엔드포인트용 Microsoft Defender 온보딩 환경을 통해 서버 온보딩

적용 대상:

• 서버에 대한 엔드포인트용 Microsoft Defender
• 서버 계획 1 또는 계획 2에 대한 Microsoft Defender

개요

엔드포인트용 Defender는 자세 관리, 위협 방지, 엔드포인트 검색 및 대응을 포함하는 기능으로 organization 서버를 보호할 수 있습니다. 엔드포인트용 Defender는 보안 팀에게 서버 활동, 커널 및 메모리 공격 검색에 대한 범위, 필요한 경우 대응 조치를 취할 수 있는 기능에 대한 심층적인 인사이트를 제공합니다. 엔드포인트용 Defender는 클라우드용 Microsoft Defender 통합되어 organization 포괄적인 서버 보호 솔루션을 제공합니다.

특정 환경에 따라 엔드포인트용 Defender에 서버를 온보딩하는 몇 가지 옵션 중에서 선택할 수 있습니다. 이 문서에서는 Windows Server 및 Linux에 사용 가능한 옵션, 고려해야 할 중요한 사항, 온보딩 후 검색 테스트를 실행하는 방법 및 서버를 오프보딩하는 방법에 대해 설명합니다.

팁

이 문서의 동반자로서 보안 분석기 설정 가이드 를 참조하여 모범 사례를 검토하고 방어를 강화하고, 규정 준수를 개선하고, 자신 있게 사이버 보안 환경을 탐색하는 방법을 알아봅니다. 사용자 환경에 기반한 사용자 지정 환경의 경우 Microsoft 365 관리 센터 Security Analyzer 자동화 설치 가이드에 액세스할 수 있습니다.

서버 계획

엔드포인트용 Defender에 서버를 온보딩하려면 서버 라이선스가 필요합니다. 다음 옵션 중에서 선택할 수 있습니다.

• 서버 플랜 1 또는 플랜 2에 대한 Microsoft Defender(클라우드용 Defender의 일부) 제품
• 서버에 대한 엔드포인트용 Microsoft Defender
• 비즈니스용 Microsoft Defender 서버(중소기업에만 해당)

서버용 Microsoft Defender 통합

엔드포인트용 Defender는 서버용 Defender(클라우드용 Defender )와 원활하게 통합됩니다. 구독에 서버용 Defender 플랜 1 또는 플랜 2가 포함된 경우 다음을 수행할 수 있습니다.

• 자동으로 서버 온보딩
• 클라우드용 Defender에서 모니터링하는 서버가 디바이스 인벤토리의 Microsoft Defender 포털에 표시되도록 합니다.
• 클라우드용 Defender 고객으로서 자세한 조사 수행

다음은 유의해야 할 몇 가지 사항입니다.

• 클라우드용 Defender를 사용하여 서버를 모니터링하면 엔드포인트용 Defender 테넌트가 자동으로 만들어집니다. 엔드포인트용 Defender에서 수집한 데이터는 프로비전 중에 식별된 테넌트 지리적 위치에 저장됩니다. (예를 들어 미국의 고객에 대한 미국, 유럽 고객의 경우 EU, 영국의 고객을 위한 영국)
• 클라우드용 Defender를 사용하기 전에 엔드포인트용 Defender를 사용하는 경우 나중에 클라우드용 Defender와 통합하더라도 테넌트 생성 시 지정한 위치에 데이터가 저장됩니다.
• 구성된 후에는 데이터가 저장되는 위치의 위치를 변경할 수 없습니다. 데이터를 다른 위치로 이동하려면 지원에 문의 하여 테넌트 재설정을 참조하세요.
• 이 통합을 활용하는 서버 엔드포인트 모니터링은 현재 Office 365 GCC 고객에게 제공되지 않습니다.
• 클라우드용 Defender를 통해 온보딩된 Linux 서버에는 수동 모드에서 바이러스 백신 Microsoft Defender 실행하도록 초기 구성이 설정됩니다. Linux 서버에 엔드포인트용 Defender를 배포하는 방법에 대한 자세한 내용은 Linux의 엔드포인트용 Microsoft Defender 위한 필수 구성 요소부터 시작합니다.

자세한 내용은 클라우드용 Defender와 엔드포인트용 Defender 통합을 사용하여 엔드포인트 보호를 참조하세요.

비 Microsoft 바이러스 백신/맬웨어 방지 솔루션에 대한 중요한 정보

비 Microsoft 맬웨어 방지 솔루션을 사용하려는 경우 수동 모드에서 Microsoft Defender 바이러스 백신을 실행해야 합니다. 설치 및 온보딩 프로세스 중에 수동 모드를 설정해야 합니다. 자세한 내용은 Windows Server 및 수동 모드를 참조하세요.

중요

McAfee Endpoint Security 또는 VirusScan Enterprise를 실행하는 서버에 엔드포인트용 Defender를 설치하는 경우 Microsoft Defender 바이러스 백신이 제거되거나 사용하지 않도록 설정되지 않도록 McAfee 플랫폼 버전을 업데이트해야 할 수 있습니다. 필요한 특정 버전 번호에 대한 자세한 내용은 McAfee 기술 센터 문서를 참조하세요.

서버 온보딩 옵션

다음 표에 요약된 대로 여러 배포 방법 및 도구 중에서 선택하여 서버를 온보딩할 수 있습니다.

운영 체제	배포 방법
Windows Server 2025년 Windows Server 2022 Windows Server 2019 Windows Server, 버전 1803 Windows Server 2016 Windows Server 2012 R2	로컬 스크립트 (온보딩 패키지 사용) 서버용 Defender Microsoft Configuration Manager 그룹 정책 VDI 스크립트 클라우드용 Defender를 사용하여 온보딩 Windows Server 2016 및 2012 R2용 최신 통합 솔루션
Linux	설치 관리자 스크립트 기반 배포 Ansible 스크립트 기반 배포 Chef 스크립트 기반 배포 Puppet 스크립트 기반 배포 Saltstack 스크립트 기반 배포 수동 배포 (로컬 스크립트 사용) 클라우드용 Defender를 사용하여 직접 온보딩 엔드포인트용 Defender를 사용하여 비 Azure 머신을 클라우드용 Microsoft Defender 연결 SAP용 Linux의 엔드포인트용 Defender 배포 지침

온보딩 Windows Server, 버전 1803, Windows Server 2019 및 Windows Server 2025

1. 엔드포인트용 Defender에 대한 최소 요구 사항을 검토해야 합니다.

2. Microsoft Defender 포털에서 설정>엔드포인트로 이동한 다음 디바이스 관리에서 온보딩을 선택합니다.

3. 온보딩 프로세스를 시작할 운영 체제 선택 목록에서 Windows Server 2019, 2022 및 2025를 선택합니다.

   

4. 연결 유형에서 약식 또는 Standard 선택합니다. (간소화된 연결에 대한 필수 구성 요소를 참조하세요.)

5. 배포 방법에서 옵션을 선택한 다음 온보딩 패키지를 다운로드합니다.

6. 배포 방법에 대한 다음 문서 중 하나의 지침을 따릅니다.

   • 로컬 스크립트
   • 그룹 정책
   • 구성 관리자
   • 비영구 디바이스에 대한 VDI 온보딩 스크립트
   • 엔드포인트용 Defender를 사용하여 비 Azure 머신을 클라우드용 Microsoft Defender 연결

온보딩 Windows Server 2016 및 Windows Server 2012 R2

1. 엔드포인트용 Defender의 최소 요구 사항 및 Windows Server 2016 및 2012 R2의 필수 구성 요소를 검토해야 합니다.

2. Microsoft Defender 포털에서 설정>엔드포인트로 이동한 다음 디바이스 관리에서 온보딩을 선택합니다.

3. 온보딩 프로세스를 시작할 운영 체제 선택 목록에서 Windows Server 2016 선택하고 R2를 Windows Server 2012.

   

4. 연결 유형에서 약식 또는 Standard 선택합니다. (간소화된 연결에 대한 필수 구성 요소를 참조하세요.)

5. 배포 방법에서 옵션을 선택한 다음 설치 패키지 및 온보딩 패키지를 다운로드합니다.

   참고

   설치 패키지는 매월 업데이트됩니다. 사용 전에 최신 패키지를 다운로드해야 합니다. 설치 후 업데이트하려면 설치 관리자 패키지를 다시 실행할 필요가 없습니다. 이렇게 하면 설치 관리자가 제거 요구 사항이므로 먼저 오프보딩하도록 요청합니다. Windows Server 2012 R2 및 2016에서 엔드포인트용 Defender 패키지 업데이트를 참조하세요.

6. 배포 방법에 대한 다음 문서 중 하나의 지침을 따릅니다.

   • 로컬 스크립트
   • 그룹 정책
   • 구성 관리자
   • 비영구 디바이스에 대한 VDI 온보딩 스크립트
   • Microsoft Monitoring Agent에서 최신 통합 솔루션으로 서버 마이그레이션
   • 엔드포인트용 Defender를 사용하여 비 Azure 머신을 클라우드용 Microsoft Defender 연결

Windows Server 2016 및 2012 R2에 대한 필수 구성 요소

• 서버에 사용 가능한 최신 SSU(서비스 스택 업데이트) 및 LCU(최신 누적 업데이트)를 설치하는 것이 좋습니다.
• 2021년 9월 14일 이상의 SSU를 설치해야 합니다.
• 2018년 9월 20일 이상 LCU를 설치해야 합니다.
• Microsoft Defender 바이러스 백신 기능을 사용하도록 설정하고 최신 상태인지 확인합니다. Windows Server Defender 바이러스 백신 사용하도록 설정하는 방법에 대한 자세한 내용은 Windows Server Defender 바이러스 백신 다시 활성화 및 Windows ServerDefender 바이러스 백신 다시 사용을 참조하세요. 제거되었으면 입니다.
• Windows 업데이트 사용하여 최신 플랫폼 버전을 다운로드하고 설치합니다. 또는 Microsoft 업데이트 카탈로그 또는 MMPC에서 수동으로 업데이트 패키지를 다운로드합니다.
• Windows Server 2016 Microsoft Defender 바이러스 백신을 기능으로 설치하고 설치하기 전에 완전히 업데이트해야 합니다.

Windows Server 2016 또는 Windows Server 2012 R2용 패키지 업데이트

엔드포인트용 Defender 구성 요소에 대한 정기적인 제품 개선 사항 및 수정 사항을 받으려면 Windows 업데이트 KB5005292 적용되거나 승인되었는지 확인합니다. 또한 보호 구성 요소를 업데이트된 상태로 유지하려면 Microsoft Defender 바이러스 백신 업데이트 관리 및 기준 적용을 참조하세요.

WSUS(Windows Server Update Services) 및/또는 Microsoft Configuration Manager 사용하는 경우 이 새로운 "EDR 센서용 엔드포인트용 Microsoft Defender 업데이트"는 "범주"에서 사용할 수 있습니다. 엔드포인트용 Microsoft Defender."

Windows Server 2016 및 Windows Server 2012 R2용 최신 통합 솔루션의 기능

온보딩 Windows Server 2016 및 Windows Server 2012 R2의 이전 구현(2022년 4월 이전)에는 MMA(Microsoft Monitoring Agent)를 사용해야 했습니다. 최신 통합 솔루션 패키지를 사용하면 종속성 및 설치 단계를 제거하여 서버를 더 쉽게 온보딩할 수 있습니다. 또한 훨씬 확장된 기능 집합을 제공합니다. 자세한 내용은 다음 리소스를 참조하세요.

• 이전 MMA 기반 엔드포인트용 Microsoft Defender 솔루션의 서버 마이그레이션 시나리오
• 기술 커뮤니티 블로그: Windows Server 2012 R2 및 2016 방어

온보딩하는 서버에 따라 통합 솔루션은 엔드포인트용 Defender 및/또는 EDR 센서를 서버에 설치합니다. 다음 표에서는 설치된 구성 요소와 기본적으로 기본 제공되는 구성 요소를 나타냅니다.

서버 버전	Microsoft Defender 바이러스 백신	EDR 센서
Windows Server 2012 R2
Windows Server 2016	기본 제공
Windows Server 2019 이상	기본 제공	기본 제공

최신 통합 솔루션의 알려진 문제 및 제한 사항

다음 사항은 Windows Server 2016 및 Windows Server 2012 R2에 적용됩니다.

• 새 설치를 수행하기 전에 항상 Microsoft Defender 포털(https://security.microsoft.com)에서 최신 설치 관리자 패키지를 다운로드하고 필수 구성 요소가 충족되는지 확인합니다. 설치 후 Windows Server 2012 R2 및 2016의 엔드포인트용 Defender 패키지 업데이트 섹션에 설명된 구성 요소 업데이트를 사용하여 정기적으로 업데이트해야 합니다.

• 운영 체제 업데이트는 서비스 설치 시간 초과로 인해 디스크가 느린 컴퓨터에 설치 문제가 발생할 수 있습니다. 메시지 Couldn't find c:\program files\windows defender\mpasdesc.dll, - 310 WinDefend와 함께 설치가 실패합니다. 필요한 경우 최신 설치 패키지 및 최신 install.ps1 스크립트를 사용하여 실패한 설치를 지울 수 있습니다.

• Windows Server 2016 및 Windows Server 2012 R2의 사용자 인터페이스는 기본 작업만 허용합니다. 디바이스에서 로컬로 작업을 수행하려면 PowerShell, WMI 및 MPCmdRun.exe엔드포인트용 Defender 관리를 참조하세요. 따라서 사용자가 결정을 내리거나 특정 작업을 수행하라는 메시지가 표시되는 경우와 같이 특히 사용자 상호 작용에 의존하는 기능이 예상대로 작동하지 않을 수 있습니다. 보호 기능에 영향을 미칠 수 있으므로 사용자 인터페이스를 사용하지 않도록 설정하거나 사용하지 않도록 설정하거나 관리되는 서버에서 사용자 상호 작용을 요구하지 않는 것이 좋습니다.

• 모든 공격 표면 감소 규칙이 모든 운영 체제에 적용되는 것은 아닙니다. 공격 표면 감소 규칙을 참조하세요.

• 운영 체제 업그레이드는 지원되지 않습니다. 업그레이드하기 전에 오프보딩한 다음 제거합니다. 설치 관리자 패키지는 새 맬웨어 방지 플랫폼 또는 EDR 센서 업데이트 패키지로 아직 업데이트되지 않은 설치를 업그레이드하는 데만 사용할 수 있습니다.

• MECM(Microsoft Endpoint Configuration Manager)을 사용하여 새 솔루션을 자동으로 배포하고 온보딩하려면 버전 2207 이상에 있어야 합니다. 핫픽스 롤업과 함께 버전 2107을 사용하여 구성하고 배포할 수 있지만 추가 배포 단계가 필요합니다. 자세한 내용은 Microsoft 엔드포인트 Configuration Manager 마이그레이션 시나리오를 참조하세요.

Linux 서버 온보딩

Linux를 실행하는 서버를 온보딩하려면 다음 단계를 수행합니다.

1. Linux에서 엔드포인트용 Microsoft Defender 필수 구성 요소를 검토해야 합니다.

2. 배포 방법을 선택합니다. 특정 환경에 따라 다음과 같은 몇 가지 옵션 중에서 선택할 수 있습니다.

   • 설치 관리자 스크립트 기반 배포
   • Ansible 기반 배포
   • Chef 기반 배포
   • Puppet 기반 배포
   • Saltstack 기반 배포
   • 수동 배포 (로컬 스크립트 사용)
   • 클라우드용 Defender를 사용하여 직접 온보딩
   • 엔드포인트용 Defender를 사용하여 비 Azure 머신을 클라우드용 Microsoft Defender 연결
   • SAP용 Linux의 엔드포인트용 Defender 배포 지침

3. 기능을 구성합니다. Linux의 엔드포인트용 Microsoft Defender 보안 설정 구성을 참조하세요.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Defender 디바이스에서 검색 테스트 실행을 참조하세요.

참고

Microsoft Defender 바이러스 백신을 실행하는 것은 필요하지 않지만 권장됩니다. 다른 바이러스 백신 공급업체 제품이 기본 엔드포인트 보호 솔루션인 경우 수동 모드에서 Defender 바이러스 백신 실행할 수 있습니다. 엔드포인트용 Defender 센서(SENSE)가 실행 중인지 확인한 후에만 수동 모드가 켜진 것을 확인할 수 있습니다.

1. Microsoft Defender 바이러스 백신이 활성 모드로 설치되어 있어야 하는 Windows Server 디바이스에서 다음 명령을 실행합니다.

   sc.exe query Windefend
   

   결과가 "지정된 서비스가 설치된 서비스로 존재하지 않습니다."인 경우 Microsoft Defender 바이러스 백신을 설치해야 합니다.

2. 다음 명령을 실행하여 엔드포인트용 Defender가 실행 중인지 확인합니다.

   sc.exe query sense
   

   결과에 실행 중이 표시됩니다. 온보딩에 문제가 발생하는 경우 온보딩 문제 해결을 참조하세요.

Windows 서버 오프보딩

Windows 클라이언트 디바이스에 사용할 수 있는 동일한 방법을 사용하여 Windows 서버를 오프보딩할 수 있습니다.

• Configuration Manager 사용하여 디바이스 오프보딩
• 모바일 장치 관리 도구를 사용하여 디바이스 오프보딩
• 그룹 정책 사용하여 디바이스 오프보딩
• 로컬 스크립트를 사용하여 디바이스 오프보딩

오프보딩한 후 Windows Server 2016 통합 솔루션 패키지를 제거하고 R2를 Windows Server 2012 수 있습니다. 이전 버전의 Windows Server 경우 서비스에서 Windows 서버를 오프보딩하는 두 가지 옵션이 있습니다.

• MMA 에이전트 제거
• 엔드포인트용 Defender 작업 영역 구성 제거

참고

다른 Windows Server 버전에 대한 이러한 오프보딩 지침은 MMA가 필요한 Windows Server 2016 및 Windows Server 2012 R2용 이전 엔드포인트용 Defender를 실행하는 경우에도 적용됩니다. 새 통합 솔루션으로 마이그레이션하는 지침은 엔드포인트용 Defender의 서버 마이그레이션 시나리오에 있습니다.

다음 단계

• 기능 구성
• 디바이스 인벤토리 보기

참고 항목

• Windows 및 Mac 클라이언트 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender
• 프록시 및 인터넷 연결 설정 구성
• 새로 온보딩된 엔드포인트용 Defender 디바이스에서 검색 테스트 실행
• 엔드포인트용 Defender 온보딩 문제 해결
• 엔드포인트용 Defender용 보안 관리와 관련된 온보딩 문제 해결
• 엔드포인트용 Microsoft Defender - Mobile Threat Defense(iOS 및 Android 디바이스용)