Microsoft Intune의 보호 및 구성 수준
Microsoft Intune은 관리자에게 사용자, 디바이스 및 앱에 적용되는 정책을 만들 수 있는 기능을 제공합니다. 이러한 정책은 최소 집합부터 보다 안전하거나 제어되는 정책까지 다양할 수 있습니다. 이러한 정책은 조직의 요구 사항, 사용되는 디바이스 및 디바이스가 수행할 작업에 따라 달라집니다.
정책을 만들 준비가 되면 다양한 수준의 보호 및 구성을 사용할 수 있습니다.
환경 및 비즈니스 요구 사항에는 서로 다른 수준이 정의되어 있을 수 있습니다. 이러한 수준을 시작점으로 사용한 다음 필요에 맞게 사용자 지정할 수 있습니다. 예를 들어 수준 1의 디바이스 구성 정책과 수준 3의 앱 정책을 사용할 수 있습니다.
조직에 적합한 수준을 선택합니다. 잘못된 선택은 없습니다.
수준 1 - 최소 보호 및 구성
이 수준에는 모든 조직에 최소한 있어야 하는 정책이 포함됩니다. 이 수준의 정책은 보안 기능의 최소 기준을 만들고 사용자에게 작업을 수행하는 데 필요한 리소스에 대한 액세스 권한을 부여합니다.
앱(수준 1)
이 수준은 적절한 양의 데이터 보호 및 액세스 요구 사항을 적용하고 최종 사용자 중단을 최소화합니다. 이 수준은 앱이 PIN & 기본 암호화로 보호되고 선택적 초기화 작업을 실행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. 이 수준은 Exchange Online 사서함 정책에서 유사한 데이터 보호 제어를 제공하는 엔트리 레벨 구성입니다. 또한 IT 및 최종 사용자를 앱 보호 정책에 도입합니다.
이 수준에서는 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.
기본 데이터 보호 요구 사항 사용
- 앱 기본 데이터 전송 허용
- 기본 앱 암호화 적용
- 기본 액세스 기능 허용
기본 액세스 요구 사항 사용
- PIN, 얼굴 ID 및 생체 인식 액세스 필요
- 기본 액세스 설정 지원 적용
기본 조건부 애플리케이션 시작 사용
- 앱 기본 액세스 시도 구성
- 탈옥/루팅된 디바이스에 따라 앱 액세스 차단
- 디바이스의 기본 무결성에 따라 앱 액세스 제한
자세한 내용은 수준 1 기본 앱 보호를 참조하세요.
규정 준수(수준 1)
이 수준에서 디바이스 준수는 모든 디바이스에 적용되는 테넌트 전체 설정을 구성합니다. 또한 모든 디바이스에 최소한의 규정 준수 정책을 배포하여 핵심 규정 준수 요구 사항 집합을 적용합니다.
디바이스가 조직의 리소스에 액세스할 수 있도록 허용하기 전에 이러한 구성을 적용하는 것이 좋습니다. 수준 1 디바이스 준수에는 다음이 포함됩니다.
규정 준수 정책 설정 은 Intune 규정 준수 서비스가 디바이스에서 작동하는 방식에 영향을 주는 몇 가지 테넌트 전체 설정입니다.
플랫폼별 규정 준수 정책에 는 플랫폼 전반의 일반적인 테마에 대한 설정이 포함됩니다. 실제 설정 이름 및 구현은 플랫폼마다 다를 수 있습니다.
- 바이러스 백신, 스파이웨어 방지 및 맬웨어 방지 필요(Windows에만 해당)
- 운영 체제 버전
- 최대 OS
- 최소 OS
- 부 빌드 버전 및 주 빌드 버전
- OS 패치 수준
- 암호 구성
- 비활성 기간 후 잠금 화면 적용, 잠금 해제를 위해 암호 또는 핀 필요
- 문자, 숫자 및 기호의 조합으로 복잡한 암호 필요
- 디바이스 잠금을 해제하려면 암호 또는 PIN 필요
- 최소 암호 길이 필요
비준수에 대한 작업은 각 플랫폼별 정책에 자동으로 포함됩니다. 이러한 작업은 구성한 하나 이상의 시간 순서 작업입니다. 정책의 규정 준수 요구 사항을 충족하지 못하는 디바이스에 적용됩니다. 기본적으로 디바이스를 비규격으로 표시하는 것은 각 정책과 함께 제공되는 즉각적인 작업입니다.
자세한 내용은 수준 1 - 최소 디바이스 준수로 이동합니다.
디바이스 구성(수준 1)
이 수준에서 프로필에는 보안 및 리소스 액세스에 중점을 둔 설정이 포함됩니다. 특히 이 수준에서는 다음 기능을 구성하는 것이 좋습니다.
다음을 비롯한 기본 보안을 사용하도록 설정합니다.
- 바이러스 백신 및 검사
- 위협 탐지 및 대응
- 방화벽
- 소프트웨어 업데이트
- 강력한 PIN 및 암호 정책
사용자에게 네트워크에 대한 액세스 권한을 부여합니다.
- 전자 메일
- 원격 액세스를 위한 VPN
- 온-프레미스 액세스를 위한 Wi-Fi
자세한 내용은 4단계 - 디바이스 구성 프로필 만들기를 참조하여 디바이스를 보호하고 조직 리소스에 대한 연결을 만듭니다.
수준 2 - 향상된 보호 및 구성
이 수준은 최소 정책 집합을 확장하여 더 많은 보안을 포함하고 모바일 디바이스 관리를 확장합니다. 이 수준의 정책은 더 많은 기능을 보호하고, ID 보호를 제공하고, 더 많은 디바이스 설정을 관리합니다.
이 수준의 설정을 사용하여 수준 1에서 구성한 항목을 추가합니다.
앱(수준 2)
이 수준은 사용자가 더 중요한 정보에 액세스하는 디바이스에 대한 표준 수준의 애플리케이션 보호를 권장합니다. 이 수준에서는 앱 보호 정책 데이터 유출 방지 메커니즘 및 최소 OS 요구 사항을 소개합니다. 이 수준은 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용되는 구성입니다.
수준 1 설정 외에도 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.
향상된 데이터 보호 요구 사항 사용
- 조직 관련 데이터 전송
- 선택한 앱 데이터 전송 요구 사항 제외(iOS/iPadOS)
- 통신 데이터 전송
- 앱 간 잘라내기, 복사 및 붙여넣기 제한
- 차단 화면 캡처(Android)
향상된 조건부 애플리케이션 시작 사용
- 애플리케이션 계정 비활성화 차단
- 최소 디바이스 OS 요구 사항 적용
- 최소 패치 버전 필요(Android)
- Play 무결성 평가 평가 유형 필요(Android)
- 디바이스 잠금 필요(Android)
- 디바이스의 향상된 무결성에 따라 앱 액세스 허용
자세한 내용은 수준 2 향상된 앱 보호로 이동합니다.
규정 준수(수준 2)
이 수준에서는 규정 준수 정책에 더 세분화된 옵션을 추가하는 것이 좋습니다. 이 수준의 많은 설정에는 모두 유사한 결과를 제공하는 플랫폼별 이름이 있습니다. 다음은 사용 가능한 경우 Microsoft에서 권장하는 설정의 범주 또는 유형입니다.
응용 프로그램
- Android용 Google Play와 같은 디바이스가 앱을 가져오는 위치 관리
- 특정 위치에서 앱 허용
- 알 수 없는 출처의 앱 차단
방화벽 설정
- 방화벽 설정(macOS, Windows)
암호화
- 데이터 스토리지 암호화 필요
- BitLocker(Windows)
- FileVault(macOS)
암호
- 암호 만료 및 다시 사용
시스템 수준 파일 및 부팅 보호
- USB 디버깅 차단(Android)
- 루팅된 디바이스 또는 탈옥된 디바이스 차단(Android, iOS)
- macOS(시스템 무결성 보호) 필요
- 코드 무결성 필요(Windows)
- 보안 부팅을 사용하도록 설정해야 함(Windows)
- 신뢰할 수 있는 플랫폼 모듈(Windows)
자세한 내용은 수준 2 - 향상된 디바이스 준수 설정을 참조하세요.
디바이스 구성(수준 2)
이 수준에서는 수준 1에서 구성한 설정 및 기능을 확장하고 있습니다. 다음과 같은 정책을 만드는 것이 좋습니다.
- 디바이스에서 디스크 암호화, 보안 부팅 및 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하도록 설정하여 다른 보안 계층을 추가합니다.
- 만료되도록 PIN & 암호를 구성하고 암호를 재사용할 수 있는 경우/시기를 관리합니다.
- 보다 세분화된 디바이스 기능, 설정 및 동작을 구성합니다.
- Intune에서 사용할 수 있는 온-프레미스 GPO(그룹 정책 개체)가 있는지 확인합니다.
이 수준의 디바이스 구성 정책에 대한 자세한 내용은 수준 2 - 향상된 보호 및 구성으로 이동합니다.
수준 3 - 높은 보호 및 구성
이 수준에는 엔터프라이즈 수준 정책이 포함되며 조직의 여러 관리자가 참여할 수 있습니다. 이러한 정책은 암호 없는 인증으로 계속 이동하고, 보안을 강화하며, 특수 디바이스를 구성합니다.
이 수준의 설정을 사용하여 수준 1 및 2에서 구성한 항목을 추가합니다.
앱(수준 3)
이 수준은 사용자가 더 중요한 정보에 액세스하는 디바이스에 대한 표준 수준의 애플리케이션 보호를 권장합니다. 이 수준에서는 Mobile Threat Defense를 사용하여 고급 데이터 보호, 향상된 PIN 구성 및 앱 보호 정책을 소개합니다. 이 구성은 고위험 데이터에 액세스하는 사용자를 위한 것입니다.
수준 1 및 2 설정 외에도 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.
높은 데이터 보호 요구 사항 사용
- 통신 데이터를 전송할 때 높은 보호
- 정책 관리 앱에서만 데이터 받기
- 조직 문서로 데이터 열기 차단
- 사용자가 선택한 서비스에서 데이터를 열 수 있도록 허용
- 원치 않는 파트너 또는 타사 키보드 차단
- 승인된 키보드 필요/선택(Android)
- 조직 데이터 인쇄 차단
높은 액세스 요구 사항 사용
- 단순 PIN 차단 및 특정 최소 PIN 길이 필요
- 일 수 후 PIN 재설정 필요
- 클래스 3 생체 인식 필요(Android 9.0 이상)
- 생체 인식 업데이트 후 PIN을 사용하여 생체 인식 재정의 필요(Android)
높은 조건부 애플리케이션 시작 사용
- 디바이스 잠금 필요(Android)
- 최대 허용 위협 수준 필요
- 최대 OS 버전 필요
자세한 내용은 수준 3 높은 앱 보호로 이동하세요.
규정 준수(수준 3)
이 수준에서는 다음 기능을 통해 Intune의 기본 제공 규정 준수 기능을 확장할 수 있습니다.
MTD(Mobile Threat Defense) 파트너의 데이터 통합
- MTD 파트너의 경우 규정 준수 정책에 따라 해당 파트너가 결정한 대로 디바이스가 디바이스 위협 수준 또는 머신 위험 점수 아래에 있어야 할 수 있습니다.
Intune에서 비 Microsoft 규정 준수 파트너를 사용합니다.
스크립트를 사용하여 Intune UI 내에서 사용할 수 없는 설정에 대한 정책에 사용자 지정 규정 준수 설정을 추가합니다. (Windows, Linux)
조건부 액세스 정책과 함께 규정 준수 정책 데이터를 사용하여 조직의 리소스에 대한 액세스를 제어합니다.
자세한 내용은 수준 3 - 고급 디바이스 준수 구성을 참조하세요.
디바이스 구성(수준 3)
이 수준은 엔터프라이즈 수준의 서비스 및 기능에 중점을 두고 인프라 투자가 필요할 수 있습니다. 이 수준에서는 다음과 같은 정책을 만들 수 있습니다.
인증서 기반 인증, 앱에 대한 Single Sign-On, MFA(다단계 인증) 및 Microsoft Tunnel VPN 게이트웨이를 포함하여 조직의 다른 서비스에 암호 없는 인증을 확장합니다.
Microsoft Tunnel for Mobile Application Management(MAM용 터널)를 배포하여 Microsoft Tunnel을 확장합니다. 이 터널 지원은 Intune에 등록되지 않은 iOS 및 Android 디바이스로 확장됩니다. MAM용 터널은 Intune 추가 기능으로 사용할 수 있습니다.
자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.
Windows 펌웨어 계층에 적용되는 디바이스 기능을 구성합니다. Android 공통 조건 모드를 사용합니다.
WINDOWS LAPS(로컬 관리자 암호 솔루션)에 대한 Intune 정책을 사용하여 관리되는 Windows 디바이스에서 기본 제공 로컬 관리자 계정을 보호합니다.
자세한 내용은 Windows LAPS에 대한 Intune 지원으로 이동하세요.
EPM(엔드포인트 권한 관리)을 사용하여 Windows 디바이스를 보호합니다. EPM을 사용하면 조직의 사용자를 표준 사용자(관리자 권한 없음)로 실행하고 동일한 사용자가 상승된 권한이 필요한 작업을 완료할 수 있습니다.
EPM은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.
키오스크 및 공유 디바이스와 같은 특수 디바이스를 구성합니다.
필요한 경우 스크립트를 배포합니다.
이 수준의 디바이스 구성 정책에 대한 자세한 내용은 수준 3 - 높은 보호 및 구성으로 이동합니다.
관련 문서
만들 수 있는 모든 디바이스 구성 프로필의 전체 목록은 Microsoft Intune에서 디바이스 프로필을 사용하여 디바이스에 기능 및 설정 적용으로 이동합니다.