Microsoft Intune에서 정책 할당
Intune 정책을 만들 때 정책 내에서 추가하고 구성한 모든 설정이 포함됩니다. 정책을 배포할 준비가 되었다면 다음 단계는 사용자 그룹이나 디바이스 그룹에 정책을 "할당"하는 것입니다. 정책을 할당하면 사용자와 디바이스가 정책을 수신하며, 입력한 설정이 적용됩니다.
Intune에서 다음 정책을 만들어 할당할 수 있습니다.
- 앱 보호 정책
- 앱 구성 정책
- 규정 준수 정책
- 조건부 액세스 정책
- 디바이스 구성 프로필
- 등록 정책
이 문서에서는 정책 할당 방법을 설명하며, 범위 태그 사용 관련 정보를 제공하는 한 편, 사용자 그룹이나 디바이스 그룹에 정책을 할당하는 시점 등을 설명합니다.
이 기능은 다음에 적용됩니다.
- Android
- iOS/iPadOS
- macOS
- Linux
- Windows
시작하기 전에
정책과 프로필을 할당할 수 있는 올바른 역할이 있는지 확인합니다. 자세한 내용은 Microsoft Intune을 통한 RBAC(역할 기반 액세스 제어)를 참조하세요.
Intune에서 Microsoft Copilot을 사용하는 것이 좋습니다. 여기에는 다음과 같은 몇 가지 장점이 있습니다.
- 정책을 만들고 설정을 구성함에 있어서 Copilot은 각각의 설정에 대해 자세한 정보를 제공하며 값을 추천하는 동시에 잠재적으로 충돌하는 부분을 찾아냅니다.
- 정책을 할당할 경우, Copilot은 해당 정책이 할당된 그룹을 알려줄 수 있으며, 해당 정책의 효과를 파악하도록 도와줄 수 있습니다.
자세한 정보는 Intune의 Microsoft Copilot으로 이동하세요.
사용자 또는 그룹에 정책 할당
Microsoft Intune 관리 센터에 로그인합니다.
디바이스>디바이스 관리>구성을 선택합니다. 모든 프로필이 나열됩니다.
할당할 프로필 >속성>할당>편집을 선택합니다.
예를 들어 디바이스 구성 프로필을 할당할 경우 다음을 수행합니다.
디바이스>디바이스 관리>구성으로 이동합니다. 모든 프로필이 나열됩니다.
할당할 정책 >속성>할당>편집을 선택합니다.
포함 그룹이나 제외 그룹에서 그룹 추가를 선택하여 Microsoft Entra 그룹을 하나 이상 선택합니다. 적용가능한 모든 디바이스에 정책을 광범위하게 배포하려면 모든 사용자 추가 또는 모든 디바이스 추가를 선택합니다.
참고
"모든 디바이스"와 "모든 사용자"를 선택한 경우, Microsoft Entra 그룹을 추가하는 옵션은 비활성화됩니다.
검토 + 저장을 선택합니다. 이 단계에서는 정책을 할당하지 않습니다.
저장을 선택합니다. 저장하면 정책이 할당됩니다. 디바이스에서 Intune 서비스에 체크 인하면 그룹에서는 사용자의 정책 설정을 수신합니다.
알고 사용해야 하는 할당 기능
필터를 사용하여 자신이 만든 규칙을 기반으로 정책을 할당합니다. 다음 항목에 대한 필터를 만들 수 있습니다.
- 앱 구성 정책
- 앱 보호 정책
- 앱 할당
- 규정 준수 정책
- 디바이스 구성 프로필
자세한 내용을 보려면 다음으로 이동하세요.
정책 집합은 기존 앱 및 정책으로 된 그룹이나 컬렉션을 만듭니다. 정책 집합을 만들고 나면 Microsoft Intune 관리 센터의 단일 위치에서 정책 집합을 할당할 수 있습니다.
자세한 내용은 정책 세트를 사용하여 Microsoft Intune에서 관리 개체 컬렉션을 그룹화를 참조하세요.
범위 태그는
US-NC IT Team
또는JohnGlenn_ITDepartment
과 같은 특정 그룹에 프로필을 필터링할 수 있는 좋은 방법입니다. 자세한 내용은 분산형 IT에 RBAC 및 범위 태그 사용을 참조하세요.Windows 디바이스에서 적용 가능성 규칙을 추가하여 정책이 특정 OS 버전 또는 특정 Windows 버전에만 적용되도록 할 수 있습니다. 자세한 내용은 적용 가능성 규칙을 참조하세요.
사용자 그룹 및 디바이스 그룹
대부분의 사용자는 사용자 그룹을 사용하는 경우와 디바이스 그룹을 사용하는 경우를 알고 싶어합니다. 어떤 그룹을 사용할지는 목표에 따라 달라집니다. 다음은 시작하는 데 도움이 되는 몇 가지 지침입니다.
Device groups
디바이스에서 로그인한 사용자에 관계없이 설정을 적용하려면 디바이스 그룹에 정책을 할당합니다. 디바이스 그룹에 적용되는 설정은 사용자가 아니라 항상 디바이스를 따라 이동합니다.
예제:
디바이스 그룹은 전용 사용자가 없는 디바이스를 관리하는 데 유용합니다. 예를 들어, 티켓을 인쇄하거나 인벤토리를 검색하거나 교대 근무 작업자가 공유하는 디바이스는 특정 웨어하우스 등에 할당됩니다. 이러한 디바이스를 디바이스 그룹에 배치하고 이 디바이스 그룹에 정책을 할당합니다.
BIOS에서 설정을 업데이트하는 DFCI(디바이스 펌웨어 구성 인터페이스)를 만듭니다. 예를 들어, 디바이스 카메라를 사용하지 않도록 이 정책을 구성하거나 부팅 옵션을 잠가 사용자가 다른 OS를 부팅하지 못하도록 할 수 있습니다. 이 정책은 디바이스 그룹에 할당하기에 좋은 시나리오입니다.
일부 특정 Windows 디바이스에서는 디바이스를 사용하는 사용자에 관계없이 항상 일부 Microsoft Edge 설정을 제어하려고 할 수 있습니다. 예를 들어, 모든 다운로드를 차단하고 모든 쿠키를 현재 검색 세션으로 제한하고 검색 기록을 삭제하려고 합니다. 이 시나리오에서는 이러한 특정 Windows 디바이스를 디바이스 그룹에 배치합니다. 그런 다음, Intune에서 관리 템플릿을 만들고, 이러한 디바이스 설정을 추가한 후 이 정책을 디바이스 그룹에 할당합니다.
요약하자면, 디바이스에 로그인한 사용자가 누군지 또는 로그인한 사용자가 있는지 신경 쓰지 않는 경우 디바이스 그룹을 사용하면 됩니다. 설정이 항상 디바이스에서 유지되는 것을 원할 것입니다.
사용자 그룹
사용자 그룹에 적용된 정책 설정은 항상 사용자를 따라 이동하며, 여러 디바이스에 로그인한 경우 사용자를 따라 이동합니다. 일반적으로 사용자는 업무용 Surface Pro 및 개인 iOS/iPadOS 디바이스와 같은 여러 디바이스를 사용하게 됩니다. 또한 개인 사용자는 일반적으로 이러한 디바이스에서 메일 및 기타 조직 리소스에 액세스하게 됩니다.
사용자가 동일한 플랫폼에서 여러 디바이스를 보유한 경우, 그룹 할당에서 필터를 사용할 수 있습니다. 사용자가 개인용 iOS/iPadOS 디바이스와 조직 소유 iOS/iPadOS를 보유하고 있다고 가정해 보겠습니다. 해당 사용자에 대한 정책을 할당할 때 필터를 사용하여 조직 소유 장치만 대상으로 지정할 수 있습니다.
해당 일반 규칙을 따릅니다. 기능이 사용자(예: 메일 또는 사용자 인증서)에 속하면 사용자 그룹에 할당합니다.
예제:
모든 디바이스에 모든 사용자를 위한 지원 센터 아이콘을 배치하려고 합니다. 이 시나리오에서는 사용자 그룹에 이러한 사용자를 추가하고 이 사용자 그룹에 지원 센터 아이콘 정책을 할당합니다.
사용자는 조직 소유의 새 디바이스를 받게 됩니다. 사용자는 해당 도메인 계정으로 디바이스에 로그인합니다. 디바이스는 Microsoft Entra ID에 자동으로 등록되며 Intune에서 자동으로 관리됩니다. 이 정책은 사용자 그룹에 할당하기에 좋은 시나리오입니다.
사용자가 디바이스에 로그인할 때마다 OneDrive 또는 Office와 같은 앱의 기능을 제어하려고 합니다. 이 시나리오에서는 사용자 그룹에 OneDrive 또는 Office 정책 설정을 할당합니다.
예를 들어, Office 앱에서 신뢰할 수 없는 ActiveX 컨트롤을 차단하려고 합니다. Intune에서 관리 템플릿을 만들고, 이러한 설정을 구성한 후 이 정책을 사용자 그룹에 할당합니다.
요약하자면, 어떤 디바이스를 사용하든, 설정 및 규칙이 항상 사용자와 함께 이동하도록 하려는 경우에는 사용자 그룹을 사용합니다.
Azure Virtual Desktop 다중 세션
공유 중인 여타 Windows 클라이언트 디바이스를 관리하는 것과 마찬가지로, Intune을 사용하여 Azure Virtual Desktop을 통해 만들어진 Windows 다중 세션 원격 데스크톱을 관리할 수 있습니다. 사용자 그룹이나 디바이스에 정책을 할당하는 경우, Azure Virtual Desktop 다중 세션은 특수한 시나리오입니다. 가상 머신을 사용하는 경우 디바이스 CSP는 디바이스 그룹을 대상으로 해야 합니다. 사용자 CSP는 사용자 그룹을 대상으로 해야 합니다.
자세한 내용은 Microsoft Intune에서 Azure Virtual Desktop 다중 세션 사용을 확인하세요.
Windows CSP 및 Windows CSP 동작
Windows 장치에 대한 정책 설정은 CSP(구성 서비스 공급자)를 기반으로 합니다. 이러한 설정은 디바이스의 레지스트리 키 또는 파일에 매핑됩니다.
Windows CSP에 대해서는 다음의 내용을 알아 두어야 합니다.
Intune은 해당 CSP를 노출하므로 이러한 설정을 구성하고 Windows 장치에 할당할 수 있습니다. 이러한 설정은 기본 제공 템플릿 및 설정 카탈로그를 사용하여 구성할 수 있습니다. 설정 카탈로그에서 일부 설정이 사용자 범위에 적용되고 일부 설정이 디바이스 범위에 적용되는 것을 볼 수 있습니다.
Windows 디바이스에 사용자 범위 설정 및 디바이스 범위 설정을 적용하는 방법에 대한 자세한 내용은 설정 카탈로그: 디바이스 범위 및 사용자 범위 설정으로 이동하세요.
정책이 제거되거나 디바이스에 더 이상 할당되지 않으면 해당 정책의 설정에 따라 다른 상황이 발생할 수 있습니다. 각각의 CSP는 정책 제거를 다르게 처리할 수 있습니다.
예를 들어 설정에서 기존 값을 유지하고 기본값으로 되돌리지 않을 수 있습니다. 각각의 CSP는 동작을 제어합니다. Windows CSP 목록은 CSP(구성 서비스 공급자) 참조에서 확인하세요.
설정을 다른 값으로 변경하려면 새 정책을 만들고 구성되지 않음으로 설정을 구성한 다음 해당 정책을 할당합니다. 정책을 디바이스에 적용하는 경우, 사용자는 관련 설정을 선호하는 값으로 변경할 수 있습니다.
이러한 설정을 구성할 때는 파일럿 그룹에 배포하는 것이 좋습니다. 자세한 Intune 출시 조언은 출시 계획 만들기를 참조하세요.
정책 할당에서 그룹 제외
Intune 디바이스 구성 정책을 통해 정책 할당에 그룹을 포함하거나 반대로 제외할 수 있습니다.
모범 사례:
- 사용자 그룹의 정책을 만들어 할당합니다. 필터를 사용하여 해당 사용자의 디바이스를 포함하거나 제외합니다.
- 디바이스 그룹에 대해 다른 정책을 별도로 만들어 할당합니다.
그룹에 대한 자세한 내용은 그룹을 추가하여 사용자 및 디바이스 구성을 참조하세요.
그룹 포함 및 제외 원칙
정책을 할당할 때는 다음과 같은 일반 원칙을 적용하세요.
포함된 그룹 또는 제외된 그룹을 정책을 받는 사용자 및 디바이스에 대한 시작 지점으로서 생각합니다. Microsoft Entra 그룹은 제한 그룹이므로 가급적 가장 작은 그룹 범위를 사용합니다. 필터를 사용하여 정책 할당을 제한하거나 구체화합니다.
정적 그룹이라고도 하는 할당된 Microsoft Entra 그룹은 포함된 그룹이나 제외된 그룹에 추가할 수 있습니다.
일반적으로 Windows Autopilot과 같이 Microsoft Entra ID에 미리 등록된 경우 디바이스를 Microsoft Entra 그룹에 정적으로 할당합니다. 일회성으로 디바이스를 결합하려면 임시 배포를 사용합니다. 그렇지 않으면 Microsoft Entra 그룹에 디바이스를 정적으로 할당하는 것이 실용적이지 않을 수 있습니다.
동적 Microsoft Entra 사용자 그룹은 포함된 그룹 또는 제외된 그룹에 추가할 수 있습니다.
제외된 그룹은 사용자가 있는 그룹이거나 디바이스가 있는 그룹일 수 있습니다.
포함된 그룹에 동적 Microsoft Entra 장치 그룹을 추가할 수 있습니다. 하지만 동적 그룹 구성원을 채울 때 대기 시간이 발생할 수 있습니다. 대기 시간이 중요한 시나리오에서는 필터를 사용하여 특정 디바이스를 대상으로 지정하고 사용자 그룹에 정책을 할당합니다.
예를 들어 등록하는 즉시 디바이스에 정책을 할당하려는 경우, 대기 시간이 중요한 상황에서 필터를 만들어 원하는 디바이스를 대상으로 지정하고, 이 필터를 사용하여 정책을 사용자 그룹에 할당합니다. 디바이스 그룹에 할당하지 않습니다.
사용자가 없는 시나리오에서는 필터를 만들어 원하는 디바이스를 대상으로 지정하고, 필터를 사용하여 "모든 디바이스" 그룹에 정책을 할당합니다.
동적 Microsoft Entra 디바이스 그룹을 제외된 그룹에 추가하면 안 됩니다. 등록 시 동적 디바이스 그룹 계산 시 대기 시간으로 인해 원치 않는 결과가 발생할 수 있습니다. 예를 들어 제외된 그룹 구성원이 채워지기 전에 원치 않는 앱과 정책이 배포될 수 있습니다.
지원 매트릭스
다음 매트릭스를 사용하여 그룹 제외에 대한 지원을 이해합니다.
- ✅:지원
- ❌: 지원되지 않음
- ❕: 부분적으로 지원됨
시나리오 | 지원 |
---|---|
1 | ❕ 부분적으로 지원됨 다른 동적 디바이스 그룹을 제외하면서 동적 디바이스 그룹에 정책을 할당하는 것은 지원됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다. 예를 들어 모든 디바이스에 할당되는 디바이스 정책이 있습니다. 나중에 새 마케팅 디바이스는 이 정책을 수신하지 않아야 한다는 요구 사항이 생긴다고 가정해 보세요. 이에 따라 enrollmentProfilename 속성(device.enrollmentProfileName -eq "Marketing_devices" )을 기반으로 마케팅 디바이스라는 동적 장치 그룹을 만들고, 정책에서 마케팅 디바이스 동적 그룹을 제외된 그룹으로 추가합니다.
새 마케팅 디바이스가 처음으로 Intune에 등록되고, 새 Microsoft Entra 디바이스 개체가 만들어집니다. 동적 그룹화 프로세스는 가능한 지연된 계산을 사용하여 디바이스를 마케팅 디바이스 그룹에 배치합니다. 동시에 디바이스가 Intune에 등록되고 적용 가능한 모든 정책을 수신하기 시작합니다. 디바이스가 제외 그룹에 배치되기 전에 Intune 정책이 배포될 수 있습니다. 이 동작으로 인해 원치 않는 정책(또는 앱)이 마케팅 디바이스 그룹에 배포됩니다. 따라서 대기 시간이 중요한 시나리오에서는 제외에 동적 장치 그룹을 사용하지 않는 것이 좋습니다. 대신 필터를 사용합니다. |
2 |
✅ 정 적 디바이스 그룹을 제외하는 동안 동적 디바이스 그룹에 정책 할당이 지원됩니다. |
3 |
❌ 지원되지 않음 사용자 그룹(동적 및 정적 모두)을 제외하면서 동적 디바이스 그룹에 정책을 할당하는 것은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다. |
4 |
❌ 지원되지 않음 사용자 그룹(동적 및 정적 모두)을 제외하며 동적 디바이스 그룹에 정책을 할당하는 것은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다. |
5 | ❕ 부분적으로 지원됨 동적 디바이스 그룹을 제외하는 동안 정적 디바이스 그룹에 대한 정책 할당이 지원됩니다. 하지만 대기 시간에 민감한 시나리오에서는 권장되지 않습니다. 제외 그룹 구성원 계산에 대한 지연으로 인해 정책이 디바이스에 제공될 수 있기 때문입니다. 그런 시나리오에서는 디바이스를 제외하기 위해 동적 디바이스 그룹 대신 필터를 사용하는 것이 좋습니다. |
6 |
✅ 정 적 디바이스 그룹에 정책을 할당하고 다른 정적 디바이스 그룹을 제외하는 것이 지원됩니다. |
7 |
❌ 지원되지 않음 사용자 그룹(동적 및 정적 모두)을 제외하며 정적 디바이스 그룹에 정책을 할당하는 것은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다. |
8 |
❌ 지원되지 않음 사용자 그룹(동적 및 정적 모두)을 제외하며 정적 디바이스 그룹에 정책을 할당하는 것은 지원되지 않습니다. Intune은 사용자-장치 그룹 관계를 평가하지 않습니다. 포함된 사용자의 장치는 제외되지 않습니다. |
9 |
❌ 지원되지 않음 디바이스 그룹(동적 및 정적 모두)을 제외하며 동적 사용자 그룹에 정책을 할당하는 것은 지원되지 않습니다. |
10 |
❌ 지원되지 않음 디바이스 그룹(동적 및 정적 모두)을 제외하며 동적 사용자 그룹에 정책을 할당하는 것은 지원되지 않습니다. |
11 |
✅ 다른 사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다. |
12 |
✅ 다른 사용자 그룹(동적 및 정적)을 제외하는 동안 동적 사용자 그룹에 정책 할당이 지원됩니다. |
13 |
❌ 지원되지 않음 디바이스 그룹(동적 및 정적 모두)을 제외하면서 정적 사용자 그룹에 정책을 할당하는 것은 지원되지 않습니다. |
14 |
❌ 지원되지 않음 디바이스 그룹(동적 및 정적 모두)을 제외하면서 정적 사용자 그룹에 정책을 할당하는 것은 지원되지 않습니다. |
15 |
✅ 다른 사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다. |
16 |
✅ 다른 사용자 그룹(동적 및 정적)을 제외하는 동안 정적 사용자 그룹에 정책 할당이 지원됩니다. |
관련 문서
정책 및 정책을 실행하는 디바이스를 모니터링하는 방법에 대한 지침은 디바이스 프로필 모니터링을 참조하세요.