Microsoft Intune'da Windows cihazlarında Cihaz Üretici Yazılımı Yapılandırma Arabirimi (DFCI) profillerini kullanma

  • Makale

Windows Autopilot cihazlarını yönetmek için Intune kullandığınızda, Cihaz Üretici Yazılımı Yapılandırma Arabirimi (DFCI) kullanılarak kaydedildikten sonra UEFI (BIOS) ayarlarını yönetebilirsiniz. Avantajlara, senaryolara ve önkoşullara genel bakış için DFCI'ye Genel Bakış'a gidin.

DFCI, Windows'un yönetim komutlarını Intune'dan UEFI'ye (Birleşik Genişletilebilir Üretici Yazılımı Arabirimi) geçirmesini sağlar.

Intune'da BIOS ayarlarını denetlemek için bu özelliği kullanın. Genellikle üretici yazılımı kötü amaçlı saldırılara karşı daha dayanıklıdır. Bu, güvenliği aşılmış bir durumda iyi olan BIOS üzerinde son kullanıcıların denetimini sınırlar.

Bu özellik şu platformlarda geçerlidir:

  • Desteklenen UEFI üzerinde Windows 11
  • Desteklenen UEFI'de Windows 10 RS5 (1809) ve üzeri

Örneğin, Windows istemci cihazlarını güvenli bir ortamda kullanıyor ve kamerayı devre dışı bırakmak istiyorsunuz. Kamerayı üretici yazılımı katmanında devre dışı bırakabilirsiniz, böylece son kullanıcının ne yaptığı önemli değildir. İşletim sistemini yeniden yüklemek veya bilgisayarı silmek kamerayı yeniden açmaz. Başka bir örnekte, kullanıcıların başka bir işletim sistemini veya aynı güvenlik özelliklerine sahip olmayan eski bir Windows sürümünü önyüklemesini önlemek için önyükleme seçeneklerini kilitleyin.

Eski bir Windows sürümünü yeniden yüklediğinizde, ayrı bir işletim sistemi yüklediğinizde veya sabit sürücüyü biçimlendirdiğinizde, DFCI yönetimini geçersiz kılamazsınız. Bu özellik, kötü amaçlı yazılımların yükseltilmiş işletim sistemi işlemleri de dahil olmak üzere işletim sistemi işlemleriyle iletişim kurmasını engelleyebilir. DFCI'nin güven zinciri ortak anahtar şifreleme kullanır ve yerel UEFI (BIOS) parola güvenliğine bağımlı değildir. Bu güvenlik katmanı, yerel kullanıcıların cihazın UEFI (BIOS) menülerinden yönetilen ayarlara erişmesini engeller.

İpucu

Dell cihazları için bir BIOS yapılandırma ilkesi oluşturabilirsiniz. Daha fazla bilgi için Microsoft Intune'da Windows cihazlarında BIOS yapılandırma profillerini kullanma bölümüne gidin.

Başlamadan önce

  • Cihaz üreticisinin üretim sürecinde veya yüklediğiniz bir üretici yazılımı güncelleştirmesi olarak UEFI üretici yazılımına DFCI eklenmesi gerekir. DFCI'yi destekleyen üreticileri veya DFCI'yi kullanmak için gereken üretici yazılımı sürümünü belirlemek için cihaz satıcılarınızla birlikte çalışın.

  • Cihazın Windows Autopilot için bir Microsoft Bulut Çözümü Sağlayıcısı (CSP) iş ortağı tarafından veya doğrudan OEM tarafından kaydedilmesi gerekir.

    Csv dosyasından içeri aktarılmış gibi Windows Autopilot için el ile kaydedilen cihazların DFCI kullanmasına izin verilmez. Tasarım gereği DFCI yönetimi, cihazın ticari alım işleminin oem veya Microsoft CSP iş ortağı kaydı aracılığıyla Windows Autopilot'a dış kanıtlamasını gerektirir.

    Cihazınız kaydedildikten sonra seri numarası Windows Autopilot cihazları listesinde gösterilir.

    Gereksinimler de dahil olmak üzere Windows Autopilot hakkında daha fazla bilgi için Bkz. Windows Autopilot kaydına genel bakış.

Microsoft Entra güvenlik gruplarınızı oluşturma

Windows Autopilot dağıtım profilleri Microsoft Entra güvenlik gruplarına atanır. DFCI tarafından desteklenen cihazlarınızı içeren gruplar oluşturduğunuzdan emin olun. DFCI cihazları için çoğu kuruluş, kullanıcı grupları yerine cihaz grupları oluşturabilir. Aşağıdaki senaryoları göz önünde bulundurun:

  • İnsan Kaynakları (İk) farklı Windows cihazlarına sahiptir. Güvenlik nedenleriyle, bu gruptaki kimsenin cihazda kamerayı kullanmasını istemezsiniz. Bu senaryoda, ilkenin cihaz türü ne olursa olsun İk grubundaki kullanıcılar için geçerli olması için bir İk güvenlik kullanıcıları grubu oluşturabilirsiniz.

  • Üretim katında 10 cihazınız vardır. Tüm cihazlarda, cihazların bir USB cihazından önyüklenmesini engellemek istiyorsunuz. Bu senaryoda, bir güvenlik cihazları grubu oluşturabilir ve bu 10 cihazı gruba ekleyebilirsiniz.

Intune'da grup oluşturma hakkında daha fazla bilgi için Kullanıcıları ve cihazları düzenlemek için Grup ekleme'ye gidin.

Profilleri oluşturma

DFCI kullanmak için aşağıdaki profilleri oluşturun ve bunları grubunuzla atayın.

1. Adım - Windows Autopilot dağıtım profili oluşturma

Bu profil yeni cihazları ayarlar ve önceden yapılandırr. Aşağıdaki makalede, profili oluşturma adımları listelenir:

2. Adım - Kayıt Durumu Sayfası profili oluşturma

Bu profil, Windows kurulumu sırasında cihazların DFCI için doğrulandığından ve etkinleştirildiğinden emin olur. Tüm uygulamalar ve profiller yüklenene kadar cihaz kullanımını engellemek için bu profilin kullanılması kesinlikle önerilir.

Aşağıdaki makalede, profili oluşturma adımları listelenir:

3. Adım - Intune'da DFCI profili oluşturma

Bu profil, yapılandırdığınız DFCI ayarlarını içerir.

İpucu

DFCI profillerini yapılandırmak ve atamak, cihazı onarılmasından sonra kilitleyebilir. Bu nedenle, yapılandırdığınız değerlere dikkat edin.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Cihazları yönet>Yapılandırma>Oluştur>Yeni ilkeyi seçin.

  3. Aşağıdaki özellikleri girin:

    • Platform: Windows 10 ve üzerini seçin.
    • Profil türü: Şablonlar>Cihaz Üretici Yazılımı Yapılandırma Arabirimi'ni seçin.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. İlkelerinizi daha sonra kolayca tanıyacak şekilde adlandırın. Örneğin, Windows cihazlarında Windows - DFCI ayarları iyi bir profil adıdır.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

    İleri'yi seçin.

  6. Yapılandırma ayarları'nda, UEFI üretici yazılımı katmanında denetlemek istediğiniz ayarları yapılandırın. Tüm ayarların listesi ve ne yaptıkları için şuraya gidin:

    İleri'yi seçin.

  7. Kapsam etiketleri’nde (isteğe bağlı), profili US-NC IT Team veya JohnGlenn_ITDepartment gibi belirli BT gruplarına göre filtrelemek için bir etiket atayın. Kapsam etiketleri hakkında daha fazla bilgi için Bkz. Dağıtılmış BT için RBAC ve kapsam etiketlerini kullanma. İleri'yi seçin.

  8. Atamalar'da profilinizi alacak kullanıcıları veya kullanıcı grubunu seçin. Profil atama hakkında daha fazla bilgi için Kullanıcı ve cihaz profilleri atama bölümüne gidin. İleri'yi seçin.

  9. Gözden geçir + oluştur bölümünde ayarlarınızı gözden geçirin ve Oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Her cihaz bir sonraki iadede ilke uygulanır.

Profilleri atama ve yeniden başlatma

Profilleri DFCI cihazlarınızı içeren Microsoft Entra güvenlik gruplarınıza atadığınızdan emin olun. Profil oluşturulduğunda veya sonrasında atanabilir.

Cihaz Windows Autopilot'ı çalıştırdığında Kayıt Durumu sayfası sırasında DFCI yeniden başlatmayı zorlayabilir. Bu ilk yeniden başlatma, UEFI'yi Intune'a kaydeder.

Cihazın kayıtlı olduğunu onaylamak istiyorsanız cihazı yeniden başlatabilirsiniz ancak gerekli değildir. UEFI menüsünü açmak için cihaz üreticisinin yönergelerini kullanın ve UEFI'nin artık yönetildiğini onaylayın.

Cihaz Intune ile bir sonraki eşitlemede Windows, DFCI ayarlarını alır. Cihazı yeniden başlatın. UEFI'nin DFCI ayarlarını Windows'tan alması için bu üçüncü yeniden başlatma gereklidir.

Mevcut DFCI ayarlarını güncelleştirme

Kullanımda olan cihazlarda mevcut DFCI ayarlarını değiştirmek isterseniz, bunu yapabilirsiniz. Mevcut DFCI profilinizde ayarları değiştirin ve değişikliklerinizi kaydedin. Profil zaten atanmış olduğundan, yeni DFCI ayarları şu durumlarda geçerli olur:

  1. Cihaz, profil güncelleştirmelerini gözden geçirmek için Intune hizmetiyle iletişim kurar. Check-in işlemleri çeşitli zamanlarda gerçekleşir. Daha fazla bilgi için cihazlar ilke, profil veya uygulama güncelleştirmelerini ne zaman alır bölümüne gidin.
  2. Yeni ayarları zorunlu kılmak için cihazı uzaktan veya yerel olarak yeniden başlatın.

Ayrıca kontrol etmek için cihazlara sinyal vekleyebilirsiniz. Başarılı bir eşitlemeden sonra yeniden başlatma sinyali verin.

Not

DFCI profilini silmek veya bir cihazı profile atanan gruptan kaldırmak DFCI ayarlarını kaldırmaz veya UEFI (BIOS) menülerini yeniden etkinleştirmez. DFCI'yi kullanmayı durdurmak istiyorsanız mevcut DFCI profilinizdeki ayarları güncelleştirin. Adımlar hakkında daha fazla bilgi için bu makalede cihazı devre dışı bırakma bölümüne gidin.

Çakışmalar

DFCI ilkesini oluşturduğunuzda, yönetmek istediğiniz Windows DFCI ayarlarını yapılandırabilirsiniz.

Bazı ayarlar Mikrofonlar ve Hoparlörler gibi mantıksal bir kategoride yer alır. Mikrofonlar gibi ayrıntılı ayarlar da vardır. Bu ayarlar çakışırsa aşağıdakiler gerçekleşir:

  • İlk eşitleme denemesinde ayrıntılı ayar uygulanır (Mikrofonlar) ve kategori ayarı uyumsuzdur (Mikrofonlar ve Hoparlörler).

  • İlk eşitlemeden sonra Intune hizmetiyle yapılan her eşitlemede aşağıdaki davranış bir döngüde gerçekleşir:

    • Intune, uyumlu olmadığından kategori ayarını (Mikrofonlar ve Hoparlörler) uygular. Ayrıntılı ayar (Mikrofonlar) uyumsuz hale gelir.
    • Intune, uyumlu olmadığından ayrıntılı ayarı (Mikrofonlar) uygular. Kategori ayarı (Mikrofonlar ve Hoparlörler) uyumsuz hale gelir.

Bu döngü davranışını önlemek için kategori ayarını veya ayrıntılı ayarları yapılandırın.

Örneğin, yalnızca Wi-Fi radyolara izin vermek istiyorsunuz. Bu senaryoda şunlarız:

  • Radyolar (Bluetooth, Wi-Fi, NFC vb.) kategori ayarını Yapılandırılmadı olarak bırakın.
  • Wi-Fi radyo ayarı için Etkinleştir olarak ayarlayın.
  • Diğer tüm ayrıntılı radyo ayarlarını Devre Dışı olarak ayarlayın.

Cihazı yeniden kullanma, devre dışı bırakma veya kurtarma

Yeniden

Cihazı yeniden kullanmak için Windows'ı sıfırlamayı planlıyorsanız cihazı silin. Windows Autopilot cihaz kaydını kaldırmayın .

Cihazı sildikten sonra, cihazı yeni DFCI ve Windows Autopilot profillerine atanan gruba taşıyın. Windows kurulumunu yeniden çalıştırmak için cihazı yeniden başlatmayı unutmayın.

Devre Dışı Bırakma

Cihazı devre dışı bırakmaya ve yönetimden bırakmaya hazır olduğunuzda DFCI profilini çıkış durumunda istediğiniz UEFI (BIOS) ayarlarına güncelleştirin. Genellikle tüm ayarların etkinleştirilmesini istersiniz. Örneğin:

  1. Intune yönetim merkezinde DFCI profilinizi açın (Cihazlar Cihazları>>YönetirYapılandırması).
  2. Yerel kullanıcının UEFI (BIOS) ayarlarını Değiştirmesine izin ver ayarınıYalnızca yapılandırılmamış ayarlar olarak değiştirin.
  3. Diğer tüm ayarları Yapılandırılmadı olarak ayarlayın.
  4. Ayarlarınızı kaydedin.

Bu adımlar cihazın UEFI (BIOS) menülerinin kilidini açar. Değerler profille aynı kalır (Etkin veya Devre Dışı) ve varsayılan işletim sistemi değerlerine geri ayarlanmadı.

Artık cihazı silmeye hazırsınız. Cihaz silindikten sonra Windows Autopilot kaydını silin. Kaydın silinmesi, cihazın yeniden başlatıldığında otomatik olarak yeniden kaydedilmesini engeller.

İpucu

Surface cihazlarını DFCI kaydından kaldırmak için DFCI yönetimini kaldırma bölümüne gidin.

İyileşmek

Bir cihazı siler ve UEFI (BIOS) menülerinin kilidini açmadan önce Windows Autopilot kaydını silerseniz menüler kilitli kalır. Intune, kilidini açmak için profil güncelleştirmeleri gönderemiyor.

Cihazın kilidini açmak için UEFI (BIOS) menüsünü açın ve ağdan yönetimi yenileyin. Kurtarma menülerin kilidini açar, ancak tüm UEFI (BIOS) ayarlarını önceki Intune DFCI profilindeki değerlere ayarlanmış olarak bırakır.

Son kullanıcı etkisi

DFCI ilkesi uygulandığında, UEFI (BIOS) menüsü parola korumalı olsa bile yerel kullanıcılar DFCI tarafından yapılandırılan ayarları değiştiremez. Yapılandırdığınız ayarlara bağlı olarak, son kullanıcılar donanım bileşenlerinin bulunamadığında veya tanılanamayacağında hatalar alabilir. Son kullanıcılara devre dışı bırakmış olduğunuz seçenekleri açıklayan belgeler sağladığınızı unutmayın.