Intune 사용하여 이동식 스토리지 Access Control 배포 및 관리

아티클
06/06/2023

적용 대상:

참고

이 제품의 그룹 정책 관리 및 Intune OMA-URI/사용자 지정 정책 관리가 이제 일반 공급됩니다(4.18.2106): 기술 커뮤니티 블로그: 엔드포인트용 Microsoft Defender 이동식 저장소 및 프린터 보호를 참조하세요.

이동식 스토리지 Access Control 기능을 사용하면 OMA-URI를 사용하거나 사용자 또는 디바이스 또는 둘 다에 Intune 사용자 인터페이스를 사용하여 정책을 적용할 수 있습니다.

기능	Intune OMA-URI	Intune 사용자 인터페이스
디바이스 컨트롤 사용 또는 사용 안 함	지원	지원되지 않음
기본 적용 설정	지원	지원되지 않음
이동식 스토리지 그룹 만들기	지원	지원
디스크 수준 액세스 제어	지원	지원
파일 수준 액세스 제어	지원	지원되지 않음
파일 복사본의 위치 설정	지원	지원되지 않음
파일 매개 변수	지원	지원되지 않음
네트워크 위치	지원	지원되지 않음

라이선스 요구사항

이동식 스토리지 Access Control 시작하기 전에 Microsoft 365 구독을 확인해야 합니다. 이동식 스토리지 Access Control 액세스하고 사용하려면 Microsoft 365 E3 있어야 합니다.

사용 권한

Intune 정책 배포의 경우 계정에 디바이스 구성 프로필을 생성, 편집, 업데이트 또는 삭제할 수 있는 권한이 있어야 합니다. 사용자 지정 역할을 만들거나 이러한 권한으로 기본 제공 역할을 사용할 수 있습니다.

정책 및 프로필 관리자 역할
디바이스 구성 프로필에 대해 보고서 만들기/편집/업데이트/읽기/삭제/보기 권한이 켜져 있는 사용자 지정 역할
전역 관리자

Intune OMA-URI를 사용하여 이동식 스토리지 Access Control 배포

Microsoft Intune 관리 센터(https://endpoint.microsoft.com/) >디바이스>구성 프로필>프로필 만들기>플랫폼: Windows 10 이상 프로필 유형: 템플릿>사용자 지정>만들기로 이동합니다.

디바이스 컨트롤 사용 또는 사용 안 함(선택 사항):
- 사용자 지정에서 이름 및 설명을 입력하고 다음을 선택합니다.
- 구성 설정에서 추가를 선택합니다.
- 행 추가 창에서 다음 설정을 지정합니다.
  - 디바이스 컨트롤 사용으로 이름 지정
  - OMA-URI는 다음과 같습니다. ./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled
  - 데이터 형식을 정수로
  - 값1
    
    Disable: 0 Enable: 1
  - 저장을 선택합니다.
기본 적용 설정(선택 사항):

모든 디바이스 제어 기능(, CdRomDevices, , PrinterDevicesWpdDevices)에 대한 기본 액세스(RemovableMediaDevices거부 또는 허용)를 설정할 수 있습니다.

특정 이동식 스토리지 클래스를 차단하지만 특정 미디어를 허용하려면 'IncludedIdList그룹 통과 및 ExcludedIDList /etc를 통한 PrimaryIdDeviceId/HardwareId그룹'을 사용할 수 있습니다. 엔드포인트용 Microsoft Defender 장치 제어 이동식 저장소 액세스 제어에서 자세한 내용을 참조하세요.

예를 들어 에 대해 RemovableMediaDevices거부 또는 허용 정책을 사용할 수 있지만 또는 WpdDevices에 대해서는 CdRomDevices 사용할 수 없습니다. 이 정책을 통해 기본 거부를 설정한 다음 또는 WpdDevices 에 CdRomDevices 대한 읽기/쓰기/실행 액세스가 차단됩니다. 스토리지만 관리하려면 프린터에 대한 허용 정책을 만들어야 합니다. 그렇지 않으면 이 기본 적용이 프린터에도 적용됩니다.
- 행 추가 창에서 다음 설정을 지정합니다.
  - 기본 거부로 이름 지정
  - OMA-URI는 다음과 같습니다. ./Vendor/MSFT/Defender/Configuration/DefaultEnforcement
  - 데이터 형식을 정수로
  - 값1 또는 2
    
    DefaultEnforcementAllow = 1 DefaultEnforcementDeny = 2
  - 저장을 선택합니다.
각 그룹에 대해 하나의 XML 파일을 만듭니다.

다음과 같이 각 그룹에 대해 이동식 스토리지 그룹을 만들 수 있습니다.
- 행 추가 창에서 다음을 입력합니다.
  - 이동식 스토리지 그룹으로이름 지정
  - OMA-URI는 다음과 같습니다. ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b**[GroupId]**%7d/GroupData
  - 문자열로 데이터 형식(XML 파일)
    - 사용자 지정 XML 을 선택한 XML 파일로
      
      개요 ->이동식 스토리지 그룹을 살펴보고 다양한 그룹 유형을 만들 수 있습니다. 이동 식 스토리지 및 CD-ROM 및 Windows 휴대용 디바이스에 대한 그룹 예제 XML 파일은 다음과 같습니다.
GroupId를 가져오려면 Microsoft Intune 관리 센터에 로그인하고 그룹>개체 ID 복사를 선택합니다.

참고

XML 주석 표기법을  사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.
각 액세스 제어 또는 정책 규칙에 대해 하나의 XML 파일을 만듭니다.

정책을 만들고 다음과 같이 관련 이동식 스토리지 그룹에 적용할 수 있습니다.
- 행 추가 창에서 다음을 입력합니다.
  - 읽기 허용 작업으로이름 지정
  - OMA-URI는 다음과 같습니다. ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b**[PolicyRule Id]**%7d/RuleData
  - 문자열로 데이터 형식(XML 파일)
    - 사용자 지정 XML 을 선택한 XML 파일로
      
      개요 ->액세스 정책 규칙을 살펴보면 매개 변수를 사용하여 특정 항목에 대한 조건을 설정할 수 있습니다. 다음은 각 이동식 스토리지에 대한 읽기 허용에 대한 그룹 예제 XML 파일입니다.
참고

XML 주석 표기법을  사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.
파일 복사본의 위치 설정(선택 사항):

쓰기 액세스가 발생할 때 파일의 복사본(증거)을 사용하려면 XML 파일의 이동식 스토리지 액세스 정책 규칙에서 오른쪽 옵션을 설정한 다음 시스템에서 복사본을 저장할 수 있는 위치를 지정합니다.
- 행 추가 창에서 다음을 입력합니다.
  - Evidence 폴더 위치로 이름 지정
  - OMA-URI는 다음과 같습니다. ./Vendor/MSFT/Defender/Configuration/DataDuplicationRemoteLocation
  - 데이터 형식을 문자열로

시나리오(기본 적용)

다음은 엔드포인트용 Microsoft Defender 이동식 스토리지 Access Control 숙지하는 데 도움이 되는 몇 가지 일반적인 시나리오입니다. 다음 샘플에서는 이동식 스토리지와 프린터 모두에 '기본 적용'이 적용되므로 '기본 적용'이 사용되지 않았습니다.

시나리오 1: 승인된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 방지

이 시나리오에서는 이동식 스토리지에 대한 그룹 하나와 승인된 USB에 대한 다른 그룹이라는 두 개의 그룹을 만들어야 합니다. 또한 이동식 스토리지 그룹에 대한 쓰기 및 실행 액세스를 거부하는 정책과 승인된 USB 그룹을 감사하는 다른 정책이라는 두 가지 정책을 만들어야 합니다.

그룹을 만듭니다.
1. 그룹 1: 모든 이동식 스토리지, CD/DVD 및 Windows 휴대용 디바이스.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.
2. 그룹 2: 디바이스 속성에 따라 승인된 USB입니다.
샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.

팁

을 & XML 파일의 값에서 로 바꿉니다&.
정책 생성
1. 정책 1: 이동식 스토리지 그룹에 대한 쓰기 및 실행 액세스를 차단하지만 승인된 USB를 허용합니다.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 4단계를 참조하세요.
2. 정책 2: 허용되는 USB에 대한 쓰기 및 실행 액세스 감사
54 정책의 의미는 무엇인가요? 입니다 18 + 36 = 54.
- 쓰기 액세스: 디스크 수준 2 + 파일 시스템 수준 16 = 18.
- 실행: 디스크 수준 4 + 파일 시스템 수준 32 = 36.
샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 4단계를 참조하세요.

시나리오 2: 차단된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 감사

이 시나리오에서는 이동식 스토리지에 대한 그룹 하나와 차단된 USB에 대한 다른 그룹이라는 두 개의 그룹을 만들어야 합니다. 또한 이동식 스토리지 그룹에 대한 쓰기 및 실행 액세스를 감사하는 정책과 차단된 USB 그룹을 거부하는 정책이라는 두 가지 정책을 만들어야 합니다.

그룹 만들기
1. 그룹 1: 모든 이동식 스토리지, CD/DVD 및 Windows 휴대용 디바이스.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.
2. 그룹 2: 디바이스 속성에 따라 승인되지 않은 USB입니다.
샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.

팁

을 & XML 파일의 값에서 로 바꿉니다&.
정책 생성
1. 정책 1: 승인되지 않은 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스를 차단합니다.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 4단계를 참조하세요.
2. 정책 2: 다른 사용자에 대한 쓰기 및 실행 액세스 감사
54 정책의 의미는 무엇인가요? 입니다 18 + 36 = 54.
- 쓰기 액세스: 디스크 수준 2 + 파일 시스템 수준 16 = 18.
- 실행: 디스크 수준 4 + 파일 시스템 수준 32 = 36.
샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 4단계를 참조하세요.

시나리오 3: 특정 파일 확장명 읽기 및 실행 액세스 차단

이 시나리오에서는 이동식 스토리지에 대한 이동식 스토리지 그룹 하나와 허용되지 않는 파일 확장명을 위한 다른 그룹이라는 두 개의 그룹을 만들어야 합니다. 또한 정의된 이동식 스토리지 그룹에 대해 허용된 파일 확장명 그룹 아래의 모든 파일에 대한 읽기 및 실행 액세스를 거부하는 하나의 정책을 만들어야 합니다.

그룹을 만듭니다.
1. 그룹 1: 모든 이동식 스토리지, CD/DVD 및 Windows 휴대용 디바이스.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.
2. 그룹 2: 허용되지 않는 파일 확장명.
  
  샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 3단계를 참조하세요.
  
  팁
  
  그룹의 Type 특성을 파일로 표시
3. 정책 2: 정의된 이동식 스토리지 그룹에 대해 허용된 파일 확장명 그룹에서 모든 파일에 대한 읽기 및 실행 액세스를 거부합니다.
40 정책의 의미는 무엇인가요? 입니다 8 + 32 = 40.
- 파일 시스템 수준 액세스만 제한해야 합니다.
샘플 파일은 다음과 같습니다. 구성을 배포하려면 이동식 스토리지 배포 Access Control 섹션의 4단계를 참조하세요.

Intune 사용자 인터페이스를 사용하여 이동식 스토리지 Access Control 배포

이 기능은 Microsoft Intune 관리 센터(https://endpoint.microsoft.com/)에서 사용할 수 있습니다.

엔드포인트 보안>공격 Surface 축소>정책 만들기로 이동합니다. 플랫폼: Windows 10 이상프로필: 디바이스 제어를 선택합니다.

시나리오(USB 디바이스)

시나리오 1: 승인된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 방지

필요한 그룹을 설정하려면 엔드포인트 보안>공격 Surface 축소>재사용 가능한 설정>추가로 이동합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 제어 이동식 스토리지 Access Control 이동식 스토리지 미디어의DescriptorIdList를 참조하세요.
1. 그룹 1의 경우 다음 스크린샷과 같이 이동식 스토리지, CD/DVD 및 Windows 휴대용 디바이스를 구성합니다.
2. 그룹 2의 경우 + 추가 를 선택하여 다음 스크린샷과 같이 디바이스 속성에 따라 승인된 USB에 대한 다른 그룹을 만듭니다.
정책을 설정하려면 엔드포인트 보안>공격 Surface 축소>정책 만들기로 이동합니다.
플랫폼: Windows 10 이상프로필: 디바이스 제어를 선택합니다. 디바이스 컨트롤: 구성됨을 선택합니다.
1. 정책 1 설정: 허용되는 USB에 대한 쓰기 및 실행 액세스 감사
  - 다음 스크린샷과 같이 포함된 ID에 대해 + 재사용 가능한 설정 설정을 선택하고 선택을 선택합니다.
  - 다음 스크린샷과 같이 항목에 대해 + 항목 편집을 선택합니다.
2. 정책 2를 설정합니다. + 추가를 선택하여 이동식 스토리지 그룹에 대한 쓰기 차단 및 실행 액세스에 대한 다른 정책을 만듭니다.
  - 다음 스크린샷과 같이 포함된 ID에 대해 + 재사용 가능한 설정 설정을 선택하고 선택을 선택합니다.
  - 다음 스크린샷과 같이 제외 ID에 대해 + 재사용 가능한 설정 설정을선택하여 권한 있는 USB를 제외한 다음 선택을 선택합니다.
  - 다음 스크린샷과 같이 항목에 대해 + 항목 편집을 선택합니다.

시나리오 2: 차단된 특정 USB를 제외한 모든 사용자에 대한 쓰기 및 실행 액세스 감사

그룹을 만들려면 엔드포인트 보안>공격 Surface 축소>재사용 가능한 설정>추가로 이동합니다. 자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 제어 이동식 스토리지 Access Control 이동식 스토리지 미디어의DescriptorIdList를 참조하세요.
1. 그룹 1: 다음 스크린샷과 같이 이동식 스토리지, CD/DVD 및 Windows 휴대용 디바이스:
  
  또 다른 예는 다음과 같습니다.
정책을 만들려면 엔드포인트 보안>공격 Surface 축소>정책 만들기로 이동합니다. 플랫폼: Windows 10 이상프로필: 디바이스 제어를 선택합니다. 디바이스 컨트롤: 구성됨을 선택합니다.
1. 정책 1: 권한 없는 USB 차단. 다음 스크린샷과 같이 포함된 ID에 대해 + 재사용 가능한 설정 설정을 선택하고 선택을 선택합니다.
  
  다음 스크린샷과 같이 항목에 대해 + 항목 편집을 선택합니다.
2. 정책 2: + 추가 를 선택하여 '이동식 스토리지 그룹에 대한 쓰기 및 실행 액세스 감사'에 대한 다른 정책을 만듭니다. 다음 스크린샷과 같이 포함된 ID에 대해 + 재사용 가능한 설정 설정을선택한 다음 선택을 선택합니다.
  
  다음 스크린샷과 같이 제외 ID에 대해 + 재사용 가능한 설정 설정을선택하여 권한 있는 USB를 제외한 다음 선택을 선택합니다.
  
  다음 스크린샷과 같이 항목에 대해 + 항목 편집을 선택합니다.