Intune 개요를 사용하여 디바이스 관리
엔터프라이즈 수준 보안의 핵심 구성 요소에는 디바이스 관리 및 보호가 포함됩니다. 제로 트러스트 보안 아키텍처를 구축하거나, 랜섬웨어에 맞서 환경을 강화하거나, 원격 작업자를 지원하기 위한 보호 기능을 구축하든 상관없이 디바이스를 관리하는 것이 전략의 일부입니다. Microsoft 365에는 디바이스를 관리하고 보호하기 위한 몇 가지 도구와 방법론이 포함되어 있지만 이 지침에서는 Microsoft Intune을 사용하여 Microsoft의 권장 사항을 설명합니다. 이 지침은 다음과 같은 경우에 적합한 지침입니다.
- Microsoft Entra 조인(Microsoft Entra 하이브리드 조인 포함)을 통해 디바이스를 Intune 등록하도록 계획합니다.
- 디바이스를 Intune에 수동으로 등록하도록 계획입니다.
- 앱 및 데이터에 대한 보호를 구현하고/또는 이러한 디바이스를 Intune에 등록할 계획이 있는 BYOD 디바이스를 허용합니다.
반면, 환경에 Microsoft Configuration Manager 포함한 공동 관리 계획이 포함된 경우 공동 관리 설명서를 참조하여 organization 가장 적합한 경로를 개발합니다. 사용자 환경에 Windows 365 Cloud PC에 대한 계획이 포함되어 있는 경우 Windows 365 Enterprise 설명서를 참조하여 조직에 가장 적합한 경로를 개발하세요.
이 비디오를 시청하고 배포 프로세스에 대한 개요를 확인하세요.
엔드포인트를 관리하는 이유
최신 엔터프라이즈에는 데이터에 액세스하는 다양한 엔드포인트가 있습니다. 이 설정은 대규모 공격 노출 영역을 생성하므로 엔드포인트가 제로 트러스트 보안 전략의 가장 약한 링크가 될 수 있습니다.
원격 또는 하이브리드 작업 모델로 전환함에 따라 필요에 따라 주로 구동되는 사용자는 필요에 따라 모든 디바이스에서 모든 기록에서 어느 때보다도 많은 작업을 하고 있습니다. 공격자는 이러한 변화를 이용하기 위해 빠르게 전술을 조정하고 있습니다. 많은 조직이 이러한 새로운 비즈니스 과제를 해결하면서 제한된 리소스에 직면하고 있습니다. 사실상 하룻밤 사이에 기업들은 디지털 전환을 가속화했습니다. 간단히 말해서, 사람들이 일하는 방식이 바뀌었습니다. 우리는 더 이상 사무실과 회사 소유의 장치에서만 수많은 회사 리소스에 액세스할 것으로 기대하지 않습니다.
회사 리소스에 액세스하는 엔드포인트에 대한 가시성을 확보하는 것이 제로 트러스트 디바이스 전략의 첫 번째 단계입니다. 일반적으로 기업은 취약성 및 공격으로부터 PC를 사전에 보호하는 반면, 모바일 디바이스는 모니터링되지 않고 보호 없이 이동하는 경우가 많습니다. 데이터가 위험에 노출되지 않도록 모든 엔드포인트에서 위험을 모니터링하고 세분화된 액세스 제어를 사용하여 조직 정책에 따라 적절한 수준의 액세스를 제공해야 합니다. 예를 들어 개인 디바이스가 탈옥된 경우 엔터프라이즈 애플리케이션이 알려진 취약성에 노출되지 않도록 액세스를 차단할 수 있습니다.
다음 문서에서는 리소스에 액세스하는 디바이스를 관리하는 데 권장되는 프로세스를 설명합니다. 권장 단계를 따르면 조직은 디바이스와 디바이스가 액세스하는 리소스를 매우 정교하게 보호할 수 있습니다.
디바이스의 보호 계층 구현
관리되지 않는 디바이스에서 얻을 수 있는 몇 가지 보호 기능이 있습니다. 관리되지 않는 디바이스에서 얻을 수 있는 몇 가지 보호 기능이 있습니다. 디바이스를 관리에 등록한 후 보다 정교한 제어를 구현할 수 있습니다. 엔드포인트 전체에 위협 보호 기능을 구축하면 더 많은 인사이트를 얻을 수 있으며 일부 공격을 자동으로 해결할 수 있습니다. 마지막으로 organization 중요한 데이터를 식별하고, 분류 및 레이블을 적용하고, Microsoft Purview 데이터 손실 방지 정책을 구성하는 작업을 수행했다면 엔드포인트의 데이터에 대한 보다 세분화된 보호를 얻을 수 있습니다.
다음 다이어그램은 이 환경에 도입하는 Microsoft 365 및 기타 SaaS 앱의 제로 트러스트 보안 상태를 달성하기 위한 구성 요소를 보여 줍니다. 디바이스와 관련된 요소는 1에서 7까지 번호가 매됩니다. 디바이스 관리자는 다른 관리자와 협력하여 이러한 보호 계층을 수행합니다.
이 그림의 내용:
단계 | 설명 | 라이선스 요구사항 | |
---|---|---|---|
1 | 시작점 제로 트러스트 ID 및 디바이스 액세스 정책 구성 | ID 관리자와 협력하여 수준 2 APP(앱 보호 정책) 데이터 보호 구현을 수행하세요. 이러한 정책은 디바이스를 관리할 필요가 없습니다. Intune에서 APP 정책을 구성합니다. ID 관리자는 승인된 앱을 요구하도록 조건부 액세스 정책을 구성합니다. | E3, E5, F1, F3, F5 |
2 | Intune에 장치 등록 | 이 작업은 더 많은 계획과 시간이 필요합니다. 이 도구는 최적의 통합을 제공하기 때문에 Intune을 사용하여 디바이스를 등록하는 것이 좋습니다. 플랫폼에 따라 디바이스를 등록하는 몇 가지 옵션이 있습니다. 예를 들어 Windows 디바이스는 Microsoft Entra 조인을 사용하거나 Autopilot을 사용하여 등록할 수 있습니다. 각 플랫폼에 대한 옵션을 검토하고 환경에 가장 적합한 등록 옵션을 결정해야 합니다. 자세한 내용은 2단계. 디바이스를 Intune에 등록을 참조하세요. | E3, E5, F1, F3, F5 |
3 | 규정 준수 정책 구성 | 앱과 데이터에 액세스하는 디바이스가 최소 요구 사항(예: 디바이스가 암호 또는 핀으로 보호되고 운영 체제가 최신 상태인지)을 충족해야 합니다. 규정 준수 정책은 장치가 충족해야 하는 요구 사항을 정의하는 방법입니다. 3단계. 규정 준수 정책 설정은 이러한 정책을 구성하는 데 도움이 됩니다. | E3, E5, F3, F5 |
4 | 엔터프라이즈(권장) 제로 트러스트 ID 및 디바이스 액세스 정책 구성 | 이제 디바이스가 등록되었으므로 ID 관리자와 함께 정상적이고 규정을 준수하는 디바이스를 요구하도록 조건부 액세스 정책을 조정할 수 있습니다. | E3, E5, F3, F5 |
5 | 구성 프로필 배포 | 구성한 기준에 따라 디바이스를 규정 준수 또는 비준수로 표시하는 디바이스 규정 준수 정책과 달리 구성 프로필은 디바이스의 설정 구성을 실제로 변경합니다. 구성 정책을 사용하여 사이버 위협에 대해 디바이스를 강화할 수 있습니다. 5단계: 구성 프로필 배포를 참조하세요. | E3, E5, F3, F5 |
6 | 디바이스 위험 및 보안 기준 규정 준수 모니터링 | 이 단계에서는 Intune을 Endpoint용 Microsoft Defender에 연결합니다. 이러한 통합을 통해 액세스 조건으로 디바이스 위험을 모니터링할 수 있습니다. 위험한 상태인 것으로 확인된 디바이스는 차단됩니다. 보안 기준에 대한 규정 준수를 모니터링할 수도 있습니다. 6단계. 디바이스 위험 및 보안 기준 준수 모니터링을 참조하세요. | E5, F5 |
7 | 정보 보호 기능으로 DLP(데이터 손실 방지) 구현 | 조직에서 중요한 데이터를 식별하고 문서에 레이블을 지정하는 작업을 수행했다면 정보 보호 관리자와 함께 디바이스의 중요한 정보 및 문서를 보호할 수 있습니다. | E5, F5 규정 준수 추가 기능 |
제로 트러스트 ID 및 디바이스 액세스 정책으로 엔드포인트 관리 조정
이 지침은 권장되는 제로 트러스트 ID 및 장치 액세스 정책과 긴밀하게 조정됩니다. ID 팀과 협력하여 Microsoft Entra ID 조건부 액세스 정책에 Intune 구성한 보호를 수행합니다.
다음은 Intune 수행할 작업에 대한 단계 설명과 Microsoft Entra ID 조정하는 데 도움이 될 관련 조건부 액세스 정책이 포함된 권장 정책 집합의 그림입니다.
이 그림의 내용:
- 1단계 수준 2 APP(앱 보호 정책) 구현에서 APP 정책을 사용하여 권장 데이터 보호 수준을 구성합니다. 그런 다음 ID 팀과 협력하여 이 보호를 사용하도록 관련 조건부 액세스 규칙을 구성합니다.
- 2, 3, 4단계에서는 Intune을 사용하여 디바이스를 관리에 등록하고 디바이스 규정 준수 정책을 정의한 다음 ID 팀과 협력하여 준수 디바이스에 대한 액세스만 허용하도록 관련 조건부 액세스 규칙을 구성합니다.
디바이스 등록 및 온보딩 디바이스 비교
이 지침을 따르는 경우 Intune 사용하여 디바이스를 관리에 등록하고 다음 Microsoft 365 기능에 대한 디바이스를 온보딩합니다.
- 엔드포인트용 Microsoft Defender
- Microsoft Purview(엔드포인트 DLP(데이터 손실 방지)용)
다음 그림에서는 Intune을 사용하여 작동하는 방법을 자세히 설명합니다.
이 그림의 내용
- Intune을 사용하여 관리에 디바이스를 등록합니다.
- Intune을 사용하여 엔드포인트용 Defender에 디바이스를 온보딩합니다.
- 엔드포인트용 Defender에 온보딩된 디바이스는 엔드포인트 DLP를 비롯한 Microsoft Purview 기능에 대해서도 온보딩됩니다.
Intune에서만 디바이스를 관리합니다. 온보딩은 디바이스가 특정 서비스와 정보를 공유하는 기능을 의미합니다. 다음 표에서는 관리에 디바이스를 등록하는 경우와 특정 서비스에 디바이스를 온보딩하는 경우의 차이점을 요약합니다.
등록 | 온보딩 | |
---|---|---|
설명 | 등록은 디바이스 관리에 적용됩니다. 디바이스는 Intune 또는 구성 관리자 관리를 위해 등록됩니다. | 온보딩은 디바이스가 Microsoft 365에서 특정 기능 집합과 작동하도록 구성합니다. 현재 온보딩은 엔드포인트용 Microsoft Defender 및 Microsoft 규정 준수 기능에 적용됩니다. Windows 디바이스에서, 온보딩에는 Defender가 온라인 서비스에 연결하고 디바이스에 적용되는 정책을 수락할 수 있는 설정을 Windows Defender에서 전환할 수 있는 기능이 있습니다. |
범위 | 이러한 디바이스 관리 도구는 보안과 같은 특정 목표를 충족하도록 디바이스를 구성하는 작업을 포함하여 전체 디바이스를 관리합니다. | 온보딩은 적용되는 서비스에만 영향을 줍니다. |
권장 방법 | Microsoft Entra 조인은 자동으로 디바이스를 Intune 등록합니다. | Intune은 엔드포인트용으로 Windows Defender 디바이스를 온보딩하는 기본 방법이며, 따라서 Microsoft Purview 기능입니다. 다른 방법을 사용하여 Microsoft Purview 기능에 온보딩된 디바이스는 엔드포인트용 Defender에 자동으로 등록되지 않습니다. |
기타 방법 | 등록의 다른 방법은 디바이스의 플랫폼과 디바이스가 BYOD인지 organization 의해 관리되는지에 따라 달라집니다. | 디바이스를 온보딩하는 다른 방법은 권장 순서에 따라 다음과 같습니다. |
관리자용 Learning
다음 리소스는 관리자가 Intune 사용에 대한 개념을 학습하는 데 도움이 됩니다.
Microsoft Intune 학습 모듈을 사용하여 디바이스 관리 간소화
Microsoft 365를 통한 비즈니스 관리 솔루션이 사용자에게 안전하고 개인 설정된 데스크톱 환경을 제공하고 조직이 간소화된 관리자 환경을 통해 모든 장치에 대한 업데이트를 쉽게 관리하는 데 어떻게 도움이 되는지에 대해 알아봅니다.
-
Microsoft Intune organization 사용자가 생산성을 높이기 위해 사용하는 디바이스, 앱 및 데이터를 보호하는 데 도움이 됩니다. 이 문서에서는 Microsoft Intune 설정하는 방법을 설명합니다. 설정에는 지원되는 구성 검토, Intune 등록, 사용자 및 그룹 추가, 사용자에게 라이선스 할당, 관리자 권한 부여, MDM(모바일 장치 관리) 권한 설정이 포함됩니다.