준수 정책을 사용하여 Intune으로 관리하는 디바이스에 대한 규칙 설정

Microsoft Intune 규정 준수 정책은 관리되는 디바이스의 구성을 평가하는 데 사용하는 규칙 및 조건 집합입니다. 이러한 정책은 이러한 구성 요구 사항을 충족하지 않는 디바이스에서 조직 데이터 및 리소스를 보호하는 데 도움이 될 수 있습니다. 관리 디바이스는 정책에서 설정한 조건을 충족해야 Intune에서 규정을 준수하는 것으로 간주됩니다.

정책의 규정 준수 결과를 Microsoft Entra 조건부 액세스와 통합하는 경우 추가 보안 계층을 활용할 수 있습니다. 조건부 액세스는 현재 준수 상태의 디바이스에 따라 Microsoft Entra 액세스 제어를 적용하여 규격 디바이스만 회사 리소스에 액세스할 수 있도록 할 수 있습니다.

Intune 규정 준수 정책은 다음 두 영역으로 나뉩니다.

• 규정 준수 정책 설정 은 모든 디바이스가 수신하는 기본 제공 규정 준수 정책처럼 작동하는 테넌트 전체 구성입니다. 규정 준수 정책 설정은 명시적 디바이스 준수 정책이 할당되지 않은 디바이스를 처리하는 방법을 포함하여 Intune 환경에서 규정 준수 정책이 작동하는 방식을 설정합니다.

• 디바이스 준수 정책은 사용자 또는 디바이스 그룹에 배포하는 플랫폼별 규칙 및 설정의 개별 집합입니다. 디바이스는 정책의 규칙 I를 평가하여 디바이스 준수 상태를 보고합니다. 비준수 상태는 비준수에 대해 하나 이상의 작업을 초래할 수 있습니다. Microsoft Entra 조건부 액세스 정책은 해당 상태를 사용하여 해당 디바이스에서 조직 리소스에 대한 액세스를 차단할 수도 있습니다.

규정 준수 정책 설정

준수 정책 설정은 Intune의 준수 서비스가 디바이스와 상호 작용하는 방법을 결정하는 테넌트 전체 설정입니다. 이는 디바이스 준수 정책에서 구성하는 설정과는 다릅니다.

규정 준수 정책 설정을 관리하려면 Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>디바이스 준수>정책 설정으로 이동합니다.

준수 정책 설정에는 다음 설정이 포함됩니다.

• 준수 정책이 할당되지 않은 디바이스를 다음으로 표시

  이 설정은 Intune에서 디바이스 준수 정책이 할당되지 않은 디바이스를 처리하는 방법을 결정합니다. 이 설정에는 두 가지 값이 있습니다.

  • 규정 준수(기본): 이 보안 기능은 꺼져 있습니다. 디바이스 준수 정책을 수신하지 않은 디바이스가 준수로 간주됩니다.
  • 비준수: 이 보안 기능은 꺼져 있습니다. 디바이스 준수 정책이 없는 디바이스는 비준수로 간주됩니다.

  디바이스 준수 정책과 함께 조건부 액세스를 사용하는 경우 이 설정을 비준수 로 변경하여 규격으로 확인된 디바이스만 리소스에 액세스할 수 있도록 합니다.

  최종 사용자가 정책이 할당되지 않았기 때문에 비준수로 간주되는 경우 회사 포털 앱에 ‘준수 정책이 할당되지 않음’으로 표시됩니다.

• 준수 상태 유효 기간(일)

  디바이스가 수신된 모든 준수 정책에 성공적으로 보고해야 하는 기간을 지정합니다. 유효 기간이 만료하기 전에 정책에 대한 준수 상태를 보고하지 못하는 디바이스는 비준수로 처리됩니다.

  기본적으로 이 기간은 30일로 설정됩니다. 기간은 1~120일 사이로 구성할 수 있습니다.

  유효 기간 설정에 대한 디바이스 준수에 대한 세부 정보를 볼 수 있습니다. Microsoft Intune 관리 센터에 로그인하고 디바이스>모니터>설정 준수로 이동합니다. 설정 열에서 이 설정의 이름은 활성입니다. 이 설정과 관련된 준수 상태 보기에 대한 자세한 내용은 디바이스 준수 모니터링을 참조하세요.

장치 준수 정책

Intune 디바이스 준수 정책은 사용자 또는 디바이스 그룹에 배포하는 플랫폼별 규칙 및 설정의 개별 집합입니다. 준수 정책을 사용하여 다음을 수행합니다.

• 사용자 및 관리 디바이스가 준수로 간주되기 위해 충족해야 하는 규칙 및 설정을 정의합니다. 규칙의 예로는 디바이스가 최소 OS 버전을 실행하도록 요구하고, 감옥이 손상되거나 루팅되지 않고, Intune과 통합되는 위협 관리 소프트웨어에서 지정한 위협 수준 또는 아래에 있는 것이 포함됩니다.

• 해당 정책 준수 규칙을 충족하지 않는 디바이스에 적용되는 비준수에 대한 작업을 지원합니다. 비준수에 대한 작업의 예로는 디바이스를 비준수로 표시하고, 원격으로 잠기고, 디바이스 상태에 대한 디바이스 사용자 메일을 전송하여 수정할 수 있습니다.

디바이스 준수 정책을 사용하는 경우:

• 일부 규정 준수 정책 구성은 디바이스 구성 정책을 통해 관리하는 설정의 구성을 재정의할 수 있습니다. 정책의 충돌 해결에 대한 자세한 내용은 충돌하는 규정 준수 및 디바이스 구성 정책을 참조하세요.

• 정책은 사용자 그룹의 사용자 또는 디바이스 그룹의 디바이스에 배포할 수 있습니다. 준수 정책을 사용자에게 배포하면 해당 사용자의 모든 디바이스에서 준수 상태가 검사됩니다. 이 시나리오에서 디바이스 그룹을 사용하면 준수 보고에 도움이 됩니다.

• Microsoft Entra 조건부 액세스를 사용하는 경우 조건부 액세스 정책은 디바이스 준수 결과를 사용하여 비규격 디바이스에서 리소스에 대한 액세스를 차단할 수 있습니다.

• 다른 Intune 정책과 마찬가지로 디바이스에 대한 규정 준수 정책 평가는 디바이스가 Intune을 사용하여 체크인하는 시기와 정책 및 프로필 새로 고침 주기에 따라 달라집니다.

디바이스 준수 정책에서 지정할 수 있는 설정은 정책을 만들 때 선택하는 플랫폼 유형에 따라 달라집니다. 디바이스 플랫폼마다 다른 설정을 지원하며, 각 플랫폼 유형에는 별도의 정책이 필요합니다.

다음 주제는 디바이스 구성 정책의 다양한 측면에 대한 전용 문서로 연결됩니다.

• 비준수에 대한 작업 - 기본적으로 각 디바이스 준수 정책에는 정책 규칙을 충족하지 못하는 경우 디바이스를 비규격으로 표시하는 작업이 포함됩니다. 각 정책은 디바이스 플랫폼에 따라 더 많은 작업을 지원할 수 있습니다. 추가 작업의 예는 다음과 같습니다.

  • 사용자 및 그룹에게 비준수 디바이스에 대한 세부 정보가 포함된 이메일 경고 전송. 디바이스가 비준수로 표시되는 즉시 이메일을 보내도록 정책을 구성하고 디바이스가 정책을 준수할 때까지 주기적으로 다시 보낼 수 있습니다.
  • 일정 기간 동안 비준수 상태를 유지한 디바이스를 원격으로 잠금.
  • 일정 기간 동안 비준수 상태를 유지한 디바이스 사용 중지. 이 작업은 적격 디바이스를 사용 중지할 준비가 된 것으로 표시합니다. 그런 다음 관리자는 사용 중지로 표시된 디바이스 목록을 볼 수 있으며 하나 이상의 디바이스를 사용 중지하려면 명시적 조치를 취해야 합니다. 디바이스를 사용 중지하면 디바이스를 Intune 관리에서 제거하고 디바이스에서 모든 회사 데이터를 삭제합니다. 이 작업에 대한 자세한 내용은 비준수에 사용할 수 있는 작업을 참조하세요.

• 규정 준수 정책 만들기 – 연결된 문서의 정보를 사용하여 필수 구성 요소를 검토하고, 규칙을 구성하는 옵션을 검토하고, 비준수에 대한 작업을 지정하고, 정책을 그룹에 할당할 수 있습니다. 또한 이 문서에는 정책 새로 고침 시간에 대한 정보도 포함되어 있습니다.

  다양한 디바이스 플랫폼에 대한 디바이스 준수 설정을 확인하세요.

  • Android 장치 관리자
  • Android Enterprise
  • Android AOSP(오픈 소스 프로젝트)
  • iOS
  • Linux
  • macOS
  • Windows Holographic for Business
  • Windows 10/11
  • Windows 8.1 이상

    중요

    2022년 10월 22일, Microsoft Intune은 Windows 8.1을 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스의 기술 지원 및 자동 업데이트는 사용할 수 없습니다.

    현재 Windows 8.1을 사용하는 경우 Windows 10/11 디바이스로 이동하는 것이 좋습니다. Microsoft Intune에는 Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.

• 사용자 지정 규정 준수 설정 – 사용자 지정 규정 준수 설정을 사용하면 Intune의 기본 제공 디바이스 준수 옵션을 확장할 수 있습니다. 사용자 지정 설정은 Intune이 해당 설정을 추가할 때까지 기다릴 필요 없이 디바이스에서 사용할 수 있는 설정을 기반으로 하는 유연성을 제공합니다.

  다음 플랫폼에서 사용자 지정 규정 준수 설정을 사용할 수 있습니다.

  • Linux – Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
  • Windows 10
  • Windows 11

준수 상태 모니터링

Intune에는 디바이스 준수 상태를 모니터링하고 정책 및 디바이스에 대한 자세한 정보를 확인할 수 있는 디바이스 준수 대시보드가 포함되어 있습니다. 대시보드에 대한 자세한 내용은 디바이스 준수 모니터링을 참조하세요.

조건부 액세스와 통합

조건부 액세스를 사용하는 경우 디바이스 준수 정책의 결과를 사용하여 조직 리소스에 액세스할 수 있는 디바이스를 결정하도록 조건부 액세스 정책을 구성할 수 있습니다. 이 액세스 제어는 디바이스 준수 정책에 포함된 비준수에 대한 작업과 별도로 추가됩니다.

디바이스가 Intune에 등록되면 Microsoft Entra ID에 등록됩니다. 디바이스의 준수 상태는 Microsoft Entra ID에 보고됩니다. 조건부 액세스 정책에서 액세스 제어가 준수 상태로 표시된 디바이스 필요로 설정된 경우 조건부 액세스는 해당 준수 상태를 사용하여 메일 및 기타 조직 리소스에 대한 액세스를 허용 또는 차단할지 여부를 결정합니다.

조건부 액세스 정책에서 디바이스 준수 상태를 사용하는 경우 테넌트가 규정 준수 정책 설정에서 관리하는 옵션으로 할당된 준수 정책 없이 디바이스 표시를 구성하는 방법을 검토합니다.

디바이스 준수 정책에서 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 디바이스 기반 조건부 액세스를 참조하세요.

Microsoft Entra 설명서에서 조건부 액세스에 대해 자세히 알아보세요.

• 조건부 액세스란?
• 디바이스 ID란?

다른 플랫폼의 비준수 및 조건부 액세스에 대한 참조

다음 표에서는 준수 정책을 조건부 액세스 정책과 함께 사용할 경우 비준수 설정을 관리하는 방법을 설명합니다.

• 재구성됨: 디바이스 운영 체제에서 준수를 적용하도록 요구합니다. 예를 들어 사용자에게 PIN을 설정하도록 강제합니다.

• 격리됨: 디바이스 운영 체제에서 준수를 적용하도록 요구하지 않습니다. 예를 들어, Android 및 Android 엔터프라이즈 디바이스는 사용자에게 디바이스를 암호화하도록 강제하지 않습니다. 디바이스가 규정을 준수하지 않으면 다음 작업이 수행됩니다.

  • 조건부 액세스 정책이 사용자에게 적용될 경우 디바이스가 차단됩니다.
  • 회사 포털 앱은 모든 준수 문제에 대해 사용자에게 알립니다.

---

정책 설정	플랫폼
허용되는 배포판	Linux(전용) - 격리됨
디바이스 암호화	- Android 4.0 이상: 격리됨 - Samsung Knox Standard 4.0 이상: 격리됨 - Android Enterprise: 격리됨 - iOS 8.0 이상: 수정됨(PIN 설정) - macOS 10.11 이상: 격리됨 - Linux: 격리됨 - Windows 10/11: 격리됨
전자 메일 프로필	- Android 4.0 이상: 해당 없음 - Samsung Knox Standard 4.0 이상: 해당 없음 - Android Enterprise: 해당 없음 - iOS 8.0 이상: 격리됨 - macOS 10.11 이상: 격리됨 - Linux: 해당 없음 - Windows 10/11: 해당 없음
무단 해제 또는 루팅된 디바이스	- Android 4.0 이상: 격리됨(설정 아님) - Samsung Knox Standard 4.0 이상: 격리됨(설정 아님) - Android Enterprise: 격리됨(설정 아님) - iOS 8.0 이상: 격리됨(설정 아님) - macOS 10.11 이상: 해당 없음 - Linux: 해당 없음 - Windows 10/11: 해당 없음
최대 OS 버전	- Android 4.0 이상: 격리됨 - Samsung Knox Standard 4.0 이상: 격리됨 - Android Enterprise: 격리됨 - iOS 8.0 이상: 격리됨 - macOS 10.11 이상: 격리됨 - Linux: 허용된 배포판을 참조하세요. - Windows 10/11: 격리됨
최소 OS 버전	- Android 4.0 이상: 격리됨 - Samsung Knox Standard 4.0 이상: 격리됨 - Android Enterprise: 격리됨 - iOS 8.0 이상: 격리됨 - macOS 10.11 이상: 격리됨 - Linux: 허용된 배포판을 참조하세요. - Windows 10/11: 격리됨
PIN 또는 암호 구성	- Android 4.0 이상: 격리됨 - Samsung Knox Standard 4.0 이상: 격리됨 - Android Enterprise: 격리됨 - iOS 8.0 이상: 수정됨 - macOS 10.11 이상: 수정됨 - Linux: 격리됨 - Windows 10/11: 수정됨
Windows 상태 증명	- Android 4.0 이상: 해당 없음 - Samsung Knox Standard 4.0 이상: 해당 없음 - Android Enterprise: 해당 없음 - iOS 8.0 이상: 해당 없음 - macOS 10.11 이상: 해당 없음 - Linux: 해당 없음 - Windows 10/11: 격리됨

참고

회사 포털 앱은 사용자가 앱에 로그인하고 디바이스가 30일 이상 Intune에서 성공적으로 체크 인되지 않은 경우 등록 수정 흐름에 들어갑니다(또는 분실한 연락처 규정 준수 이유로 인해 디바이스가 비준수임). 이 흐름에서는 한 번 더 체크 인을 시작하려고 합니다. 그래도 성공하지 못하면 사용자가 수동으로 디바이스를 다시 등록할 수 있도록 사용 중지 명령을 실행합니다.

---

다음 단계

• 정책 만들기 및 배포 및 필수 조건 검토
• 장치 규정 준수 모니터링
• Microsoft Intune의 디바이스 정책 및 프로필을 통한 일반적인 질문, 이슈 및 해결 방법
• 정책 엔터티에 대한 참조에는 Intune Data Warehouse 정책 엔터티에 대한 정보가 있습니다.