다음을 통해 공유


SURFACE ENTERPRISE 관리 모드(SEMM) 시작

Microsoft SEMM(Surface Enterprise Management Mode)은 Surface UEFI(통합 확장 가능 펌웨어 인터페이스)를 사용하는 Surface 디바이스의 기능입니다. SEMM을 사용하여 다음을 수행할 수 있습니다.

  • organization 펌웨어 설정을 보호하고 관리합니다.
  • UEFI 설정 구성을 준비하고 Surface 장치에 설치합니다.

또한 SEMM은 인증서를 사용하여 무단 변조 또는 제거로부터 구성을 보호합니다.

SEMM에 Surface 디바이스 등록

이 문서에서는 Surface UEFI 구성 패키지를 만들어 펌웨어 수준에서 하드웨어 구성 요소를 사용하거나 사용하지 않도록 설정하고 SEMM에 Surface 디바이스를 등록하는 방법을 보여 줍니다. Surface 디바이스가 SEMM에 의해 구성되고 SEMM 인증서로 보호되는 경우 SEMM에 등록된 것으로 간주됩니다. SEMM 인증서가 제거되고 UEFI 설정 제어가 디바이스 사용자에게 반환되면 Surface 디바이스는 SEMM에서 등록되지 않은 것으로 간주됩니다.

Microsoft Configuration Manager 사용하여 SEMM으로 디바이스를 관리할 수도 있습니다.

SEMM 대신 최신 Surface 디바이스는 Microsoft Intune 통해 펌웨어 설정 하위 집합의 원격 관리를 지원합니다. 자세한 내용은 Surface 디바이스에서 DFCI 관리를 참조하세요.

지원되는 디바이스

SEMM은 다음을 포함하여 Surface UEFI 펌웨어가 있는 디바이스에서만 사용할 수 있습니다.

  • Surface Book(모든 세대)
  • Surface Go 4(상용 SKU만 해당)
  • Surface Go 3(상용 SKU만 해당)
  • Surface Go 2(모든 SKU)
  • Surface Go(모든 SKU)
  • Surface Hub 2S
  • Surface Laptop(7번째 버전)(상용 SKU만 해당)
  • Surface Laptop 6(상용 SKU만 해당)
  • Surface Laptop 5(상용 SKU만 해당)
  • Surface Laptop 4(상용 SKU만 해당)
  • Surface Laptop 3(Intel 프로세서만 해당)
  • Surface Laptop 2(모든 SKU)
  • Surface Laptop(모든 SKU)
  • Surface Laptop Go 3(상용 SKU만 해당)
  • Surface Laptop Go 2(상용 SKU만 해당)
  • Surface Laptop Go(모든 SKU)
  • Surface Laptop SE(모든 SKU)
  • Surface Laptop Studio 2(상용 SKU만 해당)
  • Surface Laptop Studio(상업용 SKU만 해당)
  • Surface Pro(11번째 버전)(상용 SKU만 해당)
  • Surface Pro 10(상용 SKU만 해당)
  • 5G가 있는 Surface Pro 10(상용 SKU만 해당)
  • Surface Pro 9(상용 SKU만 해당)
  • 5G가 있는 Surface Pro 9(상용 SKU만 해당)
  • Surface Pro 8(상용 SKU만 해당)
  • Surface Pro 7 이상(상업용 SKU만 해당)
  • Surface Pro 7(모든 SKU)
  • Surface Pro 6(모든 SKU)
  • Surface Pro 5세대(모든 SKU)
  • Surface Pro 4(모든 SKU)
  • Surface Pro X(모든 SKU)
  • Surface Studio 2 이상(상용 SKU만 해당)
  • Surface Studio 2(모든 SKU)
  • Surface Studio(모든 SKU)

상업용 SKU(비즈니스용Surface)는 Windows 10 Pro/Enterprise 또는 Windows 11 Pro/Enterprise를 실행합니다. 소비자 SKU는 Windows 10/Windows 11 Home 실행합니다. 자세한 내용은 시스템 정보 보기를 참조하세요.

Surface UEFI 구성기

SEMM의 기본 작업 영역은 새 Surface UEFI 구성기를 포함하는 Surface IT 도구 키트입니다.

구성 패키지

Surface UEFI 구성 패키지는 Surface 디바이스에서 SEMM을 구현하고 관리하는 기본 메커니즘입니다. 이러한 패키지에는 그림 2와 같이 구성 파일과 인증서 파일이 포함되어 있습니다. 구성 파일에는 Microsoft Surface UEFI 구성기에서 패키지를 만들 때 지정되는 UEFI 설정이 포함되어 있습니다. 구성 패키지가 SEMM에 아직 등록되지 않은 Surface 디바이스에서 처음으로 실행되면 디바이스의 펌웨어에 인증서 파일을 프로비전하고 SEMM에 디바이스를 등록합니다. SEMM에서 디바이스를 등록하고 인증서가 저장되고 등록이 완료되기 전에 SEMM 인증서 지문의 마지막 두 숫자를 제공하여 작업을 확인하라는 메시지가 표시됩니다. 이 확인을 수행하려면 등록하는 동안 사용자가 디바이스에 물리적으로 있어야 합니다.

SEMM 인증서에 대한 요구 사항에 대한 자세한 내용은 이 문서의 뒷부분에 있는 Surface Enterprise Management Mode 인증서 요구 사항 섹션을 참조하세요.

Surface UEFI 구성기를 사용하여 만들기

범주 설명 세부 정보
MSI 패키지 Surface 디바이스 를 SEMM에 등록하고 등록된 디바이스에 대한 UEFI 펌웨어 설정을 관리합니다.
SURFACE 도크를 SEMM에 등록하고 등록된 도크에 대한 UEFI 펌웨어 설정을 관리합니다.
Surface 디바이스에 대한 UEFI 설정 구성
Surface Dock에 대한 UEFI 설정 구성
WinPE 이미지 WinPE 이미지를 사용하여 Surface 디바이스에서 SEMM을 등록, 구성 및 등록 취소합니다.
DFI 패키지 SMM에 Surface Hub 디바이스를 등록하고 등록된 Surface Hub 디바이스에 대한 UEFI 펌웨어 설정을 관리하는 DFI 패키지를 만듭니다.

SEMM을 사용하여 UEFI 암호를 요구하는 옵션이 있습니다. 이 경우 Surface UEFI의 보안, 장치, 부팅 구성엔터프라이즈 관리 페이지를 보려면 암호가 필요합니다.

디바이스가 SEMM에 등록되면 구성 파일이 읽혀지고 파일에 지정된 설정이 UEFI에 적용됩니다. SEMM에 이미 등록된 디바이스에서 구성 패키지를 실행하면 구성 파일의 서명이 디바이스 펌웨어에 저장된 인증서에 대해 확인됩니다. 서명이 일치하지 않으면 디바이스에 변경 내용이 적용되지 않습니다.

인증서 파일(.pfx)에 액세스할 수 있는 관리자는 CertMgr에서 .pfx 파일을 열어 언제든지 지문을 읽을 수 있습니다. CertMgr을 사용하여 지문을 보려면 다음을 수행합니다.

  1. .pfx 파일을 선택하고 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 열기를 선택합니다.
  2. 탐색 창에서 폴더를 확장합니다.
  3. 인증서를 선택합니다.
  4. 기본 창에서 인증서를 길게 누르거나 마우스 오른쪽 단추로 클릭한 다음 열기를 선택합니다.
  5. 세부 정보 탭을 선택합니다.
  6. 표시 드롭다운 메뉴에서 모두 또는 속성만 선택해야 합니다.
  7. 지문 필드를 선택합니다.

SEMM에 Surface 디바이스를 등록하거나 구성 패키지에서 UEFI 구성을 적용하려면 의도한 Surface 디바이스에서 관리 권한이 있는 .msi 파일을 실행합니다. Microsoft Configuration Manager 또는 Microsoft 배포 도구 키트와 같은 애플리케이션 배포 또는 운영 체제 배포 기술을 사용할 수 있습니다. SEMM에 디바이스를 등록하는 경우 디바이스에서 등록을 확인하려면 물리적으로 있어야 합니다. SEMM에 이미 등록된 디바이스에 구성을 적용하는 경우 사용자 상호 작용이 필요하지 않습니다.

복구 요청

Surface IT 도구 키트의 복구 요청 기능을 통해 SEMM에서 Surface 디바이스 등록을 취소할 수 있습니다.

SEMM 인증서 요구 사항

Microsoft Surface UEFI 구성기에서 SEMM을 사용하고 UEFI 설정을 적용하려는 경우 구성 파일의 서명을 확인하려면 인증서가 필요합니다. 이 인증서를 사용하면 디바이스가 SEMM에 등록되면 승인된 인증서로 만든 패키지만 UEFI 설정을 수정하는 데 사용할 수 있습니다.

참고

등록된 Surface 디바이스에서 SEMM 또는 Surface UEFI 설정을 수정하려면 SEMM 인증서가 필요합니다. SEMM 인증서가 손상되었거나 손실된 경우 SEMM을 제거하거나 다시 설정할 수 없습니다. 백업 및 복구를 위한 적절한 솔루션으로 그에 따라 SEMM 인증서 관리

Microsoft Surface UEFI Configurator 도구를 사용하여 만든 패키지는 인증서로 서명됩니다. 이 인증서를 사용하면 디바이스가 SEMM에 등록되면 승인된 인증서로 만든 패키지만 UEFI 설정을 수정하는 데 사용할 수 있습니다.

SEMM 인증서에는 다음 설정이 권장됩니다.

  • 키 알고리즘 – RSA
  • 키 길이 – 2048
  • 해시 알고리즘 – SHA-256
  • 형식 – SSL 서버 인증
  • 키 사용 – 디지털 서명, 키 암호화
  • 공급자 – Microsoft 고급 RSA 및 AES 암호화 공급자
  • 만료 날짜 – 인증서를 만든 후 15개월
  • 키 내보내기 정책 – 내보내기 가능

또한 CA(중간 인증 기관)가 SEMM 전용인 2계층 PKI(공개 키 인프라) 아키텍처에서 SEMM 인증서를 인증하여 인증서 해지를 사용하도록 설정하는 것이 좋습니다. 2계층 PKI 구성에 대한 자세한 내용은 테스트 랩 가이드: AD CS Two-Tier PKI 계층 구조 배포를 참조하세요.

자체 서명된 인증서

다음 예제 PowerShell 스크립트를 사용하여 개념 증명 시나리오에서 사용할 자체 서명된 인증서를 만들 수 있습니다. 이 스크립트를 사용하려면 다음 텍스트를 메모장에 복사한 다음 파일을 PowerShell 스크립트(.ps1)로 저장합니다.

참고

이 스크립트는 암호 12345678가 인 인증서를 만듭니다. 이 스크립트에서 생성된 인증서는 프로덕션 환경에 권장되지 않습니다.

if (-not (Test-Path "Demo Certificate"))  { New-Item -ItemType Directory -Force -Path "Demo Certificate" }
if (Test-Path "Demo Certificate\TempOwner.pfx") { Remove-Item "Demo Certificate\TempOwner.pfx" }

# Generate the Ownership private signing key with password 12345678
$pw = ConvertTo-SecureString "12345678" -AsPlainText -Force

$TestUefiV2 = New-SelfSignedCertificate `
  -Subject "CN=Surface Demo Kit, O=Contoso Corporation, C=US" `
  -Type SSLServerAuthentication `
  -HashAlgorithm sha256 `
  -KeyAlgorithm RSA `
  -KeyLength 2048 `
  -KeyUsage KeyEncipherment `
  -KeyUsageProperty All `
  -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" `
  -NotAfter (Get-Date).AddYears(25) `
  -TextExtension @("2.5.29.37={text}1.2.840.113549.1.1.1") `
  -KeyExportPolicy Exportable

$TestUefiV2 | Export-PfxCertificate -Password $pw -FilePath "Demo Certificate\TempOwner.pfx"

중요

SEMM 및 Microsoft Surface UEFI Configurator와 함께 사용하려면 개인 키와 암호 보호를 사용하여 인증서를 내보내야 합니다. Microsoft Surface UEFI 구성기는 SEMM 인증서 파일(.pfx) 및 인증서 암호를 선택하라는 메시지를 표시합니다.

자체 서명된 인증서를 만들려면 다음을 수행합니다.

  1. C: 드라이브에서 스크립트를 저장할 폴더를 만듭니다. 예를 들어 C:\SEMM입니다.
  2. 예제 스크립트를 메모장(또는 해당 텍스트 편집기)에 복사한 다음 파일을 PowerShell 스크립트(.ps1)로 저장합니다.
  3. 관리자 자격 증명을 사용하여 컴퓨터에 로그인한 다음 관리자 권한 PowerShell 세션을 엽니다.
  4. 스크립트를 실행할 수 있도록 사용 권한이 설정되어 있는지 확인합니다. 기본적으로 스크립트는 실행 정책을 수정하지 않는 한 실행이 차단됩니다. 자세한 내용은 실행 정책 정보를 참조하세요.
  5. 명령 프롬프트에서 스크립트의 전체 경로를 입력한 다음 Enter 키를 누릅니 . 스크립트는 TempOwner.pfx라는 데모 인증서를 만듭니다.

또는 PowerShell을 사용하여 자체 서명된 인증서를 만들 수 있습니다. 자세한 내용은 New-SelfSignedCertificate를 참조하세요.

참고

PKI 인프라에서 오프라인 루트를 사용하는 조직의 경우 MICROSOFT Surface UEFI Configurator를 루트 CA에 연결된 환경에서 실행하여 SEMM 인증서를 인증해야 합니다. Microsoft Surface UEFI Configurator에서 생성된 패키지는 파일로 전송할 수 있으므로 USB 스틱과 같은 이동식 스토리지를 사용하여 오프라인 네트워크 환경 외부로 전송할 수 있습니다.

인증서 관리 FAQ

권장 되는 최소 길이는 15개월입니다. 15개월 이내에 만료되는 인증서를 사용하거나 15개월 이상 만료되는 인증서를 사용할 수 있습니다.

참고

인증서가 만료되면 자동으로 갱신되지 않습니다.

만료된 인증서가 SEMM 등록 디바이스의 기능에 영향을 주나요?

아니요, 인증서는 SEMM의 IT 관리자 관리 작업에만 영향을 미치며 만료되는 디바이스 기능에는 영향을 주지 않습니다.

SEMM 패키지 및 인증서가 있는 모든 컴퓨터에서 업데이트해야 합니까?

SEMM 재설정 또는 복구가 작동하려면 인증서가 유효하고 만료되지 않은 것이어야 합니다.

주문하는 각 표면에 대해 패키지를 대량 재설정할 수 있나요? 환경의 모든 컴퓨터를 다시 설정하는 컴퓨터를 빌드할 수 있나요?

특정 디바이스 유형에 대한 구성 패키지를 만드는 PowerShell 샘플을 사용하여 일련 번호와 독립적인 초기화 패키지를 만들 수도 있습니다. 인증서가 여전히 유효한 경우 PowerShell을 사용하여 SEMM을 다시 설정하는 재설정 패키지를 만들 수 있습니다.