Microsoft Intune DFCI(디바이스 펌웨어 구성 인터페이스) 프로필 설정

이 문서에서는 Windows 클라이언트 디바이스에서 제어할 수 있는 DFCI 프로필 설정을 나열하고 설명합니다. MDM(모바일 디바이스 관리) 솔루션의 일부로 이러한 설정을 사용하여 Windows의 UEFI 계층에서 보안 기능, 기본 제공 하드웨어 및 부팅 옵션을 제어합니다.

이러한 설정은 다음 사항에 적용됩니다.

  • 지원되는 UEFI의 Windows 11
  • 지원되는 UEFI의 Windows 10 RS5(1809) 이상

이러한 설정은 Intune 디바이스 구성 프로필에 추가된 다음 Windows 클라이언트 디바이스에 할당되거나 배포됩니다.

시작하기 전에

경고

조심하세요. DFCI 프로필을 구성하고 할당하면 복구할 수 없는 디바이스를 잠글 수 있습니다. DFCI 프로필 설정은 디바이스 하드웨어를 변경하며 OS를 다시 이미징하여 수정할 수 없습니다.

보안 기능

  • 로컬 사용자가 UEFI 설정을 변경할 수 있도록 허용: 옵션:

    • 구성되지 않은 설정: 로컬 사용자는 Intune 사용 또는 사용 안 함 으로 명시적으로 설정된 설정을 제외한 모든 설정을 변경할 수 있습니다.
    • 없음: 로컬 사용자는 DFCI 프로필에 표시되지 않는 설정을 포함하여 모든 UEFI(BIOS) 설정을 변경할 수 없습니다.
  • CPU 및 IO 가상화: 옵션:

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
    • 사용: BIOS는 OS에서 사용할 플랫폼의 CPU 및 IO 가상화 기능을 사용하도록 설정합니다. Windows 가상화 기반 보안 및 Device Guard 기술을 켭니다.
  • WPBT(Windows 플랫폼 이진 테이블): WPBT를 사용하면 공급업체와 OEM이 UEFI 계층에서 프로그램을 실행할 .exe 수 있습니다. Windows가 부팅할 때마다 UEFI를 보고 실행합니다 .exe. Windows 미디어에 포함되지 않은 프로그램을 실행하는 데 사용됩니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 공급업체 및 OEM이 WPBT를 사용하여 프로그램을 실행할 수 있도록 허용할 수 있습니다.
    • 사용: WPBT를 사용하도록 설정하고 UEFI 계층의 프로그램을 실행할 수 있습니다 .exe .
    • 사용 안 함: WPBT를 사용하지 않도록 설정하고 UEFI 계층의 프로그램이 실행되지 않도록 합니다 .exe .
  • SMT(동시 다중 스레딩): 하이퍼 스레딩이라고도 합니다. 옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
    • 사용: UEFI 계층에서 SMT를 사용하도록 설정합니다.
    • 사용 안 함: UEFI 계층에서 SMT를 사용하지 않도록 설정합니다.

카메라

  • 카메라: 이 설정은 디바이스에 기본 제공되는 모든 하드웨어 카메라를 관리합니다. USB 웹캠과 같은 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 카메라를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 카메라를 사용할 수 있습니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 카메라는 사용하지 않도록 설정됩니다. USB 카메라와 같은 주변 디바이스는 영향을 받지 않습니다.

마이크 및 스피커

범주 설정(마이크 및 스피커) 또는 세분화된 설정(마이크)을 구성합니다. 모든 설정을 구성하는 경우 이러한 설정으로 인해 충돌이 발생할 수 있습니다. 자세한 내용은 DFCI 프로필 개요: 충돌으로 이동합니다.

  • 마이크 및 스피커: 이 설정은 장치에 기본 제공되는 모든 마이크와 스피커를 관리합니다. USB 디바이스와 같은 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 마이크와 스피커를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 마이크 및 스피커를 사용할 수 있습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 마이크 및 스피커를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • 마이크: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 마이크를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 마이크를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 마이크가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 마이크를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

라디오

범주 설정 구성(라디오(Bluetooth, Wi-Fi, NFC 등) 또는 세분화된 설정(Bluetooth, Wi-Fi). 모든 설정을 구성하는 경우 이러한 설정으로 인해 충돌이 발생할 수 있습니다. 자세한 내용은 DFCI 프로필 개요: 충돌으로 이동합니다.

  • 라디오(Bluetooth, Wi-Fi, NFC 등): 이 설정은 UEFI(BIOS)에서 관리하는 모든 기본 제공 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 모든 기본 제공 라디오를 사용하도록 설정할 수 있습니다.

    • 사용: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 라디오를 사용할 수 있습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

    • 사용 안 함: UEFI(BIOS)에서 직접 관리되는 모든 기본 제공 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

      경고

      라디오 설정을 사용하지 않도록 설정하는 경우에는 디바이스에 유선 네트워크 연결이 필요합니다. 그러지 않으면 디바이스를 관리할 수 없습니다.

  • Bluetooth: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 Bluetooth 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 Bluetooth 라디오를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Bluetooth 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Bluetooth 라디오는 사용하지 않도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
  • Wi-Fi: 이 설정은 UEFI(BIOS)에서 관리하는 기본 제공 Wi-Fi 라디오를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 Wi-Fi 라디오를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Wi-Fi 라디오가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 Wi-Fi 라디오를 사용할 수 없습니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

부팅 옵션

경고

모든 외부 부팅 옵션 또는 모든 외부 포트를 사용하지 않도록 설정해도 OS 복구가 크게 복잡합니다. 더 이상 Windows를 부팅할 수 없는 디바이스를 복구하려면 디바이스를 물리적으로 열고 하드웨어 스토리지를 교체해야 할 수 있습니다.

  • 외부 미디어(USB, SD)에서 부팅: 사용자 옵션:

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 외부 미디어에서 부팅을 허용할 수 있습니다.

    • 사용: UEFI(BIOS)가 하드 드라이브 이외 스토리지에서 부팅하도록 허용합니다.

    • 사용 안 함: UEFI(BIOS)는 하드 드라이브가 아닌 스토리지에서 부팅할 수 없으므로 네트워크 어댑터에서 부팅을 사용하지 않도록 설정합니다.

      사용 안 함 으로 설정된 경우, 네트워크 어댑터에서 부팅 설정을 사용 으로 설정하지 마세요. 이로 인해 외부 미디어(USB, SD)에서 부팅 설정 또는 네트워크 어댑터에서 부팅 설정이 호환되지 않습니다.

  • 네트워크 어댑터에서 부팅: 옵션: 사용자 옵션:

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 네트워크 어댑터에서 부팅을 허용할 수 있습니다.
    • 사용: UEFI(BIOS)가 기본 제공 네트워크 인터페이스에서 부팅하도록 허용합니다.
    • 사용 안 함: UEFI(BIOS)는 기본 제공 네트워크 인터페이스 부팅을 방지합니다.

포트

경고

모든 외부 부팅 옵션 또는 모든 외부 포트를 사용하지 않도록 설정해도 OS 복구가 크게 복잡합니다. 더 이상 Windows를 부팅할 수 없는 디바이스를 복구하려면 디바이스를 물리적으로 열고 하드웨어 스토리지를 교체해야 할 수 있습니다.

  • USB 유형 A: 이 설정은 UEFI(BIOS)로 관리되는 기본 제공 USB 형식 A 포트를 관리합니다. 연결된 주변 장치를 관리하지 않습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 기본 제공 USB 형식 A 포트를 사용하도록 설정할 수 있습니다.
    • 사용: UEFI(BIOS)에서 직접 관리하는 모든 기본 제공 USB 유형 A 포트가 사용하도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.
    • 사용 안 함: UEFI(BIOS)로 직접 관리되는 모든 기본 제공 USB 유형 A 포트는 사용하지 않도록 설정됩니다. USB 디바이스와 같은 주변 디바이스는 영향을 받지 않습니다.

절전 모드 해제 설정

경고

모든 외부 부팅 옵션 또는 모든 외부 포트를 사용하지 않도록 설정해도 OS 복구가 크게 복잡합니다. 더 이상 Windows를 부팅할 수 없는 디바이스를 복구하려면 디바이스를 물리적으로 열고 하드웨어 스토리지를 교체해야 할 수 있습니다.

  • WAKE ON LAN: Wake on LAN을 사용하면 네트워크 관리자가 LAN을 사용하여 절전 모드에서 디바이스를 원격으로 절전 모드로 해제할 수 있습니다.

    옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 LAN을 사용하여 디바이스를 깨우는 것을 방지할 수 있습니다.
    • 사용: UEFI(BIOS)를 사용하면 LAN을 사용하여 디바이스를 깨우도록 허용합니다.
    • 사용 안 함: UEFI(BIOS)는 LAN을 사용하여 디바이스를 깨우는 것을 방지합니다.
  • 절전 모드 해제: 절전 모드 해제: 전원에 연결되면 네트워크 관리자가 절전 모드에서 디바이스를 원격으로 절전 모드로 해제할 수 있습니다. 옵션은 다음과 같습니다.

    • 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 OS는 전원에 연결되어 있을 때 디바이스를 절전 모드에서 깨우는 것을 방지할 수 있습니다.
    • 사용: UEFI(BIOS)를 사용하면 전원에 연결되어 있을 때 디바이스를 깨우도록 허용합니다.
    • 사용 안 함: UEFI(BIOS)는 전원에 연결되어 있을 때 디바이스를 깨우는 것을 방지합니다.

다음 단계

각 설정 및 지원되는 Windows 버전에 대한 기타 기술 세부 정보는 Windows 10/11 정책 CSP 참조를 참조하세요.

Microsoft Intune Windows 디바이스에서 DFCI 프로필을 사용합니다.

프로필을 할당하고, 해당 상태를 모니터링합니다.