Microsoft Intune의 DFCI(디바이스 펌웨어 구성 인터페이스) 프로필 설정

이 문서에서는 Windows 클라이언트 디바이스에서 제어할 수 있는 DFCI 프로필 설정을 나열하고 설명합니다. MDM(모바일 디바이스 관리) 솔루션의 일부로 이러한 설정을 사용하여 Windows의 UEFI 계층에서 보안 기능, 기본 제공 하드웨어 및 부팅 옵션을 제어합니다.

이러한 설정은 다음 사항에 적용됩니다.

• 지원되는 UEFI의 Windows 11
• 지원되는 UEFI의 Windows 10 RS5(1809) 이상

이러한 설정은 Intune 디바이스 구성 프로필에 추가된 다음 Windows 클라이언트 디바이스에 할당되거나 배포됩니다.

시작하기 전에

• Windows 10/11 DFCI 프로필을 만듭니다. DFCI 프로필을 만드는 데 더 많은 요구 사항이 있습니다. 자세한 내용은 Microsoft Intune Windows 디바이스에서 DFCI 프로필 사용을 참조하세요.
• 일부 설정은 일부 디바이스에서 사용할 수 없습니다. 디바이스에서 설정을 사용할 수 있는지 여부를 확인하려면 디바이스 제조업체에 문의하세요.
• 이러한 설정은 UEFI CSP를 사용합니다.

경고

조심하세요. DFCI 프로필을 구성하고 할당하면 복구할 수 없는 디바이스를 잠글 수 있습니다. DFCI 프로필 설정은 디바이스 하드웨어를 변경하며 OS를 다시 이미징하여 수정할 수 없습니다.

UEFI 액세스

• 로컬 사용자가 UEFI 설정을 변경할 수 있도록 허용: 옵션:
  • 구성되지 않은 설정만: 로컬 사용자는 명시적으로 Intune 사용 또는 사용 안 함으로 설정된 설정을 제외한 모든 설정을 변경할 수 있습니다.
  • 없음: 로컬 사용자는 DFCI 프로필에 표시되지 않는 설정을 포함하여 BIOS(UEFI) 설정을 변경할 수 없습니다.

보안 기능

• CPU 및 IO 가상화: 옵션:

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
  • 사용: BIOS는 OS에서 사용할 플랫폼의 CPU 및 IO 가상화 기능을 사용하도록 설정합니다. Windows 가상화 기반 보안 및 Device Guard 기술을 켭니다.

• WPBT(Windows 플랫폼 이진 테이블): WPBT를 사용하면 공급업체와 OEM이 UEFI 계층에서 프로그램을 실행할 .exe 수 있습니다. Windows가 부팅할 때마다 UEFI를 보고 를 실행합니다 .exe. 이 기능을 사용하여 Windows 미디어에 포함되지 않은 프로그램을 실행합니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 공급업체와 OEM이 WPBT를 사용하여 프로그램을 실행하도록 허용할 수 있습니다.
  • 사용: WPBT를 사용하도록 설정하고 UEFI 계층의 프로그램을 실행할 수 있습니다 .exe .
  • 사용 안 함: WPBT를 사용하지 않도록 설정하고 UEFI 계층의 프로그램이 실행되지 않도록 합니다 .exe .

• SMT(동시 다중 스레딩 ): 하이퍼 스레딩이라고도 합니다. 옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
  • 사용: UEFI 계층에서 SMT를 사용하도록 설정합니다.
  • 사용 안 함: UEFI 계층에서 SMT를 사용하지 않도록 설정합니다.

카메라

• 카메라: 이 설정은 디바이스에 기본 제공되는 모든 하드웨어 카메라를 관리합니다. USB 웹캠과 같은 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 카메라를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 카메라를 사용할 수 있습니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 카메라는 사용하지 않도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.

• 전면 카메라: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 전면 가시광선 카메라를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 전면 표시 광원 카메라를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 전면 가시광선 카메라가 사용하도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 전면 표시 광원 카메라는 사용하지 않도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.

• 후면 카메라: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 후면 가시광선 카메라를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 후면 카메라를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 후면 가시 광원 카메라가 사용하도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 후면 가시 광원 카메라는 사용하지 않도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.

• IR(적외선) 카메라: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 적외선 카메라를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 적외선 카메라를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 적외선 카메라가 사용하도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 적외선 카메라는 사용하지 않도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.

마이크 및 스피커

마이크 및 스피커 범주 설정 또는마이크 세분화된 설정을 구성하는 것이 좋습니다. 모든 설정을 구성하는 경우 이러한 설정으로 인해 충돌이 발생할 수 있습니다. 자세한 내용은 DFCI 프로필 개요: 충돌을 참조하세요.

• 마이크 및 스피커: 이 설정은 디바이스에 기본 제공되는 모든 마이크와 스피커를 관리합니다. USB 디바이스와 같은 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 마이크와 스피커를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 마이크 및 스피커를 사용할 수 있습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 마이크 및 스피커를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

• 마이크: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 마이크를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 마이크를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 마이크가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 마이크를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

라디오

라디오(Bluetooth, Wi-Fi, NFC 등) 범주 설정 또는Bluetooth, Wi-Fi 등을 세분화된 설정으로 구성하는 것이 좋습니다. 모든 설정을 구성하는 경우 이러한 설정으로 인해 충돌이 발생할 수 있습니다. 자세한 내용은 DFCI 프로필 개요: 충돌을 참조하세요.

• 라디오(Bluetooth, Wi-Fi, NFC 등): 이 설정은 UEFI(BIOS)에서 관리하는 모든 기본 제공 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 모든 기본 제공 라디오를 사용하도록 설정할 수 있습니다.

  • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 라디오를 사용할 수 있습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

  • 사용 안 함: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

    사용 안 함으로 설정하면 디바이스에 유선 네트워크 연결이 필요합니다. 그렇지 않으면 디바이스를 관리하지 않을 수 있습니다.

• Bluetooth: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 Bluetooth 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 Bluetooth 라디오를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Bluetooth 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Bluetooth 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

• WWAN: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 WWAN 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 WWAN 라디오를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 WWAN 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 WWAN 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

• NFC: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 NFC 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 NFC 라디오를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 NFC 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 NFC 라디오는 사용하지 않도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

• Wi-Fi: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 Wi-Fi 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 Wi-Fi 라디오를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Wi-Fi 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Wi-Fi 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

부팅 옵션

경고

모든 외부 부팅 옵션 또는 모든 외부 포트를 사용하지 않도록 설정해도 OS 복구가 크게 복잡합니다. Windows를 더 이상 부팅할 수 없는 디바이스를 복구하려면 디바이스를 물리적으로 열고 하드웨어 스토리지를 교체해야 할 수 있습니다.

• 외부 미디어(USB, SD)에서 부팅: 사용자 옵션:

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 외부 미디어에서 부팅을 허용할 수 있습니다.

  • 사용: UEFI(BIOS)가 하드 드라이브 이외 스토리지에서 부팅하도록 허용합니다.

  • 사용 안 함: UEFI(BIOS)는 하드 드라이브가 아닌 스토리지에서 부팅하는 것을 방지하며 네트워크 어댑터에서 부팅을 사용하지 않도록 설정합니다.

    사용 안 함으로 설정된 경우, 네트워크 어댑터에서 부팅 설정을 사용으로 설정하지 마세요. 이로 인해 외부 미디어(USB, SD)에서 부팅 설정 또는 네트워크 어댑터에서 부팅 설정이 호환되지 않습니다.

• 네트워크 어댑터에서 부팅: 옵션: 사용자 옵션:

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 네트워크 어댑터에서 부팅을 허용할 수 있습니다.
  • 사용: UEFI(BIOS)가 기본 제공 네트워크 인터페이스에서 부팅하도록 허용합니다.
  • 사용 안 함: UEFI(BIOS)는 기본 제공 네트워크 인터페이스 부팅을 방지합니다.

포트

경고

모든 외부 부팅 옵션 또는 모든 외부 포트를 사용하지 않도록 설정해도 OS 복구가 크게 복잡합니다. Windows를 더 이상 부팅할 수 없는 디바이스를 복구하려면 디바이스를 물리적으로 열고 하드웨어 스토리지를 교체해야 할 수 있습니다.

• USB 유형 A: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 USB 유형 A 포트를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 USB 유형 A 포트를 사용하도록 설정할 수 있습니다.
  • 사용: 모든 기본 제공 USB 유형 UEFI(BIOS)로 직접 관리되는 포트가 활성화됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: 모든 기본 제공 USB 유형 UEFI(BIOS)에서 직접 관리하는 포트는 사용하지 않도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

• SD 카드: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 SD 카드 포트를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 SD 카드 포트를 사용하도록 설정할 수 있습니다.
  • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 SD 카드 포트가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 SD 카드 포트를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

절 해제 설정

• 절전 모드 해제 LAN: Wake on LAN을 사용하면 네트워크 관리자가 LAN을 사용하여 절전 모드에서 디바이스를 원격으로 절전 모드로 해제할 수 있습니다.

  옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 LAN을 사용하여 디바이스를 절전 모드에서 해제하지 못할 수 있습니다.
  • 사용: UEFI(BIOS)를 사용하면 LAN을 사용하여 디바이스를 절전 모드에서 해제할 수 있습니다.
  • 사용 안 함: UEFI(BIOS)는 LAN을 사용하여 디바이스를 깨우는 것을 방지합니다.

• 절전 모드 해제: 디바이스가 전원에 연결된 경우 이 설정은 적격 디바이스를 최대 절전 모드 또는 전원 해제 상태에서 자동으로 시작할 수 있는지 여부를 관리합니다. 옵션은 다음과 같습니다.

  • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 전원에 연결되어 있을 때 디바이스를 절전 모드에서 해제하지 못할 수 있습니다.
  • 사용: UEFI(BIOS)를 사용하면 전원에 연결되어 있을 때 디바이스를 절전 모드에서 해제할 수 있습니다.
  • 사용 안 함: UEFI(BIOS)는 전원에 연결되어 있을 때 디바이스를 깨우는 것을 방지합니다.

관련 문서

• 각 설정 및 지원되는 Windows 버전에 대한 다른 기술 세부 정보는 Windows 10/11 정책 CSP 참조로 이동하세요.

• Microsoft Intune Windows 디바이스에서 DFCI 프로필을 사용합니다.

• 프로필을 할당하고, 해당 상태를 모니터링합니다.