Microsoft Intune Windows 디바이스에서 BIOS 구성 프로필 사용

Intune BIOS 구성 및 기타 설정 디바이스 구성 정책을 사용하여 BIOS 기능 및 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다.

OEM 도구를 사용하여 BIOS 기능을 구성하는 BIOS 구성 파일을 만듭니다. 디바이스에서 구성을 읽는 OEM Win32 앱을 설치합니다. 그런 다음 Intune BIOS 정책에서 BIOS 구성 파일을 추가하고 디바이스에 정책을 할당합니다.

구성 파일에는 일반적으로 디바이스를 보호하고 기본 제공 하드웨어를 보호하는 설정이 포함됩니다.

예를 들어 최종 사용자가 디바이스를 다시 설치하고 Intune 관리에서 벗어나는 것을 방지하려고 합니다. 이 작업의 경우 USB에서 부팅을 사용하지 않도록 설정하는 BIOS 구성 파일을 만듭니다. 그런 다음 이 파일을 Intune 정책에 추가하고 BIOS 암호를 사용하도록 설정합니다. 이러한 단계는 구성을 덮어쓰지 않도록 합니다.

이 기능은 다음에 적용됩니다.

• Windows 10 이상
• Dell 장치

이 문서에는 구성 파일 및 Win32 앱에 대한 자세한 내용이 포함되어 있으며 Intune BIOS 구성 및 기타 설정 정책을 만드는 방법을 보여 줍니다.

경고

BIOS 구성 변경은 Bitlocker 암호화된 드라이브를 부팅하거나 액세스하는 기능을 포함하여 디바이스 기능 및 작동성에 영향을 미칠 수 있습니다. 이 기능을 사용하면 Intune 관리자가 디바이스에서 BIOS 구성을 쉽게 업데이트할 수 있습니다. 변경할 때 예기치 않은 구성의 영향을 최소화하기 위해 단계를 테스트하고 배포합니다.

필수 구성 요소

• 이 정책을 구성하려면 최소한 정책 및 프로필 관리자 역할을 사용하여 Intune 관리 센터에 로그인합니다. Intune 기본 제공 역할에 대한 자세한 내용은 Microsoft Intune 사용하여 역할 기반 액세스 제어를 참조하세요.

• 이 기능은 Intune 등록된 MDM인 organization 소유 디바이스를 지원합니다. Intune 등록되지 않은 개인 디바이스 및 디바이스는 지원되지 않습니다.

• 디바이스에 기존 BIOS 암호가 구성되어 있지 않은지 확인합니다. 이 기능을 사용하려면 Intune BIOS 암호가 있어야 합니다. Intune 디바이스의 BIOS 암호가 없는 경우 BIOS 구성을 업데이트할 수 없습니다.

1단계 - 구성 파일 만들기 및 앱 배포

이 섹션에서는 OEM 도구를 사용하여 구성 파일을 만들고 OEM Win32 앱을 디바이스에 배포하는 데 중점을 둡니다.

1. OEM 도구를 사용하여 구성 파일을 만듭니다. 파일에서 구성하려는 기능을 추가하고 구성합니다. OEM에서 지원하는 구성 설정을 추가할 수 있습니다.

   • Dell의 경우 Dell 명령(Dell 웹 사이트 열기) 도구를 사용하여 BIOS 구성 파일을 만들 수 있습니다.

2. 구성 파일을 만들 때 OEM에서 제공하는 조정 Win32 앱이 있습니다. OEM Win32 앱을 디바이스에 배포합니다. 이 앱:

   • 만든 구성 파일을 읽고 디바이스의 BIOS 암호를 읽는 에이전트 역할을 합니다.
   • Intune BIOS 구성 정책을 할당하기 전에 모든 디바이스에 설치해야 합니다.

   Dell의 경우 Dell 명령(Dell 웹 사이트 열기) 앱을 다운로드할 수 있습니다.

   디바이스에 이 앱을 설치하려면 Intune 사용할 수 있습니다. Intune 앱을 추가하고 필수 앱으로 만듭니다. 그런 다음, 2단계 - 그룹 만들기 또는 할당 필터 사용(이 문서)에서 만든 그룹 또는 할당 필터에 앱을 할당합니다.

   Intune Win32 앱에 대한 자세한 내용은 Microsoft Intune Win32 앱 추가, 할당 및 모니터링으로 이동합니다.

2단계 - 그룹 만들기 또는 할당 필터 사용

이 정책은 특정 디바이스 집합에 집중하는 것이 좋습니다. 옵션은 다음과 같습니다.

• 옵션 1 - 디바이스를 포함하는 그룹을 만듭니다. 앱 정책 및 BIOS 구성 정책을 만들 때 이 그룹에 정책을 할당합니다.
• 옵션 2 - 디바이스 제조업체에 따라 할당 필터를 사용합니다. 필터를 만들 때 OEM 디바이스를 대상으로 지정합니다. 앱 및 BIOS 구성 정책을 할당할 때 이 필터를 추가합니다.

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

• 사용자 및 디바이스를 구성하기 위한 그룹 추가
• Microsoft Intune 앱, 정책 및 프로필을 할당할 때 필터 사용

3단계 - Intune BIOS 구성 정책 만들기

이 정책은 사용자가 만든 구성 파일을 추가하는 위치입니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>구성>새 정책만들기>를 선택합니다.

3. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 템플릿>BIOS 구성 및 기타 설정을 선택합니다.

4. 만들기를 선택합니다.

5. 기본에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 프로필 이름은 BIOS 구성 암호입니다.
   • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

   다음을 선택합니다.

6. 구성 설정에서 다음 설정을 구성합니다.

   • 하드웨어: 지원되는 OEM 목록에서 하드웨어 OEM 공급업체를 선택합니다. 현재 Dell만 지원됩니다.

   • 디바이스별 BIOS 암호 보호 사용 안 함: 이 설정은 디바이스의 BIOS 구성을 보호하는 암호를 관리합니다. 옵션은 다음과 같습니다.

     • 아니요: Intune 각 디바이스에 대해 고유한 디바이스 암호를 생성합니다. 디바이스에서 BIOS 구성에 액세스하고 업데이트하려면 사용자가 이 암호를 입력해야 합니다.
     • 예: BIOS를 보호하는 암호가 없습니다. 이전 암호는 모두 제거됩니다. 최종 사용자는 BIOS에 액세스하고 디바이스에서 BIOS 설정을 변경할 수 있습니다.

   • 구성 파일: OEM 도구를 사용하여 생성된 구성 파일을 업로드합니다.

     Dell의 경우 Dell 클라이언트 구성 도구 키트 파일(.cctk)을 업로드합니다. 파일 크기 제한은 2MB입니다.

   다음을 선택합니다.

7. 할당에서 만든 새 디바이스 그룹을 선택합니다. 이 그룹은 프로필을 받습니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요.

   다음을 선택합니다.

8. 검토 + 만들기에서 설정을 검토하고 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

다음에 각 디바이스가 체크 인할 때 정책이 적용됩니다.

기본 제공 보고서를 사용하여 정책 모니터링

Intune 관리 센터에서 정책을 만든 후 해당 상태 모니터링하고 오류를 확인할 수 있습니다.

1. Intune 관리 센터에서디바이스>구성>정책으로 이동합니다.
2. 모니터링할 정책을 선택합니다. 디바이스 상태 보고서는 정책의 상태 표시하고 문제 해결을 위한 오류 세부 정보를 표시합니다.

자세한 내용을 보려면 다음으로 이동하세요.

• Microsoft Intune 디바이스 구성 정책 모니터링
• Intune 보고서

BIOS 암호 검색

Intune 각 디바이스에 대한 BIOS 암호를 저장합니다. Microsoft Graph를 사용하여 BIOS 암호를 가져올 수 있습니다. Graph API를 테스트하려면 Microsoft Graph Explorer 사용할 수 있습니다.

중요

Intune 외부에서 모든 암호를 백업해야 합니다.

• 디바이스가 Intune 관리에서 제거된 경우에도 관리자는 Microsoft Graph hardwarePasswordInfo API를 사용하여 BIOS 암호를 읽을 수 있습니다.
• 테넌트의 Intune 구독이 종료되면 BIOS 암호를 읽거나 검색할 수 있는 방법이 없습니다. 이 경우 유일한 옵션은 OEM에 문의하는 것입니다.

옵션 1 - 한 번에 하나의 디바이스에서 BIOS 암호를 읽습니다.

이 옵션은 한 번에 하나의 디바이스인 BIOS 암호를 가져옵니다.

1. Bios 암호 읽기 권한을 사용하여 사용자 지정 Intune RBAC 역할을 만듭니다.

   1. Intune 관리 센터에서테넌트 관리>역할>새 역할 만들기를 선택합니다.
   2. 역할 이름을 지정하고 다음을 선택합니다.
   3. 사용 권한에서 관리되는 디바이스>를 확장하여 Bios 암호 읽기를예로 설정합니다.
   4. 다음 다음>>만들기를 선택합니다.

2. 이 사용자 지정 RBAC 역할로 Graph 도구에 로그인하고 Microsoft Graph hardwarePasswordInfo API를 사용합니다.

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo('<deviceID>')

옵션 2 - 모든 디바이스의 BIOS 암호 읽기

이 옵션은 모든 디바이스의 모든 BIOS 암호 목록을 가져옵니다.

1. Microsoft Entra ID Intune 서비스 관리자 역할 또는 전역 관리자 역할이 필요합니다.

2. 이러한 역할 중 하나를 사용하여 Graph 도구에 로그인하고 Microsoft Graph hardwarePasswordInfo API를 사용합니다.

   • https://graph.microsoft.com/beta/deviceManagement/hardwarePasswordInfo

RBAC 역할에 대한 자세한 내용은 Microsoft Intune 사용하여 RBAC(역할 기반 액세스 제어)를 참조하세요.

BIOS 구성 암호 제거

디바이스의 BIOS 관리를 중지하거나 테넌트에서 디바이스를 영구적으로 제거하려는 경우 BIOS 암호를 제거해야 합니다.

BIOS 암호를 제거하려면 Intune BIOS 구성 정책에서 디바이스별 BIOS 암호 보호 사용 안 함 설정을 예로 설정합니다. 그런 다음, 정책을 할당합니다. 디바이스가 Intune 사용하여 체크 인하면 정책이 적용됩니다. 디바이스에서 수동으로 디바이스를 Intune 동기화하여 정책을 적용할 수도 있습니다.

정책이 적용되면 디바이스를 다시 부팅합니다.

Intune 디바이스 등록을 취소해도 BIOS 암호는 제거되지 않습니다. 암호를 사용하지 않도록 설정하기 전에 디바이스 등록을 취소하는 경우 디바이스에서 암호를 수동으로 업데이트해야 합니다.

BIOS 구성 및 DFCI

Intune Windows 디바이스에서 BIOS 설정을 관리할 수 있는 두 가지 기능인 BIOS 구성 및 기타 설정과DFCI(디바이스 펌웨어 구성 인터페이스)가 있습니다.

다음 표에서는 이러한 옵션을 비교합니다.

기능	BIOS 구성 및 기타 설정	DFCI
지원되는 OEM	Dell 아마도 미래에 더 많은 것	Surface, Acer, Asus, Dynabook, Fujitsu, Panasonic 자세한 내용은 Microsoft DFCI 시나리오를 참조하세요.
지원되는 구성	OEM 도구에서 사용할 수 있는 모든 구성	보안 기능, 일부 하드웨어 기능, 부팅 옵션, 포트 등을 제어하는 설정 집합
설정 적용 방법	Intune 정책이 할당되면 구성 파일을 제공합니다. 디바이스의 OEM 에이전트가 구성을 적용합니다.	OS에서 격리된 DFCI 계층을 사용하여 UEFI CSP를 통해
BIOS 메뉴에 대한 액세스 차단	예, BIOS 암호를 통해	예, 인증서를 통해
Windows Autopilot 중 구성	ESP(등록 상태 페이지) 설정에서 OEM Win32 앱을 선택합니다.	Intune 자동으로 DFCI mgmt에 디바이스를 등록합니다.
보고	구성 파일이 적용되었는지 보고합니다.	구성한 각 설정에 대한 세분화된 보고서입니다.
Intune 정책 유형	장치>구성>템플릿>BIOS 구성 및 기타 설정	장치>구성>템플릿>디바이스 펌웨어 구성 인터페이스

DFCI에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft Intune Windows 디바이스의 DFCI(디바이스 펌웨어 구성 인터페이스) 프로필
• Microsoft DFCI 시나리오
• Surface 디바이스의 DFCI

관련 문서

• 프로필 할당
• 프로필 상태 모니터링