DELL Command Endpoint Configure vir Microsoft Intune

Produk inligting

Spesifikasies:

• Produk Naam: Dell Command | Eindpuntkonfigurasie vir Microsoft Intune
• Weergawe: Maart 2024 Ds A00
• Funksionaliteit: Bestuur en konfigureer BIOS-instellings met Microsoft Intune

Produkgebruiksinstruksies

Hoofstuk 1: Inleiding
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) laat maklike en veilige bestuur en konfigurasie van BIOS-instellings deur Microsoft Intune toe. Dit gebruik Binary Large Objects (BLOBs) om data te stoor, BIOS-instellings met geen aanraking op te stel en unieke wagwoorde te handhaaf. Vir meer gedetailleerde inligting oor Microsoft Intune, verwys na die eindpuntbestuurdokumentasie in Microsoft Learn.

Hoofstuk 2: BIOS Configuration Profile
Skep en toewys van 'n BIOS Configuration Profile:

1. Skep die BIOS-konfigurasiepakket as 'n Binary Large Object (BLOB) met Dell Command | Stel op.
2. Meld aan by Microsoft Intune-administrasiesentrum met die toepaslike rekening met die Beleid en Profile Bestuurderrol toegeken.
3. Gaan na Toestelle > Konfigurasie in die administrasiesentrum.
4. Klik op Beleide en dan Skep Profile.
5. Kies Windows 10 en later as die platform.
6. Kies sjablone in Profile tipe.
7. Kies BIOS-konfigurasies onder Sjabloonnaam.
8. Klik Skep om die BIOS-konfigurasie-pro te skepfile.

Gereelde vrae

• V: Waar kan ek meer inligting kry oor die installering van Dell Command | Eindpunt opstel vir Microsoft Intune?
  A: Die installasiegids vir Dell Command | Endpoint Configure vir Microsoft Intune is beskikbaar op die dokumentasiebladsy van Dell Command | Eindpuntkonfigurasie vir Microsoft Intune.
• V: Hoe kan ek probleme met Dell Command | Eindpunt opstel vir Microsoft Intune?
  A: Die Log-ligging-afdeling in Hoofstuk 4 van die gebruikershandleiding verskaf inligting oor foutsporingsmetodes vir die sagteware.

Notas, waarskuwings en waarskuwings

• LET WEL: 'N NOTA dui belangrike inligting aan wat jou help om jou produk beter te gebruik.
• WAARSKUWING: 'N WAARSKUWING dui óf potensiële skade aan hardeware óf verlies van data aan en vertel jou hoe om die probleem te vermy.
• WAARSKUWING: 'N WAARSKUWING dui op 'n potensiaal vir skade aan eiendom, persoonlike besering of dood.

© 2024 Dell Inc. of sy filiale. Alle regte voorbehou. Dell Technologies, Dell en ander handelsmerke is handelsmerke van Dell Inc. of sy filiale. Ander handelsmerke kan handelsmerke van hul onderskeie eienaars wees.

Inleiding

Inleiding tot Dell Command | Eindpuntkonfigurasie vir Microsoft Intune (DCECMI):
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) stel jou in staat om BIOS maklik en veilig met Microsoft Intune te bestuur en op te stel. Die sagteware gebruik Binary Large Objects (BLOB's) om data te stoor, te konfigureer en Dell-stelsel-BIOS-instellings met geen aanraking te bestuur, en om unieke wagwoorde te stel en in stand te hou.
Vir meer inligting oor Microsoft Intune, sien Eindpuntbestuurdokumentasie in Microsoft Leer.

Ander dokumente wat u moontlik benodig
Die Dell-opdrag | Endpoint Configure for Microsoft Intune Installation Guide verskaf inligting oor die installering van Dell Command | Eindpuntkonfigureer vir Microsoft Intune op ondersteunde kliëntstelsels. Die gids is beskikbaar by Dell Command | Endpoint Configure for Microsoft Intune-dokumentasiebladsy.

BIOS-konfigurasie profile

Skep en toewys van 'n BIOS-konfigurasie-profile
Sodra die BIOS-konfigurasiepakket as 'n Binary Large Object (BLOB) vervaardig is, kan die Microsoft Intune-administrateur dit gebruik om 'n BIOS-konfigurasie-pro te skepfile. Die profile kan deur Microsoft Intune Admin Center geskep word om die Dell kommersiële kliëntstelsels in 'n IT-omgewing te bestuur.

Oor hierdie taak
Jy kan 'n BIOS-konfigurasiepakket (.cctk) skep file gebruik Dell Command | Stel op. Sien Skep 'n BIOS-pakket in Dell Command | Konfigureer gebruikersgids by Ondersteuning | Dell vir meer inligting.

Trappe

1. Meld aan by Microsoft Intune-administrasiesentrum gebruik die Intune-rekening met die Polis en Profile Bestuurder rol toegeken opsie.
2. Gaan na Toestelle > Konfigurasie.
3. Klik Beleide.
4. Klik Skep Profile.
5. Kies Windows 10 en later uit die Platform-aftreklys.
6. Kies Templates in Profile tik uit die Platform-aftreklys.
7. Onder Sjabloonnaam, kies BIOS-konfigurasies.
8. Klik Skep. Die BIOS-konfigurasie profile skepping begin.
9. In die Basics-oortjie, op Skep BIOS-konfigurasies profile bladsy, voer die naam van die pro infile en Beskrywing. Die beskrywing is opsioneel.
10. In die Konfigurasies-oortjie op Skep BIOS-konfigurasies profile bladsy, kies Dell in die Hardeware-aftreklys.
11. Kies enige van die volgende opsies vir Deaktiveer wagwoordbeskerming per toestel:
    • As jy NEE kies, stuur Microsoft Intune 'n unieke-per-toestel, ewekansige BIOS-administrateurwagwoord wat op die toestel toegepas word.
    • As jy JA kies, word die voorheen toegepaste BIOS-administrateurwagwoord wat deur Microsoft Intune-werkvloei gestel is, uitgevee.
      LET WEL: As die BIOS-administrateurwagwoord nie deur Microsoft Intune-werkvloei gestel is nie, hou die JA-instelling die toestelle in 'n wagwoordlose toestand.
12. Laai die BIOS-konfigurasiepakket in Configuration op file.
13. In die Assignments-oortjie op Skep BIOS-konfigurasies profile bladsy, klik Voeg groepe by onder Ingesluit groepe.
14. . Kies die toestelgroepe waar jy die pakket wil ontplooi.
15. Daar binneview oortjie op Skep BIOS-konfigurasies profile bladsy, review die besonderhede van jou BIOS-pakket.
16. Klik Skep om die pakket te ontplooi.
    LET WEL: Sodra die BIOS Configuration Profile geskep word, die profile word na die geteikende Eindpuntgroepe ontplooi. Die DCECMI-agent onderskep en pas dit veilig toe.

Gaan die ontplooiingstatus van die BIOS Configuration Pro nafile
Om die ontplooiingstatus van die BIOS Configuration Pro na te gaanfile, doen die volgende:

Trappe

1. Gaan na die Microsoft Intune-administrasiesentrum.
2. Meld aan met 'n gebruiker wat die Beleid en Pro hetfile Bestuurderrol toegeken.
3. Klik Toestelle in die navigasiekieslys aan die linkerkant.
4. Kies Konfigurasie in die Bestuur toestelle-afdeling.
5. Vind die BIOS-konfigurasiebeleid wat jy geskep het, en klik op die beleidnaam om die besonderhedebladsy oop te maak. Op die besonderhede bladsy kan jy view die toestelstatus—Suksesvol, Misluk, Hangende, Onbekend, Nie van toepassing nie.

Belangrike oorwegings by die implementering van 'n BIOS-konfigurasie-profile

• Gebruik een BIOS-konfigurasie-profile vir 'n toestelgroep en werk dit op wanneer nodig, in plaas daarvan om 'n pro te skepfile vir 'n gegewe toestelgroep.
• Moenie verskeie BIOS Configuration Pro teiken niefiles na dieselfde toestelgroep.
• Gebruik een BIOS-konfigurasie profile vermy konflik tussen verskeie profiles wat aan dieselfde eindpuntgroep toegewys is.
• Ontplooi verskeie profiles na dieselfde eindpunt groep veroorsaak 'n ras toestand en lei tot 'n botsende BIOS konfigurasie toestand.
  • 'n Moontlike herhalingsaanval bespeur foutboodskap word ook in die EndpointConfigure.log vertoon. Sien Log Ligging vir probleemoplossing vir meer besonderhede.
  • In die Intune-portaal word die foutboodskap vertoon as Verifikasie van Metadata misluk. Sien Verifikasie van Metadata misluk afdeling in Gereelde vrae vir meer besonderhede.
• Vir die opdatering van 'n bestaande profile, doen die volgende in die Eienskappe-oortjie van die BIOS-konfigurasie-profile:
  1. Klik Redigeer.
  2. Wysig Deaktiveer wagwoordbeskerming of konfigurasie per toestel file deur 'n nuwe .cctk-konfigurasie op te laai file. Die wysiging van een of albei van die bogenoemde opsies werk die pro opfile weergawe en aktiveer 'n profile herontplooiing na die toegewese eindpuntgroep.
  3. Klik Review + stoor-knoppie.
     In die volgende oortjie, review die besonderhede en klik Stoor.
• Moenie BIOS Configuration Pro verander niefiles in die hangende staat.
  • As daar reeds 'n bestaande BIOS Configuration Pro isfile wat na die eindpuntgroepe ontplooi is en die status as Hangende vertoon word, moenie daardie BIOS Configuration Pro opdateer niefile.
  • Jy moet nie opdateer voordat die status oorgaan van Hangende na Suksesvol of Misluk nie.
  • Verandering kan konflikte en daaropvolgende BIOS Configuration Pro veroorsaakfile weergawe mislukkings. Soms kan BIOS-wagwoordsinkroniseringsfoute voorkom, en jy sal dalk nie die nuut toegepaste BIOS-wagwoord kan sien nie.
• Wanneer u wagwoorde bestuur met behulp van Microsoft Intune Admin Center-gebruikerskoppelvlak, onthou die volgende:
  • As jy NEE kies vir Deaktiveer wagwoordbeskerming per toestel, stuur Intune 'n ewekansige BIOS-administrateurwagwoord wat op die toestel toegepas word.
  • As jy JA kies vir Deaktiveer per-toestel wagwoordbeskerming, dan word die voorheen toegepaste BIOS-administrateurwagwoord deur Intune-werkvloei uitgevee.
  • As geen BIOS-administrateurwagwoord vroeër deur Intune-werkvloei toegepas is nie, help die instelling om die toestelle in 'n wagwoordlose toestand te hou.
• Dell Technologies beveel aan om Intune Password Manager vir BIOS Wagwoordbestuur te gebruik, aangesien die toepassing uitstekende sekuriteit en bestuurbaarheid bied.

Dell BIOS-bestuur

Microsoft Graph API vir Dell BIOS-bestuur

Om grafiek-API's vir Dell BIOS-bestuur te gebruik, moet die volgende omvang aan 'n toepassing toegeken word:

• Device ManagementConfiguration.Read.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PrivilegedOperations.All

Die volgende grafiek-API's kan vir Dell BIOS-bestuur gebruik word:

• Skep hardeware-konfigurasie
• ken hardeware-konfigurasie-aksie toe
• Lys hardeware konfigurasies
• Kry hardeware konfigurasie
• Vee hardeware-konfigurasie uit
• Dateer hardeware-konfigurasie op

Die volgende grafiek-API's kan gebruik word vir Dell BIOS Wagwoordbestuur:

• Lys hardeware wagwoordinligting
• Kry hardeware-wagwoordinligting
• Skep hardeware-wagwoordinligting
• Vee hardeware-wagwoordinligting uit
• Dateer hardeware-wagwoordinligting op

Gebruik Graph API's om die Dell BIOS-wagwoord handmatig te herwin

• Voorvereistes
  Maak seker dat jy Microsoft Graph Explorer gebruik.
• Trappe
  1. Meld aan by Microsoft Graph Explorer met Intune Global Administrator-eiebewyse.
  2. Verander die API na beta weergawe.
  3. Lys die hardeware wagwoord inligting van al die toestelle wat die URL https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo.
  4. Klik op Wysig toestemmings.
  5. Aktiveer DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All en DeviceManagementManagedDevices.PrivilegedOperations.All.
  6. Klik Run Query.
     Die hardeware-wagwoordinligting van al die toestelle, die huidige wagwoord en die lys van die vorige 15 wagwoorde word in 'n leesbare formaat in Response pre gelysview.

Belangrike inligting

• Stelseladministrateurs kan Microsoft Graph Explorer gebruik of PowerShell-skrifte skep met behulp van PowerShell SDK vir Microsoft Intune Graph API vanaf PowerShell Gallery om Dell BIOS-wagwoordinligting te gaan haal.
• Dell BIOS Wagwoordbestuur Grafiek API's ondersteun ook filters. Byvoorbeeldample, om die hardeware-wagwoordinligting van 'n spesifieke toestel te kry met die reeksnommer, gaan na https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber.
  LET WEL: Slegs Lys hardewarePasswordInfos en Get hardwarePasswordInfo API's word ondersteun. Skep hardewarePasswordInfo, Vee hardewarePasswordInfo uit, en Werk hardewarePasswordInfo API's op word nie nou ondersteun nie.

Log-ligging vir probleemoplossing

Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) implemente file aanteken funksionaliteit. U kan verbose logs vir DCECMI gebruik.
Die log file is beskikbaar by C:\ProgramData\Dell\EndpointConfigure. Die file naam is EndpointConfigure.log.

Om gedetailleerde logs te aktiveer, doen die volgende:

1. Gaan na die registerligging HKLM\Software\Dell\EndpointConfigure\.
2. Skep 'n DWORD 32-registersleutel met die naam LogVerbosity.
3. Ken dit 'n waarde van 12 toe.
4. Herbegin DCECMI, en let op die verbose logs.

Tabel 1. DCECMI logs

Breedsprekigheid Waarde	Boodskap	Beskrywing
1	Noodlottig	Kritieke fout het voorgekom en die stelsel word as onstabiel beskou.
3	Fout	'n Ernstige fout het voorgekom wat nie as noodlottig beskou word nie.
5	Waarskuwing	Waarskuwingsboodskap vir gebruiker.
10	Inligting	Hierdie boodskap is vir inligtingsdoeleindes.
12	Omvattend	Ander inligtingsboodskappe wat aangeteken kan word en viewed afhangende van die breedsprakigheidsvlak.

Gereelde vrae

• Hoe skakel ek oor na die Intune- of AAD-bestuurde wagwoord wanneer ek reeds 'n BIOS-wagwoord het?
  • Intune bied nie 'n manier om die aanvanklike wagwoord in AAD te plaas nie.
  • Om oor te skakel na die Intune- of AAD-bestuurde wagwoord, maak die bestaande BIOS-wagwoord skoon met dieselfde metode wat gebruik word om die BIOS-wagwoord in te stel.
    LET WEL: Dell Technologies het nie 'n hoofwagwoord nie en kan nie die kliëntwagwoord omseil nie.
• Hoe kry ek die wagwoord vir 'n toestel wat ek met die hand moet diens?
  Microsoft Intune wys nie die wagwoord in die toesteleienskappe nie. Gaan na Gebruik van grafiek-API's om die Dell BIOS-wagwoord met die hand te herwin vir meer inligting.
  LET WEL: Slegs Lys hardewarePasswordInfos en Get hardwarePasswordInfo word ondersteun.
• Hoe gee ek 'n unieke-per-toestel-wagwoord aan Dell Command | Opdateer sodat dit die firmware kan opdateer?
  Dell Command | Opdatering gebruik nie 'n kapsule-BIOS-opdateringsmetode wat die BIOS-wagwoord veilig kan omseil nie. Windows Update, Autopatch en Windows Update for Business gebruik die Dell kapsule BIOS-opdateringsmetode. as jy 'n unieke-per-toestel wagwoord ontplooi het, kan jy dit gebruik. Maak seker dat Capsule BIOS-opdatering in BIOS-instellings geaktiveer is.
• Hoe keer ek om die BIOS-konfigurasiepro toe te pasfile aan nie-Dell-toestelle?
  Huidiglik word filters nie in die BIOS-konfigurasiepro ondersteun niefile opdrag. In plaas daarvan kan jy 'n uitsluitingsgroep toewys vir nie-Dell-toestelle.
  Volg hierdie stappe om 'n dinamiese uitsluitingsgroep te skep:
  1. In Microsoft Intune-administrasiesentrum, gaan na Tuis > Groepe | Alle groepe > Nuwe groep.
  2. In die Lidmaatskaptipe aftreklys, kies Dinamiese toestel.
  3. Skep die dinamiese navraag volgens die Dinamiese lidmaatskapreëls vir groepe in Azure Active Directory-riglyne in Microsoft.
• Waar vind ek die logs om enige probleme te ontfout?
  Dell-logboek files kan hier gevind word: C:\ProgramData\dell\EndpointConfigure\EndpointConfigure<*>.log. Microsoft-logboek files kan hier gevind word: C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\<*>.log
• Hoe los ek agent-gerapporteerde foute op?
  Hier is 'n paar agent-gerapporteerde foute wat jy kan sien:
  • Agent het fout aangemeld: 65
    • Beskrywing—Die opstellingwagwoord word vereis om die instelling te verander. Gebruik –ValSetupPwd om 'n wagwoord te verskaf.
    • Hierdie probleem word waargeneem wanneer die toestel reeds 'n BIOS-wagwoord het. Om die probleem op te los, gebruik die Intune BIOS-wagwoordbestuurder en maak die huidige BIOS-wagwoord skoon met Dell Command | Stel die instrument op of deur by BIOS-opstelling aan te meld. Ontplooi dan 'n nuwe BIOS Configuration profile gebruik Intune met die opsie Deaktiveer wagwoordbeskerming per toestel op NEE.
  • Agent het fout aangemeld: 58
    • Beskrywing—Die opstelwagwoord wat verskaf word, is verkeerd. Probeer weer.
    • Die probleem word waargeneem wanneer verskeie BIOS-konfigurasie profiles word vir dieselfde toestelgroep gebruik. Vee die bykomende BIOS-konfigurasie-pro uitfiles wat nie daarin slaag om die probleem op te los nie.
    • Die probleem kan ook waargeneem word wanneer die BIOS-konfigurasie profiles word gewysig wanneer die status Hangende is.
      LET WEL: Sien Belangrike Inligting vir meer besonderhede.
  • Verifikasie van metadata het misluk
    • Die probleem word waargeneem wanneer daar enige foute is terwyl die korrektheid van BIOS Configuration Pro geverifieer wordfile metadata.
    • Die agent rapporteer die status as Misluk met die fout Verifikasie van metadata het misluk.
    • Geen BIOS-konfigurasies word uitgevoer nie.
    • Om hierdie probleem op te los, probeer om die BIOS Configuration Pro te herontplooifile, of verwyder en skep 'n BIOS Configuration Profile op Microsoft Intune.
• Hoe dekodeer ek die foutkode-terugsending van DCECMI in die Microsoft Intune-verslag?
  Sien Dell Command | Stel foutkodes op by Ondersteuning | Dell vir 'n lys van al die foutkodes en hul betekenis.
• Hoe aktiveer ek DCECMI verbose logs vir probleemoplossing?
  1. Gaan na die registerligging HKLM\Software\Dell\EndpointConfigure\.
  2. Skep 'n DWORD 32-registersleutel met die naam LogVerbosity.
  3. Ken dit 'n waarde van 12 toe.
  4. Herbegin Dell Command|Endpoint Configure vir Microsoft Intune-diens vanaf Services.msc en let op die C:\ProgramData\Dell\EndpointConfigure\EndpointConfigure.log log vir uitgebreide boodskappe.
     Sien Dell Command | Stel foutkodes op by Ondersteuning | Dell vir 'n lys van al die foutkodes en hul betekenis.
     Jy kan ook Log-ligging vir probleemoplossing sien vir meer inligting.
• Hoe ontplooi ek DCECMI of skep en ontplooi ek Win32-toepassings vanaf Microsoft Intune?
  Sien Dell Command | Eindpuntkonfigurasie vir Microsoft Intune Installasiegids by Ondersteuning | Dell oor hoe om 'n DCECMI Win32-toepassing te ontplooi met behulp van Microsoft Intune. Die pakket vul die DCECMI-installeringsopdragte, deïnstalleringsopdragte en die opsporingslogika outomaties in, sodra dit na Windows-toepassings op Microsoft Intune opgelaai is.
• As ek nie die veilige ewekansige wagwoord van Intune wagwoordbestuurder wil gebruik nie en eerder CCTK gebruik files vir wagwoordbewerkings met my persoonlike wagwoord, word dit toegelaat?
  • Dit word sterk aanbeveel om Intune Password Manager te gebruik vir BIOS-wagwoordbestuur as gevolg van die advantages aangebied.
  • As die wagwoord met .cctk gestel is file en nie Intune Password Manager gebruik nie, skakel die wagwoord nie oor na Intune of AAD-bestuurde wagwoord nie.
  • Die Intune-wagwoordbestuurder weet niks wat verband hou met die BIOS-wagwoord wat met 'n .cctk gestel is nie file of handmatig.
  • Die BIOS-wagwoord word as nul/leeg vertoon wanneer Microsoft Graph API's gebruik word om die BIOS-wagwoord te gaan haal.
• Waar word my wagwoorde gestoor of gesinkroniseer?
  Wagwoorde wat deur jou gegenereer is, in die CCTK file, word nie deur Intune of Graph gestoor, gesinkroniseer of bestuur nie. Slegs veilige, ewekansige, unieke per toestel-wagwoorde wat deur Intune gegenereer word, met behulp van die Ja/Nee-skakelaar vir Deaktiveer BIOS-wagwoordbeskerming per toestel, word gesinkroniseer of bestuur deur Intune of Graph.
• In watter scenario's is profiles weer geaktiveer?
  • BIOS-konfigurasie profiles is nie ontwerp vir proaktiewe remediëring in Intune nie.
  • 'N Profile word nie herhaaldelik ontplooi sodra dit suksesvol op die toestel toegepas is nie. 'n Profile word slegs herontplooi wanneer jy die pro veranderfile in Intune.
  • Jy kan ook wysig Deaktiveer wagwoordbeskerming per toestel of konfigurasie file deur 'n nuwe .cctk-konfigurasie op te laai file.
  • Die wysiging van een of albei van die bogenoemde opsies werk die pro opfile weergawe en aktiveer 'n profile herontplooiing na die toegewese eindpuntgroep.

Kontak Dell
Dell bied verskeie aanlyn- en telefoongebaseerde ondersteuning- en diensopsies. Beskikbaarheid verskil volgens land en produk, en sommige dienste is dalk nie in jou area beskikbaar nie. Om Dell te kontak vir verkope, tegniese ondersteuning of kliëntedienskwessies, gaan na dell.com.
As jy nie 'n aktiewe internetverbinding het nie, kan jy kontakinligting op jou aankoopfaktuur, pakstrokie, rekening of Dell-produkkatalogus vind.

Dokumente / Hulpbronne

DELL Command Endpoint Configure vir Microsoft Intune [pdf] Gebruikersgids Command Endpoint Configure for Microsoft Intune, Endpoint Configure for Microsoft Intune, Configure for Microsoft Intune, Microsoft Intune, Intune

Verwysings

• Gebruikershandleiding