Управление интерфейсом конфигурации встроенного ПО устройства (DFCI)

С помощью Windows Autopilot Deployment и Intune параметры единого расширяемого интерфейса встроенного ПО (UEFI) можно управлять после регистрации устройства. Параметрами UEFI можно управлять с помощью интерфейса конфигурации встроенного ПО устройства (DFCI). DFCI позволяет Windows передавать команды управления из Intune в UEFI для развернутых устройств Autopilot. Эта возможность позволяет ограничить управление параметрами BIOS для конечных пользователей. Например, параметры загрузки можно заблокировать, чтобы запретить пользователям загружать другую ОС, например ту, которая не имеет одинаковых функций безопасности.

Если пользователь переустановит предыдущую версию Windows, устанавливает отдельную ОС или форматирует жесткий диск, он не сможет переопределить управление DFCI. Эта функция также может препятствовать обмену вредоносными программами с процессами ОС, включая процессы ОС с повышенными привилегиями. Цепочка доверия DFCI использует шифрование с открытым ключом и не зависит от локальной безопасности паролей UEFI. Этот уровень безопасности блокирует доступ локальных пользователей к управляемым параметрам из меню UEFI устройства.

Общие сведения о преимуществах, сценариях и требованиях DFCI см. в статье Общие сведения о интерфейсе конфигурации встроенного ПО устройства (DFCI).

Важно!

Устройство автоматически регистрируется в управлении DFCI во время подготовки Autopilot при выполнении следующих действий:

  • OEM включает устройство для DFCI.
  • Устройство регистрируется для Autopilot через OEM или партнера по облачным решениям (CSP) в Центре партнеров.

Регистрация в управлении DFCI активирует дополнительную перезагрузку во время запуска встроенного интерфейса (OOBE).

Жизненный цикл управления DFCI

Жизненный цикл управления DFCI включает в себя следующие процессы:

  • Интеграция UEFI.
  • Регистрация устройства.
  • Создание профиля.
  • Набор.
  • Управление.
  • Отставка.
  • Выздоровление.

См. следующий рисунок:

Снимок экрана: рабочий процесс управления интерфейсом конфигурации встроенного ПО устройства (DFCI)

Требования

Важно!

Устройствам, вручную зарегистрированным для Autopilot (например, путем импорта из CSV-файла), запрещено использовать DFCI. DFCI устроен так, что требует внешней аттестации коммерческого приобретения устройства через OEM или путем регистрации партнера Microsoft CSP в Windows Autopilot. При регистрации устройства его серийный номер отображается в списке устройств Windows Autopilot.

Управление профилем DFCI с помощью Windows Autopilot

Существует четыре основных шага по управлению профилем DFCI с помощью Windows Autopilot:

  1. Создание профиля Autopilot
  2. Создание профиля страницы состояния регистрации
  3. Создание профиля DFCI
  4. Назначение профилей

Дополнительные сведения см. в разделах Создание профилей и Назначение профилей и перезагрузка .

Существующие параметры DFCI также можно изменить на используемых устройствах. В существующем профиле DFCI измените параметры и сохраните изменения. Так как профиль уже назначен, новые параметры DFCI вступают в силу при следующей синхронизации устройства или перезагрузке устройства.

Чтобы определить, готово ли устройство к DFCI, можно использовать следующий Intune API Graph вызов:

managedDevice/deviceFirmwareConfigurationInterfaceManaged

Дополнительные сведения см. в статье Общие сведения об API Intune устройств и приложений и Работа с Intune в Microsoft Graph .

Изготовители оборудования, поддерживающие DFCI

Другие изготовители оборудования находятся в ожидании.

Известные проблемы

Сбой регистрации DFCI для профессиональных выпусков Windows 11 версии 24H2

Дата добавления: 9 октября 2024 г.

Сейчас DFCI нельзя использовать на устройствах с профессиональными выпусками Windows 11 версии 24H2. Проблема расследуется. В качестве обходного решения убедитесь, что устройство обновлено до выпуска Enterprise Windows 11 версии 24H2 во время или после подключения OOBE. После обновления до выпуска Enterprise Windows 11 версии 24H2 синхронизируйте устройство. После синхронизации устройства перезагрузите его, чтобы зарегистрироваться в DFCI.