Intune macOS 엔드포인트 보호 설정

이 문서에서는 macOS를 실행하는 디바이스에 대해 구성할 수 있는 엔드포인트 보호 설정을 보여줍니다. Intune 엔드포인트 보호를 위해 macOS 디바이스 구성 프로필을 사용하여 이러한 설정을 구성합니다.

시작하기 전에

macOS 엔드포인트 보호 프로필을 Create.

FileVault

Apple FileVault 설정에 대한 자세한 내용은 Apple 개발자 콘텐츠의 FDEFileVault 를 참조하세요.

중요

macOS 10.15를 기준으로 FileVault 구성에는 사용자가 승인한 MDM 등록이 필요합니다.

• FileVault 사용

  macOS 10.13 이상을 실행하는 디바이스에서 FileVault와 함께 XTS-AES 128을 사용하여 전체 디스크 암호화를 사용하도록 설정할 수 있습니다.

  • 구성되지 않음 (기본값)
  • 예

  FileVault 사용을예로 설정하면 암호화하는 동안 디바이스에 대한 개인 복구 키가 생성되고 해당 키에 다음 설정이 적용됩니다.

  • 개인 복구 키에 대한 에스크로 위치 설명

    개인 복구 키를 검색할 수 있는 방법과 위치를 설명하는 짧은 메시지를 사용자에게 지정합니다. 이 텍스트는 암호를 잊어버린 경우 개인 복구 키를 입력하라는 메시지가 표시되면 사용자가 로그인 화면에 표시되는 메시지에 삽입됩니다.

  • 개인 복구 키 회전

    디바이스의 개인 복구 키가 회전하는 빈도를 지정합니다. 기본값인 구성되지 않음 또는 1~12 개월 값을 선택할 수 있습니다 .

  • 복구 키 숨기기

    FileVault 2 암호화 중에 디바이스 사용자로부터 개인 키를 숨기도록 선택합니다.

    • 구성되지 않음 (기본값) – 개인 키는 암호화 중에 디바이스 사용자에게 표시됩니다.
    • 예 - 암호화하는 동안 개인 키가 디바이스 사용자로부터 숨겨집니다.

    암호화 후 디바이스 사용자는 다음 위치에서 암호화된 macOS 디바이스에 대한 개인 복구 키를 볼 수 있습니다.

    • iOS/iPadOS 회사 포털 앱
    • Intune 앱
    • 회사 포털 웹 사이트
    • Android 회사 포털 앱

    키를 보려면 앱 또는 웹 사이트에서 암호화된 macOS 디바이스의 디바이스 세부 정보로 이동하여 복구 키 가져오기를 선택합니다.

  • 로그아웃 시 프롬프트 사용 안 함

    로그아웃할 때 FileVault를 사용하도록 요청하는 사용자에게 메시지를 표시하지 않도록 합니다. 사용 안 함으로 설정하면 로그아웃 시 프롬프트가 비활성화되고 대신 로그인할 때 사용자에게 메시지가 표시됩니다.

    • 구성되지 않음 (기본값)
    • 예 - 로그아웃 시 프롬프트를 사용하지 않도록 설정합니다.

  • 바이패스할 수 있는 횟수

    사용자가 로그인하기 위해 FileVault가 필요하기 전에 사용자가 FileVault를 사용하도록 설정하라는 메시지를 무시할 수 있는 횟수를 설정합니다.

    • 구성되지 않음 - 다음 로그인이 허용되기 전에 디바이스의 암호화가 필요합니다.
    • 0 - 다음에 사용자가 디바이스에 로그인할 때 디바이스를 암호화하도록 요구합니다.
    • 1 ~ 10 - 사용자가 디바이스에서 암호화를 요구하기 전에 프롬프트를 1~10번 무시하도록 허용합니다.
    • 제한 없음, 항상 프롬프트 - 사용자에게 FileVault를 사용하도록 설정하라는 메시지가 표시되지만 암호화가 필요하지 않습니다.
    • 사용 안 함 - 기능을 사용하지 않도록 설정합니다.

    이 설정의 기본값은 로그아웃 시 사용 안 함 프롬프트의 구성에 따라 달라집니다. 로그아웃 시 프롬프트 사용 안 함 이 구성되지 않음으로 설정된 경우 이 설정은 기본적으로 구성되지 않음으로 설정됩니다. 로그아웃 시 프롬프트 사용 안 함을예로 설정하면 이 설정은 기본적으로 1로 설정되며 구성되지 않음 값은 옵션이 아닙니다.

방화벽

방화벽을 사용하여 포트당 연결이 아닌 애플리케이션당 연결을 제어합니다. 애플리케이션별 설정을 사용하면 방화벽 보호의 이점을 더 쉽게 얻을 수 있습니다. 또한 원치 않는 앱이 합법적인 앱에 대해 열려 있는 네트워크 포트를 제어하지 못하도록 방지할 수 있습니다.

• 방화벽 사용

  macOS에서 방화벽 사용을 설정하고 사용자 환경에서 들어오는 연결이 처리되는 방식을 구성합니다.

  • 구성되지 않음 (기본값)
  • 예

• 들어오는 모든 연결 차단

  DHCP, Bonjour 및 IPSec과 같은 기본 인터넷 서비스에 필요한 연결을 제외한 모든 들어오는 연결을 차단합니다. 또한 이 기능은 파일 공유 및 화면 공유와 같은 모든 공유 서비스를 차단합니다. 공유 서비스를 사용하는 경우 이 설정을 구성되지 않음으로 유지합니다.

  • 구성되지 않음 (기본값)
  • 예

  들어오는 모든 연결 차단을구성되지 않음으로 설정하면 들어오는 연결을 받을 수 있거나 받을 수 없는 앱을 구성할 수 있습니다.

  허용된 앱: 들어오는 연결을 받을 수 있는 앱 목록을 구성합니다.

  • 번들 ID로 앱 추가: 앱의 번들 ID 를 입력합니다.

    앱 번들 ID를 가져오려면 다음을 수행합니다.

    • 터미널 앱 및 AppleScript를 osascript -e 'id of app "AppName"사용합니다.
    • Apple의 웹 사이트에는 기본 제공 Apple 앱 목록이 있습니다.
    • Intune 추가된 앱의 경우 Intune 관리 센터를 사용할 수 있습니다.

  • 스토어 앱 추가: 이전에 Intune 추가한 스토어 앱을 선택합니다. 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.

  차단된 앱: 들어오는 연결이 차단된 앱 목록을 구성합니다.

  • 번들 ID로 앱 추가: 앱의 번들 ID 를 입력합니다.

    앱 번들 ID를 가져오려면 다음을 수행합니다.

    • 터미널 앱 및 AppleScript를 osascript -e 'id of app "AppName"사용합니다.
    • Apple의 웹 사이트에는 기본 제공 Apple 앱 목록이 있습니다.
    • Intune 추가된 앱의 경우 Intune 관리 센터를 사용할 수 있습니다.

  • 스토어 앱 추가: 이전에 Intune 추가한 스토어 앱을 선택합니다. 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.

• 스텔스 모드 사용

  컴퓨터가 검색 요청에 응답하지 않도록 하려면 스텔스 모드를 사용하도록 설정합니다. 디바이스는 권한 있는 앱에 대한 들어오는 요청에 계속 응답합니다. ICMP(ping)와 같은 예기치 않은 요청은 무시됩니다.

  • 구성되지 않음 (기본값)
  • 예

게이트 키퍼

• 이러한 위치에서 다운로드된 앱 허용

  앱이 다운로드된 위치에 따라 디바이스가 시작할 수 있는 앱을 제한합니다. 맬웨어로부터 디바이스를 보호하고 신뢰할 수 있는 원본에서만 앱을 허용하려는 의도입니다.

  • 구성되지 않음 (기본값)
  • Mac App Store
  • Mac App Store 및 식별된 개발자
  • 어디서 나

• 사용자가 Gatekeeper를 재정의하도록 허용하지 않음

  사용자가 Gatekeeper 설정을 재정의하지 못하도록 방지하고 사용자가 제어를 클릭하여 앱을 설치할 수 없도록 합니다. 사용하도록 설정하면 사용자가 앱을 제어하여 설치할 수 없습니다.

  • 구성되지 않음 (기본값) - 사용자가 Control-click을 클릭하여 앱을 설치할 수 있습니다.
  • 예 - 사용자가 Control-click을 사용하여 앱을 설치할 수 없도록 합니다.

다음 단계

프로필을 할당하고, 해당 상태를 모니터링합니다.

Windows 10 및 Windows 11 디바이스에서 엔드포인트 보호를 구성할 수도 있습니다.