Intune의 Windows 10/11에 대한 디바이스 준수 설정
이 문서에서는 Intune의 Windows 디바이스에서 구성할 수 있는 다양한 규정 준수 설정을 나열하고 설명합니다. MDM(모바일 디바이스 관리) 솔루션의 일부로 이러한 설정을 사용하여 BitLocker를 요구하고, 최소 및 최대 운영 체제를 설정하고, 엔드포인트용 Microsoft Defender를 사용하여 위험 수준을 설정하는 등의 작업을 수행합니다.
이 기능은 다음에 적용됩니다.
- Windows 10/11
- Windows Holographic for Business
- Surface Hub
Intune 관리자는 이러한 규정 준수 설정을 사용하여 조직 리소스를 보호합니다. 규정 준수 정책 및 해당 정책에 대한 자세한 내용은 디바이스 규정 준수 시작을 참조하세요.
시작하기 전에
규정 준수 정책을 만듭니다. 플랫폼에 대해 Windows 10 이상을 선택합니다.
장치 상태
디바이스가 신뢰할 수 있는 상태로 부팅되도록 하기 위해 Intune은 Microsoft 디바이스 증명 서비스를 활용합니다. Windows 10을 실행하는 Intune 상업용, 미국 정부 GCC High 및 DoD 서비스의 디바이스는 DHA(디바이스 상태 증명) 서비스를 사용합니다.
자세한 내용은 다음 항목을 참조하세요.
Windows 상태 증명 서비스 평가 규칙
BitLocker 필요:
Windows BitLocker 드라이브 암호화는 Windows 운영 체제 볼륨에 저장된 모든 데이터를 암호화합니다. BitLocker는 TPM(신뢰할 수 있는 플랫폼 모듈)을 사용하여 Windows 운영 체제 및 사용자 데이터를 보호합니다. 또한 컴퓨터가 방치되거나 분실되거나 도난당한 경우에도 컴퓨터가 변조되지 않았는지 확인하는 데 도움이 됩니다. 컴퓨터에 호환되는 TPM이 장착된 경우 BitLocker는 TPM을 사용하여 데이터를 보호하는 암호화 키를 잠급 수 있습니다. 따라서 TPM이 컴퓨터의 상태를 확인할 때까지 키에 액세스할 수 없습니다.- 구성되지 않음 (기본값) - 이 설정은 규정 준수 또는 비준수에 대해 평가되지 않습니다.
- 필요 - 디바이스는 시스템이 꺼져 있거나 최대 절전 모드일 때 드라이브에 저장된 데이터를 무단 액세스로부터 보호할 수 있습니다.
Device HealthAttestation CSP - BitLockerStatus
참고
Intune에서 디바이스 준수 정책을 사용하는 경우 이 설정의 상태는 부팅 시에만 측정됩니다. 따라서 BitLocker 암호화가 완료된 경우에도 디바이스가 이를 감지하고 규정을 준수하려면 다시 부팅이 필요합니다. 자세한 내용은 디바이스 상태 증명에 대한 다음 Microsoft 지원 블로그를 참조하세요.
디바이스에서 보안 부팅을 사용하도록 설정해야 합니다.
- 구성되지 않음 (기본값) - 이 설정은 규정 준수 또는 비준수에 대해 평가되지 않습니다.
- 필요 - 시스템이 공장 신뢰할 수 있는 상태로 부팅하도록 강제됩니다. 컴퓨터를 부팅하는 데 사용되는 핵심 구성 요소에는 디바이스를 제조한 조직에서 신뢰할 수 있는 올바른 암호화 서명이 있어야 합니다. UEFI 펌웨어는 머신을 시작하기 전에 서명을 확인합니다. 서명이 중단되는 파일이 변조된 경우 시스템은 부팅되지 않습니다.
참고
디바이스에서 보안 부팅을 사용하도록 설정해야 함 설정은 일부 TPM 1.2 및 2.0 디바이스에서 지원됩니다. TPM 2.0 이상을 지원하지 않는 디바이스의 경우 Intune의 정책 상태는 비준수로 표시됩니다. 지원되는 버전에 대한 자세한 내용은 디바이스 상태 증명을 참조하세요.
코드 무결성 필요:
코드 무결성은 메모리에 로드될 때마다 드라이버 또는 시스템 파일의 무결성을 검사하는 기능입니다.- 구성되지 않음 (기본값) - 이 설정은 규정 준수 또는 비준수에 대해 평가되지 않습니다.
- 필요 - 서명되지 않은 드라이버 또는 시스템 파일이 커널에 로드되고 있는지 감지하는 코드 무결성이 필요합니다. 또한 시스템 파일이 악성 소프트웨어에 의해 변경되거나 관리자 권한이 있는 사용자 계정에 의해 실행되는지 검색합니다.
자세한 내용은 다음 항목을 참조하세요.
- 상태 증명 서비스의 작동 방식에 대한 자세한 내용은 상태 증명 CSP를 참조하세요.
- 지원 팁: Intune 규정 준수 정책의 일부로 디바이스 상태 증명 설정을 사용합니다.
디바이스 속성
운영 체제 버전
모든 Windows 10/11 기능 업데이트 및 누적 업데이트(아래 필드 중 일부에서 사용)에 대한 빌드 버전을 검색하려면 Windows 릴리스 정보를 참조하세요. 다음 예제와 같이 빌드 번호 앞에 적절한 버전 접두사를 포함해야 합니다(예: Windows 10의 경우 10.0).
최소 OS 버전:
major.minor.build.revision 번호 형식으로 허용되는 최소 버전을 입력합니다. 올바른 값을 얻으려면 명령 프롬프트를 열고 를 입력합니다ver
. 명령은ver
다음 형식으로 버전을 반환합니다.Microsoft Windows [Version 10.0.17134.1]
디바이스에 입력한 OS 버전보다 이전 버전이 있는 경우 비규격으로 보고됩니다. 업그레이드 방법에 대한 정보가 포함된 링크가 표시됩니다. 최종 사용자는 디바이스를 업그레이드하도록 선택할 수 있습니다. 업그레이드한 후 회사 리소스에 액세스할 수 있습니다.
최대 OS 버전:
major.minor.build.revision 번호 형식으로 허용되는 최대 버전을 입력합니다. 올바른 값을 얻으려면 명령 프롬프트를 열고 를 입력합니다ver
. 명령은ver
다음 형식으로 버전을 반환합니다.Microsoft Windows [Version 10.0.17134.1]
디바이스가 입력한 버전보다 나중에 OS 버전을 사용하는 경우 조직 리소스에 대한 액세스가 차단됩니다. 최종 사용자에게 IT 관리자에게 문의하라는 메시지가 표시됩니다. OS 버전을 허용하도록 규칙이 변경될 때까지 디바이스는 조직 리소스에 액세스할 수 없습니다.
모바일 디바이스에 필요한 최소 OS:
허용되는 최소 버전을 major.minor.build 번호 형식으로 입력합니다.디바이스에 입력한 OS 버전이 이전 버전인 경우 비규격으로 보고됩니다. 업그레이드 방법에 대한 정보가 포함된 링크가 표시됩니다. 최종 사용자는 디바이스를 업그레이드하도록 선택할 수 있습니다. 업그레이드한 후 회사 리소스에 액세스할 수 있습니다.
모바일 디바이스에 필요한 최대 OS:
major.minor.build 번호에 허용되는 최대 버전을 입력합니다.디바이스가 입력한 버전보다 나중에 OS 버전을 사용하는 경우 조직 리소스에 대한 액세스가 차단됩니다. 최종 사용자에게 IT 관리자에게 문의하라는 메시지가 표시됩니다. OS 버전을 허용하도록 규칙이 변경될 때까지 디바이스는 조직 리소스에 액세스할 수 없습니다.
유효한 운영 체제 빌드:
최소 및 최대 운영 체제 빌드 목록을 지정합니다. 유효한 운영 체제 빌드는 최소 및 최대 OS 버전과 비교할 때 추가적인 유연성을 제공합니다. 최소 OS 버전이 10.0.18362.xxx(Windows 10 1903)로 설정되고 최대 OS 버전이 10.0.18363.xxx(Windows 10 1909)로 설정된 시나리오를 고려합니다. 이 구성을 사용하면 최근 누적 업데이트가 설치되지 않은 Windows 10 1903 디바이스를 규격으로 식별할 수 있습니다. 단일 Windows 10 릴리스에서 표준화된 경우 최소 및 최대 OS 버전이 적합할 수 있지만, 각각 특정 패치 수준이 있는 여러 빌드를 사용해야 하는 경우 요구 사항을 해결하지 못할 수 있습니다. 이러한 경우 다음 예제에 따라 여러 빌드를 지정할 수 있는 유효한 운영 체제 빌드를 대신 활용하는 것이 좋습니다.각 버전, 주, 부 및 빌드 필드에 대해 지원되는 가장 큰 값은 65535입니다. 예를 들어 입력할 수 있는 가장 큰 값은 65535.65535.65535.65535입니다.
예제:
다음 표는 다양한 Windows 10 릴리스에 대해 허용 가능한 운영 체제 버전에 대한 범위의 예입니다. 이 예제에서는 세 가지 기능 업데이트가 허용되었습니다(1809, 1909 및 2004). 특히 2020년 6월부터 9월까지 누적 업데이트를 적용한 Windows 버전만 규정을 준수하는 것으로 간주됩니다. 샘플 데이터만 해당됩니다. 표에는 항목을 설명하려는 텍스트와 해당 항목에 대한 최소 및 최대 OS 버전이 포함된 첫 번째 열이 포함되어 있습니다. 두 번째 및 세 번째 열은 major.minor.build.revision 번호 형식의 유효한 OS 빌드 버전을 준수해야 합니다. 하나 이상의 항목을 정의한 후 목록을 CSV(쉼표로 구분된 값) 파일로 내 보낼 수 있습니다.설명 최소 OS 버전 최대 OS 버전 Win 10 2004 (Jun-Sept 2020) 10.0.19041.329 10.0.19041.508 Win 10 1909 (Jun-Sept 2020) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (Jun-Sept 2020) 10.0.17763.1282 10.0.17763.1490 참고
정책에서 여러 OS 버전 빌드 범위를 지정하고 디바이스에 규정 준수 범위를 벗어난 빌드가 있는 경우 회사 포털은 디바이스가 이 설정과 호환되지 않는다는 사실을 디바이스 사용자에게 알립니다. 그러나 기술적 제한으로 인해 규정 준수 수정 메시지는 정책에 지정된 첫 번째 OS 버전 범위만 표시한다는 점에 유의하세요. 조직의 관리 디바이스에 허용되는 OS 버전 범위를 문서화하는 것이 좋습니다.
Configuration Manager 규정 준수
Windows 10/11을 실행하는 공동 관리 디바이스에만 적용됩니다. Intune 전용 디바이스는 사용할 수 없는 상태를 반환합니다.
-
Configuration Manager에서 디바이스 준수 필요:
- 구성되지 않음 (기본값) - Intune은 준수를 위해 Configuration Manager 설정을 확인하지 않습니다.
- 필요 - Configuration Manager의 모든 설정(구성 항목)을 준수해야 합니다.
시스템 보안
암호
모바일 디바이스의 잠금을 해제하려면 암호 필요:
- 구성되지 않음 (기본값) - 이 설정은 규정 준수 또는 비준수에 대해 평가되지 않습니다.
- 필요 - 사용자가 디바이스에 액세스하려면 먼저 암호를 입력해야 합니다.
간단한 암호:
- 구성되지 않음(기본값) - 사용자는 1234 또는 1111과 같은 간단한 암호를 만들 수 있습니다.
- 차단 - 사용자는 1234 또는 1111과 같은 간단한 암호를 만들 수 없습니다.
암호 유형:
필요한 암호 또는 PIN 유형을 선택합니다. 옵션은 다음과 같습니다.- 디바이스 기본값 (기본값) - 암호, 숫자 PIN 또는 영숫자 PIN 필요
- 숫자 - 암호 또는 숫자 PIN 필요
- 영숫자 - 암호 또는 영숫자 PIN이 필요합니다.
영숫자로 설정하면 다음 설정을 사용할 수 있습니다.
암호 복잡성:
옵션은 다음과 같습니다.- 숫자 및 소문자 필요 (기본값)
- 숫자, 소문자 및 대문자 필요
- 숫자, 소문자, 대문자 및 특수 문자 필요
팁
영숫자 암호 정책은 복잡할 수 있습니다. 자세한 내용은 관리자가 CSP를 읽는 것이 좋습니다.
최소 암호 길이:
암호에 있어야 하는 최소 숫자 또는 문자 수를 입력합니다.암호가 필요하기 전까지 최대 비활성 시간(분):
사용자가 암호를 다시 입력하기 전에 유휴 시간을 입력합니다.암호 만료(일):
암호가 만료되기 전의 일 수를 입력하고 1-730부터 새 암호를 만들어야 합니다.재사용을 방지하기 위한 이전 암호 수:
사용할 수 없는 이전에 사용한 암호 수를 입력합니다.디바이스가 유휴 상태(모바일 및 홀로그램)에서 반환되는 경우 암호 필요:
- 구성되지 않음 (기본값)
- 필요 - 디바이스가 유휴 상태에서 반환할 때마다 디바이스 사용자가 암호를 입력하도록 요구합니다.
중요
Windows 데스크톱에서 암호 요구 사항이 변경되면 디바이스가 유휴 상태에서 활성 상태로 전환되는 경우와 같이 다음에 로그인할 때 사용자에게 영향을 미칩니다. 요구 사항을 충족하는 암호를 가진 사용자는 여전히 암호를 변경하라는 메시지가 표시됩니다.
암호화
디바이스의 데이터 스토리지 암호화:
이 설정은 디바이스의 모든 드라이브에 적용됩니다.- 구성되지 않음 (기본값)
- 필요 - 필요 를 사용하여 디바이스의 데이터 스토리지를 암호화합니다.
DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance
참고
디바이스의 데이터 스토리지 암호화 설정은 일반적으로 OS 드라이브 수준에서 디바이스에 암호화가 있는지 확인합니다. 현재 Intune은 BitLocker를 사용하여 암호화 검사만 지원합니다. 보다 강력한 암호화 설정의 경우 Windows 디바이스 상태 증명을 활용하여 TPM 수준에서 BitLocker 상태의 유효성을 검사하는 BitLocker 필요를 사용하는 것이 좋습니다. 그러나 이 설정을 활용하는 경우 디바이스가 규격으로 반영되기 전에 다시 부팅이 필요할 수 있습니다.
디바이스 보안
방화벽:
- 구성되지 않음 (기본값) - Intune은 Windows 방화벽을 제어하거나 기존 설정을 변경하지 않습니다.
- 필요 - Windows 방화벽을 켜고 사용자가 이 방화벽을 끄지 못하도록 합니다.
참고
다시 부팅한 후 디바이스가 즉시 동기화되거나 절전 모드에서 즉시 동기화되는 경우 이 설정이 오류로 보고할 수 있습니다. 이 시나리오는 전체 디바이스 준수 상태에 영향을 미치지 않을 수 있습니다. 준수 상태를 다시 평가하려면 디바이스를 수동으로 동기화합니다.
구성이 모든 인바운드 트래픽을 허용하도록 Windows 방화벽을 구성하는 디바이스에 적용(예: 그룹 정책을 통해)하거나 방화벽을 해제하는 경우 Intune 디바이스 구성 정책이 방화벽을 켜더라도 방화벽 을 필요 없음으로 설정하면 호환되지 않음이 반환됩니다. 그룹 정책 개체가 Intune 정책을 재정의하기 때문입니다. 이 문제를 해결하려면 충돌하는 그룹 정책 설정을 제거하거나 방화벽 관련 그룹 정책 설정을 Intune 디바이스 구성 정책으로 마이그레이션하는 것이 좋습니다. 일반적으로 인바운드 연결 차단을 포함하여 기본 설정을 유지하는 것이 좋습니다. 자세한 내용은 Windows 방화벽 구성 모범 사례를 참조하세요.
TPM(신뢰할 수 있는 플랫폼 모듈) :
- 구성되지 않음 (기본값) - Intune은 디바이스에서 TPM 칩 버전을 확인하지 않습니다.
- 필요 - Intune은 TPM 칩 버전에서 규정 준수를 확인합니다. TPM 칩 버전이 0 보다 큰 경우 디바이스가 규격입니다. 디바이스에 TPM 버전이 없는 경우 디바이스가 규정을 준수하지 않습니다.
바이러스 백신:
- 구성되지 않음 (기본값) - Intune은 디바이스에 설치된 바이러스 백신 솔루션을 확인하지 않습니다.
- 필요 - Symantec 및 Microsoft Defender와 같은 Windows Security Center에 등록된 바이러스 백신 솔루션을 사용하여 규정 준수를 확인합니다. Require로 설정하면 바이러스 백신 소프트웨어가 사용 안 되거나 오래된 디바이스가 비준수입니다.
안티스피웨어:
- 구성되지 않음 (기본값) - Intune은 디바이스에 설치된 스파이웨어 방지 솔루션을 확인하지 않습니다.
- 필요 - Symantec 및 Microsoft Defender와 같은 Windows Security Center에 등록된 스파이웨어 방지 솔루션을 사용하여 규정 준수를 확인합니다. Require로 설정하면 맬웨어 방지 소프트웨어가 사용 안 되거나 오래된 디바이스가 비준수입니다.
Defender
다음 규정 준수 설정은 Windows 10/11 Desktop에서 지원됩니다.
Microsoft Defender 맬웨어 방지:
- 구성되지 않음 (기본값) - Intune은 서비스를 제어하거나 기존 설정을 변경하지 않습니다.
- 필요 - Microsoft Defender 맬웨어 방지 서비스를 켜고 사용자가 끄지 않도록 방지합니다.
Microsoft Defender 맬웨어 방지 최소 버전:
허용되는 최소 버전의 Microsoft Defender 맬웨어 방지 서비스를 입력합니다. 예를 들어4.11.0.0
을(를) 입력합니다. 비워 두면 모든 버전의 Microsoft Defender 맬웨어 방지 서비스를 사용할 수 있습니다.기본적으로 버전이 구성되지 않습니다.
Microsoft Defender 맬웨어 방지 보안 인텔리전스 최신:
디바이스에서 Windows 보안 바이러스 및 위협 방지 업데이트를 제어합니다.- 구성되지 않음 (기본값) - Intune은 요구 사항을 적용하지 않습니다.
- 필요 - Microsoft Defender 보안 인텔리전스를 최신 상태로 유지합니다.
Defender CSP - Defender/Health/SignatureOutOfDate CSP
자세한 내용은 Microsoft Defender 바이러스 백신 및 기타 Microsoft 맬웨어 방지에 대한 보안 인텔리전스 업데이트를 참조하세요.
실시간 보호:
- 구성되지 않음 (기본값) - Intune은 이 기능을 제어하거나 기존 설정을 변경하지 않습니다.
- 필요 - 맬웨어, 스파이웨어 및 기타 원치 않는 소프트웨어를 검색하는 실시간 보호를 켭니다.
엔드포인트용 Microsoft Defender
엔드포인트용 Microsoft Defender 규칙
조건부 액세스 시나리오의 엔드포인트용 Microsoft Defender 통합에 대한 자세한 내용은 엔드포인트용 Microsoft Defender에서 조건부 액세스 구성을 참조하세요.
디바이스가 머신 위험 점수에 있거나 아래에 있어야 합니다.
이 설정을 사용하여 방어 위협 서비스의 위험 평가를 규정 준수 조건으로 사용합니다. 허용되는 최대 위협 수준을 선택합니다.- 구성되지 않음 (기본값)
- 지우기 -이 옵션은 디바이스에 위협이 있을 수 없으므로 가장 안전합니다. 디바이스에 위협 수준이 있는 것으로 감지되면 비준수로 평가됩니다.
- 낮음 - 낮은 수준의 위협만 있는 경우 디바이스가 규격으로 평가됩니다. 더 높은 항목은 디바이스를 비준수 상태로 만듭니다.
- 보통 - 디바이스의 기존 위협이 낮거나 중간 수준인 경우 디바이스가 규격으로 평가됩니다. 디바이스에 높은 수준의 위협이 있는 것으로 감지되면 비준수로 결정됩니다.
- 높음 - 이 옵션은 가장 안전하지 않으며 모든 위협 수준을 허용합니다. 보고 목적으로만 이 솔루션을 사용하는 경우에 유용할 수 있습니다.
엔드포인트용 Microsoft Defender를 방어 위협 서비스로 설정하려면 조건부 액세스를 사용하여 엔드포인트용 Microsoft Defender 사용을 참조하세요.
Windows Holographic for Business
비즈니스용 Windows Holographic은 Windows 10 이상 플랫폼을 사용합니다. 비즈니스용 Windows Holographic은 다음 설정을 지원합니다.
- 시스템 보안>암호화>디바이스의 데이터 스토리지 암호화.
Microsoft HoloLens에서 디바이스 암호화를 확인하려면 디바이스 암호화 확인을 참조하세요.
Surface Hub
Surface Hub는 Windows 10 이상 플랫폼을 사용합니다. Surface Hub는 규정 준수 및 조건부 액세스 모두에 대해 지원됩니다. Surface Hubs에서 이러한 기능을 사용하도록 설정하려면 Intune에서 Windows 자동 등록을 사용하도록 설정하고 (Microsoft Entra ID 필요) Surface Hub 디바이스를 디바이스 그룹으로 대상으로 지정하는 것이 좋습니다. 준수 및 조건부 액세스가 작동하려면 Surface Hub가 Microsoft Entra에 가입되어 있어야 합니다.
지침은 Windows 디바이스에 대한 등록 설정을 참조하세요.
Windows 10/11 팀 OS를 실행하는 Surface Hub에 대한 특별 고려 사항:
Windows 10/11 팀 OS를 실행하는 Surface Hub는 현재 엔드포인트용 Microsoft Defender 및 암호 준수 정책을 지원하지 않습니다. 따라서 Windows 10/11 팀 OS를 실행하는 Surface Hub의 경우 다음 두 설정을 기본값인 구성되지 않음으로 설정합니다.
암호 범주에서 모바일 디바이스의 잠금을 해제하려면 암호 필요를 기본값인 구성되지 않음으로 설정합니다.
엔드포인트용 Microsoft Defender 범주에서 디바이스가 머신 위험 점수에 있거나 아래에 있어야 하는 경우를 기본값인 구성되지 않음으로 설정합니다.