4단계 - 디바이스를 보호하고 리소스에 액세스하도록 디바이스 기능 및 설정 구성

지금까지 Intune 구독을 설정하고, 앱 보호 정책을 만들고, 디바이스 준수 정책을 만들었습니다.

이 단계에서는 모든 디바이스에 있어야 하는 보안 및 디바이스 기능의 최소 또는 기준 집합을 구성할 준비가 된 것입니다.

이 글의 적용 대상:

• Android
• iOS/iPadOS
• macOS
• Windows

디바이스 구성 프로필을 만들 때 사용할 수 있는 다양한 수준 및 정책 유형이 있습니다. 이러한 수준은 최소 Microsoft 권장 정책입니다. 환경 및 비즈니스 요구 사항이 다를 수 있음을 알고 있습니다.

• 수준 1 - 최소 디바이스 구성: 이 수준에서는 다음과 같은 정책을 만드는 것이 좋습니다.

  • 바이러스 백신 설치, 강력한 암호 정책 만들기, 정기적으로 소프트웨어 업데이트 설치 등 디바이스 보안에 집중합니다.
  • 사용자가 어디에 있든 organization 전자 메일에 대한 액세스 권한을 부여하고 네트워크에 대한 보안 액세스를 제어합니다.

• 수준 2 - 향상된 디바이스 구성: 이 수준에서는 다음과 같은 정책을 만드는 것이 좋습니다.

  • 디스크 암호화 구성, 보안 부팅 사용, 암호 규칙 추가 등 디바이스 보안을 확장합니다.
  • 기본 제공 기능 및 템플릿을 사용하여 온-프레미스 GPO 분석을 포함하여 organization 중요한 더 많은 설정을 구성합니다.

• 수준 3 - 높은 디바이스 구성: 이 수준에서 Microsoft는 다음과 같은 정책을 만드는 것이 좋습니다.

  • 인증서 사용, 앱에 대한 SSO(Single Sign-On) 구성, MFA(다단계 인증 사용) 및 Microsoft Tunnel 구성을 포함하여 암호 없는 인증으로 이동합니다.
  • Android 공통 조건 모드를 사용하거나 Windows 디바이스에 대한 DFCI 정책을 만들어 보안 계층을 추가합니다.
  • 기본 제공 기능을 사용하여 키오스크 디바이스, 전용 디바이스, 공유 디바이스 및 기타 특수 디바이스를 구성합니다.
  • 기존 셸 스크립트를 배포합니다.

이 문서에서는 조직에서 사용해야 하는 다양한 수준의 디바이스 구성 정책을 나열합니다. 이 문서에서 이러한 정책의 대부분은 organization 리소스 및 보안에 대한 액세스에 중점을 줍니다.

이러한 기능은 Microsoft Intune 관리 센터의 디바이스 구성 프로필에서 구성됩니다. 프로필이 준비되면 Intune 디바이스로 배포할 수 있습니다.

팁

Intune 및 Microsoft Intune 관리 센터를 둘러보세요.

수준 1 - 보안 기준 만들기

organization 데이터 및 디바이스를 안전하게 유지하기 위해 보안에 중점을 둔 다양한 정책을 만듭니다. 모든 사용자 및/또는 모든 디바이스에 있어야 하는 보안 기능 목록을 만들어야 합니다. 이 목록은 보안 기준입니다.

최소한 기준에서 Microsoft는 다음 보안 정책을 권장합니다.

• AV(바이러스 백신) 설치 및 정기적으로 맬웨어 검사
• 검색 및 응답 사용
• 방화벽 켜기
• 정기적으로 소프트웨어 업데이트 설치
• 강력한 PIN/암호 정책 만들기

이 섹션에서는 이러한 보안 정책을 만드는 데 사용할 수 있는 Intune 및 Microsoft 서비스를 나열합니다.

Windows 설정 및 권장 값의 보다 세부적인 목록은 Windows 보안 기준으로 이동합니다.

바이러스 백신 및 검사

✔️ 바이러스 백신 소프트웨어 설치 및 정기적으로 맬웨어 검사

모든 디바이스에는 바이러스 백신 소프트웨어가 설치되어 있어야 하며 정기적으로 맬웨어를 검사해야 합니다. Intune AV 및 위협 검사를 제공하는 타사 MTD(모바일 위협 방어) 서비스와 통합됩니다. macOS 및 Windows의 경우 바이러스 백신 및 검사는 엔드포인트용 Microsoft Defender Intune 위해 기본 제공됩니다.

정책 옵션:

플랫폼	정책 유형
Android Enterprise	- 모바일 위협 방어 파트너 - android용 엔드포인트용 Microsoft Defender 맬웨어를 검색할 수 있습니다.
iOS/iPadOS	모바일 위협 방어 파트너
macOS	Intune 엔드포인트 보안 바이러스 백신 프로필(엔드포인트용 Microsoft Defender)
Windows 클라이언트	- Intune 보안 기준(권장) - Intune 엔드포인트 보안 바이러스 백신 프로필(엔드포인트용 Microsoft Defender) - 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

• Android Enterprise:
  • 모바일 위협 방어 통합
  • 엔드포인트용 Microsoft Defender 개요
• iOS/iPadOSMobile 위협 방어 통합
• macOS바이러스 백신 정책
• Windows:
  • 바이러스 백신 정책
  • 보안 기준

검색 및 응답

✔️ 공격을 감지하고 이러한 위협에 대응

위협을 빠르게 감지하면 위협의 영향을 최소화할 수 있습니다. 이러한 정책을 조건부 액세스와 결합하면 위협이 감지되면 사용자와 디바이스가 organization 리소스에 액세스하지 못하도록 차단할 수 있습니다.

정책 옵션:

플랫폼	정책 유형
Android Enterprise	- 모바일 위협 방어 파트너 - Android의 엔드포인트용 Microsoft Defender
iOS/iPadOS	- 모바일 위협 방어 파트너 - iOS/iPadOS의 엔드포인트용 Microsoft Defender
macOS	사용할 수 없음
Windows 클라이언트	- Intune 보안 기준(권장) - Intune 엔드포인트 검색 및 대응 프로필(엔드포인트용 Microsoft Defender) - 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

• Android Enterprise:
  • Intune과 모바일 위협 방어 통합
  • 엔드포인트용 Microsoft Defender 개요
• iOS/iPadOS:
  • Intune과 모바일 위협 방어 통합
  • 엔드포인트용 Microsoft Defender 개요
• Windows:
  • 보안 기준
  • 엔드포인트 검색 및 응답 정책

방화벽

✔️ 모든 디바이스에서 방화벽 사용

일부 플랫폼에는 기본 제공 방화벽이 있고 다른 플랫폼에는 방화벽을 별도로 설치해야 할 수 있습니다. Intune Android 및 iOS/iPadOS 디바이스용 방화벽을 관리할 수 있는 타사 MTD(모바일 위협 방어) 서비스와 통합됩니다. macOS 및 Windows의 경우 방화벽 보안은 엔드포인트용 Microsoft Defender Intune 위해 기본 제공됩니다.

정책 옵션:

플랫폼	정책 유형
Android Enterprise	모바일 위협 방어 파트너
iOS/iPadOS	모바일 위협 방어 파트너
macOS	Intune 엔드포인트 보안 방화벽 프로필(엔드포인트용 Microsoft Defender)
Windows 클라이언트	- Intune 보안 기준(권장) - Intune 엔드포인트 보안 방화벽 프로필(엔드포인트용 Microsoft Defender) - 모바일 위협 방어 파트너

이러한 기능에 대한 자세한 내용은 다음을 참조하세요.

• Android EnterpriseMobile 위협 방어 통합
• iOS/iPadOSMobile 위협 방어 통합
• macOS방화벽 정책
• Windows:
  • 보안 기준
  • 방화벽 정책

암호 정책

✔️ 강력한 암호/PIN 정책을 만들고 간단한 암호를 차단합니다.

PIN은 디바이스의 잠금을 해제합니다. 개인 소유 디바이스를 포함하여 organization 데이터에 액세스하는 디바이스에서는 강력한 PIN/암호가 필요하고 디바이스 잠금을 해제하는 생체 인식을 지원해야 합니다. 생체 인식을 사용하는 것이 권장되는 암호 없는 접근 방식의 일부입니다.

Intune 디바이스 제한 프로필을 사용하여 암호 요구 사항을 만들고 구성합니다.

정책 옵션:

플랫폼	정책 유형
Android Enterprise	Intune 디바이스 제한 프로필을 사용하여 다음을 관리합니다. - 디바이스 암호 - 회사 프로필 암호
Aosp	디바이스 제한 프로필 Intune
iOS/iPadOS	디바이스 제한 프로필 Intune
macOS	디바이스 제한 프로필 Intune
Windows 클라이언트	- Intune 보안 기준(권장) - 디바이스 제한 프로필 Intune

구성할 수 있는 설정 목록은 다음으로 이동합니다.

• Android Enterprise 디바이스 제한 프로필:
  • 회사 소유 디바이스 디바이스 >암호 및 회사 프로필 암호
  • 회사 프로필 > 이 있는 개인 소유 디바이스 회사 프로필 암호 및 암호
• Android AOSP디바이스 제한 프로필 >디바이스 암호
• iOS/iPadOS디바이스 제한 프로필 >암호
• macOS디바이스 제한 프로필 >암호
• Windows:
  • 보안 기준
  • 클라이언트 디바이스 제한 프로필 >암호
  • 디바이스 등록 시 비즈니스용 Windows Hello 관리
  • 디바이스 등록 후 비즈니스용 Windows Hello 관리

소프트웨어 업데이트

✔️ 정기적으로 소프트웨어 업데이트 설치

모든 디바이스는 정기적으로 업데이트해야 하며 이러한 업데이트가 성공적으로 설치되었는지 확인하기 위해 정책을 만들어야 합니다. 대부분의 플랫폼에서 Intune 업데이트 관리 및 설치에 중점을 둔 전용 정책을 제공합니다.

정책 옵션:

플랫폼	정책 유형
Android Enterprise organization 소유 디바이스	Intune 디바이스 제한 프로필을 사용하는 시스템 업데이트 설정
Android Enterprise 개인 소유 디바이스	사용할 수 없음 규정 준수 정책을 사용하여 최소 패치 수준, 최소/최대 OS 버전 등을 설정할 수 있습니다.
iOS/iPadOS	Intune 업데이트 정책
macOS	Intune 업데이트 정책
Windows 클라이언트	- Intune 기능 업데이트 정책 - Intune 신속한 업데이트 정책

이러한 기능 및/또는 구성할 수 있는 설정에 대한 자세한 내용은 다음을 참조하세요.

• Android Enterprise디바이스 제한 프로필 >시스템 업데이트
• iOS/iPadOS소프트웨어 업데이트 정책
• macOS소프트웨어 업데이트 정책
• Windows:
  • 기능 업데이트 정책
  • 신속한 업데이트 정책

수준 1 - organization 메일 액세스, VPN에 연결 또는 Wi-Fi

이 섹션에서는 organization 리소스에 액세스하는 데 중점을 둡니다. 이러한 리소스에는 다음이 포함됩니다.

• 회사 또는 학교 계정에 대한 Email
• 원격 연결을 위한 VPN 연결
• 온-프레미스 연결을 위한 Wi-Fi 연결

전자 메일

많은 조직에서 미리 구성된 설정을 사용하여 전자 메일 프로필을 사용자 디바이스에 배포합니다.

✔️ 사용자 전자 메일 계정에 자동으로 연결

프로필에는 전자 메일 서버에 연결하는 이메일 구성 설정이 포함됩니다.

구성한 설정에 따라 전자 메일 프로필은 사용자를 개별 이메일 계정 설정에 자동으로 연결할 수도 있습니다.

✔️ 엔터프라이즈 수준 전자 메일 앱 사용

Intune Email 프로필은 Outlook과 같은 일반적이고 인기 있는 전자 메일 앱을 사용합니다. 전자 메일 앱이 사용자 디바이스에 배포됩니다. 배포된 후에는 이메일 앱을 구성하는 설정을 사용하여 이메일 디바이스 구성 프로필을 배포합니다.

전자 메일 디바이스 구성 프로필에는 Exchange에 연결하는 설정이 포함되어 있습니다.

✔️ 회사 또는 학교 전자 메일 액세스

전자 메일 프로필을 만드는 것은 디바이스에서 전자 메일을 사용하는 사용자가 있는 조직에 대한 일반적인 최소 기준 정책입니다.

Intune Android, iOS/iPadOS 및 Windows 클라이언트 디바이스에 대한 이메일 설정이 기본 제공됩니다. 사용자가 전자 메일 앱을 열면 디바이스에서 조직 전자 메일 계정을 자동으로 연결, 인증 및 동기화할 수 있습니다.

✔️ 언제든지 배포

새 디바이스에서는 등록 프로세스 중에 전자 메일 앱을 배포하는 것이 좋습니다. 등록이 완료되면 이메일 디바이스 구성 정책을 배포합니다.

기존 디바이스가 있는 경우 언제든지 이메일 앱을 배포하고 이메일 디바이스 구성 정책을 배포합니다.

전자 메일 프로필 시작

시작하려면 다음을 수행합니다.

1. 디바이스에 전자 메일 앱을 배포합니다. 몇 가지 지침은 Intune 사용하여 디바이스에 전자 메일 설정 추가로 이동합니다.

2. Intune 메일 디바이스 구성 프로필을 만듭니다. organization 사용하는 이메일 앱에 따라 전자 메일 디바이스 구성 프로필이 필요하지 않을 수 있습니다.

   몇 가지 지침은 Intune 사용하여 디바이스에 전자 메일 설정 추가로 이동합니다.

3. 이메일 디바이스 구성 프로필에서 플랫폼에 대한 설정을 구성합니다.

   • 회사 프로필 이메일 설정이 있는 Android Enterprise 개인 소유 디바이스

     Android Enterprise organization 소유 디바이스는 전자 메일 디바이스 구성 프로필을 사용하지 않습니다.

   • iOS/iPadOS 전자 메일 설정

   • Windows 전자 메일 설정

4. 이메일 디바이스 구성 프로필을 사용자 또는 사용자 그룹에 할당합니다.

VPN

많은 조직에서 미리 구성된 설정을 사용하여 VPN 프로필을 사용자 디바이스에 배포합니다. VPN은 디바이스를 내부 organization 네트워크에 연결합니다.

organization 최신 인증 및 보안 ID가 있는 클라우드 서비스를 사용하는 경우 VPN 프로필이 필요하지 않을 수 있습니다. 클라우드 네이티브 서비스에는 VPN 연결이 필요하지 않습니다.

앱 또는 서비스가 클라우드 기반이 아니거나 클라우드 네이티브가 아닌 경우 VPN 프로필을 배포하여 내부 organization 네트워크에 연결하는 것이 좋습니다.

✔️ 어디서나 작업

VPN 프로필을 만드는 것은 원격 작업자 및 하이브리드 작업자가 있는 조직에 대한 일반적인 최소 기준 정책입니다.

사용자는 어디서나 작업할 때 VPN 프로필을 사용하여 organization 네트워크에 안전하게 연결하여 리소스에 액세스할 수 있습니다.

Intune Android, iOS/iPadOS, macOS 및 Windows 클라이언트 디바이스에 대한 VPN 설정이 기본 제공됩니다. 사용자 디바이스에서 VPN 연결은 사용 가능한 연결로 표시됩니다. 사용자가 선택합니다. 또한 VPN 프로필의 설정에 따라 사용자는 디바이스에서 VPN을 자동으로 인증하고 연결할 수 있습니다.

✔️ 엔터프라이즈 수준 VPN 앱 사용

Intune VPN 프로필은 Check Point, Cisco, Microsoft Tunnel 등과 같은 일반적인 엔터프라이즈 VPN 앱을 사용합니다. VPN 앱은 사용자 디바이스에 배포됩니다. 앱을 배포한 후 VPN 앱을 구성하는 설정을 사용하여 VPN 연결 프로필을 배포합니다.

VPN 디바이스 구성 프로필에는 VPN 서버에 연결하는 설정이 포함됩니다.

✔️ 언제든지 배포

새 디바이스에서는 등록 프로세스 중에 VPN 앱을 배포하는 것이 좋습니다. 등록이 완료되면 VPN 디바이스 구성 정책을 배포합니다.

기존 디바이스가 있는 경우 언제든지 VPN 앱을 배포한 다음 VPN 디바이스 구성 정책을 배포합니다.

VPN 프로필 시작

시작하려면 다음을 수행합니다.

1. 디바이스에 VPN 앱을 배포합니다.

   • 지원되는 VPN 앱 목록은 Intune 지원되는 VPN 연결 앱으로 이동합니다.
   • Intune 앱을 추가하는 단계는 Microsoft Intune 앱 추가로 이동합니다.

2. Intune VPN 구성 프로필을 만듭니다.

3. VPN 디바이스 구성 프로필에서 플랫폼에 대한 설정을 구성합니다.

   • Android Enterprise VPN 설정
   • iOS/iPadOS VPN 설정
   • macOS VPN 설정
   • Windows VPN 설정

4. 사용자 또는 사용자 그룹에 VPN 디바이스 구성 프로필을 할당합니다.

Wi-Fi

많은 조직에서 미리 구성된 설정을 사용하여 Wi-Fi 프로필을 사용자 디바이스에 배포합니다. organization 원격 전용 인력이 있는 경우 Wi-Fi 연결 프로필을 배포할 필요가 없습니다. Wi-Fi 프로필은 선택 사항이며 온-프레미스 연결에 사용됩니다.

✔️ 무선으로 연결

사용자는 서로 다른 모바일 디바이스에서 작업할 때 Wi-Fi 프로필을 사용하여 organization 네트워크에 무선으로 안전하게 연결할 수 있습니다.

프로필에는 네트워크 및/또는 SSID(서비스 집합 식별자)에 자동으로 연결하는 Wi-Fi 구성 설정이 포함됩니다. 사용자는 Wi-Fi 설정을 수동으로 구성할 필요가 없습니다.

✔️ 온-프레미스 모바일 디바이스 지원

Wi-Fi 프로필을 만드는 것은 온-프레미스에서 작동하는 모바일 디바이스를 사용하는 조직에 대한 일반적인 최소 기준 정책입니다.

Intune Android, iOS/iPadOS, macOS 및 Windows 클라이언트 디바이스에 대한 Wi-Fi 설정을 기본 제공했습니다. 사용자 디바이스에서 Wi-Fi 연결이 사용 가능한 연결로 표시됩니다. 사용자가 선택합니다. 또한 Wi-Fi 프로필의 설정에 따라 사용자는 자동으로 인증하고 디바이스의 Wi-Fi 연결할 수 있습니다.

✔️ 언제든지 배포

새 디바이스에서는 디바이스가 Intune 등록할 때 Wi-Fi 디바이스 구성 정책을 배포하는 것이 좋습니다.

기존 디바이스가 있는 경우 언제든지 Wi-Fi 디바이스 구성 정책을 배포할 수 있습니다.

Wi-Fi 프로필 시작

시작하려면 다음을 수행합니다.

1. Intune Wi-Fi 디바이스 구성 프로필을 만듭니다.

2. 플랫폼에 대한 설정을 구성합니다.

   • Android Enterprise Wi-Fi 설정
   • iOS/iPadOS Wi-Fi 설정
   • macOS Wi-Fi 설정
   • Windows Wi-Fi 설정

3. 사용자 또는 사용자 그룹에 Wi-Fi 디바이스 구성 프로필을 할당합니다.

수준 2 - 향상된 보호 및 구성

이 수준은 수준 1에서 구성한 항목을 확장하고 디바이스에 대한 보안을 강화합니다. 이 섹션에서는 디바이스에 대한 더 많은 보안 설정을 구성하는 수준 2 정책 집합을 만듭니다.

Microsoft는 다음 수준 2 보안 정책을 권장합니다.

• 디바이스에서 디스크 암호화, 보안 부팅 및 TPM 을 사용하도록 설정합니다. 강력한 PIN 정책 또는 생체 인식 잠금 해제와 결합된 이러한 기능은 이 수준에서 권장됩니다.

  Android

  Android 디바이스에서는 디스크 암호화 및 Samsung Knox가 운영 체제에 기본 제공될 수 있습니다. 잠금 화면 설정을 구성할 때 디스크 암호화가 자동으로 사용하도록 설정될 수 있습니다. Intune 잠금 화면 설정을 구성하는 디바이스 제한 정책을 만들 수 있습니다.

  구성할 수 있는 암호 및 잠금 화면 설정 목록은 다음 문서로 이동합니다.

  • 조직 소유 디바이스 - 디바이스 암호
  • 조직 소유 디바이스 - 회사 프로필 암호
  • 개인 소유 디바이스 - 회사 프로필 암호
  • 개인 소유 디바이스 - 디바이스 암호

  iOS/iPadOS

  iOS/iPadOS 디바이스에서 디스크 암호화 및 보안 Enclave는 운영 체제에 기본 제공되고 자동으로 사용하도록 설정됩니다. 이러한 특정 기능을 구성하는 Intune 설정은 없습니다.

  자세한 내용은 Apple 플랫폼 보안 및보안 Enclave 소개(Apple 웹 사이트 열기)를 참조하세요.

  암호 설정 및 백업 암호화에 중점을 둔 Intune 정책이 있습니다.

  macOS

  macOS 디바이스에서는 디스크 암호화를 위해 Intune FileVault 정책을 구성하고 사용할 수 있습니다.

  보안 Enclave는 운영에 기본 제공되고 자동으로 사용하도록 설정됩니다. 자세한 내용은 Apple 플랫폼 보안 및보안 Enclave 소개(Apple 웹 사이트 열기)를 참조하세요.

  Windows

  Windows 디바이스에는 TPM을 포함하여 BitLocker를 관리하고보안 부팅을 비롯한 Windows 설정을 관리하는 Intune 엔드포인트 보호 정책이 있습니다.

---

• 암호를 만료하고 이전 암호 재사용을 규제합니다. 수준 1에서는 강력한 PIN 또는 암호 정책을 만들었습니다. 아직 만료되지 않은 경우 PIN & 암호를 구성하고 일부 암호 재사용 규칙을 설정해야 합니다.

  Intune 사용하여 디바이스 제한 정책 또는 이러한 설정을 구성하는 설정 카탈로그 정책을 만들 수 있습니다. 구성할 수 있는 암호 설정에 대한 자세한 내용은 다음 문서를 참조하세요.

  Android

  Android 디바이스에서 디바이스 제한 정책을 사용하여 암호 규칙을 설정할 수 있습니다.

  • 조직 소유 디바이스 - 디바이스 암호 설정
  • 조직 소유 디바이스 - 회사 프로필 암호 설정
  • 개인 소유 디바이스 - 회사 프로필 암호 설정
  • 개인 소유 디바이스 - 디바이스 암호 설정

  iOS/iPadOS

  iOS/iPadOS 디바이스에서 디바이스 제한 정책 및/또는 설정 카탈로그를 사용하여 암호 규칙을 설정할 수 있습니다.

  • 디바이스 제한 정책 > 암호 설정
  • 설정 카탈로그> SearchPasscode

  macOS

  macOS 디바이스에서 디바이스 제한 정책 및/또는 설정 카탈로그를 사용하여 암호 규칙을 설정할 수 있습니다.

  • 디바이스 제한 정책 > 암호 설정
  • 설정 카탈로그> SearchPasscode

  Windows

  Windows 디바이스에서 디바이스 제한 정책 및/또는 설정 카탈로그를 사용하여 암호 규칙을 설정할 수 있습니다.

  • 디바이스 제한 정책 > 암호 설정
  • 설정 카탈로그> SearchDevice lock

---

• Intune 기본 제공 카메라 사용 안 함, 알림 제어, 블루투스 허용, 게임 차단 등과 같은 장치 기능 및 설정을 관리할 수 있는 수백 개의 설정이 포함되어 있습니다.

  기본 제공 템플릿 또는 설정 카탈로그를 사용하여 설정을 보고 구성할 수 있습니다.

  • 디바이스 제한 템플릿 에는 보안, 하드웨어, 데이터 공유 등을 포함하여 디바이스의 다양한 부분을 제어할 수 있는 많은 기본 제공 설정이 있습니다.

    다음 플랫폼에서 이러한 템플릿을 사용할 수 있습니다.

    • Android
    • iOS/iPadOS
    • macOS
    • Windows

  • 설정 카탈로그를 사용하여 사용 가능한 모든 설정을 보고 구성합니다. 다음 플랫폼에서 설정 카탈로그를 사용할 수 있습니다.

    • iOS/iPadOS
    • macOS
    • Windows

  • 온-프레미스에서 ADMX 템플릿을 구성하는 것과 유사한 기본 제공 관리 템플릿을 사용합니다. 다음 플랫폼에서 ADMX 템플릿을 사용할 수 있습니다.

    • Windows

• 온-프레미스 GPO를 사용하고 Intune 동일한 설정을 사용할 수 있는지 알고 싶다면 그룹 정책 분석을 사용합니다. 이 기능은 GPO를 분석하고 분석에 따라 Intune 설정 카탈로그 정책으로 가져올 수 있습니다.

  자세한 내용은 온-프레미스 GPO 분석 및 Intune 가져오기로 이동하세요.

수준 3 - 높은 보호 및 구성

이 수준은 수준 1과 2에서 구성한 내용을 확장합니다. 엔터프라이즈 수준 조직에서 사용되는 추가 보안 기능을 추가합니다.

• 암호 없는 인증을 인력이 사용하는 다른 서비스로 확장합니다. 수준 1에서는 사용자가 지문 또는 얼굴 인식으로 디바이스에 로그인할 수 있도록 생체 인식을 사용하도록 설정했습니다. 이 수준에서 암호 없는 을 organization 다른 부분으로 확장합니다.

  • 인증서를 사용하여 전자 메일, VPN 및 Wi-Fi 연결을 인증합니다. 인증서는 사용자 및 디바이스에 배포된 다음 사용자가 이러한 이메일, VPN 및 Wi-Fi 연결을 통해 organization 리소스에 액세스하는 데 사용됩니다.

    Intune 인증서 사용에 대해 자세히 알아보려면 다음으로 이동하세요.

    • 인증에 PKCS 또는 SCEP 인증서 사용
    • 파생 자격 증명 사용

  • 사용자가 Microsoft 365 앱과 같은 비즈니스 앱을 열 때 보다 원활한 환경을 위해 SSO(Single Sign-On)를 구성합니다. 사용자는 한 번 로그인한 다음 SSO 구성을 지원하는 모든 앱에 자동으로 로그인됩니다.

    Intune 및 Microsoft Entra ID SSO를 사용하는 방법을 알아보려면 다음으로 이동하세요.

    • Android: Microsoft Entra ID MSAL을 사용하여 Android에서 앱 간 SSO 사용
    • iOS/iPadOS, macOS: Intune 및 기타 MDM에서 Enterprise SSO 플러그 인 사용
    • Windows: Microsoft Entra ID 사용하여 SSO 구성

  • MFA(다단계 인증)를 사용합니다. 암호 없는 것으로 이동하면 MFA는 추가 보안 계층을 추가하고 피싱 공격으로부터 organization 보호할 수 있습니다. Microsoft Authenticator와 같은 인증자 앱이나 전화 통화 또는 문자 메시지와 함께 MFA를 사용할 수 있습니다. 사용자가 Intune 디바이스를 등록할 때 MFA를 사용할 수도 있습니다.

    다단계 인증은 Microsoft Entra ID 기능이며 Microsoft Entra 계정에서 사용할 수 있습니다. 자세한 내용을 보려면 다음으로 이동하세요.

    • Microsoft Entra ID Protection 개요
    • 다단계 인증 Microsoft Entra
    • Intune 디바이스 등록에 다단계 인증 필요

  • Android 및 iOS/iPadOS 디바이스에 대한 Microsoft Tunnel을 설정합니다. Microsoft Tunnel은 Linux를 사용하여 최신 인증 및 조건부 액세스를 사용하여 이러한 디바이스가 온-프레미스 리소스에 액세스할 수 있도록 허용합니다.

    Microsoft Tunnel은 AD FS(Intune, Microsoft Entra ID 및 Active Directory Federation Services)를 사용합니다. 자세한 내용은 microsoft Tunnel for Microsoft Intune.

  • Intune 등록한 디바이스용 Microsoft Tunnel 외에도 MAM용 Microsoft Tunnel for Mobile Application Management(Tunnel for MAM)를 사용하여 터널 기능을 Intune 등록되지 않은 Android 및 iOS/iPad 디바이스로 확장할 수 있습니다. MAM용 터널은 추가 라이선스가 필요한 Intune 추가 기능으로 사용할 수 있습니다.

    자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

• WINDOWS LAPS(로컬 관리자 암호 솔루션) 정책을 사용하여 Windows 디바이스에서 기본 제공 로컬 관리자 계정을 관리하고 백업합니다. 로컬 관리자 계정을 삭제할 수 없고 디바이스에 대한 모든 권한이 있으므로 기본 제공 Windows 관리자 계정 관리는 organization 보호하는 중요한 단계입니다. Windows LAPS에 대한 Intune 정책은 버전 21h2 이상을 실행하는 Windows 디바이스에서 사용할 수 있는 기능을 사용합니다.

  자세한 내용은 Windows LAPS에 대한 Intune 지원을 참조하세요.

• EPM(Microsoft Intune 엔드포인트 권한 관리)을 사용하여 Windows 디바이스의 공격 표면을 줄입니다. EPM을 사용하면 관리자 권한 없이 표준 사용자로 실행되는 사용자가 높은 컨텍스트에서 앱을 실행할 수 있는 시기를 결정하여 생산성을 유지할 수 있습니다.

  EPM 권한 상승 규칙은 파일 해시, 인증서 규칙 등을 기반으로 할 수 있습니다. 사용자가 구성하는 규칙은 허용되는 예상 애플리케이션과 신뢰할 수 있는 애플리케이션만 관리자 권한으로 실행할 수 있도록 하는 데 도움이 됩니다. 규칙은 앱이 만드는 자식 프로세스를 관리하고, 관리되는 프로세스를 승격하기 위한 사용자의 요청을 지원하며, 사용자 중단 없이 실행해야 하는 파일의 자동 상승을 허용할 수 있습니다.

  엔드포인트 권한 관리는 추가 라이선스가 필요한 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

• 정부 기관처럼 매우 민감한 조직에서 사용하는 Android 디바이스에서 Android 공통 조건 모드를 사용합니다.

  이 기능에 대한 자세한 내용은 Android 공통 조건 모드로 이동하세요.

• Windows 펌웨어 계층에 적용되는 정책을 만듭니다. 이러한 정책은 맬웨어가 Windows OS 프로세스와 통신하는 것을 방지하는 데 도움이 될 수 있습니다.

  이 기능에 대한 자세한 내용은 Windows 디바이스에서 DFCI(디바이스 펌웨어 구성 인터페이스) 프로필 사용을 참조하세요.

• 키오스크, 공유 디바이스 및 기타 특수 디바이스를 구성합니다.

  Android

  • Android Enterprise:

    • OEMConfig를 사용하여 Android Enterprise 디바이스 사용 및 관리
    • 키오스크 디바이스 설정으로 실행되는 전용 디바이스

  • Android 장치 관리자

    • Zebra Mobility Extensions를 사용하여 Zebra 디바이스 사용 및 관리
    • 키오스크로 실행할 디바이스 설정

    중요

    Microsoft Intune 2024년 8월 30일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.

  iOS/iPadOS

  • iOS/iPadOS
    • ASAM(자율 단일 앱 모드)에서 실행할 디바이스 설정
    • 키오스크로 실행할 디바이스 설정

  Windows

  • Windows

    • 전용 키오스크로 실행할 디바이스 설정
    • 키오스크로 실행할 디바이스 설정
    • 공유 PC 또는 다중 사용자 디바이스

  • Windows Holographic for Business

    • 키오스크로 실행할 디바이스 설정
    • 전용 키오스크로 실행할 디바이스 설정

---

• 셸 스크립트 배포:

  • macOS: 셸 스크립트 사용
  • Windows: Windows PowerShell 스크립트 사용

권장되는 최소 기준 정책을 따릅니다.

1. Microsoft Intune 설정
2. 앱 추가, 구성 및 보호
3. 규정 준수 정책 계획
4. 🡺 디바이스 기능 구성 (여기 있음)
5. 장치 등록