동일한 Microsoft Intune 테넌트에서 많은 관리자가 있는 분산 IT 환경

  • 아티클

많은 조직에서는 여러 로컬 관리자가 있는 단일 Microsoft Intune 테넌트가 있는 분산 IT 환경을 사용합니다. 이 문서에서는 단일 Microsoft Intune 테넌트 내에서 사용자, 디바이스를 관리하고 자체 정책을 만드는 여러 로컬 관리자를 지원하도록 Microsoft Intune 확장하는 한 가지 방법을 설명합니다. 테넌트에서 사용할 수 있는 관리자 수에 대한 옳거나 잘못된 대답은 없습니다. 이 문서에서는 많은 로컬 관리자가 있는 테넌트에서 중점을 둡니다.

많은 수의 로컬 관리자가 단일 Intune 테넌트에 연결하는 시스템에서 분산 IT가 필요합니다. 예를 들어 일부 학교 시스템은 시스템 또는 지역의 모든 학교에 대한 로컬 관리자가 있도록 구성됩니다. 경우에 따라 이 분산 환경은 동일한 중앙 시스템 또는 Microsoft Intune 테넌트로 롤업하는 15명 이상의 다른 로컬 관리자일 수 있습니다.

각 로컬 관리자는 조직의 요구에 맞게 그룹을 설정할 수 있습니다. 로컬 관리자는 일반적으로 그룹을 만들고 지리적 위치, 부서 또는 하드웨어 특성별로 여러 사용자 또는 디바이스를 구성합니다. 또한 로컬 관리자는 이러한 그룹을 사용하여 대규모 작업을 관리합니다. 예를 들어 로컬 관리자는 많은 사용자에 대한 정책을 설정하거나 디바이스 집합에 앱을 배포할 수 있습니다.

알아야 할 역할

  • 중앙 팀: 중앙 팀 또는 그룹에는 테넌트에서 전역 관리자 또는 기본 관리자가 포함됩니다. 이러한 관리자는 모든 로컬 관리자를 감독할 수 있으며 로컬 관리자에게 지침을 제공할 수 있습니다.

  • 로컬 관리자: 로컬 관리자는 로컬이며 특정 위치에 대한 정책 및 프로필에 중점을 줍니다. 학교, 병원 등

역할 기반 액세스 제어

이 섹션에서는 다양한 모델을 간략하게 설명하고 중앙 팀과 로컬 관리자 간의 정책, 프로필 및 앱을 관리하기 위한 각 모델에 대한 지침을 제안합니다. 모델은 다음과 같습니다.

  • 부분 위임 모델
  • 전체 위임 모델
  • 중앙 모델
  • 발전된 모델
  • 하이브리드 모델

부분 위임 모델

부분 위임 모델은 중앙 팀과 로컬 관리자 간의 정책 관리에 대한 다음 지침을 제안합니다.

✔️ 권한을

  • 정책, 등록 프로필 및 앱에 대한 권한 만들기, 업데이트 및 삭제는 중앙 팀에서 보유해야 합니다.
  • 로컬 관리자에게 읽기 및 할당 권한만 부여합니다.

✔️ 재사용

  • 일반적으로 구성된 정책, 등록 프로필 및 앱을 로컬 관리자가 최대한 많이 재사용할 수 있도록 해야 합니다.
  • Microsoft Intune 몇 가지 범주에 속하는 많은 일반적인 구성을 사용합니다. 앱 보호 정책에 대해 나열된 권장 사항을 검토합니다.
  • 로컬 관리자는 온보딩할 때 기존 정책을 검토하고 필요에 따라 다시 사용해야 합니다.

✔️ 예외

  • 중앙 팀은 필요한 경우 로컬 관리자를 대신하여 특정 새 정책, 등록 프로필 및 앱을 예외로 만들 수 있습니다. 일반적으로 이러한 예외에는 고유한 매개 변수가 필요한 모든 유형의 프로필이 포함됩니다.

다음 두 영역에서 부분 위임 모델이 제안됩니다.

로컬 관리자에 대한 그룹 및 할당 지침: Microsoft Intune 통해 디바이스 관리를 위한 그룹을 구성하는 동안 로컬 관리자가 채택하는 모범 사례는 무엇인가요? 알아보려면 Intune 그룹화, 대상 지정 및 필터링: 최상의 성능을 위한 권장 사항 - Microsoft Tech Community

기능별 지침: 다양한 기능에 대한 특정 권한을 가진 중앙 기관과 로컬 관리자 간에 정책/프로필/앱을 관리하는 방법 자세한 내용은 기능별 지침 섹션을 참조하세요.

전체 위임 모델

전체 위임 모델은 중앙 팀과 로컬 관리자 간의 정책 관리에 대한 다음 지침을 제안합니다.

  • 각 로컬 관리자는 완전히 관리하는 각 개체를 구분하는 고유한 scope 태그가 있어야 합니다.
  • 로컬 관리자가 만들거나 업데이트하거나 삭제할 필요가 없는 경우 로컬 관리자에게 읽기 및 할당 권한이 있는 역할을 부여하고 모든 권한이 있는 다른 역할을 할당하지 마세요. 이 방법을 사용하면 scope 태그 간에 사용 권한을 결합하지 않도록 방지할 수 있습니다.
  • 경우에 따라 로컬 관리자는 몇 가지 일반적인 정책, 프로필 및 앱을 공유하면서 고유한 정책, 프로필 및 앱을 만들어야 할 수 있습니다. 이러한 경우 특수 그룹을 만들고 이 그룹에 공통 정책, 프로필 및 앱을 할당합니다. 이 그룹은 로컬 관리자의 범위 그룹에 포함되지 않아야 합니다. 범위 그룹입니다. 이 방법을 사용하면 로컬 관리자에게 할당된 만들기, 업데이트 및 삭제 권한이 이러한 일반적인 정책, 프로필 및 앱에 적용되지 않습니다.

중앙 모델

중앙 모델에서 단일 로컬 관리 팀(부모)은 여러 자식 조직을 관리합니다. 지리, 사업부 또는 크기와 같은 요인은 자식 조직을 연결할 수 있습니다.

  • 모든 관리되는 로컬 관리자를 포함하는 데 사용되는 scope 태그는 하나뿐입니다.

  • 가능하면 로컬 관리 팀은 로컬 관리자 간에 할당을 표준화하고 할당을 위해 모든 디바이스를 단일 Microsoft Entra 그룹에 배치해야 합니다. 단일 Microsoft Entra 그룹을 만들 수 없는 경우 로컬 관리 팀은 다른 Microsoft Entra 그룹을 만들어 다른 할당을 수행할 수 있습니다.

  • 다른 로컬 관리 팀이 조직을 관리하거나 이동하는 경우 다음 단계를 수행해야 합니다.

    • 조직의 모든 디바이스 및 사용자는 원래 로컬 관리 팀의 scope 공통 Microsoft Entra 그룹에서 추출해야 합니다.

    • 해당 조직에 대해 고유하게 할당된 모든 정책/앱/프로필에는 새 로컬 관리 팀에 대한 scope 태그가 업데이트되어 있어야 합니다.

발전된 모델

배포된 모델에서 여러 로컬 관리자(자식)는 전용 로컬 관리자가 관리하고 중간 로컬 관리 팀에서 감독합니다. 부모 관리자와 자식 관리자 모두 관리 경계를 나타내는 고유한 scope 태그가 있습니다.

  • 50명 미만의 자식 관리자가 있는 경우 중간 로컬 관리 팀 RBAC 역할 할당에 모든 자식 scope 태그를 할당하여 중간 로컬 관리 팀에 액세스 권한을 부여할 수 있습니다.
  • 50명 이상의 자식 관리자가 있는 경우 중간 로컬 관리 팀에 감독하는 전체 자식 관리자 컬렉션을 나타내기 위해 고유한 scope 태그가 부여되어야 합니다.
  • 자식 관리자의 scope 태그 아래에 새로 만든 정책에는 중간 로컬 관리 팀이 가시성을 잃지 않도록 전역 관리자 역할에 의해 추가된 중간 태그가 있어야 합니다.

하이브리드 모델

하이브리드 모델에서 동일한 부모 관리자가 동시에 Central 및 Devolved 모델에서 사용됩니다. 이 모델에 대한 특별한 권장 사항은 없습니다.

기능별 지침

각 기능에 대한 비즈니스 요구 사항에 따라 이 섹션에 제공된 지침에 따라 로컬 관리자별로 정책을 만들거나 개체를 만드는 데 필요한 권한을 로컬 관리자에게 위임하는 것이 좋습니다.

참고

이 섹션에 제공된 지침은 모든 기능을 다루지는 않지만 특별한 지침이 있는 영역만 다룹니다.

앱 보호 정책

앱 보호 정책은 관리 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 자세한 내용은 앱 보호 정책을 참조하세요.

앱 보호 정책에 대한 지침은 다음과 같이 중앙 팀과 로컬 관리자 간에 분할됩니다.

중앙 팀 - 작업

  • organization 보안 및 비즈니스 요구 사항을 검토하고 로컬 관리자를 위한 일반적인 앱 보호 정책 집합을 생성합니다.
  • 나열된 권장 사항을 검토하여 앱 보호 정책을 만들기 전에 적절한 보안 제어를 식별합니다.
  • 로컬 관리자가 기존 공통 정책으로 비즈니스 요구 사항을 달성할 수 없는 특정 비즈니스 요구 사항에 대해 필요한 경우 사용자 지정된 앱 보호 정책을 요청할 수 있는 설정된 방법을 갖습니다.
  • 각 구성 수준 및 보호해야 하는 최소 앱에 대한 특정 권장 사항은 앱 보호 정책을 사용하여 데이터 보호 프레임워크를 검토한 앱 보호 정책으로 이동하세요.

로컬 관리자 - 권한 및 작업

  • 읽기 및 할당 권한을 제공하지만 관리되는 앱에 대한 권한을 만들고 업데이트하고 삭제하지 않으므로 고유한 앱 보호 정책을 만들 수 없습니다.
  • 애플리케이션 구성 정책 할당에 대한 읽기 및 할당 권한을 앱에 제공합니다.
  • 관리되는 디바이스 및 관리되지 않는 디바이스에 대해 서로 다른 보호 정책이 있는 경우에만 읽기 및 할당 권한을 제공합니다. 중앙 팀이 둘 다에 대해 하나의 정책만 제공하도록 선택하는 경우 애플리케이션 구성 정책이 필요하지 않습니다.
  • 애플리케이션 구성 정책을 사용하는 경우 예외 없이 모든 앱 인스턴스에 애플리케이션 구성 정책을 할당하는 것이 좋습니다.
  • 일반적인 앱 보호 정책 중에서 선택합니다. 로컬 관리자는 필요한 경우에만 중앙 팀에 사용자 지정 앱 보호 정책을 예외로 만들도록 요청할 수 있습니다.
  • 자세한 내용은 앱 보호 정책으로 이동하세요.

준수 정책

Intune의 규정 준수 정책은 사용자와 디바이스가 규정을 준수하기 위해 충족해야 하는 규칙 및 설정을 정의합니다. 규정 준수 정책에 대한 자세한 내용은 준수 정책으로 이동하세요.

중앙 팀

중앙 팀은 로컬 관리자가 예외 정책을 만들고 필요한 경우에만 선택할 수 있는 공통 규정 준수 정책을 만들어야 합니다. 자세한 내용은 규정 준수 정책을 참조하세요. 정책 만들기에는 일반 규정 준수 정책과 동일한 규모가 적용되므로 사용자 지정 규정 준수 정책 스크립트 만들기가 포함됩니다.

규정 준수 정책을 만드는 방법에 대한 자세한 내용은 준수 정책을 참조하세요.

로컬 관리자

로컬 관리자에게 읽기 및 할당 권한을 제공하지만 규정 준수 정책에 대한 권한을 만들거나 업데이트하거나 삭제하지는 않습니다. 읽기 및 할당 권한을 사용하면 중앙 팀에서 만든 일반적인 규정 준수 정책 중에서 선택하고 사용자 및 디바이스에 할당할 수 있습니다.

장치 구성

이 섹션의 내용

  • 디바이스 제한 및 일반 구성
  • 리소스 액세스
  • Windows 업데이트 링
  • 기능 업데이트
  • 품질 업데이트

디바이스 제한 및 일반 구성

  • 로컬 관리자에게 자체 scope 내에서 만들고, 업데이트하고, 삭제할 수 있는 권한을 부여합니다.

  • 구성 프로필 목록에서 만든 프로필 대신 가능한 최대 범위까지 설정 카탈로그보안 기준을 사용하여 Microsoft Intune 관리 센터의 규모를 완화합니다.

  • 일반적으로 중앙 팀은 구성 콘텐츠를 중앙에서 모니터링하고 가능한 경우 많은 중복 프로필을 공유 프로필로 대체해야 합니다.

리소스 액세스

전체 위임 모델을 사용하는 것이 좋습니다.

Windows 업데이트 링

  • Windows 업데이트 링은 중앙에서 관리하는 것이 좋습니다. 중앙 팀은 로컬 관리자의 분산을 지원하는 데 필요한 만큼 일반적인 Windows 업데이트 링 정책을 만들어야 합니다.
  • 로컬 관리자는 자체 Windows 업데이트 링을 만들면 안 됩니다. 많은 수의 관리자에게 위임하면 총 개체 수가 많아지고 관리하기 어려울 수 있습니다. 모범 사례는 각 기능에 따라 다릅니다. 자세한 내용은 Windows 업데이트 링으로 이동하세요.

기능 업데이트

전체 위임 모델을 사용하는 것이 좋습니다.

품질 업데이트

전체 위임 모델을 사용하는 것이 좋습니다.

인증서

  • 필요에 따라 중앙 팀의 사용 권한을 사용하여 커넥터를 온보딩/오프보딩하는 것이 좋습니다. 인증서 발급을 지원하기 위해 각 로컬 관리자에 대한 커넥터를 온보딩합니다.

  • 로컬 관리자에게 UPDATE 또는 DELETE 커넥터에 대한 권한을 부여하지 마세요.

응용 프로그램

로컬 관리자에게 scope 범위까지 앱을 관리할 수 있는 모든 권한을 부여합니다.

이 섹션의 내용

  • Apple 볼륨 구매 프로그램

  • Windows

  • Android

자세한 내용은 앱 관리를 참조하세요.

Apple 볼륨 구매 프로그램

현재 지원되는 볼륨 구매 프로그램 토큰 수에 대한 규모 문제는 없습니다. 자세한 내용은 업로드할 수 있는 토큰 수로 이동합니다.

Windows

Android

  • 로컬 관리자는 기존 스토어 앱에서 선택하거나 중앙 팀에 새 Android 스토어 앱을 추가하도록 요청해야 합니다. 로컬 관리자는 새 Android 스토어 앱을 만들면 안 됩니다. 개체의 총 수는 크고 관리하기 어려울 수 있습니다.

  • 로컬 관리자는 필요에 따라 플랫폼 간, 기간 업무 앱 및 웹 링크 제한 내에서 Android 기간 업무 앱을 만들 수 있습니다.

  • 중앙 팀은 관리되는 Google Play 앱을 추가해야 합니다.

    • 중앙 팀은 테넌트의 국가/지역에서만 사용할 수 있는 관리형 Google Play 앱을 볼 수 있습니다. 중앙 팀에서 일부 국가/지역에서만 사용할 수 있는 관리형 Google Play 앱이 필요한 경우 앱 개발자와 협력하여 올바르게 나열해야 할 수 있습니다.
    • 중앙 팀은 프라이빗 앱, 웹앱 및 컬렉션을 포함하여 관리되는 Google Play 앱과 관련된 모든 콘텐츠를 관리해야 합니다. 예를 들어 고객이 관리형 Google Play iframe을 사용하여 프라이빗 앱을 게시할 계획인 경우 중앙 팀이 소유한 단일 개발자 계정으로 이 작업을 수행해야 합니다.
    • 중앙 팀은 관리형 Google Play scope 태그로 단일 scope 태그를 선택할 수 있습니다. 관리되는 Google Play 커넥터 페이지에 특별한 드롭다운이 있습니다. scope 태그는 중앙 팀이 본체에 추가한 후 모든 관리형 Google Play 앱에 적용되지만 이미 추가된 앱에는 소급 적용되지 않습니다. 중앙 팀은 앱을 추가하기 전에 scope 태그를 설정한 다음 태그를 scope 각 지역 팀을 할당하는 것이 좋습니다. 그렇지 않으면 지역 관리자가 관리되는 Google Play 앱을 볼 수 없을 수 있습니다.

  • Zebra 디바이스를 제외하고 디바이스당 하나의 OEMConfig 정책만 지원됩니다. Zebra 디바이스를 사용하는 경우 정책을 적용하는 시간이 더 많기 때문에 가능한 정책 수가 가장 적은 것이 좋습니다. 예를 들어 서로 위에 계층화된다는 가정하에 6개의 정책을 할당하는 경우 단일 정책보다 디바이스에서 작업을 시작하는 데 약 6배 더 오래 걸립니다.

참고

다양한 앱 및 그룹에서 우선 순위가 높은 업데이트 모드를 설정할 때 매우 신중하게 고려해야 합니다. 이는 여러 가지 이유로 인해 수행됩니다.

  • 많은 앱을 우선 순위가 높은 모드로 설정할 수 있지만 한 번에 하나의 앱 업데이트만 설치할 수 있습니다. 하나의 대규모 앱 업데이트는 대형 앱 설치가 완료될 때까지 잠재적으로 많은 작은 업데이트를 차단할 수 있습니다.
  • 앱이 새 업데이트를 릴리스하는 시기에 따라 앱 릴리스가 일치하는 경우 네트워크 사용량이 갑자기 급증할 수 있습니다. 일부 디바이스에서 Wi-Fi 사용할 수 없는 경우 셀룰러 사용량이 급증할 수도 있습니다.
  • 중단된 사용자 환경은 이미 언급되었지만 더 많은 앱이 우선 순위가 높은 업데이트 모드로 설정됨에 따라 문제가 증가합니다.

우선 순위가 높은 업데이트 모드를 사용하는 관리형 Google Play 앱 업데이트와 관련된 규모 문제에 대한 자세한 내용은 이 Techcommunity 문서를 참조하세요.

등록 프로필

이 섹션의 내용

  • Autopilot
  • ESP(등록 상태 페이지)
  • ABM(Apple Business Manager)
  • Android Enterprise 프로필
  • 등록 제한 사항
  • 디바이스 범주

Autopilot

  • 로컬 관리자에게 Autopilot 디바이스를 읽고 새 Autopilot 디바이스를 업로드할 수 있는 권한을 부여합니다.
  • 로컬 관리자는 Autopilot 프로필을 만들면 안 됩니다. 많은 수의 관리자에게 위임하면 총 개체 수가 많아지고 관리하기 어려울 수 있습니다. 모범 사례는 기능 영역에 따라 다릅니다. Autopilot에 대한 자세한 내용은 Autopilot을 사용하여 Intune에서 Windows 디바이스 등록을 참조하세요.

등록 상태 페이지

  • 로컬 관리자는 할당할 기존 등록 상태 페이지 프로필 중에서 선택하거나 필요한 경우에만 중앙 팀에 예외 프로필을 만들도록 요청해야 합니다.
  • 로컬 관리자는 등록 상태 페이지 프로필을 만들면 안 됩니다. 많은 수의 관리자에게 위임하면 총 개체 수가 많아지고 관리하기 어려울 수 있습니다. 모범 사례는 기능 영역에 따라 다릅니다. 등록 상태 페이지에 대한 자세한 내용은 등록 상태 페이지 설정을 참조하세요.

Apple Business Manager

가능하면 로컬 관리자에게 등록 프로필에 대한 만들기, 업데이트 또는 삭제 권한을 부여해서는 안 됩니다. 로컬 관리자에게 Apple Business Manager 프로필을 만들 수 있는 권한이 부여되면 Autopilot에서 만들기, 업데이트 및 삭제 권한도 부여됩니다. 그러나 로컬 관리자는 Autopilot 프로필을 만들면 안 됩니다.

많은 수의 관리자에게 위임하면 총 개체 수가 많아지고 관리하기 어려울 수 있습니다. 모범 사례는 기능 영역에 따라 다릅니다. 자세한 내용은 Apple Business Manager를 사용하여 Intune에서 Apple 디바이스 등록을 참조하세요.

Android Enterprise 프로필

  • 중앙 팀은 디바이스 그룹화에 대한 각 로컬 관리자에 대한 Android Enterprise 회사 소유 전용 디바이스 등록 프로필을 만들어야 합니다.
  • 가능하면 로컬 관리자에게 Android Enterprise 디바이스에 대한 만들기, 업데이트 또는 삭제 권한이 부여되지 않아야 합니다. 이러한 제한으로 인해 로컬 관리자는 테넌트 전체 Android Enterprise 설정 및 전역 완전 관리형 등록 프로필을 수정할 수 없습니다.

등록 제한 사항

  • 동일한 사용 권한 집합은 디바이스 구성 및 등록 제한을 모두 제어합니다. 디바이스 구성에 대해 만들 수 있는 권한을 부여하면 등록 제한에 대해 만들 수 있는 권한도 부여됩니다. 그러나 로컬 관리자는 등록 제한 프로필을 만들 수 있는 권한을 부여해서는 안 됩니다. 따라서 새 등록 제한 프로필을 만들지 않도록 지시해야 합니다.

  • 등록 디바이스 제한은 각 사용자가 등록할 수 있는 디바이스 수를 정의합니다. 등록 디바이스 제한은 로컬 관리자가 공유할 수 있는 모든 가능한 디바이스 제한을 포함해야 합니다. 자세한 내용은 등록 제한 사항으로 이동하세요.

  • 중앙 팀은 디바이스 유형 제한을 가능한 한 표준화하고 새 제한을 추가해야 하지만 로컬 관리자가 기존 제한을 검토한 후에만 특별한 예외로 추가해야 합니다.

디바이스 범주

디바이스 범주(디바이스 디바이스>범주) 기능에는 자체 사용 권한 패밀리가 없습니다. 대신 해당 권한은 조직에서 설정한 권한에 의해 제어됩니다. 테넌트 관리 > 역할로 이동합니다. 사용자 지정 또는 기본 제공 역할을 선택하고 속성을 선택합니다. 여기에서 권한을 할당할 수 있습니다. 그 중 하나는 조직입니다. 따라서 디바이스 범주에 대한 읽기 권한이 필요한 경우 조직에서 읽기 권한을 설정합니다.

중앙 팀은 디바이스 범주를 만들 수 있습니다. 그러나 로컬 관리자는 조직에 대한 권한을 부여하고 조직 권한이 적용되는 다른 테넌트 수준 기능에 대한 액세스 권한을 부여해야 하므로 디바이스 범주를 만들거나 업데이트하거나 삭제할 수 없습니다.

자세한 내용은 디바이스 범주로 이동합니다.

엔드포인트 분석

  • 중앙 팀은 로컬 관리자의 분산을 지원하는 데 필요한 만큼 일반적인 Endpoint Analytics 기준을 만들어야 합니다.
  • 가능하면 로컬 관리자는 자체 엔드포인트 분석 기준을 만들면 안 됩니다. 많은 수의 관리자에게 위임하면 총 개체 수가 많아지고 관리하기 어려울 수 있습니다. 모범 사례는 기능 영역에 따라 다릅니다.
  • 자세한 내용은 엔드포인트 분석에서 설정 구성을 참조하세요.