2단계. Intune을 사용하여 관리에 디바이스 등록
엔드포인트를 보호하는 방법에는 여러 가지가 있는데, 이 용어는 디바이스, 앱 및 사용자 ID를 포함하여 결합된 엔터티를 나타내는 데 자주 사용됩니다. 보안 정책은 앱뿐만 아니라 디바이스 자체에서도 일관되고 안정적으로 시행되어야 합니다. 디바이스를 Intune 등록하고 Microsoft Entra ID 같은 클라우드 ID 공급자에 등록하는 것은 좋은 시작입니다.
디바이스가 개인 소유 BYOD(Bring Your Own Device) 또는 회사 소유의 완전 관리형 디바이스이든 관계없이 organization 리소스에 액세스하는 엔드포인트를 파악하여 정상적이고 호환되는 디바이스만 허용하도록 하는 것이 좋습니다. 여기에는 엔드포인트에서 실행되는 모바일 및 데스크톱 앱의 상태 및 신뢰성이 포함됩니다. 이러한 앱이 정상이고 규정을 준수하며 악의적인 의도나 우발적인 방법을 통해 기업 데이터가 소비자 응용 프로그램이나 서비스로 유출되는 것을 방지해야 합니다.
디바이스 등록 프로세스는 사용자, 디바이스 및 Microsoft Intune 서비스 간의 관계를 설정합니다. Microsoft Intune을 독립 실행형 서비스로 사용하면 단일 웹 기반 관리 콘솔을 사용하여 Windows PC, macOS 및 가장 널리 사용되는 모바일 디바이스 플랫폼을 관리할 수 있습니다.
이 문서에서는 디바이스를 Intune 등록하는 방법을 권장합니다. 이러한 방법과 각 배포 방법에 대한 자세한 내용은 배포 지침: 디바이스를 Microsoft Intune에 등록을 참조하세요.
각 플랫폼에 대한 이 그림 버전의 등록 옵션과 함께 이 문서의 지침을 사용하세요.
Windows 등록
Windows 10 및 Windows 11 디바이스를 등록하기 위한 몇 가지 옵션이 있습니다. 가장 일반적인 방법에는 다음 두 가지가 있습니다.
Microsoft Entra ID 조인: 디바이스를 Microsoft Entra ID 조인하고 사용자가 Microsoft Entra 자격 증명으로 Windows에 로그인할 수 있도록 합니다. 자동 등록을 사용하면 디바이스가 Intune에 자동으로 등록됩니다. 자동 등록의 이점은 사용자가 1단계 프로세스만 수행하면 된다는 점입니다. 구성하지 않은 경우 MDM 전용 등록을 통해 별도로 등록하고 자격 증명을 다시 입력해야 합니다. 사용자는 초기 Windows OOBE 과정 중에 또는 설정에서 이 방법으로 등록합니다. 디바이스는 Intune에서 회사 소유 디바이스로 표시됩니다.
자동 조종 장치: Microsoft Entra 조인을 자동화하고 새 회사 소유 디바이스를 Intune 등록합니다. 이 방법을 선택하면 첫 실행 경험이 간소화되고 사용자 지정 운영 체제 이미지를 디바이스에 적용할 필요가 없습니다. 관리자는 등록 후 Intune을 사용하여 Autopilot 디바이스를 관리할 때 정책, 프로필, 앱 등을 관리할 수 있습니다. Autopilot 배포에는 다음 네 가지 유형이 있습니다.
Self-Deploying 모드(키오스크, 디지털 사이니지 또는 공유 디바이스의 경우)
사용자 기반 모드(기존 사용자용)
사전 프로비전된 배포를 위한 Windows Autopilot을 사용하면 파트너 또는 IT 직원이 Windows 10 또는 Windows 11 실행 중인 PC를 미리 프로비전하여 완전히 구성되고 비즈니스를 준비할 수 있습니다.
기존 장치용 Autopilot을 사용하면 최신 버전의 Windows를 기존 디바이스에 쉽게 배포할 수 있습니다.
BYOD Windows 장치 등록을 포함한 추가 옵션은 Microsoft Intune에 Windows 장치 등록을 참조하세요.
iOS 및 iPadOS 등록
BYOD(사용자 소유) 장치의 경우 다음 방법 중 하나를 사용하여 개인 장치를 Intune에 등록할 수 있습니다.
- 장치 등록은 일반적인 BYOD 등록이라고 생각할 수 있습니다. 이 기능은 관리자에게 다양한 관리 옵션을 제공합니다.
- 사용자 등록은 관리자에게 장치 관리 옵션의 하위 집합을 제공하는 보다 간소화된 등록 프로세스입니다. 이 기능은 현재 미리 보기로 제공됩니다.
서용자용 디바이스를 구입하는 조직의 경우 Intune은 다음과 같은 iOS/iPadOS 회사 소유 디바이스 등록 방법을 지원합니다.
- Apple ADE(자동 디바이스 등록)
- Apple School Manager
- Apple Configurator 설치 도우미 등록
- Apple Configurator 직접 등록
자세한 내용은 Microsoft Intune에 iOS 및 iPadOS 장치 등록을 참조하세요.
Android 등록
디바이스 유형, 지원하려는 등록 유형, 사용 중인 Android 버전 또는 제조업체(특히 삼성)와 같은 항목에 따라 Android 등록에 대한 몇 가지 옵션이 있습니다. 대부분의 조직은 특히 BYOD 시나리오에서 최종 사용자를 위해 Android Work 프로필을 사용합니다.
Android 회사 프로필을 사용하면 최종 사용자의 정보는 데이터 컨테이너와 회사 및 개인용으로 별도의 앱으로 명확하게 구분됩니다. 이는 사용자가 자신의 데이터와 회사 데이터의 보안을 유지하면서 디바이스를 등록할 수 있는 이상적인 방법입니다.
그러나 조직에서 Android 디바이스를 인증하는 경우에는 전체 관리(사용자 선호도) 또는 전용(사용자 선호도 없음) 디바이스를 사용할 수 있습니다.
Android 등록에 대한 자세한 내용은 Microsoft Intune에 Android 장치 등록을 참조하세요.
macOS 등록
MacOS 등록은 많은 IT 조직에게 까다로운 주제일 수 있습니다. 대다수의 사용자가 Mac 사용자인 경우가 아니면 이러한 유형의 디바이스를 크게 관리하지 못할 수 있습니다. MacOS 사용자가 적은 경우 Intune 등록 전용이 권장됩니다. MacOS 사용자가 많은 경우 Intune + Jamf 등록을 권장합니다.
- Intune 등록만: macOS 디바이스의 기본 관리를 위한 것입니다. 다른 대부분의 사용자 기반 등록 옵션과 마찬가지로 수동 프로세스가 필요합니다. 그러나 Mac 디바이스의 수가 적은 경우에는 이러한 소수의 사용자만을 위해 전체 자동 인프라를 설정하는 것보다 더 쉬울 수 있습니다. Intune 등록만 사용하면 인증서, 암호 구성 및 애플리케이션과 같은 항목을 배포할 수 있습니다. 또한 규정 준수 정책을 구성하고 조건부 액세스를 실현할 수 있을 뿐만 아니라 암호화 및 디바이스 삭제를 강제 적용할 수도 있습니다.
- Intune 및 Jamf 등록: 조건부 액세스를 위한 Jamf + Intune Mac 관리에 대한 심층 지원을 찾고 있는 사용자를 위해 Microsoft에는 Jamf의 광범위한 Mac 관리 기능과 조건부 액세스 정책 준수를 Intune 결합하는 훌륭한 솔루션이 있습니다. 이 시나리오에서는 보안을 강화하기 위해 Jamf에서 해당 신호를 받을 수 있는 동시에 Jamf를 사용하여 디바이스를 완전히 관리하고 있습니다.
macOS 등록에 대한 자세한 내용은 Microsoft Intune에 macOS 장치 등록을 참조하세요.