Microsoft Intune의 Windows 장치에서 DFCI(디바이스 펌웨어 구성 인터페이스) 프로필 사용

  • 아티클

Intune 사용하여 Windows Autopilot 디바이스를 관리하는 경우 DFCI(디바이스 펌웨어 구성 인터페이스)를 사용하여 등록한 후 UEFI(BIOS) 설정을 관리할 수 있습니다. 이점, 시나리오 및 필수 구성 요소에 대한 개요는 DFCI 개요로 이동합니다.

DFCI를 사용하면 Windows를 통해 Intune에서 UEFI(Unified Extensible Firmware Interface)로 관리 명령을 전달할 수 있습니다.

Intune에서 이 기능을 사용하여 BIOS 설정을 제어합니다. 일반적으로 펌웨어는 악의적인 공격에 보다 탄력적입니다. 펌웨어는 최종 사용자의 BIOS 제어를 제한하며, 이는 손상된 상황에 적합합니다.

이 기능은 다음에 적용됩니다.

  • 지원되는 UEFI의 Windows 11
  • 지원되는 UEFI의 Windows 10 RS5(1809) 이상

예를 들어 보안 환경에서 Windows 클라이언트 장치를 사용하고 카메라를 비활성화하려 합니다. 펌웨어 계층에서 카메라를 사용하지 않도록 설정할 수 있으므로 최종 사용자가 수행하는 작업은 중요하지 않습니다. OS를 다시 설치하거나 컴퓨터를 초기화하면 카메라가 다시 켜지지 않습니다. 또 다른 예제에서는 사용자가 다른 OS 또는 동일한 보안 기능이 없는 이전 버전의 Windows를 부팅하지 못하도록 부팅 옵션을 잠급니다.

이전 Windows 버전을 다시 설치하거나, 별도의 OS를 설치하거나, 하드 드라이브를 포맷하면 DFCI 관리를 재정의할 수 없습니다. 이 기능을 사용하면 맬웨어가 높은 권한의 OS 프로세스를 포함하여 OS 프로세스와 통신할 수 없습니다. DFCI의 신뢰 체인은 퍼블릭 키 암호화를 사용하며 로컬 UEFI(BIOS) 암호 보안에 의존하지 않습니다. 이 보안 계층은 로컬 사용자가 디바이스의 UEFI(BIOS) 메뉴에서 관리형 설정에 액세스하지 못하도록 합니다.

Dell 디바이스의 경우 BIOS 구성 정책을 만들 수 있습니다. 자세한 내용은 Microsoft Intune Windows 디바이스에서 BIOS 구성 프로필 사용을 참조하세요.

시작하기 전에

  • 디바이스 제조업체는 제조 프로세스에서 UEFI 펌웨어에 또는 설치하는 펌웨어 업데이트로 DFCI를 추가해야 합니다. 디바이스 공급업체와 협력하여 DFCI를 지원하는 공급업체 또는 DFCI를 사용하는 데 필요한 펌웨어 버전을 확인합니다.

  • 디바이스는 Microsoft CSP(클라우드 솔루션 공급자) 파트너가 Windows Autopilot에 등록하거나 OEM이 직접 등록해야 합니다.

    csv 파일에서 가져온 것과 같이 Windows Autopilot에 수동으로 등록된 디바이스는 DFCI를 사용할 수 없습니다. 기본적으로 DFCI 관리를 사용하려면 OEM 또는 Windows Autopilot에 대한 Microsoft CSP 파트너 등록을 통해 디바이스의 상용 구매에 대한 외부 증명이 필요합니다.

    디바이스가 등록되면 Windows Autopilot 디바이스 목록에 일련 번호가 표시됩니다.

    요구 사항을 포함하여 Windows Autopilot에 대한 자세한 내용은 Windows Autopilot 등록 개요를 참조하세요.

Microsoft Entra 보안 그룹 만들기

Windows Autopilot 배포 프로필은 Microsoft Entra 보안 그룹에 할당됩니다. DFCI 지원 디바이스를 포함하는 그룹을 만들어야 합니다. DFCI 디바이스의 경우 대부분의 조직에서는 사용자 그룹 대신 디바이스 그룹을 만들 수 있습니다. 다음 시나리오를 고려하세요.

  • HR(인사)에는 다른 Windows 디바이스가 있습니다. 보안상의 이유로 이 그룹의 모든 사용자가 디바이스에서 카메라를 사용할 수 없도록 합니다. 이 시나리오에서는 디바이스 유형과 관계없이 HR 그룹의 사용자에게 정책이 적용되도록 HR 보안 사용자 그룹을 만들 수 있습니다.

  • 제조 공간에는 10개의 디바이스가 있습니다. 모든 디바이스에서 USB 디바이스를 통해 디바이스를 부팅하지 못하도록 합니다. 이 시나리오에서는 보안 디바이스 그룹을 만들고 이 10개의 디바이스를 그룹에 추가할 수 있습니다.

Intune 그룹을 만드는 방법에 대한 자세한 내용은 그룹 추가를 참조하여 사용자 및 디바이스를 구성합니다.

프로필 만들기

DFCI를 사용하려면 다음 프로필을 만들고 그룹에 할당합니다.

1단계 - Windows Autopilot 배포 프로필 만들기

이 프로필은 새 디바이스를 설정하고 미리 구성합니다. 다음 문서에서는 프로필을 만드는 단계를 나열합니다.

2단계 - 등록 상태 페이지 프로필 만들기

이 프로필을 사용하면 디바이스가 Windows 설치 중에 DFCI에 대해 확인되고 사용하도록 설정됩니다. 모든 앱과 프로필이 설치될 때까지 이 프로필을 사용하여 디바이스 사용을 차단하는 것이 좋습니다.

다음 문서에서는 프로필을 만드는 단계를 나열합니다.

3단계 - Intune DFCI 프로필 만들기

이 프로필에는 사용자가 구성하는 DFCI 설정이 포함됩니다.

DFCI 프로필을 구성하고 할당하면 복구할 수 없는 디바이스를 잠글 수 있습니다. 따라서 구성하는 값에 주의하세요.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>구성>만들기를 선택합니다.

  3. 다음 속성을 입력합니다.

    • 플랫폼: Windows 10 이상을 선택합니다.
    • 프로필 유형: 템플릿>디바이스 펌웨어 구성 인터페이스를 선택합니다.

  4. 만들기를 선택합니다.

  5. 기본에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 정책 이름을 지정합니다. 예를 들어 좋은 프로필 이름은 Windows - Windows 디바이스의 DFCI 설정입니다.
    • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

    다음을 선택합니다.

  6. 구성 설정에서 UEFI 펌웨어 계층에서 제어하려는 설정을 구성합니다. 모든 설정 목록과 해당 설정의 작업을 보려면 다음으로 이동하세요.

    다음을 선택합니다.

  7. 범위 태그(선택 사항)에서 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링하는 태그를 할당합니다. scope 태그에 대한 자세한 내용은 분산 IT에 RBAC 및 scope 태그 사용을 참조하세요. 다음을 선택합니다.

  8. 할당에서 프로필을 수신할 사용자 또는 사용자 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 디바이스 프로필 할당을 참조하세요. 다음을 선택합니다.

  9. 검토 + 만들기에서 설정을 검토하고 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책은 프로필 목록에도 표시됩니다.

다음 번에 각 디바이스가 체크 인되면 정책이 적용됩니다.

프로필을 할당하고 다시 부팅

DFCI 디바이스를 포함하는 Microsoft Entra 보안 그룹에 프로필을 할당해야 합니다. 프로필은 만드는 과정에서 또는 만든 후에 할당할 수 있습니다.

디바이스에서 Windows Autopilot을 실행하면 등록 상태 페이지에서 DFCI가 강제로 다시 부팅될 수 있습니다. 이 첫 번째 다시 부팅에서 UEFI가 Intune에 등록됩니다.

디바이스가 등록되었는지 확인하려면 디바이스를 다시 부팅해야 하지만 필수는 아닙니다. 디바이스 제조업체의 지침을 사용하여 UEFI 메뉴를 열고 UEFI가 이제 관리되고 있는지 확인합니다.

다음번에 디바이스가 Intune과 동기화될 때 Windows는 DFCI 설정을 수신합니다. 디바이스를 다시 부팅합니다. UEFI가 Windows에서 DFCI 설정을 받으려면 이 세 번째 다시 부팅이 필요합니다.

기존 DFCI 설정 업데이트

사용 중인 디바이스에서 기존 DFCI 설정을 변경하려면 다음을 수행하면 됩니다. 기존 DFCI 프로필에서 설정을 변경하고 변경 내용을 저장합니다. 프로필이 이미 할당되어 있으므로 다음과 같은 경우 새 DFCI 설정이 적용됩니다.

  1. 디바이스가 Intune 서비스에 체크 인하여 프로필 업데이트를 검토합니다. 체크 인은 다양한 시간에 발생합니다. 자세한 내용은 디바이스에서 정책, 프로필 또는 앱 업데이트를 받을 때로 이동합니다.
  2. 새 설정을 적용하려면 디바이스를 원격으로 또는 로컬로 다시 부팅합니다.

체크 인하도록 디바이스에 신호를 보낼 수도 있습니다. 동기화에 성공한 후 다시 부팅하도록 신호를 보냅니다.

참고

DFCI 프로필을 삭제하거나 프로필에 할당된 그룹에서 디바이스를 제거해도 DFCI 설정이 제거되거나 UEFI(BIOS) 메뉴가 다시 사용하도록 설정되지 않습니다. DFCI 사용을 중지하려면 기존 DFCI 프로필의 설정을 업데이트합니다. 단계에 대한 자세한 내용은 이 문서의 디바이스 사용 중지를 참조하세요.

충돌

DFCI 정책을 만들 때 관리하려는 Windows DFCI 설정을 구성합니다.

일부 설정은 마이크 및 스피커와 같은 논리적 범주에 있습니다. 마이크와 같은 세분화된 설정도 있습니다. 이러한 설정이 충돌하는 경우 다음이 발생합니다.

  • 첫 번째 동기화 시도에서 세분화된 설정이 적용되고(마이크) 범주 설정이 비준수(마이크 및 스피커)입니다.

  • 첫 번째 동기화 후 Intune 서비스와 동기화할 때마다 다음 동작이 반복하여 발생합니다.

    • Intune은 비준수이므로 범주 설정(마이크 및 스피커)을 적용합니다. 세분화된 설정(마이크)이 비준수가 됩니다.
    • Intune은 비준수이므로 세분화된 설정(마이크)을 적용합니다. 범주 설정(마이크 및 스피커)은 비준수가 됩니다.

이 반복 동작을 방지하려면 범주 설정 또는 세분화된 설정을 구성합니다.

예를 들어 Wi-Fi 라디오만 허용하려고 합니다. 이 시나리오에서는 다음을 수행합니다.

  • 라디오 범주(Bluetooth, Wi-Fi, NFC 등) 설정을 구성되지 않음으로 둡니다.
  • Wi-Fi 라디오 설정의 경우 사용으로 설정합니다.
  • 다른 모든 세분화된 라디오 설정을 사용 안 함으로 설정합니다.

디바이스 재사용, 사용 중지 또는 복구

재사용

Windows를 초기화하여 디바이스 용도를 변경하려면 디바이스를 초기화합니다. Windows Autopilot 디바이스 레코드를 제거 하지 마세요.

디바이스를 초기화한 후 디바이스를 새 DFCI 및 Windows Autopilot 프로필이 할당된 그룹으로 이동합니다. Windows 설치를 다시 실행하려면 디바이스를 다시 부팅해야 합니다.

중지

디바이스를 사용 중지하고 관리에서 해제할 준비가 되면 DFCI 프로필을 종료 상태에서 원하는 UEFI(BIOS) 설정으로 업데이트합니다. 일반적으로 모든 설정을 사용하도록 설정하려고 합니다. 예제:

  1. Intune 관리 센터에서 DFCI 프로필(디바이스구성)> 엽니다.
  2. 로컬 사용자가 UEFI(BIOS) 설정을 변경하도록 허용구성되지 않은 설정만으로 변경합니다.
  3. 다른 모든 설정을 구성되지 않음으로 설정합니다.
  4. 설정을 저장합니다.

이 단계에서는 디바이스의 UEFI(BIOS) 메뉴 잠금을 해제합니다. 값은 프로필과 동일하게 유지되며(사용 또는 사용 안 함) 다시 기본 OS 값으로 설정되지 않습니다.

이제 디바이스를 초기화할 준비가 되었습니다. 디바이스가 초기화되면 Windows Autopilot 레코드를 삭제합니다. 레코드를 삭제하면 다시 부팅될 때 디바이스가 자동으로 다시 등록되지 않습니다.

DFCI 등록에서 Surface 디바이스를 제거하려면 DFCI 관리 제거로 이동합니다.

복구

디바이스를 초기화하고 UEFI(BIOS) 메뉴를 잠금 해제하기 전에 Windows Autopilot 레코드를 삭제하면 메뉴가 잠긴 상태로 유지됩니다. Intune은 프로필 업데이트를 보내 잠금을 해제할 수 없습니다.

디바이스를 잠금 해제하려면 UEFI(BIOS) 메뉴를 열고 네트워크에서 관리를 새로 고칩니다. 복구 기능으로는 메뉴가 잠금 해제되지만 모든 UEFI(BIOS) 설정이 이전 Intune DFCI 프로필의 값으로 설정됩니다.

최종 사용자 영향

DFCI 정책이 적용되면 UEFI(BIOS) 메뉴가 암호로 보호된 경우에도 로컬 사용자는 DFCI에 의해 구성된 설정을 변경할 수 없습니다. 구성하는 설정에 따라 최종 사용자에게 하드웨어 구성 요소를 찾을 수 없거나 진단할 수 없다는 오류가 표시될 수 있습니다. 사용하지 않도록 설정한 옵션을 설명하는 설명서를 최종 사용자에게 제공해야 합니다.