Microsoft Intune Linux 및 Windows 디바이스에 대한 사용자 지정 규정 준수 정책 및 설정 사용
Intune 기본 제공 디바이스 준수 옵션을 확장하려면 관리되는 Linux 및 Windows 디바이스에 대한 사용자 지정 규정 준수 설정에 대한 정책을 사용할 수 있습니다. 사용자 지정 설정은 Intune 기본 제공 정책 템플릿에 이러한 설정을 추가할 때까지 기다릴 필요 없이 디바이스에서 사용할 수 있는 설정을 기반으로 하는 유연성을 제공합니다.
이 기능은 다음에 적용됩니다.
- Windows 10/11(Windows 10/11 홈 제외)
- Linux
- Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
- RedHat Enterprise Linux 8
- RedHat Enterprise Linux 9
정책에 사용자 지정 설정을 추가하려면 먼저 JSON 파일과 지원되는 각 플랫폼에서 사용할 검색 스크립트를 준비해야 합니다. 스크립트와 JSON은 모두 규정 준수 정책의 일부가 됩니다. 각 규정 준수 정책은 단일 스크립트를 지원하며 각 스크립트는 다음과 같은 여러 설정을 검색할 수 있습니다.
JSON 파일은 사용자 지정 설정 및 준수로 간주한 값을 정의합니다. 사용자가 각 설정에 대한 규정 준수를 복원하는 방법을 알려주도록 메시지를 구성할 수도 있습니다. 해당 정책에 대한 검색 스크립트를 선택한 직후에 규정 준수 정책을 만들 때 JSON 파일을 추가합니다.
검색 스크립트는 다양한 플랫폼과 관련이 있으며 규정 준수 정책의 일부로 디바이스에 전달됩니다. 디바이스가 정책을 평가하면 스크립트는 JSON 파일에서 설정을 검색(검색)한 다음 결과를 Intune 보고합니다. Windows 디바이스는 PowerShell 스크립트를 사용하고 Linux 디바이스는 POSIX 규격 셸 스크립트를 사용합니다.
규정 준수 정책을 만들기 전에 스크립트를 Microsoft Intune 관리 센터에 업로드해야 합니다. 사용자 지정 설정을 지원하도록 정책을 구성할 때 스크립트를 선택합니다.
사용자 지정 규정 준수 설정 및 디바이스 보고서를 다시 배포한 후 Microsoft Intune 관리 센터에서 기본 제공 규정 준수 설정 세부 정보와 함께 결과를 볼 수 있습니다. 기본 제공 규정 준수 설정과 동일한 방식으로 조건부 액세스 결정에 사용자 지정 규정 준수 설정을 사용할 수 있습니다. 함께 복합 규칙 집합을 형성하여 디바이스 준수 상태에도 동일하게 영향을 줍니다.
필수 구성 요소
Microsoft Entra 하이브리드 조인 디바이스를포함하여 조인된 디바이스를 Microsoft Entra.
Microsoft Entra 하이브리드 조인 디바이스는 Microsoft Entra ID 조인되고 온-프레미스 Active Directory 조인된 디바이스입니다. 자세한 내용은 Microsoft Entra 하이브리드 조인 구현 계획을 참조하세요.
Microsoft Entra 등록/작업 공간 조인(WPJ)
Microsoft Entra ID 등록된 디바이스에 대한 자세한 내용은 원활한 2단계 인증으로 Workplace Join을 참조하세요. 일반적으로 이러한 디바이스는 설정>계정>액세스 회사 또는 학교를 통해 추가된 회사 또는 학교 계정이 있는 BYOD(Bring Your Own Device) 디바이스입니다.
WPJ 디바이스에서는 디바이스 컨텍스트 PowerShell 스크립트가 작동하지만 사용자 컨텍스트 PowerShell 스크립트는 무시됩니다.
검색 스크립트 - Windows용 PowerShell 또는 사용자가 만든 Linux용 POSIX 규격 셸 스크립트입니다. 스크립트는 디바이스에서 실행되어 JSON 파일에 정의된 사용자 지정 설정을 검색합니다. 스크립트는 해당 설정의 구성 값을 Intune 반환합니다. 규정 준수 정책을 만들기 전에 스크립트를 Microsoft Intune 관리 센터에 업로드한 다음, 정책을 만들 때 사용할 스크립트를 선택해야 합니다.
사용자 지정 규정 준수 스크립트를 만들려면 Microsoft Intune 대한 사용자 지정 규정 준수 검색 스크립트를 참조하세요.
JSON 파일 - JSON 파일은 사용자 지정 설정 및 규격으로 간주될 값을 정의하며, 설정에 대한 준수로 디바이스를 복원하는 방법에 대한 사용자 메시지를 포함할 수 있습니다. 사용자 지정 규정 준수를 위해 JSON을 만드는 방법에 대한 지침은 사용자 지정 규정 준수 JSON 파일을 참조하세요.
사용자 지정 규정 준수 설정을 사용하여 정책 만들기
사용자 지정 설정을 포함하는 정책을 만들기 전에 필수 구성 요소를 검토합니다.
먼저 Intune 적용 가능한 검색 스크립트를 업로드하고 정책을 만드는 동안 추가할 준비가 된 JSON이 있어야 합니다.
준비가 되면 일반 절차를 사용하여 정책에 사용자 지정 설정을 추가하기 위한 플랫폼별 지침을 포함하는 규정 준수 정책을 만듭니다. 사용자 지정 설정은 사용자 지정 준수에 대한 옵션을 구성하여 구성 설정 페이지에 추가됩니다.
참고
Windows 디바이스가 사용자 지정 설정이 포함된 규정 준수 정책을 수신하면 Intune 관리 확장이 있는지 확인합니다. 찾을 수 없는 경우 디바이스는 확장을 설치하는 MSI를 실행하여 클라이언트가 규정 준수 정책의 일부인 PowerShell 스크립트를 다운로드 및 실행하고 규정 준수 결과를 업로드할 수 있도록 합니다. 서비스에서 관리하는 작업은 다음과 같습니다.
- 8시간마다 새 PowerShell 또는 업데이트된 PowerShell 스크립트를 확인합니다.
- 8시간마다 검색 스크립트를 실행합니다.
- 사용자가 디바이스에서 준수 확인을 선택할 때 다운로드하는 스크립트를 실행합니다. 그러나 준수 확인이 실행되면 새 스크립트 또는 업데이트된 스크립트에 대한 검사 없습니다.
요청 시 사용자 지정 규정 준수를 실행할 수 있도록 디바이스에 알림을 푸시할 수 없습니다.
사용자 지정 규정 준수 정책 모니터링
다음 방법을 사용하여 디바이스의 규정 준수 상태 대한 세부 정보를 볼 수 있습니다.
Linux 및 Windows 디바이스의 경우 Microsoft Intune 관리 센터에서 사용자 지정 규정 준수 설정에 대한 설정별 디바이스 준수 세부 정보를 볼 수 있습니다.
관리 센터에서 보고서>디바이스 준수로 이동한 다음 보고서 탭을 선택합니다. 비준수 디바이스 및 설정에 대한 타일을 선택한 다음 드롭다운 메뉴를 사용하여 보고서를 구성합니다. OS에 대한 플랫폼을 선택한 다음 보고서 생성 을 선택해야 합니다.
자세한 내용은 Intune 디바이스 준수 정책 모니터링을 참조하세요.
Linux 디바이스에서 Intune 앱을 열어 디바이스의 상태 볼 수 있습니다.
- 준수 – 디바이스는 organization 정책을 준수하며 조직 리소스에 액세스할 수 있어야 합니다.
- 상태 확인 – Intune 현재 organization 정책에 대한 디바이스 준수를 평가하고 있습니다.
- 비준수 – 디바이스가 organization 디바이스 및 보안 요구 사항을 충족하지 않으며 organization 리소스에 액세스하지 못할 수 있습니다.
디바이스 상태 비준수인 경우 문제 보기를 선택하여 해당 디바이스를 규정 준수로 전환하기 위해 해결해야 하는 문제에 대한 세부 정보를 확인합니다. 일반적인 문제를 해결하는 방법에 대한 자세한 내용은 이 문서의 Linux 디바이스에 대한 추가 문제 해결을 참조하세요.
디바이스에 대한 사용자 지정 규정 준수 문제 해결
사용자 지정 설정이 평가되지 않음
디바이스 준수 보고서에서 다음 오류 코드 및 문제에 대한 인사이트를 확인합니다.
- 65007: 스크립트 반환 실패
- 65008: 스크립트 결과에서 누락된 설정
- 65009: 검색된 설정의 json이 잘못되었습니다.
- 65010: 검색된 설정의 데이터 형식이 잘못되었습니다.
Windows에서는 PowerShell 스크립트 끝에 다음 줄을 추가하여 PowerShell 스크립트와 관련된 오류를 반환하고 다음 줄이 PowerShell 스크립트 파일의 끝에 있는지 확인할 수 있습니다. return $hash | ConvertTo-Json -Compress
PowerShell 또는 POSIX 규격 셸 스크립트는 선택할 수 없거나 삭제된 후에도 계속 볼 수 있습니다.
현재 보기를 새로 고칩니다. 문제가 지속되면 정책 만들기 흐름을 취소하고 다시 시작합니다.
디바이스의 문제가 해결된 후 후속 동기화는 문제를 해결되고 규정을 준수하는 것으로 식별하지 않습니다.
비준수 상태 디바이스 변경 후 규격으로 표시되기까지 최대 8시간이 걸릴 수 있습니다.
사용자가 문제가 해결되고 규정을 준수하는지 확인하기 위해 디바이스에서 문제를 수정한 후 수동으로 규정 준수를 검사 수 있나요?
Windows에서 사용자는 회사 포털 웹 사이트로 이동하여 비준수 사용자 지정 규정 준수 설정을 수정한 후 디바이스 상태 업데이트하는 동기화를 트리거할 수 있습니다.
Linux에서 사용자는 Microsoft Intune 앱을 열고 디바이스 세부 정보 페이지 또는 규정 준수 문제 페이지에서 새로 고침을 선택하여 Intune 사용하여 새 검사 시작할 수 있습니다.
더 많은 연산자와 피연산자가 지원되지 않는 이유는 무엇인가요?
계정 관리자에게 문의하여 특정 연산자 및 피연산자 추가를 요청합니다. 그런 다음 향후 업데이트로 간주할 수 있습니다.
하나의 사용자 지정 규정 준수 정책에 여러 검색 스크립트를 적용할 수 없는 이유는 무엇인가요?
정책은 단일 스크립트 사용을 지원합니다. 그러나 각 스크립트는 여러 준수 값 확인을 지원합니다.
Linux 디바이스에 대한 추가 문제 해결
디바이스를 준수하지 않는 설정을 식별하려면 다음을 수행합니다.
- Microsoft Intune 관리 센터에서 정책을 준수하지 않는 디바이스를 식별할 수 있습니다. 보고서>디바이스 준수로 이동하여 보고서 탭을 선택한 다음 비규격 디바이스 및 설정에 대한 타일을 선택합니다. 드롭다운을 사용하여 원하는 보고서를 구성한 다음 보고서 생성 을 선택합니다.
관리 센터는 디바이스에서 호환되지 않는 각 설정에 대해 별도의 줄을 표시합니다.
- Linux 디바이스에서 Microsoft Intune 앱을 열고 디바이스 설정 업데이트 페이지를 봅니다.
다음 섹션에서는 Linux 디바이스 사용자가 발생할 수 있는 문제에 대한 일반적인 문제 및 해결에 대해 설명합니다.
운영 체제 배포판 및 버전
Linux 배포 또는 운영 체제 버전에 대한 규정 준수 요구 사항을 충족하지 않는 디바이스 사용자는 해당 디바이스 운영 체제를 업그레이드하거나 다운그레이드해야 한다는 메시지를 받을 수 있습니다.
허용된 배포판 설정을 준수하려면 디바이스 Linux 배포 및 버전이 최소, 최대 및 형식 요구 사항을 충족해야 합니다. 필요한 경우 다른 버전의 Linux 배포판을 설치하여 디바이스를 규정 준수로 전환합니다.
암호 복잡성
암호 복잡성 요구 사항에 대한 규정 준수 요구 사항을 충족하지 않는 디바이스 사용자는 강력한 암호를 사용해야 한다는 메시지를 받을 수 있습니다.
암호 정책 설정을 준수하려면 이러한 요구 사항을 충족하는 암호를 사용하도록 Linux 시스템을 구성합니다. 일반적인 organization 요구 사항은 다음과 같습니다.
- 최소 문자 수, 숫자 또는 특수 문자가 포함된 암호
- 최소 길이의 암호
디바이스 암호화
디스크 및 파티션 암호화에 대한 규정 준수 요구 사항을 충족하지 않는 디바이스 사용자는 디바이스 드라이브를 암호화해야 한다는 메시지를 받을 수 있습니다.
디바이스 암호화 필요 설정을 준수하려면 Linux 디바이스의 쓰기 가능한 고정 디스크에 디바이스 수준 암호화가 필요합니다.
Linux 운영 체제에서 디스크 및 파티션 암호화에 대한 몇 가지 옵션이 있습니다. Intune 기본 dm-crypt 하위 시스템을 사용하는 암호화 시스템을 인식합니다. 이 하위 시스템은 Linux 시스템의 오랜 표준입니다. dm-crypt를 설정하는 기본 방법은 암호 설정 도구와 함께 LUKS 형식을 사용하는 것입니다.
다음 목록에서는 디스크 및 파티션을 암호화할 때 일반적인 지침을 제공합니다.
- 설치 후 Linux 시스템 볼륨을 암호화할 수 있지만 시간이 오래 걸릴 수 있습니다. 운영 체제를 설치하는 동안 디스크 암호화를 설정하는 것이 좋습니다.
- 조직 표준을 충족하기 위해 디바이스에 대해 모든 파일 시스템 파티션을 암호화해야 하는 것은 아닙니다. 다음은 기본 제공 디바이스 암호화 설정으로 평가되지 않습니다.
- 읽기 전용 파티션
- 의사 파일 시스템(예
/proc
: 또는 )tmpfs
-
/boot
또는/boot/efi
파티션
Linux 디바이스에서 규정 준수 상태 새로 고침
디바이스를 변경하여 준수 상태로 전환한 후 Intune 사용하여 디바이스 상태 새로 고칩니다.
- Microsoft Intune 앱이 계속 실행 중인 경우 디바이스 세부 정보 페이지 또는 규정 준수 문제 페이지에서 새로 고침을 선택하여 Intune 사용하여 새 검사 시작합니다.
- Microsoft Intune 앱이 실행되고 있지 않으면 앱에 로그인하여 새 검사 시작합니다.
- 설치 후 Microsoft Intune 앱은 디바이스가 켜지고 사용자가 로그인하는 한 Intune 사용하여 주기적으로 체크 인합니다.