로컬 스크립트를 사용하여 Windows 장치 온보딩

엔드포인트용 Defender에 개별 디바이스를 수동으로 온보딩할 수도 있습니다. 네트워크의 모든 디바이스 온보딩을 커밋하기 전에 서비스를 테스트할 때 일부 디바이스를 온보딩하는 것이 좋습니다.

중요

이 문서에 설명된 스크립트는 엔드포인트용 Defender에 디바이스를 수동으로 온보딩하는 데 권장됩니다. 제한된 수의 디바이스에서만 사용해야 합니다(디바이스 10개 이하). 프로덕션 환경에 배포하는 경우 Intune, 그룹 정책 또는 Configuration Manager 같은 다른 배포 옵션을 참조하세요.

엔드포인트용 Defender 아키텍처 및 배포 방법 식별을 확인하여 엔드포인트용 Defender 배포의 다양한 경로를 확인합니다.

참고

Defender 배포 도구(현재 공개 미리 보기)를 사용하여 Windows 및 Linux 디바이스에 Defender 엔드포인트 보안을 배포할 수 있습니다. 이 도구는 배포 프로세스를 간소화하는 간단한 자체 업데이트 애플리케이션입니다. 자세한 내용은 Defender 배포 도구를 사용하여 Windows 디바이스에 Microsoft Defender 엔드포인트 보안 배포(미리 보기) 및 Defender 배포 도구(미리 보기)를 사용하여 Linux 디바이스에 Microsoft Defender 엔드포인트 보안 배포를 참조하세요.

온보딩 장치

팁

시스템>설정에서 엔드포인트를 사용할 수 없는 경우 다음 문제 해결 단계 중 하나 이상을 수행합니다.

• 환경이 초기화되기까지 몇 분 정도 기다립니다.
• 다른 Microsoft Defender XDR 기능(예: 인시던트 또는 헌팅)을 열어 보세요.
• 필요한 역할(적어도 보안 관리자)과 적절한 라이선스가 있는지 확인합니다.

1. 서비스 온보딩 마법사에서 다운로드한 구성 패키지 .zip 파일(WindowsDefenderATPOnboardingPackage.zip)을 엽니다.

   또는 다음 단계를 사용하여 Microsoft Defender 포털에서 온보딩 패키지를 가져올 수 있습니다.

   1. 의 Defender 포털에서 https://security.microsoft.com시스템>설정>엔드포인트>디바이스 관리 섹션 >온보딩으로 이동합니다. 또는 온보딩 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/securitysettings/endpoints/onboarding.
   2. 온보딩 페이지에서 다음 설정을 구성합니다.
      • 페이지 맨 위에서 Windows 10 및 11이 선택되어 있는지 확인합니다.
      • 1. 디바이스 온보딩 섹션:
        • 연결 유형: 다음 값 중 하나를 선택합니다.
          • Standard: 기존의 전체 엔드포인트용 Microsoft Defender 서비스 URL 집합을 사용합니다.
          • 간소화됨: 더 적은 수의 엔드포인트에 연결을 통합하여 방화벽/프록시 구성을 간소화합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 대해 간소화된 연결을 사용하여 디바이스 온보딩을 참조하세요.
        • 배포 방법: 로컬 스크립트(최대 10개 디바이스) 가 선택되어 있는지 확인합니다.
   3. 온보딩 패키지 다운로드를 선택하여 WindowsDefenderATPOnboardingPackage.zip 파일을 다운로드합니다.

2. 찾기 쉬운 위치(예: 데스크톱)에서 디바이스에서 .zip 파일의 내용을 추출합니다. .zip 파일에는 WindowsDefenderATPLocalOnboardingScript.cmd 라는 단일 파일이 포함되어 있습니다.

3. 디바이스에서 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다( 관리자 권한으로 실행을 선택하여 연 명령 프롬프트 창).

   1. 추출된 WindowsDefenderATPLocalOnboardingScript.cmd 파일을 저장한 폴더로 이동합니다. 예를 들어 Desktop 폴더로 이동하려면 다음 명령을 실행합니다.

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. WindowsDefenderATPLocalOnboardingScript.cmd 스크립트를 실행합니다.

      WindowsDefenderATPLocalOnboardingScript.cmd
      

   스크립트가 완료되면 계속하려면 아무 키나 누르기...가 표시됩니다. 아무 키나 눌러 디바이스의 단계를 완료합니다.

디바이스가 규정을 준수하는지 수동으로 유효성을 검사하고 센서 데이터를 올바르게 보고하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 온보딩 문제 해결을 참조하세요.

팁

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 엔드포인트에서 검색 테스트 실행을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에서 레지스트리 설정은 Microsoft Defender XDR 통해 심층 분석을 위해 파일을 제출하도록 요청할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 구성합니다. AllowSampleCollection DWORD에는 다음과 같은 가능한 값이 있습니다.

• 0(00000000): 디바이스에서 샘플 공유가 허용되지 않습니다.
• 1(00000001): 모든 파일 형식의 공유는 디바이스에서 허용됩니다. 레지스트리 키가 없는 경우 이 값은 기본값입니다.

다음 텍스트를 메모장에 복사하고 AllowSampleCollection 값을 설정하고 파일을 .reg 파일로 저장한 다음 디바이스에서 .reg 파일을 실행합니다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection]
"AllowSampleCollection"=dword:00000000

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

로컬 스크립트를 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 7일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지의 만료 날짜에 대한 알림이 표시되고 해당 날짜가 패키지 파일 이름에 포함됩니다.

참고

온보딩 및 오프보딩 정책을 동일한 디바이스에 동시에 배포하지 마세요. 예측할 수 없는 충돌이 발생할 수 있습니다.

1. 다음 단계를 사용하여 Microsoft Defender 포털에서 패키지를 가져옵니다.

   1. 의 Defender 포털에서 https://security.microsoft.com시스템>설정>엔드포인트>디바이스 관리 섹션 >오프보딩으로 이동합니다. 또는 오프보딩 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/securitysettings/endpoints/offboarding.
   2. 온보딩 페이지에서 다음 설정을 구성합니다.
      • 페이지 맨 위에서 Windows 10 및 11이 선택되어 있는지 확인합니다.
      • 배포 방법: 로컬 스크립트(최대 10개 디바이스) 가 선택되어 있는지 확인합니다.
   3. 패키지 다운로드를 선택한 다음 확인 대화 상자에서 다운로드를 선택하여 WindowsDefenderATPOffboardingPackage_valid_until_YYYY-MM-DD.zip 파일을 다운로드합니다.

2. 찾기 쉬운 위치(예: 데스크톱)에서 디바이스에서 .zip 파일의 내용을 추출합니다. .zip 파일에는 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 라는 단일 파일이 포함되어 있습니다.

3. 디바이스에서 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다( 관리자 권한으로 실행을 선택하여 연 명령 프롬프트 창).

   1. 추출된 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 파일을 저장한 폴더로 이동합니다. 예를 들어 Desktop 폴더로 이동하려면 다음 명령을 실행합니다.

      if exist "%OneDrive%\Desktop" (cd /d "%OneDrive%\Desktop") else if exist "%USERPROFILE%\Desktop" cd /d "%USERPROFILE%\Desktop"
      

   2. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 스크립트를 실행합니다.

      WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd
      

중요

디바이스를 오프보딩하면 디바이스가 포털에 센서 데이터 전송을 중지합니다. 경고에 대한 참조를 포함하여 디바이스의 데이터는 최대 6개월 동안 보존됩니다.

디바이스 구성 모니터링

온보딩 문제 해결의 다양한 확인 단계에 따라 스크립트가 성공적으로 완료되고 에이전트가 실행 중인지 확인할 수 있습니다.

모니터링은 포털에서 직접 수행하거나 다른 배포 도구를 사용하여 수행할 수도 있습니다.

포털을 사용하여 디바이스 모니터링

의 Defender 포털에서 https://security.microsoft.com자산>디바이스로 이동합니다. 또는 디바이스 인벤토리 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/machines?category=all-devices.

디바이스 인벤토리 페이지의 모든 디바이스 탭에서 디바이스가 표시되는지 확인합니다.

관련 문서

• 그룹 정책을 사용하여 Windows 장치 온보딩
• Microsoft Endpoint Configuration Manager를 사용하여 Windows 컴퓨터 온보딩
• 모바일 장치 관리 도구를 사용한 Windows 장치 온보딩
• 비영구 VDI(가상 데스크톱 인프라) 장치 온보딩
• 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행
• 엔드포인트용 Microsoft Defender 온보딩 문제 해결