Surface 장치에서 DFCI 관리

• 적용 대상:

  Windows 10, Windows 11

소개

Microsoft Intune 기본 제공되는 DFCI(디바이스 펌웨어 구성 인터페이스) 프로필을 사용하면 Surface UEFI 관리는 최신 관리 스택을 UEFI(Unified Extensible Firmware Interface) 하드웨어 수준으로 확장합니다. DFCI는 제로 터치 프로비저닝을 지원하고, BIOS 암호를 제거하고, 부팅 옵션 및 기본 제공 주변 장치를 포함한 보안 설정을 제어하며, 향후 고급 보안 시나리오를 위한 토대를 마련합니다. 이 페이지에는 적격 Autopilot 배포 Surface 장치에 대한 모든 DFCI 정책 설정 이 나열되어 있습니다.

소프트웨어 수준 MDM(모바일 디바이스 관리)과 함께 사용하도록 설계된 DFCI를 사용하면 IT 관리자가 특정 하드웨어 구성 요소를 원격으로 사용하지 않도록 설정하고 최종 사용자가 액세스할 수 없도록 할 수 있습니다. 예를 들어 매우 안전한 영역에서 중요한 정보를 보호해야 하는 경우 카메라를 사용하지 않도록 설정할 수 있으며 사용자가 USB 드라이브에서 부팅하지 않도록 설정하지 않으려면 이를 사용하지 않도록 설정할 수도 있습니다.

팁

일부 DFCI 정책 설정에 대한 지원은 디바이스에 따라 다릅니다. 이 페이지에서 DFCI 정책 설정 참조를 검토하고 Intune 지침에 따라 설정을 구성하고 디바이스에 배포합니다.

필수 구성 요소

• Windows 11 또는 Windows 10 버전 1809(2018년 11월 릴리스)
• 디바이스는 다음 방법 중 하나를 통해 Windows Autopilot에 등록해야 합니다.
  • Microsoft CSP(클라우드 솔루션 공급자) 파트너
  • Surface에서 직접

참고

CSV 파일에서 가져온 것과 같이 Autopilot에 대해 수동으로 또는 자체 등록된 디바이스는 DFCI를 사용할 수 없습니다. 기본적으로 DFCI 관리에는 Microsoft CSP 파트너 또는 Surface 등록을 통해 디바이스의 상업적 취득에 대한 외부 증명이 필요합니다.

Surface 디바이스에 대한 DFCI 정책 설정 참조

적격 디바이스

• Surface Pro 10
• Surface Pro 9(상용 SKU만 해당)
• 5G가 있는 Surface Pro 9(상용 SKU만 해당)
• Surface Pro 8(상용 SKU만 해당)
• Surface Pro 7 이상(상업용 SKU만 해당)
• Surface Pro 7(모든 SKU)
• Surface Pro X(모든 SKU)
• Surface Laptop Studio(모든 세대, 상용 SKU만 해당)
• Surface Laptop 6
• Surface Laptop 5(상용 SKU만 해당)
• Surface Laptop 4(상용 SKU만 해당)
• Surface Laptop 3(Intel 프로세서만 해당)
• Surface Laptop Go
• Surface Laptop Go 2(상용 SKU만 해당)
• Surface Laptop Go 3(상용 SKU만 해당)
• Surface Laptop SE
• Surface Book 3
• Surface Go 3(상용 SKU만 해당)
• Surface Go 4(상용 SKU만 해당)
• Surface Studio 2 이상

참고

Surface Pro X는 기본 제공 카메라, 오디오 및 Wi-Fi/Bluetooth에 대한 DFCI 설정 관리를 지원하지 않습니다. 일부 최신 설정은 최신 디바이스에서만 지원됩니다.

표 1. DFCI 정책 설정 참조: Autopilot 배포 Surface 디바이스

DFCI 설정	설명	지원되는 버전
UEFI 액세스
로컬 사용자가 UEFI(BIOS) 설정을 변경할 수 있도록 허용	이 설정을 사용하면 최종 사용자가 적격 디바이스에서 UEFI 설정을 수정할 수 있는지 여부를 관리할 수 있습니다. - 구성되지 않은 설정만 선택하는 경우 로컬 사용자(최종 사용자라고도 함)는 Intune 통해 명시적으로 사용하거나 사용하지 않도록 설정한 설정을 제외한 모든 UEFI 설정을 변경할 수 있습니다. - 없음을 선택하면 로컬 사용자가 DFCI 프로필에 표시되지 않는 설정을 포함하여 UEFI 설정을 변경할 수 없습니다.	모든 적격 디바이스
보안 설정
동시 다중 스레딩	이 설정을 사용하면 적격 디바이스에서 동시 SMT(다중 스레딩) 지원을 사용할 수 있는지 여부를 관리할 수 있습니다. SMT는 각 물리적 코어에 대해 두 개의 논리 프로세서를 제공하는 Intel 하이퍼스레딩 기술을 지원합니다. - 이 설정을 사용하도록 설정하면 UEFI 계층에서 SMT가 설정됩니다. - 이 설정을 사용하지 않도록 설정하면 UEFI 계층에서 SMT가 꺼집니다. - 이 설정을 구성하지 않으면 SMT가 사용하도록 설정됩니다.	모든 적격 디바이스
카메라
카메라	이 설정을 사용하면 기본 제공 카메라가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 모든 기본 제공 카메라가 허용됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 모든 기본 제공 카메라가 비활성화됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 모든 기본 제공 카메라가 사용하도록 설정됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
전면 카메라	이 설정을 사용하면 Front 카메라가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 전면 카메라가 허용됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 전면 카메라가 비활성화됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 전면 카메라가 활성화됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
후면 카메라	이 설정을 사용하면 후방 카메라가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 후방 카메라가 허용됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 후방 카메라가 비활성화됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 후면 카메라가 허용됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
IR(적외선) 카메라	이 설정을 사용하면 적격 디바이스에서 적외선 카메라가 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 적외선 카메라가 허용됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 적외선 카메라가 비활성화됩니다. USB 카메라와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 적외선 카메라가 허용됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
마이크 및 스피커
마이크 및 스피커	이 설정을 사용하면 온보드 오디오가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 모든 기본 제공 마이크와 스피커가 허용됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 모든 기본 제공 마이크와 스피커가 비활성화됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 마이크와 스피커가 활성화됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
마이크	이 설정을 사용하면 기본 제공 마이크가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 모든 기본 제공 마이크가 활성화됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 모든 기본 제공 마이크가 비활성화됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 마이크가 활성화됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
무선
라디오(Bluetooth, Wi-Fi, NFC 등)	이 설정을 사용하면 기본 제공 Bluetooth, Wi-Fi 또는 5G 무선이 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 모든 기본 제공 라디오가 허용됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 사용하지 않도록 설정하면 모든 기본 제공 라디오가 비활성화됩니다. USB 장치와 같은 주변 장치는 영향을 받지 않습니다. - 이 설정을 구성하지 않으면 모든 기본 제공 라디오가 사용하도록 설정됩니다. 팁:범주 설정 라디오(Bluetooth, Wi-Fi, NFC 등) 또는 세분화된 설정 Bluetooth, Wi-Fi를 구성합니다. 모든 설정을 구성하는 경우 이러한 설정으로 인해 충돌이 발생할 수 있습니다. 자세한 내용은 DFCI 프로필 개요: 충돌을 참조하세요. 주의:사용 안 함 설정은 유선 이더넷 연결이 있는 디바이스에서만 사용해야 합니다.	- Surface Pro X에서는 지원되지 않습니다. - 다른 모든 적격 디바이스에서 지원됩니다.
Bluetooth	이 설정을 사용하면 기본 제공 Bluetooth가 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 Bluetooth가 활성화됩니다. - 이 설정을 사용하지 않도록 설정하면 Bluetooth가 비활성화됩니다. - 이 설정을 구성하지 않으면 Bluetooth가 활성화됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
Wwan	이 설정을 사용하면 기본 제공 WWAN(5G 무선)이 적격 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 WWAN이 활성화됩니다. - 이 설정을 사용하지 않도록 설정하면 WWAN이 비활성화됩니다. - 이 설정을 구성하지 않으면 WWAN이 활성화됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
Wi-Fi	이 설정을 사용하면 기본 제공 Wi-Fi 적합한 디바이스에서 작동할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 Wi-Fi 활성화됩니다. - 이 설정을 사용하지 않도록 설정하면 Wi-Fi 비활성화됩니다. - 이 설정을 구성하지 않으면 Wi-Fi 사용하도록 설정됩니다.	- Surface Pro X에서는 지원되지 않습니다. - 5G 및 기타 모든 적격 디바이스가 있는 Surface Pro 9에서 지원됩니다.
부팅 옵션
외부 미디어에서 부팅(USB, SD)	이 설정을 사용하면 적격 디바이스를 외부 미디어에서 부팅할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 최종 사용자가 USB 플래시 드라이브 또는 기타 비 하드 드라이브 스토리지 기술에서 디바이스를 부팅할 수 있습니다. - 이 설정을 사용하지 않도록 설정하면 최종 사용자가 USB 플래시 드라이브 또는 기타 비 하드 드라이브 스토리지 기술에서 디바이스를 부팅할 수 없습니다. - 이 설정을 구성하지 않으면 최종 사용자가 USB 플래시 드라이브 또는 기타 비 하드 드라이브 스토리지 기술에서 디바이스를 부팅할 수 있습니다.	모든 적격 디바이스
포트
USB 유형 A	이 설정을 사용하면 디바이스가 USB-A 연결을 활용하는 방법을 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 USB-A 데이터 연결이 적격 디바이스에서 작동할 수 있습니다. - 이 설정을 사용하지 않도록 설정하면 USB-A 데이터 연결이 적격 디바이스에서 작동할 수 없습니다. - 이 설정을 구성하지 않으면 USB-A 데이터 연결이 모든 디바이스에서 작동할 수 있습니다. 주의: 외부 미디어와 USB 유형 A에서 부팅을 모두 사용하지 않도록 설정하고 어떤 이유로든 디바이스를 부팅할 수 없게 되면 SSD를 교체하지 않고 디바이스를 복구할 수 없습니다. 외부 미디어에서 부팅하고 네트워크에서 PXE 부팅 또는 DFCI 새로 고침을 수행할 수 없습니다.	Surface Laptop Go 2 이상(2022년 6월 1일 이후에 릴리스된 장치)에서만 지원됩니다.
절 해제 설정
Wake-on-LAN	이 설정을 사용하면 적격 디바이스를 최신 대기 상태 또는 최대 절전 모드에서 원격으로 시작할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 적격 디바이스를 원격으로 Wake-on-LAN으로 구성할 수 있습니다. - 이 설정을 사용하지 않도록 설정하면 적격 디바이스를 LAN에서 원격으로 절식하도록 구성할 수 없습니다. - 이 설정을 구성하지 않으면 LAN을 원격으로 절식하도록 적격 디바이스를 구성할 수 있습니다.	Surface Laptop Go 2 이상(2022년 6월 1일 이후에 릴리스된 장치)에서만 지원됩니다.
절전 모드 해제	이 설정을 사용하면 전원에 연결할 때 적격 디바이스를 최대 절전 모드에서 자동으로 시작할 수 있는지 또는 전원이 꺼진 상태에서 시작할 수 있는지 여부를 관리할 수 있습니다. - 이 설정을 사용하도록 설정하면 전원에 연결될 때 적격 Surface 디바이스가 자동으로 시작되도록 구성할 수 있습니다. - 이 설정을 사용하지 않도록 설정하면 전원에 연결될 때 적격 Surface 장치를 자동으로 시작하도록 구성할 수 없습니다. - 이 설정을 구성하지 않으면 전원에 다시 연결할 때 적격 Surface 장치를 자동으로 시작하도록 구성할 수 없습니다.	Surface Laptop Go 2 이상(2022년 6월 1일 이후에 릴리스된 장치)에서만 지원됩니다.

참고

Intune DFCI에는 현재 Surface 디바이스에 적용되지 않는 설정(CPU 및 IO 가상화, 네트워크 어댑터에서 부팅 사용 안 함, WPBT(Windows 플랫폼 이진 테이블), NFC 및 SD 카드 포함됩니다.

시작

1. endpoint.microsoft.com 테넌트에서 로그인합니다.

2. Microsoft Intune 관리 센터에서 디바이스 > 구성 프로필 프로필 만들기를 >선택합니다.

3. 플랫폼에서 Windows 10 이상을 선택합니다.

4. 프로필 유형에서 템플릿>디바이스 펌웨어 구성 인터페이스를 선택한 다음, 만들기를 선택합니다.

   

5. 다음을 비롯한 전체 지침은 Microsoft Intune Windows 디바이스에서 DFCI 프로필 사용을 참조하세요.

   • Microsoft Entra 보안 그룹 만들기
   • 프로필 만들기
   • 프로필 할당 및 다시 부팅
   • 기존 DFCI 설정 업데이트
   • 디바이스 재사용, 사용 중지 또는 복구

사용자가 UEFI 설정을 변경하지 못하도록 방지

많은 고객의 경우 사용자가 UEFI 설정을 변경하지 못하도록 차단하는 기능이 매우 중요하며 DFCI를 사용하는 주된 이유입니다. 표 1에 나열된 것처럼 이 기능은 로컬 사용자가 UEFI 설정을 변경할 수 있도록 허용 설정을 통해 관리됩니다. 이 설정을 편집하거나 구성하지 않으면 로컬 사용자가 Intune 관리되지 않는 UEFI 설정을 변경할 수 있습니다. 따라서 로컬 사용자가 UEFI 설정을 없음으로 변경할 수 있도록 허용하는 것을 매우 권장 합니다.

DFCI 관리 디바이스에서 UEFI 설정 확인

테스트 환경에서는 Surface UEFI 인터페이스에서 설정을 확인할 수 있습니다.

1. Surface UEFI 열기:

   • Surface에서 볼륨 크게 단추를 길게 누르고 동시에 전원 단추를 길게 누릅니다.
   • Surface 로고가 표시되면 볼륨 크게 단추를 놓습니다. UEFI 메뉴는 몇 초 내에 표시됩니다.

2. 디바이스를 선택합니다. UEFI 메뉴는 다음 그림과 같이 구성된 설정을 반영합니다.

   

   참고

   • 로컬 사용자가 UEFI 설정을 변경할 수 있도록 허용이 없음으로 설정되어 있으므로 설정이 회색으로 표시됩니다(비활성).
   • 마이크 및 스피커 정책이 사용 안 함으로 설정되었기 때문에 온보드 오디오가 꺼져 있습니다.

DFCI 정책 설정 제거

DFCI 프로필을 만들 때 구성된 모든 설정은 프로필의 관리 scope 내의 모든 디바이스에서 계속 적용됩니다. DFCI 프로필을 직접 편집하여 DFCI 정책 설정만 제거할 수 있습니다. 원래 DFCI 프로필이 삭제된 경우 새 프로필을 만들고 적절한 설정을 편집합니다.

DFCI 관리 제거

DFCI 관리를 제거하고 디바이스를 공장의 새 상태로 되돌리려면 다음을 수행합니다.

1. Intune 디바이스 사용 중지:
   1. endpoint.microsoft.com Endpoint Manager에서 디바이스>모든 디바이스를 선택합니다.
   2. 사용 중지할 디바이스를 선택한 다음 사용 중지/초기화를 선택합니다. 자세한 내용은 초기화, 사용 중지 또는 수동으로 디바이스 등록 취소를 사용하여 디바이스 제거를 참조하세요.
2. Intune Autopilot 등록을 삭제합니다.
   1. 디바이스 등록 > Windows 등록 > 디바이스를 선택합니다.
   2. Windows Autopilot 디바이스에서 삭제할 디바이스 를 선택한 다음 삭제를 선택합니다.
3. Surface 브랜드 이더넷 어댑터를 사용하여 유선 인터넷에 디바이스를 연결합니다. 디바이스를 다시 시작하고 UEFI 메뉴를 엽니다(전원 단추를 누르고 놓으면서 볼륨 크게 단추를 길게 누르고 있습니다).
4. 네트워크에서 관리 > 새로 고침 구성>을 선택한 다음, 옵트아웃을 선택합니다.

Intune DFCI 관리 없이 디바이스를 관리하려면 Autopilot에 자체 등록하고 Intune 등록합니다. DFCI는 자체 등록 디바이스에 적용되지 않습니다.

세부 정보

• DFCI 관리 | Microsoft Docs
• Microsoft Intune Windows 디바이스에서 DFCI 프로필 사용
• Microsoft Intune Windows 10/11에 대한 DFCI 설정
• Windows Autopilot
• Windows Autopilot 및 Surface 디바이스
• Ignite 2019: Intune Surface UEFI 설정의 원격 관리 발표