皆さん、こんにちは。
今回は Microsoft Intune の話題について紹介したいと思います。
Microsoft Intune を用いて、デバイスのファームウェアである UEFI (Unified Extensible Firmware Interface) を制御するという記事になります。
Microsoft Intune では、DFCI (Device Firmware Configuration Interface) という機能があり、デバイスのファームウェアを Microsoft Intune 経由で管理することができます。
ただし、すべてのデバイスで対応できる訳ではなく、DFCI の規格に沿ったメーカーのデバイスである必要があります。
また、Windows Autopilot で展開されたデバイスでかつ、Windows Autopilot に登録する際は、手動で CSV ファイルから登録した場合は対象外で、OEM または Microsoft CSP パートナーによる、Windows Autopilot への登録が必要になります。そのため、組織内で持っている対応デバイスであっても、OEM または Microsoft CSP パートナーに依頼する必要があります。この点を見逃していると、検証してもエラーになります。
https://learn.microsoft.com/ja-jp/mem/autopilot/dfci-management#requirements
では、早速検証してみましょう。
<今回の検証デバイス>
・ Surface Pro 9 with 5G
<設定>
- まず、対象のデバイスを OEM または Microsoft CSP パートナーに自身のテナントに登録してもらいます。
- 作成しておいた Windows Autopilot プロファイルを割り当て、Windows Autopilot にてデバイスを展開します。
- DFCI 用の構成プロファイルを作成します。
- 構成プロファイルの作成画面にて、[プラットフォーム] を [Windows 10 以降]、[プロファイルの種類] を [テンプレート]、[テンプレート名] を [デバイスのファームウェア構成インターフェイス] を選択します。
- 構成プロファイルの名前を適宜入力し、[次へ] を選択します。
- [構成設定] にて、今回は基本的な UEFI 設定の変更をできなくする設定を配布するので、[UEFI 設定の変更をローカル ユーザーに許可する] を [なし] に選択して、[次へ] を選択します。DFCI はカメラや個々のデバイスについて制御できますが、今回は基本的な UEFI へのアクセスをブロックするポリシーを適用してみます。
- [割り当て] にて、対象のデバイスが入っているグループを選択します。
- [適用性ルール] では、今回は設定せず、[次へ] を選択します。
- [確認および作成] にて、設定内容が正しいことを確認し、[作成] を選択します。
<動作確認>
- Surface にて、UEFI を起動します。 (ボリューム + ボタンを押したまま、電源ボタンを押す)
- 下記のように、 [Some settings are managed by your organization] になっていれば、成功です。
<DFCI の初期化>
上記の方法で、ファームウェアの制御はできました。しかしながら、このデバイスを再利用する際に、ファームウェアの制御がかかったままでは困る時もあるかと思います。
そのため、DFCI 設定の初期化の方法も紹介しておきます。
公式ドキュメントは下記になります。
https://learn.microsoft.com/ja-jp/surface/surface-manage-dfci-guide#removing-dfci-management
しかしながら、DFCI の初期化をトライしたところうまく動作しなかったため、現在確認中になります。確認でき次第、このブログ記事で紹介できればと思います。
<まとめ>
今回は、Microsoft Intune を利用したデバイスのファームウェア制御についてお届けしました。対応しているデバイスであるという条件はあるものの、クラウドからファームウェアを制御できるのはありがたいですね。
皆さんも、デバイス選定の際は、DFCI に対応したデバイス or メーカーであることを確認するのも一つの選定項目にしても良いのではないでしょうか。