Udostępnij za pośrednictwem


Ustawienia profilu interfejsu konfiguracji oprogramowania układowego urządzenia (DFCI) w usłudze Microsoft Intune

W tym artykule wymieniono i opisano ustawienia profilu DFCI, które można kontrolować na urządzeniach klienckich z systemem Windows. W ramach rozwiązania do zarządzania urządzeniami przenośnymi (MDM) użyj tych ustawień, aby kontrolować funkcje zabezpieczeń, wbudowany sprzęt i opcje rozruchu w warstwie UEFI w systemie Windows.

Te ustawienia dotyczą:

  • System Windows 11 w obsługiwanym interfejsie UEFI
  • systemu Windows 10 RS5 (1809) i nowszych opartych na obsługiwanym interfejsie UEFI

Te ustawienia są dodawane do profilu konfiguracji urządzenia w usłudze Intune, a następnie przypisywane lub wdrażane na urządzeniach klienckich z systemem Windows.

Przed rozpoczęciem

Ostrzeżenie

Ostrożnie. Konfigurowanie i przypisywanie profilów DFCI może zablokować urządzenie nie do naprawienia. Ustawienia profilu DFCI zmieniają sprzęt urządzenia i nie można ich naprawić przez ponowne obrazowanie systemu operacyjnego.

Dostęp UEFI

  • Zezwalaj użytkownikowi lokalnemu na zmianę ustawień interfejsu UEFI: Opcje:
    • Tylko nieskonfigurowane ustawienia: użytkownik lokalny może zmienić dowolne ustawienie , z wyjątkiem tych ustawień jawnie ustawionych na Włącz lub Wyłącz przez usługę Intune.
    • Brak: użytkownik lokalny nie może zmienić żadnych ustawień interfejsu UEFI (BIOS), w tym ustawień, które nie są wyświetlane w profilu DFCI.

Funkcje zabezpieczeń

  • Wirtualizacja procesora i we/wy: Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
    • Włączone: system BIOS umożliwia korzystanie z możliwości wirtualizacji procesora i operacji we/wy platformy na potrzeby systemu operacyjnego. Włącza on technologie Zabezpieczenia na podstawie wirtualizacji i Device Guard systemu Windows.
  • Tabela binarna platformy systemu Windows (WPBT): WPBT umożliwia dostawcom i producentom OEM uruchamianie .exe programu w warstwie UEFI. Za każdym razem, gdy system Windows jest uruchamiany, patrzy na interfejs UEFI i uruchamia polecenie .exe. Ta funkcja służy do uruchamiania programów, które nie są dołączone do nośnika systemu Windows.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać dostawcom i producentom OEM na uruchamianie programów przy użyciu protokołu WPBT.
    • Włączone: włącza protokół WPBT i umożliwia .exe uruchamianie programów w warstwie UEFI.
    • Wyłączone: wyłącza protokół WPBT i uniemożliwia uruchamianie .exe programów w warstwie UEFI.
  • Jednoczesne wielowątkowości (SMT): znany również jako hiperwątkowości. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia.
    • Włączone: włącza funkcję SMT w warstwie UEFI.
    • Wyłączone: wyłącza funkcję SMT w warstwie UEFI.

Aparaty

  • Aparaty fotograficzne: to ustawienie zarządza wszystkimi kamerami sprzętowymi wbudowanymi w urządzenie. Nie zarządza dołączonymi urządzeniami peryferyjnymi, takimi jak kamery internetowe USB.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane kamery.
    • Włączone: wszystkie wbudowane kamery zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane kamery zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
  • Kamery przednie: to ustawienie zarządza wbudowanymi przednimi kamerami światła widocznego zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane przednie kamery z widocznym światłem.
    • Włączone: wszystkie wbudowane przednie kamery światła widzialnego zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane przednie kamery światła widzialnego zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
  • Tylne kamery: to ustawienie zarządza wbudowanymi tylnymi kamerami światła widocznego zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane tylne kamery.
    • Włączone: wszystkie wbudowane tylne kamery światła widzialnego zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane tylne kamery światła widzialnego zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
  • Kamery na podczerwień (IR): to ustawienie zarządza wbudowanymi kamerami na podczerwień zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane kamery na podczerwień.
    • Włączone: wszystkie wbudowane kamery na podczerwień zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane kamery na podczerwień zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak kamery podłączone przez złącze USB.

Mikrofony i głośniki

Zalecamy skonfigurowanie ustawień kategorii Mikrofony i głośnikilubUstawień szczegółowych mikrofonów . Jeśli skonfigurujesz wszystkie ustawienia, te ustawienia mogą powodować konflikt. Aby uzyskać więcej informacji, przejdź do artykułu Omówienie profilu DFCI: Konflikty.

  • Mikrofony i głośniki: to ustawienie zarządza wszystkimi mikrofonami i głośnikami wbudowanymi w urządzenie. Nie zarządza dołączonymi urządzeniami peryferyjnymi, takimi jak urządzenia USB.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane mikrofony i głośniki.
    • Włączone: wszystkie wbudowane mikrofony i głośniki zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane mikrofony i głośniki zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
  • Mikrofony: to ustawienie zarządza wbudowanymi mikrofonami zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane mikrofony.
    • Włączone: wszystkie wbudowane mikrofony zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane mikrofony zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.

Radia

Zalecamy skonfigurowanie ustawień kategorii Radio (Bluetooth, Wi-Fi, NFC itp.)lubBluetooth, Wi-Fi itp. Jeśli skonfigurujesz wszystkie ustawienia, te ustawienia mogą powodować konflikt. Aby uzyskać więcej informacji, przejdź do artykułu Omówienie profilu DFCI: Konflikty.

  • Radia (Bluetooth, Wi-Fi, NFC itp.): to ustawienie zarządza wszystkimi wbudowanymi radiami zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wszystkie wbudowane radia.

    • Włączone: wszystkie wbudowane urządzenia radiowe zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.

    • Wyłączone: wszystkie wbudowane urządzenia radiowe zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.

      Po ustawieniu pozycji Wyłączone urządzenie wymaga połączenia sieci przewodowej. W przeciwnym razie urządzenie może być niemożliwe do zarządzania.

  • Bluetooth: to ustawienie zarządza wbudowanymi radiami Bluetooth zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane radia Bluetooth.
    • Włączone: wszystkie wbudowane radia Bluetooth zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane radia Bluetooth zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
  • WWAN: to ustawienie zarządza wbudowanymi radiami WWAN zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane radia WWAN.
    • Włączone: wszystkie wbudowane radia WWAN zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane radia WWAN zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
  • NFC: to ustawienie zarządza wbudowanymi radiami NFC zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane radia NFC.
    • Włączone: wszystkie wbudowane radia NFC zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane radia NFC zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
  • Wi-Fi: to ustawienie zarządza wbudowanymi radiami Wi-Fi zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane Wi-Fi radia.
    • Włączone: wszystkie wbudowane Wi-Fi radia zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane Wi-Fi radia zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.

Opcje rozruchu

Ostrzeżenie

Wyłączenie wszystkich opcji rozruchu zewnętrznego lub wszystkich portów zewnętrznych znacznie komplikuje odzyskiwanie systemu operacyjnego. Aby odzyskać urządzenie, które nie może już uruchomić systemu Windows, może być konieczne fizyczne otwarcie urządzenia i zastąpienie magazynu sprzętowego.

  • Rozruch z nośnika zewnętrznego (USB, SD): Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na rozruch z nośników zewnętrznych.

    • Włączone: interfejs UEFI (BIOS) zezwala na rozruch z magazynu innego niż dysk twardy.

    • Wyłączone: interfejs UEFI (BIOS) uniemożliwia rozruch z magazynu z dysku twardego, co również wyłącza rozruch z kart sieciowych.

      Po ustawieniu opcji Wyłączone nie ustawiaj ustawienia Rozruch z kart sieciowych na wartość Włączone. Powoduje to, że ustawienie Rozruch z nośnika zewnętrznego (USB, SD) lub Ustawienie Rozruch z kart sieciowych staje się niezgodne.

  • Rozruch z kart sieciowych: Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może zezwalać na rozruch z wbudowanych kart sieciowych.
    • Włączone: interfejs UEFI (BIOS) zezwala na rozruch z wbudowanych interfejsów sieciowych.
    • Wyłączone: interfejs UEFI (BIOS) uniemożliwia rozruch wbudowanych interfejsów sieciowych.

Porty

Ostrzeżenie

Wyłączenie wszystkich opcji rozruchu zewnętrznego lub wszystkich portów zewnętrznych znacznie komplikuje odzyskiwanie systemu operacyjnego. Aby odzyskać urządzenie, które nie może już uruchomić systemu Windows, może być konieczne fizyczne otwarcie urządzenia i zastąpienie magazynu sprzętowego.

  • Typ USB A: to ustawienie zarządza wbudowanymi portami USB typu A zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane porty USB typu A.
    • Włączone: wszystkie wbudowane porty USB typu A zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane porty USB typu A zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
  • Karta SD: to ustawienie zarządza wbudowanymi portami kart SD zarządzanymi przez interfejs UEFI (BIOS). Nie zarządza dołączonymi urządzeniami peryferyjnymi.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może włączyć wbudowane porty kart SD.
    • Włączone: wszystkie wbudowane porty kart SD zarządzane bezpośrednio przez interfejs UEFI (BIOS) są włączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.
    • Wyłączone: wszystkie wbudowane porty kart SD zarządzane bezpośrednio przez interfejs UEFI (BIOS) są wyłączone. Nie dotyczy to urządzeń peryferyjnych, takich jak podłączone przez złącze USB.

Ustawienia wznawczania

  • Wznawdzie w sieci LAN: funkcja Wake on LAN umożliwia administratorowi sieci zdalne wznawczanie urządzenia w trybie uśpienia przy użyciu sieci LAN.

    Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić budzenie urządzenia przy użyciu sieci LAN.
    • Włączone: interfejs UEFI (BIOS) umożliwia budzenie urządzenia przy użyciu sieci LAN.
    • Wyłączone: interfejs UEFI (BIOS) uniemożliwia budzenie urządzenia przy użyciu sieci LAN.
  • Wznaż zasilanie: gdy urządzenie jest podłączone do źródła zasilania, to ustawienie zarządza, czy kwalifikujące się urządzenia mogą być automatycznie uruchamiane ze stanu hibernacji lub wyłączenia. Dostępne opcje:

    • Nie skonfigurowano: usługa Intune nie zmienia ani nie aktualizuje tego ustawienia. Domyślnie system operacyjny może uniemożliwić budzenie urządzenia po nawiązaniu połączenia ze źródłem zasilania.
    • Włączone: interfejs UEFI (BIOS) umożliwia budzenie urządzenia po nawiązaniu połączenia ze źródłem zasilania.
    • Wyłączone: interfejs UEFI (BIOS) uniemożliwia budzenie urządzenia po nawiązaniu połączenia ze źródłem zasilania.