다음을 통해 공유


Microsoft Intune의 보호 및 구성 수준

Microsoft Intune은 관리자에게 사용자, 디바이스 및 앱에 적용되는 정책을 만들 수 있는 기능을 제공합니다. 이러한 정책은 최소 집합부터 보다 안전하거나 제어되는 정책까지 다양할 수 있습니다. 이러한 정책은 조직의 요구 사항, 사용되는 디바이스 및 디바이스가 수행할 작업에 따라 달라집니다.

정책을 만들 준비가 되면 다양한 수준의 보호 및 구성을 사용할 수 있습니다.

환경 및 비즈니스 요구 사항에는 서로 다른 수준이 정의되어 있을 수 있습니다. 이러한 수준을 시작점으로 사용한 다음 필요에 맞게 사용자 지정할 수 있습니다. 예를 들어 수준 1의 디바이스 구성 정책과 수준 3의 앱 정책을 사용할 수 있습니다.

조직에 적합한 수준을 선택합니다. 잘못된 선택은 없습니다.

수준 1 - 최소 보호 및 구성

이 수준에는 모든 조직에 최소한 있어야 하는 정책이 포함됩니다. 이 수준의 정책은 보안 기능의 최소 기준을 만들고 사용자에게 작업을 수행하는 데 필요한 리소스에 대한 액세스 권한을 부여합니다.

앱(수준 1)

이 수준은 적절한 양의 데이터 보호 및 액세스 요구 사항을 적용하고 최종 사용자 중단을 최소화합니다. 이 수준은 앱이 PIN & 기본 암호화로 보호되고 선택적 초기화 작업을 실행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. 이 수준은 Exchange Online 사서함 정책에서 유사한 데이터 보호 제어를 제공하는 엔트리 레벨 구성입니다. 또한 IT 및 최종 사용자를 앱 보호 정책에 도입합니다.

이 수준에서는 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.

  • 기본 데이터 보호 요구 사항 사용

    • 앱 기본 데이터 전송 허용
    • 기본 앱 암호화 적용
    • 기본 액세스 기능 허용
  • 기본 액세스 요구 사항 사용

    • PIN, 얼굴 ID 및 생체 인식 액세스 필요
    • 기본 액세스 설정 지원 적용
  • 기본 조건부 애플리케이션 시작 사용

    • 앱 기본 액세스 시도 구성
    • 탈옥/루팅된 디바이스에 따라 앱 액세스 차단
    • 디바이스의 기본 무결성에 따라 앱 액세스 제한

자세한 내용은 수준 1 기본 앱 보호를 참조하세요.

규정 준수(수준 1)

이 수준에서 디바이스 준수는 모든 디바이스에 적용되는 테넌트 전체 설정을 구성합니다. 또한 모든 디바이스에 최소한의 규정 준수 정책을 배포하여 핵심 규정 준수 요구 사항 집합을 적용합니다.

디바이스가 조직의 리소스에 액세스할 수 있도록 허용하기 전에 이러한 구성을 적용하는 것이 좋습니다. 수준 1 디바이스 준수에는 다음이 포함됩니다.

  • 규정 준수 정책 설정 은 Intune 규정 준수 서비스가 디바이스에서 작동하는 방식에 영향을 주는 몇 가지 테넌트 전체 설정입니다.

  • 플랫폼별 규정 준수 정책에 는 플랫폼 전반의 일반적인 테마에 대한 설정이 포함됩니다. 실제 설정 이름 및 구현은 플랫폼마다 다를 수 있습니다.

    • 바이러스 백신, 스파이웨어 방지 및 맬웨어 방지 필요(Windows에만 해당)
    • 운영 체제 버전
      • 최대 OS
      • 최소 OS
      • 부 빌드 버전 및 주 빌드 버전
      • OS 패치 수준
    • 암호 구성
      • 비활성 기간 후 잠금 화면 적용, 잠금 해제를 위해 암호 또는 핀 필요
      • 문자, 숫자 및 기호의 조합으로 복잡한 암호 필요
      • 디바이스 잠금을 해제하려면 암호 또는 PIN 필요
      • 최소 암호 길이 필요
  • 비준수에 대한 작업은 각 플랫폼별 정책에 자동으로 포함됩니다. 이러한 작업은 구성한 하나 이상의 시간 순서 작업입니다. 정책의 규정 준수 요구 사항을 충족하지 못하는 디바이스에 적용됩니다. 기본적으로 디바이스를 비규격으로 표시하는 것은 각 정책과 함께 제공되는 즉각적인 작업입니다.

자세한 내용은 수준 1 - 최소 디바이스 준수로 이동합니다.

디바이스 구성(수준 1)

이 수준에서 프로필에는 보안 및 리소스 액세스에 중점을 둔 설정이 포함됩니다. 특히 이 수준에서는 다음 기능을 구성하는 것이 좋습니다.

  • 다음을 비롯한 기본 보안을 사용하도록 설정합니다.

    • 바이러스 백신 및 검사
    • 위협 탐지 및 대응
    • 방화벽
    • 소프트웨어 업데이트
    • 강력한 PIN 및 암호 정책
  • 사용자에게 네트워크에 대한 액세스 권한을 부여합니다.

    • 전자 메일
    • 원격 액세스를 위한 VPN
    • 온-프레미스 액세스를 위한 Wi-Fi

자세한 내용은 4단계 - 디바이스 구성 프로필 만들기를 참조하여 디바이스를 보호하고 조직 리소스에 대한 연결을 만듭니다.

수준 2 - 향상된 보호 및 구성

이 수준은 최소 정책 집합을 확장하여 더 많은 보안을 포함하고 모바일 디바이스 관리를 확장합니다. 이 수준의 정책은 더 많은 기능을 보호하고, ID 보호를 제공하고, 더 많은 디바이스 설정을 관리합니다.

이 수준의 설정을 사용하여 수준 1에서 구성한 항목을 추가합니다.

앱(수준 2)

이 수준은 사용자가 더 중요한 정보에 액세스하는 디바이스에 대한 표준 수준의 애플리케이션 보호를 권장합니다. 이 수준에서는 앱 보호 정책 데이터 유출 방지 메커니즘 및 최소 OS 요구 사항을 소개합니다. 이 수준은 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용되는 구성입니다.

수준 1 설정 외에도 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.

  • 향상된 데이터 보호 요구 사항 사용

    • 조직 관련 데이터 전송
    • 선택한 앱 데이터 전송 요구 사항 제외(iOS/iPadOS)
    • 통신 데이터 전송
    • 앱 간 잘라내기, 복사 및 붙여넣기 제한
    • 차단 화면 캡처(Android)
  • 향상된 조건부 애플리케이션 시작 사용

    • 애플리케이션 계정 비활성화 차단
    • 최소 디바이스 OS 요구 사항 적용
    • 최소 패치 버전 필요(Android)
    • Play 무결성 평가 평가 유형 필요(Android)
    • 디바이스 잠금 필요(Android)
    • 디바이스의 향상된 무결성에 따라 앱 액세스 허용

자세한 내용은 수준 2 향상된 앱 보호로 이동합니다.

규정 준수(수준 2)

이 수준에서는 규정 준수 정책에 더 세분화된 옵션을 추가하는 것이 좋습니다. 이 수준의 많은 설정에는 모두 유사한 결과를 제공하는 플랫폼별 이름이 있습니다. 다음은 사용 가능한 경우 Microsoft에서 권장하는 설정의 범주 또는 유형입니다.

  • 응용 프로그램

    • Android용 Google Play와 같은 디바이스가 앱을 가져오는 위치 관리
    • 특정 위치에서 앱 허용
    • 알 수 없는 출처의 앱 차단
  • 방화벽 설정

    • 방화벽 설정(macOS, Windows)
  • 암호화

    • 데이터 스토리지 암호화 필요
    • BitLocker(Windows)
    • FileVault(macOS)
  • 암호

    • 암호 만료 및 다시 사용
  • 시스템 수준 파일 및 부팅 보호

    • USB 디버깅 차단(Android)
    • 루팅된 디바이스 또는 탈옥된 디바이스 차단(Android, iOS)
    • macOS(시스템 무결성 보호) 필요
    • 코드 무결성 필요(Windows)
    • 보안 부팅을 사용하도록 설정해야 함(Windows)
    • 신뢰할 수 있는 플랫폼 모듈(Windows)

자세한 내용은 수준 2 - 향상된 디바이스 준수 설정을 참조하세요.

디바이스 구성(수준 2)

이 수준에서는 수준 1에서 구성한 설정 및 기능을 확장하고 있습니다. 다음과 같은 정책을 만드는 것이 좋습니다.

  • 디바이스에서 디스크 암호화, 보안 부팅 및 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하도록 설정하여 다른 보안 계층을 추가합니다.
  • 만료되도록 PIN & 암호를 구성하고 암호를 재사용할 수 있는 경우/시기를 관리합니다.
  • 보다 세분화된 디바이스 기능, 설정 및 동작을 구성합니다.
  • Intune에서 사용할 수 있는 온-프레미스 GPO(그룹 정책 개체)가 있는지 확인합니다.

이 수준의 디바이스 구성 정책에 대한 자세한 내용은 수준 2 - 향상된 보호 및 구성으로 이동합니다.

수준 3 - 높은 보호 및 구성

이 수준에는 엔터프라이즈 수준 정책이 포함되며 조직의 여러 관리자가 참여할 수 있습니다. 이러한 정책은 암호 없는 인증으로 계속 이동하고, 보안을 강화하며, 특수 디바이스를 구성합니다.

이 수준의 설정을 사용하여 수준 1 및 2에서 구성한 항목을 추가합니다.

앱(수준 3)

이 수준은 사용자가 더 중요한 정보에 액세스하는 디바이스에 대한 표준 수준의 애플리케이션 보호를 권장합니다. 이 수준에서는 Mobile Threat Defense를 사용하여 고급 데이터 보호, 향상된 PIN 구성 및 앱 보호 정책을 소개합니다. 이 구성은 고위험 데이터에 액세스하는 사용자를 위한 것입니다.

수준 1 및 2 설정 외에도 앱에 대해 다음과 같은 보호 및 액세스를 구성하는 것이 좋습니다.

  • 높은 데이터 보호 요구 사항 사용

    • 통신 데이터를 전송할 때 높은 보호
    • 정책 관리 앱에서만 데이터 받기
    • 조직 문서로 데이터 열기 차단
    • 사용자가 선택한 서비스에서 데이터를 열 수 있도록 허용
    • 원치 않는 파트너 또는 타사 키보드 차단
    • 승인된 키보드 필요/선택(Android)
    • 조직 데이터 인쇄 차단
  • 높은 액세스 요구 사항 사용

    • 단순 PIN 차단 및 특정 최소 PIN 길이 필요
    • 일 수 후 PIN 재설정 필요
    • 클래스 3 생체 인식 필요(Android 9.0 이상)
    • 생체 인식 업데이트 후 PIN을 사용하여 생체 인식 재정의 필요(Android)
  • 높은 조건부 애플리케이션 시작 사용

    • 디바이스 잠금 필요(Android)
    • 최대 허용 위협 수준 필요
    • 최대 OS 버전 필요

자세한 내용은 수준 3 높은 앱 보호로 이동하세요.

규정 준수(수준 3)

이 수준에서는 다음 기능을 통해 Intune의 기본 제공 규정 준수 기능을 확장할 수 있습니다.

  • MTD(Mobile Threat Defense) 파트너의 데이터 통합

    • MTD 파트너의 경우 규정 준수 정책에 따라 해당 파트너가 결정한 대로 디바이스가 디바이스 위협 수준 또는 머신 위험 점수 아래에 있어야 할 수 있습니다.
  • Intune에서 비 Microsoft 규정 준수 파트너를 사용합니다.

  • 스크립트를 사용하여 Intune UI 내에서 사용할 수 없는 설정에 대한 정책에 사용자 지정 규정 준수 설정을 추가합니다. (Windows, Linux)

  • 조건부 액세스 정책과 함께 규정 준수 정책 데이터를 사용하여 조직의 리소스에 대한 액세스를 제어합니다.

자세한 내용은 수준 3 - 고급 디바이스 준수 구성을 참조하세요.

디바이스 구성(수준 3)

이 수준은 엔터프라이즈 수준의 서비스 및 기능에 중점을 두고 인프라 투자가 필요할 수 있습니다. 이 수준에서는 다음과 같은 정책을 만들 수 있습니다.

  • 인증서 기반 인증, 앱에 대한 Single Sign-On, MFA(다단계 인증) 및 Microsoft Tunnel VPN 게이트웨이를 포함하여 조직의 다른 서비스에 암호 없는 인증을 확장합니다.

  • Microsoft Tunnel for Mobile Application Management(MAM용 터널)를 배포하여 Microsoft Tunnel을 확장합니다. 이 터널 지원은 Intune에 등록되지 않은 iOS 및 Android 디바이스로 확장됩니다. MAM용 터널은 Intune 추가 기능으로 사용할 수 있습니다.

    자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

  • Windows 펌웨어 계층에 적용되는 디바이스 기능을 구성합니다. Android 공통 조건 모드를 사용합니다.

  • WINDOWS LAPS(로컬 관리자 암호 솔루션)에 대한 Intune 정책을 사용하여 관리되는 Windows 디바이스에서 기본 제공 로컬 관리자 계정을 보호합니다.

    자세한 내용은 Windows LAPS에 대한 Intune 지원으로 이동하세요.

  • EPM(엔드포인트 권한 관리)을 사용하여 Windows 디바이스를 보호합니다. EPM을 사용하면 조직의 사용자를 표준 사용자(관리자 권한 없음)로 실행하고 동일한 사용자가 상승된 권한이 필요한 작업을 완료할 수 있습니다.

    EPM은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

  • 키오스크 및 공유 디바이스와 같은 특수 디바이스를 구성합니다.

  • 필요한 경우 스크립트를 배포합니다.

이 수준의 디바이스 구성 정책에 대한 자세한 내용은 수준 3 - 높은 보호 및 구성으로 이동합니다.

관련 문서

만들 수 있는 모든 디바이스 구성 프로필의 전체 목록은 Microsoft Intune에서 디바이스 프로필을 사용하여 디바이스에 기능 및 설정 적용으로 이동합니다.