DELL Command Endpoint Configure för Microsoft Intune

Produktinformation

Specifikationer:

• Produktnamn: Dell Command | Endpoint Configure för Microsoft Intune
• Version: Mars 2024 Rev. A00
• Funktionalitet: Hantera och konfigurera BIOS-inställningar med Microsoft Intune

Produktanvändningsinstruktioner

Kapitel 1: Inledning
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) möjliggör enkel och säker hantering och konfiguration av BIOS-inställningar via Microsoft Intune. Den använder binära stora objekt (BLOB) för att lagra data, konfigurera BIOS-inställningar med noll beröring och underhålla unika lösenord. För mer detaljerad information om Microsoft Intune, se Endpoint Management-dokumentationen i Microsoft Learn.

Kapitel 2: BIOS Configuration Profile
Skapa och tilldela en BIOS Configuration Profile:

1. Skapa BIOS-konfigurationspaketet som ett binärt stort objekt (BLOB) med Dell Command | Konfigurera.
2. Logga in på Microsoft Intunes administratörscenter med rätt konto som har policyn och Profile Chefsroll tilldelad.
3. Gå till Enheter > Konfiguration i administratörscentret.
4. Klicka på Policyer och sedan Skapa Profile.
5. Välj Windows 10 och senare som plattform.
6. Välj Mallar i Profile typ.
7. Välj BIOS-konfigurationer under Mallnamn.
8. Klicka på Skapa för att skapa BIOS Configuration Profile.

FAQ

• F: Var kan jag hitta mer information om att installera Dell Command | Endpoint Configure för Microsoft Intune?
  S: Installationsguiden för Dell Command | Endpoint Configure för Microsoft Intune finns på dokumentationssidan för Dell Command | Endpoint Configure för Microsoft Intune.
• F: Hur kan jag felsöka problem med Dell Command | Endpoint Configure för Microsoft Intune?
  S: Avsnittet Loggplats i kapitel 4 i användarmanualen ger information om felsökningsmetoder för programvaran.

Anmärkningar, varningar och varningar

• NOTERA: EN NOTERA anger viktig information som hjälper dig att bättre använda din produkt.
• FÖRSIKTIGHET: EN FÖRSIKTIGHET indikerar antingen potentiell skada på hårdvaran eller förlust av data och berättar hur du undviker problemet.
• VARNING: En VARNING indikerar risk för egendomsskada, personskada eller dödsfall.

© 2024 Dell Inc. eller dess dotterbolag. Alla rättigheter reserverade. Dell Technologies, Dell och andra varumärken är varumärken som tillhör Dell Inc. eller dess dotterbolag. Andra varumärken kan vara varumärken som tillhör sina respektive ägare.

Introduktion

Introduktion till Dell Command | Endpoint Configure for Microsoft Intune (DCECMI):
Dell Command | Endpoint Configure for Microsoft Intune (DCECMI) gör att du kan hantera och konfigurera BIOS enkelt och säkert med Microsoft Intune. Programvaran använder Binary Large Objects (BLOB) för att lagra data, konfigurera och hantera Dells system-BIOS-inställningar med noll-touch och ställa in och underhålla unika lösenord.
För mer information om Microsoft Intune, se Endpoint management dokumentation i Microsoft Lär dig.

Andra dokument du kan behöva
Dell-kommandot | Endpoint Configure for Microsoft Intune Installationsguide innehåller information om hur du installerar Dell Command | Endpoint Configure för Microsoft Intune på klientsystem som stöds. Guiden finns tillgänglig på Dell Command | Endpoint Configure for Microsoft Intune dokumentationssida.

BIOS-konfiguration profile

Skapa och tilldela ett BIOS-konfigurationsproffsfile
När BIOS-konfigurationspaketet är skapat som ett binärt stort objekt (BLOB), kan Microsoft Intune-administratören använda det för att skapa ett BIOS-konfigurationsproffsfile. Proffsetfile kan skapas via Microsoft Intune Admin Center för att hantera Dells kommersiella klientsystem i en IT-miljö.

Om denna uppgift
Du kan skapa ett BIOS-konfigurationspaket (.cctk) file med Dell Command | Konfigurera. Se Skapa ett BIOS-paket i Dell Command | Konfigurera användarhandbok på Support | Dell för mer information.

Steg

1. Logga in på Microsoft Intune administratörscenter använder Intune-kontot med policyn och Profile Managerroll tilldelad alternativ.
2. Gå till Enheter > Konfiguration.
3. Klicka på Policyer.
4. Klicka på Skapa Profile.
5. Välj Windows 10 och senare från rullgardinsmenyn Plattform.
6. Välj Mallar i Profile typ från rullgardinsmenyn Plattform.
7. Under Mallnamn väljer du BIOS Configurations.
8. Klicka på Skapa. BIOS-konfigurationsproffsfile skapandet börjar.
9. På fliken Grunder, på Skapa BIOS-konfigurationer profile sida, skriv in namnet på proffsenfile och Beskrivning. Beskrivningen är valfri.
10. På fliken Konfigurationer på Skapa BIOS-konfigurationer profile sida, välj Dell i rullgardinsmenyn Maskinvara.
11. Välj något av följande alternativ för Inaktivera lösenordsskydd per enhet:
    • Om du väljer NEJ, skickar Microsoft Intune ett unikt, per enhet, slumpmässigt BIOS-administratörslösenord som tillämpas på enheten.
    • Om du väljer JA, rensas det tidigare tillämpade BIOS-administratörslösenordet som ställts in via Microsoft Intunes arbetsflöde.
      NOTERA: Om BIOS-administratörslösenordet inte ställs in via Microsoft Intunes arbetsflöde, håller JA-inställningen enheterna i ett lösenordslöst tillstånd.
12. Ladda upp BIOS-konfigurationspaketet i Configuration file.
13. På fliken Tilldelningar på Skapa BIOS-konfigurationer profile sida, klicka på Lägg till grupper under Inkluderade grupper.
14. . Välj de enhetsgrupper där du vill distribuera paketet.
15. Där inneview fliken Skapa BIOS-konfigurationer profile sida, review detaljerna för ditt BIOS-paket.
16. Klicka på Skapa för att distribuera paketet.
    NOTERA: När BIOS Configuration Profile skapas, proffsetfile distribueras till de riktade slutpunktsgrupperna. DCECMI-agenten fångar upp och applicerar det säkert.

Kontrollerar distributionsstatusen för BIOS Configuration Profile
För att kontrollera distributionsstatusen för BIOS Configuration Profile, gör följande:

Steg

1. Gå till Microsoft Intunes administratörscenter.
2. Logga in med en användare som har policyn och Profile Chefsroll tilldelad.
3. Klicka på Enheter i navigeringsmenyn till vänster.
4. Välj Konfiguration i avsnittet Hantera enheter.
5. Leta reda på BIOS Configuration Policy som du skapade och klicka på policynamnet för att öppna informationssidan. På informationssidan kan du view enhetens status – Lyckad, Misslyckad, Väntande, Okänd, Ej tillämplig.

Viktiga överväganden när du distribuerar ett BIOS-konfigurationsproffsfile

• Använd en BIOS-konfigurationsproffsfile för en enhetsgrupp och uppdatera den vid behov, istället för att skapa ett proffsfile för en given enhetsgrupp.
• Inrikta dig inte på flera BIOS Configuration Profiles till samma enhetsgrupp.
• Använder ett BIOS-konfigurationsproffsfile undviker konflikter mellan flera proffsfiles som är tilldelade samma slutpunktsgrupp.
• Distribuerar flera proffsfiles till samma ändpunktsgrupp orsakar ett rastillstånd och resulterar i ett konfliktfyllt BIOS-konfigurationstillstånd.
  • Ett felmeddelande om möjlig återuppspelningsattack upptäckt visas också i EndpointConfigure.log. Se Loggplats för felsökning för mer information.
  • I Intune-portalen visas felmeddelandet som verifiering av metadata misslyckades. Se avsnittet Verifiering av metadata misslyckades i Vanliga frågor för mer information.
• För uppdatering av ett befintligt proffsfile, gör följande på fliken Egenskaper i BIOS configuration profile:
  1. Klicka på Redigera.
  2. Redigera Inaktivera lösenordsskydd per enhet eller konfiguration file genom att ladda upp en ny .cctk-konfiguration file. Genom att ändra endera eller båda av de ovan nämnda alternativen uppdateras proffsetfile version och utlöser ett proffsfile omdistribuering till den tilldelade slutpunktsgruppen.
  3. Klicka på Review + knappen Spara.
     I nästa flik, review detaljerna och klicka på Spara.
• Ändra inte BIOS Configuration Profiles i väntande tillstånd.
  • Om det redan finns en befintlig BIOS Configuration Profile som distribueras till slutpunktsgrupperna och statusen visas som väntar, uppdatera inte den BIOS Configuration Profile.
  • Du får inte uppdatera förrän statusen övergår från väntande till lyckad eller misslyckad.
  • Ändring kan orsaka konflikter och efterföljande BIOS Configuration Profile versionsfel. Ibland kan BIOS-lösenordssynkroniseringsfel uppstå och du kanske inte kan se det nyligen tillämpade BIOS-lösenordet.
• När du hanterar lösenord med användargränssnittet för Microsoft Intune Admin Center, kom ihåg följande:
  • Om du väljer NEJ för Inaktivera lösenordsskydd per enhet, skickar Intune ett slumpmässigt BIOS-administratörslösenord som tillämpas på enheten.
  • Om du väljer JA för Inaktivera lösenordsskydd per enhet, rensas det tidigare tillämpade BIOS-administratörslösenordet genom Intunes arbetsflöde.
  • Om inget BIOS-administratörslösenord användes tidigare genom Intunes arbetsflöde, hjälper inställningen till att hålla enheterna i ett lösenordslöst tillstånd.
• Dell Technologies rekommenderar att du använder Intune Password Manager för BIOS Password Management, eftersom applikationen ger överlägsen säkerhet och hanterbarhet.

Dell BIOS-hantering

Microsoft Graph API för Dell BIOS-hantering

För att kunna använda grafiska API:er för Dell BIOS Management måste en applikation ha följande omfång tilldelade:

• DeviceManagementConfiguration.Read.All
• DeviceManagementConfiguration.ReadWrite.All
• DeviceManagementManagedDevices.PrivilegedOperations.All

Följande grafiska API:er kan användas för Dell BIOS-hantering:

• Skapa hårdvarukonfiguration
• tilldela åtgärd för hårdvarukonfiguration
• Lista hårdvarukonfigurationer
• Hämta hårdvarukonfiguration
• Ta bort hårdvarukonfiguration
• Uppdatera hårdvarukonfiguration

Följande grafiska API:er kan användas för Dell BIOS-lösenordshantering:

• Lista information om maskinvarulösenord
• Få information om maskinvarulösenord
• Skapa hårdvarulösenordsinfo
• Ta bort maskinvarulösenordsinfo
• Uppdatera maskinvarulösenordsinformation

Använda Graph API:er för att hämta Dell BIOS-lösenordet manuellt

• Förutsättningar
  Se till att du använder Microsoft Graph Explorer.
• Steg
  1. Logga in på Microsoft Graph Explorer med Intunes globala administratörsuppgifter.
  2. Ändra API till betaversion.
  3. Lista information om maskinvarulösenord för alla enheter som använder URL https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo.
  4. Klicka på Ändra behörigheter.
  5. Aktivera DeviceManagementConfiguration.Read.All, DeviceManagementConfiguration.ReadWrite.All och DeviceManagementManagedDevices.PrivilegedOperations.All.
  6. Klicka på Kör fråga.
     Hårdvarulösenordsinformationen för alla enheter, det aktuella lösenordet och listan över de tidigare 15 lösenorden listas i ett läsbart format i Response preview.

Viktig information

• Systemadministratörer kan använda Microsoft Graph Explorer eller skapa PowerShell-skript med PowerShell SDK för Microsoft Intune Graph API från PowerShell Gallery för att hämta Dell BIOS-lösenordsinformation.
• Dell BIOS Password Management Graph API:er stöder också filter. Till exempelample, för att få information om hårdvarulösenordet för en viss enhet med serienummer, gå till https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo?$filter=serialNumber.
  NOTERA: Endast List hardwarePasswordInfos och Get hardwarePasswordInfo APIs stöds. Skapa hardwarePasswordInfo, Ta bort hardwarePasswordInfo och Update hardwarePasswordInfo API:er stöds inte nu.

Loggplats för felsökning

Dell Command | Endpoint Configure för Microsoft Intune (DCECMI) implementerar file loggningsfunktion. Du kan använda utförliga loggar för DCECMI.
Loggen file finns tillgänglig på C:\ProgramData\Dell\EndpointConfigure. De file namnet är EndpointConfigure.log.

Gör följande för att aktivera detaljerade loggar:

1. Gå till registerplatsen HKLM\Software\Dell\EndpointConfigure\.
2. Skapa en DWORD 32-registernyckel med namnet LogVerbosity.
3. Tilldela det värdet 12.
4. Starta om DCECMI och observera de utförliga loggarna.

Tabell 1. DCECMI loggar

Ordrikedom Värde	Meddelande	Beskrivning
1	Dödlig	Ett kritiskt fel har inträffat och systemet anses vara instabilt.
3	Fel	Ett allvarligt fel har inträffat som inte bedöms som dödligt.
5	Varning	Varningsmeddelande för användaren.
10	Informationsinformation	Detta meddelande är i informationssyfte.
12	Mångordig	Andra informationsmeddelanden som kan loggas och viewed beroende på verbositetsnivån.

Vanliga frågor

• Hur byter jag över till det Intune- eller AAD-hanterade lösenordet när jag redan har ett BIOS-lösenord?
  • Intune tillhandahåller inte ett sätt att se det ursprungliga lösenordet i AAD.
  • För att växla över till det Intune- eller AAD-hanterade lösenordet, rensa det befintliga BIOS-lösenordet med samma metod som används för att ställa in BIOS-lösenordet.
    NOTERA: Dell Technologies har inget huvudlösenord och kan inte kringgå kundlösenordet.
• Hur får jag lösenordet för en enhet som jag måste serva manuellt?
  Microsoft Intune visar inte lösenordet i enhetsegenskaperna. Gå till Använda Graph APIs för att hämta Dell BIOS-lösenordet manuellt för mer information.
  NOTERA: Endast List hardwarePasswordInfos och Get hardwarePasswordInfo stöds.
• Hur skickar jag ett unikt lösenord per enhet till Dell Command | Uppdatera så att den kan uppdatera firmware?
  Dell Command | Uppdatering använder inte en kapsel-BIOS-uppdateringsmetod som säkert kan kringgå BIOS-lösenordet. Windows Update, Autopatch och Windows Update for Business använder Dell capsule BIOS-uppdateringsmetoden. om du har distribuerat ett unikt lösenord per enhet kan du använda dem. Se till att Capsule BIOS-uppdatering är aktiverad i BIOS-inställningarna.
• Hur undviker jag att använda BIOS Configuration Profile till icke-Dell-enheter?
  För närvarande stöds inte filter i BIOS Configuration Profile uppdrag. Istället kan du tilldela en uteslutningsgrupp för enheter som inte kommer från Dell.
  Följ dessa steg för att skapa en dynamisk uteslutningsgrupp:
  1. I Microsoft Intunes administratörscenter, gå till Hem > Grupper | Alla grupper > Ny grupp.
  2. I listrutan Medlemskapstyp väljer du Dynamisk enhet.
  3. Skapa den dynamiska frågan enligt riktlinjerna för dynamiska medlemskap för grupper i Azure Active Directory-riktlinjer i Microsoft.
• Var hittar jag loggarna för att felsöka eventuella problem?
  Dell-logg files kan hittas här: C:\ProgramData\dell\EndpointConfigure\EndpointConfigure<*>.log. Microsoft logg files kan hittas här: C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\<*>.log
• Hur löser jag agentrapporterade fel?
  Här är några agentrapporterade fel som du kan se:
  • Agent rapporterat fel: 65
    • Beskrivning—Inställningslösenordet krävs för att ändra inställningen. Använd –ValSetupPwd för att ange ett lösenord.
    • Det här problemet uppstår när enheten redan har ett BIOS-lösenord. För att lösa problemet, använd Intune BIOS lösenordshanteraren och rensa det aktuella BIOS-lösenordet med Dell Command | Konfigurera verktyget eller genom att logga in i BIOS Setup. Installera sedan ett nytt BIOS Configuration profile med Intune med alternativet Inaktivera lösenordsskydd per enhet inställt på NEJ.
  • Agent rapporterat fel: 58
    • Beskrivning—Inställningslösenordet som tillhandahålls är felaktigt. Försök igen.
    • Problemet observeras när flera BIOS-konfigurationer profiles används för samma enhetsgrupp. Ta bort den extra BIOS-konfigurationsproffsetfiles som inte lyckas åtgärda problemet.
    • Problemet kan också observeras när BIOS configuration profiles ändras när statusen är Väntande.
      NOTERA: Se Viktig information för mer information.
  • Verifiering av metadata misslyckades
    • Problemet observeras när det finns några fel när man verifierar riktigheten av BIOS Configuration Profile metadata.
    • Agenten rapporterar status som Misslyckades med felet Verifiering av metadata misslyckades.
    • Inga BIOS-konfigurationer utförs.
    • För att lösa det här problemet, försök att distribuera om BIOS Configuration Profile, eller ta bort och skapa en BIOS Configuration Profile på Microsoft Intune.
• Hur avkodar jag felkodsreturen från DCECMI i Microsoft Intune-rapporten?
  Se Dell Command | Konfigurera felkoder på Support | Dell för en lista över alla felkoder och deras betydelse.
• Hur aktiverar jag DCECMI omfattande loggar för felsökning?
  1. Gå till registerplatsen HKLM\Software\Dell\EndpointConfigure\.
  2. Skapa en DWORD 32-registernyckel med namnet LogVerbosity.
  3. Tilldela det värdet 12.
  4. Starta om Dell Command|Endpoint Configure för Microsoft Intune-service från Services.msc och observera C:\ProgramData\Dell\EndpointConfigure\EndpointConfigure.log-loggen för utförliga meddelanden.
     Se Dell Command | Konfigurera felkoder på Support | Dell för en lista över alla felkoder och deras betydelse.
     Du kan också se Loggplats för felsökning för mer information.
• Hur distribuerar jag DCECMI eller skapar och distribuerar Win32-program från Microsoft Intune?
  Se Dell Command | Endpoint Configuration for Microsoft Intune Installation Guide at Support | Dell om hur man distribuerar en DCECMI Win32-applikation med Microsoft Intune. Paketet fyller i DCECMI-installationskommandona, avinstallationskommandon och detekteringslogiken automatiskt, när de har laddats upp till Windows-program på Microsoft Intune.
• Om jag inte vill använda det säkra slumpmässiga lösenordet från Intunes lösenordshanterare och istället använda CCTK files för lösenordsoperationer med mitt anpassade lösenord, är det tillåtet?
  • Det rekommenderas starkt att använda Intune Password Manager för BIOS-lösenordshantering på grund av advantages erbjuds.
  • Om lösenordet ställs in med .cctk file och inte använder Intune Password Manager, växlar lösenordet inte till Intune eller AAD-hanterat lösenord.
  • Intunes lösenordshanterare känner inte till något som är relaterat till BIOS-lösenordet som ställts in med en .cctk file eller manuellt.
  • BIOS-lösenordet visas som null/tomt när Microsoft Graph API:er används för att hämta BIOS-lösenordet.
• Var lagras eller synkroniseras mina lösenord?
  Lösenord genererade av dig, i CCTK file, lagras, synkroniseras eller hanteras inte av Intune eller Graph. Endast säkra, slumpmässiga, unika lösenord per enhet som genereras av Intune, med Ja/Nej-växeln för Inaktivera BIOS-lösenordsskydd per enhet, synkroniseras eller hanteras av Intune eller Graph.
• I vilka scenarier är proffsfileär återaktiverad?
  • BIOS-konfiguration profiles är inte designade för proaktiva sanering i Intune.
  • Ett proffsfile distribueras inte upprepade gånger när den väl har applicerats på enheten. Ett proffsfile omdistribueras endast när du modifierar proffsetfile i Intune.
  • Du kan också redigera Inaktivera lösenordsskydd per enhet eller konfiguration file genom att ladda upp en ny .cctk-konfiguration file.
  • Genom att ändra endera eller båda av de ovan nämnda alternativen uppdateras proffsetfile version och utlöser ett proffsfile omdistribuering till den tilldelade slutpunktsgruppen.

Kontakta Dell
Dell erbjuder flera online- och telefonbaserade support- och servicealternativ. Tillgängligheten varierar beroende på land och produkt, och vissa tjänster kanske inte är tillgängliga i ditt område. För att kontakta Dell för försäljning, teknisk support eller kundtjänstproblem, gå till dell.com.
Om du inte har en aktiv internetanslutning kan du hitta kontaktinformation på din köpfaktura, följesedel, faktura eller Dells produktkatalog

Dokument/resurser

DELL Command Endpoint Configure för Microsoft Intune [pdf] Användarhandbok Kommando Endpoint Configure för Microsoft Intune, Endpoint Configure för Microsoft Intune, Configure for Microsoft Intune, Microsoft Intune, Intune

Referenser

• Användarmanual