# Dell BIOS -järjestelmänvalvojan salasanan hallinta Intunella

Hallitaan Dellin koko laitekannan BIOS-salasanaa Intunesta Remediation -skripteillä ja Azure Blob -tallennustilan avulla. Ratkaisu ei vaadi kolmannen osapuolen Dell-ohjelmistoja.

## Miten toimii

Ratkaisu käyttää Dellin natiivia WMI-tietoturvarajapintaa (`root\dcim\sysman\wmisecurity`), erityisesti `PasswordObject`- ja `SecurityInterface`-WMI-luokkia. Dellin UEFI-laiteohjelmisto tarjoaa nämä suoraan Windowsin sisäänrakennetun ACPI WMI -siltajurin (`wmiacpi.sys`) kautta – **erillistä Dell Command | Monitor- tai Dell Command | Update -asennusta ei tarvita**.

> **Huomautus:** `root\dcim\sysman\wmisecurity` -namespacea **ei** löydy yleisistä virtuaalikoneista (Hyper-V, Azure, VMware), joista puuttuu Dell UEFI -firmwareprofiili. Ratkaisu on tarkoitettu vain fyysisille Dell-päätelaitteille.

## Vaatimukset

- Fyysinen Dellin laite UEFI-firmwarella (uudemmat Dellin yritys- tai kuluttajalaitteet)
- Windows 10/11 (`wmiacpi.sys` sisältyy oletuksena)
- Päätelaitteella on verkkoyhteys Azuren Blob -tallennustilaan
- Intunen Proactive remediations -toiminto Intunessa (vaatii Intune P1 -lisenssin tai Intune Suiten)

## Ohjeet

Luo Azure Storage Account ja siihen uusi container. Luo sille SAS-URL-osoite. Lataa säiliöön kaksi Base64-koodattua `.txt`-tiedostoa:

- `current-content.txt` – nykyinen BIOS-salasana (Base64-koodattuna)
- `old-content.txt` – kaikki aiemmat tunnetut salasanat, yksi per rivi (Base64-koodattuna), sekä yksi tyhjä rivi niiden laitteiden käsittelemiseksi, joille ei ole vielä asetettu BIOS-salasanaa.

Kun salasanat vaihtuvat vuosien varrella, päivitä molemmat tiedostot tallennustilassa vastaavasti.

Intune huolehtii salasanan ajantasalle Detection ja Remediation skriptien avulla.

## Azure-määritykset

Luo storage account ja luo SAS-tunnus (SAS token), joka on rajattu säiliöön ja jolla on vähintään **lukuoikeudet** (`sp=r`). Lataa molemmat salasanatiedostot ja ota talteen tiedostojen täydet blob-URL-osoitteet (näitä käytetään suoraan skripteissä).

### Esimerkki SAS-URL-osoitteesta (säiliötaso)

```
https://stitbiosmgmt.blob.core.windows.net/mgmt?sp=r&st=2026-02-26T08:55:03Z&se=2036-02-26T17:10:03Z&spr=https&sv=2024-11-04&sr=c&sig=lBtObK2UmF3nzLvN4%2Biu1X9H6nC0Tc%2BRgvW0hM4eq9U%3D
```

## Intune-määritykset

### Korjausskenraarion (Remediation) asetukset

| Asetus | Arvo |
|:--|:--|
| Nimi | Dell BIOS Admin Password |
| Detection skripti | `Dell-BIOSPassword-Detection.ps1` |
| Remediation skripti | `Dell-BIOSPassword-Remediation.ps1` |
| Run this script using the logged-on credentials | No |
| Enforce script signature check | No |
| Run script in 64-bit PowerShell | Yes |
| Schedule | Daily tai hourly, oma päätös |

### Entra ID -ryhmä jakelua varten

`Intune - Azure Dell BIOS Password Solution`

Tämä ryhmä tulee rajata vain fyysisiin Dell-päätelaitteisiin. Voit käyttää dynaamista laiteryhmäsääntöä, joka suodattaa valmistajan perusteella:

```
(device.deviceManufacturer -eq "Dell Inc.")
```