Поделиться через


Управление DFCI на устройствах Surface

Введение

Благодаря профилям интерфейса конфигурации встроенного ПО устройства (DFCI), встроенным в Microsoft Intune, управление UEFI Surface расширяет современный стек управления до аппаратного уровня UEFI. DFCI поддерживает подготовку с нуля, устраняет пароли BIOS, обеспечивает управление параметрами безопасности, включая параметры загрузки и встроенные периферийные устройства, а также создает основу для сложных сценариев безопасности в будущем. На этой странице перечислены все параметры политики DFCI на подходящих устройствах Surface, развернутых Autopilot.

Разработанная для использования с управлением мобильными устройствами на уровне программного обеспечения (MDM), DFCI позволяет ИТ-администраторам удаленно отключать определенные компоненты оборудования и предотвращать доступ к ним конечным пользователям. Например, если вам нужно защитить конфиденциальную информацию в областях с высоким уровнем безопасности, вы можете отключить камеру, а если вы не хотите, чтобы пользователи загружались с USB-накопителей, это также можно отключить.

Совет

Поддержка некоторых параметров политики DFCI зависит от устройства. Просмотрите справочник по параметрам политики DFCI на этой странице и следуйте Intune инструкциям по настройке и развертыванию параметров на устройствах.

Предварительные условия

Примечание.

Устройствам, вручную или самостоятельно зарегистрированным для Autopilot, например импортированным из CSV-файла, запрещено использовать DFCI. Для управления DFCI требуется внешняя аттестация коммерческого приобретения устройства через партнера Microsoft CSP или регистрацию Surface.

Справочник по параметрам политики DFCI для устройств Surface

Соответствующие устройства

  • Surface Hub 3
  • Surface Hub 2S под управлением Комнаты Microsoft Teams в Windows
  • Surface Pro (11-е издание)(только коммерческие номера SKU)
  • Surface Pro 10 (только коммерческие номера SKU)
  • Surface Pro 10 с 5G (только коммерческие номера SKU)
  • Surface Pro 9 (только коммерческие номера SKU)
  • Surface Pro 9 с 5G (только коммерческие номера SKU)
  • Surface Pro 8 (только коммерческие номера SKU)
  • Surface Pro 7+ (только коммерческие номера SKU)
  • Surface Pro 7 (все номера SKU)
  • Surface Pro X (все номера SKU)
  • Surface Laptop Studio (все поколения, только коммерческие номера SKU)
  • Ноутбук Surface (7-е издание)(только коммерческие номера SKU)
  • Ноутбук Surface 6
  • Ноутбук Surface 5 (только коммерческие номера SKU)
  • Ноутбук Surface 4 (только коммерческие номера SKU)
  • Ноутбук Surface 3 (только для процессоров Intel)
  • Surface Laptop Go
  • Surface Laptop Go 2 (только коммерческие номера SKU)
  • Surface Laptop Go 3 (только коммерческие номера SKU)
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (только коммерческие номера SKU)
  • Surface Go 4 (только коммерческие номера SKU)
  • Surface Studio 2+

Примечание.

Surface Pro X не поддерживает управление параметрами DFCI для встроенной камеры, звука и Wi-Fi/Bluetooth. Некоторые новые параметры поддерживаются только на последних устройствах.

Таблица 1: Справочник по параметрам политики DFCI: устройства Surface, развернутые autopilot

Параметр DFCI Описание Где поддерживается
Доступ UEFI
Разрешить локальному пользователю изменять параметры UEFI (BIOS) Этот параметр позволяет управлять тем, могут ли конечные пользователи изменять параметры UEFI на соответствующих устройствах.

— Если выбран параметр Только не настроены, локальные пользователи (также называемые конечными пользователями) могут изменить любой параметр UEFI, кроме всех параметров, которые вы явно включили или отключили через Intune.
— При выборе параметра Нет локальные пользователи могут не изменять параметры UEFI, в том числе параметры, не отображаемые в профиле DFCI.
Все соответствующие устройства
Параметры безопасности
Одновременная многопоточность Этот параметр позволяет управлять включением одновременной поддержки многопоточности (SMT) на соответствующих устройствах. SMT поддерживает технологию Intel Hyper-Threading, которая предоставляет два логических процессора для каждого физического ядра.

— Если этот параметр включен, SMT включается на уровне UEFI.
— Если этот параметр отключен, SMT будет отключен на уровне UEFI.
— Если этот параметр не настроен, SMT будет включен.
Все соответствующие устройства
Камеры
Камеры Этот параметр позволяет управлять возможностью работы встроенной камеры на соответствующих устройствах.

— Если этот параметр включен, будут разрешены все встроенные камеры. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр отключен, все встроенные камеры будут отключены. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр не настроен, будут включены все встроенные камеры.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Передняя камера Этот параметр позволяет управлять возможностью работы передней камеры на соответствующих устройствах.

— Если этот параметр включен, передняя камера будет разрешена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр отключен, передняя камера будет отключена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр не настроен, включена передняя камера.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Задняя камера Этот параметр позволяет управлять возможностью работы задней камеры на соответствующих устройствах.

— Если этот параметр включен, задняя камера будет разрешена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр отключен, задняя камера будет отключена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр не настроен, разрешено использовать заднюю камеру.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
инфракрасная камера; Этот параметр позволяет управлять тем, может ли инфракрасная камера работать на соответствующих устройствах.

— Если этот параметр включен, инфракрасная камера будет разрешена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр отключен, инфракрасная камера будет отключена. Периферийные устройства, такие как USB-камеры, не затрагиваются.
— Если этот параметр не настроен, инфракрасная камера будет разрешена.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Микрофоны и динамики
Микрофоны и динамики Этот параметр позволяет управлять тем, может ли бортовая звуковая функция работать на соответствующих устройствах.

— Если этот параметр включен, будут разрешены все встроенные микрофоны и динамики. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр отключен, все встроенные микрофоны и динамики будут отключены. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр не настроен, микрофоны и динамики будут включены.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Микрофоны Этот параметр позволяет управлять тем, может ли встроенный микрофон работать на соответствующих устройствах. — Если этот параметр включен, будут включены все встроенные микрофоны. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр отключен, все встроенные микрофоны будут отключены. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр не настроен, микрофоны будут включены.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Радиомодули
Радио (Bluetooth, Wi-Fi, NFC и т. д.) Этот параметр позволяет управлять тем, может ли встроенная беспроводная сеть Bluetooth, Wi-Fi или 5G работать на соответствующих устройствах.

— Если этот параметр включен, будут разрешены все встроенные радиомодулы. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр отключен, все встроенные радиомодулы будут отключены. Периферийные устройства, например USB-устройства, не затрагиваются.
— Если этот параметр не настроен, будут включены все встроенные радиомодулы.

КОНЧИК: Настройте параметр категории Радиосвязи (Bluetooth, Wi-Fi, NFC и т. д.) или детализированные параметры Bluetooth, Wi-Fi. Если настроить все параметры, эти параметры могут вызвать конфликт. Дополнительные сведения см. в статье Общие сведения о профиле DFCI: Конфликты.

ОСТОРОЖНОСТЬ: Параметр Отключить следует использовать только на устройствах с проводным ethernet-подключением.
— не поддерживается в Surface Pro X.
— поддерживается на всех других подходящих устройствах.
Bluetooth Этот параметр позволяет управлять тем, может ли встроенный Bluetooth работать на соответствующих устройствах.

— Если этот параметр включен, включен Bluetooth.
— Если этот параметр отключен, Bluetooth отключен.
— Если вы не настроите этот параметр, bluetooth будет включен.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
WWAN Этот параметр позволяет управлять тем, может ли встроенная WWAN (беспроводная сеть 5G) работать на соответствующих устройствах.

— Если этот параметр включен, включена WWAN.
— Если этот параметр отключен, WWAN будет отключена.
— Если вы не настроите этот параметр, WWAN будет включена.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
Wi-Fi Этот параметр позволяет управлять возможностью работы встроенных Wi-Fi на соответствующих устройствах.

— Если этот параметр включен, Wi-Fi включен.
— Если этот параметр отключен, Wi-Fi отключен.
— Если этот параметр не настроен, Wi-Fi включен.
— не поддерживается в Surface Pro X.
— Поддерживается на Surface Pro 9 с 5G и всеми другими подходящими устройствами.
«Параметры загрузки»
Загрузка с внешнего носителя (USB, SD) Этот параметр позволяет управлять тем, можно ли загружать соответствующие устройства с внешнего носителя.

— Если этот параметр включен, пользователи смогут загружать устройство с USB-устройств флэш-памяти или с других технологий хранения, не относящихся к жестким дискам.
— Если этот параметр отключен, пользователи не смогут загрузить устройство с USB-устройств флэш-памяти или с других технологий хранения, не относящихся к жестким дискам.
— Если этот параметр не настроен, пользователи могут загружать устройство с USB-устройств флэш-памяти или с других технологий хранения, не относящихся к жесткому диску.
Все соответствующие устройства
Порты
ТИП USB A Этот параметр позволяет управлять тем, как устройства могут использовать подключения USB-A.

— Если этот параметр включен, подключения к данным USB-A могут работать на соответствующих устройствах.
— Если этот параметр отключен, подключения к данным USB-A не смогут работать на соответствующих устройствах.

— Если этот параметр не настроен, подключения к данным USB-A могут работать на всех устройствах.

ОСТОРОЖНОСТЬ: Если отключить загрузку с внешнего носителя и USB-тип A, а устройство станет неактивным по какой-либо причине, вы не сможете восстановить устройство без замены SSD. Вы не сможете загрузиться с внешнего носителя и выполнить загрузку PXE или обновление DFCI из сети.
Поддерживается только в Surface Laptop Go 2 и более поздних версиях (устройства, выпущенные после 1 июня 2022 г.).
Параметры пробуждения
Пробуждение по локальной сети Этот параметр позволяет управлять удаленным запуском подходящих устройств из режима "Современный режим ожидания" или "Гибернации".

— Если этот параметр включен, соответствующие устройства можно настроить для удаленного пробуждения по локальной сети.
— Если этот параметр отключен, соответствующие устройства не могут быть настроены для удаленного пробуждения по локальной сети.
— Если этот параметр не настроен, соответствующие устройства можно настроить для удаленного пробуждения по локальной сети.
Поддерживается только в Surface Laptop Go 2 и более поздних версиях (устройства, выпущенные после 1 июня 2022 г.).
Wake-on-Power Этот параметр позволяет управлять тем, могут ли соответствующие устройства автоматически запускаться из состояния гибернации или выключения при подключении к сети.

— Если этот параметр включен, можно настроить автоматический запуск устройств Surface при подключении к энергопотреблению.
— Если этот параметр отключен, соответствующие устройства Surface не могут быть настроены для автоматического запуска при подключении к энергопотреблению.
— Если этот параметр не настроен, соответствующие устройства Surface не могут быть настроены для автоматического запуска при повторном подключении к электропитанию.
Поддерживается только в Surface Laptop Go 2 и более поздних версиях (устройства, выпущенные после 1 июня 2022 г.).

Примечание.

DFCI в Intune включает параметры, которые в настоящее время не применяются к устройствам Surface: виртуализация ЦП и операций ввода-вывода, отключение загрузки из сетевых адаптеров, двоичная таблица платформы Windows (WPBT), NFC и SD карта.

Get started

  1. Войдите в клиент на intune.microsoft.com.

  2. В Центре администрирования Microsoft Intune выберите Устройства > Профили > конфигурации Создать профиль.

  3. В разделе Платформа выберите Windows 10 и более поздних версий.

  4. В разделе Тип профиля выберите Шаблоны>Интерфейс конфигурации встроенного ПО устройства , а затем щелкните Создать.

    Начало создания профиля DFCI

  5. Полные инструкции см. в статье Использование профилей DFCI на устройствах Windows в Microsoft Intune.

    • Создание групп безопасности Microsoft Entra
    • Создание профилей
    • Назначение профилей и перезагрузка
    • Обновление существующих параметров DFCI
    • Повторное использование, снятие с учета или восстановление устройства

Запретить пользователям изменять параметры UEFI

Для многих клиентов возможность запретить пользователям изменять параметры UEFI является критически важной и основной причиной использования DFCI. Как указано выше в таблице 1, эта функция управляется с помощью параметра Разрешить локальному пользователю изменять параметры UEFI. Если этот параметр не изменить или не настроить, локальный пользователь может изменить любой параметр UEFI, не управляемый Intune. Поэтому настоятельно рекомендуется задать параметр Разрешить локальному пользователю изменять параметры UEFI на Нет.

Блокировка доступа пользователей для изменения параметров UEFI

Проверка параметров UEFI на устройствах, управляемых DFCI

В тестовой среде можно проверить параметры в интерфейсе UEFI Surface.

  1. Откройте UEFI Surface:

    • Нажмите и удерживайте кнопку увеличения громкости на устройстве Surface, а затем нажмите и отпустите кнопку питания .
    • Когда вы увидите логотип Surface, отпустите кнопку увеличения громкости. Меню UEFI отобразится в течение нескольких секунд.
  2. Выберите Устройства. В меню UEFI будут отображаться настроенные параметры, как показано на следующем рисунке.

    Surface UEFI.

    Примечание.

    • Параметры неактивны(неактивны), так как параметр Разрешить локальному пользователю изменять UEFI имеет значение Нет.
    • Встроенный звук отключен, так как для политики Микрофоны и динамикизадано значение Отключено.

Удаление параметров политики DFCI

При создании профиля DFCI все настроенные параметры останутся в силе на всех устройствах в область управления профиля. Вы можете удалить параметры политики DFCI, только изменив профиль DFCI напрямую. Если исходный профиль DFCI был удален, создайте новый профиль и измените соответствующие параметры.

Удаление управления DFCI

Чтобы удалить управление DFCI и вернуть устройство в новое состояние фабрики, выполните приведенные ниже действия.

  1. Выведите устройство из Intune:
    1. В Microsoft Intune в intune.microsoft.com выберите Устройства>Все устройства.
    2. Выберите устройство, которое вы хотите снять с учета, а затем нажмите кнопку Снять с учета или очистить. Дополнительные сведения см. в статье Удаление устройств с помощью очистки, снятия с учета или отмены регистрации устройства вручную.
  2. Удалите регистрацию Autopilot из Intune:
    1. Выберите Регистрация устройств > Устройства регистрации > Windows.
    2. В разделе Устройства Windows Autopilot выберите устройства, которые нужно удалить, а затем нажмите кнопку Удалить.
  3. Подключите устройство к проводной сети Интернет с помощью адаптера Ethernet с фирменной символикой Surface. Перезапустите устройство и откройте меню UEFI (нажмите и удерживайте кнопку увеличения громкости, а также нажмите и отпустите кнопку питания).
  4. Выберите Управление > Настроить > обновление из сети, а затем выберите Отказаться.

Чтобы управлять устройством с помощью Intune, но без управления DFCI, самостоятельно зарегистрируйте его в Autopilot и зарегистрируйте в Intune. DFCI не будет применяться к саморегистрироваться устройствам.

Подробнее