Použití konfiguračních profilů systému BIOS na zařízeních s Windows v Microsoft Intune

V Intune můžete pomocí konfigurace systému BIOS a dalších nastavení zásad konfigurace zařízení povolit nebo zakázat funkce a nastavení systému BIOS.

Pomocí nástroje OEM vytvoříte konfigurační soubor systému BIOS, který konfiguruje funkce systému BIOS. Na zařízení nainstalujete aplikaci OEM Win32, která čte konfiguraci. Potom v zásadách Intune SYSTÉMU BIOS přidáte konfigurační soubor systému BIOS a přiřadíte zásady svým zařízením.

Konfigurační soubor obvykle obsahuje nastavení, která zabezpečí zařízení a jeho integrovaný hardware.

Chcete například zabránit koncovým uživatelům v opětovném nastavení zařízení a vypadnutí ze správy Intune. Pro tuto úlohu vytvoříte konfigurační soubor systému BIOS, který zakáže spouštění z USB. Potom tento soubor přidáte do zásad Intune a povolíte heslo systému BIOS. Tyto kroky zajistí, že konfigurace není přepsána.

Tato funkce platí pro:

• Windows 11
• Windows 10
• Zařízení Dell

Tento článek obsahuje další informace o konfiguračním souboru a aplikaci Win32 a ukazuje, jak vytvořit konfiguraci systému BIOS a další zásady nastavení v Intune.

Upozornění

Změny konfigurace systému BIOS můžou mít vliv na funkčnost a provozuschopnost zařízení, včetně možnosti spouštění šifrovaných jednotek nástrojem BitLocker nebo k jejich přístupu. Tato funkce umožňuje správcům Intune snadno aktualizovat konfigurace systému BIOS na svých zařízeních. Když provedete změny, otestujte a nasaďte je ve fázích, abyste minimalizovali dopad všech neočekávaných konfigurací.

Požadavky

• Pokud chcete nakonfigurovat zásady Intune, přihlaste se do Centra pro správu Intune s rolí Správce zásad a profilů. Informace o předdefinovaných rolích v Intune a o tom, co můžou dělat, najdete tady:

  • Řízení přístupu na základě role (RBAC) s Microsoft Intune
  • Předdefinovaná oprávnění rolí pro Microsoft Intune

• Tato funkce podporuje zařízení vlastněná organizací, která jsou zaregistrovaná v MDM v Intune. Osobní zařízení a zařízení nezaregistrovaná v Intune se nepodporují.

• Ujistěte se, že zařízení nemají nakonfigurované stávající heslo systému BIOS. Tato funkce vyžaduje, aby Intune měli heslo systému BIOS. Pokud Intune nemá heslo systému BIOS zařízení, nemůže aktualizovat konfiguraci systému BIOS.

Krok 1 – Vytvoření konfiguračního souboru a nasazení aplikace

Tato část se zaměřuje na vytvoření konfiguračního souboru pomocí nástroje OEM a nasazení aplikace OEM Win32 do zařízení.

1. Vytvořte konfigurační soubor pomocí nástroje výrobce OEM. V souboru přidejte a nakonfigurujte funkce, které chcete konfigurovat. Můžete přidat libovolné nastavení konfigurace, které výrobce OEM podporuje.

   • V případě společnosti Dell můžete konfigurační soubor systému BIOS vytvořit pomocí nástroje Dell Command (otevře se web společnosti Dell).

2. Při vytváření konfiguračního souboru existuje koordinovaná aplikace Win32 od výrobce OEM. Nasaďte do zařízení aplikaci OEM Win32. Tato aplikace:

   • Funguje jako agent, který čte konfigurační soubor, který vytvoříte, a čte hesla systému BIOS zařízení.
   • Před přiřazením zásad konfigurace Intune systému BIOS musí být nainstalovaný na všech zařízeních.

   V případě společnosti Dell si můžete stáhnout aplikaci Dell Command (otevře se web společnosti Dell).

   K instalaci této aplikace do zařízení můžete použít Intune:

   • Přidejte aplikaci do Intune a nastavte ji jako požadovanou aplikaci.
   • Přiřaďte aplikaci k filtru skupiny nebo přiřazení, který vytvoříte v dalším kroku (v tomto článku).

   Informace o aplikacích Win32 v Intune najdete v článku Přidání, přiřazení a monitorování aplikace Win32 v Microsoft Intune.

Krok 2 – Vytvoření skupiny nebo použití filtru přiřazení

Doporučuje se zaměřit tuto zásadu na konkrétní sadu zařízení. Možnosti:

• Možnost 1 – Vytvořte skupinu, která zahrnuje zařízení. Když vytvoříte zásady aplikace a zásady konfigurace systému BIOS, přiřadíte je této skupině.
• Možnost 2 – Použijte filtr přiřazení podle výrobce zařízení. Když vytváříte filtr, zaměřte se na zařízení OEM. Když přiřadíte zásady konfigurace aplikace a systému BIOS, přidejte tento filtr.

Informace o těchto funkcích najdete tady:

• Přidání skupin pro uspořádání uživatelů a zařízení
• Použití filtrů při přiřazování aplikací, zásad a profilů v Microsoft Intune

Krok 3 – Vytvoření zásady konfigurace systému BIOS v Intune

V této zásadě přidáte konfigurační soubor, který jste vytvořili v kroku 1, pomocí nástroje OEM.

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

3. Zadejte tyto vlastnosti:

   • Platforma: Zvolte Windows 10 a novější.
   • Typ profilu: Vyberte Šablony>Konfigurace systému BIOS a další nastavení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem profilu je například konfigurační heslo systému BIOS.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

   Vyberte Další.

6. V Nastavení konfigurace nakonfigurujte následující nastavení:

   • Hardware: Ze seznamu podporovaných výrobců OEM vyberte dodavatele hardwaru OEM. V současné době je podporována pouze společnost Dell.

   • Zakázat ochranu heslem systému BIOS pro jednotlivá zařízení: Toto nastavení spravuje heslo, které chrání konfiguraci systému BIOS v zařízení. Možnosti:

     • Ne: Intune vygeneruje pro každé zařízení jedinečné heslo zařízení. Pokud uživatelé chtějí získat přístup ke konfiguraci systému BIOS v zařízení a aktualizovat ji, musí zadat toto heslo.
     • Ano: Systém BIOS nechrání heslem. Všechna předchozí hesla se odeberou. Koncoví uživatelé mají přístup k systému BIOS a měnit nastavení systému BIOS na zařízení.

   • Konfigurační soubor: Nahrajte konfigurační soubor vygenerovaný nástrojem OEM.

     V případě společnosti Dell nahrajte soubor sady Dell Client Configuration Tool Kit (.cctk). Limit velikosti souboru je 2 MB.

   Vyberte Další.

7. V části Přiřazení vyberte novou skupinu zařízení, kterou jste vytvořili. Tato skupina obdrží váš profil. Informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Vyberte Další.

8. V části Zkontrolovat a vytvořit zkontrolujte nastavení a vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Při příštím přihlášení každého zařízení se použijí zásady.

Monitorování zásad pomocí předdefinovaných sestav

V Centru pro správu Intune můžete po vytvoření zásady monitorovat její stav a zobrazit případné chyby.

1. V Centru pro správu Intune přejděte na kartu Zařízení>Spravovat zařízení>Zásadykonfigurace>.
2. Vyberte zásadu, kterou chcete monitorovat. Zpráva o stavu zařízení zobrazuje stav zásad a všechny podrobnosti o chybách pro účely řešení potíží.

Další informace najdete v článku:

• Sledování zásad konfigurace zařízení v Microsoft Intune
• Intune sestavy

Načtení hesel systému BIOS

Intune ukládá hesla systému BIOS pro každé zařízení. Hesla systému BIOS můžete získat pomocí Microsoft Graphu. K testování rozhraní Graph API můžete použít Microsoft Graph Explorer.

Důležité

Nezapomeňte zálohovat všechna hesla mimo Intune. Pokud nezazálohujete hesla mimo Intune, mějte na paměti následující scénáře:

• Pokud je zařízení odebráno ze správy Intune, můžou správci dál číst hesla systému BIOS pomocí rozhraní API Microsoft Graph hardwarePasswordInfo.
• Pokud Intune předplatné pro vašeho tenanta skončí, neexistuje žádný způsob, jak číst nebo načítat hesla systému BIOS. V takovém případě je jedinou možností kontaktovat výrobce OEM.

Možnost 1 – Čtení hesla systému BIOS po jednom zařízení

Tato možnost získá hesla systému BIOS, a to po jednom zařízení.

1. Vytvořte vlastní roli Intune RBAC s oprávněním Číst heslo systému BIOS:

   1. Přihlaste se minimálně do Centra pro správu Intune jako člen integrované Intune role Správce Intune rolí.

      Informace o Intune předdefinovaných rolí najdete tady:

      • Řízení přístupu na základě role (RBAC) s Microsoft Intune
      • Předdefinovaná oprávnění rolí pro Microsoft Intune

   2. Vyberte Správa>tenanta Role>Vytvořit novou roli.

   3. Pojmenujte svoji roli a vyberte Další.

   4. V části Oprávnění rozbalte Spravovaná zařízení> Nastavte heslo systému BIOS pro čtení na Ano.

   5. Vyberte Další>další>vytvoření.

2. Přihlaste se k nástroji Graph pomocí této vlastní role RBAC a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Možnost 2 – Přečtení hesla systému BIOS pro všechna zařízení

Tato možnost získá seznam všech hesel systému BIOS všech zařízení.

1. V Microsoft Entra ID potřebujete minimálně roli správce Intune.

2. Přihlaste se k nástroji Graph pomocí této role a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Informace o předdefinovaných rolích najdete v tématu Microsoft Entra předdefinovaných rolí.

Odebrat heslo konfigurace systému BIOS

Pokud plánujete ukončit správu systému BIOS vašich zařízení nebo zařízení trvale odebrat z tenanta, musíte odebrat heslo systému BIOS.

Pokud chcete odebrat heslo systému BIOS, nastavte v zásadách konfigurace systému Intune BIOS nastavení Zakázat ochranu heslem systému BIOS na zařízení na Ano. Pak zásadu přiřaďte. Když se zařízení přihlásí pomocí Intune, použijí se zásady. Na zařízení můžete také ručně synchronizovat zařízení s Intune, aby se zásady použily.

Jakmile se zásada použije, restartujte zařízení.

Zrušením registrace zařízení v Intune se neodebere heslo systému BIOS. Pokud zrušíte registraci zařízení před zakázání hesla, budete muset heslo na zařízení aktualizovat ručně.

Konfigurace systému BIOS vs. DFCI

Intune má dvě funkce, které můžou spravovat nastavení systému BIOS na zařízeních s Windows: konfigurace systému BIOS a další nastavení a rozhraní DFCI (Device Firmware Configuration Interface).

Následující tabulka porovnává tyto možnosti.

Funkce	Konfigurace systému BIOS a další nastavení	DFCI
Podporované OEM	Dell Možná ještě více v budoucnu	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Další informace najdete v tématu Scénáře Microsoft DFCI.
Podporované konfigurace	Všechny konfigurace dostupné v nástroji OEM	Sada nastavení pro řízení funkcí zabezpečení, některých hardwarových funkcí, možností spouštění, portů a dalších
Způsob použití nastavení	Intune doručí konfigurační soubor při přiřazení zásady. Agent OEM na zařízení použije konfiguraci.	Prostřednictvím poskytovatele CSP UEFI s využitím vrstvy DFCI, která je izolovaná od operačního systému
Blokuje přístup k nabídce systému BIOS.	Ano, prostřednictvím hesel systému BIOS	Ano, prostřednictvím certifikátů
Konfigurace během Windows Autopilotu	V nastavení stránky stavu registrace (ESP) vyberte aplikaci OEM Win32.	Intune zařízení automaticky zaregistruje v nástroji DFCI mgmt.
Vytváření sestav	Hlásí, jestli se použil konfigurační soubor.	Podrobná sestava pro každé nastavení, které nakonfigurujete.
typ zásad Intune	Zařízení>Správa zařízení>Konfigurace>Šablony>Konfigurace systému BIOS a další nastavení	Zařízení>Správa zařízení>Konfigurace>Šablony>Rozhraní konfigurace firmwaru zařízení

Informace o DFCI najdete tady:

• Profily DFCI (Device Firmware Configuration Interface) na zařízeních s Windows v Microsoft Intune
• Scénáře Microsoft DFCI
• DFCI na zařízeních Surface

Související články

• Přiřazení profilu
• Monitorování stavu profilu