보안 기준을 사용하여 Microsoft Intune 사용하여 관리하는 Windows 디바이스를 보호합니다.

Microsoft Intune 보안 기준을 사용하면 Windows 보안 기준을 위해 관리되는 Windows 디바이스에 권장 보안 태세를 신속하게 배포하여 사용자 및 디바이스를 보호하고 보호할 수 있습니다.

Windows 및 Windows Server는 즉시 사용 가능한 보안을 위해 설계되었지만 많은 조직에서는 여전히 보안 구성에 대한 보다 세부적인 제어를 원합니다. 많은 제어 기능을 탐색하기 위해 조직에서는 다양한 보안 기능 구성에 대한 지침을 찾는 경우가 많습니다. Microsoft는 보안 기준의 형태로 이 지침을 제공합니다.

이 기능은 다음에 적용됩니다.

• Windows 10 버전 1809 이상​
• Windows 11

Intune 보안 기준 개요

각 보안 기준은 관련 보안 팀이 권장하는 세분화된 보안 설정을 적용하고 적용하는 데 도움이 되는 미리 구성된 Windows 설정 그룹입니다. 배포하는 각 기준을 사용자 지정하여 필요한 설정과 값만 적용할 수도 있습니다. Intune에서 보안 기준 프로필을 만들 때 여러 디바이스 구성 프로필로 구성된 템플릿을 만듭니다.

각 기준의 설정은 다양한 Intune 정책에 있는 것과 같은 디바이스 구성 설정입니다. 기준의 각 설정은 관리되는 Windows 디바이스에 있는 관련 제품에 대한 구성 서비스 공급자와 함께 작동합니다.

보안 기준을 배포해야 하는 이유와 시기에 대해 자세히 알아보려면 Windows 보안 문서에서 Windows 보안 기준을 참조하세요.

Intune 사용자 또는 디바이스 그룹에 보안 기준을 배포하고 설정은 Windows 10 또는 11을 실행하는 디바이스에 적용됩니다. 예를 들어 Windows 10 이상에 대한 보안 기준의 기본 구성은 이동식 드라이브에 대해 BitLocker를 자동으로 사용하도록 설정하고, 디바이스 잠금을 해제하는 데 암호가 자동으로 필요하고, 기본 인증을 자동으로 사용하지 않도록 설정하는 등의 작업을 수행합니다. 기본값이 환경에 맞지 않으면 기준을 사용자 지정하여 필요한 설정을 적용합니다.

참고

2023년 5월에 Intune 각 새 기준 릴리스 또는 버전 업데이트에 대한 새로운 보안 기준 형식의 출시를 시작했습니다. 새 형식은 기준 설정을 업데이트하여 기준 설정이 관리하는 CSP(구성 서비스 공급자)에서 이름과 구성 옵션을 직접 가져옵니다.

또한 Intune 기존 보안 기준 프로필을 최신 기준 버전으로 마이그레이션하는 데 도움이 되는 새로운 프로세스를 도입했습니다. 이 새로운 동작은 이전 프로필의 최신 버전에서 2023년 5월 이상에서 사용할 수 있게 된 최신 버전으로 이동할 때 일반적인 업데이트 동작을 대체하는 일회성 프로세스입니다.

기준 사용의 이점:
보안 기준을 사용하면 Microsoft 365로 작업할 때 엔드투엔드 보안 워크플로를 제공할 수 있습니다. 몇 가지 이점은 다음과 같습니다.

• 기본적으로 각 보안 기준은 보안에 영향을 주는 설정에 대한 모범 사례 및 권장 사항을 충족하도록 구성됩니다. Intune은 그룹 정책 보안 기준선을 만드는 동일한 Windows 보안 팀과 협력하고 있습니다. 이러한 권장 사항은 지침 및 광범위한 경험을 토대로 작성된 것입니다.
• Intune 익숙하지 않고 어디서 시작해야 할지 잘 모르는 경우 보안 기준을 통해 이점을 얻을 수 있습니다. 조직의 리소스와 데이터를 보호하는 데 도움이 된다는 것을 알고 있으면 보안 프로필을 빠르게 만들고 배포할 수 있습니다.
• 현재 그룹 정책을 사용하는 경우 이러한 기준을 사용하여 관리를 위해 Intune 마이그레이션하는 것이 더 쉽습니다. 이러한 기준은 기본적으로 Intune 기본 제공되며 최신 관리 환경을 포함합니다.

여러 기준선의 기본 설정:
Windows용 MDM 보안 기준 및 Microsoft Defender 기준과 같은 별도의 기준 유형에는 동일한 설정이 포함될 수 있으며 이러한 설정에 대해 다른 기본값을 사용할 수 있습니다. Intune 어떤 구성이 가장 적합한지, 어떤 환경이나 시나리오에서 다른 기준선에 대해 기본 권장 사항을 사용할지 결정할 수 없습니다.

• 사용하는 기준의 기본값을 이해하고 조직의 요구에 맞게 각 기준을 수정하는 것이 중요합니다.
• 기본적으로 각 기준은 적용되는 제품과 관련된 권장 사항을 사용하여 미리 구성됩니다.
• 경우에 따라 Microsoft Defender 권장하는 구성이 Windows에서 권장하는 경우 유사한 설정에 대한 기본 구성이 아닐 수 있습니다. 이러한 상황에서는 구성 서비스 공급자 세부 정보 및 두 제품의 더 큰 scope 기반으로 의도를 이해할 수 있도록 각 설정을 검토하는 것이 중요합니다.

거의 모든 시나리오에서 보안 기준의 기본 설정은 가장 제한적입니다. 이러한 설정이 사용자 환경의 다른 정책 설정 또는 기능과 충돌하지 않는지 확인해야 합니다.

예를 들어 방화벽 구성에 대한 기본 설정은 연결 보안 규칙 및 로컬 정책 규칙을 MDM 규칙과 병합하지 않을 수 있습니다. 따라서 배달 최적화를 사용하는 경우 보안 기준을 할당하기 전에 이러한 구성의 유효성을 검사해야 합니다.

참고

보안 기준의 미리 보기 버전을 프로덕션 환경에서 사용하지 않는 것이 좋습니다. 미리 보기 기준의 설정은 미리 보기 과정에서 변경될 수 있습니다.

사용 가능한 보안 기준

다음 보안 기준 인스턴스는 Intune에서 사용할 수 있습니다. 링크를 사용하여 각 기준의 최근 인스턴스에 대한 설정을 볼 수 있습니다.

• Windows 10 이상에 대한 보안 기준:
  • 버전 23H2
  • 2021년 11월
  • 2020년 12월
  • 2020년 8월

• 엔드포인트용 Microsoft Defender 기준:
  (이 기준을 사용하려면 환경이 엔드포인트용 Microsoft Defender 사용을 위한 필수 구성 요소를 충족해야 합니다.)

  • 버전 6
  • 버전 5
  • 버전 4
  • 버전 3

  참고

  엔드포인트용 Microsoft Defender 보안 기준은 물리적 디바이스에 최적화되었으며, 현재 VM(가상 머신) 또는 VDI 엔드포인트에서는 사용하지 않는 것이 좋습니다. 특정 기준 설정은 가상화된 환경의 원격 대화형 세션에 영향을 줄 수 있습니다. 자세한 내용은 Windows 설명서의 엔드포인트용 Microsoft Defender 보안 기준 준수 개선을 참조하세요.

• 엔터프라이즈용 Microsoft 365 앱:

  • 버전 2306(Office 기준)2023년 11월에 릴리스됨
  • 2023년 5월(Office 기준)

• Microsoft Edge 기준:

  • Microsoft Edge 버전 117 - 2023년 11월
  • Microsoft Edge 버전 112 이상 - 2023년 5월
  • Microsoft Edge 버전 85 이상 - 2020년 9월
  • Microsoft Edge 버전 80 이상 - 2020년 4월
  • 미리 보기: Microsoft Edge 버전 77 이상 - 2019년 10월

• Windows 365 보안 기준:

  • 2021년 10월

프로필의 새 버전을 사용할 수 있게 되면 이전 버전을 기반으로 하는 프로필의 설정이 읽기 전용이 됩니다. 이러한 이전 프로필을 계속 사용할 수 있습니다. 프로필 이름, 설명 및 할당을 편집할 수도 있지만 설정 구성 변경은 지원하지 않으며 이전 버전에 따라 새 프로필을 만들 수 없습니다.

최신 기준 버전을 사용할 준비가 되면 새 프로필을 만들거나 기존 프로필을 새 버전으로 업데이트할 수 있습니다. 보안 기준 프로필 관리 문서에서 프로필에 대한 기준 버전 변경을 참조하세요.

기준 버전 및 인스턴스 정보

기준의 새 버전 인스턴스 각각에서는 설정을 추가 또는 제거하거나 다른 변경 내용을 도입할 수 있습니다. 예를 들어 새 Windows 설정을 새 버전의 Windows 10/11에서 사용할 수 있게 되면 Windows 10 이상용 보안 기준은 최신 설정을 포함하는 새 버전 instance 받을 수 있습니다.

엔드포인트 보안> 보안 기준 아래의 Microsoft Intune 관리 센터에서 사용 가능한 기준 목록을 볼 수있습니다. 목록에는 다음이 포함됩니다.

• 각 보안 기준 템플릿의 이름입니다.
• 해당 유형의 기준을 사용하는 프로필의 수입니다.
• 사용할 수 있는 기준 유형의 개별 인스턴스(버전) 수.
• 기준 템플릿 최신 버전을 사용할 수 있게 된 ‘마지막 게시’ 날짜.

사용하는 기준 버전에 대한 자세한 내용을 보려면 Windows 10 이상에 대한 보안 기준과 같은 기준 유형을 선택하여 프로필 창을 연 다음 버전을 선택합니다. Intune에는 프로필에서 사용 중인 해당 기준의 버전에 대한 세부 정보가 표시됩니다. 세부 정보에는 최신 및 현재 기준 버전이 포함됩니다. 단일 버전을 선택하여 해당 버전을 사용하는 프로필에 대해 자세히 확인할 수 있습니다.

지정된 프로필에서 사용 중인 기준의 버전을 변경하도록 선택할 수 있습니다. 버전을 변경할 때 새 기준 프로필을 만들지 않아도 업데이트된 버전을 활용할 수 있습니다. 대신 기준 프로필을 선택한 다음 기본 제공 옵션을 사용하여 프로필의 인스턴스 버전을 새 버전으로 변경하면 됩니다.

충돌 방지

Intune 환경에서 사용 가능한 기준을 하나 이상 동시에 사용할 수 있습니다. 또한 여러 사용자 지정을 포함하는 동일한 보안 기준의 여러 인스턴스를 사용할 수도 있습니다.

여러 보안 기준을 사용하는 경우 각각의 설정을 검토하여 여러 기준 구성이 동일한 설정에 대해 충돌하는 값을 도입할 때를 확인합니다. 다른 용도를 위해 설계된 보안 기준을 배포하고 사용자 지정된 설정이 포함된 동일한 기준의 여러 인스턴스를 배포할 수 있으므로 디바이스에 구성 충돌을 일으킬 수 있고, 이는 반드시 조사하여 해결해야 합니다.

또한 보안 기준은 디바이스 구성 프로필 또는 다른 정책 유형으로 설정하는 것과 동일한 설정을 관리하는 경우가 많습니다. 따라서 충돌을 방지하거나 resolve 때 설정에 대한 다른 정책 및 프로필을 인식하고 고려합니다.

충돌을 식별하고 resolve 데 도움이 되는 정보는 다음을 참조하세요.

• Intune에서 정책 및 프로필 문제 해결
• 보안 기준 모니터링

Q & A

이러한 설정은 왜 필요한가요?

Microsoft 보안 팀은 지난 수년 동안 Windows 개발자 및 보안 커뮤니티와 직접 협력하여 이러한 권장 사항을 작성했습니다. 이 기준선의 설정은 가장 관련성 높은 보안 관련 구성 옵션으로 간주됩니다. 새로운 Windows 빌드마다 팀은 새로 릴리스된 기능을 기반으로 해당 권장 사항을 조정합니다.

그룹 정책과 Intune에 대한 Windows 보안 기준 권장 사항이 다른가요?

동일한 Microsoft 보안팀이 각 기준선에 대한 설정을 선택하고 구성했습니다. Intune은 Intune 보안 기준선의 모든 관련 설정을 포함합니다. 그룹 정책 기준선에는 온-프레미스 도메인 컨트롤러에만 적용되는 몇 가지 설정이 있습니다. 이러한 설정은 Intune의 권장 사항에서 제외됩니다. 다른 모든 설정은 동일합니다.

Intune 보안 기준이 CIS 또는 NIST를 준수하나요?

엄밀히 말하면, 그렇지 않습니다. Microsoft 보안팀은 해당 권장 사항을 작성하기 위해 CIS와 같은 조직과 논의합니다. 그러나 "CIS 규격"과 Microsoft 기준 사이에는 일대일 매핑이 없습니다.

Microsoft의 보안 기준에는 어떤 인증이 있나요?

Microsoft는 수년 동안 그랬듯이 GPO(그룹 정책) 및 Security Compliance Toolkit에 대한 보안 기준을 지속적으로 게시하고 있습니다. 이러한 기준은 대부분의 조직에서 사용됩니다. 이러한 기준의 권장 사항은 Microsoft 보안 팀이 DoD(미국국방부), NIST(미국 국립표준기술원) 등을 비롯한 기업 고객 및 외부 기관과 협력한 결과입니다. Microsoft는 당사의 권장 사항과 기준을 이러한 조직과 공유합니다. 이러한 조직은 Microsoft의 권장 사항을 충실하게 반영하는 자체적인 권장 사항도 보유하고 있습니다. MDM(모바일 디바이스 관리)이 클라우드 환경으로 지속적으로 성장함에 따라 Microsoft는 이러한 그룹 정책 기준선에 대한 동일한 MDM 권장 사항을 작성했습니다. 이러한 기준의 대부분은 Microsoft Intune 기본 제공되며 기준을 따르거나 따르지 않는 사용자, 그룹 및 디바이스에 대한 규정 준수 보고서를 포함합니다.

많은 고객이 Intune 기준 권장 사항을 시작점으로 사용한 다음 IT 및 보안 요구 사항에 맞게 사용자 지정합니다. Microsoft의 Windows 10 이상 기준 템플릿이 릴리스된 첫 번째 기준입니다. 이 기준은 고객이 CIS, NIST 및 기타 표준을 기반으로 하고 궁극적으로는 다른 보안 기준을 가져올 수 있도록 해주는 범용 인프라로 작성되었습니다.

Microsoft Intune Microsoft Entra ID 사용하여 온-프레미스 Active Directory 그룹 정책에서 순수 클라우드 솔루션으로 마이그레이션하는 것은 여정입니다. 이를 위해 온-프레미스 GPO 구성을 대체할 수 있는 보안 기준에서 클라우드 기반 옵션을 식별하는 데 도움이 되는 Security Compliance Toolkit의 다양한 도구를 사용할 수 있습니다.

보안 기준에서 사용할 수 있는 설정을 사용하거나 구성하는 방법에 대한 세부 정보는 어디에서 찾을 수 있나요?

각 보안 기준은 디바이스의 구성 서비스 공급자에 있는 옵션을 적용하여 디바이스 구성을 관리합니다. 예를 들어 Microsoft Defender 적용되는 설정은 Microsoft Defender CSP에서 가져옵니다. Intune 이러한 옵션에 대한 구성 수단이며 해당 기능이나 scope 결정하지 않으므로 CSP 설명서에는 각 옵션을 구성하는 방법에 대한 콘텐츠가 있습니다.

Intune 보안 기준 정책 UI 내에서 Intune 원본 CSP에서 가져온 정보 텍스트를 제공하고 해당 CSP에 대한 링크를 제공합니다. 경우에 따라 CSP는 콘텐츠에 포함하거나 복제할 Intune scope 이상으로 유지되는 사전 지침을 포함하는 더 큰 콘텐츠 집합의 일부일 수 있습니다. 그러나 Intune 각 보안 기준 버전 및 기본 구성의 설정 목록을 문서화합니다.

다음 단계

• 보안 기준 프로필 만들기

• 상태를 확인하고 기준 및 프로필을 모니터링합니다.

• 사용할 수 있는 기준의 최신 버전에서 설정을 확인합니다.

  • Windows 10 이상 - MDM 보안 기준
  • 엔드포인트용 Microsoft Defender 기준
  • 엔터프라이즈 보안 기준(Office)에 대한 Microsoft 365 앱
  • Microsoft Edge 보안 기준
  • Windows 365 보안 기준