다음을 통해 공유

4단계 - 디바이스를 보호하고 리소스에 액세스하도록 디바이스 기능 및 설정 구성

  • 아티클

지금까지 Intune 구독을 설정하고, 앱 보호 정책을 만들고, 디바이스 준수 정책을 만들었습니다.

이 단계에서는 모든 디바이스에 있어야 하는 보안 및 디바이스 기능의 최소 또는 기준 집합을 구성할 준비가 된 것입니다.

디바이스 기능 및 보안 설정을 구성하는 4단계를 사용하여 Microsoft Intune 시작을 보여 주는 다이어그램

이 글의 적용 대상:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

디바이스 구성 프로필을 만들 때 사용할 수 있는 다양한 수준 및 정책 유형이 있습니다. 이러한 수준은 최소 Microsoft 권장 정책입니다. 환경과 비즈니스 요구 사항이 다를 수 있다는 것을 알고 있습니다.

  • 수준 1 - 최소 디바이스 구성: 이 수준에서는 다음과 같은 정책을 만드는 것이 좋습니다.

    • 바이러스 백신 설치, 강력한 암호 정책 만들기, 정기적으로 소프트웨어 업데이트 설치 등 디바이스 보안에 집중합니다.
    • 사용자가 어디에 있든 조직 전자 메일에 대한 액세스 권한을 부여하고 네트워크에 대한 보안 액세스를 제어합니다.

  • 수준 2 - 향상된 디바이스 구성: 이 수준에서는 다음과 같은 정책을 만드는 것이 좋습니다.

    • 디스크 암호화 구성, 보안 부팅 사용, 암호 규칙 추가 등 디바이스 보안을 확장합니다.
    • 기본 제공 기능 및 템플릿을 사용하여 온-프레미스 GPO(그룹 정책 개체) 분석을 포함하여 조직에 중요한 더 많은 설정을 구성합니다.

  • 수준 3 - 높은 디바이스 구성: 이 수준에서 Microsoft는 다음과 같은 정책을 만드는 것이 좋습니다.

    • 인증서 사용, 앱에 대한 SSO(Single Sign-On) 구성, MFA(다단계 인증 사용) 및 Microsoft Tunnel 구성을 포함하여 암호 없는 인증으로 이동합니다.
    • Android 공통 조건 모드를 사용하거나 Windows 디바이스에 대한 DFCI 정책을 만들어 보안 계층을 추가합니다.
    • 기본 제공 기능을 사용하여 키오스크 디바이스, 전용 디바이스, 공유 디바이스 및 기타 특수 디바이스를 구성합니다.
    • 기존 셸 스크립트를 배포합니다.

이 문서에서는 조직에서 사용해야 하는 다양한 수준의 디바이스 구성 정책을 나열합니다. 이 문서의 이러한 정책 대부분은 조직 리소스 및 보안에 대한 액세스에 중점을 줍니다.

이러한 기능은 Microsoft Intune 관리 센터의 디바이스 구성 프로필에서 구성됩니다. Intune 프로필이 준비되면 사용자 및 디바이스에 할당할 수 있습니다.

Intune 및 Microsoft Intune 관리 센터를 둘러보세요.

수준 1 - 보안 기준 만들기

조직 데이터 및 디바이스를 안전하게 유지하기 위해 보안에 중점을 둔 다양한 정책을 만듭니다. 모든 사용자 및/또는 모든 디바이스에 있어야 하는 보안 기능 목록을 만들어야 합니다. 이 목록은 보안 기준입니다.

최소한 기준에서 Microsoft는 다음 보안 정책을 권장합니다.

  • AV(바이러스 백신) 설치 및 정기적으로 맬웨어 검사
  • 검색 및 응답 사용
  • 방화벽 켜기
  • 정기적으로 소프트웨어 업데이트 설치
  • 강력한 PIN/암호 정책 만들기

이 섹션에서는 이러한 보안 정책을 만드는 데 사용할 수 있는 Intune 및 Microsoft 서비스를 나열합니다.

Windows 설정 및 권장 값의 보다 세부적인 목록은 Windows 보안 기준으로 이동합니다.

바이러스 백신 및 검사

바이러스 백신 소프트웨어 설치 및 정기적으로 맬웨어 검사

모든 디바이스에는 바이러스 백신 소프트웨어가 설치되어 있어야 하며 정기적으로 맬웨어를 검사해야 합니다. Intune은 AV 및 위협 검사를 제공하는 타사 MTD(모바일 위협 방어) 서비스와 통합됩니다. macOS 및 Windows의 경우 엔드포인트용 Microsoft Defender를 사용하여 Intune에 바이러스 백신 및 검사가 기본 제공됩니다.

정책 옵션:

플랫폼 정책 유형
Android Enterprise - 모바일 위협 방어 파트너
- Android용 엔드포인트용 Microsoft Defender가 맬웨어를 검색할 수 있습니다.
iOS/iPadOS 모바일 위협 방어 파트너
macOS Intune 엔드포인트 보안 바이러스 백신 프로필(엔드포인트용 Microsoft Defender)
Windows 클라이언트 - Intune 보안 기준(권장)
- Intune 엔드포인트 보안 바이러스 백신 프로필(엔드포인트용 Microsoft Defender)
- 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

검색 및 응답

공격을 감지하고 이러한 위협에 대응

위협을 빠르게 감지하면 위협의 영향을 최소화할 수 있습니다. 이러한 정책을 조건부 액세스와 결합하면 위협이 감지되면 사용자 및 디바이스가 조직 리소스에 액세스하지 못하도록 차단할 수 있습니다.

정책 옵션:

플랫폼 정책 유형
Android Enterprise - 모바일 위협 방어 파트너
- Android의 엔드포인트용 Microsoft Defender
iOS/iPadOS - 모바일 위협 방어 파트너
- iOS/iPadOS의 엔드포인트용 Microsoft Defender
macOS 사용할 수 없음
Windows 클라이언트 - Intune 보안 기준(권장)
- Intune 엔드포인트 검색 및 응답 프로필(엔드포인트용 Microsoft Defender)
- 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

방화벽

모든 디바이스에서 방화벽 사용

일부 플랫폼에는 기본 제공 방화벽이 있고 다른 플랫폼에는 방화벽을 별도로 설치해야 할 수도 있습니다. Intune은 Android 및 iOS/iPadOS 디바이스용 방화벽을 관리할 수 있는 타사 MTD(모바일 위협 방어) 서비스와 통합됩니다. macOS 및 Windows의 경우 방화벽 보안은 엔드포인트용 Microsoft Defender를 사용하여 Intune에 기본 제공됩니다.

정책 옵션:

플랫폼 정책 유형
Android Enterprise 모바일 위협 방어 파트너
iOS/iPadOS 모바일 위협 방어 파트너
macOS Intune 엔드포인트 보안 방화벽 프로필(엔드포인트용 Microsoft Defender)
Windows 클라이언트 - Intune 보안 기준(권장)
- Intune 엔드포인트 보안 방화벽 프로필(엔드포인트용 Microsoft Defender)
- 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

암호 정책

강력한 암호/PIN 정책을 만들고 간단한 암호를 차단합니다.

PIN은 디바이스의 잠금을 해제합니다. 개인 소유 디바이스를 포함하여 조직 데이터에 액세스하는 디바이스에서는 강력한 PIN/암호가 필요하고 디바이스 잠금을 해제하는 생체 인식을 지원해야 합니다. 생체 인식을 사용하는 것이 권장되는 암호 없는 접근 방식의 일부입니다.

Intune은 디바이스 제한 프로필을 사용하여 암호 요구 사항을 만들고 구성합니다.

정책 옵션:

플랫폼 정책 유형
Android Enterprise 다음을 관리하기 위한 Intune 디바이스 제한 프로필:
- 디바이스 암호
- 회사 프로필 암호
AOSP(Android Open-Source Project) Intune 디바이스 제한 프로필
iOS/iPadOS Intune 디바이스 제한 프로필
macOS Intune 디바이스 제한 프로필
Windows 클라이언트 - Intune 보안 기준(권장)
- Intune 디바이스 제한 프로필

구성할 수 있는 설정 목록은 다음으로 이동합니다.

소프트웨어 업데이트

정기적으로 소프트웨어 업데이트 설치

모든 디바이스는 정기적으로 업데이트해야 하며 이러한 업데이트가 성공적으로 설치되었는지 확인하기 위해 정책을 만들어야 합니다. 대부분의 플랫폼에서 Intune에는 업데이트 관리 및 설치에 중점을 둔 정책 설정이 있습니다.

정책 옵션:

플랫폼 정책 유형
Android Enterprise 조직 소유 디바이스 Intune 디바이스 제한 프로필을 사용하는 시스템 업데이트 설정
Android Enterprise 개인 소유 디바이스 사용할 수 없음

규정 준수 정책을 사용하여 최소 패치 수준, 최소/최대 OS 버전 등을 설정할 수 있습니다.
iOS/iPadOS Intune 업데이트 정책
macOS Intune 업데이트 정책
Windows 클라이언트 - Intune 기능 업데이트 정책
- Intune 신속한 업데이트 정책

이러한 기능 및/또는 구성할 수 있는 설정에 대한 자세한 내용은 다음을 참조하세요.

수준 1 - 조직 전자 메일 액세스, VPN에 연결 또는 Wi-Fi

이 섹션에서는 조직의 리소스에 액세스하는 데 중점을 둡니다. 이러한 리소스에는 다음이 포함됩니다.

  • 회사 또는 학교 계정에 대한 전자 메일
  • 원격 연결을 위한 VPN 연결
  • 온-프레미스 연결을 위한 Wi-Fi 연결

Microsoft Intune에서 최종 사용자 디바이스로 배포된 이메일, VPN 및 Wi-Fi 프로필을 보여 주는 다이어그램

전자 메일

많은 조직에서 미리 구성된 설정을 사용하여 전자 메일 프로필을 사용자 디바이스에 배포합니다.

사용자 전자 메일 계정에 자동으로 연결

프로필에는 전자 메일 서버에 연결하는 이메일 구성 설정이 포함됩니다.

구성한 설정에 따라 전자 메일 프로필은 사용자를 개별 이메일 계정 설정에 자동으로 연결할 수도 있습니다.

엔터프라이즈 수준 전자 메일 앱 사용

Intune의 전자 메일 프로필은 Outlook과 같은 일반적이고 인기 있는 전자 메일 앱을 사용합니다. 전자 메일 앱이 사용자 디바이스에 배포됩니다. 앱을 배포한 후에는 이메일 앱을 구성하는 설정을 사용하여 이메일 디바이스 구성 프로필을 배포합니다.

전자 메일 디바이스 구성 프로필에는 Exchange에 연결하는 설정이 포함되어 있습니다.

회사 또는 학교 전자 메일 액세스

전자 메일 프로필을 만드는 것은 디바이스에서 전자 메일을 사용하는 사용자가 있는 조직에 대한 일반적인 최소 기준 정책입니다.

Intune에는 Android, iOS/iPadOS 및 Windows 클라이언트 디바이스에 대한 기본 제공 전자 메일 설정이 있습니다. 사용자가 전자 메일 앱을 열면 디바이스에서 조직 전자 메일 계정을 자동으로 연결, 인증 및 동기화할 수 있습니다.

언제든지 배포

새 디바이스에서는 등록 프로세스 중에 전자 메일 앱을 배포하는 것이 좋습니다. 등록이 완료되면 이메일 디바이스 구성 정책을 배포합니다.

기존 디바이스가 있는 경우 언제든지 이메일 앱을 배포하고 이메일 디바이스 구성 정책을 배포합니다.

전자 메일 프로필 시작

시작하려면 다음을 수행합니다.

  1. 디바이스에 전자 메일 앱을 배포합니다. 몇 가지 지침은 Intune을 사용하여 디바이스에 전자 메일 설정 추가로 이동합니다.

  2. Intune에서 이메일 디바이스 구성 프로필을 만듭니다. 조직에서 사용하는 전자 메일 앱에 따라 전자 메일 디바이스 구성 프로필이 필요하지 않을 수 있습니다.

    몇 가지 지침은 Intune을 사용하여 디바이스에 전자 메일 설정 추가로 이동합니다.

  3. 이메일 디바이스 구성 프로필에서 플랫폼에 대한 설정을 구성합니다.

  4. 이메일 디바이스 구성 프로필을 사용자 또는 사용자 그룹에 할당합니다.

VPN

많은 조직에서 미리 구성된 설정을 사용하여 VPN 프로필을 사용자 디바이스에 배포합니다. VPN은 디바이스를 내부 조직 네트워크에 연결합니다.

조직에서 최신 인증 및 보안 ID가 있는 클라우드 서비스를 사용하는 경우 VPN 프로필이 필요하지 않을 수 있습니다. 클라우드 네이티브 서비스에는 VPN 연결이 필요하지 않습니다.

앱 또는 서비스가 클라우드 기반이 아니거나 클라우드 네이티브가 아닌 경우 VPN 프로필을 배포하여 내부 조직 네트워크에 연결합니다.

어디서나 작업

VPN 프로필을 만드는 것은 원격 작업자 및 하이브리드 작업자가 있는 조직에 대한 일반적인 최소 기준 정책입니다.

사용자는 어디서나 작업할 때 VPN 프로필을 사용하여 조직의 네트워크에 안전하게 연결하여 리소스에 액세스할 수 있습니다.

Intune에는 Android, iOS/iPadOS, macOS 및 Windows 클라이언트 디바이스에 대한 기본 제공 VPN 설정이 있습니다. 사용자 디바이스에서 VPN 연결은 사용 가능한 연결로 표시됩니다. 사용자가 선택합니다. 또한 VPN 프로필의 설정에 따라 사용자는 디바이스에서 VPN을 자동으로 인증하고 연결할 수 있습니다.

엔터프라이즈 수준 VPN 앱 사용

Intune의 VPN 프로필은 Check Point, Cisco, Microsoft Tunnel 등과 같은 일반적인 엔터프라이즈 VPN 앱을 사용합니다. VPN 앱은 사용자 디바이스에 배포됩니다. 앱을 배포한 후 VPN 앱을 구성하는 설정을 사용하여 VPN 연결 프로필을 배포합니다.

VPN 디바이스 구성 프로필에는 VPN 서버에 연결하는 설정이 포함됩니다.

언제든지 배포

새 디바이스에서는 등록 프로세스 중에 VPN 앱을 배포하는 것이 좋습니다. 등록이 완료되면 VPN 디바이스 구성 정책을 배포합니다.

기존 디바이스가 있는 경우 언제든지 VPN 앱을 배포한 다음 VPN 디바이스 구성 정책을 배포합니다.

VPN 프로필 시작

시작하려면 다음을 수행합니다.

  1. 디바이스에 VPN 앱을 배포합니다.

  2. Intune에서 VPN 구성 프로필을 만듭니다.

  3. VPN 디바이스 구성 프로필에서 플랫폼에 대한 설정을 구성합니다.

  4. 사용자 또는 사용자 그룹에 VPN 디바이스 구성 프로필을 할당합니다.

Wi-Fi

많은 조직에서 미리 구성된 설정을 사용하여 Wi-Fi 프로필을 사용자 디바이스에 배포합니다. 조직에 원격 전용 인력이 있는 경우 Wi-Fi 연결 프로필을 배포할 필요가 없습니다. Wi-Fi 프로필은 선택 사항이며 온-프레미스 연결에 사용됩니다.

무선으로 연결

사용자는 서로 다른 모바일 디바이스에서 작업할 때 Wi-Fi 프로필을 사용하여 조직의 네트워크에 무선으로 안전하게 연결할 수 있습니다.

프로필에는 네트워크 및/또는 SSID(서비스 집합 식별자)에 자동으로 연결하는 Wi-Fi 구성 설정이 포함됩니다. 사용자는 Wi-Fi 설정을 수동으로 구성할 필요가 없습니다.

온-프레미스 모바일 디바이스 지원

Wi-Fi 프로필을 만드는 것은 온-프레미스에서 작동하는 모바일 디바이스를 사용하는 조직에 대한 일반적인 최소 기준 정책입니다.

Intune에는 Android, iOS/iPadOS, macOS 및 Windows 클라이언트 디바이스에 대한 기본 제공 Wi-Fi 설정이 있습니다. 사용자 디바이스에서 Wi-Fi 연결이 사용 가능한 연결로 표시됩니다. 사용자가 선택합니다. 또한 Wi-Fi 프로필의 설정에 따라 사용자는 자동으로 인증하고 디바이스의 Wi-Fi 연결할 수 있습니다.

언제든지 배포

새 디바이스에서는 디바이스가 Intune에 등록할 때 Wi-Fi 디바이스 구성 정책을 배포하는 것이 좋습니다.

기존 디바이스가 있는 경우 언제든지 Wi-Fi 디바이스 구성 정책을 배포할 수 있습니다.

Wi-Fi 프로필 시작

시작하려면 다음을 수행합니다.

  1. Intune에서 Wi-Fi 디바이스 구성 프로필을 만듭니다.

  2. 플랫폼에 대한 설정을 구성합니다.

  3. 사용자 또는 사용자 그룹에 Wi-Fi 디바이스 구성 프로필을 할당합니다.

수준 2 - 향상된 보호 및 구성

이 수준은 수준 1에서 구성한 내용을 확장하고 디바이스에 대한 보안을 강화합니다. 이 섹션에서는 디바이스에 대한 더 많은 보안 설정을 구성하는 수준 2 정책 집합을 만듭니다.

Microsoft는 다음 수준 2 보안 정책을 권장합니다.

  • Intune에는 기본 제공 카메라 사용 안 함, 알림 제어, Bluetooth 허용, 게임 차단 등 과 같은 디바이스 기능 및 설정을 관리할 수 있는 수백 개의 설정 이 포함되어 있습니다.

    기본 제공 템플릿 또는 설정 카탈로그를 사용하여 설정을 보고 구성할 수 있습니다.

    • 디바이스 제한 템플릿 에는 보안, 하드웨어, 데이터 공유 등을 포함하여 디바이스의 다양한 부분을 제어할 수 있는 많은 기본 제공 설정이 있습니다.

      다음 플랫폼에서 이러한 템플릿을 사용할 수 있습니다.

      • Android
      • iOS/iPadOS
      • macOS
      • Windows

    • 설정 카탈로그를 사용하여 사용 가능한 모든 설정을 보고 구성합니다. 다음 플랫폼에서 설정 카탈로그를 사용할 수 있습니다.

      • iOS/iPadOS
      • macOS
      • Windows

    • 온-프레미스에서 ADMX 템플릿을 구성하는 것과 유사한 기본 제공 관리 템플릿을 사용합니다. 다음 플랫폼에서 ADMX 템플릿을 사용할 수 있습니다.

      • Windows

  • 온-프레미스 GPO를 사용하고 Intune에서 이러한 동일한 설정을 사용할 수 있는지 확인하려면 그룹 정책 분석을 사용합니다. 이 기능은 GPO를 분석하고 분석에 따라 Intune 설정 카탈로그 정책으로 가져올 수 있습니다.

    자세한 내용은 온-프레미스 GPO 분석을 참조하고 Intune에서 가져옵니다.

수준 3 - 높은 보호 및 구성

이 수준은 수준 1과 2에서 구성한 내용으로 확장됩니다. 엔터프라이즈 수준 조직에서 사용되는 추가 보안 기능을 추가합니다.

  1. Microsoft Intune 설정
  2. 앱 추가, 구성 및 보호
  3. 규정 준수 정책 계획
  4. 🡺 디바이스 기능 구성 (여기 있음)
  5. 장치 등록