Compartilhar via


Gerenciar DFCI em dispositivos Surface

Introdução

Com perfis dfCI (Device Firmware Configuration Interface) incorporados no Microsoft Intune, a gestão da UEFI do Surface expande a pilha de gestão moderna até ao nível de hardware UEFI (Unified Extensible Firmware Interface). O DFCI suporta o aprovisionamento sem toque, elimina as palavras-passe do BIOS, fornece o controlo das definições de segurança, incluindo opções de arranque e periféricos incorporados, e estabelece as bases para cenários de segurança avançados no futuro. Esta página lista todas as definições de política DFCI em dispositivos Surface elegíveis implementados pelo Autopilot.

Concebido para ser utilizado com a gestão de dispositivos móveis (MDM) ao nível do software, o DFCI permite que os administradores de TI desativem remotamente componentes de hardware específicos e impeçam os utilizadores finais de aceder aos mesmos. Por exemplo, se precisar de proteger informações confidenciais em áreas altamente seguras, pode desativar a câmara e, se não quiser que os utilizadores arranquem a partir de pen USB, também pode desativá-la.

Dica

O suporte para algumas definições de política DFCI varia consotivo. Reveja a referência de definições de política DFCI nesta página e siga Intune instruções para configurar e implementar definições nos seus dispositivos.

Pré-requisitos

Observação

Os dispositivos registados manualmente ou auto-registados no Autopilot, como importados de um ficheiro CSV, não têm permissão para utilizar o DFCI. Por predefinição, a gestão dfCI requer um atestado externo da aquisição comercial do dispositivo através de um parceiro CSP da Microsoft ou registo do Surface.

Referência de definições de política DFCI para dispositivos Surface

Dispositivos elegíveis

  • Surface Hub 3
  • Surface Hub 2S com Salas do Microsoft Teams em execução no Windows
  • Surface Pro (11.ª Edição)(apenas SKUs comerciais)
  • Surface Pro 10 (apenas SKUs comerciais)
  • Surface Pro 10 com 5G (apenas SKUs comerciais)
  • Surface Pro 9 (apenas SKUs comerciais)
  • Surface Pro 9 com 5G (apenas SKUs comerciais)
  • Surface Pro 8 (apenas SKUs comerciais)
  • Surface Pro 7+ (apenas SKUs comerciais)
  • Surface Pro 7 (todos os SKUs)
  • Surface Pro X (todos os SKUs)
  • Surface Laptop Studio (todas as gerações, apenas SKUs comerciais)
  • Surface Laptop (7.ª Edição)(apenas SKUs comerciais)
  • Surface Laptop 6
  • Surface Laptop 5 (apenas SKUs comerciais)
  • Surface Laptop 4 (apenas SKUs comerciais)
  • Surface Laptop 3 (apenas processadores Intel)
  • Surface Laptop Go
  • Surface Laptop Go 2 (apenas SKUs comerciais)
  • Surface Laptop Go 3 (apenas SKUs comerciais)
  • Surface Laptop SE
  • Surface Book 3
  • Surface Go 3 (apenas SKUs comerciais)
  • Surface Go 4 (apenas SKUs comerciais)
  • Surface Studio 2+

Observação

Surface Pro X não suporta a gestão de definições DFCI para câmara incorporada, áudio e Wi-Fi/Bluetooth. Algumas definições mais recentes só são suportadas nos dispositivos mais recentes.

Tabela 1. Referência das definições de política dfCI: dispositivos Surface implementados no Autopilot

Definição DFCI Descrição Compatível em
Acesso UEFI
Permitir que o utilizador local altere as definições do UEFI (BIOS) Esta definição permite-lhe gerir se os utilizadores finais podem modificar as definições de UEFI em dispositivos elegíveis.

- Se selecionar Apenas definições não configuradas, os utilizadores locais (também conhecidos como utilizadores finais) poderão alterar qualquer definição de UEFI, exceto quaisquer definições que tenha ativado ou desativado explicitamente através de Intune.
- Se selecionar Nenhum, os utilizadores locais poderão não alterar as definições de UEFI, incluindo definições não apresentadas no perfil DFCI.
Todos os dispositivos elegíveis
Configurações de segurança
Multithreading simultâneo Esta definição permite-lhe gerir se o suporte de multithreading (SMT) simultâneo está ativado em dispositivos elegíveis. O SMT suporta a tecnologia intel hyperthreading, que fornece dois processadores lógicos para cada núcleo físico.

- Se ativar esta definição, o SMT está ativado na camada UEFI.
- Se desativar esta definição, o SMT é desativado na camada UEFI.
- Se não configurar esta definição, o SMT está ativado.
Todos os dispositivos elegíveis
Câmeras
Câmeras Esta definição permite-lhe gerir se a câmara incorporada pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, todas as câmaras incorporadas são permitidas. Os periféricos, como as câmaras USB, não são afetados.
- Se desativar esta definição, todas as câmaras incorporadas serão desativadas. Os periféricos, como as câmaras USB, não são afetados.
- Se não configurar esta definição, todas as câmaras incorporadas estão ativadas.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Câmera Frontal Esta definição permite-lhe gerir se a Câmara frontal pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, a Câmara frontal é permitida. Os periféricos, como as câmaras USB, não são afetados.
- Se desativar esta definição, a câmara Frontal estará desativada. Os periféricos, como as câmaras USB, não são afetados.
- Se não configurar esta definição, a Câmara frontal está ativada.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Câmera Traseira Esta definição permite-lhe gerir se a câmara Posterior pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, a câmara posterior é permitida. Os periféricos, como as câmaras USB, não são afetados.
- Se desativar esta definição, a câmara Posterior estará desativada. Os periféricos, como as câmaras USB, não são afetados.
- Se não configurar esta definição, a câmara posterior é permitida.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Câmera de infravermelho (IV) Esta definição permite-lhe gerir se a câmara de Infravermelhos pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, a câmara de Infravermelhos é permitida. Os periféricos, como as câmaras USB, não são afetados.
- Se desativar esta definição, a câmara de Infravermelhos está desativada. Os periféricos, como as câmaras USB, não são afetados.
- Se não configurar esta definição, a câmara de Infravermelhos é permitida.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Microfones e altifalantes
Microfones e altifalantes Esta definição permite-lhe gerir se o áudio a bordo pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, todos os microfones e altifalantes incorporados são permitidos. Os periféricos, como dispositivos USB, não são afetados.
- Se desativar esta definição, todos os microfones e altifalantes incorporados serão desativados. Os periféricos, como dispositivos USB, não são afetados.
- Se não configurar esta definição, os microfones e altifalantes estão ativados.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Microfones Esta definição permite-lhe gerir se o microfone incorporado pode funcionar em dispositivos elegíveis. - Se ativar esta definição, todos os microfones incorporados estão ativados. Os periféricos, como dispositivos USB, não são afetados.
- Se desativar esta definição, todos os microfones incorporados serão desativados. Os periféricos, como dispositivos USB, não são afetados.
- Se não configurar esta definição, os microfones estão ativados.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Rádios
Rádios (Bluetooth, Wi-Fi, NFC, etc.) Esta definição permite-lhe gerir se o Bluetooth, Wi-Fi ou 5G sem fios incorporados podem funcionar em dispositivos elegíveis.

- Se ativar esta definição, todos os rádios incorporados são permitidos. Os periféricos, como dispositivos USB, não são afetados.
- Se desativar esta definição, todos os rádios incorporados serão desativados. Os periféricos, como dispositivos USB, não são afetados.
- Se não configurar esta definição, todos os rádios incorporados estão ativados.

SUGESTÃO: Configure a definição de categoria Rádios (Bluetooth, Wi-Fi, NFC, etc.) ou as definições granulares Bluetooth, Wi-Fi. Se configurar todas as definições, estas definições podem causar um conflito. Para obter mais informações, aceda a Descrição geral do perfil DFCI: Conflitos.

ATENÇÃO: A definição Desativar só deve ser utilizada em dispositivos com uma ligação Ethernet com fios.
- Não suportado no Surface Pro X.
- Suportado em todos os outros dispositivos elegíveis.
Bluetooth Esta definição permite-lhe gerir se o Bluetooth incorporado pode funcionar em dispositivos elegíveis.

- Se ativar esta definição, o Bluetooth está ativado.
- Se desativar esta definição, o Bluetooth estará desativado.
- Se não configurar esta definição, o Bluetooth está ativado.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
WWAN Esta definição permite-lhe gerir se o WWAN incorporado (5G sem fios) pode funcionar em dispositivos elegíveis

- Se ativar esta definição, o WWAN está ativado.
- Se desativar esta definição, a WWAN estará desativada.
- Se não configurar esta definição, o WWAN está ativado.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Wi-Fi Esta definição permite-lhe gerir se os Wi-Fi incorporados podem funcionar em dispositivos elegíveis

- Se ativar esta definição, Wi-Fi está ativada.
- Se desativar esta definição, Wi-Fi está desativada.
- Se não configurar esta definição, Wi-Fi está ativada.
- Não suportado no Surface Pro X.
- Suportado no Surface Pro 9 com 5G e todos os outros dispositivos elegíveis.
Opções de inicialização
Arranque a partir de suportes de dados externos (USB, SD) Esta definição permite-lhe gerir se os dispositivos elegíveis podem ser arrancados a partir de suportes de dados externos.

- Se ativar esta definição, os utilizadores finais podem arrancar o dispositivo a partir de pens USB ou de outras tecnologias de armazenamento que não sejam de disco rígido.
- Se desativar esta definição, os utilizadores finais não poderão arrancar o dispositivo a partir de pens USB ou de outras tecnologias de armazenamento que não sejam de disco rígido.
- Se não configurar esta definição, os utilizadores finais podem arrancar o dispositivo a partir de pens USB ou de outras tecnologias de armazenamento que não sejam de disco rígido.
Todos os dispositivos elegíveis
Portas
USB tipo A Esta definição permite-lhe gerir a forma como os dispositivos podem utilizar ligações USB-A.

- Se ativar esta definição, as ligações de dados USB-A podem funcionar em dispositivos elegíveis.
- Se desativar esta definição, as ligações de dados USB-A não podem funcionar em dispositivos elegíveis.

- Se não configurar esta definição, as ligações de dados USB-A podem funcionar em todos os dispositivos.

ATENÇÃO: Se desativar o Arranque a partir de suportes de dados externos e o tipo A USB ( e o dispositivo ficar incompactável por qualquer motivo), não poderá recuperar o dispositivo sem substituir o SSD. Não poderá arrancar a partir de suportes de dados externos e executar um arranque PXE ou uma atualização DFCI a partir da rede.
Suportado apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1 de junho de 2022).
Definições de reativação
Reativação por LAN Esta definição permite-lhe gerir se os dispositivos elegíveis podem ser iniciados remotamente a partir do Modo de Espera Moderno ou hibernar.

- Se ativar esta definição, os dispositivos elegíveis podem ser configurados para reativação remota na LAN.
- Se desativar esta definição, os dispositivos elegíveis não podem ser configurados para reativar remotamente na LAN.
- Se não configurar esta definição, os dispositivos elegíveis podem ser configurados para reativar remotamente na LAN.
Suportado apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1 de junho de 2022).
Ativação pós-ativação Esta definição permite-lhe gerir se os dispositivos elegíveis podem ser iniciados automaticamente a partir de estados de hibernação ou desligados quando ligados à energia.

- Se ativar esta definição, os dispositivos Surface elegíveis podem ser configurados para serem iniciados automaticamente quando ligados à alimentação
- Se desativar esta definição, os dispositivos Surface elegíveis não podem ser configurados para serem iniciados automaticamente quando ligados à alimentação.
- Se não configurar esta definição, os dispositivos Surface elegíveis não podem ser configurados para iniciar automaticamente quando ligados novamente à corrente.
Suportado apenas no Surface Laptop Go 2 e posterior (dispositivos lançados após 1 de junho de 2022).

Observação

O DFCI no Intune inclui definições que não se aplicam atualmente a dispositivos Surface: virtualização de CPU e E/S, Desativar Arranque de adaptadores de rede, Tabela Binária de Plataforma do Windows (WPBT), NFC e card SD.

Introdução

  1. Inicie sessão no seu inquilino em intune.microsoft.com.

  2. No centro de administração do Microsoft Intune, selecione Perfis de configuração de dispositivos >> Criar perfil.

  3. Em Plataforma, selecione Windows 10 e posterior.

  4. Em Tipo de perfil, selecione Modelos>Interface de Configuração de Firmware do Dispositivo e, em seguida, selecione Criar.

    Começar a criar perfil DFCI

  5. Consulte Utilizar perfis DFCI em dispositivos Windows no Microsoft Intune para obter instruções completas, incluindo:

    • Criar os grupos de segurança Microsoft Entra
    • Criar os perfis
    • Atribuir os perfis e reiniciar
    • Atualizar definições DFCI existentes
    • Reutilizar, extinguir ou recuperar o dispositivo

Impedir que os utilizadores alterem as definições de UEFI

Para muitos clientes, a capacidade de impedir que os utilizadores alterem as definições de UEFI é extremamente importante e um dos principais motivos para utilizar o DFCI. Conforme listado acima na Tabela 1, esta funcionalidade é gerida através da definição Permitir que o utilizador local altere as definições de UEFI. Se não editar ou configurar esta definição, o utilizador local pode alterar qualquer definição de UEFI não gerida pelo Intune. Por conseguinte, é altamente recomendado definir Permitir que o utilizador local altere as definições de UEFI para Nenhuma.

Bloquear o acesso do utilizador para alterar as definições de UEFI

Verificar as definições de UEFI em dispositivos geridos por DFCI

Num ambiente de teste, pode verificar as definições na interface UEFI do Surface.

  1. Abra o UEFI do Surface:

    • Prima sem soltar o botão para aumentar o volume no Surface e, ao mesmo tempo, prima e solte o botão para ligar/desligar .
    • Quando vir o logótipo do Surface, solte o botão para aumentar o volume. O menu UEFI será apresentado dentro de alguns segundos.
  2. Selecione Dispositivos. O menu UEFI refletirá as definições configuradas, conforme mostrado na figura seguinte.

    UEFI do Surface.

    Observação

    • As definições estão desativadas (inativas) porque Permitir que o utilizador local altere a definição UEFI está definida como Nenhuma.
    • O Áudio a bordo está desativado porque a política Microfones e altifalantes está definida como Desativado.

Remover definições de política DFCI

Quando cria um perfil DFCI, todas as definições configuradas permanecerão em vigor em todos os dispositivos no âmbito de gestão do perfil. Só pode remover as definições de política DFCI ao editar diretamente o perfil DFCI. Se o perfil DFCI original tiver sido eliminado, crie um novo perfil e edite as definições adequadas.

Remover a gestão de DFCI

Para remover a gestão DFCI e devolver o dispositivo ao novo estado de fábrica:

  1. Extinga o dispositivo do Intune:
    1. Em Microsoft Intune em intune.microsoft.com, selecione Dispositivos>Todos os Dispositivos.
    2. Selecione o dispositivo que pretende extinguir e, em seguida, selecione Extinguir/Apagar. Para saber mais, consulte Remover dispositivos através da eliminação, extinção ou anulação manual da inscrição do dispositivo.
  2. Elimine o registo do Autopilot do Intune:
    1. Selecione Inscrição > de dispositivos Dispositivos de inscrição do > Windows.
    2. Em Dispositivos Windows Autopilot, selecione os dispositivos que pretende eliminar e, em seguida, selecione Eliminar.
  3. Ligue o dispositivo à Internet com fios com um adaptador ethernet de marca Surface. Reinicie o dispositivo e abra o menu UEFI (prima sem soltar o botão para aumentar o volume enquanto prime e solta o botão para ligar/desligar).
  4. Selecione Configurar Gestão > Atualizar a partir da Rede e, em seguida, selecione >Optar ativamente por não participar.

Para gerir o dispositivo com Intune mas sem gestão DFCI, registe-o automaticamente no Autopilot e inscreva-o no Intune. O DFCI não será aplicado a dispositivos auto-registados.

Saiba mais