设备固件配置接口 (DFCI) 管理
使用Windows Autopilot Deployment和Intune,可以在注册设备后管理统一可扩展固件接口 (UEFI) 设置。 可以使用设备固件配置接口 (DFCI) 管理 UEFI 设置。 DFCI 使 Windows 能够将管理命令从 Intune 传递到 Autopilot 部署设备的 UEFI。 此功能允许限制最终用户对 BIOS 设置的控制。 例如,可以锁定启动选项,以防止用户启动另一个 OS,例如不具有相同安全功能的 OS。
如果用户重新安装以前的 Windows 版本、安装单独的 OS 或格式化硬盘驱动器,则无法替代 DFCI 管理。 此功能还可以阻止恶意软件与 OS 进程(包括提升的 OS 进程)通信。 DFCI 的信任链使用公钥加密,不依赖于本地 UEFI 密码安全性。 此安全层阻止本地用户访问设备的 UEFI 菜单中的托管设置。
有关 DFCI 优势、方案和要求的概述,请参阅 设备固件配置接口 (DFCI) 简介。
重要
发生以下操作时,设备会在 Autopilot 预配期间自动注册 DFCI 管理:
- OEM 为设备启用 DFCI。
- 设备通过 OEM 或云解决方案合作伙伴在合作伙伴中心 (CSP) 注册 Autopilot。
在 DFCI 管理中注册,在 OOBE) 的现装体验期间, (会触发额外的重启。
DFCI 管理生命周期
DFCI 管理生命周期包括以下过程:
- UEFI 集成。
- 设备注册。
- 配置文件创建。
- 招生。
- 管理。
- 退休。
- 恢复。
请参阅下图:
要求
- 需要当前支持的 Windows 版本和支持的 UEFI。
- 设备制造商必须在制造过程中将 DFCI 添加到其 UEFI 固件,或将其添加为可以安装的固件更新。 与设备供应商合作,确定 支持 DFCI 的制造商,或使用 DFCI 所需的固件版本。
- 必须使用Microsoft Intune管理设备。 有关详细信息,请参阅使用 Windows Autopilot 在 Intune 中注册 Windows 设备。
- 设备必须由 Microsoft 云解决方案提供商 (CSP) 合作伙伴注册为 Windows Autopilot,或由 OEM 直接注册。 对于 Surface 设备,Microsoft 设备 Autopilot 支持中提供了Microsoft注册支持。
重要
手动注册 Autopilot ((例如 ,通过从 CSV 文件导入) )的设备不允许使用 DFCI。 DFCI 管理默认需要通过 OEM 或 Microsoft CSP 合作伙伴注册 Windows Autopilot 来对设备的商业采购进行外部认证。 注册设备后,其序列号将显示在 Windows Autopilot 设备列表中。
使用 Windows Autopilot 管理 DFCI 配置文件
使用 Windows Autopilot 管理 DFCI 配置文件有四个基本步骤:
- 创建 Autopilot 配置文件
- 创建注册状态页配置文件
- 创建 DFCI 配置文件
- 分配配置文件
有关详细信息 ,请参阅创建配置文件 和 分配配置文件并重新启动 。
也可以在正在使用的设备上更改现有的 DFCI 设置 。 在现有 DFCI 配置文件中,更改设置并保存更改。 由于已分配配置文件,因此新的 DFCI 设置将在下次设备同步或设备重新启动时生效。
若要确定设备是否为 DFCI 就绪,可以使用以下Intune 图形 API调用:
managedDevice/deviceFirmwareConfigurationInterfaceManaged
有关详细信息,请参阅Intune设备和应用 API 概述和在 Microsoft Graph 中使用Intune。
支持 DFCI 的 OEM
- 槭属。
- 华硕。
- Dynabook。
- 富士通。
- Microsoft Surface。
- 松下。
- VAIO。
- 三星。
其他 OEM 正在挂起。
已知问题
Windows 11专业版版本 24H2 的 DFCI 注册失败
加入日期: 2024 年 10 月 9 日
DFCI 当前不能在专业版 Windows 11 版本 24H2 的设备上使用。 正在调查此问题。 解决方法是,确保设备在 OOBE 载入期间或之后升级到 Windows 11 企业版版本 24H2。 升级到 Windows 11 Enterprise 版本 24H2 后,同步设备。 同步设备后,重启设备,使其在 DFCI 中注册。