그룹 정책 사용하여 엔드포인트용 Microsoft Defender 디바이스 제어 배포 및 관리

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

그룹 정책 사용하여 엔드포인트용 Defender 설정을 관리하는 경우 이를 사용하여 디바이스 제어를 배포하고 관리할 수 있습니다.

이동식 스토리지 액세스 제어 사용 또는 사용 안 함

1. Windows를 실행하는 디바이스에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>기능>디바이스 제어로 이동합니다.

2. 디바이스 제어 창에서 사용을 선택합니다.

참고

이러한 그룹 정책 개체가 표시되지 않으면 그룹 정책 관리 템플릿(ADMX)을 추가해야 합니다. GitHub의 mdatp-devicecontrol/Windows 샘플에서 관리 템플릿(WindowsDefender.adml 및 WindowsDefender.admx)을 다운로드할 수 있습니다.

기본 적용 설정

, , 및 Deny 와 같은 모든 디바이스 제어 기능에 대해 또는 Allow 과 같은 WpdDevicesRemovableMediaDevicesCdRomDevices기본 액세스를 설정할 수 있습니다.PrinterDevices

예를 들어 에 대한 RemovableMediaDevices또는 Allow 정책을 가질 Deny 수 있지만 또는 WpdDevices에 대해서는 CdRomDevices 사용할 수 없습니다. 이 정책을 통해 설정 Default Deny 하면 또는 WpdDevices 에 대한 읽기/쓰기/실행 액세스 CdRomDevices 가 차단됩니다. 스토리지만 관리하려면 프린터에 대한 정책을 만들어야 Allow 합니다. 그렇지 않으면 프린터에도 기본 적용(거부)이 적용됩니다.

1. Windows를 실행하는 디바이스에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>기능>디바이스 컨트롤 디바이스 제어>기본 적용 정책 선택으로 이동합니다.

2. 디바이스 제어 기본 적용 정책 선택 창에서 기본 거부를 선택합니다.

디바이스 유형 구성

디바이스 제어 정책이 적용되는 디바이스 유형을 구성하려면 다음 단계를 수행합니다.

1. Windows를 실행하는 컴퓨터에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>디바이스 제어>특정 디바이스 유형에 대한 디바이스 제어 켜기로 이동합니다.

2. 특정 형식에 대한 디바이스 컨트롤 켜기 창에서 파이프(|)로 구분된 제품 패밀리 ID를 지정합니다. 제품 제품군 ID에는 , CdRomDevices, WpdDevices또는 PrinterDevices가 포함됩니다RemovableMediaDevices.

그룹 정의

1. 각 이동식 스토리지 그룹에 대해 하나의 XML 파일을 Create.

2. 이동식 스토리지 그룹의 속성을 사용하여 각 이동식 스토리지 그룹에 대한 XML 파일을 만듭니다.

3. 각 XML 파일을 네트워크 공유에 저장합니다.

4. 다음과 같이 설정을 정의합니다.

   1. Windows를 실행하는 디바이스에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>디바이스 제어 디바이스 제어>정의 디바이스 제어 정책 그룹으로 이동합니다.

   2. 디바이스 제어 정책 그룹 정의 창에서 XML 그룹 데이터가 포함된 네트워크 공유 파일 경로를 지정합니다.

다양한 그룹 형식을 만들 수 있습니다. 이동식 스토리지 및 CD-ROM, Windows 휴대용 디바이스 및 승인된 USB 그룹에 대한 하나의 그룹 예제 XML 파일은 다음과 같습니다. XML 파일

참고

XML 주석 표기법을 <!--COMMENT--> 사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.

정책 정의

1. 액세스 정책 규칙에 대해 하나의 XML 파일을 Create.

2. 이동식 스토리지 액세스 정책 규칙의 속성을 사용하여 각 그룹의 이동식 스토리지 액세스 정책 규칙에 대한 XML을 만듭니다.

3. XML 파일을 네트워크 공유에 저장합니다.

4. 다음과 같이 설정을 정의합니다.

   1. Windows를 실행하는 디바이스에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>디바이스 제어 디바이스 제어>정책 규칙 정의로 이동합니다.

   2. 디바이스 제어 정책 규칙 정의 창에서 사용을 선택한 다음 XML 규칙 데이터가 포함된 네트워크 공유 파일 경로를 지정합니다.

참고

XML 주석 표기법을 <!-- COMMENT --> 사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.

파일 복사본의 위치 설정(증거)

쓰기 액세스 권한이 있는 파일(증거)의 복사본을 사용하려면 XML 파일의 이동식 스토리지 액세스 정책 규칙에서 오른쪽 옵션을 설정한 다음 시스템에서 복사본을 저장할 수 있는 위치를 지정합니다.

1. Windows를 실행하는 디바이스에서 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>디바이스 제어디바이스 제어 정의 디바이스 제어> 증명 데이터 원격 위치로 이동합니다.

2. 디바이스 제어 증명 정보 데이터 원격 위치 정의 창에서 사용을 선택한 다음 로컬 또는 네트워크 공유 폴더 경로를 지정합니다.

로컬 증거 캐시에 대한 보존 기간

파일 증거를 위해 로컬 캐시를 유지하기 위해 기본값인 60일을 변경하려면 다음 단계를 수행합니다.

1. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender 바이러스 백신>디바이스 제어로컬 디바이스 제어> 캐시의 파일에 대한 보존 기간 설정으로 이동합니다.

2. 로컬 디바이스 제어 캐시 창의 파일에 대한 보존 기간 설정 창에서사용을 선택한 다음 로컬 캐시를 보존할 일 수를 입력합니다(기본값 60).

참고 항목

• 엔드포인트용 Defender의 디바이스 제어
• 및 설정의 디바이스 제어 정책
• macOS용 디바이스 제어