Microsoft Intune 다양한 조직 요구 사항에 대해 Microsoft Entra ID 보안 그룹을 사용합니다. 이러한 요구 사항에는 지리적 위치, 부서, 하드웨어 특성 등을 기준으로 사용자 또는 디바이스를 그룹화해야 합니다. Intune Entra 그룹 사용을 지원하기 위해 Intune 관리 센터에는 모든 기능이 포함된 Entra Groups 사용자 인터페이스가 포함됩니다. Entra 및 Intune 관리자가 만들 수 있는 새 그룹에 표시되는 모든 그룹은 microsoft 365와 같은 Entra Groups 사용자 인터페이스를 공유하는 Intune, Entra 및 기타 제품에 표시됩니다.
Intune 관리자는 정책을 배포하고, 앱을 배포하고, 다른 관리 사용자의 권한을 할당할 때 잘 정의된 그룹을 사용하여 Intune 구독의 다양한 측면을 관리할 수 있습니다.
이 문서에서는 관리 센터 내에서 해당 그룹을 관리하고 사용하는 데 필요한 권한에 대한 세부 정보를 포함하여 Intune 관리 센터를 사용하여 Intune 사용할 그룹을 만드는 데 중점을 둡니다.
Entra 설명서에서 Microsoft Entra 그룹에 대해 자세히 알아볼 수 있습니다.
그룹 작업을 위한 역할 기반 액세스 제어
기본적으로 모든 Microsoft Entra 사용자 계정에는 Entra RBAC(역할 기반 액세스 제어) 역할이 할당되지 않고 새 그룹을 만들고 구성할 수 있는 권한이 있습니다. 이러한 권한은 Intune 관리 센터 내의 그룹 노드를 사용하도록 확장됩니다.
그룹을 만든 사용자, 소유자로 할당된 사용자 및 Entra 그룹을 관리할 수 있는 충분한 Entra RBAC 권한이 있는 사용자만 그룹의 속성을 편집할 수 있습니다. 그룹을 편집할 권한이 없는 다른 사용자는 구성원 자격을 볼 수 있으며, Intune 관리하는 경우 Intune 정책, 앱 및 역할 할당을 그룹에 할당할 수 있습니다.
다음 Microsoft Entra 기본 제공 RBAC 역할은 다른 사용자가 만든 Entra 그룹을 편집하고 관리할 수 있는 충분한 권한을 포함하는 최소 권한의 기본 제공 역할입니다.
- 그룹 관리자 – 이 역할은 Microsoft Intune, Microsoft Entra 및 Microsoft 365에 대한 관리 센터 내에서 그룹을 추가하고 편집할 수 있는 충분한 권한을 제공합니다.
RBAC를 사용하는 경우 작업에 필요한 최소 권한이 있는 계정만 사용하고 Intune 관리자와 같은 권한 있는 관리 역할의 사용 및 할당을 제한하여 최소 사용 권한 원칙을 따르는 것이 좋습니다.
Microsoft Entra 그룹 및 그룹 액세스에 대한 자세한 내용은 Entra 설명서에서 그룹 및 액세스 권한에 대해 알아보기를 참조하세요.
Intune 사용하는 그룹의 요구 사항
Intune 관리자는 새 그룹을 만들거나 정책 배포 또는 관리 역할에 할당할 때 Microsoft Entra 그룹의 다음과 같은 측면을 알고 있어야 합니다.
보안 - Intune 사용하는 그룹은 보안을 사용하도록 설정된 그룹이어야 합니다. 일반적으로 그룹을 만들 때 그룹 그룹 유형을보안 으로 설정해야 합니다. 보안 그룹은 사용자와 디바이스를 모두 멤버로 지원합니다.
기본적으로 Microsoft Entra Microsoft 365 그룹은 보안이 지원되지 않으며, 사용자만 구성원으로 지원하며, Intune 지원되지 않습니다. Microsoft Graph PowerShell을 사용하여 기본 Microsoft 365 그룹과 같이 Intune 지원하는 보안 지원 Microsoft 365 그룹을 만들 수 있지만 디바이스가 아닌 사용자만 포함할 수 있습니다.
멤버 자격 - Intune 할당된 그룹 멤버 자격과 동적 그룹 멤버 자격을 모두 지원합니다. 규칙에 따라 수동으로 또는 자동으로 그룹 멤버 자격을 관리하는 방법에 따라 멤버 자격 유형을 선택합니다. 예를 들어 Endpoint Security Manager와 같은 기본 제공 Intune RBAC 역할을 관리 사용자에게 할당하려면 수동으로 할당된 멤버가 있는 그룹을 사용하여 해당 권한 있는 역할을 받는 사람을 제한합니다. 반대로 모든 Windows 11 디바이스에 기본 디바이스 구성 정책 집합을 배포하려면 디바이스 운영 체제 버전에 따라 멤버를 동적으로 추가하는 그룹을 사용할 수 있습니다. 동적 그룹을 사용하면 디바이스를 그룹에 수동으로 추가할 필요 없이 Intune 등록하는 디바이스가 의도한 기본 정책을 자동으로 받도록 할 수 있습니다.
Intune 모든 사용자 및 모든 디바이스 그룹
Intune 만들고 사용할 수 있는 Microsoft Entra 그룹 외에도 Intune Intune 컨텍스트 내에서 및 Intune 관리 센터 내에서만 사용할 수 있는 두 개의 가상 그룹을 포함합니다.
- 모든 사용자 - 이 그룹에는 Intune 대한 라이선스가 있는 모든 사용자가 자동으로 포함됩니다.
- 모든 디바이스 - 이 그룹에는 Intune 등록하는 각 디바이스가 자동으로 포함됩니다.
이러한 가상 그룹은 광범위하게 적용해야 하는 Intune 정책 및 할당을 사용하여 적용 가능한 모든 사용자 또는 디바이스를 쉽게 대상으로 지정할 수 있는 방법을 제공합니다.
예를 들어 모든 디바이스 그룹에 Intune 규정 준수 정책을 배포하여 organization 모든 디바이스가 충족해야 하는 최소 수준의 규정 준수 요구 사항을 설정할 수 있습니다. 나중에 특정 Entra 그룹에 더 많은 요구 사항을 배포하여 특정 디바이스 또는 사용자 그룹에 대해 가질 수 있는 추가 요구 사항을 적용할 수 있습니다.
팁
Intune 내의 그룹에 필터를 사용하는 것이 좋습니다. Microsoft Intune 앱, 정책 및 프로필을 모든 사용자 및 모든 디바이스와 같은 대규모 그룹에 할당할 때 Intune 내에서 필터를 사용할 수 있습니다. 필터는 배포를 수신하는 디바이스 또는 사용자를 동적으로 제어하는 데 도움이 될 수 있습니다. 필터 사용에 대한 자세한 내용은 다음을 참조하세요.
Intune 그룹 추가
Microsoft Intune 관리 센터 내에서 그룹을 만들 때 실제로 Microsoft Entra ID 그룹을 만듭니다. 다음 절차에서는 Intune 관리 센터에서 그룹을 만들기 위한 기본 지침을 제공합니다. 자세한 내용은 다음 Microsoft Entra 문서를 참조하세요.
- Microsoft Entra 그룹 및 그룹 멤버 자격 관리
- 기본 그룹을 만들고 Microsoft Entra ID 사용하여 멤버 추가
- Microsoft Entra ID의 그룹에 대한 동적 멤버십 규칙
Microsoft Intune 관리 센터에서 그룹을 만들려면 다음을 수행합니다.
Microsoft Intune 관리 센터에 로그인한 다음 그룹새 그룹을선택합니다>.
Microsoft Entra 있는 것과 동일한 인터페이스인 새 그룹 창이 열립니다.
새 그룹에 대해 다음 옵션을 구성합니다.
그룹 유형을보안으로 설정합니다.
그룹 이름에 그룹을 명확하게 식별하는 의미 있는 이름을 지정합니다. 이 이름은 관리 센터에서 그룹으로 작업하는 사용자에게 표시됩니다.
선택 사항인 그룹 설명의 경우 의도한 용도와 같이 그룹에 대한 다른 세부 정보를 지정합니다.
멤버 자격 유형에 대해 다음 옵션 중에서 선택합니다.
할당 됨 – 이 멤버 자격 유형을 사용하면 그룹을 만든 후 지금 또는 나중에 수행할 수 있는 그룹에 사용자를 수동으로 추가해야 합니다.
현재 사용자를 추가하려면 구성원 추가 창을 열려고 선택한 멤버 없음을 찾아 선택합니다.
창에서 사용자 또는 디바이스 탭을 사용하여 이 그룹에 추가할 각 개체 옆에 있는 확인란을 선택할 수 있습니다.
이 그룹 내에서 그룹을 중첩하려는 경우 그룹 탭을 선택할 수도 있습니다. 그룹을 멤버로 포함하는 그룹을 부모 그룹이라고 합니다. 멤버 자격 관계로 그룹을 중첩하는 경우 나중에 할당에 부모 그룹을 사용하는 관리자에게 명확하지 않을 수 있습니다. 중첩된 그룹에 대한 멤버 자격 변경은 부모 그룹의 유효 멤버 자격에 자동으로 적용됩니다.
중요
Intune 배포 중에 정책 충돌 및 예측할 수 없는 동작으로 이어질 수 있으므로 사용자와 디바이스를 모두 포함하는 그룹을 만들지 마십시오.
팁
디바이스 그룹을 만들려면 디바이스 범주를 사용하여 Intune 등록할 때 디바이스를 그룹에 자동으로 조인할 수 있습니다.
동적 사용자 - 이 멤버 자격 유형을 사용하여 동적 쿼리 추가 를 선택한 다음, 동적 멤버 자격 규칙을 구성합니다. 지침은 Microsoft Entra ID 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.
중요
동적 사용자 그룹을 사용하려면 동적 그룹의 구성원인 각 사용자에 대해 Microsoft Entra ID P1 라이선스가 있어야 합니다.
동적 디바이스 - 이 멤버 자격 유형을 사용하여 동적 쿼리 추가 를 선택한 다음, 동적 멤버 자격 규칙을 구성합니다. 지침은 Microsoft Entra ID 동적 멤버 자격 그룹에 대한 규칙 관리를 참조하세요.
팁
동적 디바이스 그룹의 멤버에 대해 특정 Entra ID 라이선스가 필요하지 않습니다.
소유자 구성은 선택 사항입니다. 기본적으로 그룹을 만드는 사용자는 소유자입니다. 다른 소유자를 추가하려면 선택한 소유자 없음을 선택한 다음 사용자 탭을 선택한 다음, 이 그룹의 소유자로 추가할 사용자를 하나 이상 선택할 수 있습니다.
만들기를 선택하여 새 그룹을 추가합니다. 그룹이 목록에 표시됩니다.
그룹 편집
Intune 관리자는 그룹 구성원, 소유자 및 속성 변경과 같은 그룹을 편집할 수 있습니다.
다음 단계를 사용하여 기존 그룹을 편집합니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- 그룹>모든 그룹을>선택하여 편집할 그룹의 이름을 선택합니다.
- 관리 메뉴 그룹에서 편집할 그룹의 영역(예: 속성, 구성원 또는 소유자)을 선택합니다. Intune 해당 구성 옵션과 관련된 사용자 인터페이스를 표시합니다.
그룹 삭제
Intune 관리자는 더 이상 필요하지 않은 그룹을 삭제할 수 있습니다.
다음 단계를 사용하여 기존 그룹을 삭제합니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- > 그룹 모든 그룹을선택합니다.
- 삭제하려는 각 그룹에 대한 확인란을 선택한 다음, 모든 그룹 보기의 맨 위에 있는 옵션에서 삭제를 선택합니다. 또는 그룹의 이름을 선택하여 단일 그룹의 개요 페이지를 연 다음 해당 보기의 맨 위에서 삭제*를 선택할 수 있습니다.
팁
그룹이 삭제된 후 삭제된 그룹 목록에 표시되기까지 다소 시간이 걸릴 수 있습니다.