在 Surface 设备上管理 DFCI
简介
借助设备固件配置接口 (DFCI) 配置文件内置 于 Microsoft Intune 中,Surface UEFI 管理将新式管理堆栈扩展到统一可扩展固件接口 (UEFI) 硬件级别。 DFCI 支持零接触预配,消除 BIOS 密码,提供对安全设置(包括启动选项和内置外设)的控制,并为将来的高级安全方案奠定了基础。 本页列出了符合条件的 Autopilot 部署 Surface 设备上的 所有 DFCI 策略设置 。
DFCI 设计用于软件级移动设备管理 (MDM) ,使 IT 管理员能够远程禁用特定硬件组件并阻止最终用户访问它们。 例如,如果需要保护高度安全区域中的敏感信息,可以禁用相机,如果不希望用户从 U 盘启动,也可以禁用它。
提示
对某些 DFCI 策略设置的支持因设备而异。 查看此页上的 DFCI 策略设置参考 ,并按照 Intune 说明 配置设置并将其部署到设备。
必备条件
- 2018 年 11 月发布的 Windows 11 或 Windows 10 版本 1809 ()
- 设备必须通过以下方法之一注册到 Windows Autopilot:
注意
不允许手动或自注册 Autopilot 的设备(例如从 CSV 文件导入)使用 DFCI。 根据设计,DFCI 管理需要通过Microsoft CSP 合作伙伴或 Surface 注册对设备的商业购置进行外部证明。
Surface 设备的 DFCI 策略设置参考
符合条件的设备
- Surface Hub 3
- Surface Pro 10
- Surface Pro 9 仅 (商业 SKU)
- 5G (商业 SKU 的 Surface Pro 9 仅)
- Surface Pro 8 仅 (商业 SKU)
- Surface Pro 7+ (商业 SKU 仅)
- Surface Pro 7 (所有 SKU)
- Surface Pro X (所有 SKU)
- Surface Laptop Studio (所有代,商业 SKU 仅)
- Surface Laptop 6
- Surface Laptop 5 (商业 SKU 仅)
- Surface Laptop 4 (商业 SKU 仅)
- Surface Laptop 3 (Intel 处理器仅)
- Surface Laptop Go
- Surface Laptop Go 2 (商业 SKU 仅)
- Surface Laptop Go 3 (商业 SKU 仅)
- Surface Laptop SE
- Surface Book 3
- Surface Go 3 (商业 SKU 仅)
- Surface Go 4 (商业 SKU 仅)
- Surface Studio 2+
注意
Surface Pro X 不支持内置相机、音频和 Wi-Fi/蓝牙的 DFCI 设置管理。 某些较新的设置仅在最新设备上受支持。
表 1. DFCI 策略设置参考:Autopilot 部署的 Surface 设备
| DFCI 设置 | 描述 | 支持的版本 |
|---|---|---|
| UEFI 访问 | ||
| 允许本地用户更改 UEFI (BIOS) 设置 | 此设置允许你管理最终用户是否可以在符合条件的设备上修改 UEFI 设置。 - 如果选择“ 仅未配置设置”, 本地用户 (也称为最终用户) 可能会更改任何 UEFI 设置 ,但 已通过 Intune 显式启用或禁用的任何设置除外。 - 如果选择“ 无”,则本地用户可能不会更改 UEFI 设置,包括 DFCI 配置文件中未显示的设置。 |
所有符合条件的设备 |
| 安全设置 | ||
| 同时进行多线程处理 | 通过此设置,可以管理是否在符合条件的设备上同时启用多线程 (SMT) 支持。 SMT 支持 Intel 超线程技术,该技术为每个物理核心提供两个逻辑处理器。 - 如果启用此设置,则会在 UEFI 层中打开 SMT。 - 如果禁用此设置,则 SMT 在 UEFI 层中处于关闭状态。 - 如果未配置此设置,则启用 SMT。 |
所有符合条件的设备 |
| 相机 | ||
| 相机 | 此设置允许你管理内置相机是否可以在符合条件的设备上运行。 - 如果启用此设置,则允许所有内置相机。 外围设备(如 USB 相机)不受影响。 - 如果禁用此设置,则会禁用所有内置相机。 外围设备(如 USB 相机)不受影响。 - 如果未配置此设置,则会启用所有内置相机。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 前置摄像头 | 此设置允许你管理前置摄像头是否可以在符合条件的设备上运行。 - 如果启用此设置,则允许前置摄像头。 外围设备(如 USB 相机)不受影响。 - 如果禁用此设置,则禁用前置摄像头。 外围设备(如 USB 相机)不受影响。 - 如果未配置此设置,则会启用前置摄像头。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 后置摄像头 | 此设置允许你管理后置摄像头是否可以在符合条件的设备上运行。 - 如果启用此设置,则允许后置摄像头。 外围设备(如 USB 相机)不受影响。 - 如果禁用此设置,则禁用后置摄像头。 外围设备(如 USB 相机)不受影响。 - 如果未配置此设置,则允许后置摄像头。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 红外 (IR) 相机 | 此设置允许你管理红外相机是否可以在符合条件的设备上运行。 - 如果启用此设置,则允许使用红外相机。 外围设备(如 USB 相机)不受影响。 - 如果禁用此设置,则禁用红外相机。 外围设备(如 USB 相机)不受影响。 - 如果未配置此设置,则允许使用红外相机。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 麦克风和扬声器 | ||
| 麦克风和扬声器 | 此设置允许你管理板载音频是否可以在符合条件的设备上运行。 - 如果启用此设置,则允许所有内置麦克风和扬声器。 外围设备(如 USB 设备)不受影响。 - 如果禁用此设置,则会禁用所有内置麦克风和扬声器。 外围设备(如 USB 设备)不受影响。 - 如果未配置此设置,则会启用麦克风和扬声器。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 麦克风 | 此设置允许你管理内置麦克风是否可以在符合条件的设备上工作。 - 如果启用此设置,则会启用所有内置麦克风。 外围设备(如 USB 设备)不受影响。 - 如果禁用此设置,则会禁用所有内置麦克风。 外围设备(如 USB 设备)不受影响。 - 如果未配置此设置,则会启用麦克风。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| 无线电收发器 | ||
| 无线电 (蓝牙、Wi-Fi、NFC 等 ) | 通过此设置,可以管理内置蓝牙、Wi-Fi 或 5G 无线是否可在符合条件的设备上运行。 - 如果启用此设置,则允许所有内置无线电。 外围设备(如 USB 设备)不受影响。 - 如果禁用此设置,则会禁用所有内置无线电。 外围设备(如 USB 设备)不受影响。 - 如果未配置此设置,则会启用所有内置无线电。 提示: 配置“ 无线电” (蓝牙、Wi-Fi、NFC 等 ) 或粒度设置 蓝牙、Wi-Fi 的类别设置。 如果配置所有设置,这些设置可能会导致冲突。 有关详细信息,请转到 DFCI 配置文件概述:冲突。 谨慎: “ 禁用” 设置应仅在具有有线以太网连接的设备上使用。 |
- Surface Pro X 不支持。 - 在所有其他符合条件的设备上受支持。 |
| 蓝牙 | 此设置允许你管理内置蓝牙是否可以在符合条件的设备上运行。 - 如果启用此设置,则会启用蓝牙。 - 如果禁用此设置,则禁用蓝牙。 - 如果未配置此设置,则启用蓝牙。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| WWAN | 通过此设置,可以管理内置 WWAN (5G 无线) 是否可以在符合条件的设备上运行 - 如果启用此设置,则启用 WWAN。 - 如果禁用此设置,则禁用 WWAN。 - 如果未配置此设置,则启用 WWAN。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| Wlan | 此设置允许你管理内置 Wi-Fi 是否可以在符合条件的设备上运行 - 如果启用此设置,则启用 Wi-Fi。 - 如果禁用此设置,则禁用 Wi-Fi。 - 如果未配置此设置,则启用 Wi-Fi。 |
- Surface Pro X 不支持。 - 支持 5G 和所有其他符合条件的设备的 Surface Pro 9。 |
| “启动选项” | ||
| 从外部媒体 (USB、SD) 启动 | 此设置允许你管理是否可以从外部媒体启动符合条件的设备。 - 如果启用此设置,最终用户可以从 USB 闪存驱动器或其他非硬盘驱动器存储技术启动设备。 - 如果禁用此设置,最终用户无法从 USB 闪存驱动器或其他非硬盘驱动器存储技术启动设备。 - 如果未配置此设置,最终用户可以从 USB 闪存驱动器或其他非硬盘驱动器存储技术启动设备。 |
所有符合条件的设备 |
| 端口 | ||
| USB 类型 A | 此设置允许你管理设备如何利用 USB-A 连接。 - 如果启用此设置,USB-A 数据连接可以在符合条件的设备上正常运行。 - 如果禁用此设置,USB-A 数据连接无法在符合条件的设备上运行。 - 如果未配置此设置,USB-A 数据连接可在所有设备上正常运行。 谨慎: 如果同时禁用 从外部媒体 启动和 USB 类型 A,并且设备因任何原因而无法启动,则如果不更换 SSD,将无法恢复设备。 无法从外部媒体启动,也无法从网络执行 PXE 启动或 DFCI 刷新。 |
仅在 2022 年 6 月 1 日) 之后发布的 Surface Laptop Go 2 及更高版本 (设备上受支持。 |
| 唤醒设置 | ||
| LAN 唤醒 | 此设置允许你管理是否可以从新式待机或休眠远程启动符合条件的设备。 - 如果启用此设置,可以将符合条件的设备配置为远程 LAN 唤醒。 - 如果禁用此设置,则无法将符合条件的设备配置为在 LAN 上远程唤醒。 - 如果未配置此设置,可以将符合条件的设备配置为在 LAN 上远程唤醒。 |
仅在 2022 年 6 月 1 日) 之后发布的 Surface Laptop Go 2 及更高版本 (设备上受支持。 |
| 电源唤醒 | 通过此设置,可以管理是否可在连接到电源时从休眠状态或关闭状态自动启动符合条件的设备。 - 如果启用此设置,可以将符合条件的 Surface 设备配置为在连接到电源时自动启动 - 如果禁用此设置,则无法将符合条件的 Surface 设备配置为在连接到电源时自动启动。 - 如果未配置此设置,则无法将符合条件的 Surface 设备配置为在重新连接到电源时自动启动。 |
仅在 2022 年 6 月 1 日) 之后发布的 Surface Laptop Go 2 及更高版本 (设备上受支持。 |
注意
Intune 中的 DFCI 包括当前不适用于 Surface 设备的设置:CPU 和 IO 虚拟化、禁用从网络适配器启动、Windows 平台二进制表 (WPBT) 、NFC 和 SD 卡。
入门
在 endpoint.microsoft.com 登录到租户。
在 Intune 管理中心Microsoft,选择“ 设备 > 配置文件 > ”“创建配置文件”。
在“平台”下,选择“ Windows 10 及更高版本”。
在“配置文件类型”下,选择“ 模板>设备固件配置接口 ”,然后选择“ 创建”。
有关完整说明,请参阅 在 Microsoft Intune 中使用 Windows 设备上的 DFCI 配置文件 ,包括:
- 创建Microsoft Entra 安全组
- 创建配置文件
- 分配配置文件并重新启动
- 更新现有 DFCI 设置
- 重复使用、停用或恢复设备
阻止用户更改 UEFI 设置
对于许多客户来说,阻止用户更改 UEFI 设置的功能至关重要,也是使用 DFCI 的主要原因。 如上面表 1 中所列,此功能通过 “允许本地用户更改 UEFI 设置”设置进行管理。 如果不编辑或配置此设置,本地用户可以更改不受 Intune 管理的任何 UEFI 设置。 因此,强烈建议将“允许本地用户将 UEFI 设置”设置为“无”。
验证 DFCI 托管设备上的 UEFI 设置
在测试环境中,可以验证 Surface UEFI 接口中的设置。
打开 Surface UEFI:
- 长按 Surface 上的 调高音量按钮 ,同时按下并松开 电源 按钮。
- 看到 Surface 徽标时,松开调高音量按钮。 UEFI 菜单将在几秒钟内显示。
选择“ 设备”。 UEFI 菜单将反映配置的设置,如下图所示。
注意
- 这些设置 (处于非活动状态) 灰显,因为 “允许本地用户更改 UEFI”设置 设置为 “无”。
- 板载音频设置为关闭,因为 “麦克风和扬声器” 策略设置为 “禁用”。
删除 DFCI 策略设置
创建 DFCI 配置文件时,所有配置的设置将在配置文件管理范围内的所有设备上保持有效。 只能通过直接编辑 DFCI 配置文件来删除 DFCI 策略设置。 如果删除了原始 DFCI 配置文件,请创建新的配置文件并编辑相应的设置。
删除 DFCI 管理
若要删除 DFCI 管理并将设备返回到工厂新状态,请执行以下操作:
- 从 Intune 停用设备:
- 在 endpoint.microsoft.com 的 Endpoint Manager 中,选择 “设备>”“所有设备”。
- 选择要停用的设备,然后选择 “停用/擦除”。 若要了解详细信息,请参阅 使用擦除、停用或手动取消注册设备来删除设备。
- 从 Intune 中删除 Autopilot 注册:
- 选择 “设备注册 > ”“Windows 注册 > 设备”。
- 在“Windows Autopilot 设备”下,选择要删除的设备,然后选择“ 删除”。
- 使用 Surface 品牌以太网适配器将设备连接到有线 Internet。 重启设备并打开 UEFI 菜单 (按住调高音量按钮,同时按下并释放电源按钮) 。
- 选择“ 管理 > ”“配置 > 从网络刷新”,然后选择 “选择退出”。
若要使用 Intune 管理设备,但不进行 DFCI 管理,请将其自行注册到 Autopilot 并在 Intune 中注册。 DFCI 不会应用于自注册的设备。