엔드포인트용 Microsoft Defender 온보딩된 디바이스에서 엔드포인트 보안 정책 관리

엔드포인트용 Microsoft Defender 사용하는 경우 Microsoft Intune 엔드포인트 보안 정책을 배포하여 해당 디바이스를 Intune 등록하지 않고 Defender에 온보딩한 디바이스에서 Defender 보안 설정을 관리할 수 있습니다. 이 기능을 엔드포인트용 Defender 보안 설정 관리라고 합니다.

보안 설정 관리를 통해 디바이스를 관리하는 경우:

• Microsoft Intune 관리 센터 또는 Microsoft 365 Defender 포털을 사용하여 엔드포인트용 Defender에 대한 엔드포인트 보안에 대한 정책을 구성하고 이러한 정책을 Microsoft Entra ID 그룹에 할당할 수 있습니다. Defender 포털에는 디바이스 보기, 정책 관리 및 보안 설정 관리를 위한 보고서에 대한 사용자 인터페이스가 포함되어 있습니다.

  Defender 포털 내에서 Intune 엔드포인트 보안 정책을 관리하는 방법에 대한 지침을 보려면 Defender 콘텐츠의 엔드포인트용 Microsoft Defender 엔드포인트 보안 정책 관리를 참조하세요.

• 디바이스는 Entra ID 디바이스 개체에 따라 할당된 정책을 가져옵니다. Microsoft Entra 아직 등록되지 않은 디바이스가 이 솔루션의 일부로 조인됩니다.

• 디바이스가 정책을 수신하면 디바이스의 엔드포인트용 Defender 구성 요소가 정책을 적용하고 디바이스의 상태 보고합니다. 디바이스의 상태 Microsoft Intune 관리 센터 및 Microsoft Defender 포털에서 사용할 수 있습니다.

이 시나리오는 Microsoft Intune Endpoint Security 화면을 Intune 등록할 수 없는 디바이스로 확장합니다. 디바이스가 Intune(Intune 등록됨)에서 관리되는 경우 디바이스는 엔드포인트용 Defender 보안 설정 관리에 대한 정책을 처리하지 않습니다. 대신 Intune 사용하여 엔드포인트용 Defender에 대한 정책을 디바이스에 배포합니다.

적용 대상:

• Windows 10 및 Windows 11
• Windows Server(2012 R2 이상)
• Linux
• macOS

필수 구성 요소

엔드포인트용 Defender 보안 설정 관리 시나리오에 대한 요구 사항은 다음 섹션을 검토하세요.

환경

지원되는 디바이스가 엔드포인트용 Microsoft Defender 온보딩하는 경우:

• 디바이스는 Intune MDM(모바일 디바이스 관리) 등록인 기존 Microsoft Intune 현재 상태를 조사합니다.
• Intune 없는 디바이스는 보안 설정 관리 기능을 사용하도록 설정합니다.
• 완전히 Microsoft Entra 등록되지 않은 디바이스의 경우 디바이스가 정책을 검색할 수 있도록 하는 가상 디바이스 ID가 Microsoft Entra ID 만들어집니다. 완전히 등록된 디바이스는 현재 등록을 사용합니다.
• Microsoft Intune 검색된 정책은 엔드포인트용 Microsoft Defender 의해 디바이스에 적용됩니다.

보안 설정 관리는 정부 클라우드에서 아직 지원되지 않습니다. 자세한 내용은 미국 정부 고객에 대한 엔드포인트용 Microsoft Defender상업용 기능 패리티를 참조하세요.

연결 요구 사항

디바이스는 다음 엔드포인트에 액세스할 수 있어야 합니다.

• *.dm.microsoft.com- 와일드카드 사용은 등록, 검사 및 보고에 사용되고 서비스 크기가 조정되면 변경되는 클라우드 서비스 엔드포인트를 지원합니다.

지원되는 플랫폼

엔드포인트용 Microsoft Defender 보안 관리에 대한 정책은 다음 디바이스 플랫폼에서 지원됩니다.

Linux:

Linux 에이전트 버전 101.23052.0009 이상용 엔드포인트용 Microsoft Defender 사용하여 보안 설정 관리는 다음 Linux 배포판을 지원합니다.

• Red Hat Enterprise Linux 7.2 이상
• CentOS 7.2 이상
• Ubuntu 16.04 LTS 이상 LTS
• Debian 9 이상
• SUSE Linux Enterprise Server 12 이상
• Oracle Linux 7.2 이상
• Amazon Linux 2
• Fedora 33 이상

Defender 에이전트의 버전을 확인하려면 Defender 포털에서 디바이스 페이지로 이동하고 디바이스 인벤토리 탭에서 Linux용 Defender를 검색합니다. 에이전트 버전을 업데이트하는 방법에 대한 지침은 Linux에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.

알려진 문제: Defender 에이전트 버전 101.23052.0009에서는 Linux 디바이스가 파일 경로 /sys/class/dmi/id/board_vendor가 누락되면 등록하지 못합니다.

macOS:

macOS 에이전트 버전 101.23052.0004 이상에 대한 엔드포인트용 Microsoft Defender 사용하여 보안 설정 관리는 다음 macOS 버전을 지원합니다.

• macOS 14(소노마)
• macOS 13(벤투라)
• macOS 12(몬테레이)
• macOS 11(Big Sur)

Defender 에이전트의 버전을 확인하려면 Defender 포털에서 디바이스 페이지로 이동하고 디바이스 인벤토리 탭에서 macOS용 Defender를 검색합니다. 에이전트 버전 업데이트에 대한 지침은 macOS에서 엔드포인트용 Microsoft Defender 대한 업데이트 배포를 참조하세요.

알려진 문제: Defender 에이전트 버전 101.23052.0004에서는 보안 설정 관리에 등록하기 전에 Microsoft Entra ID 등록된 macOS 디바이스는 가상 등록인 Microsoft Entra ID 중복된 디바이스 ID를 받습니다. 대상 지정 정책을 위한 Microsoft Entra 그룹을 만들 때 보안 설정 관리에서 만든 가상 디바이스 ID를 사용해야 합니다. Microsoft Entra ID 가상 디바이스 ID의 조인 유형 열은 비어 있습니다.

Windows:

• Windows 10 Professional/Enterprise(KB5006738 포함)
• Windows 11 Professional/Enterprise
• Down-Level 디바이스용 Microsoft Defender R2 Windows Server 2012
• Down-Level 디바이스에 대한 Microsoft Defender Windows Server 2016
• Windows Server 2019( KB5006744 포함)
• Windows Server 2022( KB5006745 포함)

보안 설정 관리가 작동하지 않으며 다음 디바이스에서 지원되지 않습니다.

• VDI(Virtual Desktop 인프라) 클라이언트 또는 Azure Virtual Desktop과 같은 비영구 데스크톱.
• 도메인 컨트롤러

중요

경우에 따라 하위 수준 서버 운영 체제(2012 R2 또는 2016)를 실행하는 도메인 컨트롤러는 엔드포인트용 Microsoft Defender 의도치 않게 관리할 수 있습니다. 사용자 환경에서 이런 일이 발생하지 않도록 하려면 도메인 컨트롤러에 "MDE-Management"라는 태그가 지정되거나 MDE 관리되지 않는 것이 좋습니다.

라이선스 및 구독

보안 설정 관리를 사용하려면 다음이 필요합니다.

• Microsoft 365와 같은 엔드포인트용 Microsoft Defender 라이선스를 부여하거나 엔드포인트용 Microsoft Defender 대한 독립 실행형 라이선스를 부여하는 구독입니다. 엔드포인트용 Microsoft Defender 라이선스를 부여하는 구독은 테넌트에게 Microsoft Intune 관리 센터의 엔드포인트 보안 노드에 대한 액세스 권한을 부여합니다.

  참고

  예외: 서버의 Microsoft Defender(이전의 Azure Security Center 클라우드용 Microsoft Defender 일부)를 통해서만 엔드포인트용 Microsoft Defender 액세스할 수 있는 경우 보안 설정 관리 기능을 사용할 수 없습니다. 하나 이상의 엔드포인트용 Microsoft Defender(사용자) 구독 라이선스가 활성화되어 있어야 합니다.

  엔드포인트 보안 노드는 디바이스에 대한 엔드포인트용 Microsoft Defender 관리하고 디바이스 상태 모니터링하는 정책을 구성하고 배포하는 곳입니다.

  옵션에 대한 현재 정보는 엔드포인트용 Microsoft Defender 대한 최소 요구 사항을 참조하세요.

아키텍처

다음 다이어그램은 엔드포인트용 Microsoft Defender 보안 구성 관리 솔루션의 개념적 표현입니다.

1. 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender.
2. 디바이스는 Intune 통신합니다. 이 통신을 통해 Microsoft Intune 검사 때 디바이스를 대상으로 하는 정책을 배포할 수 있습니다.
3. Microsoft Entra ID 각 디바이스에 대해 등록이 설정됩니다.
   • 하이브리드 조인 디바이스와 같이 디바이스가 이전에 완전히 등록된 경우 기존 등록이 사용됩니다.
   • 등록되지 않은 디바이스의 경우 디바이스가 정책을 검색할 수 있도록 Microsoft Entra ID 가상 디바이스 ID가 만들어집니다. 가상 등록이 있는 디바이스에 전체 Microsoft Entra 등록이 만들어지면 가상 등록이 제거되고 전체 등록을 사용하여 디바이스 관리가 중단 없이 계속됩니다.
4. 엔드포인트용 Defender는 정책의 상태 다시 Microsoft Intune 보고합니다.

중요

보안 설정 관리는 Microsoft Entra ID 완전히 등록하지 않고 Microsoft Entra 하이브리드 조인 필수 구성 요소를 삭제하는 디바이스에 가상 등록을 사용합니다. 이 변경으로 이전에 등록 오류가 있었던 Windows 디바이스가 Defender에 온보딩되기 시작한 다음 보안 설정 관리 정책을 수신하고 처리합니다.

Microsoft Entra 하이브리드 조인 필수 구성 요소를 충족하지 못해 등록할 수 없는 디바이스를 필터링하려면 Microsoft Defender 포털의 디바이스 목록으로 이동하고 등록 상태 기준으로 필터링합니다. 이러한 디바이스는 완전히 등록되지 않았으므로 해당 디바이스 특성은 MDM = Intune 및 조인 유형 = 공백을 표시합니다. 이제 이러한 디바이스는 가상 등록을 사용하여 보안 설정 관리에 등록됩니다.

이러한 디바이스를 등록하면 Microsoft Defender, Microsoft Intune 및 Microsoft Entra 포털에 대한 디바이스 목록에 표시됩니다. 디바이스가 Microsoft Entra 완전히 등록되지는 않지만 가상 등록은 하나의 디바이스 개체로 계산됩니다.

Microsoft Defender 포털에서 예상되는 사항

Microsoft Defender XDR 디바이스 인벤토리를 사용하여 디바이스가 엔드포인트용 Defender에서 보안 설정 관리 기능을 사용하고 있는지 확인하려면 관리 기준 열의 디바이스 상태 검토합니다. 관리되는 정보도 디바이스 쪽 패널 또는 디바이스 페이지에서 사용할 수 있습니다. 에서 관리되는 은 MDE 관리됨을 일관되게 나타내야 합니다. 

디바이스 쪽 패널 또는 디바이스 페이지가 등록 상태 성공으로 표시되는 MDE지 확인하여 디바이스가 보안 설정 관리에 성공적으로 등록되었는지 확인할 수도 있습니다.

MDE 등록 상태 성공이 표시되지 않는 경우 업데이트되었으며 보안 설정 관리를 위해 scope 있는 디바이스를 보고 있는지 확인합니다. (보안 설정 관리를 구성하는 동안 적용 scope 페이지에서 scope 구성합니다.)

Microsoft Intune 관리 센터에서 예상되는 사항

Microsoft Intune 관리 센터에서 모든 디바이스 페이지로 이동합니다. 보안 설정 관리에 등록된 디바이스는 Defender 포털에서와 같이 여기에 표시됩니다. 관리 센터에서 관리되는 디바이스 필드가 MDE 표시되어야 합니다.

팁

2023년 6월부터 보안 설정 관리는 Microsoft Entra 완전히 등록되지 않은 디바이스에 가상 등록을 사용하기 시작했습니다. 이 변경으로 이전에 등록 오류가 있었던 디바이스가 Defender에 온보딩되기 시작한 다음 보안 설정 관리 정책을 수신하고 처리합니다.

Microsoft Azure Portal 예상되는 사항

모든 디바이스 페이지에서 Microsoft Azure Portal 디바이스 세부 정보를 볼 수 있습니다.

엔드포인트용 Defender 보안 설정 관리에 등록된 모든 디바이스가 정책을 받도록 하려면 디바이스의 OS 유형에 따라 동적 Microsoft Entra 그룹을 만드는 것이 좋습니다. 동적 그룹을 사용하면 관리자가 새 정책 만들기와 같은 다른 작업을 수행할 필요 없이 엔드포인트용 Defender에서 관리하는 디바이스가 자동으로 그룹에 추가됩니다.

중요

2023년 7월부터 2023년 9월 25일까지 보안 설정 관리는 시나리오에 관리되고 등록된 디바이스에 대한 새로운 동작을 도입하는 옵트인 공개 미리 보기를 실행했습니다. 2023년 9월 25일부터 공개 미리 보기 동작이 일반 공급되고 보안 설정 관리를 사용하는 모든 테넌트에서 적용됩니다.

2023년 9월 25일 이전에 보안 설정 관리를 사용했으며 2023년 7월부터 2023년 9월 25일까지 실행된 옵트인 공개 미리 보기에 참여하지 않은 경우 시스템 레이블을 사용하는 Microsoft Entra 그룹을 검토하여 보안 설정 관리로 관리하는 새 디바이스를 식별하는 변경 내용을 만듭니다. 2023년 9월 25일 이전에 옵트인 공개 미리 보기를 통해 관리되지 않는 디바이스는 MDEManaged 및 MDEJoined 의 다음 시스템 레이블(태그)을 사용하여 관리되는 디바이스를 식별하기 때문입니다. 이러한 두 시스템 레이블은 더 이상 지원되지 않으며 더 이상 등록하는 디바이스에 추가되지 않습니다.

동적 그룹에 대해 다음 지침을 사용합니다.

• (권장) 정책을 대상으로 지정할 때 deviceOSType 특성(Windows, Windows Server, macOS, Linux)을 사용하여 디바이스 플랫폼을 기반으로 하는 동적 그룹을 사용하여 관리 유형을 변경하는 디바이스(예: MDM 등록 중)에 대한 정책이 계속 전달되도록 합니다.

• 필요한 경우 엔드포인트용 Defender에서 관리하는 전용 디바이스를 포함하는 동적 그룹은 managementType 특성 MicrosoftSense를 사용하여 동적 그룹을 정의하여 대상으로 지정할 수 있습니다. 이 특성의 사용은 보안 설정 관리 기능을 통해 엔드포인트용 Defender에서 관리하는 모든 디바이스를 대상으로 하며, 디바이스는 엔드포인트용 Defender에서 관리하는 동안에만 이 그룹에 남아 있습니다.

또한 보안 설정 관리를 구성할 때 엔드포인트용 Microsoft Defender 사용하여 전체 OS 플랫폼 플릿을 관리하려는 경우 엔드포인트용 Microsoft Defender 적용 범위 페이지에서 태그가 지정된 디바이스 대신 모든 디바이스를 선택하여 가상 등록이 계산됨을 이해합니다. Microsoft Entra ID 할당량은 전체 등록과 동일합니다.

어떤 솔루션을 사용해야 하나요?

Microsoft Intune 디바이스에서 엔드포인트용 Defender의 구성을 관리하는 여러 가지 방법 및 정책 유형을 포함합니다. 다음 표에서는 엔드포인트용 Defender 보안 설정 관리에서 관리하는 디바이스에 배포를 지원하는 Intune 정책 및 프로필을 식별하고 이 솔루션이 요구 사항에 적합한지 식별하는 데 도움이 될 수 있습니다.

엔드포인트용 Defender 보안 설정 관리 및 Microsoft Intune 모두에 대해 지원되는 엔드포인트 보안 정책을 배포하는 경우 다음을 통해 해당 정책의 단일 instance 처리할 수 있습니다.

• 보안 설정 관리를 통해 지원되는 디바이스(Microsoft Defender)
• Intune 또는 Configuration Manager 관리되는 디바이스입니다.

Windows 10 이상 플랫폼에 대한 프로필은 보안 설정 관리에서 관리하는 디바이스에 대해 지원되지 않습니다.

각 디바이스 유형에 대해 지원되는 프로필은 다음과 같습니다.

Linux

다음 정책 유형은 Linux 플랫폼을 지원합니다.

엔드포인트 보안 정책	프로필	엔드포인트용 Defender 보안 설정 관리	Microsoft Intune
바이러스 검사	Microsoft Defender 바이러스 백신
바이러스 검사	Microsoft Defender 바이러스 백신 제외
엔드포인트 감지 및 응답	엔드포인트 감지 및 응답

macOS

다음 정책 유형은 macOS 플랫폼을 지원합니다.

엔드포인트 보안 정책	프로필	엔드포인트용 Defender 보안 설정 관리	Microsoft Intune
바이러스 검사	Microsoft Defender 바이러스 백신
바이러스 검사	Microsoft Defender 바이러스 백신 제외
엔드포인트 감지 및 응답	엔드포인트 감지 및 응답

Windows 10, Windows 11, Windows Server

Microsoft Defender 보안 설정 관리에서 사용을 지원하려면 Windows 디바이스에 대한 정책이 Windows 10, Windows 11 및 Windows Server 플랫폼을 사용해야 합니다. Windows 10, Windows 11 및 Windows Server 플랫폼의 각 프로필은 Intune 관리되는 디바이스 및 보안 설정 관리에서 관리하는 디바이스에 적용할 수 있습니다.

엔드포인트 보안 정책	프로필	엔드포인트용 Defender 보안 설정 관리	Microsoft Intune
바이러스 검사	Defender 업데이트 컨트롤
바이러스 검사	Microsoft Defender 바이러스 백신
바이러스 검사	Microsoft Defender 바이러스 백신 제외
바이러스 검사	Windows 보안 환경	참고 1
공격 표면 감소	공격 표면 감소 규칙
엔드포인트 감지 및 응답	엔드포인트 감지 및 응답
방화벽	방화벽
방화벽	방화벽 규칙

1 - Windows 보안 환경 프로필은 Defender 포털에서 사용할 수 있지만 Intune 관리되는 디바이스에만 적용됩니다. Microsoft Defender 보안 설정 관리에서 관리하는 디바이스는 지원되지 않습니다.

엔드포인트 보안 정책은 organization 디바이스를 보호하는 데 중점을 둔 보안 관리자가 사용하기 위한 개별 설정 그룹입니다. 다음은 보안 설정 관리를 지원하는 정책에 대한 설명입니다.

• 바이러스 백신 정책은 엔드포인트용 Microsoft Defender 있는 보안 구성을 관리합니다. 엔드포인트 보안은 바이러스 백신 정책을 참조하세요.

  참고

  수정된 설정 또는 새 정책을 적용하기 위해 엔드포인트를 다시 시작할 필요는 없지만 AllowOnAccessProtection 및 DisableLocalAdminMerge 설정에서 이러한 설정을 업데이트하기 위해 최종 사용자가 디바이스를 다시 시작해야 하는 문제를 알고 있습니다. 현재 해결 방법을 제공하기 위해 이 문제를 조사하고 있습니다.

• ASR(공격 표면 감소) 정책은 organization 사이버 위협 및 공격에 취약한 위치를 최소화하는 데 중점을 줍니다. 보안 설정 관리를 사용하면 WINDOWS 10, Windows 11 및 Windows Server를 실행하는 디바이스에 ASR 규칙이 적용됩니다.

  다양한 플랫폼 및 버전에 적용되는 설정에 대한 현재 지침은 Windows 위협 방지 설명서의 ASR 규칙 지원 운영 체제를 참조하세요.

  팁

  지원되는 엔드포인트를 최신 상태로 유지하려면 Windows Server 2012 R2 및 2016에 최신 통합 솔루션을 사용하는 것이 좋습니다.

  참고:

  • Windows 위협 방지 설명서의 공격 표면 감소 개요입니다.
  • Intune 설명서의 엔드포인트 보안에 대한 공격 표면 감소 정책입니다.

• EDR(엔드포인트 검색 및 대응) 정책은 거의 실시간으로 실행 가능한 고급 공격 검색을 제공하는 엔드포인트용 Defender 기능을 관리합니다. 보안 분석가는 EDR 구성에 따라 경고의 우선 순위를 효과적으로 지정하고, 위반의 전체 scope 파악하고, 대응 조치를 취하여 위협을 해결할 수 있습니다. 엔드포인트 보안은 엔드포인트 검색 및 응답 정책을 참조하세요.

• 방화벽 정책은 디바이스의 Defender 방화벽에 집중합니다. 엔드포인트 보안에 대한 방화벽 정책을 참조하세요.

• 방화벽 규칙은 특정 포트, 프로토콜, 애플리케이션 및 네트워크를 포함하여 방화벽에 대한 세분화된 규칙을 구성합니다. 엔드포인트 보안에 대한 방화벽 정책을 참조하세요.

엔드포인트용 Defender 보안 설정 관리를 지원하도록 테넌트 구성

Microsoft Intune 관리 센터를 통해 보안 설정 관리를 지원하려면 각 콘솔 내에서 통신을 사용하도록 설정해야 합니다.

다음 섹션에서는 해당 프로세스를 안내합니다.

엔드포인트용 Microsoft Defender 구성

엔드포인트용 Microsoft Defender 포털에서 보안 관리자:

1. Microsoft Defender 포털에 로그인하고 설정>엔드포인트>구성 관리>적용 범위로 이동하여 보안 설정 관리를 위한 플랫폼을 사용하도록 설정합니다.

   

   참고

   엔드포인트용 Microsoft Defender 포털의 Security Center에서 보안 설정 관리 권한이 있고 동시에 모든 디바이스 그룹의 디바이스를 볼 수 있도록 설정된 경우(사용자 권한에 대한 역할 기반 액세스 제어 제한 없음) 이 작업을 수행할 수도 있습니다.

2. 처음에는 태그가 지정된 디바이스에서 플랫폼 옵션을 선택한 다음 태그를 사용하여 디바이스 MDE-Management 에 태그를 지정하여 각 플랫폼에 대한 기능을 테스트하는 것이 좋습니다.

   중요

   엔드포인트용 Microsoft Defender 동적 태그 기능을 사용하여 MDE-Management를 사용하여 디바이스에 태그를 지정하는 기능은 현재 보안 설정 관리에서 지원되지 않습니다. 이 기능을 통해 태그가 지정된 디바이스는 성공적으로 등록되지 않습니다. 이 문제는 조사 중입니다.

   팁

   적절한 디바이스 태그를 사용하여 적은 수의 디바이스에서 롤아웃을 테스트하고 유효성을 검사합니다. 모든 디바이스를 선택하면 구성된 scope 속하는 모든 디바이스가 자동으로 등록됩니다.

3. organization 요구 사항에 맞게 클라우드 온보딩 디바이스 및 Configuration Manager 기관 설정에 대한 Microsoft Defender 기능을 구성합니다.

   

   팁

   엔드포인트용 Microsoft Defender 포털 사용자가 포털에서 일관된 권한을 갖도록 하려면 아직 제공되지 않은 경우 IT 관리자에게 Microsoft Intune Endpoint Security Manager기본 제공 RBAC 역할을 부여하도록 요청합니다.

Intune 구성

Microsoft Intune 관리 센터에서 계정에는 Endpoint Security Manager 기본 제공 RBAC(역할 기반 액세스 제어) 역할과 동일한 권한이 필요합니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 엔드포인트 보안>엔드포인트용 Microsoft Defender을 선택하고 엔드포인트용 Microsoft Defender 엔드포인트 보안 구성을 켜기로 적용하도록 허용을 설정합니다.

   

   이 옵션을 켜기로 설정하면 플랫폼의 모든 디바이스가 Microsoft Intune 관리되지 않는 엔드포인트용 Microsoft Defender scope 엔드포인트용 Microsoft Defender 온보딩할 자격이 있습니다.

엔드포인트용 Microsoft Defender에 장치 온보딩

엔드포인트용 Microsoft Defender 디바이스를 온보딩하는 몇 가지 옵션을 지원합니다. 현재 지침은 엔드포인트용 Defender 설명서의 엔드포인트용 Microsoft Defender 온보딩을 참조하세요.

Microsoft Configuration Manager 공존

일부 환경에서는 Configuration Manager 관리되는 디바이스에서 보안 설정 관리를 사용하는 것이 좋을 수 있습니다. 둘 다 사용하는 경우 단일 채널을 통해 정책을 제어해야 합니다. 둘 이상의 채널을 사용하면 충돌 및 원치 않는 결과가 발생합니다.

이를 지원하려면 Configuration Manager 토글을 사용하여 보안 관리 설정을 끄기로 구성합니다. Microsoft Defender 포털에 로그인하고 설정>엔드포인트>구성 관리>적용 범위로 이동합니다.

Microsoft Entra 그룹 만들기

디바이스가 엔드포인트용 Defender에 온보딩된 후 엔드포인트용 Microsoft Defender 정책 배포를 지원하는 디바이스 그룹을 만들어야 합니다. 엔드포인트용 Microsoft Defender 등록했지만 Intune 또는 Configuration Manager 관리되지 않는 디바이스를 식별하려면 다음을 수행합니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 디바이스>모든 디바이스로 이동한 다음 관리 기준 열을 선택하여 디바이스 보기를 정렬합니다. 엔드포인트용 Microsoft Defender 온보딩하지만 Intune 관리되지 않는 디바이스는 관리 기준 열에 엔드포인트용 Microsoft Defender 표시합니다. 이러한 디바이스는 보안 설정 관리에 대한 정책을 받을 수 있습니다.

   엔드포인트용 Microsoft Defender 등록되었지만 Intune 관리되지 않는 디바이스는 관리형 열에 엔드포인트용 Microsoft Defender 표시합니다. 엔드포인트용 Microsoft Defender 대한 보안 관리 정책을 받을 수 있는 디바이스입니다.

   2023년 9월 25일부터 엔드포인트용 Microsoft Defender 보안 관리를 사용하는 디바이스는 다음 시스템 레이블을 사용하여 더 이상 식별할 수 없습니다.

   • MDEJoined - 이 시나리오의 일부로 디렉터리에 조인된 디바이스에 이전에 추가된 더 이상 사용되지 않는 태그입니다.
   • MDEManaged - 보안 관리 시나리오를 적극적으로 사용한 디바이스에 이전에 추가된 더 이상 사용되지 않는 태그입니다. 엔드포인트용 Defender가 보안 구성 관리를 중지하면 이 태그가 디바이스에서 제거됩니다.

   시스템 레이블을 사용하는 대신 관리 유형 특성을 사용하여 MicrosoftSense로 구성할 수 있습니다.

Microsoft Entra 또는 Microsoft Intune관리 센터 내에서 이러한 디바이스에 대한 그룹을 만들 수 있습니다. 그룹을 만들 때 Windows Server를 실행하는 디바이스와 클라이언트 버전의 Windows를 실행하는 디바이스에 정책을 배포하는 경우 디바이스의 OS 값을 사용할 수 있습니다.

• Windows 10 및 Windows 11 - deviceOSType 또는 OS가 Windows로 표시됩니다.
• Windows Server - deviceOSType 또는 OS가 Windows Server로 표시됩니다.
• Linux 디바이스 - deviceOSType 또는 OS가 Linux로 표시됩니다.

규칙 구문을 사용하여 동적 그룹 샘플 Intune

Windows 워크스테이션:

Windows 서버:

Linux 디바이스:

중요

2023년 5월 , deviceOSType 은 Windows 클라이언트 와 Windows Server를 구분하도록 업데이트되었습니다.

Windows만 참조하는 규칙을 지정하는 이 변경 전에 만든 사용자 지정 스크립트 및 Microsoft Entra 동적 디바이스 그룹은 엔드포인트용 Microsoft Defender 솔루션용 보안 관리와 함께 사용할 때 Windows Server를 제외할 수 있습니다. 예시:

• 또는 연산자를 사용하여 equalsWindows를 식별하는 규칙이 있는 경우 이 변경 내용이 규칙에 영향을 미칩니다.not equals 이는 이전에 Windows 와 Windows Server 가 모두 Windows로 보고되었기 때문입니다. 둘 다 계속 포함하려면 Windows Server도 참조하도록 규칙을 업데이트해야 합니다.
• 또는 연산자를 사용하여 containsWindows를 지정하는 규칙이 있는 경우 이 변경의 영향을 받지 않습니다.like 이러한 연산자는 Windows 와 Windows Server를 모두 찾을 수 있습니다.

팁

엔드포인트 보안 설정을 관리하는 기능이 위임된 사용자는 Microsoft Intune 테넌트 전체 구성을 구현하는 기능이 없을 수 있습니다. organization 역할 및 권한에 대한 자세한 내용은 Intune 관리자에게 문의하세요.

정책 배포

엔드포인트용 Microsoft Defender 관리하는 디바이스를 포함하는 하나 이상의 Microsoft Entra 그룹을 만든 후 해당 그룹에 보안 설정 관리를 위한 다음 정책을 만들고 배포할 수 있습니다. 사용 가능한 정책 및 프로필은 플랫폼에 따라 다릅니다.

보안 설정 관리에 지원되는 정책 및 프로필 조합 목록은 이 문서의 앞부분에 있는 어떤 솔루션을 사용해야 하나요? 의 차트를 참조하세요.

팁

디바이스에 동일한 설정을 관리하는 여러 정책을 배포하지 마세요.

Microsoft Intune 각 엔드포인트 보안 정책 유형의 여러 인스턴스를 동일한 디바이스에 배포하도록 지원하며, 각 정책은 디바이스에서 개별적으로 수신되는 instance 있습니다. 따라서 디바이스는 서로 다른 정책에서 동일한 설정에 대한 별도의 구성을 수신하여 충돌이 발생할 수 있습니다. 일부 설정(예: 바이러스 백신 제외)은 클라이언트에서 병합되고 성공적으로 적용됩니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 엔드포인트 보안으로 이동하여 구성하려는 정책 유형을 선택한 다음 정책 만들기를 선택합니다.

3. 정책의 경우 배포할 플랫폼 및 프로필을 선택합니다. 보안 설정 관리를 지원하는 플랫폼 및 프로필 목록은 이 문서의 앞부분에 있는 어떤 솔루션을 사용해야 하나요? 의 차트를 참조하세요.

   참고

   지원되는 프로필은 Microsoft Intune MDM(모바일 장치 관리)을 통해 통신하는 디바이스와 엔드포인트용 Microsoft Defender 클라이언트를 사용하여 통신하는 디바이스에 적용됩니다.

   필요에 따라 대상 지정 및 그룹을 검토해야 합니다.

4. 만들기를 선택합니다.

5. 기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음을 선택합니다.

6. 구성 설정 페이지에서 이 프로필로 관리하려는 설정을 선택합니다.

   설정에 대해 자세히 알아보려면 해당 정보 대화 상자를 확장하고 자세히 알아보기 링크를 선택하여 해당 설정에 대한 온라인 CSP(구성 서비스 공급자) 설명서 또는 관련 세부 정보를 확인합니다.

   설정 구성을 완료하면 다음을 선택합니다.

7. 할당 페이지에서 이 프로필을 받는 Microsoft Entra 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.

   다음을 선택하여 계속합니다.

   팁

   • 할당 필터는 보안 설정 관리에서 관리하는 디바이스에 대해 지원되지 않습니다.
   • 디바이스 개체만 엔드포인트용 Microsoft Defender 관리에 적용할 수 있습니다. 사용자를 대상으로 지정하는 것은 지원되지 않습니다.
   • 구성된 정책은 Microsoft Intune 클라이언트와 엔드포인트용 Microsoft Defender 클라이언트 모두에 적용됩니다.

8. 정책 만들기 프로세스를 완료한 다음 검토 + 만들기 페이지에서 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.

9. 정책이 할당될 때까지 기다렸다가 정책이 적용되었음을 나타내는 성공 표시를 봅니다.

10. Get-MpPreference 명령 유틸리티를 사용하여 설정이 클라이언트에 로컬로 적용되었는지 확인할 수 있습니다.

모니터링 상태

이 채널의 디바이스를 대상으로 하는 정책에 대한 상태 및 보고서는 Microsoft Intune 관리 센터의 엔드포인트 보안 아래의 정책 노드에서 사용할 수 있습니다.

정책 유형으로 드릴인한 다음 정책을 선택하여 상태 봅니다. 이 문서의 앞부분에서 사용해야 하는 솔루션의 표에서 보안 설정 관리를 지원하는 플랫폼, 정책 유형 및 프로필 목록을 볼 수 있습니다.

정책을 선택하면 디바이스 검사-in 상태 대한 정보를 볼 수 있으며 다음을 선택할 수 있습니다.

• 보고서 보기 - 정책을 받은 디바이스 목록을 봅니다. 드릴인할 디바이스를 선택하고 설정별 상태 볼 수 있습니다. 그런 다음 설정을 선택하여 충돌의 근원이 될 수 있는 동일한 설정을 관리하는 다른 정책을 포함하여 해당 설정에 대한 자세한 정보를 볼 수 있습니다.

• 설정별 상태 - 정책에서 관리하는 설정과 각 설정에 대한 성공, 오류 또는 충돌 횟수를 확인합니다.

질문과 대답 및 고려 사항

디바이스 검사 빈도

이 기능으로 관리되는 디바이스는 정책을 업데이트하기 위해 90분마다 Microsoft Intune 검사.

Microsoft Defender 포털에서 주문형 디바이스를 수동으로 동기화할 수 있습니다. 포털에 로그인하고 디바이스로 이동합니다. 엔드포인트용 Microsoft Defender 관리되는 디바이스를 선택한 다음 정책 동기화 단추를 선택합니다.

정책 동기화 단추는 엔드포인트용 Microsoft Defender 성공적으로 관리되는 디바이스에 대해서만 나타납니다.

변조 방지로 보호되는 디바이스

디바이스에 변조 방지가 켜져 있는 경우 변조 방지를 먼저 사용하지 않도록 설정하지 않고 는 변조 보호 설정 의 값을 편집할 수 없습니다.

할당 필터 및 보안 설정 관리

할당 필터는 엔드포인트용 Microsoft Defender 채널을 통해 통신하는 디바이스에 대해 지원되지 않습니다. 할당 필터는 이러한 디바이스를 대상으로 할 수 있는 정책에 추가할 수 있지만 디바이스는 할당 필터를 무시합니다. 할당 필터 지원을 위해 디바이스를 Microsoft Intune 등록해야 합니다.

디바이스 삭제 및 제거

다음 두 가지 방법 중 하나를 사용하여 이 흐름을 사용하는 디바이스를 삭제할 수 있습니다.

• Microsoft Intune 관리 센터 내에서 디바이스>모든 디바이스로 이동하여 관리 기준 열에서 MDEJoined 또는 MDEManaged를 표시하는 디바이스를 선택한 다음 삭제를 선택합니다.
• Security Center의 구성 관리 scope 디바이스를 제거할 수도 있습니다.

어느 위치에서든 디바이스가 제거되면 해당 변경 내용이 다른 서비스로 전파됩니다.

Endpoint Security에서 엔드포인트용 Microsoft Defender 워크로드에 대한 보안 관리를 사용하도록 설정할 수 없음

대부분의 초기 프로비저닝 흐름은 일반적으로 두 서비스의 관리자(예: 전역 관리자)에 의해 완료됩니다. 역할 기반 관리를 사용하여 관리자의 권한을 사용자 지정하는 몇 가지 시나리오가 있습니다. 현재 Endpoint Security Manager 역할을 위임받은 개인은 이 기능을 사용하도록 설정하는 데 필요한 권한이 없을 수 있습니다.

조인된 디바이스 Microsoft Entra

Active Directory에 조인된 디바이스는 기존 인프라를 사용하여 Microsoft Entra 하이브리드 조인 프로세스를 완료합니다.

지원되지 않는 보안 설정

다음 보안 설정은 사용 중단 보류 중입니다. 엔드포인트용 Defender 보안 설정 관리 흐름은 다음 설정을 지원하지 않습니다.

• 원격 분석 보고 빈도 단축( 엔드포인트 검색 및 응답 아래)
• AllowIntrusionPreventionSystem( 바이러스 백신 아래)
• 변조 방지(Windows 보안 환경 아래). 이 설정은 사용 중단 보류 중이 아니지만 현재 지원되지 않습니다.

도메인 컨트롤러에서 보안 설정 관리 사용

Microsoft Entra ID 트러스트가 필요하므로 도메인 컨트롤러는 현재 지원되지 않습니다. 이 지원을 추가하는 방법을 찾고 있습니다.

중요

경우에 따라 하위 수준 서버 운영 체제(2012 R2 또는 2016)를 실행하는 도메인 컨트롤러는 엔드포인트용 Microsoft Defender 의도치 않게 관리할 수 있습니다. 사용자 환경에서 이런 일이 발생하지 않도록 하려면 도메인 컨트롤러에 "MDE-Management"라는 태그가 지정되거나 MDE 관리되지 않는 것이 좋습니다.

Server Core 설치

보안 설정 관리는 서버 코어 플랫폼 제한으로 인해 서버 코어 설치를 지원하지 않습니다.

PowerShell 제한 모드

Powershell을 사용하도록 설정해야 합니다.

ConstrainedLanguage 모드enabled로 구성된 PowerShell LanguageMode가 있는 디바이스에는 보안 설정 관리가 작동하지 않습니다. 자세한 내용은 PowerShell 설명서의 about_Language_Modes 참조하세요.

이전에 타사 보안 도구를 사용했던 경우 MDE 통해 보안 관리

이전에 컴퓨터에 타사 보안 도구가 있었고 이제 MDE 사용하여 관리하는 경우 드물게 보안 설정을 관리하는 MDE 기능에 약간의 영향을 줄 수 있습니다. 이러한 경우 문제 해결 측정값으로 컴퓨터에 최신 버전의 MDE 제거하고 다시 설치합니다.

다음 단계

• Intune 엔드포인트용 Defender 모니터링
• Defender 설명서의 엔드포인트용 Microsoft Defender 엔드포인트 보안 정책을 관리합니다.