファイルを作成する
- DFCI プロファイルを作成する
- プロファイルを割り当てる
詳細については、 プロファイルの作成 と プロファイルの割り当て、再起動 に関するページを参照してください。
既存の DFCI 設定 は、使用中のデバイスでも変更できます。 既存の DFCI プロファイルで、設定を変更し、変更を保存します。 プロファイルは既に割り当てられているため、新しい DFCI 設定は、次回デバイスの同期またはデバイスの再起動時に有効になります。
デバイスが DFCI の準備ができているかどうかを識別するために、次の Intune Graph API 呼び出しを使用できます。
managedDevice/deviceFirmwareConfigurationInterfaceManaged
詳細については、「 Intune デバイスとアプリ API の概要」と 「 Microsoft Graph での Intune の操作 」を参照してください。
DFCI をサポートする OEM
- エイサー。
- Asus。
- ダイナブック。
- 富士通。
- Microsoft Surface。
- パナソニック。
他の OEM は保留中です。
関連コンテンツ
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示