DELL Command Endpoint Configure voor Microsoft Intune

Productinformatie

Specificaties:

• Productnaam: Dell Command | Eindpunt configureren voor Microsoft Intune
• Versie: Maart 2024 Rev. A00
• Functionaliteit: Beheer en configureer BIOS-instellingen met Microsoft Intune

Instructies voor productgebruik

Hoofdstuk 1: Inleiding
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) maakt eenvoudig en veilig beheer en configuratie van BIOS-instellingen mogelijk via Microsoft Intune. Het maakt gebruik van Binary Large Objects (BLOB's) om gegevens op te slaan, BIOS-instellingen te configureren zonder aanraking en unieke wachtwoorden te onderhouden. Voor meer gedetailleerde informatie over Microsoft Intune raadpleegt u de documentatie over eindpuntbeheer in Microsoft Learn.

Hoofdstuk 2: BIOS-configuratie Profile
Een BIOS Configuration Pro maken en toewijzenfile:

1. Maak het BIOS-configuratiepakket als een Binary Large Object (BLOB) met behulp van Dell Command | Configureer.
2. Meld u aan bij het Microsoft Intune-beheercentrum met het juiste account met Policy en Profile Managerrol toegewezen.
3. Ga naar Apparaten > Configuratie in het beheercentrum.
4. Klik op Beleid en vervolgens op Pro makenfile.
5. Selecteer Windows 10 en hoger als platform.
6. Kies Sjablonen in Profile type.
7. Selecteer BIOS-configuraties onder Sjabloonnaam.
8. Klik op Maken om de BIOS-configuratiepro te makenfile.

Veelgestelde vragen

• Vraag: Waar kan ik meer informatie vinden over het installeren van Dell Command | Eindpunt configureren voor Microsoft Intune?
  A: De installatiehandleiding voor Dell Command | Endpoint Configure voor Microsoft Intune is beschikbaar op de documentatiepagina van Dell Command | Eindpunt configureren voor Microsoft Intune.
• Vraag: Hoe kan ik problemen met Dell Command | Eindpunt configureren voor Microsoft Intune?
  A: Het gedeelte Loglocatie in hoofdstuk 4 van de gebruikershandleiding biedt informatie over methoden voor het oplossen van problemen met de software.

Opmerkingen, waarschuwingen en waarschuwingen

• OPMERKING: Een OPMERKING geeft belangrijke informatie aan waarmee u uw product beter kunt gebruiken.
• VOORZICHTIGHEID: Een waarschuwing geeft aan dat er sprake kan zijn van schade aan de hardware of verlies van gegevens. Ook staat hierin hoe u dit probleem kunt voorkomen.
• WAARSCHUWING: Een WAARSCHUWING geeft aan dat er kans is op materiële schade, persoonlijk letsel of overlijden.

© 2024 Dell Inc. of haar dochterondernemingen. Alle rechten voorbehouden. Dell Technologies, Dell en andere handelsmerken zijn handelsmerken van Dell Inc. of haar dochterondernemingen. Andere handelsmerken kunnen handelsmerken zijn van hun respectievelijke eigenaren.

Invoering

Inleiding tot Dell Command | Eindpunt configureren voor Microsoft Intune (DCECMI):
Dell Command | Met Endpoint Configure voor Microsoft Intune (DCECMI) kunt u het BIOS eenvoudig en veilig beheren en configureren met Microsoft Intune. De software maakt gebruik van Binary Large Objects (BLOB's) om gegevens op te slaan, de BIOS-instellingen van het Dell-systeem te configureren en te beheren zonder enige aanraking, en om unieke wachtwoorden in te stellen en te onderhouden.
Zie de documentatie voor eindpuntbeheer in voor meer informatie over Microsoft Intune Microsoft Leren.

Andere documenten die u mogelijk nodig heeft
Het Dell Command | Endpoint Configure voor Microsoft Intune Installatiehandleiding biedt informatie over het installeren van Dell Command | Endpoint Configure voor Microsoft Intune op ondersteunde clientsystemen. De handleiding is beschikbaar op Dell Command | Endpoint Configure voor Microsoft Intune-documentatiepagina.

BIOS-configuratie profile

Een BIOS-configuratiepro maken en toewijzenfile
Zodra het BIOS-configuratiepakket is gemaakt als een Binary Large Object (BLOB), kan de Microsoft Intune-beheerder dit gebruiken om een ​​BIOS-configuratiepro te makenfile. De proffesionalfile kan worden gemaakt via Microsoft Intune Admin Center om de commerciële Dell-clientsystemen in een IT-omgeving te beheren.

Over deze taak
U kunt een BIOS-configuratiepakket (.cctk) maken file met behulp van Dell Command | Configureer. Zie Een BIOS-pakket maken in Dell Command | Configureer de gebruikershandleiding op Ondersteuning | Dell voor meer informatie.

Stappen

1. Meld u aan bij Microsoft Intune-beheercentrum met behulp van het Intune-account met Policy en Profile Optie toegewezen aan managerrol.
2. Ga naar Apparaten > Configuratie.
3. Klik op Beleid.
4. Klik op Pro makenfile.
5. Selecteer Windows 10 en hoger in de vervolgkeuzelijst Platform.
6. Selecteer Sjablonen in Profile typ in de vervolgkeuzelijst Platform.
7. Selecteer onder Sjabloonnaam de optie BIOS-configuraties.
8. Klik op Maken. De BIOS-configuratie profile de schepping begint.
9. Op het tabblad Basis, op BIOS-configuraties maken profile pagina, voer de naam van de professional infile en Beschrijving. De beschrijving is optioneel.
10. Op het tabblad Configuraties op BIOS-configuraties maken profile pagina, selecteer Dell in de vervolgkeuzelijst Hardware.
11. Selecteer een van de volgende opties voor Wachtwoordbeveiliging per apparaat uitschakelen:
    • Als u NEE selecteert, verzendt Microsoft Intune een willekeurig BIOS-beheerderswachtwoord dat per apparaat uniek is en op het apparaat wordt toegepast.
    • Als u JA selecteert, wordt het eerder toegepaste BIOS-beheerderswachtwoord dat is ingesteld via de Microsoft Intune-workflow gewist.
      OPMERKING: Als het BIOS-beheerderswachtwoord niet is ingesteld via de Microsoft Intune-workflow, zorgt de instelling JA ervoor dat de apparaten een wachtwoordloze status behouden.
12. Upload het BIOS-configuratiepakket in Configuratie file.
13. Op het tabblad Toewijzingen op BIOS-configuraties maken profile Klik op Groepen toevoegen onder Opgenomen groepen.
14. . Selecteer de apparaatgroepen waar u het pakket wilt implementeren.
15. Daarinview tabblad op BIOS-configuraties maken profile pagina, review de details van uw BIOS-pakket.
16. Klik op Maken om het pakket te implementeren.
    OPMERKING: Zodra het BIOS Configuration Profile is gemaakt, de profile wordt geïmplementeerd op de beoogde eindpuntgroepen. De DCECMI-agent onderschept en past deze veilig toe.

De implementatiestatus van BIOS Configuration Pro controlerenfile
Om de implementatiestatus van BIOS Configuration Pro te controlerenfile, doe dan het volgende:

Stappen

1. Ga naar het Microsoft Intune-beheercentrum.
2. Meld u aan met een gebruiker die het Beleid en Pro heeftfile Managerrol toegewezen.
3. Klik op Apparaten in het navigatiemenu aan de linkerkant.
4. Selecteer Configuratie in het gedeelte Apparaten beheren.
5. Zoek het BIOS-configuratiebeleid dat u hebt gemaakt en klik op de beleidsnaam om de detailpagina te openen. Op de detailpagina kunt u dat doen view de apparaatstatus: Geslaagd, Mislukt, In behandeling, Onbekend, Niet van toepassing.

Belangrijke overwegingen bij het implementeren van een BIOS-configuratieprofessionalfile

• Gebruik één BIOS-configuratieprofessionalfile voor een apparaatgroep en update deze indien nodig, in plaats van een professional te makenfile voor een bepaalde apparaatgroep.
• Richt u niet op meerdere BIOS Configuration Profiles naar dezelfde apparaatgroep.
• Eén BIOS-configuratieprofessional gebruikenfile vermijdt conflicten tussen meerdere professionalsfiles die aan dezelfde eindpuntgroep zijn toegewezen.
• Meerdere pro's inzettenfiles naar dezelfde eindpuntgroep veroorzaken een race condition en resulteren in een conflicterende BIOS-configuratiestatus.
  • Er wordt ook een foutmelding Mogelijke replay-aanval gedetecteerd weergegeven in EndpointConfigure.log. Zie Loglocatie voor probleemoplossing voor meer details.
  • In de Intune-portal wordt het foutbericht weergegeven als Verificatie van metagegevens mislukt. Zie het gedeelte Verificatie van metagegevens mislukt in Veelgestelde vragen voor meer informatie.
• Voor het updaten van een bestaande professionalfile, doet u het volgende op het tabblad Eigenschappen van BIOS Configuration Profile:
  1. Klik op Bewerken.
  2. Bewerken Wachtwoordbeveiliging of configuratie per apparaat uitschakelen file door een nieuwe .cctk-configuratie te uploaden file. Als u een of beide bovengenoemde opties wijzigt, wordt de professional bijgewerktfile versie en activeert een professionalfile herimplementatie naar de toegewezen eindpuntgroep.
  3. Klik op Opnieuwview + knop Opslaan.
     Op het volgende tabblad, review de details en klik op Opslaan.
• Wijzig BIOS Configuration Pro nietfiles in de status In behandeling.
  • Als er al een bestaande BIOS Configuration Pro isfile dat is geïmplementeerd in de eindpuntgroepen en de status wordt weergegeven als In behandeling, update dat BIOS Configuration Pro dan nietfile.
  • U mag pas updaten als de status verandert van In behandeling naar Geslaagd of Mislukt.
  • Aanpassingen kunnen conflicten en daaropvolgende BIOS Configuration Pro veroorzakenfile versiefouten. Soms kunnen BIOS-wachtwoordsynchronisatiefouten optreden en kunt u het nieuw toegepaste BIOS-wachtwoord mogelijk niet zien.
• Houd rekening met het volgende wanneer u wachtwoorden beheert met de gebruikersinterface van het Microsoft Intune-beheercentrum:
  • Als u NEE selecteert bij Wachtwoordbeveiliging per apparaat uitschakelen, verzendt Intune een willekeurig BIOS-beheerderswachtwoord dat op het apparaat wordt toegepast.
  • Als u JA selecteert voor Wachtwoordbeveiliging per apparaat uitschakelen, wordt het eerder toegepaste BIOS-beheerderswachtwoord via de Intune-workflow gewist.
  • Als er eerder geen BIOS-beheerderswachtwoord is toegepast via de Intune-workflow, zorgt deze instelling ervoor dat de apparaten een wachtwoordloze status behouden.
• Dell Technologies raadt aan Intune Password Manager te gebruiken voor BIOS-wachtwoordbeheer, omdat de applicatie superieure beveiliging en beheerbaarheid biedt.

Dell BIOS-beheer

Microsoft Graph API voor Dell BIOS-beheer

Om grafiek-API's voor Dell BIOS Management te kunnen gebruiken, moet aan een applicatie de volgende scopes zijn toegewezen:

• DeviceManagementConfiguration.Read.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PrivilegedOperations.All

De volgende grafische API's kunnen worden gebruikt voor Dell BIOS-beheer:

• Hardwareconfiguratie maken
• wijs hardwareconfiguratieactie toe
• Geef hardwareconfiguraties weer
• Hardwareconfiguratie ophalen
• Hardwareconfiguratie verwijderen
• Update de hardwareconfiguratie

De volgende grafische API's kunnen worden gebruikt voor Dell BIOS-wachtwoordbeheer:

• Geef hardwarewachtwoordinfo weer
• Hardware-wachtwoordinformatie ophalen
• Hardware-wachtwoordinfo maken
• Hardware-wachtwoordinfo verwijderen
• Update hardwarewachtwoordinfo

Graph API's gebruiken om het Dell BIOS-wachtwoord handmatig op te halen

• Vereisten
  Zorg ervoor dat u Microsoft Graph Explorer gebruikt.
• Stappen
  1. Meld u aan bij Microsoft Graph Explorer met de Intune Global Administrator-referenties.
  2. Wijzig de API naar bètaversie.
  3. Maak een lijst van de hardwarewachtwoordgegevens van alle apparaten die de URL https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo.
  4. Klik op Machtigingen wijzigen.
  5. Schakel DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All en DeviceManagementManagedDevices.PrivilegedOperations.All in.
  6. Klik op Query uitvoeren.
     De hardwarewachtwoordinformatie van alle apparaten, het huidige wachtwoord en de lijst met de voorgaande 15 wachtwoorden worden in een leesbaar formaat vermeld in Response preview.

Belangrijke informatie

• Systeembeheerders kunnen Microsoft Graph Explorer gebruiken of PowerShell-scripts maken met behulp van PowerShell SDK voor Microsoft Intune Graph API van PowerShell-galerij om Dell BIOS-wachtwoordinformatie op te halen.
• Dell BIOS Wachtwoordbeheer Graph API's ondersteunen ook filters. Bijvoorbeeldample, om de hardwarewachtwoordinformatie van een bepaald apparaat te verkrijgen met behulp van het serienummer, gaat u naar https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber.
  OPMERKING: Alleen List hardwarePasswordInfos en Get hardwarePasswordInfo API's worden ondersteund. De API's hardwarePasswordInfo maken, hardwarePasswordInfo verwijderen en hardwarePasswordInfo bijwerken worden nu niet ondersteund.

Loglocatie voor probleemoplossing

Dell Command | Endpoint Configure voor Microsoft Intune (DCECMI) implementeert file logfunctionaliteit. U kunt uitgebreide logboeken gebruiken voor DCECMI.
Het logboek file is beschikbaar op C:\ProgramData\Dell\EndpointConfigure. De file naam is EndpointConfigure.log.

Om gedetailleerde logboeken in te schakelen, doet u het volgende:

1. Ga naar de registerlocatie HKLM\Software\Dell\EndpointConfigure\.
2. Maak een DWORD 32-registersleutel met de naam LogVerbosity.
3. Geef het de waarde 12.
4. Start DCECMI opnieuw en bekijk de uitgebreide logboeken.

Tabel 1. DCECMI-logboeken

Breedsprakigheid Waarde	Bericht	Beschrijving
1	Fatale	Er is een kritieke fout opgetreden en het systeem wordt als instabiel beschouwd.
3	Fout	Er is een ernstige fout opgetreden die niet als fataal wordt beschouwd.
5	Waarschuwing	Waarschuwingsbericht voor gebruiker.
10	Informatief	Dit bericht is ter informatie.
12	Uitgebreid	Andere informatieve berichten die kunnen worden geregistreerd en viewafhankelijk van het breedsprakigheidsniveau.

Veelgestelde vragen

• Hoe schakel ik over naar het door Intune of AAD beheerde wachtwoord als ik al een BIOS-wachtwoord heb?
  • Intune biedt geen manier om het initiële wachtwoord in AAD te plaatsen.
  • Als u wilt overschakelen naar het door Intune of AAD beheerde wachtwoord, wist u het bestaande BIOS-wachtwoord op dezelfde manier als die wordt gebruikt om het BIOS-wachtwoord in te stellen.
    OPMERKING: Dell Technologies heeft geen hoofdwachtwoord en kan het klantwachtwoord niet omzeilen.
• Hoe kom ik aan het wachtwoord voor een apparaat dat ik handmatig moet onderhouden?
  Microsoft Intune geeft het wachtwoord niet weer in de apparaateigenschappen. Ga naar Graph API's gebruiken om het Dell BIOS-wachtwoord handmatig op te halen voor meer informatie.
  OPMERKING: Alleen List hardwarePasswordInfos en Get hardwarePasswordInfo worden ondersteund.
• Hoe geef ik een uniek wachtwoord per apparaat door aan Dell Command | Updaten zodat de firmware kan worden bijgewerkt?
  Dell Command | Update maakt geen gebruik van een capsule-BIOS-updatemethode waarmee het BIOS-wachtwoord veilig kan worden omzeild. Windows Update, Autopatch en Windows Update for Business maken gebruik van de Dell capsule BIOS-updatemethode. Als u een uniek wachtwoord per apparaat heeft geïmplementeerd, kunt u deze gebruiken. Zorg ervoor dat de Capsule BIOS-update is ingeschakeld in de BIOS-instellingen.
• Hoe voorkom ik dat ik de BIOS-configuratie pro toepas?file naar niet-Dell-apparaten?
  Momenteel worden filters niet ondersteund in BIOS Configuration Profile opdracht. In plaats daarvan kunt u een uitsluitingsgroep toewijzen voor niet-Dell-apparaten.
  Volg deze stappen om een ​​dynamische uitsluitingsgroep te maken:
  1. Ga in het Microsoft Intune-beheercentrum naar Home > Groepen | Alle groepen > Nieuwe groep.
  2. Selecteer in de vervolgkeuzelijst Lidmaatschapstype Dynamisch apparaat.
  3. Maak de dynamische query volgens de dynamische lidmaatschapsregels voor groepen in Azure Active Directory-richtlijnen in Microsoft.
• Waar kan ik de logboeken vinden om eventuele problemen op te lossen?
  Dell-logboek fileU kunt deze hier vinden: C:\ProgramData\dell\EndpointConfigure\EndpointConfigure<*>.log. Microsoft-logboek files vindt u hier: C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\<*>.log
• Hoe los ik door agenten gerapporteerde fouten op?
  Hier volgen enkele door agenten gerapporteerde fouten die u mogelijk tegenkomt:
  • Agent heeft fout gerapporteerd: 65
    • Beschrijving: het installatiewachtwoord is vereist om de instelling te wijzigen. Gebruik –ValSetupPwd om een ​​wachtwoord op te geven.
    • Dit probleem treedt op wanneer het apparaat al een BIOS-wachtwoord heeft. Om het probleem op te lossen, gebruikt u de Intune BIOS-wachtwoordbeheerder en wist u het huidige BIOS-wachtwoord met behulp van Dell Command | Configure tool of door in te loggen op BIOS Setup. Implementeer vervolgens een nieuwe BIOS Configuration profile via Intune waarbij de optie Wachtwoordbeveiliging per apparaat uitschakelen is ingesteld op NEE.
  • Agent heeft fout gerapporteerd: 58
    • Beschrijving: het opgegeven installatiewachtwoord is onjuist. Probeer het nog eens.
    • Het probleem treedt op wanneer meerdere BIOS-configuratieprofiles worden gebruikt voor dezelfde apparaatgroep. Verwijder de extra BIOS-configuratie profiles die het probleem niet kunnen oplossen.
    • Het probleem kan ook worden waargenomen wanneer de BIOS-configuratie profiles worden gewijzigd als de status In behandeling is.
      OPMERKING: Zie Belangrijke informatie voor meer details.
  • Verificatie van metadata is mislukt
    • Het probleem wordt waargenomen wanneer er fouten optreden bij het verifiëren van de juistheid van BIOS Configuration Profile metagegevens.
    • De agent rapporteert de status Mislukt met de fout Verificatie van metagegevens mislukt.
    • Er worden geen BIOS-configuraties uitgevoerd.
    • Om dit probleem op te lossen, probeert u BIOS Configuration Pro opnieuw te implementerenfileof verwijder en maak een BIOS Configuration Profile op Microsoft Intune.
• Hoe decodeer ik de foutcoderetour van DCECMI in het Microsoft Intune-rapport?
  Zie Dell Command | Configureer foutcodes op Support | Dell voor een lijst met alle foutcodes en hun betekenis.
• Hoe schakel ik uitgebreide DCECMI-logboeken in voor probleemoplossing?
  1. Ga naar de registerlocatie HKLM\Software\Dell\EndpointConfigure\.
  2. Maak een DWORD 32-registersleutel met de naam LogVerbosity.
  3. Geef het de waarde 12.
  4. Start Dell Command|Endpoint Configure voor Microsoft Intune-service opnieuw vanuit Services.msc en bekijk het logboek C:\ProgramData\Dell\EndpointConfigure\EndpointConfigure.log voor uitgebreide berichten.
     Zie Dell Command | Configureer foutcodes op Support | Dell voor een lijst met alle foutcodes en hun betekenis.
     U kunt ook Loglocatie voor probleemoplossing raadplegen voor meer informatie.
• Hoe implementeer ik DCECMI of maak en implementeer ik Win32-applicaties vanuit Microsoft Intune?
  Zie Dell Command | Eindpuntconfiguratie voor Microsoft Intune Installatiehandleiding op Support | Dell over het implementeren van een DCECMI Win32-applicatie met Microsoft Intune. Het pakket vult automatisch de DCECMI-installatieopdrachten, verwijderingsopdrachten en de detectielogica in zodra deze zijn geüpload naar Windows-toepassingen op Microsoft Intune.
• Als ik niet het veilige willekeurige wachtwoord van Intune-wachtwoordbeheer wil gebruiken en in plaats daarvan CCTK wil gebruiken files voor wachtwoordbewerkingen met mijn aangepaste wachtwoord, is dat toegestaan?
  • Vanwege de voordelen wordt het ten zeerste aanbevolen om Intune Password Manager te gebruiken voor BIOS-wachtwoordbeheertages aangeboden.
  • Als het wachtwoord is ingesteld met behulp van .cctk file en als u Intune Password Manager niet gebruikt, schakelt het wachtwoord niet over naar een door Intune of door AAD beheerd wachtwoord.
  • De Intune-wachtwoordbeheerder weet niets dat verband houdt met het BIOS-wachtwoord dat is ingesteld met behulp van een .cctk file of handmatig.
  • Het BIOS-wachtwoord wordt weergegeven als null/leeg wanneer Microsoft Graph API's worden gebruikt om het BIOS-wachtwoord op te halen.
• Waar worden mijn wachtwoorden opgeslagen of gesynchroniseerd?
  Wachtwoorden die door u zijn gegenereerd in de CCTK file, worden niet opgeslagen, gesynchroniseerd of beheerd door Intune of Graph. Alleen veilige, willekeurige, unieke wachtwoorden per apparaat die zijn gegenereerd door Intune, met behulp van de schakelaar Ja/Nee voor BIOS-wachtwoordbeveiliging per apparaat uitschakelen, worden gesynchroniseerd of beheerd door Intune of Graph.
• In welke scenario's zijn profileIs het opnieuw geactiveerd?
  • BIOS-configuratie profiles zijn niet ontworpen voor proactieve herstelacties in Intune.
  • een profile wordt niet herhaaldelijk ingezet nadat deze met succes op het apparaat is toegepast. Een professionalfile wordt alleen opnieuw geïmplementeerd als u de pro wijzigtfile in Intune.
  • U kunt ook Wachtwoordbeveiliging per apparaat uitschakelen of Configuratie bewerken file door een nieuwe .cctk-configuratie te uploaden file.
  • Als u een of beide bovengenoemde opties wijzigt, wordt de professional bijgewerktfile versie en activeert een professionalfile herimplementatie naar de toegewezen eindpuntgroep.

Contact opnemen met Dell
Dell biedt verschillende online en telefonische ondersteunings- en serviceopties. De beschikbaarheid varieert per land en product, en sommige services zijn mogelijk niet beschikbaar in uw regio. Als u contact wilt opnemen met Dell voor problemen met verkoop, technische ondersteuning of klantenservice, gaat u naar dell.com.
Als u geen actieve internetverbinding heeft, vindt u de contactgegevens op uw aankoopfactuur, pakbon, factuur of Dell-productcatalogus

Documenten / Bronnen

DELL Command Endpoint Configure voor Microsoft Intune [pdf] Gebruikershandleiding Commando Endpoint Configure voor Microsoft Intune, Endpoint Configure voor Microsoft Intune, Configure voor Microsoft Intune, Microsoft Intune, Intune

Referenties

• Gebruiksaanwijzing