Sdílet prostřednictvím


Použití konfiguračních profilů SYSTÉMU BIOS na zařízeních s Windows v Microsoft Intune

V Intune můžete pomocí konfigurace systému BIOS a dalších nastavení zásad konfigurace zařízení povolit nebo zakázat funkce a nastavení systému BIOS.

Pomocí nástroje OEM vytvoříte konfigurační soubor systému BIOS, který konfiguruje funkce systému BIOS. Na zařízení nainstalujete aplikaci OEM Win32, která čte konfiguraci. Potom v zásadách SYSTÉMU BIOS Intune přidáte konfigurační soubor systému BIOS a přiřadíte zásady svým zařízením.

Konfigurační soubor obvykle obsahuje nastavení, která zabezpečí zařízení a jeho integrovaný hardware.

Chcete například zabránit koncovým uživatelům v opětovném vytvoření zařízení a vypadnutí ze správy Intune. Pro tuto úlohu vytvoříte konfigurační soubor systému BIOS, který zakáže spouštění z USB. Potom tento soubor přidáte do zásad Intune a povolíte heslo systému BIOS. Tyto kroky zajistí, že konfigurace není přepsána.

Tato funkce platí pro:

  • Windows 11
  • Windows 10
  • Zařízení Dell

Tento článek obsahuje další informace o konfiguračním souboru a aplikaci Win32 a ukazuje, jak vytvořit konfiguraci systému BIOS a další zásady nastavení v Intune.

Upozornění

Změny konfigurace systému BIOS můžou mít vliv na funkčnost a provozuschopnost zařízení, včetně možnosti spouštění šifrovaných jednotek nástrojem BitLocker nebo k jejich přístupu. Tato funkce umožňuje správcům Intune snadno aktualizovat konfigurace systému BIOS na svých zařízeních. Když provedete změny, otestujte a nasaďte je ve fázích, abyste minimalizovali dopad všech neočekávaných konfigurací.

Požadavky

  • Pokud chcete nakonfigurovat zásady Intune, přihlaste se minimálně do Centra pro správu Intune s rolí Správce zásad a profilů . Informace o předdefinovaných rolích v Intune a o tom, co můžou dělat, najdete tady:

  • Tato funkce podporuje zařízení vlastněná organizací, která jsou zaregistrovaná v MdM v Intune. Osobní zařízení a zařízení nezaregistrovaná v Intune se nepodporují.

  • Ujistěte se, že zařízení nemají nakonfigurované stávající heslo systému BIOS. Tato funkce vyžaduje, aby Intune měl heslo systému BIOS. Pokud Intune nemá heslo systému BIOS zařízení, nemůže aktualizovat konfiguraci systému BIOS.

Krok 1 – Vytvoření konfiguračního souboru a nasazení aplikace

Tato část se zaměřuje na vytvoření konfiguračního souboru pomocí nástroje OEM a nasazení aplikace OEM Win32 do zařízení.

  1. Vytvořte konfigurační soubor pomocí nástroje výrobce OEM. V souboru přidejte a nakonfigurujte funkce, které chcete konfigurovat. Můžete přidat libovolné nastavení konfigurace, které výrobce OEM podporuje.

    • V případě společnosti Dell můžete konfigurační soubor systému BIOS vytvořit pomocí nástroje Dell Command (otevře se web společnosti Dell).
  2. Při vytváření konfiguračního souboru existuje koordinovaná aplikace Win32 od výrobce OEM. Nasaďte do zařízení aplikaci OEM Win32. Tato aplikace:

    • Funguje jako agent, který čte konfigurační soubor, který vytvoříte, a čte hesla systému BIOS zařízení.
    • Před přiřazením zásad konfigurace systému BIOS v Intune musí být nainstalovaná na všech zařízeních.

    V případě společnosti Dell si můžete stáhnout aplikaci Dell Command (otevře se web společnosti Dell).

    K instalaci této aplikace na zařízení můžete použít Intune:

    • Přidejte aplikaci do Intune a nastavte ji jako požadovanou.
    • Přiřaďte aplikaci k filtru skupiny nebo přiřazení, který vytvoříte v dalším kroku (v tomto článku).

    Informace o aplikacích Win32 v Intune najdete v článku Přidání, přiřazení a monitorování aplikace Win32 v Microsoft Intune.

Krok 2 – Vytvoření skupiny nebo použití filtru přiřazení

Doporučuje se zaměřit tuto zásadu na konkrétní sadu zařízení. Možnosti:

  • Možnost 1 – Vytvořte skupinu, která zahrnuje zařízení. Když vytvoříte zásady aplikace a zásady konfigurace systému BIOS, přiřadíte je této skupině.
  • Možnost 2 – Použijte filtr přiřazení podle výrobce zařízení. Když vytváříte filtr, zaměřte se na zařízení OEM. Když přiřadíte zásady konfigurace aplikace a systému BIOS, přidejte tento filtr.

Informace o těchto funkcích najdete tady:

Krok 3 – Vytvoření zásad konfigurace systému BIOS v Intune

V této zásadě přidáte konfigurační soubor, který jste vytvořili v kroku 1, pomocí nástroje OEM.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>Nová zásada.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte Windows 10 a novější.
    • Typ profilu: Vyberte Šablony>Konfigurace systému BIOS a další nastavení.
  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrým názvem profilu je například konfigurační heslo systému BIOS.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

    Vyberte Další.

  6. V Nastavení konfigurace nakonfigurujte následující nastavení:

    • Hardware: Ze seznamu podporovaných výrobců OEM vyberte dodavatele hardwaru OEM. V současné době je podporována pouze společnost Dell.

    • Zakázat ochranu heslem systému BIOS pro jednotlivá zařízení: Toto nastavení spravuje heslo, které chrání konfiguraci systému BIOS v zařízení. Možnosti:

      • Ne: Intune pro každé zařízení vygeneruje jedinečné heslo zařízení. Pokud uživatelé chtějí získat přístup ke konfiguraci systému BIOS v zařízení a aktualizovat ji, musí zadat toto heslo.
      • Ano: Systém BIOS nechrání heslem. Všechna předchozí hesla se odeberou. Koncoví uživatelé mají přístup k systému BIOS a měnit nastavení systému BIOS na zařízení.
    • Konfigurační soubor: Nahrajte konfigurační soubor vygenerovaný nástrojem OEM.

      V případě společnosti Dell nahrajte soubor sady Dell Client Configuration Tool Kit (.cctk). Limit velikosti souboru je 2 MB.

    Vyberte Další.

  7. V části Přiřazení vyberte novou skupinu zařízení, kterou jste vytvořili. Tato skupina obdrží váš profil. Informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  8. V části Zkontrolovat a vytvořit zkontrolujte nastavení a vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Při příštím přihlášení každého zařízení se použijí zásady.

Monitorování zásad pomocí předdefinovaných sestav

V Centru pro správu Intune můžete po vytvoření zásady sledovat její stav a zobrazit případné chyby.

  1. V Centru pro správu Intune přejděte na kartu Správa>zařízení Zásadykonfigurace>zařízení>.
  2. Vyberte zásadu, kterou chcete monitorovat. Zpráva o stavu zařízení zobrazuje stav zásad a všechny podrobnosti o chybách pro účely řešení potíží.

Pro více informací přejděte na:

Načtení hesel systému BIOS

Intune ukládá hesla systému BIOS pro každé zařízení. Hesla systému BIOS můžete získat pomocí Microsoft Graphu. K testování rozhraní Graph API můžete použít Microsoft Graph Explorer.

Důležité

Nezapomeňte zálohovat všechna hesla mimo Intune. Pokud nezazálohujete hesla mimo Intune, mějte na paměti následující scénáře:

  • Pokud je zařízení odebrané ze správy Intune, můžou správci dál číst hesla systému BIOS pomocí hardwarového rozhraní API Microsoft GraphPasswordInfo.
  • Pokud předplatné Intune pro vašeho tenanta skončí, nebude možné hesla systému BIOS číst ani načítat. V takovém případě je jedinou možností kontaktovat výrobce OEM.

Možnost 1 – Čtení hesla systému BIOS po jednom zařízení

Tato možnost získá hesla systému BIOS, a to po jednom zařízení.

  1. Vytvořte vlastní roli Intune RBAC s oprávněním Číst heslo systému BIOS :

    1. Přihlaste se minimálně do Centra pro správu Intune jako člen integrované role Správce rolí Intune .

      Informace o předdefinovaných rolích Intune najdete tady:

    2. Vyberte Správa>tenanta Role>Vytvořit novou roli.

    3. Pojmenujte svoji roli a vyberte Další.

    4. V části Oprávnění rozbalte Spravovaná zařízení> Nastavte heslo systému BIOS pro čtení na Ano.

    5. Vyberte Další>další>vytvoření.

  2. Přihlaste se k nástroji Graph pomocí této vlastní role RBAC a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Možnost 2 – Přečtení hesla systému BIOS pro všechna zařízení

Tato možnost získá seznam všech hesel systému BIOS všech zařízení.

  1. Minimálně potřebujete roli Správce Intune v Microsoft Entra ID.

  2. Přihlaste se k nástroji Graph pomocí této role a použijte rozhraní API Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Informace o předdefinovaných rolích najdete v tématu Předdefinované role Microsoft Entra.

Odebrat heslo konfigurace systému BIOS

Pokud plánujete ukončit správu systému BIOS vašich zařízení nebo zařízení trvale odebrat z tenanta, musíte odebrat heslo systému BIOS.

Pokud chcete odebrat heslo systému BIOS, nastavte v zásadách konfigurace systému BIOS v Intune nastavení Zakázat ochranu heslem systému BIOS na zařízení na Ano. Pak zásadu přiřaďte. Když se zařízení přihlásí k Intune, použijí se zásady. Na zařízení můžete také ručně synchronizovat zařízení s Intune, aby se zásady použily.

Jakmile se zásada použije, restartujte zařízení.

Zrušením registrace zařízení v Intune se neodebere heslo systému BIOS. Pokud zrušíte registraci zařízení před zakázání hesla, budete muset heslo na zařízení aktualizovat ručně.

Konfigurace systému BIOS vs. DFCI

Intune má dvě funkce, které můžou spravovat nastavení systému BIOS na zařízeních s Windows: konfigurace systému BIOS a další nastavení a rozhraní DFCI (Device Firmware Configuration Interface).

Následující tabulka porovnává tyto možnosti.

Funkce Konfigurace systému BIOS a další nastavení DFCI
Podporované OEM Dell

Možná ještě více v budoucnu
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Další informace najdete v tématu Scénáře Microsoft DFCI.
Podporované konfigurace Všechny konfigurace dostupné v nástroji OEM Sada nastavení pro řízení funkcí zabezpečení, některých hardwarových funkcí, možností spouštění, portů a dalších
Způsob použití nastavení Intune doručí konfigurační soubor po přiřazení zásady. Agent OEM na zařízení použije konfiguraci. Prostřednictvím poskytovatele CSP UEFI s využitím vrstvy DFCI, která je izolovaná od operačního systému
Blokuje přístup k nabídce systému BIOS. Ano, prostřednictvím hesel systému BIOS Ano, prostřednictvím certifikátů
Konfigurace během Windows Autopilotu V nastavení stránky stavu registrace (ESP) vyberte aplikaci OEM Win32. Intune zařízení automaticky zaregistruje v nástroji DFCI.
Vytváření sestav Hlásí, jestli se použil konfigurační soubor. Podrobná sestava pro každé nastavení, které nakonfigurujete.
Typ zásad Intune Zařízení>Správa zařízení>Konfigurace>Šablony>Konfigurace systému BIOS a další nastavení Zařízení>Správa zařízení>Konfigurace>Šablony>Rozhraní konfigurace firmwaru zařízení

Informace o DFCI najdete tady: