Microsoft Intune을 사용하여 iOS에서 엔드포인트용 Microsoft Defender 배포
적용 대상:
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
이 항목에서는 Microsoft Intune 회사 포털에 등록된 디바이스의 iOS에 엔드포인트용 Defender를 배포하는 방법을 설명합니다. Microsoft Intune 디바이스 등록에 대한 자세한 내용은 Intune에서 iOS/iPadOS 디바이스 등록을 참조하세요.
Microsoft Intune 관리 센터에 액세스할 수 있는지 확인합니다.
사용자에 대해 iOS 등록이 완료되었는지 확인합니다. iOS에서 엔드포인트용 Defender를 사용하려면 엔드포인트용 Defender 라이선스가 할당되어 있어야 합니다. 라이선스를 할당하는 방법에 대한 지침은 사용자에게 라이선스 할당을 참조하세요.
최종 사용자에게 회사 포털 앱이 설치, 로그인 및 등록이 완료되었는지 확인합니다.
참고
iOS의 엔드포인트용 Microsoft Defender는 Apple App Store에서 사용할 수 있습니다.
이 섹션에서는 다음을 다룹니다.
배포 단계 ( 감독 디바이스 와 감독 되지 않은 디바이스 모두에 적용됨) - 관리자는 Microsoft Intune 회사 포털을 통해 iOS에서 엔드포인트용 Defender를 배포할 수 있습니다. VPP(대량 구매) 앱에는 이 단계가 필요하지 않습니다.
전체 배포 (감독된 디바이스에만 해당) - 관리자는 지정된 프로필 중 하나를 배포하도록 선택할 수 있습니다.
- 제로 터치(자동) 컨트롤 필터 - 로컬 루프백 VPN 없이 웹 보호를 제공하고 사용자를 위해 자동 온보딩을 사용하도록 설정합니다. 앱은 사용자가 앱을 열 필요 없이 자동으로 설치되고 활성화됩니다.
- 컨트롤 필터 - 로컬 루프백 VPN 없이 웹 보호를 제공합니다.
자동화된 온보딩 설정 (감독 되지 않은 디바이스에만 해당) - 관리자는 두 가지 방법으로 사용자를 위한 엔드포인트용 Defender 온보딩을 자동화할 수 있습니다.
- 제로 터치(자동) 온보딩 - 사용자가 앱을 열 필요 없이 앱이 자동으로 설치되고 활성화됩니다.
- VPN 자동 온보딩 - 엔드포인트용 Defender VPN 프로필은 사용자가 온보딩하는 동안 수행하지 않고도 자동으로 설정됩니다. 이 단계는 제로 터치 구성에서는 권장되지 않습니다.
사용자 등록 설정 (Intune 사용자 등록 디바이스에만 해당) - 관리자는 Intune 사용자 등록 디바이스에서도 엔드포인트용 Defender 앱을 배포하고 구성할 수 있습니다.
온보딩 및 상태 확인 완료 - 이 단계는 앱이 디바이스에 설치되고, 온보딩이 완료되고, 디바이스가 Microsoft Defender 포털에 표시되는지 확인하기 위해 모든 등록 유형에 적용됩니다. 제로 터치(자동) 온보딩을 위해 건너뛸 수 있습니다.
Microsoft Intune 회사 포털을 통해 iOS에서 엔드포인트용 Defender를 배포합니다.
Microsoft Intune 관리 센터에서앱>iOS/iPadOS>iOS 스토어 앱추가>로 이동하고 선택을 클릭합니다.
앱 추가 페이지에서 앱 스토어 검색을 클릭하고 검색 창에 Microsoft Defender를 입력합니다. 검색 결과 섹션에서 Microsoft Defender 를 클릭하고 선택을 클릭합니다.
iOS 15.0을 최소 운영 체제로 선택합니다. 앱에 대한 나머지 정보를 검토하고 다음을 클릭합니다.
할당 섹션에서 필수 섹션으로 이동하여 그룹 추가를 선택합니다. 그런 다음 iOS 앱에서 엔드포인트용 Defender를 대상으로 지정할 사용자 그룹을 선택할 수 있습니다. 선택을 클릭한 다음 다음을 클릭합니다.
참고
선택한 사용자 그룹은 Microsoft Intune에 등록된 사용자로 구성되어야 합니다.
검토 + 만들기 섹션에서 입력한 모든 정보가 올바른지 확인한 다음 만들기를 선택합니다. 잠시 후에 엔드포인트용 Defender 앱을 성공적으로 만들어야 하며 페이지의 오른쪽 위 모서리에 알림이 표시됩니다.
표시되는 앱 정보 페이지의 모니터 섹션에서 디바이스 설치 상태를 선택하여 디바이스 설치 가 성공적으로 완료되었는지 확인합니다.
iOS 앱의 엔드포인트용 Microsoft Defender는 이러한 유형의 디바이스에서 플랫폼에서 제공하는 향상된 관리 기능을 고려하여 감독되는 iOS/iPadOS 디바이스에 대한 특수한 기능을 갖추고 있습니다. 디바이스에서 로컬 VPN을 설정하지 않고 웹 보호를 제공할 수도 있습니다. 이렇게 하면 피싱 및 기타 웹 기반 공격으로부터 보호되는 동시에 최종 사용자에게 원활한 환경을 제공합니다.
관리자는 다음 단계를 사용하여 감독되는 디바이스를 구성할 수 있습니다.
앱 구성 정책 및 디바이스 구성 프로필을 통해 엔드포인트용 Defender 앱에 대한 감독 모드를 구성합니다.
참고
감독된 디바이스에 대한 이 앱 구성 정책은 관리되는 디바이스에만 적용되며 모든 관리형 iOS 디바이스를 대상으로 하는 것이 좋습니다.
Microsoft Intune 관리 센터에 로그인하고 앱>앱 구성 정책>추가로 이동합니다. 관리되는 디바이스를 선택합니다.
앱 구성 정책 만들기 페이지에서 다음 정보를 제공합니다.
- 정책 이름
- 플랫폼: iOS/iPadOS 선택
- 대상 앱: 목록에서 엔드포인트용 Microsoft Defender 선택
다음 화면에서 구성 디자이너 를 형식으로 사용을 선택합니다. 다음 속성을 지정합니다.
- 구성 키:
issupervised
- 값 형식: 문자열
- 구성 값:
{{issupervised}}
- 구성 키:
다음을 선택하여 범위 태그 페이지를 엽니다. 범위 태그는 선택 사항입니다. 다음을 선택하여 계속합니다.
할당 페이지에서 이 프로필을 받을 그룹을 선택합니다. 이 시나리오의 경우 모든 디바이스를 대상으로 하는 것이 가장 좋습니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.
사용자 그룹에 배포하는 경우 정책이 적용되기 전에 사용자가 디바이스에 로그인해야 합니다.
다음을 클릭합니다.
검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 새 프로필이 구성 프로필 목록에 표시됩니다.
참고
iOS/iPadOS를 실행하는 디바이스의 경우(감독 모드에서) ControlFilter 프로필이라는 사용자 지정 .mobileconfig 프로필이 있습니다. 이 프로필을 사용하면 디바이스에서 로컬 루프백 VPN을 설정하지 않고 웹 보호를 사용할 수 있습니다. 이렇게 하면 피싱 및 기타 웹 기반 공격으로부터 보호되는 동시에 최종 사용자에게 원활한 환경을 제공합니다.
그러나 ControlFilter 프로필은 플랫폼 제한으로 인해 AOVPN(Always-On VPN)에서 작동하지 않습니다.
관리자는 지정된 프로필 중 하나를 배포합니다.
제로 터치(자동) 컨트롤 필터 - 이 프로필을 사용하면 사용자가 자동으로 온보딩할 수 있습니다. ControlFilterZeroTouch에서 구성 프로필 다운로드
컨트롤 필터 - ControlFilter에서 구성 프로필을 다운로드합니다.
프로필이 다운로드되면 사용자 지정 프로필을 배포합니다. 아래 단계를 수행합니다.
디바이스>iOS/iPadOS>구성 프로필프로필 만들기로 > 이동합니다.
프로필 형식>템플릿 및템플릿 이름>사용자 지정을 선택합니다.
프로필의 이름을 입력합니다. 구성 프로필 파일을 가져오라는 메시지가 표시되면 이전 단계에서 다운로드한 파일을 선택합니다.
할당 섹션에서 이 프로필을 적용할 디바이스 그룹을 선택합니다. 이를 모든 관리형 iOS 디바이스에 적용하는 것이 좋습니다. 다음을 선택합니다.
참고
디바이스 그룹 만들기는 엔드포인트용 Defender 플랜 1과 플랜 2 모두에서 지원됩니다.
검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 새 프로필이 구성 프로필 목록에 표시됩니다.
관리자는 제로 터치(자동) 온보딩 또는 VPN 자동 온보딩을 사용하여 두 가지 방법으로 사용자를 위한 Defender 온보딩을 자동화할 수 있습니다.
참고
사용자 선호도(사용자 없는 디바이스 또는 공유 디바이스)없이 등록된 iOS 디바이스에서는 제로 터치를 구성할 수 없습니다.
관리자는 엔드포인트용 Microsoft Defender를 자동으로 배포하고 활성화하도록 구성할 수 있습니다. 이 흐름에서 관리자는 배포 프로필을 만들고 사용자에게 설치 알림을 받습니다. 엔드포인트용 Defender는 사용자가 앱을 열 필요 없이 자동으로 설치됩니다. 아래 단계에 따라 등록된 iOS 디바이스에서 엔드포인트용 Defender의 제로 터치 또는 자동 배포를 설정합니다.
Microsoft Intune 관리 센터에서디바이스>구성 프로필>프로필 만들기로 이동합니다.
플랫폼을 iOS/iPadOS로, 프로필 유형을템플릿으로, 템플릿 이름을VPN으로 선택합니다. 만들기를 선택합니다.
프로필의 이름을 입력하고 다음을 선택합니다.
연결 유형에 대한 사용자 지정 VPN 을 선택하고 기본 VPN 섹션에서 다음을 입력합니다.
- 연결 이름 = 엔드포인트용 Microsoft Defender
- VPN 서버 주소 = 127.0.0.1
- Auth 메서드 = "사용자 이름 및 암호"
- 분할 터널링 = 사용 안 함
- VPN 식별자 = com.microsoft.scmx
- 키-값 쌍에서 key SilentOnboard 를 입력하고 값을 True로 설정합니다.
- 자동 VPN의 유형 = 주문형 VPN
- 주문형 규칙에 대해 추가를 선택하고 다음을 수행하려면 = VPN 연결, 모든 도메인 = 로 제한하려고 합니다.
- 사용자 디바이스에서 VPN을 사용하지 않도록 설정할 수 없도록 위임하기 위해 관리자는 사용자가 자동 VPN을 사용하지 않도록 설정하지 못하도록 차단에서예를 선택할 수 있습니다. 기본적으로 구성되지 않으며 사용자는 설정에서만 VPN을 사용하지 않도록 설정할 수 있습니다.
- 사용자가 앱 내에서 VPN 토글을 변경할 수 있도록 하려면 키-값 쌍에 EnableVPNToggleInApp = TRUE를 추가합니다. 기본적으로 사용자는 앱 내에서 토글을 변경할 수 없습니다.
다음을 선택하고 대상 사용자에게 프로필을 할당합니다.
검토 + 만들기 섹션에서 입력한 모든 정보가 올바른지 확인한 다음 만들기를 선택합니다.
위의 구성이 완료되고 디바이스와 동기화되면 대상 iOS 디바이스에서 다음 작업이 수행됩니다.
- 엔드포인트용 Microsoft Defender가 배포되고 자동으로 온보딩되며 디바이스는 엔드포인트용 Defender 포털에 표시됩니다.
- 임시 알림이 사용자 디바이스로 전송됩니다.
- 웹 보호 및 기타 기능이 활성화됩니다.
참고
- 제로 터치 설정은 백그라운드에서 완료하는 데 최대 5분이 걸릴 수 있습니다.
- 감독되는 디바이스의 경우 관리자는 ZeroTouch 컨트롤 필터 프로필을 사용하여 제로 터치 온보딩을 설정할 수 있습니다. 엔드포인트용 Defender VPN 프로필은 디바이스에 설치되지 않으며 웹 보호는 제어 필터 프로필에서 제공됩니다.
참고
이 단계에서는 VPN 프로필을 설정하여 온보딩 프로세스를 간소화합니다. 제로 터치를 사용하는 경우 이 단계를 수행할 필요가 없습니다.
감독되지 않는 디바이스의 경우 VPN을 사용하여 웹 보호 기능을 제공합니다. 이는 일반 VPN이 아니며 디바이스 외부의 트래픽을 사용하지 않는 로컬/자체 반복 VPN입니다.
관리자는 VPN 프로필의 자동 설정을 구성할 수 있습니다. 이렇게 하면 온보딩하는 동안 사용자가 그렇게 하지 않고 엔드포인트용 Defender VPN 프로필이 자동으로 설정됩니다.
Microsoft Intune 관리 센터에서디바이스>구성 프로필>프로필 만들기로 이동합니다.
iOS/iPadOS로 플랫폼을 선택하고 프로필 유형을VPN으로 선택합니다. 만들기를 클릭합니다.
프로필의 이름을 입력하고 다음을 클릭합니다.
연결 유형에 대한 사용자 지정 VPN 을 선택하고 기본 VPN 섹션에서 다음을 입력합니다.
연결 이름 = 엔드포인트용 Microsoft Defender
VPN 서버 주소 = 127.0.0.1
Auth 메서드 = "사용자 이름 및 암호"
분할 터널링 = 사용 안 함
VPN 식별자 = com.microsoft.scmx
키-값 쌍에서 키 AutoOnboard 를 입력하고 값을 True로 설정합니다.
자동 VPN의 유형 = 주문형 VPN
주문형 규칙에 대해 추가를 선택하고 다음을 수행하려면 = VPN 연결, 모든 도메인 = 로 제한하려고 합니다.
사용자의 디바이스에서 VPN을 사용하지 않도록 설정할 수 없도록 하려면 관리자가 사용자가 자동 VPN을 사용하지 않도록 설정하지 못하도록 차단에서예를 선택할 수 있습니다. 기본적으로 이 설정은 구성되지 않으며 사용자는 설정에서만 VPN을 사용하지 않도록 설정할 수 있습니다.
사용자가 앱 내에서 VPN 토글을 변경할 수 있도록 하려면 키-값 쌍에 EnableVPNToggleInApp = TRUE를 추가합니다. 기본적으로 사용자는 앱 내에서 토글을 변경할 수 없습니다.
다음을 클릭하고 대상 사용자에게 프로필을 할당합니다.
검토 + 만들기 섹션에서 입력한 모든 정보가 올바른지 확인한 다음 만들기를 선택합니다.
Microsoft Defender iOS 앱은 다음 단계를 사용하여 Intune 사용자 등록 디바이스에 배포할 수 있습니다.
Intune에서 사용자 등록 프로필을 설정합니다. Intune은 회사 포털을 사용하여 계정 기반 Apple 사용자 등록 및 Apple 사용자 등록을 지원합니다. 두 메서드의 비교 에 대해 자세히 알아보고 하나를 선택합니다.
SSO 플러그 인을 설정합니다. SSO 확장이 있는 Authenticator 앱은 iOS 디바이스에서 사용자 등록을 위한 필수 구성 요소입니다.
- Intune에서 디바이스 구성 프로필 만들기 - MDM을 사용하여 iOS/iPadOS Enterprise SSO 플러그 인 구성 | Microsoft Learn.
- 위의 구성에서 다음 두 키를 추가해야 합니다.
- 앱 번들 ID: 이 목록 com.microsoft.scmx에 Defender 앱 번들 ID 포함
- 추가 구성: 키 - device_registration ; 형식 - 문자열 ; Value- {{DEVICEREGISTRATION}}
사용자 등록에 대한 MDM 키를 설정합니다.
- Intune에서 앱 앱 > 구성 정책 > 관리되는 디바이스 추가 > 로 이동합니다.
- 정책 이름을 지정하고 플랫폼 > iOS/iPadOS를 선택합니다.
- 대상 앱으로 엔드포인트용 Microsoft Defender를 선택합니다.
- 설정 페이지에서 구성 디자이너 사용을 선택하고 UserEnrolmentEnabled 를 키로 추가하고 값 형식을 String으로, 값을 True로 추가 합니다.
관리자는 Intune에서 Defender를 필수 VPP 앱으로 푸시할 수 있습니다.
Defender 앱이 사용자의 디바이스에 설치됩니다. 사용자가 로그인하고 온보딩을 완료합니다. 디바이스가 성공적으로 온보딩되면 디바이스 인벤토리 아래의 Defender 보안 포털에 표시됩니다.
- 웹 보호, 네트워크 보호, 탈옥 검색, OS 및 앱의 취약성, Defender 보안 포털의 경고 및 규정 준수 정책과 같은 엔드포인트용 Defender iOS의 모든 현재 기능을 지원합니다.
- 관리자가 사용자 등록을 사용하여 디바이스 전체 VPN 프로필을 푸시할 수 없으므로 제로 터치(자동) 배포 및 VPN 자동 온보딩은 사용자 등록에서 지원되지 않습니다.
- 앱의 취약성 관리의 경우 회사 프로필의 앱만 표시됩니다.
- 규정 준수 정책의 대상이 되는 경우 새로 온보딩된 디바이스가 규정을 준수하는 데 최대 10분이 걸릴 수 있습니다.
- 사용자 등록 제한 사항 및 기능에 대해 자세히 읽어보세요.
iOS의 엔드포인트용 Defender가 디바이스에 설치되면 앱 아이콘이 표시됩니다.
엔드포인트용 Defender 앱 아이콘(MSDefender)을 탭하고 화면의 지침에 따라 온보딩 단계를 완료합니다. 세부 정보에는 iOS의 엔드포인트용 Defender에 필요한 iOS 권한에 대한 최종 사용자 동의가 포함됩니다.
참고
제로 터치(자동) 온보딩을 구성하는 경우 이 단계를 건너뜁니다. 제로 터치(자동) 온보딩이 구성된 경우에는 수동으로 애플리케이션을 시작할 필요가 없습니다.
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.