Windows용 Intune 관리 확장

Intune 관리 확장(IME)은 MDM(Windows 디바이스 관리)을 향상시키는 설치 관리자 에이전트입니다. 고급 디바이스 관리 기능을 사용하도록 설정하여 표준 Windows MDM 기능을 보완합니다.

참고

PowerShell 스크립트에 대한 자세한 내용은 Intune Windows 10/11 디바이스에서 PowerShell 스크립트 사용을 참조하세요.

중요

확장된 기능 및 버그 수정을 지원하려면 windows 클라이언트에서 Intune 관리 확장과 함께 .NET Framework 4.7.2 이상을 사용합니다. Windows 클라이언트가 이전 버전의 .NET Framework 사용하는 경우 Intune 관리 확장이 계속 작동합니다. .NET Framework 4.7.2는 2018년 7월 10일부터 Windows 업데이트 사용할 수 있으며 Windows 10 버전 1809(RS5) 이상에 포함되어 있습니다. 여러 버전의 .NET Framework 디바이스에서 공존할 수 있습니다.

이 기능은 다음에 적용됩니다.

• Windows 10 이상(S 모드에서 실행되는 Windows 10 Home 및 Windows 디바이스 제외)

참고

Intune 관리 확장 필수 구성 요소가 충족되면 사용자 또는 디바이스에 다음 중 어느 것을 할당하면 확장이 자동으로 설치됩니다.

• PowerShell 스크립트
• Win32 앱
• Microsoft Store 앱
• 사용자 지정 규정 준수 정책 설정
• 사전 예방적 수정

자세한 내용은 Intune 관리 확장 필수 구성 요소를 참조하세요.

필수 구성 요소

Intune 관리 확장에는 다음과 같은 필수 구성 요소가 있습니다. 필수 구성 요소가 충족되면 PowerShell 스크립트 또는 Win32 앱이 사용자 또는 디바이스에 할당되면 Intune 관리 확장이 자동으로 설치됩니다.

• Windows 10 버전 1607 이상을 실행하는 디바이스. 자동 등록을 사용하여 디바이스를 등록하는 경우 Windows 10 버전 1709 이상을 실행해야 합니다. S 모드에서는 비스토어 앱 실행을 허용하지 않으므로 Intune 관리 확장은 S 모드에서 Windows 10 지원하지 않습니다.

• 다음을 포함하여 Microsoft Entra ID 조인된 디바이스

  • Microsoft Entra 하이브리드 조인: AD(Microsoft Entra ID 및 온-프레미스 Active Directory)에 조인된 디바이스입니다. 지침은 Microsoft Entra 하이브리드 조인 구현 계획을 참조하세요.

  • Microsoft Entra 등록/작업 공간 조인(WPJ): Microsoft Entra ID 등록된 디바이스입니다. 자세한 내용은 원활한 2단계 인증으로 Workplace Join을 참조하세요. 일반적으로 설정> 계정액세스 회사 또는 학교를 통해 회사 또는 학교 계정이 추가된 BYOD(Bring Your Own Device) 디바이스입니다>.

• Intune에 등록된 디바이스는 다음을 포함합니다.

  • GPO(그룹 정책)를 사용하여 등록된 디바이스입니다. 자세한 내용은 그룹 정책 사용하여 Windows 디바이스 자동 등록을 참조하세요.

  • Intune 수동으로 등록된 디바이스는 다음과 같은 경우에 발생합니다.

    • Microsoft Entra ID Intune 자동 등록이 사용하도록 설정됩니다. 사용자는 로컬 사용자 계정을 사용하여 디바이스에 로그인하고 수동으로 디바이스를 조인하여 Microsoft Entra ID. 그런 다음, Microsoft Entra 계정을 사용하여 디바이스에 로그인합니다.

    또는

    • 사용자는 Microsoft Entra 계정을 사용하여 디바이스에 로그인한 다음, Intune 등록합니다.

  • Configuration Manager 및 Intune 사용하여 디바이스를 공동 관리합니다. Win32 앱을 설치할 때 앱 워크로드를 파일럿 Intune 설정하거나 Intune. 앱 워크로드가 Configuration Manager 설정된 경우에도 PowerShell 스크립트가 실행됩니다. Intune 관리 확장은 PowerShell 스크립트를 디바이스에 대상으로 지정할 때 디바이스에 배포됩니다. 디바이스는 Microsoft Entra ID 또는 Microsoft Entra 하이브리드 조인되어 Windows 10 버전 1607 이상을 실행해야 합니다. 지침은 다음 문서를 참조하세요.

    • What is co-management(공동 관리란?)
    • 클라이언트 앱 워크로드
    • Configuration Manager 워크로드를 Intune으로 전환하는 방법

• 방화벽 및 프록시 서버 뒤에 있는 디바이스의 경우 Intune 통신을 사용하도록 설정합니다. 자세한 내용은 PowerShell 스크립트 및 Win32 앱에 대한 네트워크 요구 사항을 참조하세요.

참고

Windows 10 또는 Windows 11 가상 머신 사용에 대한 자세한 내용은 Microsoft Intune Windows 10 가상 머신 사용을 참조하세요.

Intune 관리 확장 에이전트 설치 이해

필수 구성 요소를 충족하는 디바이스의 경우 특정 기능이 사용자 또는 디바이스에 할당되면 Intune 관리 확장이 자동으로 설치됩니다. 설치는 일반적으로 다음 기능이 할당된 경우에 발생합니다.

• PowerShell 스크립트
• 수정 사항
• 사용자 지정 규정 준수를 위한 검색 스크립트
• Win32 앱
• 엔드포인트 분석
• 원격 지원
• Intune 관리되는 설치 관리자
• 구성 MDM 정책을 사용하여 Windows BIOS 업데이트

참고

IME를 롤아웃하고 업데이트하는 방법에 대한 자세한 내용은 Microsoft Intune 릴리스 업데이트에 대한 서비스 정보를 참조하세요.

에이전트는 해당하는 경우 에 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs 설치되며 Windows 디바이스의 시작 메뉴에 표시되지 않습니다. Windows 디바이스에서 실행할 때 에이전트가 작업 관리자의 서비스 아래에 IntuneManagementExtension으로 표시됩니다.

Intune 관리 확장 기능

• IME는 Windows 디바이스에 대한 할당된 설치를 수신하기 위해 체크 인하기 전에 Intune 서비스를 사용하여 자동으로 인증합니다.
• IME는 약 8시간마다 Intune 서비스를 사용하여 새 설치 또는 업데이트된 설치를 확인합니다. 이 검사 프로세스는 MDM 검사 독립적입니다.

Windows 디바이스에서 Intune 관리 IME 검사 수동으로 시작

IME가 설치된 Windows 디바이스에서 회사 포털 열고 설정동기화를> 선택합니다. 그러면 MDM 검사 및 IME 검사 시작됩니다.

또는 작업 관리자를 열고 IntuneManagementExtension 서비스를 찾아 마우스 오른쪽 단추로 클릭하고 다시 시작을 선택합니다. IntuneManagementExtension 서비스가 즉시 다시 시작되어 Intune 검사 시작합니다.

참고

설정 앱(Windows 10 이상) 또는 Microsoft Intune 관리 센터의 디바이스에서 동기화 작업은 MDM 검사 시작하지만 IME 검사 강제 적용하지는 않습니다.

Intune 관리 확장 제거

IME는 다음 조건에 따라 디바이스에서 제거됩니다.

• 셸 스크립트는 더 이상 디바이스에 할당되지 않습니다.
• Windows 디바이스는 더 이상 관리되지 않습니다.
• IME는 24시간 이상 복구할 수 없는 상태입니다(디바이스 절전 모드 해제 시간).

일반적인 문제 및 해결 방법

문제: Intune 관리 확장이 다운로드되지 않음

가능한 해결 방법:

• 디바이스가 Microsoft Entra ID 조인되지 않습니다. 디바이스가 이 문서의 필수 구성 요소를 충족하는지 확인합니다.
• 사용자 또는 디바이스가 속한 그룹에는 PowerShell 스크립트 또는 Win32 앱이 할당되지 않습니다.
• 디바이스가 Intune 서비스에 체크 인할 수 없습니다. 예를 들어 인터넷에 액세스하거나 WNS(Windows 푸시 알림 서비스)에 액세스할 수 없습니다.
• 디바이스가 S 모드에 있습니다. Intune 관리 확장은 S 모드에서 실행되는 디바이스를 지원하지 않습니다.
• Windows 10 디바이스에서 프록시가 사용자 수준에서만 구성된 경우(컴퓨터 전체가 아닌) 사용자가 디바이스에 로그인되었는지 확인합니다. 또는 를 사용하여 bitsadmin /util /setieproxy BITS(Background Intelligent Transfer Service)에 대한 프록시를 수동으로 구성합니다. 자세한 내용은 bitsadmin util 및 setieproxy를 참조하세요.

디바이스가 자동으로 등록되었는지 검사 하려면 다음을 수행합니다.

1. 설정>계정>회사 또는 학교 액세스로 이동합니다.
2. 가입된 계정 >정보를 선택합니다.
3. 고급 진단 보고서 아래에서 보고서 만들기를 선택합니다.
4. 웹 브라우저에서 MDMDiagReport를 엽니다.
5. MDMDeviceWithAAD 속성을 검색합니다. 속성이 있으면 디바이스가 자동으로 등록됩니다. 이 속성이 없으면 디바이스가 자동으로 등록되지 않습니다.

Windows 자동 등록 사용은 Intune 자동 등록을 구성하는 단계를 포함합니다.

Intune 관리 확장 로그

클라이언트 컴퓨터의 IME 로그는 일반적으로 에 있습니다 C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. CMTrace.exe 사용하여 이러한 로그 파일을 봅니다.

또한 로그 파일 AppWorkload.log 사용하여 클라이언트에서 Win32 앱 관리 이벤트 문제를 해결하고 분석합니다. 이 로그 파일에는 IME에서 수행하는 앱 배포 활동과 관련된 모든 로깅 정보가 포함되어 있습니다.

IME 로그 파일

로그 파일	설명
IntuneManagementExtension.log	기본 로그 파일입니다. 여기에는 모든 IME 검사, 정책 요청, 정책 처리 및 보고 활동이 포함됩니다.
AgentExecutor.log	PowerShell 스크립트 실행(Intune 배포)을 추적합니다.
AppActionProcessor.log	할당된 앱에 대한 검색 및 적용 가능성 검사 작업을 추적합니다.
AppWorkload.log	Win32 앱 배포 활동 문제를 해결하고 분석하는 데 도움이 됩니다.
ClientCertCheck.log	디바이스 클라이언트 인증서 검사를 추적합니다.
ClientHealth.log	Intune 관리 확장의 상태를 추적합니다.
DeviceHealthMonitoring.log	하드웨어 준비 상태, 디바이스 인벤토리 및 기타 데이터 수집기의 상태를 추적합니다.
HealthScripts.log	정기적인 일정에 따라 실행되는 수정의 상태를 추적합니다.
Sensor.log	부팅 성능, 앱 안정성 등을 포함하여 엔드포인트 분석 데이터 수집기의 상태를 추적합니다.
Win32AppInventory.log	앱 인벤토리 수집기의 상태를 추적합니다.

다음 단계

• 만든 앱이 앱 목록에 표시됩니다. 선택한 그룹에 할당합니다. 자세한 내용은 Microsoft Intune 사용하여 그룹에 앱 할당을 참조하세요.
• 앱 속성 및 할당 모니터링에 대해 자세히 알아봅니다. 자세한 내용은 Microsoft Intune으로 앱 정보 및 할당을 모니터링 하는 방법을 참조하세요.
• Intune 앱의 컨텍스트에 대해 자세히 알아봅니다. 자세한 내용은 MICROSOFT INTUNE MDM(모바일 디바이스 관리) 수명 주기 개요를 참조하세요.