Intune macOS 엔드포인트 보호 설정
중요
macOS 엔드포인트 보호 템플릿은 더 이상 사용되지 않습니다. 기존 정책은 변경되지 않은 상태로 유지되지만 이 템플릿을 사용하여 더 이상 새 정책을 만들 수 없습니다. > 대신 다음 옵션 중 하나를 사용합니다.
- Filevault의 경우 디스크 암호화 또는 방화벽 정책과 같은 엔드포인트 보안 정책을 사용합니다.
- 설정 카탈로그를 사용하여 FileVault, Firewall 및 Gatekeeper(시스템 정책 제어) 페이로드에 대한 새 구성 정책을 만듭니다. 자세한 내용은 macOS 설정 카탈로그를 참조하세요.
이 문서에서는 macOS를 실행하는 디바이스에 대해 구성할 수 있는 엔드포인트 보호 설정을 보여줍니다. Intune 엔드포인트 보호를 위해 macOS 디바이스 구성 프로필을 사용하여 이러한 설정을 구성합니다.
시작하기 전에
FileVault
Apple FileVault 설정에 대한 자세한 내용은 Apple 개발자 콘텐츠의 FDEFileVault 를 참조하세요.
중요
macOS 10.15를 기준으로 FileVault 구성에는 사용자가 승인한 MDM 등록이 필요합니다.
FileVault 사용
macOS 10.13 이상을 실행하는 디바이스에서 FileVault와 함께 XTS-AES 128을 사용하여 전체 디스크 암호화를 사용하도록 설정할 수 있습니다.
- 구성되지 않음 (기본값)
- 예
FileVault 사용을예로 설정하면 암호화하는 동안 디바이스에 대한 개인 복구 키가 생성되고 해당 키에 다음 설정이 적용됩니다.
개인 복구 키에 대한 에스크로 위치 설명
개인 복구 키를 검색할 수 있는 방법과 위치를 설명하는 짧은 메시지를 사용자에게 지정합니다. 이 텍스트는 암호를 잊어버린 경우 개인 복구 키를 입력하라는 메시지가 표시되면 사용자가 로그인 화면에 표시되는 메시지에 삽입됩니다.
개인 복구 키 회전
디바이스의 개인 복구 키가 회전하는 빈도를 지정합니다. 기본값인 구성되지 않음 또는 1~12 개월 값을 선택할 수 있습니다 .
복구 키 숨기기
FileVault 2 암호화 중에 디바이스 사용자로부터 개인 키를 숨기도록 선택합니다.
- 구성되지 않음 (기본값) – 개인 키는 암호화 중에 디바이스 사용자에게 표시됩니다.
- 예 - 암호화하는 동안 개인 키가 디바이스 사용자로부터 숨겨집니다.
암호화 후 디바이스 사용자는 다음 위치에서 암호화된 macOS 디바이스에 대한 개인 복구 키를 볼 수 있습니다.
- iOS/iPadOS 회사 포털 앱
- Intune 앱
- 회사 포털 웹 사이트
- Android 회사 포털 앱
키를 보려면 앱 또는 웹 사이트에서 암호화된 macOS 디바이스의 디바이스 세부 정보로 이동하여 복구 키 가져오기를 선택합니다.
로그아웃 시 프롬프트 사용 안 함
로그아웃할 때 FileVault를 사용하도록 요청하는 사용자에게 메시지를 표시하지 않도록 합니다. 사용 안 함으로 설정하면 로그아웃 시 프롬프트가 비활성화되고 대신 로그인할 때 사용자에게 메시지가 표시됩니다.
- 구성되지 않음 (기본값)
- 예 - 로그아웃 시 프롬프트를 사용하지 않도록 설정합니다.
바이패스할 수 있는 횟수
사용자가 로그인하기 위해 FileVault가 필요하기 전에 사용자가 FileVault를 사용하도록 설정하라는 메시지를 무시할 수 있는 횟수를 설정합니다.
- 구성되지 않음 - 다음 로그인이 허용되기 전에 디바이스의 암호화가 필요합니다.
- 0 - 다음에 사용자가 디바이스에 로그인할 때 디바이스를 암호화하도록 요구합니다.
- 1 ~ 10 - 사용자가 디바이스에서 암호화를 요구하기 전에 프롬프트를 1~10번 무시하도록 허용합니다.
- 제한 없음, 항상 프롬프트 - 사용자에게 FileVault를 사용하도록 설정하라는 메시지가 표시되지만 암호화가 필요하지 않습니다.
- 사용 안 함 - 기능을 사용하지 않도록 설정합니다.
이 설정의 기본값은 로그아웃 시 사용 안 함 프롬프트의 구성에 따라 달라집니다. 로그아웃 시 프롬프트 사용 안 함 이 구성되지 않음으로 설정된 경우 이 설정은 기본적으로 구성되지 않음으로 설정됩니다. 로그아웃 시 프롬프트 사용 안 함을예로 설정하면 이 설정은 기본적으로 1로 설정되며 구성되지 않음 값은 옵션이 아닙니다.
방화벽
방화벽을 사용하여 포트당 연결이 아닌 애플리케이션당 연결을 제어합니다. 애플리케이션별 설정을 사용하면 방화벽 보호의 이점을 더 쉽게 얻을 수 있습니다. 또한 원치 않는 앱이 합법적인 앱에 대해 열려 있는 네트워크 포트를 제어하지 못하도록 방지할 수 있습니다.
방화벽 사용
macOS에서 방화벽 사용을 설정하고 사용자 환경에서 들어오는 연결이 처리되는 방식을 구성합니다.
- 구성되지 않음 (기본값)
- 예
들어오는 모든 연결 차단
DHCP, Bonjour 및 IPSec과 같은 기본 인터넷 서비스에 필요한 연결을 제외한 모든 들어오는 연결을 차단합니다. 또한 이 기능은 파일 공유 및 화면 공유와 같은 모든 공유 서비스를 차단합니다. 공유 서비스를 사용하는 경우 이 설정을 구성되지 않음으로 유지합니다.
- 구성되지 않음 (기본값)
- 예
들어오는 모든 연결 차단을구성되지 않음으로 설정하면 들어오는 연결을 받을 수 있거나 받을 수 없는 앱을 구성할 수 있습니다.
허용된 앱: 들어오는 연결을 받을 수 있는 앱 목록을 구성합니다.
번들 ID로 앱 추가: 앱의 번들 ID 를 입력합니다.
앱 번들 ID를 가져오려면 다음을 수행합니다.
- 터미널 앱 및 AppleScript를
osascript -e 'id of app "AppName"사용합니다. - Apple의 웹 사이트에는 기본 제공 Apple 앱 목록이 있습니다.
- Intune 추가된 앱의 경우 Intune 관리 센터를 사용할 수 있습니다.
- 터미널 앱 및 AppleScript를
스토어 앱 추가: 이전에 Intune 추가한 스토어 앱을 선택합니다. 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.
차단된 앱: 들어오는 연결이 차단된 앱 목록을 구성합니다.
번들 ID로 앱 추가: 앱의 번들 ID 를 입력합니다.
앱 번들 ID를 가져오려면 다음을 수행합니다.
- 터미널 앱 및 AppleScript를
osascript -e 'id of app "AppName"사용합니다. - Apple의 웹 사이트에는 기본 제공 Apple 앱 목록이 있습니다.
- Intune 추가된 앱의 경우 Intune 관리 센터를 사용할 수 있습니다.
- 터미널 앱 및 AppleScript를
스토어 앱 추가: 이전에 Intune 추가한 스토어 앱을 선택합니다. 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.
스텔스 모드 사용
컴퓨터가 검색 요청에 응답하지 않도록 하려면 스텔스 모드를 사용하도록 설정합니다. 디바이스는 권한 있는 앱에 대한 들어오는 요청에 계속 응답합니다. ICMP(ping)와 같은 예기치 않은 요청은 무시됩니다.
- 구성되지 않음 (기본값)
- 예
문지기
이러한 위치에서 다운로드된 앱 허용
앱이 다운로드된 위치에 따라 디바이스가 시작할 수 있는 앱을 제한합니다. 맬웨어로부터 디바이스를 보호하고 신뢰할 수 있는 원본에서만 앱을 허용하려는 의도입니다.
- 구성되지 않음 (기본값)
- Mac App Store
- Mac App Store 및 식별된 개발자
- 어디서 나
사용자가 Gatekeeper를 재정의하도록 허용하지 않음
사용자가 Gatekeeper 설정을 재정의하지 못하도록 방지하고 사용자가 제어를 클릭하여 앱을 설치할 수 없도록 합니다. 사용하도록 설정하면 사용자가 앱을 제어하여 설치할 수 없습니다.
- 구성되지 않음 (기본값) - 사용자가 Control-click을 클릭하여 앱을 설치할 수 있습니다.
- 예 - 사용자가 Control-click을 사용하여 앱을 설치할 수 없도록 합니다.
다음 단계
Windows 10 및 Windows 11 디바이스에서 엔드포인트 보호를 구성할 수도 있습니다.