연습: 클라우드를 사용하여 ADMX 템플릿 및 Microsoft Intune 사용하여 Windows 10/11 디바이스에서 그룹 정책을 구성합니다.

참고

이 연습은 Microsoft Ignite에 대한 기술 워크샵으로 만들어졌습니다. Intune 및 온-프레미스에서 ADMX 정책 사용 및 구성을 비교하므로 일반적인 연습보다 더 많은 필수 구성 요소가 있습니다.

ADMX 템플릿이라고도 하는 그룹 정책 관리 템플릿에는 PC를 포함하여 Windows 클라이언트 디바이스에서 구성할 수 있는 설정이 포함됩니다. ADMX 템플릿 설정은 다양한 서비스에서 사용할 수 있습니다. 이러한 설정은 Microsoft Intune 포함하여 MDM(모바일 장치 관리) 공급자에서 사용됩니다. 예를 들어 PowerPoint에서 디자인 아이디어를 켜고 Microsoft Edge에서 홈페이지를 설정하는 등의 작업을 수행할 수 있습니다.

팁

Intune 기본 제공되는 ADMX 템플릿을 포함하여 Intune ADMX 템플릿에 대한 개요는 Microsoft Intune Windows 10/11 ADMX 템플릿 사용을 참조하세요.

ADMX 정책에 대한 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.

이러한 템플릿은 Microsoft Intune 위해 기본 제공되며 관리 템플릿 프로필로 사용할 수 있습니다. 이 프로필에서는 포함하려는 설정을 구성한 다음, 이 프로필을 디바이스에 "할당"합니다.

이 연습에서는 다음을 수행합니다.

• Microsoft Intune 관리 센터에 대해 알아보세요.
• 사용자 그룹을 만들고 디바이스 그룹을 만듭니다.
• Intune 설정을 온-프레미스 ADMX 설정과 비교합니다.
• 다른 관리 템플릿을 만들고 다른 그룹을 대상으로 하는 설정을 구성합니다.

이 랩을 마치면 Intune 및 Microsoft 365를 사용하여 사용자를 관리하고 관리 템플릿을 배포할 수 있습니다.

이 기능은 다음에 적용됩니다.

• Windows 11
• Windows 10 버전 1709 이상

팁

관리 템플릿은 템플릿을 사용하거나 설정 카탈로그를 사용하는 두 가지 방법으로 만들 수 있습니다. 이 문서에서는 관리 템플릿 템플릿을 사용하는 방법을 주로 설명합니다. 설정 카탈로그에는 사용할 수 있는 관리 템플릿 설정이 추가로 있습니다. 설정 카탈로그를 사용하는 특정 단계는 설정 카탈로그를 사용하여 설정 구성으로 이동합니다.

필수 구성 요소

• Intune 및 Microsoft Entra ID P1 또는 P2를 포함하는 Microsoft 365 E3 또는 E5 구독입니다. E3 또는 E5 구독이 없는 경우 무료로 사용해 보세요.

  다양한 Microsoft 365 라이선스를 사용하여 얻을 수 있는 항목에 대한 자세한 내용은 Microsoft 365를 사용하여 엔터프라이즈 변환을 참조하세요.

• Microsoft Intune Intune MDM 기관으로 구성됩니다. 자세한 내용은 모바일 디바이스 관리 기관 설정을 참조하세요.

  

• 온-프레미스 Active Directory DC(도메인 컨트롤러)에서 다음을 수행합니다.

  1. 다음 Office 및 Microsoft Edge 템플릿을 중앙 저장소(sysvol 폴더)에 복사합니다.

     • Office 관리 템플릿
     • Microsoft Edge 관리 템플릿 > 정책 파일

  2. DC와 동일한 도메인의 Windows 10/11 Enterprise 관리자 컴퓨터에 이러한 템플릿을 푸시하는 그룹 정책을 만듭니다. 이 연습에서는 다음을 수행합니다.

     • 이러한 템플릿을 사용하여 만든 그룹 정책을 OfficeandEdge라고 합니다. 이미지에 이 이름이 표시됩니다.
     • 사용하는 Windows 10/11 Enterprise 관리자 컴퓨터를 관리 컴퓨터라고 합니다.

     일부 조직에서는 도메인 관리자에게 다음 두 개의 계정이 있습니다.

     • 일반적인 도메인 회사 계정
     • 그룹 정책과 같은 도메인 관리자 작업에만 사용되는 다른 도메인 관리자 계정

     이 관리 컴퓨터의 목적은 관리자가 도메인 관리자 계정으로 로그인하고 그룹 정책을 관리하도록 설계된 도구에 액세스하는 것입니다.

• 이 관리 컴퓨터에서 다음을 수행합니다.

  • 도메인 관리자 계정으로 로그인합니다.

  • RSAT: 그룹 정책 관리 도구를 추가합니다.

    1. 설정 앱 >시스템>선택적 기능추가 기능을> 엽니다.

       Windows 10 22H2 이전 버전을 사용하는 경우 설정>앱 앱>& 기능>선택적 기능추가 기능>으로 이동합니다.

    2. RSAT: 그룹 정책 관리 도구 추가를> 선택합니다.

       Windows에서 기능을 추가하는 동안 기다립니다. 완료되면 결국 Windows 관리 도구 앱에 표시됩니다.

       

  • Intune 관리 센터를 포함하는 Microsoft 365 구독에 대한 인터넷 액세스 및 관리자 권한이 있는지 확인합니다.

Intune 관리 센터 열기

1. Microsoft Edge 버전 77 이상과 같은 Chromium 웹 브라우저를 엽니다.

2. Microsoft Intune 관리 센터로 이동합니다. 다음 계정으로 로그인합니다.

   사용자: Microsoft 365 테넌트 구독의 관리자 계정을 입력합니다.
   암호: 암호를 입력합니다.

이 관리 센터는 디바이스 관리에 중점을 두고 있으며 Microsoft Entra ID 및 Intune 같은 Azure 서비스를 포함합니다. Microsoft Entra ID 및 Intune 브랜딩이 표시되지 않을 수도 있지만 사용하고 있습니다.

Microsoft 365 관리 센터 Intune 관리 센터를 열 수도 있습니다.

1. https://admin.microsoft.com로 이동합니다.

2. Microsoft 365 테넌트 구독의 관리자 계정으로 로그인합니다.

3. 모든>관리 센터>엔드포인트 관리 표시를 선택합니다. Intune 관리 센터가 열립니다.

   

그룹 만들기 및 사용자 추가

온-프레미스 정책은 LSDOU 순서(로컬, 사이트, 도메인 및 OU(조직 구성 단위)에 적용됩니다. 이 계층 구조에서 OU 정책은 로컬 정책을 덮어쓰고 도메인 정책은 사이트 정책을 덮어쓰는 등의 작업을 수행합니다.

Intune에서 정책은 직접 만든 사용자 및 그룹에 적용됩니다. 계층 구조가 없습니다. 예를 들면 다음과 같습니다.

• 두 정책이 동일한 설정을 업데이트하는 경우 설정은 충돌로 표시됩니다.
• 두 규정 준수 정책이 충돌하는 경우 가장 제한적인 정책이 적용됩니다.
• 두 구성 프로필이 충돌하는 경우 설정이 적용되지 않습니다.

자세한 내용은 디바이스 정책 및 프로필에 대한 일반적인 질문, 문제 및 해결 방법을 참조하세요.

다음 단계에서는 보안 그룹을 만들고 이러한 그룹에 사용자를 추가합니다. 여러 그룹에 사용자를 추가할 수 있습니다. 예를 들어 사용자가 업무용 Surface Pro 및 개인용 Android 모바일 디바이스와 같은 여러 디바이스를 사용하는 것이 정상입니다. 또한 사용자가 이러한 여러 디바이스에서 조직 리소스에 액세스하는 것은 정상입니다.

1. Intune 관리 센터에서 그룹>새 그룹을 선택합니다.

2. 다음 설정을 입력합니다.

   • 그룹 유형: 보안을 선택합니다.
   • 그룹 이름: 모든 Windows 10 학생 디바이스를 입력합니다.
   • 멤버 자격 유형: 할당됨을 선택합니다.

3. 멤버를 선택하고 일부 디바이스를 추가합니다.

   디바이스 추가는 선택 사항입니다. 목표는 그룹을 만들고 디바이스를 추가하는 방법을 아는 방법을 연습하는 것입니다. 프로덕션 환경에서 이 연습을 사용하는 경우 수행 중인 작업을 알고 있어야 합니다.

4. 선택>을 만들어 변경 내용을 저장합니다.

   그룹이 표시되지 않나요? 새로 고침을 선택합니다.

5. 새 그룹을 선택하고 다음 설정을 입력합니다.

   • 그룹 유형: 보안을 선택합니다.

   • 그룹 이름: 모든 Windows 디바이스를 입력합니다.

   • 멤버 자격 유형: 동적 디바이스를 선택합니다.

   • 동적 디바이스 멤버: 동적 쿼리 추가를 선택하고 쿼리를 구성합니다.

     • 속성: deviceOSType을 선택합니다.
     • 연산자: 같음 을 선택합니다.
     • 값: Windows를 입력 합니다.

     1. 식 추가를 선택합니다. 식은 규칙 구문에 표시됩니다.

        

        입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 운영 체제가 Windows일 때 디바이스가 이 그룹에 자동으로 추가됩니다. 프로덕션 환경에서 이 연습을 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

     2. 저장>을 만들어 변경 내용을 저장합니다.

6. 다음 설정을 사용하여 모든 교사 그룹을 만듭니다.

   • 그룹 유형: 보안을 선택합니다.

   • 그룹 이름: 모든 교사를 입력합니다.

   • 멤버 자격 유형: 동적 사용자를 선택합니다.

   • 동적 사용자 멤버: 동적 쿼리 추가를 선택하고 쿼리를 구성합니다.

     • 속성: 부서를 선택합니다.

     • 연산자: 같음 을 선택합니다.

     • 값: 교사를 입력합니다.

       1. 식 추가를 선택합니다. 식은 규칙 구문에 표시됩니다.

          입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 부서가 교사인 경우 사용자가 이 그룹에 자동으로 추가됩니다. 사용자가 organization 추가되면 부서 및 기타 속성을 입력할 수 있습니다. 프로덕션 환경에서 이 연습을 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

       2. 저장>을 만들어 변경 내용을 저장합니다.

대화 포인트

• 동적 그룹은 Microsoft Entra ID P1 또는 P2의 기능입니다. Microsoft Entra ID P1 또는 P2가 없는 경우 할당된 그룹만 만들 수 있는 라이선스가 부여됩니다. 동적 그룹에 대한 자세한 내용은 다음을 참조하세요.

  • Microsoft Entra ID 동적 그룹 멤버 자격(1부)
  • Microsoft Entra ID 동적 그룹 멤버 자격(2부)

• Microsoft Entra ID P1 또는 P2에는 MFA(다단계 인증) 및 조건부 액세스를 포함하여 앱 및 디바이스를 관리할 때 일반적으로 사용되는 다른 서비스가 포함됩니다.

• 많은 관리자가 사용자 그룹을 사용해야 하는 시기와 디바이스 그룹을 사용해야 하는 시기를 묻습니다. 몇 가지 지침은 사용자 그룹 및 디바이스 그룹으로 이동합니다.

• 사용자는 여러 그룹에 속할 수 있습니다. 다음과 같이 만들 수 있는 다른 동적 사용자 및 디바이스 그룹 중 일부를 고려해 보세요.

  • 모든 학생
  • 모든 Android 디바이스
  • 모든 iOS/iPadOS 디바이스
  • 마케팅
  • 인적 자원
  • 모든 Charlotte 직원
  • 모든 Redmond 직원
  • 서부 해안 IT 관리자
  • 동부 해안 IT 관리자

만든 사용자 및 그룹은 Microsoft 365 관리 센터, Azure Portal Microsoft Entra ID, Azure Portal Microsoft Intune 표시됩니다. 테넌트 구독에 대한 이러한 모든 영역에서 그룹을 만들고 관리할 수 있습니다. 디바이스 관리가 목표인 경우 Microsoft Intune 관리 센터를 사용합니다.

그룹 멤버 자격 검토

1. Intune 관리 센터에서 사용자>모든 사용자를> 선택하여 기존 사용자의 이름을 선택합니다.
2. 추가하거나 변경할 수 있는 정보 중 일부를 검토합니다. 예를 들어 직속, 부서, 구/군/시, 사무실 위치 등 구성할 수 있는 속성을 확인합니다. 동적 그룹을 만들 때 동적 쿼리에서 이러한 속성을 사용할 수 있습니다.
3. 그룹을 선택하여 이 사용자의 멤버 자격을 확인합니다. 그룹에서 사용자를 제거할 수도 있습니다.
4. 다른 옵션 중 일부를 선택하여 자세한 내용과 수행할 수 있는 작업을 확인합니다. 예를 들어 할당된 라이선스, 사용자의 디바이스 등을 확인합니다.

난 그냥 무엇을 했는가?

Intune 관리 센터에서 새 보안 그룹을 만들고 이러한 그룹에 기존 사용자 및 디바이스를 추가했습니다. 이 자습서의 이후 단계에서 이러한 그룹을 사용합니다.

Intune 템플릿 만들기

이 섹션에서는 Intune 관리 템플릿을 만들고, 그룹 정책 Management의 일부 설정을 살펴보고, Intune 동일한 설정을 비교합니다. 목표는 그룹 정책에 설정을 표시하고 Intune 동일한 설정을 표시하는 것입니다.

1. Intune 관리 센터에서 디바이스구성>만들기를> 선택합니다.

2. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 관리 템플릿을 선택합니다.

3. 만들기를 선택합니다.

4. 기본에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 학생 디바이스를 Windows 10 관리 템플릿을 입력합니다.
   • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

5. 다음을 선택합니다.

6. 구성 설정에서 모든 설정은 모든 설정의 사전순 목록을 표시합니다. 디바이스에 적용되는 설정(컴퓨터 구성) 및 사용자에게 적용되는 설정(사용자 구성)을 필터링할 수도 있습니다.

   

7. 컴퓨터 구성>Microsoft Edge를> 확장하여 SmartScreen 설정을 선택합니다. 정책의 경로와 사용 가능한 모든 설정을 확인합니다.

   

8. 검색에서 다운로드를 입력 합니다. 정책 설정이 필터링됩니다.

   

그룹 정책 관리 열기

이 섹션에서는 Intune 정책과 그룹 정책 Management 편집기 일치하는 정책을 보여 드립니다.

디바이스 정책 비교

1. 관리 컴퓨터에서 그룹 정책 관리 앱을 엽니다.

   이 앱은 Windows에서 추가하는 선택적 기능인 RSAT: 그룹 정책 관리 도구와 함께 설치됩니다. 이 문서의 필수 구성 요소 에는 설치 단계가 나열되어 있습니다.

2. 도메인을 확장하여 도메인을> 선택합니다. 예를 들어 를 선택합니다 contoso.net.

3. OfficeandEdge 정책 >편집을 마우스 오른쪽 단추로 클릭합니다. 그룹 정책 관리 편집기 앱이 열립니다.

   

   OfficeandEdge 는 Office 및 Microsoft Edge ADMX 템플릿을 포함하는 그룹 정책입니다. 이 정책은 필수 구성 요소 (이 문서)에서 설명합니다.

4. 컴퓨터 구성>정책>관리 템플릿제어판>인격화를 확장합니다>. 사용 가능한 설정을 확인합니다.

   

   잠금 화면 카메라 사용 방지를 두 번 클릭하고 사용 가능한 옵션을 참조하세요.

   

5. Intune 관리 센터에서 학생 디바이스 템플릿을 Windows 10 관리 템플릿으로 이동합니다.

6. 컴퓨터 구성>제어판>인격화를 선택합니다. 사용 가능한 설정은 다음과 같습니다.

   

   설정 유형은 디바이스이고 경로는 입니다 /Control Panel/Personalization. 이 경로는 그룹 정책 관리 편집기 방금 본 것과 비슷합니다. 잠금 화면 카메라 사용 방지 설정을 열면 그룹 정책 관리 편집기 표시되는 것과 동일한 구성되지 않음, 사용 및 사용 안 함 옵션이 표시됩니다.

사용자 정책 비교

1. 관리 템플릿에서 컴퓨터 구성>모든 설정을 선택하고 를 검색합니다 inprivate browsing. 경로를 확인합니다.

   사용자 구성에 대해 동일한 작업을 수행합니다. 모든 설정을 선택하고 를 검색합니다inprivate browsing.

2. 그룹 정책 관리 편집기 일치하는 사용자 및 디바이스 설정을 찾습니다.

   • 디바이스: 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>인터넷 Explorer>Privacy>InPrivate 브라우징 끄기를 확장합니다.
   • 사용자: 사용자 구성>정책>관리 템플릿>Windows 구성 요소>인터넷 Explorer>Privacy>InPrivate 브라우징 끄기를 확장합니다.

   

팁

기본 제공 Windows 정책을 보려면 GPEdit(그룹 정책 앱 편집 )를 사용할 수도 있습니다.

Microsoft Edge 정책 비교

1. Intune 관리 센터에서 학생 디바이스 템플릿을 Windows 10 관리 템플릿으로 이동합니다.

2. 컴퓨터 구성>Microsoft Edge>시작, 홈페이지 및 새 탭 페이지를 확장합니다. 사용 가능한 설정을 확인합니다.

   사용자 구성에 대해 동일한 작업을 수행합니다.

3. 그룹 정책 관리 편집기 다음 설정을 찾습니다.

   • 디바이스: 컴퓨터 구성>정책>관리 템플릿>Microsoft Edge>시작, 홈페이지 및 새 탭 페이지를 확장합니다.
   • 사용자: 사용자 구성>정책>관리 템플릿>Microsoft Edge>시작, 홈페이지 및 새 탭 페이지 확장

난 그냥 무엇을 했는가?

Intune 관리 템플릿을 만들었습니다. 이 템플릿에서는 일부 ADMX 설정을 살펴보고 그룹 정책 Management에서 동일한 ADMX 설정을 살펴보았습니다.

학생 관리 템플릿에 설정 추가

이 템플릿에서는 여러 학생이 공유하는 디바이스를 잠그도록 일부 인터넷 Explorer 설정을 구성합니다.

1. 관리 템플릿 - 학생 디바이스를 Windows 10컴퓨터 구성을 확장하고 모든 설정을 선택한 다음 InPrivate 브라우징 끄기를 검색합니다.

   

2. InPrivate 브라우징 끄기 설정을 선택합니다. 이 창에서 설정할 수 있는 설명과 값을 확인합니다. 이러한 옵션은 그룹 정책에 표시되는 옵션과 유사합니다.

3. 사용 확인을> 선택하여 변경 내용을 저장합니다.

4. 또한 다음 인터넷 Explorer 설정을 구성합니다. 확인을 선택하여 변경 내용을 저장해야 합니다.

   • 파일 끌어서 놓기 또는 복사 및 붙여넣기 허용

     • 형식: 디바이스
     • 경로: \Windows 구성 요소\인터넷 Explorer\인터넷 제어판\보안 페이지\인터넷 영역
     • 값: 사용 안 함

   • 인증서 오류 무시 방지

     • 형식: 디바이스
     • 경로: \Windows 구성 요소\인터넷 Explorer\인터넷 제어판
     • 값: 사용

   • 홈페이지 설정 변경 사용 안 함

     • 형식: 사용자
     • 경로: \Windows 구성 요소\인터넷 Explorer
     • 값: 사용
     • 홈페이지: URL(예: contoso.com)을 입력합니다.

5. 검색 필터를 지우세요. 구성한 설정이 맨 위에 나열되어 있습니다.

   

템플릿 할당

1. 템플릿에서 할당에 도착할 때까지 다음을 선택합니다. 포함할 그룹 선택을 선택합니다.

   

2. 기존 사용자 및 그룹의 목록이 표시됩니다. 이전에 > 만든 모든 Windows 10 학생 디바이스 그룹을 선택합니다.

   프로덕션 환경에서 이 연습을 사용하는 경우 비어 있는 그룹을 추가하는 것이 좋습니다. 목표는 템플릿 할당을 연습하는 것입니다.

3. 다음을 선택합니다. 검토 + 만들기에서 만들기를 선택하여 변경 내용을 저장합니다.

프로필이 저장되는 즉시 Intune 사용하여 검사 디바이스에 적용됩니다. 디바이스가 인터넷에 연결된 경우 즉시 발생할 수 있습니다. 정책 새로 고침 시간에 대한 자세한 내용은 디바이스에서 정책, 프로필 또는 앱을 가져오는 데 걸리는 시간을 참조하세요.

엄격하거나 제한적인 정책 및 프로필을 할당할 때는 자신을 잠그지 마세요. 정책 및 프로필에서 제외된 그룹을 만드는 것이 좋습니다. 문제는 문제 해결에 대한 액세스 권한을 갖는 것입니다. 이 그룹을 모니터링하여 의도한 대로 사용되고 있는지 확인합니다.

난 그냥 무엇을 했는가?

Intune 관리 센터에서 관리 템플릿 디바이스 구성 프로필을 만들고 만든 그룹에 이 프로필을 할당했습니다.

OneDrive 템플릿 만들기

이 섹션에서는 Intune OneDrive 관리 템플릿을 만들어 일부 설정을 제어합니다. 이러한 특정 설정은 조직에서 일반적으로 사용되므로 선택됩니다.

1. 다른 프로필(디바이스>구성> 만들기)을만듭니다.

2. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 관리 템플릿을 선택합니다.

3. 만들기를 선택합니다.

4. 기본에서 다음 속성을 입력합니다.

   • 이름: 모든 Windows 10 사용자에게 적용되는 관리 템플릿 - OneDrive 정책을 입력합니다.
   • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

5. 다음을 선택합니다.

6. 구성 설정에서 다음 설정을 구성합니다. 확인을 선택하여 변경 내용을 저장해야 합니다.

   • 컴퓨터 구성:

     • Windows 자격 증명을 사용하여 사용자를 OneDrive 동기화 클라이언트에 자동으로 로그인
       • 형식: 디바이스
       • 값: 사용
     • OneDrive 요청 기반 파일 관리 사용
       • 형식: 디바이스
       • 값: 사용

   • 사용자 구성:

     • 사용자가 개인 OneDrive 계정을 동기화하지 못하도록 방지
       • 형식: 사용자
       • 값: 사용

설정이 다음 설정과 유사하게 표시됩니다.

OneDrive 클라이언트 설정에 대한 자세한 내용은 그룹 정책 사용하여 OneDrive 동기화 클라이언트 설정 제어를 참조하세요.

템플릿 할당

1. 템플릿에서 할당에 도착할 때까지 다음을 선택합니다. 포함할 그룹 선택을 선택합니다.

2. 기존 사용자 및 그룹의 목록이 표시됩니다. 이전에 > 만든 모든 Windows 디바이스 그룹을 선택합니다.

   프로덕션 환경에서 이 연습을 사용하는 경우 비어 있는 그룹을 추가하는 것이 좋습니다. 목표는 템플릿 할당을 연습하는 것입니다.

3. 다음을 선택합니다. 검토 + 만들기에서 만들기를 선택하여 변경 내용을 저장합니다.

이 시점에서 일부 관리 템플릿을 만들고 만든 그룹에 할당했습니다. 다음 단계는 Windows PowerShell 및 Intune 대한 Microsoft Graph API 사용하여 관리 템플릿을 만드는 것입니다.

선택 사항: PowerShell을 사용하여 정책 만들기 및 Graph API

이 섹션에서는 다음 리소스를 사용합니다. 이 섹션에서는 이러한 리소스를 설치합니다.

• PowerShell SDK Intune
• Intune용 Microsoft Graph API

1. 관리 컴퓨터에서 관리자 권한으로 Windows PowerShell 엽니다.

   1. 검색 창에서 powershell을 입력합니다.
   2. Windows PowerShell>관리자 권한으로 실행을 마우스 오른쪽 단추로 클릭합니다.

   

2. 실행 정책을 가져와서 설정합니다.

   1. 입력: get-ExecutionPolicy

      정책이 설정된 내용( 제한됨)을 적어 씁니다. 연습을 마치면 원래 값으로 다시 설정합니다.

   2. 입력: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

   3. 를 입력 Y 하여 변경합니다.

   PowerShell의 실행 정책은 악의적인 스크립트 실행을 방지하는 데 도움이 됩니다. 자세한 내용은 실행 정책 정보를 참조하세요.

3. 입력: Install-Module -Name Microsoft.Graph.Intune

   다음을 입력 Y 합니다.

   • NuGet 공급자 설치 요청
   • 신뢰할 수 없는 리포지토리에서 모듈을 설치하라는 요청

   완료하는 데 몇 분 정도 걸릴 수 있습니다. 완료되면 다음 프롬프트와 유사한 프롬프트가 표시됩니다.

   

4. 웹 브라우저에서 로 https://github.com/Microsoft/Intune-PowerShell-SDK/releases이동하여 Intune-PowerShell-SDK_v6.1907.00921.0001.zip 파일을 선택합니다.

   1. 다른 이름으로 저장을 선택하고 기억할 폴더를 선택합니다. c:\psscripts 좋은 선택입니다.

   2. 폴더를 열고 .zip 파일 >추출 모두>추출을 마우스 오른쪽 단추로 클릭합니다. 폴더 구조는 다음 폴더와 유사합니다.

      

5. 보기 탭에서 파일 이름 확장명을 검사.

   

6. 폴더에서 로 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471이동합니다. 모든 .dll >속성>차단 해제를 마우스 오른쪽 단추로 클릭합니다.

   

7. Windows PowerShell 앱에서 다음을 입력합니다.

   Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
   

   신뢰할 수 없는 게시자에서 실행하라는 메시지가 표시되면 를 입력 R 합니다.

8. Intune 관리 템플릿은 베타 버전의 Graph를 사용합니다.

   1. 입력: Update-MSGraphEnvironment -SchemaVersion 'beta'

   2. 입력: Connect-MSGraph -AdminConsent

   3. 메시지가 표시되면 동일한 Microsoft 365 관리자 계정으로 로그인합니다. 이러한 cmdlet은 테넌트 organization 정책을 만듭니다.

      사용자: Microsoft 365 테넌트 구독의 관리자 계정을 입력합니다.
      암호: 암호를 입력합니다.

   4. 수락을 선택합니다.

9. 테스트 구성 구성 프로필을 만듭니다. 입력:

   $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
   

   이러한 cmdlet이 성공하면 프로필이 만들어집니다. 확인하려면 Intune 관리 센터 > 디바이스구성으로> 이동합니다. 테스트 구성 프로필이 나열되어야 합니다.

10. 모든 SettingDefinitions를 가져옵니다. 입력:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    

11. 설정 표시 이름을 사용하여 정의 ID를 찾습니다. 입력:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    

12. 설정을 구성합니다. 입력:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

정책 보기

1. Intune 관리 센터에서 >디바이스>구성>새로 고침.
2. 테스트 구성 프로필 >설정을 선택합니다.
3. 드롭다운 목록에서 모든 제품을 선택합니다.

Windows 자격 증명 설정이 구성된 OneDrive 동기화 클라이언트에 사용자를 자동으로 로그인합니다.

정책 모범 사례

Intune 정책 및 프로필을 만들 때 고려해야 할 몇 가지 권장 사항과 모범 사례가 있습니다. 자세한 내용은 정책 및 프로필 모범 사례를 참조하세요.

리소스를 정리합니다.

더 이상 필요하지 않은 경우 다음을 수행할 수 있습니다.

• 만든 그룹을 삭제합니다.

  • 모든 Windows 10 학생 장치
  • 모든 Windows 디바이스
  • 모든 교사

• 만든 관리 템플릿을 삭제합니다.

  • 관리 템플릿 - 학생 디바이스 Windows 10
  • 관리 템플릿 - 모든 Windows 10 사용자에게 적용되는 OneDrive 정책
  • 테스트 구성

• Windows PowerShell 실행 정책을 원래 값으로 다시 설정합니다. 다음 예제에서는 실행 정책을 Restricted로 설정합니다.

  Set-ExecutionPolicy -ExecutionPolicy Restricted
  

다음 단계

이 자습서에서는 Microsoft Intune 관리 센터에 대해 더 잘 알고, 쿼리 작성기를 사용하여 동적 그룹을 만들고, Intune 관리 템플릿을 만들어 ADMX 설정을 구성했습니다. 또한 온-프레미스 및 클라우드에서 ADMX 템플릿을 사용하여 Intune 비교했습니다. 보너스로 PowerShell cmdlet을 사용하여 관리 템플릿을 만들었습니다.

Intune 관리 템플릿에 대한 자세한 내용은 다음을 참조하세요.

Windows 10/11 템플릿을 사용하여 Intune 그룹 정책 설정 구성