Использование профилей конфигурации BIOS на устройствах Windows в Microsoft Intune
В Intune можно использовать политику конфигурации BIOS и других параметров конфигурации устройства, чтобы включить или отключить функции и параметры BIOS.
С помощью средства OEM вы создаете файл конфигурации BIOS, который настраивает функции BIOS. На устройствах устанавливается приложение OEM Win32, которое считывает конфигурацию. Затем в политике BIOS Intune добавьте файл конфигурации BIOS и назначите политику своим устройствам.
Файл конфигурации обычно содержит параметры, которые защищают устройство и его встроенное оборудование.
Например, вы хотите запретить конечным пользователям повторно создавать образы устройства и выходить из управления Intune. Для этой задачи вы создадите файл конфигурации BIOS, который отключает загрузку с USB. Затем вы добавите этот файл в политику Intune и включите пароль BIOS. Эти действия позволяют убедиться, что конфигурация не перезаписана.
Данная функция применяется к:
- Windows 11
- Windows 10
- Устройства Dell
В этой статье содержатся дополнительные сведения о файле конфигурации и приложении Win32, а также показано, как создать политику конфигурации BIOS и других параметров в Intune.
Предупреждение
Изменения конфигурации BIOS могут повлиять на функциональность и работоспособность устройства, включая возможность загрузки зашифрованных дисков Bitlocker или доступа к ним. Эта функция позволяет администраторам Intune легко обновлять конфигурации BIOS на своих устройствах. При внесении изменений тестируйте и развертывайте поэтапно, чтобы свести к минимуму влияние любых непредвиденных конфигураций.
Предварительные условия
Чтобы настроить политики Intune, как минимум, войдите в Центр администрирования Intune с помощью роли диспетчера политик и профилей . Сведения о встроенных ролях в Intune и их возможностях см. в следующих статье:
Эта функция поддерживает устройства, принадлежащие организации, зарегистрированные в Intune. Личные устройства и устройства, не зарегистрированные в Intune, не поддерживаются.
Убедитесь, что на устройствах не настроен существующий пароль BIOS. Для выполнения этой функции требуется, чтобы у Intune был пароль BIOS. Если в Intune нет пароля BIOS устройства, он не сможет обновить конфигурацию BIOS.
Шаг 1. Создание файла конфигурации и развертывание приложения
В этом разделе основное внимание уделяется использованию средства OEM для создания файла конфигурации и развертыванию приложения OEM Win32 на устройствах.
Создайте файл конфигурации с помощью средства OEM. В файле добавьте и настройте компоненты, которые требуется настроить. Вы можете добавить любые параметры конфигурации, поддерживаемые изготовителем оборудования.
- Для Dell вы можете создать файл конфигурации BIOS с помощью средства Dell Command (открывает веб-сайт Dell).
При создании файла конфигурации изготовителем оборудования предоставляется координируемое приложение Win32. Разверните приложение OEM Win32 на устройствах. Это приложение:
- Действует как агент, который считывает создаваемый файл конфигурации и считывает пароли BIOS устройств.
- Перед назначением политики конфигурации Intune BIOS необходимо установить на всех устройствах.
Для Dell можно скачать приложение Dell Command (открывает веб-сайт Dell).
Чтобы установить это приложение на устройствах, можно использовать Intune:
- Добавьте приложение в Intune и сделайте его обязательным.
- Назначьте приложение группе или фильтру назначений, которые вы создадите на следующем шаге (в этой статье).
Сведения о приложениях Win32 в Intune см. в статье Добавление, назначение и мониторинг приложения Win32 в Microsoft Intune.
Шаг 2. Создание группы или использование фильтра назначений
Рекомендуется сосредоточить эту политику на определенном наборе устройств. Доступны следующие параметры:
- Вариант 1 . Создание группы, включающей устройства. При создании политики приложений и политики конфигурации BIOS политики назначаются этой группе.
- Вариант 2 . Используйте фильтр назначения на основе изготовителя устройства. При создании фильтра нацелимся на устройства OEM. При назначении политик конфигурации приложения и BIOS добавьте этот фильтр.
Дополнительные сведения об этих функциях см. по следующим причинам:
- Добавление групп для организации пользователей и устройств
- Использование фильтров при назначении приложений, политик и профилей в Intune
Шаг 3. Создание политики конфигурации BIOS в Intune
Эта политика позволяет добавить файл конфигурации, созданный на шаге 1, с помощью средства OEM.
Войдите в Центр администрирования Microsoft Intune.
Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.
Укажите следующие свойства:
- Платформа: выберите Windows 10 и более поздних версий.
- Тип профиля: выберите Шаблоны>Конфигурация BIOS и другие параметры.
Нажмите Создать.
В разделе Основные укажите следующие свойства.
- Имя: введите описательное имя для профиля. Назначьте имена политикам, чтобы их можно было легко найти в последствии. Например, хорошее имя профиля — пароль конфигурации BIOS.
- Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
Нажмите кнопку Далее.
В разделе Параметры конфигурациинастройте следующие параметры.
Оборудование. Выберите поставщика оборудования OEM из списка поддерживаемых oem-производителей. В настоящее время поддерживается только Dell.
Отключить защиту паролем BIOS для каждого устройства. Этот параметр управляет паролем, который защищает конфигурацию BIOS на устройстве. Доступны следующие параметры:
- Нет. Intune создает уникальный пароль для каждого устройства. Чтобы получить доступ к конфигурации BIOS на устройстве и обновить ее, пользователи должны ввести этот пароль.
- Да: нет пароля, защищающего BIOS. Все предыдущие пароли удаляются. Конечные пользователи могут получить доступ к BIOS и изменить параметры BIOS на устройстве.
Файл конфигурации. Отправьте файл конфигурации, созданный с помощью средства OEM.
Для Dell отправьте файл комплекта средств настройки клиента Dell (
.cctk
). Максимальный размер файла — 2 МБ.
Нажмите кнопку Далее.
В разделе Назначения выберите созданную группу устройств. Эта группа получает ваш профиль. Сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.
Нажмите кнопку Далее.
В разделе Просмотр и создание проверьте параметры и выберите Создать. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.
При следующем входе каждого устройства применяется политика.
Мониторинг политики с помощью встроенных отчетов
После создания политики в Центре администрирования Intune можно отслеживать ее состояние и просматривать все ошибки.
- В Центре администрирования Intune перейдите на вкладку Устройства>Управление устройствами>Политики конфигурации>.
- Выберите политику, которую вы хотите отслеживать. В отчете о состоянии устройства отображается состояние политики и все сведения об ошибке для устранения неполадок.
Дополнительные сведения см. в статьях:
Получение паролей BIOS
Intune хранит пароли BIOS для каждого устройства. Пароли BIOS можно получить с помощью Microsoft Graph. Чтобы протестировать API Graph, можно использовать Microsoft Graph Explorer.
Важно!
Обязательно создайте резервную копию всех паролей за пределами Intune. Если вы не создаете резервную копию паролей за пределами Intune, имейте в виду следующие сценарии:
- Если устройство удалено из управления Intune, администраторы по-прежнему могут считывать пароли BIOS с помощью API hardwarePasswordInfo в Microsoft Graph.
- Если подписка Intune для вашего клиента заканчивается, считывать или извлекать пароли BIOS невозможно. В этой ситуации единственным вариантом является обращение к изготовителю оборудования.
Вариант 1. Чтение пароля BIOS по одному устройству за раз
Этот параметр получает пароли BIOS по одному устройству за раз.
Создайте пользовательскую роль RBAC Intune с разрешением На чтение пароля BIOS :
Как минимум, войдите в Центр администрирования Intune в качестве члена встроенной роли Администратора ролей Intune .
Сведения о встроенных ролях Intune см. по следующим причинам:
ВыберитеРоли>администрирования> клиентаСоздать новую роль.
Назовите свою роль и нажмите кнопку Далее.
В разделе Разрешения разверните узел Управляемые устройства> . Задайте для чтения пароля BIOS значениеДа.
Выберите Next Next Create (Далее>создать>).
Войдите в средство Graph с помощью этой настраиваемой роли RBAC и используйте API hardwarePasswordInfo Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')
Вариант 2. Чтение пароля BIOS для всех устройств
Этот параметр получает список всех паролей BIOS для всех устройств.
Как минимум, вам нужна роль администратора Intune в идентификаторе Microsoft Entra.
Войдите в средство Graph с этой ролью и используйте API hardwarePasswordInfo Microsoft Graph:
https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo
Сведения о встроенных ролях см. в статье Встроенные роли Microsoft Entra.
Удаление пароля конфигурации BIOS
Если вы планируете прекратить управление BIOS устройств или окончательно удалить устройства из клиента, необходимо удалить пароль BIOS.
Чтобы удалить пароль BIOS, в политике конфигурации BIOS Intune задайте для параметра Отключить защиту BIOS паролем для каждого устройства значение Да. Затем назначьте политику. Когда устройство регистрируется в Intune, применяется политика. На устройстве можно также вручную синхронизировать устройство с Intune, чтобы применить политику.
После применения политики перезагрузите устройство.
Отмена регистрации устройства в Intune не приводит к удалению пароля BIOS. Если вы отмените регистрацию устройства перед отключением пароля, необходимо обновить пароль вручную на устройстве.
Конфигурация BIOS и DFCI
Intune имеет две функции, которые могут управлять параметрами BIOS на устройствах Windows: конфигурация BIOS и другие параметры и интерфейс конфигурации встроенного ПО устройства (DFCI).
Эти параметры сравниваются в следующей таблице.
Функция | Конфигурация BIOS и другие параметры | DFCI |
---|---|---|
Поддерживаемые изготовители оборудования | Dell Возможно, больше в будущем |
Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic Дополнительные сведения см. в статье Сценарии Microsoft DFCI. |
Поддерживаемые конфигурации | Любые конфигурации, доступные в средстве oem | Набор параметров для управления функциями безопасности, некоторыми аппаратными функциями, параметрами загрузки, портами и т. д. |
Применение параметров | Intune доставляет файл конфигурации при назначении политики. Агент OEM на устройстве применяет конфигурацию. | Через UEFI CSP с использованием уровня DFCI, который изолирован от ОС |
Блокирует доступ к меню BIOS | Да, с помощью паролей BIOS | Да, через сертификаты |
Настройка во время Windows Autopilot | На странице состояния регистрации (ESP) выберите приложение OEM Win32. | Intune автоматически регистрирует устройство в DFCI mgmt. |
Создание отчетов | Сообщает о применении файла конфигурации. | Детализированный отчет для каждого настраиваемого параметра. |
Тип политики Intune | Приборы>Управление устройствами>Конфигурация>Шаблоны>Конфигурация BIOS и другие параметры | Приборы>Управление устройствами>Конфигурация>Шаблоны>Интерфейс конфигурации встроенного ПО устройства |
Дополнительные сведения о DFCI см. по следующим причинам:
- Профили интерфейса конфигурации встроенного ПО устройств (DFCI) на устройствах Windows в Microsoft Intune
- Сценарии Microsoft DFCI
- DFCI на устройствах Surface