Gestão da Interface de Configuração de Firmware do Dispositivo (DFCI)
Com Windows Autopilot Deployment e Intune, as definições da UeFI (Unified Extensible Firmware Interface) podem ser geridas após a inscrição do dispositivo. As definições de UEFI podem ser geridas através da Interface de Configuração de Firmware do Dispositivo (DFCI). O DFCI permite que o Windows transmita comandos de gestão de Intune para UEFI para dispositivos implementados no Autopilot. Esta capacidade permite limitar o controlo do utilizador final sobre as definições do BIOS. Por exemplo, as opções de arranque podem ser bloqueadas para impedir que os utilizadores iniciem outro SO, como um que não tenha as mesmas funcionalidades de segurança.
Se um utilizador reinstalar uma versão anterior do Windows, instalar um SO separado ou formatar o disco rígido, não poderá substituir a gestão do DFCI. Esta funcionalidade também pode impedir que o software maligno comunique com os processos do SO, incluindo processos de SO elevados. A cadeia de fidedignidade da DFCI utiliza criptografia de chaves públicas e não depende da segurança de palavras-passe UEFI locais. Esta camada de segurança impede que os utilizadores locais acedam às definições geridas a partir dos menus UEFI do dispositivo.
Para obter uma descrição geral dos benefícios, cenários e requisitos do DFCI, veja Introdução à Interface de Configuração de Firmware do Dispositivo (DFCI).
Importante
Um dispositivo é inscrito automaticamente na gestão DFCI durante o aprovisionamento do Autopilot quando ocorrem as seguintes ações:
- O OEM ativa o dispositivo para DFCI.
- O dispositivo está registado no Autopilot através do OEM ou de um Parceiro de Solução Cloud (CSP) no Centro de Parceiros.
A inscrição na gestão DFCI aciona um reinício adicional durante a experiência inicial (OOBE).
Ciclo de vida de gestão do DFCI
O ciclo de vida de gestão do DFCI inclui os seguintes processos:
- Integração do UEFI.
- Registro de dispositivo.
- Criação de perfis.
- Inscrição.
- Gestão.
- Descontinuação.
- Recuperação.
Veja a seguinte figura:
Requisitos
- É necessária uma versão atualmente suportada do Windows e um UEFI suportado.
- O fabricante do dispositivo tem de ter o DFCI adicionado ao respetivo firmware UEFI no processo de fabrico ou como uma atualização de firmware que possa ser instalada. Trabalhe com os fornecedores de dispositivos para determinar os fabricantes que suportam o DFCI ou a versão de firmware necessária para utilizar o DFCI.
- O dispositivo tem de ser gerido com Microsoft Intune. Para obter mais informações, consulte Inscrever dispositivos Windows no Intune com o Windows Autopilot.
- O dispositivo precisa ser registrado para o Windows Autopilot por um parceiro CSP (Provedor de Soluções na Nuvem) do Microsoft Cloud ou registrado diretamente pelo OEM. Para dispositivos Surface, o suporte de registo da Microsoft está disponível em Suporte do Autopilot para Dispositivos Microsoft.
Importante
Os dispositivos registados manualmente no Autopilot (por exemplo, ao importar a partir de um ficheiro CSV) não têm permissão para utilizar o DFCI. Por design, o gerenciamento da DFCI requer um atestado externo da aquisição comercial do dispositivo por meio de um OEM ou um registro de parceiro CSP da Microsoft para o Windows Autopilot. Quando o dispositivo é registado, o respetivo número de série é apresentado na lista de dispositivos Windows Autopilot.
Gerir o perfil DFCI com o Windows Autopilot
Existem quatro passos básicos na gestão do perfil DFCI com o Windows Autopilot:
- Criar um Perfil do Autopilot
- Criar um perfil de página de status de Inscrição
- Criar um perfil DFCI
- Atribuir os perfis
Veja Criar os perfis , Atribuir os perfis e reiniciar para obter detalhes.
As definições DFCI existentes também podem ser alteradas em dispositivos que estão a ser utilizados. No perfil DFCI existente, altere as definições e guarde as alterações. Uma vez que o perfil já está atribuído, as novas definições DFCI são aplicadas quando a próxima vez que o dispositivo for sincronizado ou o dispositivo for reiniciado.
Para identificar se um dispositivo está pronto para DFCI, pode utilizar o seguinte Intune API do Graph chamada:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
Para obter mais informações, veja Descrição geral da API Intune dispositivos e aplicações e Trabalhar com Intune no Microsoft Graph.
OEMs que suportam DFCI
- Acer.
- Asus.
- Dynabook.
- Fujitsu.
- Microsoft Surface.
- Panasonic.
- VAIO.
Outros OEMs estão pendentes.
Problemas conhecidos
A inscrição DFCI falha nas edições Professional do Windows 11, versão 24H2
Data adicionada: 9 de outubro de 2024
Atualmente, o DFCI não pode ser utilizado em dispositivos com edições Professional do Windows 11, versão 24H2. O problema está a ser investigado. Como solução, certifique-se de que o dispositivo é atualizado para a edição Enterprise do Windows 11, versão 24H2 durante ou após a integração do OOBE. Depois de atualizar para a edição Enterprise do Windows 11, versão 24H2, sincronize o dispositivo. Depois de sincronizar o dispositivo, reinicie-o para o inscrever no DFCI.