DFCI(디바이스 펌웨어 구성 인터페이스) 관리
Windows Autopilot Deployment 및 Intune 사용하면 디바이스를 등록한 후 UEFI(Unified Extensible Firmware Interface) 설정을 관리할 수 있습니다. UEFI 설정은 DFCI(디바이스 펌웨어 구성 인터페이스)를 사용하여 관리할 수 있습니다. DFCI를 사용하면 Windows에서 Autopilot 배포 디바이스에 대한 관리 명령을 Intune UEFI로 전달할 수 있습니다. 이 기능을 사용하면 BIOS 설정에 대한 최종 사용자의 제어를 제한할 수 있습니다. 예를 들어 사용자가 동일한 보안 기능이 없는 OS와 같은 다른 OS를 부팅하지 못하도록 부팅 옵션을 잠글 수 있습니다.
사용자가 이전 Windows 버전을 다시 설치하거나, 별도의 OS를 설치하거나, 하드 드라이브의 형식을 지정하는 경우 DFCI 관리를 재정의할 수 없습니다. 이 기능은 상승된 OS 프로세스를 포함하여 맬웨어가 OS 프로세스와 통신하는 것을 방지할 수도 있습니다. DFCI의 트러스트 체인은 공개 키 암호화를 사용하며 로컬 UEFI 암호 보안에 의존하지 않습니다. 이 보안 계층은 로컬 사용자가 디바이스의 UEFI 메뉴에서 관리되는 설정에 액세스하지 못하도록 차단합니다.
DFCI 이점, 시나리오 및 요구 사항에 대한 개요는 DFCI(디바이스 펌웨어 구성 인터페이스) 소개를 참조하세요.
중요
다음 작업이 발생할 때 Autopilot 프로비저닝 중에 디바이스가 DFCI 관리에 자동으로 등록됩니다.
- OEM은 DFCI에 디바이스를 사용하도록 설정합니다.
- 디바이스는 파트너 센터의 OEM 또는 CSP(클라우드 솔루션 파트너)를 통해 Autopilot에 등록됩니다.
DFCI 관리에 등록하면 OOBE(기본 제공 환경) 중에 추가 재부팅이 트리거됩니다.
DFCI 관리 수명 주기
DFCI 관리 수명 주기에는 다음 프로세스가 포함됩니다.
- UEFI 통합.
- 장치 등록.
- 프로필 만들기.
- 등록.
- 경영.
- 퇴직.
- 복구.
다음 그림을 참조하세요.
요구 사항
- 현재 지원되는 Windows 버전과 지원되는 UEFI가 필요합니다.
- 디바이스 제조업체는 제조 프로세스에서 UEFI 펌웨어에 DFCI를 추가하거나 설치할 수 있는 펌웨어 업데이트로 추가해야 합니다. 디바이스 공급업체와 협력하여 DFCI를 지원하는 제조업체 또는 DFCI를 사용하는 데 필요한 펌웨어 버전을 결정합니다.
- 디바이스는 Microsoft Intune 사용하여 관리해야 합니다. 자세한 내용은 Windows Autopilot을 사용하여 Intune Windows 디바이스 등록을 참조하세요.
- 디바이스는 Microsoft CSP(클라우드 솔루션 공급자) 파트너가 Windows Autopilot에 등록하거나 OEM이 직접 등록해야 합니다. Surface 디바이스의 경우 Microsoft 등록 지원은 Microsoft 디바이스 Autopilot 지원에서 사용할 수 있습니다.
중요
Autopilot에 수동으로 등록된 디바이스(예: CSV 파일에서 가져오기)는 DFCI를 사용할 수 없습니다. 기본적으로 DFCI 관리를 사용하려면 OEM 또는 Windows Autopilot에 대한 Microsoft CSP 파트너 등록을 통해 디바이스의 상용 구매에 대한 외부 증명이 필요합니다. 디바이스가 등록되면 일련 번호가 Windows Autopilot 디바이스 목록에 표시됩니다.
Windows Autopilot을 사용하여 DFCI 프로필 관리
Windows Autopilot을 사용하여 DFCI 프로필을 관리하는 네 가지 기본 단계가 있습니다.
- Autopilot 프로필 만들기
- 등록 상태 페이지 프로필 만들기
- DFCI 프로필 만들기
- 프로필 할당
자세한 내용은 프로필 만들기 및 프로필 할당 및 다시 부팅 을 참조하세요.
사용 중인 디바이스에서 기존 DFCI 설정을 변경할 수도 있습니다. 기존 DFCI 프로필에서 설정을 변경하고 변경 내용을 저장합니다. 프로필이 이미 할당되어 있으므로 다음에 디바이스가 동기화되거나 디바이스가 다시 부팅되면 새 DFCI 설정이 적용됩니다.
디바이스가 DFCI 준비가 되었는지 여부를 식별하기 위해 다음 Intune Graph API 호출을 사용할 수 있습니다.
managedDevice/deviceFirmwareConfigurationInterfaceManaged
자세한 내용은 Intune 디바이스 및 앱 API 개요 및 Microsoft Graph에서 Intune 작업을 참조하세요.
DFCI를 지원하는 OEM
- 에이서.
- Asus.
- 다이나북.
- 후지쯔.
- Microsoft Surface.
- 파나소닉.
- VAIO.
- 삼성.
다른 OEM은 보류 중입니다.
알려진 문제
Windows 11, 버전 24H2의 Professional 버전에 대한 DFCI 등록 실패
추가 날짜: 2024년 10월 9일
DFCI는 현재 Windows 11 버전 24H2의 Professional 버전이 있는 디바이스에서 사용할 수 없습니다. 이 문제는 조사 중입니다. 해결 방법으로 디바이스가 OOBE 온보딩 중 또는 그 후에 Windows 11 버전 24H2의 Enterprise 버전으로 업그레이드되었는지 확인합니다. Windows 11 Enterprise 버전 버전 24H2로 업그레이드한 후 디바이스를 동기화합니다. 디바이스가 동기화되면 다시 부팅하여 DFCI에 등록합니다.