Configuração de perdil da Interface de Configuração de Firmware do Dispositivo (DFCI) no Microsoft Intune

Este artigo lista e descreve as definições de perfil DFCI que pode controlar em dispositivos cliente Windows. Como parte da sua solução de gestão de dispositivos móveis (MDM), utilize estas definições para controlar as funcionalidades de segurança, o hardware incorporado e as opções de arranque na camada UEFI no Windows.

Estas definições aplicam-se a:

  • Windows 11 na UEFI com suporte
  • Windows 10 RS5 (1809) e posterior na UEFI com suporte

Estas definições são adicionadas a um perfil de configuração de dispositivos no Intune e, em seguida, atribuídas ou implementadas nos seus dispositivos cliente Windows.

Antes de começar

Aviso

Cuidado. Configurar e atribuir perfis DFCI pode bloquear o dispositivo de forma irreparável. As definições do perfil DFCI alteram o hardware do dispositivo e não podem ser corrigidas através da re-imagem do SO.

Acesso UEFI

  • Permitir que o utilizador local altere as definições de UEFI: as suas opções:
    • Apenas definições não configuradas: o utilizador local pode alterar qualquer definição , exceto essas definições explicitamente definidas como Ativar ou Desativar pelo Intune.
    • Nenhum: o utilizador local não pode alterar as definições do UEFI (BIOS), incluindo definições não apresentadas no perfil DFCI.

Recursos de segurança

  • Virtualização de CPU e E/S: suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração.
    • Habilitada: o BIOS habilita os recursos de virtualização de CPU e E/S da plataforma para uso pelo sistema operacional. Ele ativa as tecnologias de Segurança com Base em Virtualização e Device Guard do Windows.
  • Tabela Binária da Plataforma Windows (WPBT): o WPBT permite que os fornecedores e os OEMs executem um .exe programa na camada UEFI. Sempre que o Windows arranca, analisa o UEFI e executa o .exe. Utilize esta funcionalidade para executar programas que não estão incluídos no suporte de dados do Windows.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir que os fornecedores e os OEMs executem programas com o WPBT.
    • Ativado: ativa o WPBT e permite .exe a execução de programas na camada UEFI.
    • Desativado: desativa o WPBT e impede .exe a execução de programas na camada UEFI.
  • Multithreading simultâneo (SMT): também conhecido como hyper-threading. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração.
    • Ativado: ativa o SMT na camada UEFI.
    • Desativado: desativa o SMT na camada UEFI.

Câmeras

  • Câmaras: esta definição gere todas as câmaras de hardware incorporadas no dispositivo. Não gere periféricos ligados, como câmaras Web USB.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as câmaras incorporadas.
    • Habilitada: todas as câmeras internas gerenciadas diretamente pela UEFI (BIOS) estão habilitadas. Dispositivos periféricos, como câmeras USB, não são afetados.
    • Desativado: todas as câmaras incorporadas geridas diretamente pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Câmaras frontales: esta definição gere as câmaras de luz visível frontal incorporadas geridas pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as câmaras de luz visível frontal incorporadas.
    • Ativado: todas as câmaras de luz visível frontal incorporadas diretamente geridas pelo UEFI (BIOS) estão ativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
    • Desativado: todas as câmaras de luz visível frontal incorporadas diretamente geridas pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Câmaras traseiras: esta definição gere as câmaras de luz visíveis traseiras incorporadas geridas pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as câmaras traseiras incorporadas.
    • Ativado: todas as câmaras de luz visíveis posteriores incorporadas diretamente geridas pelo UEFI (BIOS) estão ativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
    • Desativado: todas as câmaras de luz visíveis posteriores incorporadas diretamente geridas pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
  • Câmaras de infravermelhos (IR): esta definição gere as câmaras de infravermelhos incorporadas geridas pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as câmaras de infravermelhos incorporadas.
    • Ativado: todas as câmaras de infravermelhos incorporadas geridas diretamente pelo UEFI (BIOS) estão ativadas. Dispositivos periféricos, como câmeras USB, não são afetados.
    • Desativado: todas as câmaras de infravermelhos incorporadas geridas diretamente pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como câmeras USB, não são afetados.

Microfones e altifalantes

Recomendamos que configure as definições de categoria Microfones e altifalantesou as definições granulares Microfones . Se configurar todas as definições, estas definições podem causar um conflito. Para obter mais informações, aceda a Descrição geral do perfil DFCI: Conflitos.

  • Microfones e altifalantes: esta definição gere todos os microfones e altifalantes incorporados no dispositivo. Não gere periféricos ligados, como dispositivos USB.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os microfones e altifalantes incorporados.
    • Habilitada: todos os microfones internos e alto-falantes gerenciados diretamente pela UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desabilitado: todos os microfones internos e alto-falantes gerenciados diretamente pela UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Microfones: esta definição gere os microfones incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os microfones incorporados.
    • Ativado: todos os microfones incorporados geridos diretamente pelo UEFI (BIOS) estão ativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todos os microfones incorporados geridos diretamente pelo UEFI (BIOS) estão desativados. Dispositivos periféricos, como dispositivos USB, não são afetados.

Rádios

Recomendamos que configure as definições da categoria Rádios (Bluetooth, Wi-Fi, NFC, etc.)ou as definições granulares Bluetooth, Wi-Fi, etc. Se configurar todas as definições, estas definições podem causar um conflito. Para obter mais informações, aceda a Descrição geral do perfil DFCI: Conflitos.

  • Rádios (Bluetooth, Wi-Fi, NFC, etc.): esta definição gere todos os rádios incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar todos os rádios incorporados.

    • Habilitada: todos os rádios internos gerenciados diretamente pela UEFI (BIOS) estão habilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

    • Desabilitado: todos os rádios internos gerenciados diretamente pela UEFI (BIOS) estão desabilitados. Dispositivos periféricos, como dispositivos USB, não são afetados.

      Quando definido como Desativado, o dispositivo necessita de uma ligação de rede com fios. Caso contrário, o dispositivo pode ser incontrolável.

  • Bluetooth: esta definição gere os rádios Bluetooth incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os rádios Bluetooth incorporados.
    • Ativado: todos os rádios Bluetooth incorporados geridos diretamente pelo UEFI (BIOS) estão ativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todos os rádios Bluetooth incorporados geridos diretamente pelo UEFI (BIOS) estão desativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • WWAN: esta definição gere os rádios WWAN incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os rádios WWAN incorporados.
    • Ativado: todos os rádios WWAN incorporados geridos diretamente pelo UEFI (BIOS) estão ativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todos os rádios WWAN incorporados geridos diretamente pelo UEFI (BIOS) estão desativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • NFC: esta definição gere os rádios NFC incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os rádios NFC incorporados.
    • Ativado: todos os rádios NFC incorporados geridos diretamente pelo UEFI (BIOS) estão ativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todos os rádios NFC incorporados geridos diretamente pelo UEFI (BIOS) estão desativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Wi-Fi: esta definição gere os rádios Wi-Fi incorporados geridos pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar os rádios Wi-Fi incorporados.
    • Ativado: todos os rádios incorporados Wi-Fi geridos diretamente pelo UEFI (BIOS) estão ativados. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todos os rádios Wi-Fi incorporados geridos diretamente pelo UEFI (BIOS) estão desativados. Dispositivos periféricos, como dispositivos USB, não são afetados.

Opções de Arranque

Aviso

Desativar todas as opções de arranque externo ou todas as portas externas complica significativamente a recuperação do SO. Para recuperar um dispositivo que já não consegue arrancar o Windows, poderá ter de abrir fisicamente o dispositivo e substituir o armazenamento de hardware.

  • Inicialização de mídia externa (USB, SD): suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o arranque a partir de suportes de dados externos.

    • Habilitada: a UEFI (BIOS) permite a inicialização do armazenamento que não é do disco rígido.

    • Desativado: o UEFI (BIOS) impede o arranque do armazenamento de unidades não rígidos, o que também desativa o arranque dos adaptadores de rede.

      Quando definido como Desabilitado, não defina a configuração Inicializar por adaptadores de rede como Habilitada. Isso faz com que a configuração Inicialização a partir de mídia externa (USB, SD) ou Inicialização a partir de adaptadores de rede não seja compatível.

  • Inicialização de adaptadores de rede: suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode permitir o arranque a partir de placas de rede incorporadas.
    • Habilitada: UEFI (BIOS) permite a inicialização de interfaces de rede internas.
    • Desativado: o UEFI (BIOS) impede o arranque de interfaces de rede incorporadas.

Portas

Aviso

Desativar todas as opções de arranque externo ou todas as portas externas complica significativamente a recuperação do SO. Para recuperar um dispositivo que já não consegue arrancar o Windows, poderá ter de abrir fisicamente o dispositivo e substituir o armazenamento de hardware.

  • USB tipo A: esta definição gere as portas USB do tipo A incorporadas geridas pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as portas USB do tipo A incorporadas.
    • Ativado: todas as portas USB incorporadas tipo A diretamente geridas pelo UEFI (BIOS) estão ativadas. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todas as portas USB incorporadas do tipo A geridas diretamente pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como dispositivos USB, não são afetados.
  • Cartão SD: esta definição gere as portas de cartão SD incorporadas geridas pelo UEFI (BIOS). Não gere periféricos ligados.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode ativar as portas de cartão SD incorporadas.
    • Ativado: todas as portas de cartão SD incorporadas geridas diretamente pelo UEFI (BIOS) estão ativadas. Dispositivos periféricos, como dispositivos USB, não são afetados.
    • Desativado: todas as portas de cartão SD incorporadas geridas diretamente pelo UEFI (BIOS) estão desativadas. Dispositivos periféricos, como dispositivos USB, não são afetados.

Definições de reativação

  • Reativação na LAN: a reativação por LAN permite que um administrador de rede reativa remotamente um dispositivo no modo de suspensão utilizando a LAN.

    Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode impedir a reativação de um dispositivo através da LAN.
    • Ativado: o UEFI (BIOS) permite reativar um dispositivo com a LAN.
    • Desativado: o UEFI (BIOS) impede a reativação de um dispositivo através da LAN.
  • Reativação ativada: quando o dispositivo está ligado a uma fonte de energia, esta definição gere se os dispositivos elegíveis podem ser iniciados automaticamente a partir de estados de hibernação ou desligados. Suas opções:

    • Não configurado: o Intune não altera nem atualiza essa configuração. Por predefinição, o SO pode impedir a reação de um dispositivo quando está ligado a uma fonte de energia.
    • Ativado: o UEFI (BIOS) permite reativar um dispositivo quando está ligado a uma fonte de energia.
    • Desativado: o UEFI (BIOS) impede a reativação de um dispositivo quando está ligado a uma fonte de energia.