Surface 디바이스에 대한 UEFI 설정 구성

• 적용 대상:

  Windows 11, Windows 10

이 문서에서는 Surface UEFI 구성기 및 SEMM(Surface Enterprise Management Mode)을 사용하여 organization 배포된 Surface 디바이스에 대한 UEFI(Unified Extensible Firmware Interface) 설정을 보호하고 관리하는 방법을 설명합니다. 더 이상 별도의 다운로드로 사용할 수 없는 Surface UEFI 구성기가 이제 새로운 Surface IT 도구 키트에 포함되어 있습니다.

SEMM 관리 Surface 디바이스에 대한 UEFI 설정

SEMM을 사용하면 IT 관리자가 펌웨어 수준에서 하드웨어 구성 요소를 관리할 수 있습니다. 예를 들어 보안을 위해 카메라, 마이크 및 USB 포트와 같은 하드웨어 구성 요소를 끌 수 있습니다. 사용 가능한 설정의 전체 목록은 Surface UEFI SEMM 설정 참조를 참조하세요.

Surface UEFI 구성 패키지 Create

Surface UEFI 구성 패키지는 SEMM 관리 Surface 디바이스에 새로 구성된 UEFI 설정을 적용하고 SEMM에 등록하는 이중 용도로 사용됩니다. 이 패키지를 만들려면 각 디바이스에서 UEFI 설정을 보호하기 위해 SEMM 서명 인증서가 필요합니다. 자세한 내용은 SEMM 인증서 요구 사항을 참조하세요.

암호로 UEFI 설정 보호

UEFI 구성 패키지를 만들 때 암호를 설정하는 것이 좋습니다. 펌웨어는 운영 체제가 로드되기 전에 하드웨어의 초기 작업을 제어합니다. 권한이 없는 사용자가 UEFI 설정에 액세스하는 경우 잠재적으로 보안 기능을 사용하지 않도록 설정하거나 디바이스의 보안 및 기능에 해로운 변경을 수행할 수 있습니다.

디바이스 구성

디바이스 구성 도구에서 organization Surface 장치에 대한 UEFI 설정 구성 및 초기화 패키지를 만들 수 있습니다(Surface UEFI 설정에 대한 자세한 내용은 Surface UEFI 설정 관리를 참조하세요.)

Surface UEFI 구성 패키지 Create

1. Surface IT 도구 키트를 열고 UEFI 구성기Surface 디바이스 구성을 > 선택합니다.
2. 인증서 보호 가져오기에서 추가를 선택하여 내보낸 인증서 파일을 프라이빗 키(.pfx)로 추가합니다. 다음을 선택합니다.
3. 구성할 디바이스를 선택합니다. 관리 디바이스에서 선택하거나 모든 디바이스로 이동하여 디바이스 및 모델을 선택합니다. 다음을 선택합니다.
4. 디바이스 구성 설정 페이지에서 구성하려는 구성 요소를 선택하고 UEFI 암호 설정을 선택합니다. 작업이 완료되면 다음을 선택합니다.
5. 최종 검토 페이지에는 선택한 구성 세부 정보가 표시됩니다. 변경 내용을 검토하고 폴더 선택을 선택하여 UEFI 구성 패키지를 저장하고 Create 선택합니다.

팁

그림 6과 같이 이 페이지에 표시된 인증서 지문 문자를 기록합니다. SEMM에서 새 Surface 디바이스의 등록을 확인하려면 이러한 문자가 필요합니다. 끝 을 클릭하여 패키지 만들기를 완료하고 Microsoft Surface UEFI 구성기를 닫습니다.

6. 완료되면 마침을 선택합니다.

   

7. 완료되면 선택한 폴더로 이동하여 패키지를 검색합니다. 이 예제 패키지는 단일 UEFI 설정을 수정하여 다음 두 개의 파일을 만듭니다.

   • 하나 이상의 디바이스에 배포할 수 있는 SEMM 등록 패키지입니다.
   • SEMM 관리 디바이스 등록을 취소하는 데 사용되는 초기화 패키지입니다.

   

SEMM에 Surface 디바이스 등록

Surface UEFI 구성 패키지가 실행되면 SEMM 인증서 및 Surface UEFI 구성 파일이 Surface 디바이스의 펌웨어 스토리지에 준비됩니다. Surface 디바이스가 다시 부팅되면 Surface UEFI는 이러한 파일을 처리하고 Surface UEFI 구성을 적용하거나 SEMM에 Surface 디바이스를 등록하는 프로세스를 시작합니다.

SEMM에 Surface 디바이스를 등록하기 전에 인증서 지문의 마지막 두 문자가 있는지 확인합니다. 디바이스 등록을 확인하려면 이러한 문자가 필요합니다.

Surface UEFI 구성 패키지를 사용하여 SEMM에 Surface 디바이스를 등록하려면 다음을 수행합니다.

1. SEMM에 등록하려는 Surface 장치에서 Surface UEFI 구성 패키지 .msi 파일을 실행합니다. 이렇게 하면 장치의 펌웨어에 Surface UEFI 구성 파일이 프로비전됩니다.
2. EULA(최종 사용자 사용권 계약)를 수락하려면 사용권 계약 검사 상자에서 동의함 을 선택하고 설치를 선택하여 설치 프로세스를 시작합니다.
3. 마침을 선택하여 Surface UEFI 구성 패키지 설치를 완료하고, 설치하라는 메시지가 표시되면 Surface 장치를 다시 시작합니다.
4. Surface UEFI는 구성 파일을 로드하고 디바이스에서 SEMM이 사용하도록 설정되어 있지 않은지 확인합니다. Surface UEFI는 다음과 같이 SEMM 등록 프로세스를 시작합니다.
   • Surface UEFI는 SEMM 구성 파일에 SEMM 인증서가 포함되어 있음을 확인합니다.
   • Surface UEFI는 인증서 지문의 마지막 두 문자를 입력하여 SEMM에서 Surface 디바이스의 등록을 확인하라는 메시지를 표시합니다.
5. 이제 Surface 디바이스가 SEMM에 등록되었습니다.

프로그램 및 기능에서 Microsoft Surface 구성 패키지를 찾거나 이벤트 뷰어 애플리케이션 및 서비스 로그 아래에 있는 Microsoft Surface UEFI 구성기 로그에 저장된 이벤트를 검색하여 Surface 디바이스가 SEMM에 성공적으로 등록되었는지 확인할 수 있습니다.

더 많은 Surface UEFI 설정 구성

디바이스가 SEMM에 등록되면 동일한 SEMM 인증서로 서명된 다른 Surface UEFI 구성 패키지를 실행하여 새 Surface UEFI 설정을 적용할 수 있습니다. 이러한 설정은 다음 번에 디바이스가 부팅할 때 사용자의 상호 작용 없이 자동으로 적용됩니다. Microsoft 엔드포인트 Configuration Manager 같은 애플리케이션 배포 솔루션을 사용하여 Surface UEFI 구성 패키지를 Surface 디바이스에 배포하여 Surface UEFI에서 설정을 변경하거나 관리할 수 있습니다.

Configuration Manager 사용하여 Windows Installer(.msi) 파일을 배포하는 방법에 대한 자세한 내용은 Microsoft 엔드포인트 Configuration Manager 사용하여 애플리케이션 배포 및 관리를 참조하세요.