Use perfis de interface de configuração de firmware de dispositivo (DFCI) em dispositivos Windows no Microsoft Intune
Quando utiliza o Intune para gerir dispositivos Windows Autopilot, pode gerir as definições do UEFI (BIOS) depois de serem inscritos com a Interface de Configuração de Firmware do Dispositivo (DFCI). Para obter uma descrição geral dos benefícios, cenários e pré-requisitos, aceda a Descrição geral do DFCI.
A DFCI permite que o Windows transmita comandos de gerenciamento do Intune para a UEFI (Unified Extensible Firmware Interface).
No Intune, use esse recurso para controlar as configurações do BIOS. Normalmente, o firmware é mais resiliente a ataques mal-intencionados. Ele limita o controle dos usuários finais do BIOS, o que é bom em uma situação comprometida.
Esse recurso aplica-se a:
- Windows 11 na UEFI com suporte
- Windows 10 RS5 (1809) e posterior na UEFI com suporte
Por exemplo, você usa dispositivos cliente Windows em um ambiente seguro e deseja desabilitar a câmera. Você pode desabilitar a câmera na camada de firmware, de modo que não importa o que o usuário final faça. Reinstalar o sistema operacional ou apagar o computador não ligará a câmera novamente. Em outro exemplo, bloqueie as opções de inicialização para impedir que os usuários inicializem outro sistema operacional ou uma versão mais antiga do Windows que não tem os mesmos recursos de segurança.
Se reinstalar uma versão mais antiga do Windows, instalar um sistema operacional separado ou formatar o disco rígido, você não poderá substituir o gerenciamento da DFCI. Esse recurso pode impedir que malwares se comuniquem com processos do sistema operacional, incluindo processos elevados do sistema operacional. A cadeia confiável da DFCI usa criptografia de chave pública e não depende da segurança de senha da UEFI (BIOS) local. Essa camada de segurança impede que usuários locais acessem configurações gerenciadas dos menus da UEFI (BIOS) do dispositivo.
Dica
Para dispositivos Dell, pode criar uma política de configurações do BIOS . Para obter mais informações, aceda a Utilizar perfis de configuração do BIOS em dispositivos Windows no Microsoft Intune.
Antes de começar
O fabricante do dispositivo precisa ter a DFCI adicionada a seu firmware da UEFI no processo de fabricação ou como uma atualização de firmware instalada. Trabalhe com seus fornecedores de dispositivo para determinar os fabricantes que dão suporte à DFCI ou a versão de firmware necessária para usar a DFCI.
O dispositivo precisa ser registrado para o Windows Autopilot por um parceiro CSP (Provedor de Soluções na Nuvem) do Microsoft Cloud ou registrado diretamente pelo OEM.
Os dispositivos registados manualmente para o Windows Autopilot, como importados de um ficheiro csv, não têm permissão para utilizar o DFCI. Por design, o gerenciamento da DFCI requer um atestado externo da aquisição comercial do dispositivo por meio de um OEM ou um registro de parceiro CSP da Microsoft para o Windows Autopilot.
Depois que o dispositivo for registrado, seu número de série será mostrado na lista de dispositivos do Windows Autopilot.
Para obter mais informações sobre o Windows Autopilot, incluindo quaisquer requisitos, aceda a Descrição geral do registo do Windows Autopilot.
Criar os seus grupos de segurança do Microsoft Entra
Os perfis de implementação do Windows Autopilot são atribuídos a grupos de segurança do Microsoft Entra. Crie grupos que incluam seus dispositivos compatíveis com a DFCI. Para dispositivos DFCI, a maioria das organizações pode criar grupos de dispositivos em vez de grupos de usuários. Considere as seguintes situações:
Os Recursos Humanos (RH) têm dispositivos Windows diferentes. Por motivos de segurança, você não quer que ninguém nesse grupo use a câmera nos dispositivos. Nesse cenário, você pode criar um grupo de usuários de segurança do RH para que a política se aplique aos usuários nesse grupo, seja qual for o tipo de dispositivo.
No chão de fábrica, você tem 10 dispositivos. Em todos os dispositivos, você deseja impedir a inicialização dos dispositivos usando um dispositivo USB. Nesse cenário, você pode criar um grupo de dispositivos de segurança e adicionar esses 10 dispositivos ao grupo.
Para obter mais informações sobre como criar grupos no Intune, aceda a Adicionar grupos para organizar utilizadores e dispositivos.
Criar os perfis
Para usar a DFCI, crie os seguintes perfis e atribua-os ao seu grupo.
Passo 1 – Criar um perfil de implementação do Windows Autopilot
Este perfil configura e pré-configura novos dispositivos. O artigo a seguir lista as etapas para criar o perfil:
Passo 2 – Criar um perfil de Página de Estado de Inscrição
Esse perfil garante que os dispositivos sejam verificados e habilitados para a DFCI durante a Instalação do Windows. É altamente recomendável usá-lo para bloquear o uso do dispositivo até que todos os aplicativos e perfis sejam instalados.
O artigo a seguir lista as etapas para criar o perfil:
Passo 3 – Criar o perfil DFCI no Intune
Esse perfil inclui as configurações da DFCI que você define.
Dica
Configurar e atribuir perfis DFCI pode bloquear o dispositivo de forma irreparável. Portanto, preste atenção aos valores que você configura.
Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.
Insira as seguintes propriedades:
- Plataforma: selecione Windows 10 e posteriores.
- Tipo de perfil: selecione Modelos>Interface de Configuração de Firmware do Dispositivo.
Selecionar Criar.
Em Noções básicas, insira as seguintes propriedades:
- Nome: insira um nome descritivo para o perfil. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é Windows – definições DFCI em dispositivos Windows.
- Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
Selecione Avançar.
Em Definições de configuração, defina as configurações que deseja controlar na camada de firmware UEFI. Para uma lista de todas as configurações e o que elas fazem, acesse:
Selecione Avançar.
Em Marcas de escopo (opcional), atribua uma marca para filtrar o perfil para grupos de TI específicos, como
US-NC IT Team
ouJohnGlenn_ITDepartment
. Para obter mais informações sobre etiquetas de âmbito, aceda a Utilizar RBAC e etiquetas de âmbito para TI distribuídas. Selecione Avançar.Em Atribuições, selecione os usuários ou o grupo de usuários que receberão seu perfil. Para obter mais informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo. Selecione Avançar.
Em Analisar + criar, analise suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.
Na próxima vez em que cada dispositivo fizer check-in, a política será aplicada.
Atribuir os perfis e reinicializar
Certifique-se de que atribui os perfis aos grupos de segurança do Microsoft Entra que incluem os seus dispositivos DFCI. O perfil pode ser atribuído quando é criado ou após.
Quando o dispositivo executa o Windows Autopilot, durante a Página de Status do Registro, a DFCI pode forçar uma reinicialização. Essa primeira reinicialização registra a UEFI no Intune.
Se quiser confirmar se o dispositivo está registrado, você pode reinicializar o dispositivo novamente, mas isso não é necessário. Use as instruções do fabricante do dispositivo para abrir o menu da UEFI e confirmar que agora a UEFI é gerenciada.
Na próxima vez que o dispositivo sincronizar com o Intune, o Windows receberá as configurações de DFCI. Reinicialize o dispositivo. Essa terceira reinicialização é necessária para que a UEFI receba as configurações de DFCI do Windows.
Atualizar configurações de DFCI existentes
Se quiser alterar configurações da DFCI existentes em dispositivos que estão em uso, você poderá fazer isso. No perfil da DFCI existente, altere as configurações e salve as alterações. Como o perfil já foi atribuído, as novas configurações da DFCI entrarão em vigor quando:
- O dispositivo fizer o check-in no serviço do Intune para verificar se há atualizações de perfil. Os check-ins acontecem em vários momentos. Para obter mais informações, aceda a quando os dispositivos obtêm uma política, perfil ou atualizações de aplicações.
- Para impor as novas configurações, reinicialize o dispositivo remotamente ou localmente.
Você também pode sinalizar os dispositivos para que façam check-in. Após uma sincronização bem-sucedida, sinalize-os para reinicialização.
Observação
Excluir o perfil da DFCI ou remover um dispositivo do grupo atribuído ao perfil não remove as configurações da DFCI nem reabilita os menus da UEFI (BIOS). Se quiser parar de utilizar o DFCI, atualize as definições no perfil DFCI existente. Para obter mais informações sobre os passos, aceda a extinguir o dispositivo neste artigo.
Conflitos
Ao criar a política DFCI, você define as configurações do Windows DFCI que deseja gerenciar.
Algumas configurações estão em uma categoria lógica, como Microfones e alto-falantes. Também há configurações granulares, como Microfones. Se essas configurações entrarem em conflito, acontece o seguinte:
Na primeira tentativa de sincronização, a definição granular é aplicada (Microfones) e a definição de categoria não é compatível (Microfones e Altifalantes).
Com cada sincronização com o serviço do Intune após a primeira sincronização, o seguinte comportamento ocorre em um loop:
- O Intune aplica a configuração de categoria (Microfones e Alto-falantes), pois não é compatível. A definição granular (Microfones) torna-se incompatível.
- O Intune aplica a configuração granular (Microfones), pois não é compatível. A definição de categoria (Microfones e Altifalantes) torna-se incompatível.
Para evitar esse comportamento de loop, defina a configuração de categoria ou as configurações granulares.
Por exemplo, você deseja permitir apenas rádios Wi-Fi. Nesse cenário, você:
- Deixe a categoria Rádios (Bluetooth, Wi-Fi, NFC, etc.) configurando para Não configurado.
- Para a configuração de rádio Wi-Fi, defina-a como Habilitar.
- Defina todas as outras configurações de rádio granulares como Desabilitado.
Reutilizar, desativar ou recuperar o dispositivo
Reutilizar
Se planejar redefinir o Windows para realocar o dispositivo, apague o dispositivo. Não remova o registo do dispositivo Windows Autopilot.
Depois de limpar o dispositivo, mova o dispositivo para o grupo que atribuiu os novos perfis DFCI e Windows Autopilot. Reinicialize o dispositivo para executar novamente a Instalação do Windows.
Desativar
Quando estiver pronto para desativar o dispositivo e liberá-lo do gerenciamento, atualize no perfil da DFCI as configurações da UEFI (BIOS) que você deseja no estado de saída. Normalmente, você deseja que todas as configurações estejam habilitadas. Por exemplo:
- No centro de administração do Intune, abra o perfil DFCI (Configuraçãoda Gestão de Dispositivos de Dispositivos>>).
- Altere o Permitir que o usuário local altere as configurações de UEFI (BIOS) para Somente configurações não definidas.
- Defina todas as outras configurações como Não configuradas.
- Salvar suas configurações.
Estas etapas desbloqueiam os menus da UEFI (BIOS) do dispositivo. Os valores permanecem os mesmos que os do perfil (Habilitado ou Desabilitado) e não são redefinidos com os valores padrão do sistema operacional.
Agora, você está pronto para apagar o dispositivo. Assim que o dispositivo for apagado, elimine o registo do Windows Autopilot. A exclusão do registro impede que o dispositivo volte a ser registrado automaticamente quando for reinicializado.
Dica
Para remover dispositivos Surface da inscrição DFCI, aceda a remover a gestão DFCI.
Recuperar
Se apagar um dispositivo e eliminar o registo do Windows Autopilot antes de desbloquear os menus UEFI (BIOS), os menus permanecerão bloqueados. O Intune não pode enviar atualizações de perfil para desbloqueá-lo.
Para desbloquear o dispositivo, abra o menu UEFI (BIOS) e atualize o gerenciamento de rede. A recuperação desbloqueia os menus, mas deixa todas as configurações de UEFI (BIOS) definidas para os valores do perfil anterior da DFCI do Intune.
Impacto para o usuário final
Quando a política da DFCI é aplicada, os usuários locais não podem alterar as configurações definidas pela DFCI, mesmo que o menu da UEFI (BIOS) seja protegido por senha. Dependendo das configurações definidas, os usuários finais podem receber erros indicando que componentes de hardware não foram encontrados ou não podem ser diagnosticados. Forneça uma documentação aos usuários finais explicando as opções que você desabilitou.