Microsoft Intune 中的裝置韌體組態介面 (DFCI) 配置檔設定

本文列出並說明您可以在 Windows 用戶端裝置上控制的 DFCI 設定檔設定。 作為行動裝置管理 (MDM) 解決方案的一部分，請使用這些設定來控制 Windows 上 UEFI 層中的安全性功能、內建硬體和開機選項。

這些設定適用於：

• 支援的 UEFI 上的 Windows 11
• 支援的 UEFI 上的 Windows 10 RS5 (1809) 及更新版本

這些設定會新增至 Intune 中的裝置組態配置檔，然後指派或部署到您的 Windows 用戶端裝置。

開始之前

• 建立 Windows DFCI 配置檔。 建立 DFCI 配置檔還有更多需求。 如需更具體的資訊，請移至在 Microsoft Intune 中的 Windows 裝置上使用 DFCI 配置檔。
• 某些設定不適用於所有裝置。 若要確認裝置上是否有設定可用，請連絡您的裝置製造商。
• 這些設定會使用 UEFI CSP。

警告

小心。 設定和指派 DFCI 配置檔可以鎖定裝置，而無法修復。 DFCI 設定檔設定會變更裝置硬體，而且無法透過重新製作OS映像來修正。

UEFI 存取

• 允許本機使用者變更 UEFI 設定：您的選項：
  • 僅限未設定的設定：本機使用者可以變更任何設定，但那些明確設定為 [啟用] 或 [由 Intune 停用] 的設定除外。
  • 無：本機使用者無法變更任何 UEFI (BIOS) 設定，包括 DFCI 配置檔中未顯示的設定。

安全性功能

• CPU 和 IO 虛擬化：您的選項：

  • 未設定：Intune 不會變更或更新此設定。
  • 已啟用：BIOS 可讓平臺的CPU和IO虛擬化功能供OS使用。 它會開啟 Windows 虛擬化型安全性和 Device Guard 技術。

• Windows 平臺二進位數據表 (WPBT) ：WPBT 可讓廠商和 OEM 在 UEFI 層中執行 .exe 程式。 每次 Windows 開機時，它會查看 UEFI，並執行 .exe。 使用此功能來執行 Windows 媒體未隨附的程式。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會允許廠商和 OEM 使用 WPBT 執行程式。
  • 已啟用：啟用 WPBT，並允許 .exe 執行 UEFI 層中的程式。
  • 已停用：停用 WPBT，並防止 .exe UEFI 層中的程式執行。

• 同時多線程 (SMT) ：也稱為超線程。 選項包括：

  • 未設定：Intune 不會變更或更新此設定。
  • 已啟用：在 UEFI 層中啟用 SMT。
  • 停用：停用 UEFI 層中的 SMT。

相機

• 相機：此設定可管理裝置內建的所有硬體相機。 它不會管理鏈接的周邊，例如USB Webcam。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建相機。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建相機。 USB 相機等周邊設備不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建相機。 USB 相機等周邊設備不會受到影響。

• 前端相機：此設定可管理 UEFI (BIOS) 所管理的內建前方可見光線相機。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的前方可見光線相機。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建前置可見光線相機。 USB 相機等周邊設備不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建前置可見光線相機。 USB 相機等周邊設備不會受到影響。

• 後方相機：此設定可管理 UEFI (BIOS) 所管理的內建後方可見光線相機。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的後方相機。
  • 已啟用：啟用由 UEFI 直接管理的所有內建後方可見光線相機 (BIOS) 。 USB 相機等周邊設備不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建後方可見光線相機。 USB 相機等周邊設備不會受到影響。

• 紅外線 (IR) 相機：此設定可管理 UEFI (BIOS) 所管理的內建紅外線相機。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的紅外線相機。
  • 已啟用：已啟用由 UEFI (BIOS) 直接管理的所有內建紅外線相機。 USB 相機等周邊設備不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建紅外線相機。 USB 相機等周邊設備不會受到影響。

麥克風和喇叭

建議您設定麥克風和喇叭類別設定或麥克風細微設定。 如果您設定所有設定，則這些設定可能會導致衝突。 如需詳細資訊，請移至 DFCI 配置檔概觀：衝突。

• 麥克風和喇叭：此設定可管理裝置內建的所有麥克風和喇叭。 它不會管理連結的周邊，例如USB裝置。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的麥克風和喇叭。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建麥克風和喇叭。 USB 裝置等周邊裝置不會受到影響。

• 麥克風：此設定會管理 UEFI (BIOS) 所管理的內建麥克風。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建麥克風。
  • 已啟用：已啟用由 UEFI (BIOS) 直接管理的所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建麥克風。 USB 裝置等周邊裝置不會受到影響。

收音機

建議您設定藍牙、Wi-Fi、NFC 等 (無線電 ) 類別設定或藍牙、Wi-Fi 等細微設定。 如果您設定所有設定，這些設定可能會導致衝突。 如需詳細資訊，請移至 DFCI 配置檔概觀：衝突。

• 藍牙、Wi-Fi、NFC 等 (無線電 ) ：此設定會管理 UEFI (BIOS) 管理的所有內建無線電。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用所有內建無線電。

  • 已啟用：已啟用由 UEFI (BIOS) 直接管理的所有內建無線電。 USB 裝置等周邊裝置不會受到影響。

  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建無線電。 USB 裝置等周邊裝置不會受到影響。

    當設定為 [ 已停用] 時，裝置需要有線網路連線。 否則，裝置可能無法管理。

• 藍牙：此設定會管理 UEFI (BIOS) 所管理的內建藍牙無線電。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建藍牙無線電。
  • 已啟用：已啟用由 UEFI 直接管理的所有內建藍牙無線電 (BIOS) 。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：所有由 UEFI 直接管理的內建藍牙無線電 (BIOS) 都會停用。 USB 裝置等周邊裝置不會受到影響。

• WWAN：此設定會管理 UEFI (BIOS) 所管理的內建 WWAN 無線電。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建 WWAN 無線電。
  • 已啟用：已啟用由 UEFI (BIOS) 直接管理的所有內建 WWAN 無線電。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建 WWAN 無線電。 USB 裝置等周邊裝置不會受到影響。

• NFC：此設定會管理由 UEFI 管理的內建 NFC 無線電 (BIOS) 。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建 NFC 無線電。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建 NFC 無線電。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建 NFC 無線電。 USB 裝置等周邊裝置不會受到影響。

• Wi-Fi：此設定會管理 UEFI (BIOS) 所管理的內建 Wi-Fi 無線電。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建 Wi-Fi 無線電。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建 Wi-Fi 無線電。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建 Wi-Fi 無線電。 USB 裝置等周邊裝置不會受到影響。

開機選項

警告

停用所有外部開機選項或所有外部埠會大幅使 OS 復原變得複雜。 若要復原無法再開機 Windows 的裝置，您可能必須實際開啟裝置並取代硬體記憶體。

• 從外部媒體開機 (USB，SD) ：您的選項：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會允許從外部媒體開機。

  • 已啟用：UEFI (BIOS) 允許從非硬碟記憶體開機。

  • 停用：UEFI (BIOS) 防止從非硬碟記憶體開機，這也會停用從網路適配器開機。

    當設定為 [ 已停用] 時，請勿將 [ 從網络適配器開機 ] 設定設為 [ 已啟用]。 這會導致 從外部媒體開機 (USB、SD) 設定或 從網路適配器 開機設定變成不符合規範。

• 從網路配接器開機：您的選項：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會允許從內建網路適配器開機。
  • 已啟用：UEFI (BIOS) 允許從內建網路介面開機。
  • 已停用：UEFI (BIOS) 防止開機內建網路介面。

連接埠

警告

停用所有外部開機選項或所有外部埠會大幅使 OS 復原變得複雜。 若要復原無法再開機 Windows 的裝置，您可能必須實際開啟裝置並取代硬體記憶體。

• USB 類型 A：此設定會管理 UEFI (BIOS) 所管理的內建 USB 類型 A 連接埠。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的 USB 類型 A 連接埠。
  • 已啟用：啟用 UEFI 直接管理的所有內建 USB 類型 A 埠 (BIOS) 。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：所有由 UEFI 直接管理的內建 USB 類型 A 埠 (BIOS) 都會停用。 USB 裝置等周邊裝置不會受到影響。

• SD 記憶卡：此設定會管理 UEFI (BIOS) 所管理的內建 SD 記憶卡埠。 它不會管理連結的周邊。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會啟用內建的 SD 記憶卡埠。
  • 已啟用：已啟用 UEFI (BIOS) 直接管理的所有內建 SD 記憶卡埠。 USB 裝置等周邊裝置不會受到影響。
  • 已停用：已停用由 UEFI (BIOS) 直接管理的所有內建 SD 記憶卡埠。 USB 裝置等周邊裝置不會受到影響。

喚醒設定

• 網路喚醒：網路喚醒可讓網路管理員使用 LAN 從遠端喚醒處於睡眠模式的裝置。

  選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會防止使用 LAN 喚醒裝置。
  • 已啟用：UEFI (BIOS) 允許使用 LAN 喚醒裝置。
  • 已停用：UEFI (BIOS) 防止使用 LAN 喚醒裝置。

• 電源喚醒：當裝置連線到電源時，此設定會管理符合資格的裝置是否可以從休眠或關閉電源狀態自動啟動。 選項包括：

  • 未設定：Intune 不會變更或更新此設定。 根據預設，OS 可能會在裝置連線到電源時，防止其喚醒。
  • 已啟用：UEFI (BIOS) 允許在裝置連線到電源時叫用裝置。
  • 已停用：UEFI (BIOS) 防止在裝置連線到電源時喚醒裝置。

相關文章

• 如需每個設定以及支援哪些 Windows 版本的其他技術詳細數據，請移至 Windows 10/11 原則 CSP 參考。

• 在 Microsoft Intune 的 Windows 裝置上使用 DFCI 配置檔。

• 指派配置檔，並 監視其狀態。