준수 정책을 사용하여 Intune으로 관리하는 디바이스에 대한 규칙 설정

Intune과 같은 MDM(모바일 디바이스 관리) 솔루션은 사용자 및 디바이스가 일부 요구 사항을 충족할 것을 요구하므로 조직 데이터를 보호하는 데 도움이 됩니다. Intune에서는 이 기능을 준수 정책이라고 합니다.

Intune의 준수 정책:

  • 사용자 및 디바이스가 준수로 간주되기 위해 충족해야 하는 규칙 및 설정을 정의합니다.
  • 비준수 디바이스에 적용되는 작업을 포함합니다. 비준수에 대한 작업은 사용자에게 비준수 상태를 경고하고 비준수 디바이스에서 데이터를 보호할 수 있습니다.
  • 조건부 액세스를 함께 사용할 수 있으며, 이를 통해 규칙을 충족하지 않는 사용자 및 디바이스를 차단할 수 있습니다.
  • 디바이스 구성 정책을 통해 관리하는 설정의 구성을 재정의할 수 있습니다. 정책의 충돌 해결에 대한 자세한 내용은 충돌하는 규정 준수 및 디바이스 구성 정책을 참조하세요.

Intune의 준수 정책은 두 부분으로 구성됩니다.

  • 준수 정책 설정 – 모든 디바이스에서 수신하는 기본 제공 준수 정책과 같은 테넌트 전체 설정입니다. 준수 정책 설정은 디바이스 준수 정책을 수신하지 않은 디바이스를 준수 또는 비준수로 처리할지를 비롯하여 Intune 환경에서 준수 정책이 작동하는 방식에 대한 기준을 설정합니다.

  • 디바이스 준수 정책 – 사용자 또는 디바이스 그룹에 구성하고 배포하는 플랫폼별 규칙입니다. 이러한 규칙은 최소 운영 체제 또는 디스크 암호화 사용과 같은 디바이스 요구 사항을 정의합니다. 디바이스는 이러한 규칙을 충족해야만 준수로 간주됩니다.

다른 Intune 정책과 마찬가지로, 디바이스에 대한 준수 정책 평가는 디바이스가 Intune을 사용하여 체크인한 시기와 정책 및 프로필 새로 고침 주기에 따라 달라집니다.

규정 준수 정책 설정

준수 정책 설정은 Intune의 준수 서비스가 디바이스와 상호 작용하는 방법을 결정하는 테넌트 전체 설정입니다. 이는 디바이스 준수 정책에서 구성하는 설정과는 다릅니다.

규정 준수 정책 설정을 관리하려면 Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>디바이스 준수>정책 설정으로 이동합니다.

준수 정책 설정에는 다음 설정이 포함됩니다.

  • 준수 정책이 할당되지 않은 디바이스를 다음으로 표시

    이 설정은 Intune에서 디바이스 준수 정책이 할당되지 않은 디바이스를 처리하는 방법을 결정합니다. 이 설정에는 두 가지 값이 있습니다.

    • 규정 준수(기본): 이 보안 기능은 꺼져 있습니다. 디바이스 준수 정책을 수신하지 않은 디바이스가 준수로 간주됩니다.
    • 비준수: 이 보안 기능은 꺼져 있습니다. 디바이스 준수 정책을 수신하지 않은 디바이스가 비준수로 간주됩니다.

    디바이스 준수 정책과 함께 조건부 액세스를 사용하는 경우 이 설정을 비준수 로 변경하여 규격으로 확인된 디바이스만 리소스에 액세스할 수 있도록 합니다.

    최종 사용자가 정책이 할당되지 않았기 때문에 비준수로 간주되는 경우 회사 포털 앱에 ‘준수 정책이 할당되지 않음’으로 표시됩니다.

  • 준수 상태 유효 기간(일)

    디바이스가 수신된 모든 준수 정책에 성공적으로 보고해야 하는 기간을 지정합니다. 유효 기간이 만료하기 전에 정책에 대한 준수 상태를 보고하지 못하는 디바이스는 비준수로 처리됩니다.

    기본적으로 이 기간은 30일로 설정됩니다. 기간은 1~120일 사이로 구성할 수 있습니다.

    유효 기간 설정에 대한 디바이스 준수에 대한 세부 정보를 볼 수 있습니다. Microsoft Intune 관리 센터에 로그인하고 디바이스>모니터>설정 준수로 이동합니다. 설정 열에서 이 설정의 이름은 활성입니다. 이 설정과 관련된 준수 상태 보기에 대한 자세한 내용은 디바이스 준수 모니터링을 참조하세요.

장치 준수 정책

Intune 디바이스 준수 정책:

  • 사용자 및 관리 디바이스가 준수로 간주되기 위해 충족해야 하는 규칙 및 설정을 정의합니다. 이러한 규칙에는 디바이스가 최소 OS 버전에서 실행됨, 탈옥 또는 루팅되지 않음, Intune과 통합된 위협 관리 소프트웨어에 지정된 위협 수준 이하임 등이 있습니다.
  • 준수 규칙을 충족하지 않는 디바이스에 적용되는 작업을 지원합니다. 이러한 작업에는 원격 잠금, 디바이스 사용자가 문제를 해결할 수 있도록 디바이스 상태에 대한 이메일 전송 등이 있습니다.
  • 사용자 그룹의 사용자 또는 장치 그룹의 디바이스에 배포합니다. 준수 정책을 사용자에게 배포하면 해당 사용자의 모든 디바이스에서 준수 상태가 검사됩니다. 이 시나리오에서 디바이스 그룹을 사용하면 준수 보고에 도움이 됩니다.

조건부 액세스를 사용하는 경우, 조건부 액세스 정책이 디바이스 준수 결과를 사용하여 비준수 디바이스의 리소스 액세스를 차단할 수 있습니다.

디바이스 준수 정책에서 지정할 수 있는 설정은 정책을 만들 때 선택하는 플랫폼 유형에 따라 달라집니다. 디바이스 플랫폼마다 다른 설정을 지원하며, 각 플랫폼 유형에는 별도의 정책이 필요합니다.

다음 주제는 디바이스 구성 정책의 다양한 측면에 대한 전용 문서로 연결됩니다.

  • 비준수에 대한 작업 - 각 디바이스 준수 정책에는 비준수에 대한 작업이 하나 이상 포함되어 있습니다. 이러한 작업은 정책에 설정된 조건을 충족하지 않는 디바이스에 적용되는 규칙입니다.

    기본적으로 각 디바이스 준수 정책에는 정책 규칙을 충족하지 못할 경우 디바이스를 비준수로 표시하는 작업이 포함됩니다. 그런 다음 정책은 해당 작업에 설정한 일정에 따라 비준수에 대한 추가 작업을 디바이스에 적용합니다.

    비준수에 대한 작업은 디바이스가 미준수인 경우 사용자에게 경고하거나 디바이스에 있을 수 있는 데이터를 보호하는 데 도움이 됩니다. 작업의 예는 다음과 같습니다.

    • 사용자 및 그룹에게 비준수 디바이스에 대한 세부 정보가 포함된 이메일 경고 전송. 디바이스가 비준수로 표시되는 즉시 이메일을 보내도록 정책을 구성하고 디바이스가 정책을 준수할 때까지 주기적으로 다시 보낼 수 있습니다.
    • 일정 기간 동안 비준수 상태를 유지한 디바이스를 원격으로 잠금.
    • 일정 기간 동안 비준수 상태를 유지한 디바이스 사용 중지. 이 작업은 적격 디바이스를 사용 중지할 준비가 된 것으로 표시합니다. 그런 다음 관리자는 사용 중지로 표시된 디바이스 목록을 볼 수 있으며 하나 이상의 디바이스를 사용 중지하려면 명시적 조치를 취해야 합니다. 디바이스를 사용 중지하면 디바이스를 Intune 관리에서 제거하고 디바이스에서 모든 회사 데이터를 삭제합니다. 이 작업에 대한 자세한 내용은 비준수에 사용할 수 있는 작업을 참조하세요.
  • 정책 만들기 – 이 문서의 정보를 사용하여 필수 구성 요소를 검토하고, 옵션을 사용하여 규칙을 구성하고, 비준수에 대한 작업을 지정하고, 그룹에 정책을 할당할 수 있습니다. 또한 이 문서에는 정책 새로 고침 시간에 대한 정보도 포함되어 있습니다.

    다양한 디바이스 플랫폼에 대한 디바이스 준수 설정을 확인하세요.

  • 사용자 지정 규정 준수 설정 – 사용자 지정 규정 준수 설정을 사용하면 Intune의 기본 제공 디바이스 준수 옵션을 확장할 수 있습니다. 사용자 지정 설정은 Intune이 해당 설정을 추가할 때까지 기다릴 필요 없이 디바이스에서 사용할 수 있는 설정을 기반으로 하는 유연성을 제공합니다.

    다음 플랫폼에서 사용자 지정 규정 준수 설정을 사용할 수 있습니다.

    • Linux – Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
    • Windows 10/11

준수 상태 모니터링

Intune에는 디바이스 준수 상태를 모니터링하고 정책 및 디바이스에 대한 자세한 정보를 확인할 수 있는 디바이스 준수 대시보드가 포함되어 있습니다. 대시보드에 대한 자세한 내용은 디바이스 준수 모니터링을 참조하세요.

조건부 액세스와 통합

조건부 액세스를 사용하는 경우 디바이스 준수 정책의 결과를 사용하여 조직 리소스에 액세스할 수 있는 디바이스를 결정하도록 조건부 액세스 정책을 구성할 수 있습니다. 이 액세스 제어는 디바이스 준수 정책에 포함된 비준수에 대한 작업과 별도로 추가됩니다.

디바이스가 Intune에 등록되면 Microsoft Entra ID로 등록됩니다. 디바이스에 대한 규정 준수 상태 Microsoft Entra ID에 보고됩니다. 조건부 액세스 정책에서 액세스 제어가 준수 상태로 표시된 디바이스 필요로 설정된 경우 조건부 액세스는 해당 준수 상태를 사용하여 메일 및 기타 조직 리소스에 대한 액세스를 허용 또는 차단할지 여부를 결정합니다.

디바이스 준수 상태를 조건부 액세스 정책과 함께 사용하는 경우 테넌트가 준수 정책이 할당되지 않은 디바이스를 다음으로 표시를 어떻게 구성했는지 검토합니다. 이 설정은 준수 정책 설정에서 관리합니다.

디바이스 준수 정책에서 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 디바이스 기반 조건부 액세스를 참조하세요.

Microsoft Entra 설명서에서 조건부 액세스에 대해 자세히 알아보세요.

다양한 플랫폼의 비준수 및 조건부 액세스에 대한 참조

다음 표에서는 준수 정책을 조건부 액세스 정책과 함께 사용할 경우 비준수 설정을 관리하는 방법을 설명합니다.

  • 재구성됨: 디바이스 운영 체제에서 준수를 적용하도록 요구합니다. 예를 들어 사용자에게 PIN을 설정하도록 강제합니다.

  • 격리됨: 디바이스 운영 체제에서 준수를 적용하도록 요구하지 않습니다. 예를 들어, Android 및 Android 엔터프라이즈 디바이스는 사용자에게 디바이스를 암호화하도록 강제하지 않습니다. 디바이스가 규정을 준수하지 않으면 다음 작업이 수행됩니다.

    • 조건부 액세스 정책이 사용자에게 적용될 경우 디바이스가 차단됩니다.
    • 회사 포털 앱은 모든 준수 문제에 대해 사용자에게 알립니다.

정책 설정 플랫폼
허용되는 배포판 Linux(전용) - 격리됨
디바이스 암호화 - Android 4.0 이상: 격리됨
- Samsung Knox Standard 4.0 이상: 격리됨
- Android Enterprise: 격리됨

- iOS 8.0 이상: 수정됨(PIN 설정)
- macOS 10.11 이상: 격리됨

- Linux: 격리됨

- Windows 10/11: 격리됨
전자 메일 프로필 - Android 4.0 이상: 해당 없음
- Samsung Knox Standard 4.0 이상: 해당 없음
- Android Enterprise: 해당 없음

- iOS 8.0 이상: 격리됨
- macOS 10.11 이상: 격리됨

- Linux: 해당 없음

- Windows 10/11: 해당 없음
무단 해제 또는 루팅된 디바이스 - Android 4.0 이상: 격리됨(설정 아님)
- Samsung Knox Standard 4.0 이상: 격리됨(설정 아님)
- Android Enterprise: 격리됨(설정 아님)

- iOS 8.0 이상: 격리됨(설정 아님)
- macOS 10.11 이상: 해당 없음

- Linux: 해당 없음

- Windows 10/11: 해당 없음
최대 OS 버전 - Android 4.0 이상: 격리됨
- Samsung Knox Standard 4.0 이상: 격리됨
- Android Enterprise: 격리됨

- iOS 8.0 이상: 격리됨
- macOS 10.11 이상: 격리됨

- Linux: 허용된 배포판을 참조하세요.

- Windows 10/11: 격리됨
최소 OS 버전 - Android 4.0 이상: 격리됨
- Samsung Knox Standard 4.0 이상: 격리됨
- Android Enterprise: 격리됨

- iOS 8.0 이상: 격리됨
- macOS 10.11 이상: 격리됨

- Linux: 허용된 배포판을 참조하세요.

- Windows 10/11: 격리됨
PIN 또는 암호 구성 - Android 4.0 이상: 격리됨
- Samsung Knox Standard 4.0 이상: 격리됨
- Android Enterprise: 격리됨

- iOS 8.0 이상: 수정됨
- macOS 10.11 이상: 수정됨

- Linux: 격리됨

- Windows 10/11: 수정됨
Windows 상태 증명 - Android 4.0 이상: 해당 없음
- Samsung Knox Standard 4.0 이상: 해당 없음
- Android Enterprise: 해당 없음

- iOS 8.0 이상: 해당 없음
- macOS 10.11 이상: 해당 없음

- Linux: 해당 없음

- Windows 10/11: 격리됨

참고

회사 포털 앱은 사용자가 앱에 로그인하고 디바이스가 30일 이상 Intune에서 성공적으로 체크 인되지 않은 경우 등록 수정 흐름에 들어갑니다(또는 분실한 연락처 준수 이유로 인해 디바이스가 비준수임). 이 흐름에서는 한 번 더 검사 시작하려고 합니다. 그래도 성공하지 못하면 사용자가 수동으로 디바이스를 다시 등록할 수 있도록 사용 중지 명령을 실행합니다.


다음 단계