Compartilhar via

Utilizar perfis de configuração do BIOS em dispositivos Windows no Microsoft Intune

  • Artigo

No Intune, pode utilizar uma configuração do BIOS e outras definições da política de configuração do dispositivo para ativar ou desativar as funcionalidades e definições do BIOS.

Com uma ferramenta OEM, pode criar um ficheiro de configuração bios que configura as funcionalidades do BIOS. Nos dispositivos, instala a aplicação OEM Win32 que lê a configuração. Em seguida, na política Intune BIOS, adicione o ficheiro de configuração do BIOS e atribua a política aos seus dispositivos.

Normalmente, o ficheiro de configuração inclui definições que protegem o dispositivo e protegem o hardware incorporado.

Por exemplo, quer impedir que os utilizadores finais reimaginem o dispositivo e saiam da gestão Intune. Para esta tarefa, vai criar um ficheiro de configuração do BIOS que desativa o arranque a partir de USB. Em seguida, adicione este ficheiro à política de Intune e ative uma palavra-passe do BIOS. Estes passos garantem que a configuração não é substituída.

Esse recurso aplica-se a:

  • Windows 11
  • Windows 10
  • Dispositivos Dell

Este artigo inclui mais informações sobre o ficheiro de configuração e a aplicação Win32 e mostra-lhe como criar a configuração do BIOS e outras políticas de definições no Intune.

Aviso

As alterações de configuração do BIOS podem afetar a funcionalidade e a operabilidade do dispositivo, incluindo a capacidade de iniciar ou aceder a unidades encriptadas do Bitlocker. Esta funcionalidade permite que Intune administradores atualizem facilmente as configurações do BIOS nos respetivos dispositivos. Quando efetua alterações, teste e implemente em fases para minimizar o impacto de quaisquer configurações inesperadas.

Pré-requisitos

  • Para configurar as políticas de Intune, no mínimo, inicie sessão no centro de administração do Intune com a função gestor de Políticas e Perfis. Para obter informações sobre as funções incorporadas no Intune e o que podem fazer, aceda a:

  • Esta funcionalidade suporta dispositivos pertencentes à organização que são MDM inscritos no Intune. Os dispositivos pessoais e os dispositivos não inscritos no Intune não são suportados.

  • Certifique-se de que os dispositivos não têm uma palavra-passe do BIOS configurada. Esta funcionalidade requer que Intune tenham a palavra-passe do BIOS. Se Intune não tiver a palavra-passe do BIOS do dispositivo, não poderá atualizar a configuração do BIOS.

Passo 1 – Criar o ficheiro de configuração e implementar a aplicação

Esta secção centra-se na utilização da ferramenta OEM para criar o ficheiro de configuração e na implementação da aplicação OEM Win32 nos dispositivos.

  1. Crie o ficheiro de configuração com uma ferramenta OEM. No ficheiro, adicione e configure as funcionalidades que pretende configurar. Pode adicionar quaisquer definições de configuração suportadas pelo OEM.

    • Para a Dell, pode utilizar a ferramenta Dell Command (abre o site da Dell) para criar o ficheiro de configuração do BIOS.

  2. Quando cria o ficheiro de configuração, existe uma aplicação Win32 coordenada fornecida pelo OEM. Implemente a aplicação OEM Win32 nos dispositivos. Esta aplicação:

    • Atua como um agente que lê o ficheiro de configuração que cria e lê as palavras-passe do BIOS dos dispositivos.
    • Tem de ser instalado em todos os dispositivos antes de atribuir a política de configuração do BIOS Intune.

    Para a Dell, pode transferir a aplicação Dell Command (abre o site da Dell).

    Para instalar esta aplicação nos dispositivos, pode utilizar Intune:

    • Adicione a aplicação ao Intune e torne-a numa aplicação necessária.
    • Atribua a aplicação ao filtro de grupo ou atribuição que criar no passo seguinte (neste artigo).

    Para obter informações sobre as aplicações Win32 no Intune, aceda a Adicionar, atribuir e monitorizar uma aplicação Win32 no Microsoft Intune.

Passo 2 – Criar um grupo ou utilizar um filtro de atribuição

Recomenda-se que concentre esta política num conjunto específico de dispositivos. Suas opções:

  • Opção 1 – crie um grupo que inclua os dispositivos. Quando cria a política de aplicações e a política de configuração do BIOS, atribui as políticas a este grupo.
  • Opção 2 – utilize um filtro de atribuição com base no fabricante do dispositivo. Quando criar o filtro, direcione os dispositivos OEM. Quando atribuir a aplicação e as políticas de configuração do BIOS, adicione este filtro.

Para obter informações sobre estas funcionalidades, aceda a:

Passo 3 – Criar a política de configuração do BIOS no Intune

É nesta política que adiciona o ficheiro de configuração que criou no Passo 1 com a ferramenta OEM.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Dispositivos gerenciados>Configuração>Criar>Nova política.

  3. Insira as seguintes propriedades:

    • Plataforma: selecione Windows 10 e posteriores.
    • Tipo de perfil: selecione Configuração do BIOS de Modelos>e outras definições.

  4. Selecionar Criar.

  5. Em Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Nomeie suas políticas para você identificá-las facilmente mais tarde. Por exemplo, um bom nome de perfil é palavra-passe de configuração do BIOS.
    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

    Selecione Avançar.

  6. Em Definições de configuração, defina as seguintes configurações:

    • Hardware: selecione o fornecedor OEM de hardware numa lista de OEMs suportados. Atualmente, apenas o Dell é suportado.

    • Desativar a proteção por palavra-passe do BIOS por dispositivo: esta definição gere a palavra-passe que protege a configuração do BIOS no dispositivo. Suas opções:

      • Não: Intune gera uma palavra-passe de dispositivo exclusiva para cada dispositivo. Para aceder e atualizar a configuração do BIOS no dispositivo, os utilizadores têm de introduzir esta palavra-passe.
      • Sim: não existe uma palavra-passe a proteger o BIOS. Todas as palavras-passe anteriores são removidas. Os utilizadores finais podem aceder ao BIOS e alterar as definições do BIOS no dispositivo.

    • Ficheiro de configuração: carregue o ficheiro de configuração gerado com a ferramenta OEM.

      Para a Dell, carregue o ficheiro Dell Client Configuration Tool Kit (.cctk). O limite de tamanho do ficheiro é de 2 MB.

    Selecione Avançar.

  7. Em Atribuições, selecione o novo grupo de dispositivos que criou. Este grupo recebe o seu perfil. Para obter informações sobre a atribuição de perfis, aceda a Atribuir perfis de utilizador e de dispositivo.

    Selecione Avançar.

  8. Em Rever + criar, reveja as suas definições e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de perfis.

Da próxima vez que cada dispositivo iniciar sessão, a política aplica-se.

Monitorizar a política com relatórios incorporados

No centro de administração do Intune, depois de criar uma política, pode monitorizar o respetivo status e ver quaisquer erros.

  1. No centro de administração do Intune, aceda ao separador Gerir Dispositivos>Políticas> deConfiguração> deDispositivos.
  2. Selecione a política que pretende monitorizar. O relatório status de Dispositivos mostra a status da política e mostra os detalhes do erro para a resolução de problemas.

Para obter mais informações, confira:

Obter as palavras-passe do BIOS

Intune armazena as palavras-passe do BIOS para cada dispositivo. Pode obter as palavras-passe do BIOS com o Microsoft Graph. Para testar as Graph APIs, pode utilizar o Microsoft Graph Explorer.

Importante

Certifique-se de que faz uma cópia de segurança de todas as palavras-passe fora do Intune. Se não fizer uma cópia de segurança das palavras-passe fora do Intune, tenha em atenção os seguintes cenários:

  • Se um dispositivo for removido da gestão de Intune, os administradores ainda podem ler palavras-passe do BIOS com a API Microsoft Graph hardwarePasswordInfo.
  • Se a subscrição Intune do seu inquilino terminar, não há forma de ler ou obter palavras-passe do BIOS. Nesta situação, a sua única opção é contactar o seu OEM.

Opção 1 – Ler a palavra-passe do BIOS um dispositivo de cada vez

Esta opção obtém as palavras-passe do BIOS, um dispositivo de cada vez.

  1. Crie uma função RBAC de Intune personalizada com a permissão Ler Palavra-passe do Bios:

    1. No mínimo, inicie sessão no centro de administração do Intune como membro da função de Intune incorporada Administrador de Funções Intune.

      Para obter informações sobre o Intune funções incorporadas, aceda a:

    2. SelecioneFunções> de administração> deinquilinos Criar uma nova função.

    3. Atribua um nome à sua função e selecione Seguinte.

    4. Em Permissões, expanda Dispositivos geridos> Defina Ler Palavra-passe de Bios como Sim.

    5. Selecione Próxima>Criação Seguinte>.

  2. Inicie sessão na sua ferramenta Graph com esta função RBAC personalizada e utilize a API Microsoft Graph hardwarePasswordInfo:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

Opção 2 – Ler a palavra-passe do BIOS de todos os dispositivos

Esta opção obtém uma lista de todas as palavras-passe do BIOS de todos os dispositivos.

  1. No mínimo, precisa da função de Administrador Intune no Microsoft Entra ID.

  2. Inicie sessão na sua ferramenta Graph com esta função e utilize o hardware do Microsoft GraphPasswordInfo API:

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

Para obter informações sobre as funções incorporadas, aceda a Microsoft Entra funções incorporadas.

Remover palavra-passe de configuração do BIOS

Se estiver a planear deixar de gerir o BIOS dos seus dispositivos ou remover dispositivos permanentemente do seu inquilino, tem de remover a palavra-passe do BIOS.

Para remover a palavra-passe do BIOS, na sua Intune política de configuração do BIOS, defina a definição Desativar proteção por palavra-passe do BIOS por dispositivo como Sim. Em seguida, atribua a política. Quando o dispositivo faz o check-in com Intune, aplica-se a política. No dispositivo, também pode sincronizar manualmente o dispositivo com Intune para aplicar a política.

Após a aplicação da política, reinicie o dispositivo.

Anular a inscrição do dispositivo do Intune não remove a palavra-passe do BIOS. Se anular a inscrição do dispositivo antes de desativar a palavra-passe, terá de atualizar a palavra-passe manualmente no dispositivo.

Configuração do BIOS vs. DFCI

Intune tem duas funcionalidades que podem gerir as definições do BIOS em dispositivos Windows: configuração do BIOS e outras definições e Interface de Configuração de Firmware do Dispositivo (DFCI).

A tabela seguinte compara estas opções.

Recurso Configuração do BIOS e outras definições DFCI
OEMs suportados Dell

Possivelmente mais no futuro		 Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic

Para obter mais informações, aceda a Cenários MICROSOFT DFCI.
Configurações suportadas Todas as configurações disponíveis na sua ferramenta OEM Um conjunto de definições para controlar as funcionalidades de segurança, algumas funcionalidades de hardware, opções de arranque, portas e muito mais
Como as definições são aplicadas Intune entrega o ficheiro de configuração quando a política é atribuída. O agente OEM no dispositivo aplica a configuração. Através do UEFI CSP com a camada DFCI, que está isolada do SO
Bloqueia o acesso ao menu BIOS Sim, através de palavras-passe do BIOS Sim, através de certificados
Configuração durante o Windows Autopilot Nas definições da Página de Estado de Inscrição (ESP), selecione a aplicação OEM Win32. Intune inscreve automaticamente o dispositivo no mgmt DFCI.
Relatórios Comunica se o ficheiro de configuração foi aplicado. Relatório granular para cada definição que configurar.
Tipo de política do Intune Dispositivos>Gerir dispositivos>Configuração>Modelos>Configuração do BIOS e outras definições Dispositivos>Gerir dispositivos>Configuração>Modelos>Interface de Configuração de Firmware do Dispositivo

Para obter informações sobre o DFCI, aceda a: