엔드포인트용 Microsoft Defender

  • 아티클

적용 대상: Configuration Manager(현재 분기)

Endpoint Protection은 엔드포인트용 Microsoft Defender 관리하고 모니터링하는 데 도움이 될 수 있습니다. 엔드포인트용 Microsoft Defender 기업이 네트워크에서 고급 공격을 탐지, 조사 및 대응하는 데 도움이 됩니다. Configuration Manager 정책은 Windows 10 이상의 클라이언트를 온보딩하고 모니터링하는 데 도움이 될 수 있습니다.

엔드포인트용 Microsoft Defender 클라우드 기반 포털은 Microsoft Defender 보안 센터. 클라이언트 온보딩 구성 파일을 추가하고 배포하면 Configuration Manager 배포 상태 모니터링하고 에이전트 상태를 엔드포인트용 Microsoft Defender 수 있습니다. 엔드포인트용 Microsoft Defender Configuration Manager 클라이언트를 실행하거나 Microsoft Intune 관리되는 PC에서 지원됩니다.

필수 구성 요소

  • 엔드포인트용 Microsoft Defender 구독
  • Configuration Manager 클라이언트를 실행하는 클라이언트 컴퓨터
  • 아래 지원되는 클라이언트 운영 체제 섹션에 나열된 OS를 사용하는 클라이언트.
  • 관리 사용자 계정에 는 Endpoint Protection Manager 보안 역할이 필요합니다.

지원되는 클라이언트 운영 체제

Configuration Manager 사용하여 다음 운영 체제를 온보딩할 수 있습니다.

  • Windows 11
  • Windows 10, 버전 1709 이상
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server SAC(Semi-Annual 채널), 버전 1803 이상
  • Windows Server 2016
  • Windows Server 2012 R2

중요

제품 수명 주기가 종료된 운영 체제는 ESU 프로그램(확장 보안 업데이트)에 등록되지 않은 한 일반적으로 온보딩에 지원되지 않습니다. 엔드포인트용 Microsoft Defender 지원되는 운영 체제 및 기능에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 대한 최소 요구 사항을 참조하세요.

Configuration Manager 2207 이상 버전으로 엔드포인트용 Microsoft Defender 온보딩에 대한 지침

Configuration Manager 사용하여 엔드포인트용 Microsoft Defender 디바이스에 대한 온보딩 정보를 업데이트하는 지침

Configuration Manager 2207 이상 버전으로 엔드포인트용 Microsoft Defender 온보딩

운영 체제별로 엔드포인트용 Microsoft Defender 온보딩에 대한 요구 사항이 다릅니다. Windows Server 버전 1803과 같은 고급 디바이스에는 온보딩 구성 파일이 필요합니다. 현재 분기 2207부터 하위 수준 서버 운영 체제 디바이스의 경우 클라이언트 설정에서 엔드포인트용 Microsoft Defender(MDE) 클라이언트(권장) 또는 MMA(Microsoft Monitoring Agent)(레거시) 중에서 선택할 수 있습니다. Windows 8.1 디바이스의 경우 클라이언트 설정에서 MMA(Microsoft Monitoring Agent)(레거시)를 사용해야 합니다.

Endpoint Protection에 대한 클라이언트 설정의 스크린샷

MMA를 사용하도록 선택하는 경우 온보딩하려면 작업 영역 키작업 영역 ID 가 필요합니다. Configuration Manager 온보딩된 디바이스에서 필요한 경우 MMA(Microsoft Monitoring Agent)도 설치하지만 에이전트는 자동으로 업데이트되지 않습니다.

고급 운영 체제는 다음과 같습니다.

  • Windows 10 버전 1607 이상
  • Windows 11
  • Windows Server Semi-Annual 채널(SAC), 버전 1803 이상
  • Windows Server 2019
  • Windows Server 2022

MDE 클라이언트를 지원하는 하위 수준 운영 체제는 다음과 같습니다.

  • Windows Server 2012 R2
  • Windows Server 2016

MMA 에이전트가 필요한 하위 수준 운영 체제:

  • Windows 8.1

참고

현재 Windows Server 2012 R2 & 2016용 최신 통합 엔드포인트용 Microsoft Defender 일반 공급됩니다. 업데이트 롤업이 포함된 Configuration Manager 버전 2107은 테넌트 연결을 사용하여 Microsoft Intune 관리 센터에서 만든 정책을 포함하여 Endpoint Protection 정책을 사용하는 구성을 지원합니다. Configuration Manager 버전 2207은 이제 클라이언트 설정을 통해 사용하도록 선택하는 경우 MDE 클라이언트의 자동 배포를 지원합니다. 지원되는 이전 버전은 서버 마이그레이션 시나리오를 참조하세요.

Configuration Manager 사용하여 엔드포인트용 Microsoft Defender 디바이스를 온보딩하는 경우 대상 컬렉션 또는 여러 컬렉션에 Defender 정책을 배포합니다. 경우에 따라 대상 컬렉션에는 지원되는 운영 체제를 실행하는 디바이스가 포함되어 있습니다. 이러한 디바이스를 온보딩하기 위한 지침은 상위 수준인 운영 체제와 MDE Client를 지원하는 디바이스가 포함된 컬렉션을 대상으로 하는 경우 또는 컬렉션에 MMA가 필요한 하위 수준 클라이언트도 포함되어 있는지 여부에 따라 달라집니다.

경고

대상 컬렉션에 MMA가 필요한 하위 수준 디바이스가 포함되어 있고 MDE Client를 사용하여 온보딩에 대한 지침을 사용하는 경우 하위 수준 디바이스는 온보딩되지 않습니다. 선택적 작업 영역 키작업 영역 ID 필드는 MMA가 필요한 하위 수준 디바이스를 온보딩하는 데 사용되지만 포함되지 않으면 MMA가 필요한 하위 수준 클라이언트에서 정책이 실패합니다.

MDE Client를 사용하여 디바이스를 엔드포인트용 Microsoft Defender 온보딩(권장)

엔드포인트용 Microsoft Defender 온보딩하려면 고급 클라이언트에 온보딩 구성 파일이 필요합니다. 고급 운영 체제는 다음과 같습니다.

  • Windows 11
  • Windows 10 버전 1607 이상
  • Windows Server Semi-Annual 채널(SAC), 버전 1803 이상
  • Windows Server 2019
  • Windows Server 2022

MDE 클라이언트를 지원하는 하위 수준 운영 체제는 다음과 같습니다.

  • Windows Server 2012 R2
  • Windows Server 2016

필수 구성 요소

Windows Server 2012 R2의 필수 구성 요소

최신 월별 롤업 패키지로 컴퓨터를 완전히 업데이트한 경우 추가 필수 구성 요소가 없습니다 .

업데이트를 통해 다음 구성 요소가 이미 설치된 경우 설치 관리자 패키지가 검사.

Windows Server 2016 필수 구성 요소
  • 2021년 9월 14일 이상부터 SSU(서비스 스택 업데이트)를 설치해야 합니다.
  • 2018년 9월 20일 이후의 최신 LCU(누적 업데이트)를 설치해야 합니다. 서버에 사용 가능한 최신 SSU 및 LCU를 설치하는 것이 좋습니다. - Microsoft Defender 바이러스 백신 기능을 활성화/설치하고 최신 상태로 설정해야 합니다. Windows 업데이트 사용하여 최신 플랫폼 버전을 다운로드하고 설치할 수 있습니다. 또는 Microsoft 업데이트 카탈로그 또는 MMPC에서 수동으로 업데이트 패키지를 다운로드합니다.

고급 디바이스에 대한 온보딩 구성 파일 가져오기

  1. Microsoft Defender 보안 센터 이동하여 로그인합니다.
  2. 설정을 선택한 다음 엔드포인트 제목 아래에서 온보딩을 선택합니다.
  3. 운영 체제의 경우 Windows 10 및 11을 선택합니다.
  4. 배포 방법에 대한 Microsoft 엔드포인트 Configuration Manager 현재 분기 이상을 선택합니다.
  5. 패키지 다운로드를 선택합니다.
  6. 압축된 보관 파일(.zip) 파일을 다운로드하고 콘텐츠를 추출합니다.

    참고

    이 단계에서는 Windows 10 및 11용 온보딩 파일을 다운로드하지만 이 파일은 고급 서버 운영 체제에도 사용됩니다.

중요

  • 엔드포인트용 Microsoft Defender 구성 파일에는 보안을 유지해야 하는 중요한 정보가 포함되어 있습니다.
  • 대상 컬렉션에 MMA가 필요한 하위 수준 디바이스가 포함되어 있고 MDE Client를 사용하여 온보딩에 대한 지침을 사용하는 경우 하위 수준 디바이스는 온보딩되지 않습니다. 선택적 작업 영역 키작업 영역 ID 필드는 하위 수준 디바이스를 온보딩하는 데 사용되지만, 디바이스가 포함되지 않으면 하위 수준 클라이언트에서 정책이 실패합니다.

상위 수준 디바이스 온보딩

  1. Configuration Manager 콘솔에서 관리>클라이언트 설정으로 이동합니다.
  2. 사용자 지정 클라이언트 디바이스 설정을 Create 또는 필요한 클라이언트 설정의 속성으로 이동하여 Endpoint Protection을 선택합니다.
  3. Windows Server 2012 R2 및 Windows Server 2016 설정의 엔드포인트용 Microsoft Defender 클라이언트의 경우 기본값은 MDE 클라이언트(권장)로 변경해야 하는 Microsoft Monitoring Agent(레거시)로 설정됩니다. 하위 수준 서버 운영 체제 디바이스에 대한 다양한 옵션을 보여 주는 Endpoint Protection용 클라이언트 설정의 스크린샷
  4. Configuration Manager 콘솔에서 자산 및 규정 준수>엔드포인트 보호>Microsoft Defender ATP 정책으로 이동하고 CREATE MICROSOFT DEFENDER ATP 정책을 선택합니다. 정책 마법사가 열립니다.
  5. 엔드포인트용 Microsoft Defender 정책의 이름설명을 입력하고 온보딩을 선택합니다.
  6. 다운로드한 .zip 파일에서 추출한 구성 파일로 이동합니다.
  7. 분석을 위해 관리되는 디바이스에서 수집 및 공유되는 파일 샘플을 지정합니다.
    • 없음
    • 모든 파일 형식
  8. 요약을 검토하고 마법사를 완료합니다.
  9. 만든 정책을 마우스 오른쪽 단추로 클릭한 다음 배포를 선택하여 클라이언트에 엔드포인트용 Microsoft Defender 정책을 대상으로 지정합니다.

MDE Client 및 MMA를 사용하여 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender

Configuration Manager 구성 파일, 작업 영역 키작업 영역 ID를 제공하여 지원되는 운영 체제를 실행하는 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender 수 있습니다.

구성 파일, 작업 영역 ID 및 작업 영역 키 가져오기

  1. 엔드포인트용 Microsoft Defender 온라인 서비스로 이동하여 로그인합니다.

  2. 설정을 선택한 다음 엔드포인트 제목 아래에서 온보딩을 선택합니다.

  3. 운영 체제의 경우 Windows 10 및 11을 선택합니다.

  4. 배포 방법에 대한 Microsoft 엔드포인트 Configuration Manager 현재 분기 이상을 선택합니다.

  5. 패키지 다운로드를 선택합니다.

    구성 파일 다운로드 온보딩 스크린샷

  6. 압축된 보관 파일(.zip) 파일을 다운로드하고 콘텐츠를 추출합니다.

  7. 설정을 선택한 다음 디바이스 관리 제목 아래에서 온보딩을 선택합니다.

  8. 운영 체제의 경우 목록에서 Windows 7 SP1 및 8.1 또는 Windows Server 2008 R2 Sp1, 2012 R2 및 2016 을 선택합니다.

    • 작업 영역 키작업 영역 ID는 선택한 옵션에 관계없이 동일합니다.

  9. 연결 구성 섹션에서 작업 영역 키작업 영역 ID에 대한 값을 복사합니다.

    중요

    엔드포인트용 Microsoft Defender 구성 파일에는 보안을 유지해야 하는 중요한 정보가 포함되어 있습니다.

디바이스 온보딩

  1. Configuration Manager 콘솔에서 관리>클라이언트 설정으로 이동합니다.

  2. 사용자 지정 클라이언트 디바이스 설정을 Create 또는 필요한 클라이언트 설정의 속성으로 이동하여 Endpoint Protection을 선택합니다.

  3. Windows Server 2012 R2 및 Windows Server 2016 설정의 엔드포인트용 Microsoft Defender 클라이언트의 경우 값이 Microsoft Monitoring Agent(레거시)로 설정되어 있는지 확인합니다.

  4. Configuration Manager 콘솔에서 자산 및 규정 준수>엔드포인트 보호>Microsoft Defender ATP 정책으로 이동합니다.

  5. CREATE MICROSOFT DEFENDER ATP 정책을 선택하여 정책 마법사를 엽니다.

  6. 엔드포인트용 Microsoft Defender 정책의 이름설명을 입력하고 온보딩을 선택합니다.

  7. 다운로드한 .zip 파일에서 추출한 구성 파일로 이동합니다.

  8. 작업 영역 키작업 영역 ID를 제공한 다음, 다음을 선택합니다.

    • 작업 영역 키작업 영역 ID가 올바른 필드에 있는지 확인합니다. 콘솔의 주문은 엔드포인트용 Microsoft Defender 온라인 서비스의 순서와 다를 수 있습니다. 엔드포인트용 Microsoft Defender 정책 구성 마법사의 스크린샷

  9. 분석을 위해 관리되는 디바이스에서 수집 및 공유되는 파일 샘플을 지정합니다.

    • 없음
    • 모든 파일 형식

  10. 요약을 검토하고 마법사를 완료합니다.

  11. 만든 정책을 마우스 오른쪽 단추로 클릭한 다음 배포를 선택하여 클라이언트에 엔드포인트용 Microsoft Defender 정책을 대상으로 지정합니다.

모니터링

  1. Configuration Manager 콘솔에서 모니터링보안으로 이동한 다음, MICROSOFT DEFENDER ATP> 선택합니다.

  2. 엔드포인트용 Microsoft Defender dashboard 검토합니다.

    • Microsoft Defender ATP 에이전트 온보딩 상태: 활성 엔드포인트용 Microsoft Defender 정책이 온보딩된 적격 관리형 클라이언트 컴퓨터의 수 및 백분율

    • Microsoft Defender ATP 에이전트 상태: 엔드포인트용 Microsoft Defender 에이전트에 대한 상태 보고하는 컴퓨터 클라이언트의 비율

      • 정상 - 제대로 작동

      • 비활성 - 기간 동안 서비스로 전송된 데이터가 없음

      • 에이전트 상태 - Windows의 에이전트에 대한 시스템 서비스가 실행되고 있지 않습니다.

      • 온보딩되지 않음 - 정책이 적용되었지만 에이전트가 정책 온보딩을 보고하지 않았습니다.

오프보딩 구성 파일 Create

  1. Microsoft Defender 보안 센터 로그인합니다.

  2. 설정을 선택한 다음 엔드포인트 제목 아래에서 오프보딩을 선택합니다.

  3. 배포 방법에 대해 운영 체제 및 Microsoft 엔드포인트 Configuration Manager 현재 분기 이상에서 Windows 10 및11을 선택합니다.

    • Windows 10 및 11 옵션을 사용하면 컬렉션의 모든 디바이스가 보드 해제되고 필요할 때 MMA가 제거됩니다.

  4. 압축된 보관 파일(.zip) 파일을 다운로드하고 콘텐츠를 추출합니다. 오프보딩 파일은 30일 동안 유효합니다.

  5. Configuration Manager 콘솔에서 자산 및 규정 준수>엔드포인트 보호>Microsoft Defender ATP 정책으로 이동하고 CREATE MICROSOFT DEFENDER ATP 정책을 선택합니다. 정책 마법사가 열립니다.

  6. 엔드포인트용 Microsoft Defender 정책의 이름설명을 입력하고 오프보딩을 선택합니다.

  7. 다운로드한 .zip 파일에서 추출한 구성 파일로 이동합니다.

  8. 요약을 검토하고 마법사를 완료합니다.

배포를 선택하여 클라이언트에 엔드포인트용 Microsoft Defender 정책을 대상으로 지정합니다.

중요

엔드포인트용 Microsoft Defender 구성 파일에는 보안을 유지해야 하는 중요한 정보가 포함되어 있습니다.

기존 디바이스에 대한 온보딩 정보 업데이트

조직은 Microsoft Configuration Manager 통해 디바이스의 온보딩 정보를 업데이트해야 할 수 있습니다.

이는 엔드포인트용 Microsoft Defender 온보딩 페이로드의 변경 또는 Microsoft 지원의 지시로 인해 필요할 수 있습니다.

온보딩 정보를 업데이트하면 디바이스가 다음 다시 시작 시 새 온보딩 페이로드를 활용하도록 지시합니다.

이 프로세스는 기존 온보딩 정책을 업데이트하고 모든 기존 디바이스에서 일회성 작업을 실행하여 온보딩 페이로드를 업데이트하는 작업을 손상합니다. 그룹 정책 온보딩 스크립트를 활용하여 이전 페이로드에서 새 페이로드로 디바이스를 한 번 향상합니다.

참고

이 정보는 원래 테넌트에서 디바이스를 완전히 오프보딩하지 않고 반드시 테넌트 간에 디바이스를 이동하는 것은 아닙니다. 엔드포인트용 Microsoft Defender 조직 간에 디바이스를 마이그레이션하는 옵션은 Microsoft 지원 참여하세요.

새 온보딩 페이로드 유효성 검사

  1. 엔드포인트용 Microsoft Defender 포털에서 그룹 정책 온보딩 패키지를 다운로드합니다.

  2. 온보딩 페이로드의 유효성을 검사하기 위한 컬렉션 Create

  3. 온보딩 페이로드를 대상으로 하는 기존 엔드포인트용 Microsoft Defender 컬렉션에서 이 컬렉션을 제외합니다.

  4. 테스트 컬렉션에 그룹 정책 온보딩 스크립트를 배포합니다.

  5. 디바이스가 새 온보딩 페이로드를 활용하고 있는지 확인합니다.

새 온보딩 페이로드로 마이그레이션

  1. 엔드포인트용 Microsoft Defender 포털에서 Microsoft Configuration Manager 온보딩 패키지를 다운로드합니다.

  2. 기존 엔드포인트용 Microsoft Defender 온보딩 정책을 새 온보딩 페이로드로 업데이트합니다.

  3. 새 온보딩 페이로드 유효성 검사에서 엔드포인트용 Microsoft Defender 온보딩 정책에 대한 기존 대상 컬렉션에 스크립트를 배포합니다.

  4. 디바이스가 새 온보딩 페이로드를 활용하고 스크립트에서 페이로드를 성공적으로 사용하고 있는지 확인합니다.

참고

모든 디바이스가 마이그레이션되면 앞으로의 온보딩 정책을 사용하여 사용자 환경에서 스크립트 및 유효성 검사 컬렉션을 제거할 수 있습니다.

다음 단계