Microsoft Intune 사용자 및 디바이스 구성 프로필 할당

디바이스 구성 프로필을 만들면 입력한 모든 설정이 포함됩니다. 다음 단계는 사용자 또는 디바이스 그룹에 프로필을 배포 또는 "할당"하는 것입니다. 할당된 경우 사용자 및 디바이스는 프로필을 수신하고 입력한 설정이 적용됩니다.

이 문서에서는 프로필을 할당하는 방법을 보여 줍니다. 여기에는 디바이스 구성 프로필에서 범위 태그를 사용하는 방법에 대한 몇 가지 정보가 포함되어 있습니다.

장치 구성 프로필 및 구성할 수 있는 항목에 대한 정보는 Microsoft Intune에서 장치 프로필을 사용하여 장치에 기능 및 설정 적용을 참조하세요.

참고

프로필이 제거되거나 디바이스에 더 이상 할당되지 않으면 프로필의 설정에 따라 다른 상황이 발생할 수 있습니다. 설정은 CSP를 기반으로 하며, 각 CSP는 프로필 제거를 다르게 처리할 수 있습니다. 예를 들어 설정에서 기존 값을 유지하고 기본값으로 되돌리지 않을 수 있습니다. 동작은 운영 체제의 각 CSP에 의해 제어됩니다. Windows CSP 목록은 CSP(구성 서비스 공급자) 참조에서 확인하세요.

설정을 다른 값으로 변경하려면 새 프로필을 만들고 구성되지 않음으로 설정을 구성한 다음 프로필을 할당합니다. 사용자는 디바이스에 적용된 설정을 선호하는 값으로 변경할 수 있습니다.

이러한 설정을 구성할 때는 파일럿 그룹에 배포하는 것이 좋습니다. 자세한 Intune 출시 조언은 출시 계획 만들기를 참조하세요.

시작하기 전에

프로필을 할당하려면 올바른 역할이 있어야 합니다. 자세한 내용은 Microsoft Intune을 통한 RBAC(역할 기반 액세스 제어)를 참조하세요.

디바이스 프로필 할당

  1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 디바이스>구성 프로필을 선택합니다. 모든 프로필이 나열됩니다.

  3. 속성> 할당편집을 할당 > 할 프로필을 선택합니다.>

    할당을 선택하여 Microsoft Intune 사용자 및 그룹에 프로필을 배포하는 방법을 보여 주는 스크린샷

  4. 포함된 그룹 또는 제외된 그룹을 선택한 다음 포함할 그룹 선택을 선택합니다. 그룹을 선택하면 Azure AD 그룹을 선택합니다. 여러 그룹을 선택하려면 Ctrl 키를 누른 상태로 그룹을 선택합니다.

    Microsoft Intune 프로필을 할당하거나 배포할 때 사용자 및 그룹을 포함하거나 제외하는 방법을 보여 주는 스크린샷

  5. 검토 + 저장을 선택합니다. 이 단계에서는 프로필을 할당하지 않습니다.

  6. 저장을 선택합니다. 저장하면 프로필이 할당됩니다. 디바이스에서 Intune 서비스에 체크 인할 때 그룹에서는 사용자의 프로필 설정을 수신합니다.

범위 태그 또는 적용 가능성 규칙 사용

프로필을 만들거나 업데이트하면 프로필에 범위 태그 및 적용 가능성 규칙을 추가할 수도 있습니다.

범위 태그US-NC IT Team 또는 JohnGlenn_ITDepartment 등 특정 그룹에 프로필을 필터링할 수 있는 좋은 방법입니다. 자세한 내용은 분산형 IT에 RBAC 및 범위 태그 사용을 참조하세요.

Windows 10/11 장치에서 프로필이 특정 OS 버전 또는 특정 Windows 버전에만 적용되도록 적용 가능성 규칙을 추가할 수 있습니다. 적용 가능성 규칙에 대한 추가 정보가 있습니다.

사용자 그룹 및 디바이스 그룹

대부분의 사용자는 사용자 그룹을 사용하는 경우와 디바이스 그룹을 사용하는 경우를 알고 싶어합니다. 어떤 그룹을 사용할지는 목표에 따라 달라집니다. 다음은 시작하는 데 도움이 되는 몇 가지 지침입니다.

Device groups

디바이스에서 로그인한 사용자에 관계없이 설정을 적용하려면 디바이스 그룹에 프로필을 할당합니다. 디바이스 그룹에 적용되는 설정은 사용자가 아니라 항상 디바이스를 따라 이동합니다.

예제:

  • 디바이스 그룹은 전용 사용자가 없는 디바이스를 관리하는 데 유용합니다. 예를 들어, 티켓을 인쇄하거나 인벤토리를 검색하거나 교대 근무 작업자가 공유하는 디바이스는 특정 웨어하우스 등에 할당됩니다. 이러한 디바이스를 디바이스 그룹에 배치하고 이 디바이스 그룹에 프로필을 할당합니다.

  • BIOS에서 설정을 업데이트하는 DFCI(디바이스 펌웨어 구성 인터페이스)를 만듭니다. 예를 들어, 디바이스 카메라를 사용하지 않도록 이 프로필을 구성하거나 부팅 옵션을 잠가 사용자가 다른 OS를 부팅하지 못하도록 할 수 있습니다. 이 프로필은 디바이스 그룹에 할당하기에 좋은 시나리오입니다.

  • 일부 특정 Windows 디바이스에서는 디바이스를 사용하는 사용자에 관계없이 항상 일부 Microsoft Edge 설정을 제어하려고 할 수 있습니다. 예를 들어, 모든 다운로드를 차단하고 모든 쿠키를 현재 검색 세션으로 제한하고 검색 기록을 삭제하려고 합니다. 이 시나리오에서는 이러한 특정 Windows 디바이스를 디바이스 그룹에 배치합니다. 그런 다음, Intune에서 관리 템플릿을 만들고, 이러한 디바이스 설정을 추가한 후 이 프로필을 디바이스 그룹에 할당합니다.

요약하자면, 디바이스에 로그인한 사용자가 누군지 또는 로그인한 사용자가 있는지 신경 쓰지 않는 경우 디바이스 그룹을 사용하면 됩니다. 설정이 항상 디바이스에서 유지되는 것을 원할 것입니다.

사용자 그룹

사용자 그룹에 적용된 프로필 설정은 항상 사용자를 따라 이동하며, 여러 디바이스에 로그인한 경우 사용자를 따라 이동합니다. 일반적으로 사용자는 업무용 Surface Pro 및 개인 iOS/iPadOS 디바이스와 같은 여러 디바이스를 사용하게 됩니다. 또한 개인 사용자는 일반적으로 이러한 디바이스에서 메일 및 기타 조직 리소스에 액세스하게 됩니다.

사용자가 동일한 플랫폼에서 여러 디바이스를 보유한 경우, 그룹 할당에서 필터를 사용할 수 있습니다. 사용자가 개인용 iOS/iPadOS 디바이스와 조직 소유 iOS/iPadOS를 보유하고 있다고 가정해 보겠습니다. 해당 사용자에 대한 정책을 할당할 때 필터를 사용하여 조직 소유 장치만 대상으로 지정할 수 있습니다.

해당 일반 규칙을 따릅니다. 기능이 사용자(예: 메일 또는 사용자 인증서)에 속하면 사용자 그룹에 할당합니다.

예제:

  • 모든 디바이스에 모든 사용자를 위한 지원 센터 아이콘을 배치하려고 합니다. 이 시나리오에서는 사용자 그룹에 이러한 사용자를 추가하고 이 사용자 그룹에 지원 센터 아이콘 프로필을 할당합니다.

  • 사용자는 조직 소유의 새 디바이스를 받게 됩니다. 사용자는 해당 도메인 계정으로 디바이스에 로그인합니다. 디바이스는 Azure AD에 자동으로 등록되고 Intune에서 자동으로 관리됩니다. 이 프로필은 사용자 그룹에 할당하기에 좋은 시나리오입니다.

  • 사용자가 디바이스에 로그인할 때마다 OneDrive 또는 Office와 같은 앱의 기능을 제어하려고 합니다. 이 시나리오에서는 사용자 그룹에 OneDrive 또는 Office 프로필 설정을 할당합니다.

    예를 들어, Office 앱에서 신뢰할 수 없는 ActiveX 컨트롤을 차단하려고 합니다. Intune에서 관리 템플릿을 만들고, 이러한 설정을 구성한 후 이 프로필을 사용자 그룹에 할당합니다.

요약하자면, 어떤 디바이스를 사용하든, 설정 및 규칙이 항상 사용자와 함께 이동하도록 하려는 경우에는 사용자 그룹을 사용합니다.

Windows CSP

Windows 장치에 대한 정책 설정은 CSP(구성 서비스 공급자)를 기반으로 합니다. 이러한 설정은 디바이스의 레지스트리 키 또는 파일에 매핑됩니다.

Intune 이러한 CSP를 노출하므로 이러한 설정을 구성하고 Windows 디바이스에 할당할 수 있습니다. 이러한 설정은 기본 제공 템플릿 및 설정 카탈로그를 사용하여 구성할 수 있습니다. 설정 카탈로그에서 일부 설정이 사용자 범위에 적용되고 일부 설정이 디바이스 범위에 적용되는 것을 볼 수 있습니다.

Windows 디바이스에 사용자 범위 설정 및 디바이스 범위 설정을 적용하는 방법에 대한 자세한 내용은 설정 카탈로그: 디바이스 범위 및 사용자 범위 설정으로 이동하세요.

프로필 할당에서 그룹 제외

Intune 디바이스 구성 프로필을 통해 프로필 할당에 그룹을 포함하거나 반대로 제외할 수 있습니다.

모범 사례:

  • 사용자 그룹의 프로필을 만들고 할당합니다. 필터를 사용하여 해당 사용자의 디바이스를 포함하거나 제외합니다.
  • 디바이스 그룹에 대해 다른 프로필을 별도로 만들어 할당합니다.

그룹에 대한 자세한 내용은 그룹을 추가하여 사용자 및 디바이스 구성을 참조하세요.

기본 사항

정책과 프로필을 할당할 때는 다음 일반 원칙을 적용하세요.

  • 포함된 그룹 또는 제외된 그룹을 정책을 받는 사용자 및 디바이스에 대한 시작 지점으로서 생각합니다. Azure AD 그룹은 제한 그룹이므로 가급적 가장 작은 그룹 범위를 사용합니다. 필터를 사용하여 정책 할당을 제한하거나 구체화합니다.

  • 정적 그룹이라고도 하는 할당된 Azure AD 그룹은 포함된 그룹이나 제외된 그룹에 추가할 수 있습니다.

    일반적으로 Windows Autopilot과 같이 Azure AD에 미리 등록된 경우 디바이스를 Azure AD 그룹에 정적으로 할당합니다. 일회성으로 디바이스를 결합하려면 임시 배포를 사용합니다. 그렇지 않으면 Azure AD 그룹에 디바이스를 정적으로 할당하는 것이 실용적이지 않을 수 있습니다.

  • 동적 Azure AD 사용자 그룹은 포함된 그룹 또는 제외된 그룹에 추가할 수 있습니다.

  • 포함된 그룹에 동적 Azure AD 장치 그룹을 추가할 수 있습니다. 하지만 동적 그룹 구성원을 채울 때 대기 시간이 발생할 수 있습니다. 대기 시간이 중요한 시나리오에서는 필터를 사용하여 특정 디바이스를 대상으로 지정하고 사용자 그룹에 정책을 할당합니다.

    예를 들어 등록하는 즉시 디바이스에 정책을 할당하려는 경우, 대기 시간이 중요한 상황에서 필터를 만들어 원하는 디바이스를 대상으로 지정하고, 이 필터를 사용하여 정책을 사용자 그룹에 할당합니다. 디바이스 그룹에 할당하지 않습니다.

    사용자가 없는 시나리오에서는 필터를 만들어 원하는 디바이스를 대상으로 지정하고, 필터를 사용하여 “모든 디바이스” 그룹에 정책을 할당합니다.

  • 동적 Azure AD 디바이스 그룹을 제외된 그룹에 추가하면 안 됩니다. 등록 시 동적 디바이스 그룹 계산 시 대기 시간으로 인해 원치 않는 결과가 발생할 수 있습니다. 예를 들어 제외된 그룹 구성원이 채워지기 전에 원치 않는 앱과 정책이 배포될 수 있습니다.

지원 매트릭스

다음 매트릭스를 사용하여 그룹 제외에 대한 지원을 이해합니다.

  • ✔️: 지원됨
  • ❌: 지원되지 않음
  • ❕: 부분적으로 지원됨

프로필 할당에서 그룹을 포함하거나 제외하는 지원되는 옵션을 보여 주는 스크린샷

시나리오 지원
1 ❕ 다른 동적 디바이스 그룹을 제외하는 동안 동적 디바이스 그룹에 정책 할당이 부분적으로 지원

됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다.

예를 들어 모든 디바이스에 할당된 디바이스 정책이 있습니다. 나중에 새 마케팅 디바이스는 이 정책을 수신하지 않아야 한다는 요구 사항이 생긴다고 가정해 보세요. 이에 따라 enrollmentProfilename 속성(device.enrollmentProfileName -eq "Marketing_devices")을 기반으로 마케팅 디바이스라는 동적 장치 그룹을 만들고, 정책에서 마케팅 디바이스 동적 그룹을 제외된 그룹으로 추가합니다.

새 마케팅 디바이스가 처음으로 Intune 등록되고 새 Azure AD 디바이스 개체가 만들어집니다. 동적 그룹화 프로세스는 가능한 지연된 계산을 사용하여 디바이스를 마케팅 디바이스 그룹에 배치합니다. 동시에 디바이스가 Intune에 등록되고 적용 가능한 모든 정책을 수신하기 시작합니다. 디바이스가 제외 그룹에 배치되기 전에 Intune 정책이 배포될 수 있습니다. 이 동작으로 인해 원치 않는 정책(또는 앱)이 마케팅 디바이스 그룹에 배포됩니다.

따라서 대기 시간 중요한 시나리오에서 제외를 위해 동적 디바이스 그룹을 사용하지 않는 것이 좋습니다. 대신 필터를 사용합니다.
2 ✔️ 정

적 디바이스 그룹을 제외하는 동안 동적 디바이스 그룹에 정책 할당이 지원됩니다.
3

사용자 그룹(동적 및 정적 모두)을 제외하는 동안 동적 디바이스 그룹에 정책 할당은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
4 ❌ 지원

되지 않음 동적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
5 ❕ 부분적으로 지원

동적 디바이스 그룹을 제외하는 동안 정적 디바이스 그룹에 정책 할당이 지원됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다.
6 ✔️ 정

적 디바이스 그룹에 정책을 할당하고 다른 정적 디바이스 그룹을 제외하는 것이 지원됩니다.
7 ❌ 정적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원

되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
8 ❌ 정적 디바이스 그룹에 정책 할당 및 사용자 그룹 제외(동적 및 정적 모두)는 지원

되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다.
9 ❌ 지원

되지 않음 동적 사용자 그룹에 정책 할당 및 디바이스 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다.
10 ❌ 지원

되지 않음 동적 사용자 그룹에 정책 할당 및 디바이스 그룹 제외(동적 및 정적 모두)는 지원되지 않습니다.
11 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다.
12 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다.
13

디바이스 그룹(동적 및 정적 모두)을 제외하는 동안 정적 사용자 그룹에 정책 할당은 지원되지 않습니다.
14

디바이스 그룹(동적 및 정적 모두)을 제외하는 동안 정적 사용자 그룹에 정책 할당은 지원되지 않습니다.
15 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다.
16 ✔️ 다른

사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다.

다음 단계

프로필 및 프로필을 실행하는 디바이스를 모니터링하는 방법에 대한 지침은 디바이스 프로필 모니터링을 참조하세요.