Microsoft Intune 정책 할당

  • 아티클

Intune 정책을 만들 때 정책 내에서 추가하고 구성한 모든 설정이 포함됩니다. 정책을 배포할 준비가 되면 다음 단계는 사용자 또는 디바이스 그룹에 정책을 "할당"하는 것입니다. 할당되면 사용자와 디바이스가 정책을 수신하고 입력한 설정이 적용됩니다.

Intune 다음 정책을 만들고 할당할 수 있습니다.

  • 앱 보호 정책
  • 앱 구성 정책
  • 규정 준수 정책
  • 조건부 액세스 정책
  • 디바이스 구성 프로필
  • 등록 정책

이 문서에서는 정책을 할당하는 방법, scope 태그 사용에 대한 일부 정보, 사용자 그룹 또는 디바이스 그룹에 정책을 할당하는 시기 등을 설명합니다.

시작하기 전에

정책 및 프로필을 할당하는 올바른 역할이 있는지 확인합니다. 자세한 내용은 Microsoft Intune 사용하여 RBAC(역할 기반 액세스 제어)를 참조하세요.

사용자 또는 그룹에 정책 할당

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>구성을 선택합니다. 모든 프로필이 나열됩니다.

  3. 속성> 할당편집을 할당 > 할 프로필을 선택합니다.>

    예를 들어 디바이스 구성 프로필을 할당하려면 다음을 수행합니다.

    1. 디바이스>구성으로 이동합니다. 모든 프로필이 나열됩니다.

    2. 속성> 할당편집을 할당 > 할 정책을 선택합니다.>

      할당을 선택하여 Microsoft Intune 사용자 및 그룹에 프로필을 배포하는 방법을 보여 주는 스크린샷

  4. 포함된 그룹 또는 제외된 그룹에서 그룹추가를 선택하여 하나 이상의 Microsoft Entra 그룹을 선택합니다. 정책을 적용 가능한 모든 디바이스에 광범위하게 배포하려면 모든 사용자 추가 또는 모든 디바이스 추가를 선택합니다.

    참고

    "모든 디바이스" 및 "모든 사용자"를 선택하면 추가 Microsoft Entra 그룹을 추가하는 옵션이 비활성화됩니다.

  5. 검토 + 저장을 선택합니다. 이 단계에서는 정책을 할당하지 않습니다.

  6. 저장을 선택합니다. 저장하면 정책이 할당됩니다. 디바이스가 Intune 서비스로 검사 경우 그룹은 정책 설정을 받습니다.

알고 사용해야 하는 할당 기능

사용자 그룹 및 디바이스 그룹

대부분의 사용자는 사용자 그룹을 사용하는 경우와 디바이스 그룹을 사용하는 경우를 알고 싶어합니다. 어떤 그룹을 사용할지는 목표에 따라 달라집니다. 다음은 시작하는 데 도움이 되는 몇 가지 지침입니다.

Device groups

로그인한 사용자에 관계없이 디바이스에 설정을 적용하려면 디바이스 그룹에 정책을 할당합니다. 디바이스 그룹에 적용되는 설정은 사용자가 아니라 항상 디바이스를 따라 이동합니다.

예제:

  • 디바이스 그룹은 전용 사용자가 없는 디바이스를 관리하는 데 유용합니다. 예를 들어, 티켓을 인쇄하거나 인벤토리를 검색하거나 교대 근무 작업자가 공유하는 디바이스는 특정 웨어하우스 등에 할당됩니다. 이러한 디바이스를 디바이스 그룹에 배치하고 이 디바이스 그룹에 정책을 할당합니다.

  • BIOS에서 설정을 업데이트하는 DFCI(디바이스 펌웨어 구성 인터페이스)를 만듭니다. 예를 들어 디바이스 카메라를 사용하지 않도록 설정하거나 사용자가 다른 OS를 부팅하지 못하도록 부팅 옵션을 잠그도록 이 정책을 구성합니다. 이 정책은 디바이스 그룹에 할당하는 좋은 시나리오입니다.

  • 일부 특정 Windows 디바이스에서는 디바이스를 사용하는 사용자에 관계없이 항상 일부 Microsoft Edge 설정을 제어하려고 할 수 있습니다. 예를 들어, 모든 다운로드를 차단하고 모든 쿠키를 현재 검색 세션으로 제한하고 검색 기록을 삭제하려고 합니다. 이 시나리오에서는 이러한 특정 Windows 디바이스를 디바이스 그룹에 배치합니다. 그런 다음, Intune 관리 템플릿을 만들고, 이러한 디바이스 설정을 추가한 다음, 이 정책을 디바이스 그룹에 할당합니다.

요약하자면, 디바이스에 로그인한 사용자가 누군지 또는 로그인한 사용자가 있는지 신경 쓰지 않는 경우 디바이스 그룹을 사용하면 됩니다. 설정이 항상 디바이스에서 유지되는 것을 원할 것입니다.

사용자 그룹

사용자 그룹에 적용되는 정책 설정은 항상 사용자와 함께 이동하며, 많은 디바이스에 로그인할 때 사용자와 함께 이동합니다. 일반적으로 사용자는 업무용 Surface Pro 및 개인 iOS/iPadOS 디바이스와 같은 여러 디바이스를 사용하게 됩니다. 또한 개인 사용자는 일반적으로 이러한 디바이스에서 메일 및 기타 조직 리소스에 액세스하게 됩니다.

사용자가 동일한 플랫폼에서 여러 디바이스를 보유한 경우, 그룹 할당에서 필터를 사용할 수 있습니다. 사용자가 개인용 iOS/iPadOS 디바이스와 조직 소유 iOS/iPadOS를 보유하고 있다고 가정해 보겠습니다. 해당 사용자에 대한 정책을 할당할 때 필터를 사용하여 조직 소유 장치만 대상으로 지정할 수 있습니다.

해당 일반 규칙을 따릅니다. 기능이 사용자(예: 메일 또는 사용자 인증서)에 속하면 사용자 그룹에 할당합니다.

예제:

  • 모든 디바이스에 모든 사용자를 위한 지원 센터 아이콘을 배치하려고 합니다. 이 시나리오에서는 이러한 사용자를 사용자 그룹에 배치하고 이 사용자 그룹에 기술 지원 센터 아이콘 정책을 할당합니다.

  • 사용자는 조직 소유의 새 디바이스를 받게 됩니다. 사용자는 해당 도메인 계정으로 디바이스에 로그인합니다. 디바이스는 Microsoft Entra ID 자동으로 등록되고 Intune 의해 자동으로 관리됩니다. 이 정책은 사용자 그룹에 할당하는 좋은 시나리오입니다.

  • 사용자가 디바이스에 로그인할 때마다 OneDrive 또는 Office와 같은 앱의 기능을 제어하려고 합니다. 이 시나리오에서는 OneDrive 또는 Office 정책 설정을 사용자 그룹에 할당합니다.

    예를 들어, Office 앱에서 신뢰할 수 없는 ActiveX 컨트롤을 차단하려고 합니다. Intune 관리 템플릿을 만들고, 이 설정을 구성한 다음, 이 정책을 사용자 그룹에 할당할 수 있습니다.

요약하자면, 어떤 디바이스를 사용하든, 설정 및 규칙이 항상 사용자와 함께 이동하도록 하려는 경우에는 사용자 그룹을 사용합니다.

Azure Virtual Desktop 다중 세션

다른 공유 Windows 클라이언트 디바이스를 관리하는 것처럼 Intune 사용하여 Azure Virtual Desktop으로 만든 Windows 다중 세션 원격 데스크톱을 관리할 수 있습니다. 사용자 그룹 또는 디바이스에 정책을 할당하는 경우 Azure Virtual Desktop 다중 세션은 특별한 시나리오입니다. 이러한 가상 머신을 사용하는 경우 디바이스 CSP는 디바이스 그룹을 대상으로 해야 합니다. 사용자 CSP는 사용자 그룹을 대상으로 해야 합니다.

자세한 내용은 Microsoft Intune Azure Virtual Desktop 다중 세션 사용을 참조하세요.

Windows CSP 및 해당 동작

Windows 장치에 대한 정책 설정은 CSP(구성 서비스 공급자)를 기반으로 합니다. 이러한 설정은 디바이스의 레지스트리 키 또는 파일에 매핑됩니다.

Windows CSP에 대해 알아야 할 내용은 다음과 같습니다.

  • Intune 이러한 CSP를 노출하므로 이러한 설정을 구성하고 Windows 디바이스에 할당할 수 있습니다. 이러한 설정은 기본 제공 템플릿 및 설정 카탈로그를 사용하여 구성할 수 있습니다. 설정 카탈로그에서 일부 설정이 사용자 범위에 적용되고 일부 설정이 디바이스 범위에 적용되는 것을 볼 수 있습니다.

    Windows 디바이스에 사용자 범위 설정 및 디바이스 범위 설정을 적용하는 방법에 대한 자세한 내용은 설정 카탈로그: 디바이스 범위 및 사용자 범위 설정으로 이동하세요.

  • 정책이 제거되거나 디바이스에 더 이상 할당되지 않으면 정책의 설정에 따라 다른 상황이 발생할 수 있습니다. 각 CSP는 정책 제거를 다르게 처리할 수 있습니다.

    예를 들어 설정에서 기존 값을 유지하고 기본값으로 되돌리지 않을 수 있습니다. 동작은 운영 체제의 각 CSP에 의해 제어됩니다. Windows CSP 목록은 CSP(구성 서비스 공급자) 참조에서 확인하세요.

    설정을 다른 값으로 변경하려면 새 정책을 만들고 설정을 구성하지 않음으로 구성하고 정책을 할당합니다. 정책이 디바이스에 적용되는 경우 사용자는 설정을 기본 설정 값으로 변경할 수 있는 제어 권한이 있어야 합니다.

  • 이러한 설정을 구성할 때는 파일럿 그룹에 배포하는 것이 좋습니다. 자세한 Intune 출시 조언은 출시 계획 만들기를 참조하세요.

정책 할당에서 그룹 제외

Intune 디바이스 구성 정책을 사용하면 정책 할당에서 그룹을 포함 및 제외할 수 있습니다.

모범 사례:

  • 사용자 그룹에 대한 정책을 만들고 할당합니다. 필터를 사용하여 해당 사용자의 디바이스를 포함하거나 제외합니다.
  • 디바이스 그룹에 대해 특별히 다른 정책을 만들고 할당합니다.

그룹에 대한 자세한 내용은 그룹을 추가하여 사용자 및 디바이스 구성을 참조하세요.

그룹 포함 및 제외 원칙

정책 및 정책을 할당할 때 다음 일반 원칙을 적용합니다.

  • 포함된 그룹 또는 제외된 그룹을 정책을 받는 사용자 및 디바이스에 대한 시작 지점으로서 생각합니다. Microsoft Entra 그룹은 제한 그룹이므로 가능한 가장 작은 그룹 scope 사용합니다. 필터를 사용하여 정책 할당을 제한하거나 구체화합니다.

  • 정적 그룹이라고도 하는 할당된 Microsoft Entra 그룹을 포함된 그룹 또는 제외된 그룹에 추가할 수 있습니다.

    일반적으로 Windows Autopilot과 같이 Microsoft Entra ID 미리 등록된 경우 디바이스를 Microsoft Entra 그룹에 정적으로 할당합니다. 일회성으로 디바이스를 결합하려면 임시 배포를 사용합니다. 그렇지 않으면 디바이스를 Microsoft Entra 그룹에 정적으로 할당하는 것이 실용적이지 않을 수 있습니다.

  • 동적 Microsoft Entra 사용자 그룹을 포함된 그룹 또는 제외된 그룹에 추가할 수 있습니다.

  • 제외된 그룹은 사용자가 있는 그룹 또는 디바이스가 있는 그룹일 수 있습니다.

  • 동적 Microsoft Entra 디바이스 그룹을 포함된 그룹에 추가할 수 있습니다. 하지만 동적 그룹 구성원을 채울 때 대기 시간이 발생할 수 있습니다. 대기 시간이 중요한 시나리오에서는 필터를 사용하여 특정 디바이스를 대상으로 지정하고 사용자 그룹에 정책을 할당합니다.

    예를 들어 등록하는 즉시 디바이스에 정책을 할당하려는 경우, 대기 시간이 중요한 상황에서 필터를 만들어 원하는 디바이스를 대상으로 지정하고, 이 필터를 사용하여 정책을 사용자 그룹에 할당합니다. 디바이스 그룹에 할당하지 않습니다.

    사용자 없는 시나리오에서 원하는 디바이스를 대상으로 하는 필터 를 만들고 필터를 사용하여 정책을 "모든 디바이스" 그룹에 할당합니다.

  • 동적 Microsoft Entra 디바이스 그룹을 제외된 그룹에 추가하지 않습니다. 등록 시 동적 디바이스 그룹 계산 시 대기 시간으로 인해 원치 않는 결과가 발생할 수 있습니다. 예를 들어 제외된 그룹 구성원이 채워지기 전에 원치 않는 앱과 정책이 배포될 수 있습니다.

지원 매트릭스

다음 매트릭스를 사용하여 그룹 제외에 대한 지원을 이해합니다.

  • ✔️: 지원됨
  • ❌: 지원되지 않음
  • ❕: 부분적으로 지원됨

정책 할당에서 그룹을 포함하거나 제외하는 지원되는 옵션을 보여 주는 스크린샷

시나리오 지원
1 ❕ 다른 동적 디바이스 그룹을 제외하는 동안 동적 디바이스 그룹에 정책 할당이 부분적으로 지원

됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다.

예를 들어 모든 디바이스에 할당된 디바이스 정책이 있습니다. 나중에 새 마케팅 디바이스는 이 정책을 수신하지 않아야 한다는 요구 사항이 생긴다고 가정해 보세요. 이에 따라 enrollmentProfilename 속성(device.enrollmentProfileName -eq "Marketing_devices")을 기반으로 마케팅 디바이스라는 동적 장치 그룹을 만들고, 정책에서 마케팅 디바이스 동적 그룹을 제외된 그룹으로 추가합니다.

새 마케팅 디바이스가 처음으로 Intune 등록되고 새 Microsoft Entra 디바이스 개체가 만들어집니다. 동적 그룹화 프로세스는 가능한 지연된 계산을 사용하여 디바이스를 마케팅 디바이스 그룹에 배치합니다. 동시에 디바이스가 Intune에 등록되고 적용 가능한 모든 정책을 수신하기 시작합니다. 디바이스가 제외 그룹에 배치되기 전에 Intune 정책이 배포될 수 있습니다. 이 동작으로 인해 원치 않는 정책(또는 앱)이 마케팅 디바이스 그룹에 배포됩니다.

따라서 대기 시간 중요한 시나리오에서 제외를 위해 동적 디바이스 그룹을 사용하지 않는 것이 좋습니다. 대신 필터를 사용합니다.
2 ✔️ 정

적 디바이스 그룹을 제외하는 동안 동적 디바이스 그룹에 정책 할당이 지원됩니다.
3

사용자 그룹(동적 및 정적 모두)을 제외하는 동안 동적 디바이스 그룹에 정책 할당은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
4 ❌ 지원

되지 않음 동적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
5 ❕ 부분적으로 지원

동적 디바이스 그룹을 제외하는 동안 정적 디바이스 그룹에 정책 할당이 지원됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다.
6 ✔️ 정

적 디바이스 그룹에 정책을 할당하고 다른 정적 디바이스 그룹을 제외하는 것이 지원됩니다.
7 ❌ 정적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원

되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
8 ❌ 정적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원

되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
9 ❌ 지원

되지 않음 동적 사용자 그룹에 정책 할당 및 디바이스 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다.
10 ❌ 지원

되지 않음 동적 사용자 그룹에 정책 할당 및 디바이스 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다.
11 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다.
12 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다.
13

디바이스 그룹(동적 및 정적 모두)을 제외하는 동안 정적 사용자 그룹에 정책 할당은 지원되지 않습니다.
14

디바이스 그룹(동적 및 정적 모두)을 제외하는 동안 정적 사용자 그룹에 정책 할당은 지원되지 않습니다.
15 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다.
16 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다.

다음 단계

정책 모니터링 및 정책을 실행하는 디바이스에 대한 지침은 디바이스 프로필 모니터링을 참조하세요.