Surface Dock에 대한 UEFI 설정 구성

  • 아티클
  • 적용 대상:
    Windows 10, Windows 11

IT 관리자는 회사 환경에서 호환되는 Surface 디바이스에 배포된 Windows Installer 구성 패키지(.msi 파일)에서 UEFI 설정을 구성하여 Surface Dock 2 또는 Surface Thunderbolt 4 Dock의 포트를 보호하고 관리할 수 있습니다.

지원되는 디바이스

SURFACE Dock 2 또는 Surface Thunderbolt 4 Dock(모든 세대), Surface Laptop Studio(모든 세대), Surface Laptop 6, Surface Laptop 5, Surface Laptop 4, Surface Laptop 3, Surface Laptop Go(모든 세대), Surface Pro 10, Surface Pro 9, 5G Surface Pro 9, Surface Pro 8에 연결된 도크에 사용할 수 있습니다. Surface Pro 7 이상, Surface Pro 7, Surface Pro X 및 Surface Book 3입니다.

이러한 호환되는 Surface 디바이스를 일반적으로 호스트 디바이스라고 합니다. 패키지는 호스트 디바이스가 인증 되었는지 아니면 인증 되지 않은지에 따라 호스트 디바이스에 적용됩니다. 구성된 설정은 호스트 디바이스의 UEFI 계층에 상주하므로 IT 관리자는 카메라와 같은 다른 기본 제공 주변 장치와 마찬가지로 호환되는 Surface Dock을 관리할 수 있습니다.

Surface Dock에 대한 UEFI 설정 구성 및 배포

이 섹션에서는 다음 작업에 대한 단계별 지침을 제공합니다.

  1. Surface IT 도구 키트를 설치합니다.
  2. 공개 키 인증서를 Create 또는 가져옵니다.
  3. .msi 구성 패키지를 Create. a. 인증서를 추가합니다. b. Surface Dock 2 또는 Surface Thunderbolt 4 Dock 장치의 16자리 RN 번호를 입력합니다. c. 구성 요소 정책(USB 데이터, 이더넷 또는 오디오)에 대한 UEFI 설정을 구성합니다.
  4. 대상 Surface 디바이스에 구성 패키지를 Create 적용합니다.
  5. Surface 앱을 사용하여 관리되는 Surface Dock의 결과 정책 상태를 확인합니다.

중요

RN(난수)은 팩터리에서 프로비전되고 도크의 아래쪽에 작은 형식으로 인쇄되는 고유한 16자리 16자리 코드 식별자입니다. RN은 전자적으로 읽을 수 없기 때문에 대부분의 일련 번호와 다릅니다. 이렇게 하면 디바이스에 물리적으로 액세스할 때 RN을 읽는 경우에만 소유권 증명이 설정됩니다. 또한 구매 트랜잭션 중에 RN을 얻을 수 있으며 Microsoft 인벤토리 시스템에 기록됩니다.

공개 키 인증서 Create

이 섹션에서는 Surface Dock 2 또는 Surface Thunderbolt 4 Dock의 포트를 관리하는 데 필요한 인증서를 만들기 위한 사양을 제공합니다.

필수 구성 요소

이 문서에서는 타사 공급자로부터 인증서를 얻거나 PKI 인증서 서비스에 대한 전문 지식을 이미 보유하고 있으며 사용자 고유의 인증서를 만드는 방법을 알고 있다고 가정합니다. 한 가지 예외를 제외하고 SEMM(Surface Enterprise Management Mode) 시작 설명서에 설명된 대로 인증서를 만들기 위한 일반적인 권장 사항을 잘 알고 따라야 합니다. SEMM을 사용하여 Surface Docks를 구성하는 데 필요한 인증서에는 Dock 인증 기관에서 는 30년, 호스트 인증 인증서의 경우 20년의 만료 기간이 필요합니다.

적절한 인증서가 이미 있는 경우 다음 섹션으로 진행합니다. 그렇지 않으면 부록: 루트 및 호스트 인증서 요구 사항의 지침을 주의 깊게 검토합니다.

도크 프로비저닝 패키지 Create

인증서를 가져오거나 만든 경우 대상 디바이스에 적용할 .msi 프로비저닝 패키지를 빌드할 수 있습니다.

  1. Surface IT 도구 키트를 열고 Surface Dock 구성을 선택합니다.

    Surface IT 도구 키트의 Surface Dock 구성 요소를 보여 주는 스크린샷

  2. 도킹 유형을 선택하고 프로비저닝 방법을 선택합니다.

  • 회사 전체에서 사용하도록 설계된 조직 구성 단위입니다.
  • 부서 단위- 보다 세분화된 설정 구성을 위해 설계되었습니다. 예를 들어 매우 중요한 정보를 처리하는 부서입니다.

  1. 인증 기관 및 인증서 파일을 가져오고 각 파일에 대한 암호를 입력합니다. 다음을 선택합니다. 이 예제에서는 조직 프로비저닝을 보여줍니다.

    필요한 인증서 가져오기를 보여 주는 스크린샷

  2. 관리하려는 도크와 연결된 Surface Dock ID 번호를 추가합니다. 여러 도킹의 경우 헤더 없이 .csv 파일에 숫자를 입력합니다. 즉, 파일의 첫 줄에 열 이름이나 설명이 포함되어서는 안 됩니다.

    RN 번호의 추가를 보여 주는 스크린샷

  3. USB 데이터, 이더넷 및 오디오 포트에 대한 정책 설정을 지정할 수 있습니다. UEFI 구성기를 사용하면 인증된 사용자(인증된 정책) 및 인증되지 않은 사용자(인증되지 않은 정책)에 대한 정책 설정을 구성할 수 있습니다.

    • 인증된 정책은 대상 디바이스에 적용한 .msi 구성 패키지에 구성된 대로 적절한 인증서가 설치된 Surface 디바이스를 나타냅니다.
    • 인증되지 않은 정책은 다른 디바이스를 참조합니다.

  4. 활성화하거나 비활성화할 구성 요소를 선택하고 다음을 선택합니다. 다음 그림에서는 인증된 디바이스에 대해 포트 액세스가 켜져 있고 인증되지 않은 디바이스에 대해 꺼져 있는 것을 보여줍니다.

    인증되지 않은 디바이스에 대해 해제된 포트를 보여 주는 스크린샷

  5. 동적 USB-C 사용 안 함으로 구성하려는 디바이스가 있는 경우 다음 그림과 같이 확인란을 선택합니다. 필요한 인증서를 추가하고 다음을 선택합니다. 자세한 내용은 이 페이지의 Surface Dock 포트 보안을 위한 시나리오 를 참조하세요.

    USB-C 동적 사용 안 함을 구성하는 디바이스를 선택하는 스크린샷

  6. 구성된 설정의 최종 검토를 완료하고 패키지를 저장할 폴더를 선택하고 Create 선택합니다.

    프로비저닝 패키지를 만드는 페이지를 보여 주는 스크린샷

Surface Dock에 프로비전 패키지 적용

  1. Surface UEFI 구성기가 생성한 .msi 파일을 가져와 Surface Laptop 6 또는 Surface Pro 10과 같은 Surface 호스트 장치에 설치합니다.
  2. 호스트 디바이스를 Surface Dock 2 또는 Surface Thunderbolt 4 Dock에 연결합니다. 도크를 연결하면 UEFI 정책 설정이 적용됩니다.

Surface Dock 포트 보안 시나리오

Surface Dock 2 또는 Surface Thunderbolt 4 Dock을 회사 호스트 디바이스에 로그인한 권한이 있는 사람으로 제한하면 다른 데이터 보호 계층이 제공됩니다. Surface Dock을 잠그는 이 기능은 엄격한 보안 프로토콜 준수를 유지하면서 도크의 기능 및 생산성 이점을 원하는 매우 안전한 환경의 특정 고객에게 매우 중요합니다. Surface Dock 2 또는 Surface Thunderbolt 4 Dock과 함께 사용되는 SEMM은 특히 보안상의 이유로 USB 포트를 잠그려는 고객에게 개방형 사무실 및 공유 공간에 유용합니다.

  • 세분화된 USB-C 사용 안 함. DisplayPort 및 USB Power Delivery를 지원하여 USB-C 포트를 관리하면 모든 기능을 끄는 것 외에 더 많은 옵션이 제공됩니다. 예를 들어 사용자가 USB 스토리지에서 데이터를 복사하지 못하도록 데이터 연결을 방지할 수 있지만 USB-C 도크를 통해 디스플레이를 확장하고 디바이스를 충전하는 기능을 유지할 수 있습니다. Surface Pro 8, Surface Laptop Studio 및 Surface Go 3부터 SEMM PowerShell 스크립트를 통해 이러한 옵션을 사용할 수 있습니다.

  • 동적 USB-C 사용 안 함. 동적 USB-C 사용 안 함을 사용하면 매우 안전한 작업 환경에서 작동하는 고객이 기밀 데이터의 USB 도난을 방지하고 조직에 더 많은 제어를 제공할 수 있습니다. Surface Thunderbolt 4 Dock과 페어링하면 적격 Surface 디바이스가 도킹 해제되거나 권한 없는 도크에 연결될 때마다 IT 관리자는 USB-C 포트를 잠글 수 있습니다.

이 기능은 Surface Pro 10, Surface Laptop 6 및 Surface Laptop Studio 2에서 사용할 수 있습니다.

사용자가 사무실의 권한 있는 도크에 연결된 경우 동적 USB-C 사용 안 함으로 USB-C 포트는 디바이스에 대한 모든 기능을 갖습니다. 그러나 오프사이트로 이동하는 경우에도 액세서리 또는 모니터를 사용하기 위해 도크에 연결할 수 있지만 USB 포트를 사용하여 데이터를 전송할 수는 없습니다.

이러한 시나리오에 대한 USB-C 포트 관리에는 다음 작업이 포함됩니다.

  • 이 페이지의 앞부분에서 설명한 대로 Surface Pro 10 또는 Surface Laptop 6과 같은 호스트 디바이스를 프로비전하고 UEFI 구성기에서 생성된 .msi 패키지를 통해 SEMM에 Surface Dock을 프로비전합니다.
  • "인증됨" 및 "인증되지 않은" 디바이스에 대한 UEFI 정책 설정을 포함하는 별도의 .msi 패키지를 Create.
  • 세분화된 USB-C 사용 안 함 또는 동적 USB-C 사용 안 함을 구성합니다.

자세한 내용은 Surface 디바이스에서 USB 포트 관리를 참조하세요.

Surface 앱을 사용하여 관리되는 상태 확인

구성 패키지를 적용한 후에는 모든 Surface 장치에 기본적으로 설치된 Surface 앱에서 직접 도킹의 결과 정책 상태를 빠르게 확인할 수 있습니다. Surface 앱이 장치에 없는 경우 Microsoft Store에서 다운로드하여 설치할 수 있습니다.

테스트 시나리오

목표: 인증된 사용자만 포트 액세스를 허용하도록 정책 설정을 구성합니다.

  1. 앞에서 설명한 대로 인증된 사용자의 모든 포트를 켜고 인증되지 않은 사용자에 대해 포트를 끕니다.

    인증되지 않은 디바이스에 대해 해제된 포트를 보여 주는 스크린샷

  2. 대상 디바이스에 구성 패키지를 적용하고 도크를 연결합니다.

  3. Surface 앱을 열고 Surface Dock을 선택하여 Surface Dock의 결과 정책 상태를 확인합니다. 정책 설정이 적용되는 경우 Surface 앱(Surface Thunderbolt 4 Dock 및 Surface Dock 2의 경우 여기에 표시됨)은 포트를 사용할 수 있음을 나타냅니다.

    Surface Dock 2에서 인증된 사용자가 사용할 수 있는 모든 포트를 보여 주는 Surface 앱을 보여 주는 스크린샷

    Surface 앱을 보여 주는 스크린샷은 Surface Thunderbolt 4 Dock에서 인증된 사용자가 사용할 수 있는 모든 포트를 보여줍니다.

  4. 이제 인증되지 않은 사용자에 대한 정책 설정이 모든 포트를 성공적으로 해제했는지 확인해야 합니다. Surface Dock 2 또는 Surface Thunderbolt 4 Dock을 관리되지 않는 디바이스(예: 사용자가 만든 구성 패키지에 대한 관리 scope 외부의 모든 Surface 디바이스)에 연결합니다.

  5. Surface 앱을 열고 Surface Dock을 선택합니다. 결과 정책 상태(Surface Thunderbolt 4 Dock 및 Surface Dock 2의 경우 여기에 표시됨)는 포트가 꺼져 있음을 나타냅니다.

    Surface Thunderbolt 4 Dock에서 인증되지 않은 사용자에 대해 해제된 포트를 보여 주는 Surface 앱을 보여 주는 스크린샷

    Surface Dock 2에서 인증되지 않은 사용자에 대해 해제된 포트를 보여 주는 Surface 앱을 보여 주는 스크린샷

디바이스의 소유권을 유지하지만 모든 사용자가 모든 권한을 허용하려면 모든 항목이 켜져 있는 새 패키지를 만들 수 있습니다. 디바이스의 제한 사항 및 소유권을 완전히 제거하려면(관리되지 않음) Surface UEFI 구성기에서 다시 설정을 선택하여 대상 디바이스에 적용할 패키지를 만듭니다.

축하합니다. 대상 호스트 디바이스에서 Surface Dock 포트를 성공적으로 관리했습니다.

부록: 루트 및 호스트 인증서 요구 사항

구성 패키지를 만들기 전에 Surface Dock 2 또는 Surface Thunderbolt 4 Dock의 소유권을 인증하고 디바이스 수명 주기 동안 소유권의 후속 변경을 용이하게 하는 공개 키 인증서를 준비해야 합니다. 호스트 및 프로비저닝 인증서에는 EKU ID를 입력해야 합니다. 그렇지 않으면 EKU(클라이언트 인증 EKU) 개체 식별자(OID)라고도 합니다.

필요한 EKU 값은 표 1 및 표 2에 나열됩니다.

주의

인증서를 안전한 위치에 유지하고 제대로 백업되었는지 확인합니다. Surface UEFI가 없으면 Surface UEFI를 다시 설정하거나, 관리되는 Surface UEFI 설정을 변경하거나, 등록된 Surface 장치에서 SEMM을 제거할 수 없습니다.

표 1. 루트 및 도킹 인증서 요구 사항

Certificate 알고리즘 설명 만료 EKU OID
루트 인증 기관 ECDSA_P384 - 384비트 소수 타원 곡선 디지털 서명 알고리즘(ECDSA)이 있는 루트 인증서
- SHA(보안 해시 알고리즘) 256 키 사용:
CERT_DIGITAL_SIGNATURE_KEY_USAGE
- CERT_KEY_CERT_SIGN_KEY_USAGE
CERT_CRL_SIGN_KEY_USAGE		 30년 해당 없음
도킹 인증 기관 ECC P256 곡선 - 256비트 ECC(타원 곡선 암호화)가 있는 호스트 인증서
- SHA 256 키 사용:
CERT_KEY_CERT_SIGN_KEY_USAGE
- 경로 길이 제약 조건 = 0		 20년 1.3.6.1.4.1.311.76.9.21.2
1.3.6.1.4.1.311.76.9.21.3

참고

dock CA는 .p7b 파일로 내보내야 합니다.

프로비저닝 관리 인증서 요구 사항

각 호스트 디바이스에는 표 2와 같이 문서 CA와 두 개의 인증서가 있어야 합니다.

표 2. 관리 인증서 요구 사항 프로비전

Certificate 알고리즘 설명 EKU OID
호스트 인증 인증서 ECC P256
SHA 256		 호스트 디바이스의 ID를 증명합니다. 1.3.6.1.4.1.311.76.9.21.2
관리 인증서 프로비전 ECC P256
SHA256		 도크에 설치된 현재 CA를 바꿀 수 있도록 하여 도크 소유권 또는 정책 설정을 변경할 수 있습니다. 1.3.6.1.4.1.311.76.9.21.3
1.3.6.1.4.1.311.76.9.21.4

참고

호스트 인증 및 프로비저닝 인증서는 .pfx 파일로 내보내야 합니다.

자세한 내용은 인증서 서비스 아키텍처 설명서를 참조하고 Windows Server 2019 Inside Out 또는 Microsoft Press에서 사용할 수 있는 Windows Server 2008 PKI 및 인증서 보안 의 적절한 장을 검토하세요.

세부 정보