Intune의 엔드포인트 보안에 대한 계정 보호 정책 설정

중요

2024년 7월, ID 보호 및 계정 보호를 위한 다음 Intune 프로필은 더 이상 사용되지 않으며 계정 보호라는 새로운 통합 프로필로 대체되었습니다. 이 최신 프로필은 엔드포인트 보안의 계정 보호 정책 노드에서 찾을 수 있으며 ID 및 계정 보호를 위한 새 정책 인스턴스를 만들 수 있는 유일한 프로필 템플릿입니다. 이 새 프로필의 설정은 설정 카탈로그를 통해서도 사용할 수 있습니다.

만든 다음 이전 프로필의 인스턴스는 계속 사용하고 편집할 수 있습니다.

• ID 보호 – 이전에 디바이스>구성>에서 사용할 수 있는새 정책>만들기>Windows 10 이상>템플릿>ID 보호
• 계정 보호(미리 보기) – 이전에 Endpoint 보안>계정 보호>Windows 10 이상>계정 보호(미리 보기)에서 사용 가능

이 문서에서는 Intune 엔드포인트 보안에 대한 계정 보호 정책을 통해 이전에 사용할 수 있었던 프로필 유형인 계정 보호(미리 보기)용 프로필에서 사용할 수 있는 설정을 설명합니다. 이 프로필의 새 인스턴스를 만들 수는 없지만 이 문서의 정보는 여전히 사용 중인 프로필 인스턴스에 적용됩니다.

이 문서의 설정은 다음 항목에 적용됩니다.

• Windows 10
• Windows 11

지원되는 플랫폼 및 프로필:

• Windows 10 이상:
  • 프로필: 계정 보호(미리 보기)

팁

로컬 사용자 그룹 멤버 자격 프로필은 Windows 디바이스에서 로컬 그룹 관리를 참조하세요.

로컬 관리자 암호 솔루션(Windows LAPS) 프로필은 LAPS 정책 관리를 참조하세요.

계정 보호 프로필(미리 보기)

다음 설정 세부 정보는 2024년 7월에 사용되지 않는 계정 보호(미리 보기)에 대한 엔드포인트 보안 프로필 템플릿에만 적용됩니다.

• 비즈니스용 Windows Hello 차단

  비즈니스용 Windows Hello는 암호, 스마트 카드 및 가상 스마트 카드를 대체하여 Windows에 로그인하는 대체 방법입니다.

  • 구성되지 않음 (기본값) - 디바이스가 비즈니스용 Windows Hello를 프로비전합니다.
  • 사용 안 함 - 디바이스가 비즈니스용 Windows Hello를 프로비전합니다. 이 구성을 사용하면 PIN, TPM(신뢰할 수 있는 플랫폼 모듈) 등에 대한 구성을 지원하는 더 많은 설정을 사용할 수 있습니다.
  • 사용 - 디바이스가 모든 사용자에 대해 비즈니스용 Windows Hello를 프로비전하지 않음

중요

Intune이 비즈니스용 Windows Hello 정책의 범위와 적용 가능성을 결정하는 방법으로 인해 이벤트 ID 454가 정책 적용의 결과로 디바이스에 기록될 수 있습니다. 정책이 성공적으로 적용되면 이를 안전하게 무시할 수 있습니다.

• 로그인에 보안 키를 사용하도록 설정

  Windows Hello 보안 키를 테넌트의 모든 PC에 대한 로그인 자격 증명으로 사용하도록 설정합니다.

  • 구성되지 않음 (기본값)
  • 예

• Credential Guard 켜기
  CSP: DeviceGuard

  Credential Guard는 Windows 하이퍼바이저를 사용하여 보호를 제공합니다. Credential Guard는 보안 부팅 및 DMA 보호를 위한 하드웨어 지원이 필요합니다. 이 설정은 하드웨어 요구 사항을 충족하는 디바이스에서만 성공합니다.

  • 구성되지 않음 (기본값) - Windows 기본값인 Credential Guard 사용을 사용하지 않도록 설정합니다.
  • UEFI 잠금 사용 - Credential Guard를 사용하도록 설정하고 UEFI 지속형 구성을 수동으로 지워야 하므로 원격으로 해제되지 않도록 차단합니다.
  • UEFI 잠금 없이 사용 - Credential Guard를 사용하도록 설정하고 컴퓨터에 물리적으로 액세스하지 않고 해제할 수 있습니다.

다음 단계

계정 보호를 위한 엔드포인트 보안 정책