엔드포인트용 Microsoft Defender 디바이스 제어

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender

엔드포인트용 Microsoft Defender 디바이스 제어 기능을 통해 보안 팀은 사용자가 이동식 스토리지(USB 썸 드라이브, CD, 디스크 등), 프린터, Bluetooth 디바이스 또는 컴퓨터가 있는 기타 디바이스와 같은 주변 장치를 설치하고 사용할 수 있는지 여부를 제어할 수 있습니다. 보안 팀은 다음과 같은 규칙을 구성하도록 디바이스 제어 정책을 구성할 수 있습니다.

• 사용자가 특정 디바이스(예: USB 드라이브)를 설치하고 사용하지 못하도록 방지
• 사용자가 특정 예외가 있는 외부 디바이스 를 설치하고 사용하지 못하도록 방지
• 사용자가 특정 디바이스를 설치하고 사용할 수 있도록 허용
• 사용자가 Windows 컴퓨터에서 BitLocker로 암호화된 디바이스만 설치하고 사용할 수 있도록 허용

이 목록은 몇 가지 예제를 제공하기 위한 것입니다. 전체 목록이 아닙니다. 고려해야 할 다른 예제가 있습니다(이 문서의 Windows 섹션에 있는 디바이스 컨트롤 참조).

디바이스 제어는 특정 디바이스가 사용자의 컴퓨터에 연결되도록 허용하거나 방지하여 잠재적인 데이터 손실, 맬웨어 또는 기타 사이버 위협으로부터 organization 보호하는 데 도움이 됩니다. 디바이스 제어를 통해 보안 팀은 사용자가 컴퓨터에 설치하고 사용할 수 있는 주변 장치 여부와 주변 장치를 결정할 수 있습니다.

Windows의 디바이스 제어

이 섹션에서는 Windows의 디바이스 제어 시나리오를 나열합니다.

팁

Mac을 사용하는 경우 디바이스 제어는 Bluetooth, iOS 디바이스, 카메라와 같은 휴대용 디바이스 및 USB 디바이스와 같은 이동식 미디어에 대한 액세스를 제어할 수 있습니다. macOS용 디바이스 제어를 참조하세요.

탭을 선택하고 시나리오를 검토한 다음 만들 디바이스 제어 정책 유형을 식별합니다.

이동식 스토리지

시나리오	디바이스 제어 정책
특정 USB 디바이스 설치 방지	Windows의 디바이스 컨트롤입니다. 디바이스 제어 정책을 참조하세요.
권한 있는 USB만 설치하도록 허용하면서 모든 USB 디바이스 설치 방지	Windows의 디바이스 컨트롤입니다. 디바이스 제어 정책을 참조하세요.
승인된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 방지	엔드포인트용 Defender의 디바이스 제어. 디바이스 제어 정책을 참조하세요.
차단된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 감사	엔드포인트용 Defender의 디바이스 제어. 디바이스 제어 정책을 참조하세요.
특정 파일 확장 프로그램에 대한 읽기 및 실행 액세스 차단	Microsoft Defender 디바이스 제어. 디바이스 제어 정책을 참조하세요.
컴퓨터가 회사 네트워크에 연결되지 않을 때 이동식 스토리지에 액세스하지 못하도록 차단	Microsoft Defender 디바이스 제어. 디바이스 제어 정책을 참조하세요.
BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스 차단	Windows의 디바이스 컨트롤입니다. BitLocker를 참조하세요.
다른 organization 구성된 디바이스에 대한 쓰기 액세스 차단	Windows의 디바이스 컨트롤입니다. BitLocker를 참조하세요.
중요한 파일을 USB로 복사하지 않도록 방지	엔드포인트 DLP

프린터

시나리오	디바이스 제어 정책
통합이 아닌 프린터를 통해 인쇄하지 못하도록 차단	엔드포인트용 Defender의 디바이스 제어. 디바이스 제어 정책을 참조하세요.
VID/PID에서 특정 USB 프린터만 허용	엔드포인트용 Defender의 디바이스 제어. 디바이스 제어 정책을 참조하세요.
모든 프린터 설치 방지	Windows의 디바이스 컨트롤입니다. 디바이스 제어 정책을 참조하세요.
특정 프린터 설치 방지	Windows의 디바이스 컨트롤입니다. 디바이스 제어 정책을 참조하세요.
특정 프린터를 설치하도록 허용하면서 모든 프린터 설치 방지	Windows의 디바이스 컨트롤입니다. 디바이스 제어 정책을 참조하세요.
프린터에 중요한 문서 인쇄 차단	엔드포인트 DLP

Bluetooth

시나리오	디바이스 제어 정책
Bluetooth 디바이스에 중요한 문서 복사 차단	엔드포인트 DLP

지원되는 디바이스

디바이스 컨트롤은 Bluetooth 디바이스, CD/ROM 및 DVD 디바이스, 프린터, USB 디바이스 및 기타 유형의 휴대용 디바이스를 지원합니다. Windows 디바이스에서 드라이버에 따라 일부 주변 장치는 이동식으로 표시됩니다. 다음 표에는 디바이스 컨트롤이 해당 값 및 미디어 클래스 이름으로 지원하는 primary_id 디바이스의 예가 나와 있습니다.

장치 유형	PrimaryId Windows에서	primary_id macOS에서	미디어 클래스 이름
Bluetooth 디바이스		bluetoothDevice	Bluetooth Devices
CD/ROM, DVD	CdRomDevices		CD-Roms
iOS 장치		appleDevice
휴대용 디바이스(예: 카메라)		portableDevice
프린터	PrinterDevices		Printers
USB 디바이스(이동식 미디어)	RemovableMediaDevices	removableMedia	USB
Windows 이식 가능한 디바이스	WpdDevices		Windows Portable Devices (WPD)

Microsoft 디바이스 제어 기능의 범주

Microsoft의 디바이스 제어 기능은 Windows의 디바이스 제어, 엔드포인트용 Defender의 디바이스 제어 및 엔드포인트 DLP(엔드포인트 데이터 손실 방지)의 세 가지 기본 범주로 구성할 수 있습니다.

• Windows의 디바이스 컨트롤입니다. Windows 운영 체제에는 기본 제공 디바이스 제어 기능이 있습니다. 보안 팀은 사용자가 컴퓨터에 특정 디바이스를 설치하지 못하도록(또는 허용) 디바이스 설치 설정을 구성할 수 있습니다. 정책은 디바이스 수준에서 적용되며 다양한 디바이스 속성을 사용하여 사용자가 디바이스를 설치/사용할 수 있는지 여부를 결정합니다. Windows의 디바이스 컨트롤은 BitLocker 및 ADMX 템플릿에서 작동하며 Intune 사용하여 관리할 수 있습니다.

  • BitLocker 및 Intune. BitLocker 는 전체 볼륨에 대한 암호화를 제공하는 Windows 보안 기능입니다. Intune 함께 Windows용 BitLocker(및 Mac용 FileVault)를 사용하여 디바이스에서 암호화를 적용하도록 정책을 구성할 수 있습니다. 자세한 내용은 Intune 엔드포인트 보안에 대한 디스크 암호화 정책 설정을 참조하세요.

  • 관리 템플릿(ADMX) 및 Intune. ADMX 템플릿을 사용하여 특정 유형의 USB 디바이스를 컴퓨터와 함께 사용할 수 있도록 제한하거나 허용하는 정책을 만들 수 있습니다. 자세한 내용은 USB 디바이스 제한 및 Intune ADMX 템플릿을 사용하여 특정 USB 디바이스 허용을 참조하세요.

• 엔드포인트용 Defender의 디바이스 제어. 엔드포인트용 Defender의 디바이스 제어는 고급 기능을 제공하며 플랫폼 간입니다. 사용자가 이동식 스토리지 디바이스의 콘텐츠에 대한 읽기, 쓰기 또는 실행 액세스를 방지(또는 허용)하도록 디바이스 제어 설정을 구성할 수 있습니다. 예외를 정의할 수 있으며 사용자가 이동식 스토리지 디바이스에 액세스하는 것을 차단하지만 감지하지 않는 감사 정책을 사용하도록 선택할 수 있습니다. 정책은 디바이스 수준, 사용자 수준 또는 둘 다에 적용됩니다. Microsoft Defender 디바이스 컨트롤은 Intune 사용하여 관리할 수 있습니다.

  • Microsoft Defender 및 Intune 디바이스 제어 Intune 조직에 대한 복잡한 디바이스 제어 정책을 관리하기 위한 풍부한 환경을 제공합니다. 예를 들어 엔드포인트용 Defender에서 디바이스 제한 설정을 구성하고 배포할 수 있습니다. Microsoft Intune 디바이스 제한 설정 구성을 참조하세요.

• 엔드포인트 데이터 손실 방지 (엔드포인트 DLP). 엔드포인트 DLP는 Microsoft Purview 솔루션에 온보딩된 디바이스에서 중요한 정보를 모니터링합니다. DLP 정책은 중요한 정보와 저장 또는 사용되는 위치에 대한 보호 조치를 적용할 수 있습니다. 엔드포인트 DLP에 대해 알아봅니다.

이러한 기능에 대한 자세한 내용은 디바이스 제어 시나리오 섹션(이 문서)을 참조하세요.

디바이스 제어 샘플 및 시나리오

엔드포인트용 Defender의 디바이스 제어는 보안 팀에 광범위한 시나리오를 가능하게 하는 강력한 액세스 제어 모델을 제공합니다( 디바이스 제어 정책 참조). 탐색할 수 있는 샘플과 시나리오가 포함된 GitHub 리포지토리를 구성했습니다. 다음 리소스를 참조하십시오.

• 디바이스 제어 샘플 추가 정보
• Windows 디바이스에서 디바이스 제어 샘플 시작
• macOS 샘플에 대한 디바이스 제어

디바이스 컨트롤을 새롭게 사용하는 경우 디바이스 제어 연습을 참조하세요.

필수 구성 요소

엔드포인트용 Defender의 디바이스 제어는 맬웨어 방지 클라이언트 버전 4.18.2103.3 이상이 있는 Windows 10 또는 Windows 11 실행하는 디바이스에 적용할 수 있습니다. (현재 서버는 지원되지 않습니다.)

• 4.18.2104이상: , , VID_PID파일 경로 기반 GPO 지원 및 추가 SerialNumberIdComputerSid
• 4.18.2105 이상: 에 대한 HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId와일드카드 지원 추가 , 특정 컴퓨터의 특정 사용자 조합, 이동식 SSD(SanDisk Extreme SSD)/UAS(USB 연결된 SCSI) 지원
• 4.18.2107이상: Windows 이식 장치(WPD) 지원 추가(태블릿과 같은 모바일 디바이스의 경우); 고급 헌팅에 추가 AccountName
• 4.18.2205 이상: 기본 적용을 프린터로 확장합니다. 거부로 설정하면 프린터도 차단되므로 스토리지만 관리하려는 경우 프린터를 허용하는 사용자 지정 정책을 만들어야 합니다.
• 4.18.2207 이상: 파일 지원 추가; 일반적인 사용 사례는 이동식 스토리지에서 읽기/쓰기/실행 액세스 특정 파일에서 사용자를 차단하는 것입니다. 네트워크 및 VPN 연결 지원 추가; 일반적인 사용 사례는 컴퓨터가 회사 네트워크에 연결되지 않을 때 사용자가 이동식 스토리지에 액세스하지 못하도록 차단하는 것입니다.

Mac의 경우 macOS용 디바이스 제어를 참조하세요.

현재 디바이스 제어는 서버에서 지원되지 않습니다.

다음 단계

• 디바이스 제어 연습
• 디바이스 제어 정책에 대해 알아보기
• 디바이스 제어 보고서 보기