다음을 통해 공유

클라우드 구성 단계별 Windows 10/11 단계별 설정 가이드

  • 아티클

클라우드 구성(클라우드 구성)의 Windows 10/11은 Windows 클라이언트 디바이스에 대한 디바이스 구성입니다. 최종 사용자 환경을 간소화하도록 설계되었습니다. 최소 요구 사항을 포함하여 클라우드 구성이 무엇인지에 대한 자세한 내용은 Windows 클라우드 구성 단계별 시나리오 개요를 참조하세요.

클라우드 구성을 사용하면 Microsoft Intune 정책을 사용하여 Windows 클라이언트 디바이스를 클라우드 최적화 디바이스로 전환할 수 있습니다. 클라우드 구성의 Windows 10/11:

  • Microsoft Entra 사용하여 Intune 관리에 등록하도록 구성하여 클라우드에 대한 디바이스를 최적화합니다. 사용자 데이터는 알려진 폴더 이동 이 구성된 상태에서 자동으로 OneDrive에 저장됩니다.

  • 디바이스에 Microsoft Teams 및 Microsoft Edge를 설치합니다.

  • 최종 사용자를 디바이스의 표준 사용자로 구성하여 IT에서 디바이스에 설치된 앱을 보다 자세히 제어할 수 있도록 합니다.

  • 기본 제공 앱 및 Microsoft Store 앱을 제거하여 최종 사용자 환경을 간소화합니다.

  • 엔드포인트 보안 설정 및 규정 준수 정책을 적용합니다. 이러한 정책은 디바이스를 안전하게 유지하고 IT에서 디바이스 상태를 모니터링하는 데 도움이 될 수 있습니다.

  • 비즈니스용 Windows 업데이트 통해 디바이스가 자동으로 업데이트되는지 확인합니다.

  • 필요에 따라 다음을 수행할 수도 있습니다.

    • Outlook, Word, Excel, PowerPoint와 같은 다른 Microsoft 365 앱을 추가합니다.
    • 최종 사용자가 성공해야 하는 LOB(필수 LOB) 앱을 추가합니다. 구성을 단순하게 유지하기 위해 이러한 앱을 최소한으로 유지하는 것이 좋습니다.
    • 사용자 워크플로에 필요한 Wi-Fi 프로필, VPN 연결, 인증서 및 프린터 드라이버와 같은 필수 리소스를 추가합니다.

클라우드 구성의 Windows 10/11 및 해당 용도에 대한 개요는 클라우드 구성의 Windows 10/11로 이동하세요.

클라우드 구성을 배포하는 방법에는 두 가지가 있습니다.

  • 옵션 1 - 자동: 단계별 시나리오를 사용하여 구성된 값으로 모든 그룹 및 정책을 자동으로 만듭니다. 이 옵션에 대한 자세한 내용은 Windows 클라우드 구성 단계별 시나리오 개요를 참조하세요.
  • 옵션 2 - 수동 (이 문서): 이 문서의 단계를 사용하여 클라우드 구성을 직접 배포합니다.

이 가이드는 고유한 클라우드 구성 배포를 만드는 데 도움이 됩니다. 다음 섹션에서는 Microsoft Intune 사용하여 클라우드 구성을 설정하는 방법을 설명합니다.

  1. Microsoft Entra 그룹 만들기
  2. 디바이스 등록 구성
  3. 알려진 폴더 이동을 구성하고 기본 제공 앱을 제거하는 스크립트 배포
  4. 앱 배포
  5. 엔드포인트 보안 설정 배포
  6. Windows 업데이트 설정 구성
  7. Windows 규정 준수 정책 배포
  8. 선택적 구성

1단계 - Microsoft Entra 그룹 만들기

첫 번째 단계는 배포하는 구성을 수신하는 Microsoft Entra 보안 그룹을 만드는 것입니다.

이 전용 그룹은 디바이스를 구성하고 Intune 클라우드 구성 리소스를 관리하는 데 도움이 됩니다. 이 가이드의 구성만 배포하는 것이 좋습니다. 그런 다음 필요에 따라 더 많은 필수 앱 및 기타 디바이스 구성을 추가합니다.

다음 단계를 사용하여 그룹을 만듭니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 그룹>모든 그룹>새 그룹을 선택합니다.

  3. 그룹 유형에서 보안을 선택합니다.

  4. 그룹 이름(예: Cloud config PCs)을 입력합니다.

  5. 멤버 자격 유형으로 할당됨을 선택합니다.

  6. 원하는 경우 이제 새 그룹에 디바이스를 추가할 수 있습니다. 선택한 구성원 없음을 선택하고 그룹에 구성원을 추가합니다.

    빈 그룹으로 시작하고 나중에 디바이스를 추가할 수도 있습니다.

  7. 만들기를 선택합니다.

그룹을 만들 때 이 그룹에 미리 등록된 Windows Autopilot 디바이스를 추가할 수 있습니다.

기존 장치

기존 디바이스를 클라우드 구성과 함께 사용하려는 Intune 등록한 경우 이러한 디바이스로 새로 시작하는 것이 좋습니다. 특히 다음 사항에 유의합니다.

  • 이러한 디바이스에 배포된 기존 앱 및 프로필을 제거합니다.
  • 이러한 디바이스를 다시 설정합니다.
  • Intune 디바이스를 다시 등록하고 클라우드 구성을 배포합니다.

이러한 추가 단계는 간소화된 사용자 환경을 제공하기 때문에 기존 디바이스에 권장됩니다. 그런 다음 다른 필수 앱을 추가하고 디바이스에 사용자에게 필요한 것만 갖도록 할 수 있습니다.

2단계 - 디바이스 등록 구성

이 단계에서는 Intune MDM 자동 등록을 사용하도록 설정하고 디바이스가 Intune 등록하는 방법을 구성합니다.

이미 Windows Autopilot을 사용하는 경우 이 단계를 건너뛰고 3단계 - 알려진 폴더 이동을 구성하고 기본 제공 앱을 제거하는 스크립트 배포 (이 문서)로 이동합니다.

✅ 1 - 자동 등록 사용

클라우드 구성을 사용하려는 organization 사용자에 대해 자동 등록을 사용하도록 설정합니다. 클라우드 구성에는 자동 등록이 필요합니다. 자동 등록에 대한 자세한 내용은 등록 가이드 - Windows 자동 등록을 참조하세요.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 플랫폼>별 디바이스>Windows>디바이스 온보딩등록자동 등록>을 > 선택합니다.

  3. MDM 사용자 scope 다음 중 하나를 선택합니다.

    • 모두 를 선택하여 organization 사용자가 사용하는 모든 Windows 디바이스에 클라우드 구성을 적용합니다. 대부분의 클라우드 구성 시나리오에서 모두 가 선택됩니다.
    • 일부 를 선택하여 organization 사용자 하위 집합에서 사용하는 디바이스에 클라우드 구성을 적용합니다. 단계적 접근 방식으로 클라우드 구성을 적용하려는 경우 일부는 좋은 선택일 수 있습니다.

  4. MAM 사용자 scope, 사용자 URL의 MAM 용어, MDM 검색 URL 및 MAM 준수 URL 설정을 구성하지 마세요. 이러한 설정은 비워 둡니다. MAM 설정은 클라우드 구성에 대해 구성되지 않습니다.

  5. 저장을 선택하여 변경 내용을 저장합니다.

✅ 2 - 디바이스에서 사용자를 표준 사용자로 등록하고 구성하는 방법 선택

Intune Windows 자동 등록을 사용하도록 설정한 후 다음 단계는 디바이스가 Intune 등록하는 방법을 결정하는 것입니다. 등록하면 클라우드 구성 정책을 받을 수 있습니다. 또한 사용자가 디바이스의 표준 사용자로 구성해야 합니다. 표준 사용자는 organization 승인하는 앱만 설치할 수 있습니다.

등록의 경우 세 가지 옵션이 있습니다. 하나의 등록 옵션을 선택합니다.

  • Windows Autopilot 사용(권장)
  • 프로비저닝 패키지를 사용하여 대량 등록
  • OOBE(기본 제공 환경)에서 Microsoft Entra ID 사용

이 섹션에서는 이러한 등록 옵션 및 디바이스에서 사용자를 표준 사용자로 구성하는 방법에 대한 자세한 정보를 제공합니다.

Windows Autopilot 등록 및 ESP(등록 상태 페이지)를 사용하는 것이 좋습니다. 이 등록 방법과 ESP는 일관된 최종 사용자 환경을 제공합니다.

  • Windows Autopilot 배포 서비스를 사용하여 디바이스를 미리 등록합니다. 관리자는 Windows Autopilot을 사용하여 디바이스를 시작하고 디바이스 관리에 등록하는 방법을 구성합니다.
  • Intune Windows Autopilot 정책은 OOBE(기본 제공 환경)를 구성합니다. OOBE에서 사용자를 표준 사용자로 선택합니다.
  • Intune Windows Autopilot 정책은 ESP(등록 상태 페이지)를 구성합니다. ESP는 구성 진행률을 표시합니다. 사용자는 모든 클라우드 구성 설정이 디바이스에 적용될 때까지 ESP를 유지합니다.

Windows Autopilot 사용자 기반 등록을 설정하려면 다음 단계를 사용합니다.

  1. Windows Autopilot에 디바이스를 추가합니다.

    3단계 - Windows Autopilot에 디바이스 등록(Windows Autopilot 문서 열기)의 단계를 사용하여 Windows Autopilot에 디바이스를 등록합니다.

    참고

    3단계 - Windows Autopilot Windows Autopilot에 디바이스 등록 문서는 일련의 단계의 일부입니다. 이 클라우드 구성의 경우 3단계 - Windows Autopilot에 디바이스 등록에 따라 디바이스를 등록합니다. 시리즈의 다른 단계를 따르지 마세요. Windows Autopilot 시리즈의 다른 단계는 다른 Windows Autopilot 시나리오에 대한 것입니다.

    Windows Autopilot을 사용하도록 디바이스를 수동으로 등록할 수도 있습니다. 수동으로 디바이스를 등록하는 것은 이전에 Windows Autopilot으로 설정되지 않은 기존 하드웨어를 용도 변경하기 위해 사용되는 경우가 많습니다.

  2. Intune Windows Autopilot 배포 프로필을 만들고 할당합니다.

    1. Microsoft Intune 관리 센터에 로그인합니다.

    2. 플랫폼>별 디바이스>Windows>디바이스 온보딩>등록>Windows Autopilot Deployment 프로그램>배포 프로필을 선택합니다.

    3. 프로필 만들기>Windows PC를 선택합니다. 프로필의 이름을 입력합니다.

    4. 모든 대상 디바이스를 Autopilot으로 변환 설정에서 예를 선택합니다. 다음을 선택합니다.

      Windows Autopilot 이외의 등록 방법을 사용하여 등록된 디바이스에 클라우드 구성을 적용할 수 있습니다. 이러한 디바이스(비 Windows Autopilot 디바이스)를 그룹에 추가하면 디바이스가 Windows Autopilot으로 변환됩니다. 다음에 디바이스가 다시 설정되고 OOBE(Windows 기본 제공 환경)를 통과할 때 Windows Autopilot을 통해 등록합니다.

    5. OOBE(기본 제공 환경) 탭에서 다음 값을 입력하고 다음을 선택합니다.

      설정
      배포 모드 사용자 기반
      Microsoft Entra ID 조인 Microsoft Entra 조인됨
      Microsoft 소프트웨어 사용 조건 숨기기
      개인 정보 설정 숨기기
      계정 변경 옵션 숨장치 숨기기
      사용자 계정 유형 Standard
      미리 프로비전된 배포 허용 아니오
      언어(지역) 운영 체제 기본값
      자동으로 키보드 구성
      장치 이름 템플릿 적용 선택 사항. 디바이스 이름 템플릿을 적용할 수 있습니다. 와 같은 Cloud-%SERIAL%클라우드 구성 디바이스를 식별하는 데 도움이 되는 이름 접두사를 사용합니다.

    6. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당한 다음, 다음을 선택합니다.

    7. 새 프로필을 검토한 다음 만들기를 선택합니다.

  3. Intune 등록 상태 페이지를 만들고 할당합니다.

    1. Microsoft Intune 관리 센터에 로그인합니다.

    2. 플랫폼>별 디바이스>Windows>디바이스 온보딩>등록>일반>등록 상태 페이지를 선택합니다.

    3. 만들기를 선택하고 등록 상태 페이지의 이름을 입력합니다.

    4. 설정 탭에서 다음 값을 입력한 다음, 다음을 선택합니다.

      설정
      앱 및 프로필 구성 프로세스 표시
      설치가 지정된 시간(분)보다 오래 걸리면 오류 표시 60
      시간 제한 오류 발생 시 사용자 지정 메시지 표시 예 - 기본 메시지를 변경할 수도 있습니다.
      사용자가 설치 오류에 대한 로그를 수집하도록 허용
      모든 앱 및 프로필이 설치될 때까지 디바이스 사용자 차단
      설치 오류 발생 시 사용자가 디바이스를 재설정하도록 허용
      설치 오류 발생 시 사용자가 디바이스를 사용하도록 허용 아니오
      사용자/디바이스에 할당된 경우 이러한 필수 앱이 설치될 때까지 디바이스 사용자 차단 전체

      참고

      설치 오류가 발생하는 경우 사용자가 디바이스를 사용하지 못하도록 차단하는 것이 좋습니다. 사용자를 차단하면 클라우드 구성이 완전히 적용된 후에만 디바이스 사용을 시작할 수 있습니다.

      배포 요구 사항에 따라 설치 오류가 발생하는 경우 사용자가 디바이스를 사용하도록 허용할 수 있습니다. 디바이스 사용을 허용하는 경우 디바이스가 Intune 체크 인할 때 Intune 구성을 계속 적용하려고 시도합니다.

    5. 할당에서 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 등록 상태 페이지를 할당합니다(이 문서).

      다음을 선택합니다.

    6. 만들기를 선택하여 등록 상태 페이지를 만들고 할당합니다.

등록 옵션 2: 프로비저닝 패키지를 사용한 대량 등록

Windows 구성 Designer 또는 학생용 PC 설정 앱을 사용하여 만든 프로비저닝 패키지를 사용하여 디바이스를 등록할 수 있습니다.

대량 등록에 대한 자세한 내용은 Windows 디바이스에 대한 대량 등록을 참조하세요.

대량 등록:

  • 디바이스가 Intune 등록한 후 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 추가합니다(이 문서). 그룹에 추가되면 클라우드 구성을 받습니다.
  • 모든 사용자는 디바이스에서 자동으로 표준 사용자입니다.
  • 등록 상태 페이지가 없습니다. 모든 클라우드 구성 설정이 적용되기 때문에 사용자는 진행 상황을 볼 수 없습니다. 사용자는 클라우드 구성이 완전히 적용되기 전에 디바이스 사용을 시작할 수 있습니다.
  • 사용자에게 디바이스를 배포하기 전에 설정 및 앱이 디바이스에 있는지 확인하는 것이 좋습니다.

등록 옵션 3: OOBE(기본 제공 환경)에서 Microsoft Entra ID 사용하여 등록

Intune MDM 자동 등록을 사용하도록 설정하면 OOBE 중에 사용자가 Microsoft Entra 계정으로 로그인합니다. 로그인하면 등록이 자동으로 시작됩니다.

이 등록 옵션을 사용하면 다음을 수행할 수 있습니다.

  1. 디바이스에서 로컬 관리자를 제한하도록 Microsoft Intune 사용자 지정 프로필을 구성합니다. 정책 CSP에는 사용자 지정 프로필에서 사용할 수 있는 샘플 정책 정의 XML이 포함되어 있습니다.

    이 사용자 지정 프로필에는 디바이스에서 로컬 관리자가 될 수 있는 그룹을 추가하는 또 다른 설정이 있습니다. 이 로컬 관리 그룹에는 사용자 환경에 IT 관리자만 포함되어야 합니다.

  2. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 사용자 지정 프로필을 할당합니다(이 문서).

3단계 - OneDrive 알려진 폴더 이동 구성 및 기본 제공 앱을 제거하는 스크립트 배포

OneDrive 알려진 폴더 이동을 구성하면 사용자 파일 및 데이터가 OneDrive에 자동으로 저장됩니다. 기본 제공 Windows 앱 및 Microsoft Store를 제거하면 시작 메뉴 및 디바이스 환경이 간소화됩니다.

이 단계는 Windows 사용자 환경을 간소화하는 데 도움이 됩니다.

✅ 1 - 관리 템플릿을 사용하여 OneDrive 알려진 폴더 이동 구성

알려진 폴더 이동을 사용하면 사용자 데이터(파일 및 폴더)가 OneDrive에 저장됩니다. 사용자가 다른 장치에 로그인하면 OneDrive가 자동으로 데이터를 새 디바이스와 동기화합니다. 사용자는 파일을 수동으로 이동할 필요가 없습니다.

참고

OneDrive 알려진 폴더 이동 및 SharedPC 구성의 동기화 문제로 인해 Microsoft는 여러 사용자가 로그인 및 로그아웃하는 디바이스와 함께 클라우드 구성에서 Windows를 사용하지 않는 것이 좋습니다.

알려진 폴더 이동을 구성하려면 Intune ADMX 템플릿을 사용합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 플랫폼>별 디바이스>Windows>디바이스> 관리구성>새 정책만들기>를 선택합니다.

  3. 플랫폼에 대해 Windows 10 이상을 선택하고 프로필 유형에 대한 템플릿을 선택합니다.

  4. 관리 템플릿을 선택하고 만들기를 선택합니다.

  5. 프로필 이름을 입력하고 다음을 선택합니다.

  6. 구성 설정에서 다음 표의 설정을 검색하고 권장 값을 선택합니다.

    설정 이름
    Windows 알려진 폴더를 OneDrive 사용 테넌트 ID로 자동 이동 organization 테넌트 ID를 입력합니다.

    테넌트 ID는 Microsoft Entra 관리 센터 >속성 페이지>테넌트 ID에 표시됩니다.
    폴더가 리디렉션된 후 사용자에게 알림 표시 예. 알림을 숨기도록 선택할 수도 있습니다.
    Windows 자격 증명을 사용하여 OneDrive 동기화 앱에 자동으로 사용자 로그인 사용
    사용자가 Windows의 알려진 폴더를 OneDrive로 이동하지 못하도록 방지 사용
    사용자가 Windows의 알려진 폴더를 PC로 리디렉션하지 못하도록 방지 사용
    OneDrive 요청 기반 파일 관리 사용 사용

  7. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당합니다(이 문서).

✅ 2 - 기본 제공 앱을 제거하는 스크립트 배포

Microsoft는 다음과 같은 Windows PowerShell 스크립트를 만들었습니다.

  • 디바이스에서 기본 제공 앱을 제거합니다.
  • 디바이스에서 Microsoft Store 앱을 제거합니다.

스크립트는 Intune 를 사용하여 디바이스에 배포됩니다. 스크립트를 추가하고 배포하려면 다음 단계를 사용합니다.

  1. 클라우드 구성 창 PowerShell 앱 제거 스크립트를 다운로드합니다. 이 스크립트는 Microsoft Store 앱과 기본 제공 앱을 제거합니다.

    참고

    장치에 Microsoft Store 앱을 유지하려는 경우 기본 제공 앱을 제거하지만 대신 Microsoft Store를 유지하는 스크립트를 사용할 수 있습니다. 이 스크립트를 사용하려면 대신 다운로드하고 동일한 단계를 수행합니다. 이 스크립트는 기본 제공 앱을 제거하려고 하지만 모든 앱을 제거하지는 않을 수 있습니다. 디바이스에서 모든 기본 제공 앱을 제거하도록 스크립트를 수정해야 할 수 있습니다.

  2. Microsoft Intune 관리 센터에 로그인합니다.

  3. 플랫폼>별 디바이스>Windows>디바이스> 관리스크립트 및 수정>플랫폼 스크립트 탭 >추가를 선택합니다.

  4. 기본 사항에서 스크립트 정책의 이름을 입력하고 다음을 선택합니다.

  5. 스크립트 설정에서 다운로드한 스크립트를 업로드합니다. 다른 설정은 변경하지 않고 다음을 선택합니다.

  6. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 스크립트를 할당합니다(이 문서).

Microsoft Store 앱

이전에 Microsoft Store 앱을 제거한 경우 Microsoft Intune 사용하여 다시 배포할 수 있습니다. Microsoft Store 앱(또는 다시 추가하려는 다른 앱)을 다시 추가하려면 프라이빗 organization 앱 리포지토리에 Microsoft Store 앱을 추가합니다. 그런 다음, Intune 사용하여 디바이스에 앱을 배포합니다. Microsoft Store 앱을 사용하면 앱을 업데이트할 수 있습니다. Microsoft Store 앱에 대한 액세스를 구성하는 방법에 대한 자세한 내용은 프라이빗 스토어에 대한 액세스 관리를 참조하세요.

프라이빗 organization 앱 리포지토리는 Intune 회사 포털 앱 또는 웹 사이트일 수 있습니다.

Intune 사용하여 Windows 10/11 Enterprise 및 Education 디바이스에서 최종 사용자가 organization 프라이빗 앱 리포지토리 외부에서 Microsoft Store 앱을 설치하지 못하도록 차단할 수 있습니다.

이러한 외부 앱을 방지하려면 다음 단계를 사용합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 플랫폼>별 디바이스>Windows>디바이스> 관리구성>새 정책만들기>를 선택합니다.

  3. 플랫폼에 대해 Windows 10 이상을 선택하고 프로필 유형에 대한 설정 카탈로그를 선택합니다. 만들기를 선택합니다.

  4. 기본 사항에서 프로필의 이름을 입력합니다.

  5. 구성 설정에서 설정 추가를 선택합니다. 그런 다음 다음을 수행합니다.

    1. 설정 선택기에서 를 검색합니다 private store. Microsoft App Store 범주 아래의 검색 결과에서 프라이빗 스토어만 필요를 선택합니다.
    2. 프라이빗 저장소만 필요 설정을 프라이빗 저장소만 사용하도록 설정합니다.
    3. 다음을 선택합니다.

  6. 할당에서 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당합니다(이 문서).

  7. 검토 + 만들기에서 프로필을 검토하고 만들기를 선택합니다.

4단계 - 앱 배포

이 단계에서는 Microsoft Edge 및 Microsoft Teams를 배포합니다. 이 단계에서 다른 필수 앱을 배포할 수 있습니다. 사용자에게 필요한 것만 배포합니다.

✅ 1 - Microsoft Edge 배포

  1. microsoft Edge를 Intune 추가합니다.
  2. 앱 설정에서 안정적인 채널을 선택합니다.
  3. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 Microsoft Edge 앱을 할당합니다(이 문서).

✅ 2- Microsoft Teams 배포

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. >Windows를 선택합니다.

  3. 추가를 선택하여 새 앱을 만듭니다.

  4. Microsoft 365 앱 Windows 10 이상>선택을 선택합니다.

  5. Suite 이름에 이름을 입력하거나 제안된 이름을 사용합니다. 다음을 선택합니다.

  6. 앱 제품군 구성에서 Teams만 선택합니다.

    다른 Microsoft 365 앱을 배포하려면 이 목록에서 선택합니다. 사용자에게 필요한 것만 배포합니다.

    OneDrive를 선택할 필요가 없습니다. OneDrive는 Windows 10/11 Pro, Enterprise 및 Education에 기본 제공됩니다.

  7. App Suite 정보의 경우 다음 설정을 구성합니다.

    설정
    아키텍처 64비트

    클라우드 구성은 32비트에서도 작동합니다. 64비트 선택을 권장합니다.
    업데이트 채널 현재 채널
    다른 버전 제거
    설치할 버전 최신

  8. 속성의 경우 다음 설정을 구성합니다.

    설정
    공유 컴퓨터 활성화 사용
    사용자를 대신하여 Microsoft 소프트웨어 사용 조건에 동의

  9. 다음을 선택합니다.

  10. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 제품군을 할당합니다(이 문서).

5단계 - 엔드포인트 보안 설정 배포

이 단계에서는 기본 제공 Windows 보안 기준 및 BitLocker 설정을 포함하여 디바이스를 안전하게 유지할 수 있도록 엔드포인트 보안 설정을 구성합니다.

✅1 - Windows 10/11 MDM 보안 기준 배포

클라우드에서 Windows 구성의 경우 Windows 10/11 보안 기준을 사용하는 것이 좋습니다. organization 기본 설정에 따라 변경할 수 있는 몇 가지 설정 값이 있습니다.

Intune 보안 기준을 구성합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. Windows 10 이상에 대한엔드포인트 보안>보안 기준> 보안 기준을 선택합니다.

  3. 프로필 만들기를 선택하여 새 보안 기준을 만듭니다.

  4. 보안 기준의 이름을 입력하고 다음을 선택합니다.

  5. 기본 구성 설정을 적용합니다. 또는 organization 요구 사항에 따라 다음 설정을 변경할 수 있습니다.

    설정 범주 설정 변경 이유
    브라우저 암호 관리자 차단 최종 사용자가 암호 관리자를 사용하도록 허용하려면 이 설정을 사용하지 않도록 설정합니다.
    원격 지원 원격 지원 요청 이 설정을 사용하면 지원 직원이 원격으로 디바이스에 연결할 수 있습니다. 필요한 경우가 아니면 이 설정을 사용하지 않도록 설정하는 것이 좋습니다.
    방화벽 모든 방화벽 설정 organization 요구 사항에 따라 디바이스에 대한 특정 연결을 허용해야 하는 경우 기본 방화벽 설정을 변경합니다.

    다음을 선택합니다.

  6. 할당에서 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹을 선택합니다(이 문서).

  7. 만들기를 선택하여 기준을 만들고 할당합니다.

✅ 2 - 드라이브 암호화 엔드포인트 보안 프로필을 사용하여 더 많은 BitLocker 설정 배포

디바이스를 안전하게 유지하는 데 도움이 되는 더 많은 BitLocker 설정이 있습니다. Intune 이러한 BitLocker 설정을 구성합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>디스크 암호화>정책 만들기를 선택합니다.

  3. 플랫폼에 대해 Windows 10 이상을 선택합니다.

  4. 프로필대해 BitLocker 만들기를> 선택합니다.

  5. 기본 사항에서 프로필의 이름을 입력합니다.

  6. 구성 설정에서 다음 설정을 선택합니다.

    설정 범주 설정
    BitLocker – 기본 설정 OS 및 고정 데이터 드라이브에 대한 전체 디스크 암호화 사용
         
    BitLocker – 고정 드라이브 설정 BitLocker 고정 드라이브 정책 구성하기
      BitLocker로 보호되지 않는 고정 데이터 드라이브에 대한 쓰기 액세스 차단
      고정 데이터 드라이브에 대한 암호화 방법 구성 AES 128비트 XTS
         
    BitLocker – OS 드라이브 설정 BitLocker 시스템 드라이브 정책 구성하기
      시작 인증 필요
      호환되는 TPM 시작 허용됨
      호환되는 TPM 시작 PIN 허용됨
      호환되는 TPM 시작 키 필수
      호환되는 TPM 시작 키 및 PIN 허용됨
      TPM이 호환되지 않는 디바이스에서 BitLocker 사용 안 함
      운영 체제 드라이브에 대한 암호화 방법 구성 AES 128비트 XTS
         
    BitLocker – 이동식 드라이브 설정 BitLocker 이동식 드라이브 정책 구성하기
      이동식 데이터 드라이브에 대한 암호화 방법 구성 AES 128비트 CBC
      BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스 차단

  7. 할당에서 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당합니다(이 문서).

  8. 만들기를 선택하여 프로필을 만들고 할당합니다.

6단계 - Windows 업데이트 설정 구성

이 단계에서는 Windows 업데이트 링을 사용하여 디바이스를 자동으로 업데이트합니다. 이 가이드의 설정은 Windows 업데이트 기준의 권장 설정과 일치합니다.

Intune 업데이트 링을 구성합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>업데이트> 관리Windows 10 이상 업데이트프로필 만들기를 >> 선택합니다.

  3. 기본 사항에서 업데이트 링의 이름을 입력합니다.

  4. 링 설정 업데이트에서 다음 값을 구성하고 다음을 선택합니다.

    설정
    서비스 채널 반기별 채널
    Microsoft 제품 업데이트 허용
    Windows 드라이버 허용
    품질 업데이트 지연 기간(일) 0
    기능 업데이트 지연 기간(일) 0
    기능 업데이트 제거 기간 설정 10
    자동 업데이트 동작 기본값으로 다시 설정
    다시 시작 검사 허용
    Windows 업데이트를 일시 중지하는 옵션 사용
    Windows 업데이트를 검사 옵션 사용
    다시 시작 알림을 해제하려면 사용자 승인 필요 아니오
    해제 가능한 미리 알림(시간)을 사용하여 필요한 자동 다시 시작 전에 사용자에게 미리 알림 이 설정은 구성되지 않은 상태로 둡니다.
    영구 미리 알림을 사용하여 필요한 자동 다시 시작 전에 사용자에게 미리 알림(분) 이 설정은 구성되지 않은 상태로 둡니다.
    업데이트 알림 수준 변경 기본 Windows 업데이트 알림 사용
    최종 기한 설정 사용 허용
    기능 업데이트 마감일 7
    품질 업데이트 마감일 2
    유예 기간 2
    최종 기한 전에 자동 다시 부팅

  5. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 업데이트 링을 할당합니다(이 문서).

7단계 - Windows 규정 준수 정책 배포

디바이스 규정 준수 및 상태를 모니터링하는 데 도움이 되는 규정 준수 정책을 구성합니다. 정책은 비준수에 대해 보고하고 사용자가 여전히 디바이스를 사용할 수 있도록 허용합니다. organization 프로세스에 따라 다른 작업을 준수하지 않는 문제를 해결하는 방법을 선택할 수 있습니다.

Intune 준수 정책을 만듭니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>준수>정책 만들기를 선택합니다.

  3. 플랫폼에서Windows 10 이상 만들기를> 선택합니다.

  4. 기본 사항에서 규정 준수 정책의 이름을 입력합니다. 다음을 선택합니다.

  5. 준수 설정에서 다음 값을 구성하고 다음을 선택합니다.

    설정 범주 설정
    장치 상태 BitLocker 필요 필수
      디바이스에서 보안 부팅을 사용하도록 설정해야 함 필수
      코드 무결성 필요 필수
         
    시스템 보안 방화벽 필수
      바이러스 검사 필수
      스파이웨어 방지 필수
      모바일 디바이스의 잠금을 해제하는 데 암호 필요 필수
      단순 암호 차단
      암호 유형 영숫자
      최소 암호 길이 8
      암호를 요구하기 전까지 최대 비활성 시간(분) 1분
      암호 만료(일) 41
      재사용을 방지하기 위한 이전 암호 수 5
         
    Defender Microsoft Defender 맬웨어 방지 프로그램 필수
      최신 Microsoft Defender 맬웨어 방지 보안 인텔리전스 필수
      실시간 보호 필수

  6. 비준수에 대한 작업에서 디바이스 비규격 표시 작업에 대해 일정(비준수 후 일)을 일로 1 구성합니다. organization 기본 설정에 따라 다른 유예 기간을 구성할 수 있습니다.

    organization 조건부 액세스 정책을 사용하는 경우 유예 기간을 구성하는 것이 좋습니다. 유예 기간은 비준수 디바이스가 organization 리소스에 대한 액세스 권한을 즉시 잃지 않도록 방지합니다.

  7. 규격을 받는 단계를 준수하지 않는지 알리는 작업을 사용자에게 메일로 추가할 수 있습니다.

  8. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 준수 정책을 할당합니다(이 문서).

8단계 - 선택적 구성

클라우드 구성을 사용하여 만들고 배포할 수 있는 선택적 정책이 있습니다. 이 섹션에서는 이러한 선택적 정책에 대해 설명합니다.

✅ 테넌트 도메인 이름 구성

사용자 로그인에 테넌트의 도메인 이름을 자동으로 사용하도록 디바이스를 구성합니다. 도메인 이름을 추가할 때 사용자는 로그인하기 위해 전체 UPN을 입력할 필요가 없습니다.

Intune 테넌트 도메인 이름을 추가합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. 플랫폼>별 디바이스>Windows>디바이스> 관리구성>새 정책만들기>를 선택합니다.
  3. 플랫폼의 경우 Windows 10 이상을 선택합니다.
  4. 프로필 유형으로 템플릿>디바이스 제한 만들기를> 선택합니다.
  5. 프로필 이름을 입력하고 다음을 선택합니다.
  6. 구성 설정에서 암호에 대해 기본 설정 Microsoft Entra 테넌트 도메인을 구성합니다. 사용자가 디바이스에 로그인하는 데 사용해야 하는 Microsoft Entra 도메인 이름을 입력합니다.
  7. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당합니다(이 문서).

✅ 기타 필수 생산성 및 LOB(기간 업무) 앱 배포

모든 디바이스에 필요한 몇 가지 필수 LOB 앱이 있을 수 있습니다. 배포할 이러한 앱의 최소 수를 선택합니다. 가상화 솔루션을 사용하여 앱을 제공하는 경우 디바이스에 가상화 클라이언트 앱도 배포합니다.

클라우드 구성에 추가된 앱을 사용하여 배포할 수 있는 다른 앱의 수 또는 크기에 대한 제한은 없습니다. 그러나 Microsoft는 사용자가 자신의 역할에 필요한 것을 기반으로 이러한 다른 앱을 최소한으로 유지하는 것이 좋습니다. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 이러한 필수 앱을 할당합니다(이 문서).

일부 디바이스에서 특정 LOB 앱이 필요할 수 있습니다. 또는 복잡한 패키징 또는 프로시저 요구 사항이 있는 일부 앱이 있을 수 있습니다. 이러한 시나리오의 경우 클라우드 구성 배포에서 이러한 앱을 이동하는 것이 좋습니다. 또는 기존 Windows 관리 모델에서 이러한 앱이 필요한 디바이스를 유지합니다.

클라우드 구성은 공동 작업 및 검색과 함께 몇 가지 주요 앱만 필요한 디바이스에 권장됩니다.

✅organization 액세스에 필요한 리소스 배포

organization 프로세스에 따라 사용자에게 필요할 수 있는 필수 리소스를 구성합니다. 필수 리소스에는 인증서, 프린터, VPN 연결 및 Wi-Fi 프로필이 포함될 수 있습니다.

Intune 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 이러한 리소스를 할당합니다(이 문서).

✅ OneDrive 알려진 폴더 이동에 대한 권장 설정 구성

OneDrive 알려진 폴더 이동에 대한 사용자 환경을 개선하는 더 많은 설정이 있습니다. 알려진 폴더 이동이 작동하려면 설정이 필요하지 않지만 유용합니다.

이러한 설정에 대한 자세한 내용은 알려진 폴더 이동에 권장되는 OneDrive 설정으로 이동하세요.

✅ 권장되는 Microsoft Edge 설정 구성

더 나은 사용자 환경을 위해 구성할 수 있는 몇 가지 Microsoft Edge 앱 설정이 있습니다. 최종 사용자 환경에 대한 요구 사항 또는 기본 설정에 따라 이러한 설정을 구성할 수 있습니다.

이러한 권장 설정을 구성하려면 Intune 사용합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 플랫폼>별 디바이스>Windows>디바이스> 관리구성>새 정책만들기>를 선택합니다.

  3. 플랫폼에 Windows 10 이상 및 프로필 유형에 대한 템플릿을 선택합니다.

  4. 관리 템플릿을 선택하고 만들기를 선택합니다.

  5. 프로필 이름을 입력하고 다음을 선택합니다.

  6. 구성 설정에서 다음 설정을 검색하고 권장 값으로 구성합니다.

    설정 범주 설정
      인터넷 Explorer 통합 구성 사용, 인터넷 Explorer 모드
       
    SmartScreen 설정 Microsoft Defender SmartScreen 구성 사용
      신뢰할 수 있는 원본에서 다운로드를 확인하도록 Microsoft Defender SmartScreen 강제 검사 사용
      사용자 동의 없이 설치된 앱을 차단하도록 Microsoft Defender SmartScreen 구성 사용

    참고

    SmartScreen 설정은 Microsoft Defender 적용됩니다. Microsoft Edge 앱을 통해 SmartScreen 설정을 구성하면 Microsoft Edge에서 설정을 직접 적용합니다.

  7. 1단계 - Microsoft Entra 그룹 만들기에서 만든 그룹에 프로필을 할당합니다(이 문서).

클라우드 구성의 상태 모니터링

디바이스에 클라우드 구성을 적용할 때 Intune 사용하여 앱 및 디바이스 구성의 상태 모니터링할 수 있습니다.

스크립트 상태

배포된 스크립트의 설치 상태 모니터링할 수 있습니다.

  1. Microsoft Intune 관리 센터에서디바이스>>플랫폼별Windows>스크립트 및 수정>플랫폼 스크립트로 이동합니다.
  2. 배포한 스크립트를 선택합니다.
  3. 스크립트 세부 정보 페이지에서 디바이스 상태 선택합니다. 스크립트 설치 세부 정보가 표시됩니다.

앱 설치

배포된 앱의 설치 상태 모니터링할 수 있습니다.

  1. Microsoft Intune 관리 센터에서Windows Windows>>으로 이동합니다.
  2. Microsoft 365 App Suite와 같이 배포한 앱을 선택합니다.
  3. 디바이스 설치 상태 또는 사용자 설치 상태 선택합니다. 앱 설치 세부 정보가 표시됩니다.

개별 디바이스의 앱 문제 해결에 대한 자세한 내용은 Intune 앱 설치 문제 해결을 참조하세요.

보안 기준

배포된 보안 기준의 설치 상태 모니터링할 수 있습니다. 자세한 내용은 Intune 보안 기준 및 프로필 모니터링을 참조하세요.

디스크 암호화 프로필

5단계 - 엔드포인트 보안 설정 배포(이 문서)에서 BitLocker 설정을 구성하고 배포했을 수 있습니다.

이 BitLocker 프로필의 상태 모니터링할 수 있습니다.

  1. Microsoft Intune 관리 센터에서엔드포인트 보안>디스크 암호화로 이동합니다.
  2. 클라우드 구성에 배포한 디스크 암호화 프로필을 선택합니다.
  3. 디바이스 설치 상태 또는 사용자 설치 상태 선택합니다. 프로필 세부 정보가 표시됩니다.

Windows 업데이트 설정

Windows 업데이트 링 정책의 상태 모니터링할 수 있습니다.

  1. Microsoft Intune 관리 센터에서디바이스>업데이트> 관리Windows 10 이상 업데이트 탭으로 > 이동합니다.
  2. 클라우드 구성의 일부로 배포한 업데이트 링을 선택합니다.
  3. 디바이스 상태, 사용자 상태 또는 최종 사용자 업데이트 상태 선택합니다. 업데이트 링 설정 세부 정보가 표시됩니다.

Windows 업데이트 링에 대한 보고에 대한 자세한 내용은 Windows 10 이상 정책에 대한 업데이트 링 보고서로 이동하세요.

준수 정책

규정 준수 정책의 상태 모니터링할 수 있습니다.

  1. Microsoft Intune 관리 센터에서디바이스>준수로 이동합니다.
  2. 클라우드 구성의 일부로 배포한 규정 준수 정책을 선택합니다.

디바이스 준수 모니터링 보기에는 규정 준수 정책의 할당 상태 및 할당 실패에 대한 자세한 정보가 있습니다. 또한 비규격 디바이스를 신속하게 찾고 조치를 취할 수 있는 보기도 있습니다.

Intune 규정 준수 정책 모니터링에 대한 자세한 내용은 Intune 디바이스 준수 정책의 결과 모니터링을 참조하세요.

관련 콘텐츠