Использование профилей интерфейса конфигурации встроенного ПО устройства на устройствах с Windows в Microsoft Intune Use Device Firmware Configuration Interface profiles on Windows devices in Microsoft Intune

При использовании Intune для управления устройствами с автопилотами можно управлять параметрами UEFI (BIOS) после их регистрации, используя интерфейс конфигурации встроенного ПО устройства (DFCI). When you use Intune to manage Autopilot devices, you can manage UEFI (BIOS) settings after they’re enrolled, using the Device Firmware Configuration Interface (DFCI). Общие сведения о преимуществах, сценариях и предварительных требованиях см. в статье Обзор DFCI. For an overview of benefits, scenarios, and prerequisites, see Overview of DFCI.

DFCI позволяет Windows передавать команды управления из Intune в UEFI (Единый расширяемый интерфейс EFI). DFCI enables Windows to pass management commands from Intune to UEFI (Unified Extensible Firmware Interface).

В Intune эту функцию можно использовать для управления параметрами BIOS. In Intune, use this feature to control BIOS settings. Как правило, встроенное ПО является более устойчивым к атакам злоумышленников. Typically, firmware is more resilient to malicious attacks. Оно ограничивает возможности управления BIOS, что полезно в ситуации компрометации. It limits end users control over the BIOS, which is good in a compromised situation.

Данная функция применяется к: This feature applies to:

• Windows 10 RS5 (1809) и более поздним версиям с поддерживаемым UEFI Windows 10 RS5 (1809) and later on supported UEFI

Например, вы используете устройства с Windows 10 в безопасной среде и хотите отключить камеру. For example, you use Windows 10 devices in a secure environment, and want to disable the camera. Камеру можно отключить на уровне встроенного ПО, чтобы не беспокоиться, что может сделать конечный пользователь. You can disable the camera at the firmware-layer, so it doesn’t matter what the end user does. Переустановка операционной системы или очистка компьютера не приводит к включению камеры. Reinstalling the OS or wiping the computer won’t turn the camera back on. В другом примере можно блокировать параметры загрузки, чтобы предотвратить загрузку пользователями другой ОС или более старой версии Windows, которая не имеет аналогичных функций безопасности. In another example, lock down the boot options to prevent users from booting up another OS, or an older version of Windows that doesn’t have the same security features.

При переустановке старой версии Windows, установке отдельной операционной системы или форматировании жесткого диска настройки DFCI переопределить невозможно. When you reinstall an older Windows version, install a separate OS, or format the hard drive, you can’t override DFCI management. Эта функция может препятствовать взаимодействию вредоносных программ с процессами ОС, в том числе обладающими повышенными правами. This feature can prevent malware from communicating with OS processes, including elevated OS processes. Цепочка доверия DFCI использует шифрование с открытым ключом и не зависит от безопасности локального пароля UEFI (BIOS). DFCI’s trust chain uses public key cryptography, and doesn’t depend on local UEFI (BIOS) password security. Этот уровень безопасности блокирует доступ локальных пользователей к управляемым параметрам в меню UEFI устройства (BIOS). This layer of security blocks local users from accessing managed settings from the device’s UEFI (BIOS) menus.

Подготовка к работе Before you begin

Изготовитель устройства должен добавить DFCI к встроенному ПО UEFI в процессе производства или в составе устанавливаемого обновления. The device manufacturer must have DFCI added to their UEFI firmware in the manufacturing process, or as a firmware update you install. Обратитесь к поставщикам устройств, чтобы определить производителей, которые поддерживают DFCI, или версию встроенного ПО, требуемую для использования DFCI. Work with your device vendors to determine the manufacturers that support DFCI, or the firmware version needed to use DFCI.

Устройство должно быть зарегистрировано в Windows Autopilot поставщиком Microsoft Cloud (CSP) или непосредственно поставщиком вычислительной техники. The device must be registered for Windows Autopilot by a Microsoft Cloud Solution Provider (CSP) partner, or registered directly by the OEM.

Устройства, зарегистрированные в Autopilot вручную, например импортированные из CSV-файла, не могут использовать DFCI. Devices manually registered for Autopilot, such as imported from a csv file, aren’t allowed to use DFCI. DFCI устроен так, что требует внешней аттестации коммерческого приобретения устройства через OEM или путем регистрации партнера Microsoft CSP в Windows Autopilot. By design, DFCI management requires external attestation of the device’s commercial acquisition through an OEM or a Microsoft CSP partner registration to Windows Autopilot.

После регистрации устройства его серийный номер отображается в списке устройств Windows Autopilot. Once your device is registered, its serial number is shown in the list of Windows Autopilot devices.

Дополнительные сведения об Autopilot, включая все требования, см. в статье Общие сведения о регистрации с помощью Windows Autopilot. For more information on Autopilot, including any requirements, see Windows Autopilot registration overview.

Создание групп безопасности Azure AD Create your Azure AD security groups

Профили развертывания Autopilot назначаются группам безопасности Azure AD. Autopilot deployment profiles are assigned to Azure AD security groups. Следует создать группы, включающие поддерживаемые DFCI устройства. Be sure to create groups that include your DFCI-supported devices. Для устройств с DFCI большинство организаций могут создать группы устройств, а не группы пользователей. For DFCI devices, most organization may create device groups, instead of user groups. Рассмотрим следующие сценарии. Consider the following scenarios:

• Отдел кадров (HR) использует различные устройства с Windows. Human Resources (HR) has different Windows devices. По соображениям безопасности вы не хотите, чтобы произвольный пользователь в этой группе мог использовать камеру на устройствах. For security reasons, you don’t want anyone in this group to use the camera on the devices. В этом сценарии можно создать группу «Пользователи безопасности отдела кадров», чтобы политика применялась к пользователям в группе «Отдел кадров» независимо от типа устройства. In this scenario, you can create an HR security users group so the policy applies to users in the HR group, whatever the device type.
• В производственном цехе у вас есть 10 устройств. On the manufacturing floor, you have 10 devices. На всех устройствах необходимо запретить загрузку с USB-устройства. On all devices, you want to prevent booting the devices from a USB device. В этом сценарии можно создать группу устройств безопасности и добавить в нее эти 10 устройств. In this scenario, you can create a security devices group, and add these 10 devices to the group.

Дополнительные сведения о создании групп в Intune см. в разделе Добавление групп для организации пользователей и устройств. For more information on creating groups in Intune, see Add groups to organize users and devices.

Создание профилей Create the profiles

Чтобы использовать DFCI, создайте следующие профили и назначьте их группе. To use DFCI, create the following profiles, and assign them to your group.

Создание профиля развертывания Autopilot. Create an Autopilot deployment profile

Этот профиль задает и предварительно настраивает новые устройства. This profile sets up and pre-configures new devices. Профиль развертывания Autopilot содержит список действий по созданию профиля. Autopilot deployment profile lists the steps to create the profile.

Создание профиля страницы состояния регистрации Create an Enrollment State Page profile

Этот профиль гарантирует, что устройства будут проверены и DFCI будет включен во время установки Windows. This profile makes sure that devices are verified and enabled for DFCI during the Windows setup. Настоятельно рекомендуется применять этот профиль для блокировки использования устройства до тех пор, пока не будут установлены все приложения и профили. It’s highly recommended to use this profile to block device use until all apps and profiles are installed. Профиль страницы состояния регистрации содержит список действий по созданию профиля. Enrollment State Page profile lists the steps to create the profile.

Создание профиля DFCI Create the DFCI profile

Этот профиль включает настраиваемые вами параметры DFCI. This profile includes the DFCI settings you configure.

Выберите Устройства > Профили конфигурации > Создать профиль. Select Devices > Configuration profiles > Create profile.

Укажите следующие свойства. Enter the following properties:

• Платформа. Выберите Windows 10 и более поздних версий. Platform: Choose Windows 10 and later.
• Профиль. Выберите элементы Шаблоны >Интерфейс настройки встроенного ПО устройства. Profile: Select Templates >Device Firmware Configuration Interface.

Щелкните Создать. Select Create.

В разделе Основные укажите следующие свойства. In Basics, enter the following properties:

• Имя — Введите описательное имя для нового профиля. Name: Enter a descriptive name for the profile. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Name your policies so you can easily identify them later. Например, хорошее имя профиля — Windows: настройте параметры DFCI на устройствах с Windows. For example, a good profile name is Windows: Configure DFCI settings on Windows devices.
• Описание. Введите описание профиля. Description: Enter a description for the profile. Этот параметр является необязательным, но мы рекомендуем его использовать. This setting is optional, but recommended.

Выберите Далее. Select Next.

В разделе Параметры конфигурации настройте следующие параметры. In Configuration settings, configure the following settings:

Разрешить локальному пользователю изменять параметры UEFI (BIOS) : Доступны следующие параметры: Allow local user to change UEFI (BIOS) settings: Your options:

• Только ненастроенные параметры: локальный пользователь может изменить любой параметр, за исключением тех, которые явно заданы со значениями Включить или Отключить в Intune. Only not configured settings: The local user may change any setting except those settings explicitly set to Enable or Disable by Intune.
• Нет: Локальный пользователь не может изменять параметры UEFI (BIOS), включая параметры, не показанные в профиле DFCI. None: The local user may not change any UEFI (BIOS) settings, including settings not shown in the DFCI profile.

Виртуализация ЦП и ввода-вывода: Доступны следующие параметры: CPU and IO virtualization: Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. BIOS включает возможности платформы для виртуализации ЦП и ввода-вывода для использования операционной системой. Enabled: The BIOS enables the platform’s CPU and IO virtualization capabilities for use by the OS. Система включает технологии безопасности Windows на основе виртуализации и Device Guard. It turns on Windows Virtualization Based Security and Device Guard technologies.

Камеры: Доступны следующие параметры: Cameras: Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. Включены все встроенные камеры, непосредственно управляемые UEFI (BIOS). Enabled: All built-in cameras directly managed by UEFI (BIOS) are enabled. Периферийные устройства, например USB-камеры, не затрагиваются. Peripherals, like USB cameras, aren’t affected.
• Отключено. Отключены все встроенные камеры, непосредственно управляемые UEFI (BIOS). Disabled: All built-in camera directly managed by UEFI (BIOS) are disabled. Периферийные устройства, например USB-камеры, не затрагиваются. Peripherals, like USB cameras, aren’t affected.

Микрофоны и динамики: Доступны следующие параметры: Microphones and speakers: Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. Включены все встроенные микрофоны и динамики, непосредственно управляемые UEFI (BIOS). Enabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are enabled. Периферийные устройства, например USB, не затрагиваются. Peripherals, like USB devices, aren’t affected.
• Отключено. Отключены все встроенные микрофоны и динамики, непосредственно управляемые UEFI (BIOS). Disabled: All built-in microphones and speakers directly managed by UEFI (BIOS) are disabled. Периферийные устройства, например USB, не затрагиваются. Peripherals, like USB devices, aren’t affected.

Радио (Bluetooth, Wi-Fi, NFC и т. д.) : Доступны следующие параметры: Radios (Bluetooth, Wi-Fi, NFC, etc.): Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. Включены все встроенные радиомодули, непосредственно управляемые UEFI (BIOS). Enabled: All built-in radios directly managed by UEFI (BIOS) are enabled. Периферийные устройства, например USB, не затрагиваются. Peripherals, like USB devices, aren’t affected.
• Отключено. Отключены все встроенные радиомодули, непосредственно управляемые UEFI (BIOS). Disabled: All built-in radios directly managed by UEFI (BIOS) are disabled. Периферийные устройства, например USB, не затрагиваются. Peripherals, like USB devices, aren’t affected.

Если отключить параметр Радио, устройство требует проводного подключения к сети. If you disable the Radios setting, the device requires a wired network connection. В противном случае устройство может быть неуправляемым. Otherwise, the device may be unmanageable.

Загрузка с внешнего носителя (USB, SD) : Доступны следующие параметры: Boot from external media (USB, SD): Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. UEFI (BIOS) позволяет загружаться с носителя, не являющегося жестким диском. Enabled: UEFI (BIOS) allows booting from non-hard drive storage.
• Отключено. UEFI (BIOS) запрещает загружаться с жесткого носителя, не являющегося диском. Disabled: UEFI (BIOS) doesn’t allow booting from non-hard drive storage.

Загрузка через сетевые адаптеры: Доступны следующие параметры: Boot from network adapters: Your options:

• Не настроено. Intune не изменяет или не обновляет этот параметр. Not configured: Intune doesn’t change or update this setting.
• Включен. UEFI (BIOS) позволяет загружаться со встроенных сетевых интерфейсов. Enabled: UEFI (BIOS) allows booting from built-in network interfaces.
• Отключено. UEFI (BIOS) не позволяет загружаться со встроенных сетевых интерфейсов. Disabled: UEFI (BIOS) doesn’t allow booting built-in network interfaces.

Выберите Далее. Select Next.

В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment . In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment . Дополнительные сведения о тегах области см. в разделе Использование RBAC и тегов области для распределенных ИТ-групп. For more information about scope tags, see Use RBAC and scope tags for distributed IT.

Выберите Далее. Select Next.

В поле Назначения выберите пользователей или группу пользователей, которые будут принимать ваш профиль. In Assignments, select the users or user group that will receive your profile. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств. For more information on assigning profiles, see Assign user and device profiles.

Выберите Далее. Select Next.

В окне Проверка и создание проверьте параметры. In Review + create, review your settings. При выборе Создать внесенные изменения сохраняются и назначается профиль. When you select Create, your changes are saved, and the profile is assigned. Политика также отображается в списке профилей. The policy is also shown in the profiles list.

Политика будет применена при следующей синхронизации устройства. The next time each device checks in, the policy is applied.

Назначение профилей и перезагрузка Assign the profiles, and reboot

Не забудьте назначить профили группам безопасности Azure AD, которые включают устройства DFCI. Be sure to assign the profiles to your Azure AD security groups that include your DFCI devices. Этот профиль может быть назначен при создании или позднее. The profile can be assigned when it’s created, or after.

Когда устройство запускает программу Windows Autopilot, DFCI может принудительно выполнить перезапуск на странице состояния регистрации. When the device runs the Windows Autopilot, during the Enrollment Status page, DFCI may force a reboot. При этом первом перезапуске UEFI регистрируется в Intune. This first reboot enrolls UEFI to Intune.

Если вы хотите убедиться, что устройство зарегистрировано, перезапустите его еще раз. Но это не обязательно. If you want to confirm the device is enrolled, you can reboot the device again, but it’s not required. Следуйте инструкциям изготовителя устройства, чтобы открыть меню UEFI и подтвердить, что UEFI теперь управляется. Use the device manufacturer’s instructions to open the UEFI menu, and confirm UEFI is now managed.

В следующий раз, когда устройство синхронизируется с Intune, Windows получит параметры DFCI. The next time the device syncs with Intune, Windows receives the DFCI settings. Перезапустите устройство. Reboot the device. При этом третьем перезапуске UEFI сможет получить параметры DFCI из Windows. This third reboot is required for UEFI to receive the DFCI settings from Windows.

Обновление существующих параметров DFCI Update existing DFCI settings

Если вы хотите изменить существующие параметры DFCI на используемых устройствах, то можете это сделать. If you want to change existing DFCI settings on devices that are in use, you can. В существующем профиле DFCI измените параметры и сохраните изменения. In your existing DFCI profile, change the settings, and save your changes. Так как профиль уже назначен, новые параметры DFCI вступают в силу в следующих случаях. Since the profile is already assigned, the new DFCI settings take effect when:

Устройство обращается к службе Intune для проверки обновлений профилей. The device checks in with the Intune service to review profile updates. Обращения происходят в разное время. Check-ins happen at various times. Дополнительные сведения см. в разделе Когда устройства получают обновления политик, профилей или приложений. For more information, see when devices get a policy, profile, or app updates.

Чтобы применить новые параметры, перезагрузите устройство удаленно или локально. To enforce the new settings, reboot the device remotely or locally.

Удаление профиля DFCI или удаление устройства из группы, назначенной профилю, не приводит к удалению параметров DFCI или повторному включению меню UEFI (BIOS). Deleting the DFCI profile, or removing a device from the group assigned to the profile doesn’t remove DFCI settings or re-enable the UEFI (BIOS) menus. Если вы хотите прервать использование DFCI, обновите существующий профиль DFCI. If you want to stop using DFCI, then update your existing DFCI profile. Дополнительные сведения о шагах см. в разделе Снятие устройства с учета в этой статье. For more information on the steps, see retire the device in this article.

Повторное использование, снятие с учета или восстановление устройства Reuse, retire, or recover the device

Повторное использование Reuse

Если вы планируете сбросить настройки Windows для изменения назначения устройства, используйте очистку устройства. If you plan to reset Windows to repurpose the device, then wipe the device. Не следует удалять запись устройства в Autopilot. Do not remove the Autopilot device record.

После очистки устройства переместите устройство в группу, которой назначены новые профили DFCI и Autopilot. After wiping the device, move the device to the group assigned the new DFCI and Autopilot profiles. Не забудьте перезагрузить устройство, чтобы повторно запустить программу установки Windows. Be sure to reboot the device to rerun Windows setup.

Прекратить использование Retire

Когда вы будете готовы прекратить использование устройства и освободить его от управления, обновите профиль DFCI, задав параметры UEFI (BIOS), которые нужны вам после выхода. When you’re ready to retire the device and release it from management, update the DFCI profile to the UEFI (BIOS) settings you want at the exit state. Обычно требуется, чтобы все параметры были включены. Typically, you want all settings enabled. Пример. For example:

1. Откройте профиль DFCI (Устройства >Профили конфигурации). Open your DFCI profile (Devices >Configuration profiles).
2. Измените параметр Разрешить локальному пользователю изменять параметры UEFI (BIOS) , задав значение Только ненастроенные параметры. Change the Allow local user to change UEFI (BIOS) settings to Only not configured settings.
3. Задайте для всех остальных параметров значение Не настроено. Set all other settings to Not configured.
4. Сохраните параметры. Save your settings.

Эти действия разблокируют меню UEFI устройства (BIOS). These steps unlock the device’s UEFI (BIOS) menus. Значения остаются теми же, что и для профиля (Включено или Отключено) и не возвращаются к значениям ОС по умолчанию. The values remain the same as the profile (Enabled or Disabled), and aren’t set back to any default OS values.

Теперь все готово для очистки устройства. You’re now ready to wipe the device. После очистки устройства удалите запись в Autopilot. Once the device is wiped, delete the Autopilot record. Удаление записи предотвращает автоматическую повторную регистрацию устройства при перезагрузке. Deleting the record prevents the device from automatically re-enrolling when it reboots.

Сведения об удалении устройств Surface из регистрации DFCI см. здесь. To remove Surface devices from DFCI enrollment, see removing DFCI management.

Восстановление Recover

При очистке устройства и удалении записи Autopilot перед разблокировкой меню UEFI (BIOS) меню остаются заблокированными. If you wipe a device, and delete the Autopilot record before unlocking the UEFI (BIOS) menus, then the menus remain locked. Intune не может отправить обновления профиля, чтобы разблокировать его. Intune can’t send profile updates to unlock it.

Чтобы разблокировать устройство, откройте меню UEFI (BIOS) и обновите функцию управления по сети. To unlock the device, open the UEFI (BIOS) menu, and refresh management from network. При восстановлении меню будет разблокировано, но при этом у всех параметров UEFI (BIOS) останутся значения, указанные для предыдущего профиля DFCI в Intune. Recovery unlocks the menus, but leaves all UEFI (BIOS) settings set to the values in the previous Intune DFCI profile.

Воздействие на пользователей End user impact

При применении политики DFCI локальные пользователи не могут изменять параметры, настроенные DFCI, даже если меню UEFI (BIOS) защищено паролем. When the DFCI policy is applied, local users can’t change settings configured by DFCI, even if the UEFI (BIOS) menu is password protected. В зависимости от настроенных параметров конечные пользователи могут получать сообщения об ошибках, которые не были найдены или не удается диагностировать. Depending on the settings you configure, end users may receive errors that hardware components aren’t found, or can’t be diagnosed. Обязательно предоставьте конечным пользователям документацию, объясняющую, какие параметры отключены. Be sure to provide documentation to end users explaining the options you’ve disabled.