Microsoft Intune 엔드포인트 보안 정책을 사용하여 디바이스 보안 관리
디바이스 보안과 관련된 보안 관리자는 Intune 엔드포인트 보안 정책을 사용하여 디바이스의 보안 설정을 관리합니다. 이러한 프로필은 관련 설정의 논리적 그룹인 디바이스 구성 정책 템플릿 또는 보안 기준과 개념에서 유사합니다. 그러나 디바이스 구성 프로필 및 보안 기준에는 엔드포인트 보안 scope 외부에서 다양한 설정의 큰 본문이 포함되어 있는 경우 각 엔드포인트 보안 프로필은 디바이스 보안의 특정 하위 집합에 중점을 둡니다.
디바이스 구성 정책의 보안 기준 또는 엔드포인트 보호 템플릿과 같은 다른 정책 유형과 함께 엔드포인트 보안 정책을 사용하는 경우 여러 정책 유형을 사용하여 충돌하는 설정의 위험을 최소화하기 위한 계획을 개발하는 것이 중요합니다. 보안 기준, 디바이스 구성 정책 및 엔드포인트 보안 정책은 모두 Intune 디바이스 구성 설정의 동일한 원본으로 처리됩니다. 설정 충돌은 디바이스가 여러 원본에서 설정에 대해 서로 다른 두 가지 구성을 수신할 때 발생합니다. 여러 원본에는 별도의 정책 유형과 동일한 정책의 여러 인스턴스가 포함될 수 있습니다.
Intune 디바이스에 대한 정책을 평가하고 설정에 대해 충돌하는 구성을 식별하면 관련된 설정에 오류 또는 충돌에 대한 플래그를 지정하고 디바이스에 적용하지 못할 수 있습니다. 충돌을 관리하는 데 도움이 되는 자세한 내용은 다음 정책 및 프로필 관련 지침을 참조하세요.
사용 가능한 유형의 엔드포인트 보안 정책
Microsoft Intune 관리 센터의 엔드포인트 보안 노드에서 관리 아래에 엔드포인트 보안 정책을 찾을 수 있습니다.
다음은 각 엔드포인트 보안 정책 유형에 대한 간략한 설명입니다. 각각에 대해 사용 가능한 프로필을 포함하여 해당 프로필에 대해 자세히 알아보려면 각 정책 유형 전용 콘텐츠에 대한 링크를 따르세요.
계정 보호 - 계정 보호 정책은 사용자의 ID 및 계정을 보호하는 데 도움이 됩니다. 계정 보호 정책은 Windows ID 및 액세스 관리의 일부인 Windows Hello 및 Credential Guard에 대한 설정에 중점을 줍니다.
바이러스 백신 - 바이러스 백신 정책은 보안 관리자가 관리 디바이스에 대한 개별 바이러스 백신 설정 그룹을 관리하는 데 집중할 수 있도록 지원합니다.
비즈니스용 앱 제어(미리 보기) - 비즈니스용 앱 제어 정책 및 Microsoft Intune 관리되는 설치 관리자를 사용하여 Windows 디바이스에 대해 승인된 앱을 관리합니다. Intune 비즈니스용 앱 제어 정책은 WDAC(Windows Defender 애플리케이션 제어)의 구현입니다.
공격 표면 감소 - Windows 10/11 디바이스에서 Defender 바이러스 백신을 사용하는 경우 공격 표면 감소에 Intune 엔드포인트 보안 정책을 사용하여 디바이스에 대한 설정을 관리합니다.
디스크 암호화 - 엔드포인트 보안 디스크 암호화 프로필은 FileVault, BitLocker 및 개인 데이터 암호화(Windows용)와 같은 기본 제공 암호화 방법과 관련된 설정에만 초점을 맞춥니다. 이 포커스를 사용하면 보안 관리자가 관련 없는 여러 설정을 탐색하지 않고도 디스크 또는 폴더 수준 암호화 설정을 쉽게 관리할 수 있습니다.
엔드포인트 검색 및 응답 - Intune 엔드포인트용 Microsoft Defender 통합하는 경우 엔드포인트 보안 정책을 사용하여 EDR(엔드포인트 검색 및 응답)을 사용하여 EDR 설정을 관리하고 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender.
방화벽 - Intune 엔드포인트 보안 방화벽 정책을 사용하여 macOS 및 Windows 10/11을 실행하는 디바이스에 대한 기본 제공 방화벽을 구성합니다.
다음 섹션은 모든 엔드포인트 보안 정책에 적용됩니다.
엔드포인트 보안 정책에 대한 역할 기반 액세스 제어 할당
Intune 엔드포인트 보안 정책을 관리하려면 정책에 대한 Intune RBAC(역할 기반 액세스 제어) 권한 및 관리하는 작업과 관련된 특정 권한이 포함된 계정을 사용해야 합니다.
참고
2024년 6월 이전에는 Intune 엔드포인트 보안 정책이 보안 기준 권한에서 제공하는 권한을 통해 관리되었습니다. 2024년 6월부터 Intune 개별 엔드포인트 보안 워크로드를 관리하는 세분화된 권한을 릴리스하기 시작했습니다.
엔드포인트 보안 워크로드에 대한 새 세분화된 권한이 Intune 추가될 때마다 보안 기준 권한에서 동일한 권한이 제거됩니다. 보안 기준 권한과 함께 사용자 지정 역할을 사용하는 경우 새 RBAC 권한은 보안 기준 권한을 통해 부여된 것과 동일한 권한으로 사용자 지정 역할에 자동으로 할당됩니다. 이 자동 할당을 통해 관리자는 현재와 동일한 권한을 계속 유지할 수 있습니다.
엔드포인트 보안 워크로드를 관리하는 RBAC 역할 및 권한
엔드포인트 보안의 측면을 관리하기 위한 RBAC 권한을 할당하는 경우 관리자에게 특정 작업을 수행하는 데 필요한 최소 권한을 할당하는 것이 좋습니다. 엔드포인트 보안을 관리하는 각 RBAC 권한에는 사용자 지정 RBAC 역할을 만들 때 개별적으로 부여하거나 보류할 수 있는 다음 권한이 포함됩니다.
- 할당
- 만들기
- 삭제
- 읽기
- 업데이트
- 보고서 보기
사용자 지정 RBAC 역할 사용
다음 권한에는 엔드포인트 보안 워크로드에 대한 권한이 포함됩니다.
비즈니스용 애플리케이션 제어 - 애플리케이션 제어 정책 및 보고서를 관리할 수 있는 권한을 부여합니다.
공격 표면 감소 - 일부 공격 표면 감소 정책 및 보고서를 관리할 수 있는 권한을 부여합니다. 이 워크로드의 경우 다음 프로필(템플릿)에는 보안 기준 권한에서 제공하는 권한이 계속 필요합니다.
- Windows 앱 및 브라우저 격리
- Windows 웹 보호
- Windows 애플리케이션 컨트롤
- Windows Exploit 보호
엔드포인트 검색 및 응답 - EDR( 엔드포인트 검색 및 응답 ) 정책 및 보고서를 관리할 수 있는 권한을 부여합니다.
보안 기준 - 전용 워크플로가 없는 모든 엔드포인트 보안 워크로드를 관리할 수 있는 권한을 부여합니다.
디바이스 구성 - 디바이스 구성에 대한 보고서 보기 권한은 엔드포인트 보안 정책에 대한 보고서를 보고, 생성하고, 내보낼 수 있는 권한도 부여합니다.
중요
엔드포인트 보안 정책에 대한 바이러스 백신 의 세분화된 권한은 일부 테넌트에서 일시적으로 표시될 수 있습니다. 이 권한은 해제되지 않으며 사용할 수 없습니다. 바이러스 백신 권한의 구성은 Intune 무시됩니다. 바이러스 백신을 세분화된 권한으로 사용할 수 있게 되면 가용성은 Microsoft Intune 문서의 새로운 기능 문서에서 발표됩니다.
기본 제공 RBAC 역할 사용
다음 Intune 기본 제공 RBAC 역할을 관리자에게 할당하여 엔드포인트 보안 워크로드 및 보고서에 대한 일부 또는 모든 작업을 관리할 수 있는 권한을 제공할 수도 있습니다.
- 지원 센터 운영자
- 읽기 전용 운영자
- 끝점 보안 관리자
각 역할에 포함된 특정 권한 및 권한에 대한 자세한 내용은 Microsoft Intune 대한 기본 제공 역할 권한을 참조하세요.
새 엔드포인트 보안 권한에 대한 고려 사항
엔드포인트 보안 워크로드에 대한 새 세분화된 권한이 추가되면 새 워크로드 권한은 현재 보안 기준 권한과 동일한 권한 및 권한 구조를 갖습니다. 여기에는 별도의 RBAC 권한으로 제어되는 보안 기준 정책 또는 설정 카탈로그 정책과 같은 다른 유형의 정책에서 겹치는 설정을 포함할 수 있는 이러한 워크로드 내의 보안 정책 관리가 포함됩니다.
엔드포인트용 Defender 보안 설정 관리 시나리오를 사용하는 경우 보안 정책 관리를 위해 Microsoft Defender 포털에 동일한 RBAC 권한 변경 내용이 적용됩니다.
엔드포인트 보안 정책 만들기
다음 절차에서는 엔드포인트 보안 정책을 만들기 위한 일반적인 지침을 제공합니다.
Microsoft Intune 관리 센터에 로그인합니다.
엔드포인트 보안을 선택한 다음 구성하려는 정책 유형을 선택한 다음 정책 만들기를 선택합니다. 다음 정책 유형에서 선택합니다.
- 계정 보호
- 바이러스 검사
- 애플리케이션 컨트롤(미리 보기)
- 공격 표면 감소
- 디스크 암호화
- 엔드포인트 감지 및 응답
- 방화벽
다음 속성을 입력합니다.
- 플랫폼: 정책을 만드는 플랫폼을 선택합니다. 사용 가능한 옵션은 선택한 정책 유형에 따라 다릅니다.
- 프로필: 선택한 플랫폼에 사용 가능한 프로필 중에서 선택합니다. 프로필에 대한 자세한 내용은 선택한 정책 유형에 대한 이 문서의 전용 섹션을 참조하세요.
만들기를 선택합니다.
기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음을 선택합니다.
구성 설정 페이지에서 각 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다.
설정 구성을 완료하면 다음을 선택합니다.
범위 태그 페이지에서 scope 태그 선택을 선택하여 태그 선택 창을 열어 프로필에 scope 태그를 할당합니다.
다음을 선택하여 계속합니다.
할당 페이지에서 이 프로필을 받을 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.
다음을 선택합니다.
검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.
정책 복제
엔드포인트 보안 정책은 중복을 지원하여 원래 정책의 복사본을 만듭니다. 정책을 복제하는 것이 유용한 시나리오는 유사한 정책을 다른 그룹에 할당해야 하지만 전체 정책을 수동으로 다시 만들지 않으려는 경우입니다. 대신 원래 정책을 복제한 다음 새 정책에 필요한 변경 내용만 도입할 수 있습니다. 특정 설정과 정책이 할당된 그룹만 변경할 수 있습니다.
중복을 만들 때 복사본에 새 이름을 지정합니다. 복사본은 원본과 동일한 설정 구성 및 범위 태그를 사용하여 작성하지만 할당은 없습니다. 할당을 만들려면 나중에 새 정책을 편집해야 합니다.
다음 정책 유형은 중복을 지원합니다.
- 계정 보호
- 애플리케이션 제어(미리 보기)
- 바이러스 검사
- 공격 표면 감소
- 디스크 암호화
- 엔드포인트 감지 및 응답
- 방화벽
새 정책을 만든 후 정책을 검토하고 편집하여 구성을 변경합니다.
정책을 복제하려면
- Microsoft Intune 관리 센터에 로그인합니다.
- 정책 목록에서 복사할 정책을 찾은 다음 해당 줄에 대한 줄임표(...)를 선택하여 상황에 맞는 메뉴를 엽니다.
- 복제를 선택합니다.
- 정책의 새 이름을 입력한 다음 저장을 선택합니다.
정책을 편집하려면
- 새 정책을 선택한 다음 속성을 선택합니다.
- 설정을 선택하여 정책의 구성 설정 목록을 확장합니다. 이 보기에서 설정을 수정할 수 없지만 구성 방법을 검토할 수 있습니다.
- 정책을 수정하려면 변경하려는 각 범주에 대해 편집을 선택합니다.
- 기본 사항
- Assignments
- 범위 태그
- 구성 설정
- 변경한 후 저장 을 선택하여 편집 내용을 저장합니다. 추가 범주에 대한 편집을 도입하려면 먼저 한 범주에 대한 편집을 저장해야 합니다.
충돌 관리
엔드포인트 보안 정책(보안 정책)으로 관리할 수 있는 대부분의 디바이스 설정은 Intune 다른 정책 유형을 통해서도 사용할 수 있습니다. 이러한 다른 정책 유형에는 디바이스 구성 정책 및 보안 기준이 포함됩니다. 여러 정책 유형을 통해 또는 동일한 정책 유형의 여러 인스턴스를 통해 설정을 관리할 수 있으므로 예상한 구성을 준수하지 않는 장치에 대한 정책 충돌을 식별하고 해결할 수 있도록 준비하세요.
- 보안 기준은 기준이 처리하는 권장 구성을 준수하도록 설정에 대해 기본값이 아닌 값을 설정할 수 있습니다.
- 엔드포인트 보안 정책을 비롯한 다른 정책 유형은 기본적으로 구성되지 않음 값을 설정합니다. 이러한 다른 정책 유형을 사용하려면 정책에서 설정을 명시적으로 구성해야 합니다.
정책 메서드에 관계없이 여러 정책 유형을 통해 또는 동일한 정책 유형의 여러 인스턴스를 통해 동일한 장치에서 동일한 설정을 관리하면 피해야 하는 충돌이 발생할 수 있습니다.
다음 링크의 정보는 충돌을 식별하고 resolve 데 도움이 될 수 있습니다.