在 Microsoft Intune 中使用 Windows 设备上的 BIOS 配置文件

在 Intune 中,可以使用 BIOS 配置和其他设置 设备配置策略启用或禁用 BIOS 功能和设置。

使用 OEM 工具,可以创建用于配置 BIOS 功能的 BIOS 配置文件。 在设备上,安装读取配置的 OEM Win32 应用。 然后,在 Intune BIOS 策略中,添加 BIOS 配置文件,并将策略分配给设备。

配置文件通常包括保护设备和内置硬件的设置。

例如,你希望防止最终用户重置设备映像并退出 Intune 管理。 对于此任务,请创建禁用从 USB 启动的 BIOS 配置文件。 然后,将此文件添加到 Intune 策略并启用 BIOS 密码。 这些步骤可确保不会覆盖配置。

此功能适用于:

  • Windows 11
  • Windows 10
  • Dell 设备

本文包含有关配置文件和 Win32 应用的详细信息,并演示如何在 Intune 中创建 BIOS 配置和其他设置 策略。

警告

BIOS 配置更改可能会影响设备功能和可操作性,包括启动或访问 Bitlocker 加密驱动器的能力。 此功能允许 Intune 管理员轻松更新其设备上的 BIOS 配置。 进行更改时,分阶段进行测试和部署,以尽量减少任何意外配置的影响。

先决条件

  • 若要配置 Intune 策略,请至少使用 策略和配置文件管理员 角色登录到 Intune 管理中心。 有关 Intune 中的内置角色及其可执行的操作的信息,请转到:

  • 此功能支持在 Intune 中注册 MDM 的组织拥有的设备。 不支持未在 Intune 中注册的个人设备和设备。

  • 确保设备未配置现有的 BIOS 密码。 此功能要求 Intune 具有 BIOS 密码。 如果 Intune 没有设备的 BIOS 密码,则无法更新 BIOS 配置。

步骤 1 - 创建配置文件并部署应用

本部分重点介绍如何使用 OEM 工具创建配置文件,并将 OEM Win32 应用部署到设备。

  1. 使用 OEM 工具创建配置文件。 在 文件中,添加并配置要配置的功能。 可以添加 OEM 支持的任何配置设置。

    • 对于 Dell,可以使用 Dell 命令 (打开 Dell 网站) 工具创建 BIOS 配置文件。
  2. 创建配置文件时,OEM 提供了一个协调 Win32 应用。 将 OEM Win32 应用部署到设备。 此应用:

    • 充当读取创建的配置文件的代理,并读取设备的 BIOS 密码。
    • 分配 Intune BIOS 配置策略之前,必须在所有设备上安装。

    对于 Dell,可以下载 Dell 命令 (打开 Dell 网站) 应用。

    若要在设备上安装此应用,可以使用 Intune:

    • 将应用添加到 Intune 并使其成为所需的应用。
    • 将应用分配到在本文) 的下一步 (创建的组或分配筛选器。

    有关 Intune 中的 Win32 应用的信息,请转到 在 Intune Microsoft 中添加、分配和监视 Win32 应用

步骤 2 - 创建组或使用分配筛选器

建议将此策略集中在一组特定的设备上。 选项包括:

  • 选项 1 - 创建包含设备的组。 创建应用策略和 BIOS 配置策略时,会将策略分配给此组。
  • 选项 2 - 使用基于设备制造商的分配筛选器。 创建筛选器时,面向 OEM 设备。 分配应用和 BIOS 配置策略时,请添加此筛选器。

有关这些功能的信息,请转到:

步骤 3 - 在 Intune 中创建 BIOS 配置策略

可以使用 OEM 工具在此策略中添加在 步骤 1 中创建的配置文件。

  1. 登录到Microsoft Intune 管理中心

  2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

  3. 输入以下属性:

    • 平台:选择“Windows 10 及更高版本”。
    • 配置文件类型:选择 “模板>BIOS 配置和其他设置”。
  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为策略命名,以便稍后可以轻松地识别它们。 例如,一个好的配置文件名称是 BIOS 配置密码
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

    选择 下一步

  6. 在“配置设置”中,配置以下设置:

    • 硬件:从支持的 OEM 列表中选择硬件 OEM 供应商。 目前,仅支持 Dell。

    • 禁用每个设备的 BIOS 密码保护:此设置管理保护设备上的 BIOS 配置的密码。 选项包括:

      • :Intune 为每个设备生成唯一的设备密码。 若要访问和更新设备上的 BIOS 配置,用户必须输入此密码。
      • :没有密码保护 BIOS。 删除任何以前的密码。 最终用户可以访问 BIOS 并更改设备上的 BIOS 设置。
    • 配置文件:上传使用 OEM 工具生成的配置文件。

      对于 Dell,请 () .cctk 上传 Dell 客户端配置工具包文件。 文件大小限制为 2 MB。

    选择 下一步

  7. “分配”中,选择你创建的新设备组。 此组接收你的个人资料。 有关分配配置文件的信息,请转到 分配用户和设备配置文件

    选择 下一步

  8. “查看 + 创建”中,查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

下次每个设备签入时,将应用策略。

使用内置报表监视策略

在 Intune 管理中心,创建策略后,可以监视其状态并查看任何错误。

  1. Intune 管理中心中,转到 “设备>管理设备>配置>策略 ”选项卡。
  2. 选择要监视的策略。 设备状态报告显示策略的状态,并显示用于故障排除的任何错误详细信息。

有关详细信息,请转到:

检索 BIOS 密码

Intune 存储每个设备的 BIOS 密码。 可以使用 Microsoft Graph 获取 BIOS 密码。 若要测试 Graph API,可以使用 Microsoft Graph 资源管理器

重要

请确保备份 Intune 之外的所有密码。 如果不在 Intune 外部备份密码,请注意以下方案:

  • 如果从 Intune 管理中删除了设备,则管理员仍可以使用 Microsoft Graph hardwarePasswordInfo API 读取 BIOS 密码。
  • 如果租户的 Intune 订阅结束,则无法读取或检索 BIOS 密码。 在这种情况下,唯一的选择是联系 OEM。

选项 1 - 一次读取一台设备的 BIOS 密码

此选项一次获取一台设备的 BIOS 密码。

  1. 使用 “读取 Bios 密码” 权限创建自定义 Intune RBAC 角色:

    1. 至少以 Intune角色管理员内置 Intune 角色 的成员身份登录到 Intune 管理中心。

      有关 Intune 内置角色的信息,请转到:

    2. 选择“ 租户管理>角色”>“创建新角色”。

    3. 命名 角色,然后选择“ 下一步”。

    4. “权限”中,展开“ 托管设备> ”“将 ”读取 Bios 密码 “设置为 ”是”。

    5. 选择“ 下一步>”“下一步>创建”。

  2. 使用此自定义 RBAC 角色登录到 Graph 工具,并使用 Microsoft Graph hardwarePasswordInfo API

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

选项 2 - 读取所有设备的 BIOS 密码

此选项获取所有设备的所有 BIOS 密码的列表。

  1. 至少需要 Intune 管理员 角色Microsoft Entra ID。

  2. 使用此角色登录到 Graph 工具,并使用 Microsoft Graph hardwarePasswordInfo API

    • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

有关内置角色的信息,请转到 Microsoft Entra 内置角色

删除 BIOS 配置密码

如果计划停止管理设备的 BIOS 或从租户中永久删除设备,则必须删除 BIOS 密码。

若要删除 BIOS 密码,请在 Intune BIOS 配置策略中,将 “禁用每个设备的 BIOS 密码保护 ”设置为 “是”。 然后,分配策略。 当设备 使用 Intune 签入时,策略将应用。 在设备上,还可以手动将设备与 Intune 同步以应用策略。

应用策略后,重启设备。

从 Intune 取消注册设备不会删除 BIOS 密码。 如果在禁用密码之前取消注册设备,则需要在设备上手动更新密码。

BIOS 配置与 DFCI

Intune 有两项功能可以管理 Windows 设备上的 BIOS 设置:BIOS 配置和其他设置,以及设备固件配置接口 (DFCI)

下表对这些选项进行比较。

功能 BIOS 配置和其他设置 DFCI
支持的 OEM Dell

将来可能会更多
Surface、宏基、华硕、Dynabook、Fujitsu、Panasonic

有关详细信息,请转到 Microsoft DFCI 方案
支持的配置 OEM 工具中提供的任何配置 一组用于控制安全功能、某些硬件功能、启动选项、端口等的设置
如何应用设置 分配策略时,Intune 会传送配置文件。 设备上的 OEM 代理应用配置。 使用与 OS 隔离的 DFCI 层通过 UEFI CSP
阻止对 BIOS 菜单的访问 是,通过 BIOS 密码 是,通过证书
Windows Autopilot 期间的配置 在“注册状态”页 (ESP) 设置中,选择 OEM Win32 应用。 Intune 会自动在 DFCI mgmt 中注册设备。
报告 报告是否应用了配置文件。 配置的每个设置的精细报表。
Intune 策略类型 设备>管理设备>配置>模板>BIOS 配置和其他设置 设备>管理设备>配置>模板>设备固件配置接口

有关 DFCI 的信息,请转到: