Microsoft Intune에서 사용자 및 그룹 ID 관리

사용자 ID 관리 및 보호는 엔드포인트 관리 전략 및 솔루션의 중요한 부분입니다. ID 관리에는 조직 리소스에 액세스하는 사용자 계정 및 그룹이 포함됩니다.

관리자는 계정 멤버 자격을 관리하고, 리소스에 대한 액세스 권한을 부여 및 인증하고, 사용자 ID에 영향을 주는 설정을 관리하고, 악의적인 의도로부터 ID를 보호하기 & 보호해야 합니다.

Microsoft Intune은 이러한 모든 작업 등을 수행할 수 있습니다. Intune은 보안 및 인증 정책을 포함하여 정책을 통해 사용자 ID를 관리할 수 있는 클라우드 기반 서비스입니다. Intune 및 이점에 대한 자세한 내용은 Microsoft Intune이란?을 참조하세요.

서비스 관점에서 Intune은 ID 스토리지 및 권한에 Microsoft Entra ID를 사용합니다. Microsoft Intune 관리 센터를 사용하여 엔드포인트 관리를 위해 설계된 중앙 위치에서 이러한 작업을 관리할 수 있습니다.

이 문서에서는 ID를 관리할 때 고려해야 할 개념과 기능에 대해 설명합니다.

기존 사용자 및 그룹 사용

엔드포인트 관리의 상당 부분은 사용자 및 그룹을 관리하는 것입니다. 기존 사용자 및 그룹이 있거나 새 사용자 및 그룹을 만드는 경우 Intune이 도움이 될 수 있습니다.

온-프레미스 환경에서 사용자 계정 및 그룹은 온-프레미스 Active Directory에서 만들어지고 관리됩니다. 도메인의 모든 도메인 컨트롤러를 사용하여 이러한 사용자 및 그룹을 업데이트할 수 있습니다.

Intune에서도 비슷한 개념입니다.

Intune 관리 센터에는 사용자 및 그룹을 관리하는 중앙 위치가 포함되어 있습니다. 관리 센터는 웹 기반이며 인터넷에 연결된 모든 디바이스에서 액세스할 수 있습니다. 관리자는 Intune 관리자 계정으로 관리 센터에 로그인하기만 하면 됩니다.

중요한 결정은 사용자 계정 및 그룹을 Intune으로 가져오는 방법을 결정하는 것입니다. 옵션은 다음과 같습니다.

• 현재 Microsoft 365를 사용하고 Microsoft 365 관리 센터에 사용자 및 그룹이 있는 경우 이러한 사용자 및 그룹은 Intune 관리 센터에서도 사용할 수 있습니다.

  Microsoft Entra ID 및 Intune은 Contoso 또는 Microsoft와 같은 조직인 "테넌트"를 사용합니다. 여러 테넌트가 있는 경우 기존 사용자 및 그룹과 동일한 Microsoft 365 테넌트에서 Intune 관리 센터에 로그인합니다. 사용자 및 그룹이 자동으로 표시되고 사용할 수 있습니다.

  테넌트의 내용에 대한 자세한 내용은 빠른 시작: 테넌트 설정을 참조하세요.

• 현재 온-프레미스 Active Directory를 사용하는 경우 Microsoft Entra Connect를 사용하여 온-프레미스 AD 계정을 Microsoft Entra ID와 동기화할 수 있습니다. 이러한 계정이 Microsoft Entra ID에 있는 경우 Intune 관리 센터에서도 사용할 수 있습니다.

  자세한 내용은 Microsoft Entra Connect Sync란?을 참조하세요.

• CSV 파일에서 Intune 관리 센터로 기존 사용자 및 그룹을 가져오 거나 처음부터 사용자 및 그룹을 만들 수도 있습니다. 그룹을 추가할 때 이러한 그룹에 사용자 및 디바이스를 추가하여 위치, 부서, 하드웨어 등을 기준으로 구성할 수 있습니다.

  Intune의 그룹 관리에 대한 자세한 내용은 그룹 추가를 참조하여 사용자 및 디바이스를 구성합니다.

기본적으로 Intune은 모든 사용자 및 모든 디바이스 그룹을 자동으로 만듭니다. Intune에서 사용자 및 그룹을 사용할 수 있는 경우 이러한 사용자 및 그룹에 정책을 할당할 수 있습니다.

컴퓨터 계정에서 이동

Windows 10/11 장치와 같은 Windows 엔드포인트가 AD(온-프레미스 Active Directory) 도메인에 조인하면 컴퓨터 계정이 자동으로 만들어집니다. 컴퓨터/컴퓨터 계정을 사용하여 온-프레미스 프로그램, 서비스 및 앱을 인증할 수 있습니다.

이러한 컴퓨터 계정은 온-프레미스 환경에 로컬이며 Microsoft Entra ID에 조인된 디바이스에서는 사용할 수 없습니다. 이 경우 온-프레미스 프로그램, 서비스 및 앱에 인증하려면 사용자 기반 인증으로 전환해야 합니다.

자세한 내용과 지침은 클라우드 네이티브 엔드포인트의 알려진 문제 및 제한 사항으로 이동합니다.

역할 및 권한 제어 액세스

다양한 관리자 유형의 작업에 대해 Intune은 RBAC(역할 기반 액세스 제어)를 사용합니다. 할당하는 역할은 관리자가 Intune 관리 센터에서 액세스할 수 있는 리소스와 해당 리소스로 수행할 수 있는 작업을 결정합니다. 애플리케이션 관리자, 정책 및 프로필 관리자 등 엔드포인트 관리에 중점을 둔 몇 가지 기본 제공 역할이 있습니다.

Intune은 Microsoft Entra ID를 사용하므로 Intune 서비스 관리자와 같은 기본 제공 Microsoft Entra 역할에도 액세스할 수 있습니다.

각 역할에는 필요에 따라 고유한 만들기, 읽기, 업데이트 또는 삭제 권한이 있습니다. 관리자에게 특정 권한이 필요한 경우 사용자 지정 역할을 만들 수도 있습니다. 관리자 유형 사용자 및 그룹을 추가하거나 만들 때 이러한 계정을 다른 역할에 할당할 수 있습니다. Intune 관리 센터에는 중앙 위치에 이 정보가 있으며 쉽게 업데이트할 수 있습니다.

자세한 내용은 Microsoft Intune을 사용하여 RBAC(역할 기반 액세스 제어)로 이동하세요.

디바이스 등록 시 사용자 선호도 만들기

사용자가 처음으로 디바이스에 로그인하면 디바이스가 해당 사용자와 연결됩니다. 이 기능을 사용자 선호도라고 합니다.

사용자 ID에 할당되거나 배포된 모든 정책은 사용자와 함께 모든 디바이스로 이동합니다. 사용자가 디바이스와 연결된 경우 전자 메일 계정, 파일, 앱 등에 액세스할 수 있습니다.

사용자를 디바이스와 연결하지 않으면 디바이스가 사용자 없는 것으로 간주됩니다. 이 시나리오는 특정 작업 전용 키오스크 디바이스 및 여러 사용자와 공유되는 디바이스에 일반적입니다.

Intune에서 Android, iOS/iPadOS, macOS 및 Windows에서 두 시나리오 모두에 대한 정책을 만들 수 있습니다. 이러한 디바이스를 관리할 준비가 되면 디바이스의 의도된 용도를 알고 있어야 합니다. 이 정보는 디바이스를 등록할 때 의사 결정 프로세스에 도움이 됩니다.

자세한 내용은 플랫폼에 대한 등록 가이드로 이동하세요.

• 배포 가이드: Microsoft Intune에서 Android 디바이스 등록
• 배포 가이드: Microsoft Intune에서 iOS 및 iPadOS 디바이스 등록을 참조하세요.
• 배포 가이드: Microsoft Intune에서 macOS 디바이스 등록
• 배포 가이드: Microsoft Intune에 Windows 디바이스 등록

사용자와 그룹에 정책 할당

온-프레미스에서는 도메인 계정 및 로컬 계정으로 작업한 다음 LSDOU(로컬, 사이트, 도메인 또는 OU 수준)에서 이러한 계정에 그룹 정책 및 권한을 배포합니다. OU 정책은 도메인 정책을 덮어쓰고, 도메인 정책은 사이트 정책을 덮어씁니다.

Intune은 클라우드 기반입니다. Intune에서 만든 정책에는 디바이스 기능, 보안 규칙 등을 제어하는 설정이 포함됩니다. 이러한 정책은 사용자 및 그룹에 할당됩니다. LSDOU와 같은 기존 계층 구조는 없습니다.

Intune의 설정 카탈로그에는 iOS/iPadOS, macOS 및 Windows 디바이스를 관리하는 수천 장의 설정이 포함되어 있습니다. 현재 온-프레미스 GPO(그룹 정책 개체)를 사용하는 경우 설정 카탈로그를 사용하면 클라우드 기반 정책으로 자연스럽게 전환됩니다.

Intune의 정책에 대한 자세한 내용은 다음을 참조하세요.

• 설정 카탈로그를 사용하여 Windows, iOS/iPadOS 및 macOS 장치에서 설정 구성
• Microsoft Intune의 디바이스 정책 및 프로필을 통한 일반적인 질문 및 답변

사용자 ID 보호

사용자 및 그룹 계정은 조직 리소스에 액세스합니다. 이러한 ID를 안전하게 유지하고 ID에 대한 악의적인 액세스를 방지해야 합니다. 몇 가지 고려할 사항은 다음과 같습니다.

• 비즈니스용 Windows Hello 는 사용자 이름과 암호 로그인을 대체하며 암호 없는 전략의 일부입니다.

  암호는 디바이스에 입력된 다음 네트워크를 통해 서버로 전송됩니다. 그들은 가로채고 누구와 어디서나 사용할 수 있습니다. 서버 위반은 저장된 자격 증명을 표시할 수 있습니다.

  비즈니스용 Windows Hello를 사용하면 사용자가 PIN 또는 생체 인식(예: 얼굴 및 지문 인식)으로 로그인하고 인증합니다. 이 정보는 디바이스에 로컬로 저장되며 외부 디바이스 또는 서버로 전송되지 않습니다.

  비즈니스용 Windows Hello가 사용자 환경에 배포되면 Intune을 사용하여 디바이스에 대한 비즈니스용 Windows Hello 정책을 만들 수 있습니다. 이러한 정책은 PIN 설정을 구성하여 생체 인식 인증, 보안 키 사용 등을 허용할 수 있습니다.

  자세한 내용을 보려면 다음으로 이동하세요.

  • 비즈니스용 Windows Hello 개요
  • 디바이스가 Intune에 등록할 때 디바이스에서 비즈니스용 Windows Hello 관리

  비즈니스용 Windows Hello를 관리하려면 다음 옵션 중 하나를 사용합니다.

  • 디바이스 등록 중: 디바이스가 Intune에 등록할 때 디바이스에 Windows Hello 설정을 적용하는 테넌트 전체 정책을 구성합니다.
  • 보안 기준: 엔드 포인트용 Microsoft Defender 보안 기준 또는 Windows 10 이상용 보안 기준과 같은 Intune의 보안 기준을 통해 Windows Hello에 대한 일부 설정을 관리할 수 있습니다.
  • 설정 카탈로그: 엔드포인트 보안 계정 보호 프로필의 설정은 Intune 설정 카탈로그에서 사용할 수 있습니다.

• 인증서 기반 인증 은 암호 없는 전략의 일부이기도 합니다. 인증서를 사용하여 VPN, Wi-Fi 연결 또는 전자 메일 프로필을 통해 애플리케이션 및 조직 리소스에 사용자를 인증할 수 있습니다. 인증서를 사용하면 사용자가 사용자 이름과 암호를 입력할 필요가 없으며 이러한 리소스에 더 쉽게 액세스할 수 있습니다.

  자세한 내용은 Microsoft Intune에서 인증에 인증서 사용을 참조하세요.

• MFA(다단계 인증) 는 Microsoft Entra ID에서 사용할 수 있는 기능입니다. 사용자가 성공적으로 인증하려면 두 가지 이상의 다른 확인 방법이 필요합니다. MFA가 사용자 환경에 배포되면 디바이스가 Intune에 등록할 때 MFA를 요구할 수도 있습니다.

  자세한 내용을 보려면 다음으로 이동하세요.

  • Microsoft Entra 다단계 인증 배포 계획
  • Intune 디바이스 등록을 위한 다단계 인증 필요

• 제로 트러스트 는 디바이스 및 앱을 포함한 모든 엔드포인트를 확인합니다. 이 아이디어는 조직의 조직 데이터를 유지하고 우발적이거나 악의적인 의도로 인한 데이터 유출을 방지하는 것입니다. 여기에는 비즈니스용 Windows Hello, MFA 사용 등 다양한 기능 영역이 포함됩니다.

  자세한 내용은 Microsoft Intune을 사용하여 제로 트러스트를 참조하세요.

다음 단계

• 장치 관리
• 앱 관리