다음을 통해 공유

배포 가이드: Windows 10/11을 실행하는 디바이스 관리

  • 아티클

이 가이드에서는 Microsoft Intune 사용하여 Windows 앱 및 엔드포인트를 보호하고 관리하는 방법을 설명하고 필수 구성 요소에서 등록에 이르는 설정 권장 사항 및 리소스를 포함합니다.

이 가이드의 각 섹션에 대해 연결된 작업을 검토합니다. 일부 작업은 필수이며 Microsoft Entra 조건부 액세스 설정과 같은 일부 작업은 선택 사항입니다. 각 섹션에서 제공된 링크를 선택하여 Microsoft Learn의 권장 도움말 문서로 이동합니다. 여기서 자세한 정보와 방법 지침을 찾을 수 있습니다.

1단계: 필수 구성 요소

테넌트의 엔드포인트 관리 기능을 사용하도록 설정하려면 다음 필수 조건을 완료합니다.

모바일 디바이스 관리를 위해 organization 준비, 온보딩 또는 채택하는 방법에 대한 자세한 내용 및 권장 사항은 마이그레이션 가이드: Microsoft Intune 설정 또는 이동을 참조하세요.

2단계: 배포 계획

Microsoft Intune 계획 가이드를 사용하여 디바이스 관리 목표, 사용 사례 시나리오, 요구 사항을 정의합니다. 가이드를 사용하여 출시, 통신, 지원, 테스트 및 유효성 검사를 계획합니다. 예를 들어 경우에 따라 직원과 학생이 디바이스를 등록할 때 존재할 필요가 없습니다. 사용자가 Intune 회사 포털 설치 및 사용에 대한 정보를 찾을 수 있는 위치를 알 수 있도록 통신 계획을 세우는 것이 좋습니다.

자세한 내용은 Microsoft Intune 계획 가이드를 참조하세요.

3단계: 규정 준수 정책 만들기

규정 준수 정책을 사용하여 데이터에 액세스하는 디바이스가 안전하고 organization 표준을 충족하는지 확인합니다. 등록 프로세스의 마지막 단계는 디바이스의 설정이 정책을 충족하는지 확인하는 규정 준수 평가입니다. 디바이스 사용자는 보호된 리소스에 액세스하려면 모든 규정 준수 문제를 resolve 합니다. Intune은 규정 준수 요구 사항에 미치지 않는 디바이스를 비준수 로 표시하고 비준수 구성에 대한 작업에 따라 추가 작업(예: 사용자에게 알림 보내기, 액세스 제한 또는 디바이스 초기화)을 수행합니다.

디바이스 준수 정책과 함께 Microsoft Entra 조건부 액세스 정책을 사용하여 Windows PC, 회사 전자 메일 및 Microsoft 365 서비스에 대한 액세스를 제어할 수 있습니다. 예를 들어, 먼저 디바이스를 등록하거나 보호하지 않고도 직원이 Edge에서 Microsoft Teams에 액세스하지 못하도록 차단하는 정책을 만들 수 있습니다.

디바이스 준수 정책에 대한 개요는 규정 준수 개요를 참조하세요.

작업 자세한 정보
규정 준수 정책 만들기 규정 준수 정책을 만들어 사용자 및 디바이스 그룹에 할당하는 방법에 대한 단계별 지침을 확인합니다.
비준수에 대한 작업 추가 디바이스가 더 이상 규정 준수 정책 조건을 충족하지 않는 경우 어떻게 되는지 선택합니다. 작업의 예로는 경고 보내기, 원격으로 디바이스 잠금 또는 사용 중지 디바이스가 있습니다. 디바이스 규정 준수 정책을 구성할 때 또는 나중에 정책을 편집하여 비준수에 대한 작업을 추가할 수 있습니다.
디바이스 기반 또는 앱 기반 조건부 액세스 정책 만들기 보호하려는 앱 또는 서비스를 선택하고 액세스 조건을 정의합니다.
최신 인증을 사용하지 않는 앱에 대한 액세스 차단 앱 기반 조건부 액세스 정책을 만들어 OAuth2 이외의 인증 방법을 사용하는 앱(예: 기본 및 양식 기반 인증을 사용하는 앱)을 차단합니다. 그러나 액세스를 차단하기 전에 Microsoft Entra ID에 로그인하고 인증 방법 활동 보고서를 검토하여 사용자가 잊어버렸거나 인식하지 못하는 필수 항목에 액세스하기 위해 기본 인증을 사용하고 있는지 확인합니다. 예를 들어 회의실 일정 키오스크와 같은 항목은 기본 인증을 사용합니다.
사용자 지정 규정 준수 설정 추가 사용자 지정 규정 준수 설정을 사용하면 Microsoft Intune 기본 제공되는 디바이스 준수 옵션에 아직 포함되지 않은 규정 준수 시나리오를 해결하기 위해 고유한 Bash 스크립트를 작성할 수 있습니다. 이 문서에서는 Windows 디바이스에 대한 사용자 지정 규정 준수 정책을 만들고, 모니터링하고, 문제를 해결하는 방법을 설명합니다. 사용자 지정 규정 준수 설정을 사용하려면 설정 및 값 쌍 을 식별하는 사용자 지정 스크립트를 만들어야 합니다.

4단계: 엔드포인트 보안 구성

Intune 엔드포인트 보안 기능을 사용하여 디바이스 보안을 구성하고 위험에 처한 디바이스에 대한 보안 작업을 관리합니다.

작업 자세한 정보
엔드포인트 보안 기능을 사용하여 디바이스 관리 Intune의 엔드포인트 보안 설정을 사용하여 디바이스 보안을 효과적으로 관리하고 디바이스의 문제를 해결합니다.
Endpoint Protection 설정 추가 방화벽, BitLocker 및 Microsoft Defender 같은 일반적인 엔드포인트 보호 보안 기능을 구성합니다. 이 영역의 설정에 관한 설명은 엔드포인트 보호 설정 참조를 참조하세요.
Intune에서 엔드포인트용 Microsoft Defender 구성 Intune을 엔드포인트용 Microsoft Defender 통합하면 보안 위반을 방지할 뿐만 아니라 엔드포인트 위협 & TVM(취약성 관리)에 대한 Microsoft Defender 활용하고 Intune을 사용하여 TVM으로 식별되는 엔드포인트 약점을 수정할 수 있습니다.
BitLocker 정책 관리 관리되는 디바이스에서 BitLocker를 구성하는 정책을 만들어 등록 시 디바이스가 암호화되었는지 확인합니다.
보안 기준 프로필 관리 Intune의 보안 기준을 사용하여 사용자 및 디바이스를 보호하고 보호할 수 있습니다. 보안 기준에는 보안에 영향을 주는 설정에 대한 모범 사례 및 권장 사항이 포함됩니다.
소프트웨어 업데이트에 비즈니스용 Windows 업데이트 사용 비즈니스용 Windows 업데이트 사용하여 Windows 업데이트 출시 전략을 구성합니다. 이 문서에서는 Windows 10/11 소프트웨어 업데이트를 관리하는 데 사용할 수 있는 정책 유형과 업데이트 링 지연에서 기능 업데이트 정책으로 전환하는 방법을 소개합니다.

5단계: 디바이스 설정 구성

Microsoft Intune 사용하여 디바이스에서 Windows 설정 및 기능을 사용하거나 사용하지 않도록 설정합니다. 이 설정을 구성하고 적용하려면 디바이스 구성 프로필을 만든 후 조직의 그룹에 프로필을 할당합니다. 디바이스가 등록되면 프로필을 수신합니다.

작업 자세한 정보
디바이스 프로필 만들기 Microsoft Intune 디바이스 프로필을 만들고 모든 디바이스 프로필 유형에 대한 리소스를 찾습니다. 설정 카탈로그를 사용하여 처음부터 정책을 만들 수도 있습니다.
그룹 정책 설정 구성 Windows 10 템플릿을 사용하여 Microsoft Intune에서 그룹 정책 설정을 구성합니다. 관리 템플릿에는 Internet Explorer, Microsoft Edge, OneDrive, 원격 데스크톱, Word, Excel 및 기타 Office 프로그램에 대해 구성할 수 있는 수백 가지 설정이 포함됩니다. 이러한 템플릿은 그룹 정책과 비슷한 간단한 설정 보기를 관리자에게 제공하며, 100% 클라우드 기반입니다.
Wi-Fi 프로필 구성 이 프로필을 통해 사용자는 조직의 Wi-Fi 네트워크를 찾아 연결할 수 있습니다. 이 영역의 설정에 대한 설명은 Windows 10 이상에 대한 Wi-Fi 설정 참조를 참조하세요.
VPN 프로필 구성 조직의 네트워크에 연결하는 사용자에 대해 Microsoft Tunnel과 같은 보안 VPN 옵션을 설정합니다. 이 영역의 설정에 대한 설명은 VPN 설정 참조를 참조하세요.
메일 프로필 구성 사용자가 메일 서버에 연결하고 회사 또는 학교 메일에 액세스할 수 있도록 메일 설정을 구성합니다. 이 영역의 설정에 대한 설명은 메일 설정 참조를 참조하세요.
디바이스 기능 제한 회사 또는 학교에서 사용할 수 있는 디바이스 기능을 제한하여 무단 액세스 및 방해로부터 사용자를 보호합니다. 이 영역의 설정에 대한 설명은 Windows 10/11 및 Windows 10 Teams에 대한 디바이스 제한 참조를 참조하세요.
사용자 지정 프로필 구성 Intune에 기본 제공되지 않는 디바이스 설정 및 기능을 추가하고 할당합니다. 이 영역의 설정에 대한 설명은 사용자 지정 설정 참조를 참조하세요.
BIOS 설정 구성 DFCI(디바이스 펌웨어 구성 인터페이스)를 사용하여 등록된 디바이스에서 UEFI(BIOS) 설정을 제어할 수 있도록 Intune 설정
도메인 가입 구성 가입된 디바이스에 Microsoft Entra 등록하려는 경우 Intune에서 가입할 온-프레미스 도메인을 알 수 있도록 도메인 가입 프로필을 만들어야 합니다.
배달 최적화 설정 구성 이러한 설정을 사용하여 앱 및 업데이트를 다운로드하는 디바이스에서 대역폭 사용량을 줄입니다.
브랜딩 및 등록 환경 사용자 지정 조직의 고유한 표현, 브랜딩, 화면 기본 설정, 연락처 정보를 사용하여 Intune 회사 포털 및 Microsoft Intune 앱 환경을 사용자 지정합니다.
키오스크 및 전용 디바이스 구성 키오스크 모드에서 실행되는 디바이스를 관리하는 키오스크 프로필을 만듭니다.
공유 디바이스 사용자 지정 공유 또는 다중 사용자 디바이스에서 액세스, 계정 및 전원 기능을 제어합니다.
네트워크 경계 구성 신뢰하지 않는 사이트로부터 환경을 보호하기 위해 네트워크 경계 프로필을 만듭니다.
Windows 상태 모니터링 구성 Microsoft가 성능에 대한 데이터를 수집하고 개선에 대한 권장 사항을 제공할 수 있도록 Windows 상태 모니터링 프로필을 만듭니다. 프로필을 만들면 수집된 데이터를 분석하고 소프트웨어를 권장하며 시작 성능을 개선하고 일반적인 지원 문제를 해결하는 Microsoft Intune 엔드포인트 분석 기능을 사용할 수 있습니다.
학생용 시험 응시 앱 구성 등록된 디바이스에서 시험 또는 시험을 응시하는 학생을 위한 시험 응시 앱을 구성합니다.
eSim 셀룰러 프로필 구성 Surface LTE Pro와 같은 ESIM 지원 디바이스에 대해 셀룰러 데이터 연결을 통해 인터넷에 연결하도록 eSIM을 구성할 수 있습니다. 이 구성은 여행하는 동안 연결되고 유연하게 유지되어야 하는 글로벌 여행객에게 적합하며 SIM 카드 필요하지 않습니다.

6단계: 보안 인증 방법 설정

권한 있는 사용자만 내부 리소스에 액세스할 수 있도록 Intune에서 인증 방법을 설정합니다. Intune은 다단계 인증, 인증서, 파생 자격 증명을 지원합니다. 인증서는 S/MIME를 사용하여 메일에 서명하고 메일을 암호화하는 데도 사용할 수 있습니다.

작업 자세한 정보
MFA(다단계 인증) 필요 디바이스 등록 시 두 가지 형식의 자격 증명을 제공해야 합니다. 이 정책은 Microsoft Entra 조건부 액세스 정책과 함께 작동합니다.
신뢰할 수 있는 인증서 프로필 만들기 SCEP, PKCS 또는 PKCS 가져온 인증서 프로필을 만들기 전에 신뢰할 수 있는 인증서 프로필을 만들어서 배포합니다. 신뢰할 수 있는 인증서 프로필은 SCEP, PKCS 및 PKCS에서 가져온 인증서를 사용하여 디바이스 및 사용자에게 신뢰할 수 있는 루트 인증서를 배포합니다.
Intune에서 SCEP 인증서 사용 Intune에서 SCEP 인증서를 사용하는 데 필요한 내용을 알아보고 필요한 인프라를 구성합니다. 그런 다음 SCEP 인증서 프로필을 만들거나 SCEP를 사용하여 타사 인증 기관을 설정할 수 있습니다.
Intune에서 PKCS 인증서 사용 필수 인프라(예: 온-프레미스 인증서 커넥터)를 구성하고 PKCS 인증서를 내보낸 후 Intune 디바이스 구성 프로필에 인증서를 추가합니다.
Intune에서 가져온 PKCS 인증서 사용 가져온 PKCS 인증서를 설정합니다. 그러면 S/MIME를 설정하고 사용하여 메일을 암호화할 수 있습니다.
파생 자격 증명 발급자 설정 사용자 스마트 카드에서 파생된 인증서를 사용하여 Windows 디바이스를 프로비전합니다.
Microsoft Intune과 비즈니스용 Windows Hello 통합 디바이스 등록 중에 비즈니스용 Windows Hello 사용하거나 사용하지 않도록 설정하는 비즈니스용 Windows Hello 정책을 만듭니다. 비즈니스용 Hello는 Active Directory 또는 Microsoft Entra 계정을 사용하여 암호, 스마트 카드 또는 가상 스마트 카드 바꾸는 대체 로그인 방법입니다.

7단계: 앱 배포

앱과 앱 정책을 설정할 때 지원할 플랫폼, 사용자가 수행하는 작업, 해당 작업을 완료하는 데 필요한 앱 유형, 해당 앱 유형이 필요한 사용자 등 조직의 요구 사항에 대해 생각합니다. Intune을 사용하여 전체 디바이스(앱 포함)를 관리하거나 Intune을 사용하여 앱만 관리할 수 있습니다.

작업 자세한 정보
기간 업무 앱 추가 Intune에 macOS LOB(기간 업무) 앱을 추가하고 그룹에 할당합니다.
Microsoft Edge 추가: Windows용 Microsoft Edge를 추가하고 할당합니다.
Microsoft Store에서 Intune 회사 포털 앱 추가 수동으로 Intune 회사 포털 앱을 필수 앱으로 추가하고 할당합니다.
Autopilot용 Intune 회사 포털 앱 추가 Windows Autopilot에서 프로비전된 디바이스에 회사 포털 앱을 추가합니다.
Microsoft 365 앱 추가 엔터프라이즈용 Microsoft 365 앱 추가합니다.
그룹에 앱 할당 Intune에 앱을 추가한 후 사용자 및 디바이스에 앱을 할당합니다.
앱 할당 포함 및 제외 할당에서 선택한 그룹을 포함하고 제외하여 앱에 대한 액세스 및 가용성을 제어합니다.
PowerShell 스크립트 사용 PowerShell 스크립트를 업로드하여 Intune에서 Windows 디바이스 관리 기능을 확장하고 최신 관리로 쉽게 이동할 수 있도록 합니다.

8단계: 디바이스 등록

등록하는 동안 디바이스는 Microsoft Entra ID로 등록되고 규정 준수를 평가합니다. 각 등록 방법 및 organization 적합한 등록 방법을 선택하는 방법에 대한 자세한 내용은 Microsoft Intune 대한 Windows 디바이스 등록 가이드를 참조하세요.

작업 자세한 정보
MDM 자동 등록 사용 자동 등록을 사용하도록 설정하여 등록을 간소화합니다. 이 자동 등록은 intune에서 Microsoft Entra ID에 가입하거나 등록하는 디바이스를 자동으로 등록합니다. 자동 등록은 프로비저닝 패키지를 통해 Windows Autopilot 배포, BYOD 등록, 그룹 정책 사용한 등록 및 대량 등록을 간소화합니다.
MDM 서버 자동 검색 사용 MICROSOFT ENTRA ID P1 또는 P2가 없는 경우 Intune 등록 서버에 대한 CNAME 레코드 형식을 만드는 것이 좋습니다. CNAME 레코드는 등록 사용자가 서버 이름을 수동으로 입력할 필요가 없도록 등록 요청을 올바른 서버로 리디렉션합니다.
Windows Autopilot 시나리오 Windows Autopilot 중에 자동으로 수행되도록 Microsoft Intune 디바이스 등록을 설정하여 사용자 기반 또는 자체 배포 OOBE를 간소화합니다.
Windows Autopilot을 사용하여 Microsoft Entra 하이브리드 조인 디바이스 등록 Active Directory용 Intune 커넥터를 사용하면 Active Directory Domain Services 디바이스가 Microsoft Entra ID에 조인한 다음 Intune에 자동으로 등록할 수 있습니다. Active Directory Domain Services 사용하고 현재 ID를 Microsoft Entra ID로 이동할 수 없는 온-프레미스 환경에 대해 이 등록 옵션을 사용하는 것이 좋습니다.
그룹 정책 사용하여 디바이스 등록 그룹 정책을 사용하여 Intune에 자동 등록을 트리거합니다.
디바이스 대량 등록 Windows 구성 Designer 많은 수의 새 Windows 디바이스를 Microsoft Entra ID에 조인하고 Intune에 등록하는 프로비저닝 패키지를 만듭니다.
ESP(등록 상태 페이지) 설정 사용자 지정 설정이 있는 등록 상태 페이지 프로필을 만들어 디바이스 설정 및 등록을 통해 사용자를 안내합니다.
디바이스 소유권 레이블 변경 디바이스가 등록된 후 Intune에서 디바이스의 소유권 레이블을 회사 소유 또는 개인 소유로 변경할 수 있습니다. 이 조정은 디바이스를 관리하는 방식을 변경하고 Intune에서 더 많은 관리 및 식별 기능을 사용하도록 설정하거나 제한할 수 있습니다.
Intune Active Directory 커넥터에 대한 프록시 구성 기존 아웃바운드 프록시 서버와 작동하도록 Active Directory용 Intune 커넥터를 구성합니다.
등록 문제 해결 등록 중 발생하는 문제의 해결 방법을 찾고 문제를 해결합니다.

9단계: 원격 작업 실행

디바이스가 설정되면 지원되는 원격 작업을 사용하여 멀리서 디바이스를 관리하고 문제를 해결할 수 있습니다. 다음 문서에서는 Windows용 원격 작업을 소개합니다. 포털에서 작업이 없거나 사용하지 않도록 설정된 경우 Windows에서 지원되지 않습니다.

작업 자세한 정보
디바이스에서 원격 작업 수행 Intune에서 개별 디바이스를 드릴다운하고 원격으로 관리하고 관련 문제를 해결하는 방법을 알아봅니다. 이 문서에는 Intune에서 사용할 수 있는 모든 원격 작업과 해당 절차 링크가 나열되어 있습니다.
TeamViewer를 사용하여 Intune 장치 원격 관리 Intune에서 TeamViewer를 구성하고 디바이스를 원격으로 관리하는 방법을 알아봅니다.
보안 작업을 사용하여 위협 및 취약성 보기 Intune을 사용하여 엔드포인트용 Microsoft Defender 식별된 엔드포인트 약점을 수정합니다. 보안 작업을 수행하려면 먼저 엔드포인트용 Microsoft Defender Intune과 통합해야 합니다.
조직 메시지 사용 조직 메시지를 사용하여 Windows 11 실행하는 Intune 관리 디바이스의 직원에게 중요한 메시지를 보냅니다. 조직 메시지를 사용하여 원격 및 하이브리드 작업 시나리오에서 통신할 수 있습니다.

10단계: 직원 및 학생 지원

이 섹션의 리소스는 Microsoft Intune 사용자 도움말 설명서에 있습니다. 이 설명서는 개인 또는 회사 제공 디바이스를 등록하는 직원, 학생 및 기타 Intune 라이선스 디바이스 사용자를 위한 것입니다. 설명서 링크는 Intune 회사 포털 앱 전체에서 사용할 수 있으며 다음 정보를 가리킵니다.

  • 등록 방법 연습이 포함된 등록 방법
  • 회사 포털 설정 및 기능
  • 저장된 데이터의 등록을 취소하고 제거하는 방법
  • 규정 준수 요구 사항에 대한 디바이스 설정 업데이트
  • 앱 문제를 보고하는 방법

직원이 해당 정보를 검색하기 위해 등록을 지연할 필요가 없도록 웹 사이트 또는 온보딩 전자 메일에서 organization 운영 체제 요구 사항 및 디바이스 암호 요구 사항을 쉽게 찾을 수 있도록 합니다.

작업 자세한 정보
Windows용 Intune 회사 포털 앱 설치 회사 포털 앱을 가져올 위치와 로그인 방법을 알아봅니다.
회사 포털 앱 업데이트 이 문서에서는 최신 버전의 회사 포털 설치하는 방법과 자동 앱 업데이트를 켜는 방법을 설명합니다.
장치 등록 이 문서에서는 Windows 10 또는 Windows 11 실행하는 개인 디바이스를 등록하는 방법을 설명합니다.
장치 등록 해제 이 문서에서는 Intune에서 디바이스 등록을 취소하고 회사 포털 저장된 캐시 및 로그를 삭제하는 방법을 설명합니다.

다음 단계