Microsoft Intune の Windows デバイスで BIOS 構成プロファイルを使用する

Intune では、 BIOS 構成とその他の設定デバイス構成 ポリシーを使用して、BIOS の機能と設定を有効または無効にすることができます。

OEM ツールを使用して、BIOS 機能を構成する BIOS 構成ファイルを作成します。 デバイスでは、構成を読み取る OEM Win32 アプリをインストールします。 次に、Intune BIOS ポリシーで BIOS 構成ファイルを追加し、デバイスにポリシーを割り当てます。

構成ファイルには通常、デバイスをセキュリティで保護し、組み込みのハードウェアをセキュリティで保護する設定が含まれています。

たとえば、エンド ユーザーがデバイスを再イメージ化して Intune 管理から抜け出すのを防ぐ必要があります。 このタスクでは、USB からの起動を無効にする BIOS 構成ファイルを作成します。 次に、このファイルを Intune ポリシーに追加し、BIOS パスワードを有効にします。 次の手順では、構成が上書きされていないことを確認します。

この機能は、以下に適用されます。

• Windows 11
• Windows 10
• Dell デバイス

この記事では、構成ファイルと Win32 アプリの詳細について説明し、Intune で BIOS 構成とその他の設定 ポリシーを作成する方法について説明します。

前提条件

• Intune ポリシーを構成するには、少なくとも、 ポリシーとプロファイル マネージャー の役割を使用して Intune 管理センターにサインインします。 Intune の組み込みロールと、その機能の詳細については、次のページを参照してください。

  • 「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
  • Microsoft Intune の組み込みロールのアクセス許可

• この機能は、Intune に登録されている MDM である組織所有のデバイスをサポートします。 Intune に登録されていない個人用デバイスとデバイスはサポートされていません。

• デバイスに既存の BIOS パスワードが構成されていないか確認します。 この機能では、Intune に BIOS パスワードが必要です。 Intune にデバイスの BIOS パスワードがない場合は、BIOS 構成を更新できません。

手順 1 - 構成ファイルを作成し、アプリをデプロイする

このセクションでは、OEM ツールを使用して構成ファイルを作成し、OEM Win32 アプリをデバイスに展開することに焦点を当てます。

1. OEM ツールを使用して構成ファイルを作成します。 ファイルで、構成する機能を追加して構成します。 OEM でサポートされている任意の構成設定を追加できます。

   • Dell の場合は、 Dell コマンド (Dell の Web サイトを開く) ツールを使用して、BIOS 構成ファイルを作成できます。

2. 構成ファイルを作成すると、OEM によって提供される調整 Win32 アプリがあります。 OEM Win32 アプリをデバイスに展開します。 このアプリ:

   • 作成した構成ファイルを読み取り、デバイスの BIOS パスワードを読み取るエージェントとして機能します。
   • Intune BIOS 構成ポリシーを割り当てる前に、すべてのデバイスにインストールする必要があります。

   Dell の場合は、 Dell Command (Dell の Web サイトを開く) アプリをダウンロードできます。

   このアプリをデバイスにインストールするには、Intune を使用します。

   • アプリを Intune に追加し、必要なアプリにします。
   • 次の手順 (この記事では) で作成したグループまたは割り当てフィルターにアプリを割り当てます。

   Intune の Win32 アプリの詳細については、「 Microsoft Intune で Win32 アプリを追加、割り当て、監視する」を参照してください。

手順 2 - グループを作成するか、割り当てフィルターを使用する

このポリシーは、特定のデバイス セットに焦点を当てることをお勧めします。 次のようなオプションがあります。

• オプション 1 - デバイスを含むグループを作成します。 アプリ ポリシーと BIOS 構成ポリシーを作成するときに、ポリシーをこのグループに割り当てます。
• オプション 2 - デバイスの製造元に基づいて割り当てフィルターを使用します。 フィルターを作成するときは、OEM デバイスをターゲットにします。 アプリと BIOS 構成ポリシーを割り当てると、このフィルターを追加します。

これらの機能の詳細については、次のページを参照してください。

• ユーザーとデバイスを整理するためのグループを追加する
• Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する

手順 3 - Intune で BIOS 構成ポリシーを作成する

このポリシーでは、手順 1 で作成した構成ファイルを OEM ツールで追加します。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

3. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • プロファイルの種類: [テンプレート>BIOS 構成とその他の設定] を選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、ポリシーに名前を付けます。 たとえば、適切なプロファイル名は BIOS 構成パスワードです。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

   [次へ] を選択します。

6. [構成設定] で、次の設定を構成します。

   • ハードウェア: サポートされている OEM の一覧からハードウェア OEM ベンダーを選択します。 現時点では、Dell のみがサポートされています。

   • デバイスごとの BIOS パスワード保護を無効にする: この設定は、デバイス上の BIOS 構成を保護するパスワードを管理します。 次のようなオプションがあります。

     • いいえ: Intune では、デバイスごとに一意のデバイス パスワードが生成されます。 デバイス上の BIOS 構成にアクセスして更新するには、ユーザーがこのパスワードを入力する必要があります。
     • はい: BIOS を保護するパスワードはありません。 以前のパスワードはすべて削除されます。 エンド ユーザーは BIOS にアクセスし、デバイスの BIOS 設定を変更できます。

   • 構成ファイル: OEM ツールで生成された構成ファイルをアップロードします。

     Dell の場合は、Dell クライアント構成ツールキット ファイル (.cctk) をアップロードします。 ファイル サイズの制限は 2 MB です。

   [次へ] を選択します。

7. [ 割り当て] で、作成した新しいデバイス グループを選択します。 このグループはプロファイルを受け取ります。 プロファイルの割り当ての詳細については、「 ユーザー プロファイルとデバイス プロファイルの割り当て」を参照してください。

   [次へ] を選択します。

8. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

次に各デバイスがチェックインすると、ポリシーが適用されます。

組み込みのレポートを使用してポリシーを監視する

Intune 管理センターでは、ポリシーを作成した後、その状態を監視し、エラーを確認できます。

1. Intune 管理センターで、[デバイス>管理デバイス>Configuration>Policies] タブに移動します。
2. 監視するポリシーを選択します。 [デバイスの状態] レポートには、ポリシーの状態が表示され、トラブルシューティングのエラーの詳細が表示されます。

詳細については、次を参照してください:

• Microsoft Intune でデバイス構成ポリシーを監視する
• Intune レポート

BIOS パスワードを取得する

Intune には、各デバイスの BIOS パスワードが格納されます。 BIOS パスワードは、Microsoft Graph を使用して取得できます。 Graph API をテストするには、 Microsoft Graph Explorer を使用できます。

オプション 1 - BIOS パスワードを一度に 1 つのデバイスで読み取る

このオプションは、BIOS パスワード (一度に 1 つのデバイス) を取得します。

1. [Bios パスワードの読み取り] アクセス許可を持つカスタム Intune RBAC ロールを作成します。

   1. 少なくとも、Intune ロール管理者の組み込み Intune ロールのメンバーとして Intune 管理センターにサインインします。

      Intune 組み込みロールの詳細については、次のページを参照してください。

      • 「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
      • Microsoft Intune の組み込みロールのアクセス許可

   2. [ テナント管理>Roles>新しいロールを作成する] を選択します。

   3. ロールに名前を付け、[次へ] を選択します。

   4. [アクセス許可] で、[マネージド デバイス] を展開し>[Bios パスワードの読み取り] を [はい] に設定します。

   5. [ 次へ>次へ>作成] を選択します。

2. このカスタム RBAC ロールを使用して Graph ツールにサインインし、 Microsoft Graph hardwarePasswordInfo API を使用します。

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

オプション 2 - すべてのデバイスの BIOS パスワードを読み取ります

このオプションは、すべてのデバイスのすべての BIOS パスワードの一覧を取得します。

1. 少なくとも、Microsoft Entra ID の Intune 管理者 ロールが必要です。

2. このロールを使用して Graph ツールにサインインし、 Microsoft Graph hardwarePasswordInfo API を使用します。

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

組み込みロールの詳細については、「 Microsoft Entra 組み込みロール」を参照してください。

BIOS 構成パスワードを削除する

デバイスの BIOS の管理を停止する場合、またはテナントからデバイスを完全に削除する場合は、BIOS パスワードを削除する必要があります。

BIOS パスワードを削除するには、Intune BIOS 構成ポリシーで、[ デバイスごとの BIOS パスワード保護を無効にする] 設定を [はい] に設定します。 次に、ポリシーを割り当てます。 デバイスが Intune でチェックインすると、ポリシーが適用されます。 デバイスでは、デバイスを Intune と手動で同期してポリシーを適用することもできます。

ポリシーが適用されたら、デバイスを再起動します。

Intune からデバイスの登録を解除しても、BIOS パスワードは削除されません。 パスワードを無効にする前にデバイスの登録を解除する場合は、デバイスでパスワードを手動で更新する必要があります。

BIOS 構成と DFCI

Intune には、Windows デバイスの BIOS 設定を管理できる 2 つの機能があります。 BIOS 構成とその他の設定 と デバイス ファームウェア構成インターフェイス (DFCI) です。

次の表では、これらのオプションを比較します。

DFCI の詳細については、次のページを参照してください。

• Microsoft Intune の Windows デバイス上のデバイス ファームウェア構成インターフェイス (DFCI) プロファイル
• Microsoft DFCI シナリオ
• Surface デバイスの DFCI

関連記事

• プロファイルを割り当てる
• プロファイルの状態を監視する