Intune 테넌트 보호는 제로 트러스트 원칙을 적용하고 안전하고 잘 관리되는 환경을 유지하는 데 필수적입니다. 이러한 권장 사항은 폭발 반경을 제한하고 분할된 관리 제어, 보안 디바이스 온보딩 및 정책 기반 보호를 통해 최소 권한 액세스를 적용하여 Microsoft의 보안 미래 이니셔티브 에 부합합니다. 함께 위험을 줄이고, 테넌트 위생을 유지 관리하고, 플랫폼 간 규정 준수를 강화하는 데 도움이 됩니다.
제로 트러스트 보안 권장 사항
위임된 관리 및 최소 권한 액세스를 지원하기 위해 범위 태그 구성이 적용됩니다.
위임된 관리에 대해 Intune scope 태그가 제대로 구성되지 않은 경우 Intune 또는 Microsoft Entra ID 대한 권한 있는 액세스 권한을 얻는 공격자는 권한을 에스컬레이션하고 테넌트 전체에서 중요한 디바이스 구성에 액세스할 수 있습니다. 세분화된 scope 태그가 없으면 관리 경계가 불분명하므로 공격자가 횡적으로 이동하거나, 디바이스 정책을 조작하거나, 구성 데이터를 유출하거나, 모든 사용자와 디바이스에 악의적인 설정을 배포할 수 있습니다. 손상된 단일 관리자 계정은 전체 환경에 영향을 미칠 수 있습니다. 위임된 관리가 없으면 최소 권한의 액세스 권한도 훼손되므로 위반을 억제하고 책임을 집행하기가 어렵습니다. 공격자는 전역 관리자 역할 또는 잘못 구성된 RBAC(역할 기반 액세스 제어) 할당을 악용하여 규정 준수 정책을 우회하고 디바이스 관리에 대한 광범위한 제어를 얻을 수 있습니다.
scope 태그를 적용하면 관리 액세스가 분할되고 조직의 경계에 맞춥니다. 이렇게 하면 손상된 계정의 폭발 반경이 제한되고, 최소 권한 액세스가 지원되며, 세분화, 역할 기반 제어 및 포함의 제로 트러스트 원칙에 부합합니다.
수정 작업
Intune scope 태그 및 RBAC 역할을 사용하여 역할, 지리 또는 사업부에 따라 관리자 액세스를 제한합니다.
디바이스 등록 알림은 사용자 인식 및 보안 온보딩을 보장하기 위해 적용됩니다.
디바이스 등록 알림이 없으면 사용자는 특히 무단 또는 예기치 않은 등록의 경우 디바이스가 Intune 등록되었음을 인식하지 못할 수 있습니다. 이러한 가시성 부족은 의심스러운 활동에 대한 사용자 보고를 지연시키고 관리되지 않거나 손상된 디바이스가 회사 리소스에 액세스하는 위험을 증가시킬 수 있습니다. 사용자 자격 증명을 얻거나 자체 등록 흐름을 악용하는 공격자는 디바이스를 자동으로 온보딩하여 사용자 조사를 우회하고 데이터 노출 또는 횡적 이동을 가능하게 할 수 있습니다.
등록 알림은 사용자에게 디바이스 온보딩 활동에 대한 향상된 가시성을 제공합니다. 권한 없는 등록을 감지하고, 보안 프로비저닝 사례를 강화하고, 가시성, 확인 및 사용자 참여의 제로 트러스트 원칙을 지원합니다.
수정 작업
디바이스가 등록될 때 사용자에게 경고하고 보안 온보딩 사례를 강화하도록 Intune 등록 알림을 구성합니다.
관리되지 않는 엔드포인트의 위험을 제거하기 위해 Windows 자동 디바이스 등록이 적용됩니다.
Windows 자동 등록을 사용하도록 설정하지 않으면 관리되지 않는 디바이스가 공격자의 진입점이 될 수 있습니다. 위협 행위자가 이러한 디바이스를 사용하여 회사 데이터에 액세스하고, 규정 준수 정책을 우회하고, 환경에 취약성을 도입할 수 있습니다. Intune 등록 없이 Microsoft Entra 조인된 디바이스는 가시성 및 제어에 차이를 만듭니다. 이러한 관리되지 않는 엔드포인트는 운영 체제 또는 공격자가 악용할 수 있는 잘못 구성된 애플리케이션의 약점을 노출할 수 있습니다.
자동 등록을 적용하면 Windows 디바이스가 처음부터 관리되어 일관된 정책 적용 및 규정 준수에 대한 가시성을 유지할 수 있습니다. 이렇게 하면 모든 디바이스가 보안 제어를 통해 확인, 모니터링 및 제어되도록 하여 제로 트러스트 지원합니다.
수정 작업
Intune 및 Microsoft Entra 사용하여 Windows 디바이스에 대해 자동 등록을 사용하도록 설정하여 모든 도메인 가입 또는 Entra 조인 디바이스가 관리되도록 합니다.
자세한 내용은 다음 항목을 참조하세요.
규정 준수 정책으로 Windows 디바이스 보호
Windows 디바이스에 대한 규정 준수 정책이 구성되고 할당되지 않은 경우 위협 행위자는 비관리형 또는 비규격 엔드포인트를 악용하여 회사 리소스에 대한 무단 액세스를 얻고, 보안 제어를 우회하고, 환경 내에서 유지할 수 있습니다. 강제 규정 준수가 없으면 디바이스에 BitLocker 암호화, 암호 요구 사항, 방화벽 설정 및 OS 버전 제어와 같은 중요한 보안 구성이 부족할 수 있습니다. 이러한 격차는 데이터 유출, 권한 상승 및 횡적 이동의 위험을 증가합니다. 일관되지 않은 디바이스 규정 준수로 인해 organization 보안 태세가 약화되고 심각한 손상이 발생하기 전에 위협을 감지하고 수정하기가 더 어려워집니다.
규정 준수 정책을 적용하면 Windows 디바이스가 핵심 보안 요구 사항을 충족하고 디바이스 상태의 유효성을 검사하고 잘못 구성된 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
Windows 디바이스에 Intune 규정 준수 정책을 만들고 할당하여 보안 액세스 및 관리를 위한 조직 표준을 적용합니다.
준수 정책으로 macOS 디바이스 보호
macOS 디바이스에 대한 규정 준수 정책이 구성 및 할당되지 않은 경우 위협 행위자는 비관리형 또는 비규격 엔드포인트를 악용하여 회사 리소스에 대한 무단 액세스를 얻고, 보안 제어를 우회하고, 환경 내에서 유지할 수 있습니다. 강제 규정 준수가 없으면 macOS 디바이스에는 데이터 스토리지 암호화, 암호 요구 사항 및 OS 버전 제어와 같은 중요한 보안 구성이 부족할 수 있습니다. 이러한 격차는 데이터 유출, 권한 상승 및 횡적 이동의 위험을 증가합니다. 일관되지 않은 디바이스 규정 준수로 인해 organization 보안 태세가 약화되고 심각한 손상이 발생하기 전에 위협을 감지하고 수정하기가 더 어려워집니다.
규정 준수 정책을 적용하면 macOS 디바이스가 핵심 보안 요구 사항을 충족하고 디바이스 상태의 유효성을 검사하고 잘못 구성된 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
macOS 디바이스에 Intune 규정 준수 정책을 만들고 할당하여 보안 액세스 및 관리를 위한 조직 표준을 적용합니다.
규정 준수 정책은 완전 관리형 및 회사 소유 Android 디바이스를 보호합니다.
Intune 완전 관리형 Android Enterprise 디바이스에 규정 준수 정책이 할당되지 않은 경우 위협 행위자는 비준수 엔드포인트를 악용하여 회사 리소스에 대한 무단 액세스를 얻고, 보안 제어를 우회하고, 환경에서 유지할 수 있습니다. 강제 규정 준수가 없으면 디바이스에 암호 요구 사항, 데이터 스토리지 암호화 및 OS 버전 제어와 같은 중요한 보안 구성이 부족할 수 있습니다. 이러한 격차는 데이터 유출, 권한 상승 및 횡적 이동의 위험을 증가합니다. 일관되지 않은 디바이스 규정 준수로 인해 organization 보안 태세가 약화되고 심각한 손상이 발생하기 전에 위협을 감지하고 수정하기가 더 어려워집니다.
규정 준수 정책을 적용하면 Android Enterprise 디바이스가 핵심 보안 요구 사항을 충족하고 디바이스 상태의 유효성을 검사하고 잘못 구성되거나 관리되지 않는 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
완전 관리형 및 회사 소유 Android Enterprise 디바이스에 Intune 규정 준수 정책을 만들고 할당하여 보안 액세스 및 관리를 위한 조직 표준을 적용합니다.
규정 준수 정책으로 개인 소유 Android 디바이스 보호
규정 준수 정책이 Intune Android Enterprise 개인 소유 디바이스에 할당되지 않은 경우 위협 행위자는 비준수 엔드포인트를 악용하여 회사 리소스에 대한 무단 액세스를 얻고, 보안 제어를 우회하고, 취약성을 도입할 수 있습니다. 강제 규정 준수가 없으면 디바이스에는 암호 요구 사항, 데이터 스토리지 암호화 및 OS 버전 제어와 같은 중요한 보안 구성이 부족할 수 있습니다. 이러한 격차는 데이터 유출 및 무단 액세스의 위험을 증가합니다. 일관되지 않은 디바이스 규정 준수로 인해 organization 보안 태세가 약화되고 심각한 손상이 발생하기 전에 위협을 감지하고 수정하기가 더 어려워집니다.
규정 준수 정책을 적용하면 개인 소유 Android 디바이스가 핵심 보안 요구 사항을 충족하고 디바이스 상태의 유효성을 검사하고 잘못 구성되거나 관리되지 않는 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
Android Enterprise 개인 소유 디바이스에 Intune 규정 준수 정책을 만들고 할당하여 보안 액세스 및 관리를 위한 조직 표준을 적용합니다.
규정 준수 정책으로 iOS/iPadOS 디바이스 보호
Intune iOS/iPadOS 디바이스에 규정 준수 정책이 할당되지 않은 경우 위협 행위자는 비준수 엔드포인트를 악용하여 회사 리소스에 대한 무단 액세스를 얻고, 보안 제어를 우회하고, 환경에서 유지할 수 있습니다. 강제 규정 준수가 없으면 디바이스에 암호 요구 사항 및 OS 버전 제어와 같은 중요한 보안 구성이 부족할 수 있습니다. 이러한 격차는 데이터 유출, 권한 상승 및 횡적 이동의 위험을 증가합니다. 일관되지 않은 디바이스 규정 준수로 인해 organization 보안 태세가 약화되고 심각한 손상이 발생하기 전에 위협을 감지하고 수정하기가 더 어려워집니다.
규정 준수 정책을 적용하면 iOS/iPadOS 디바이스가 핵심 보안 요구 사항을 충족하고 디바이스 상태의 유효성을 검사하고 잘못 구성되거나 관리되지 않는 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
iOS/iPadOS 디바이스에 Intune 규정 준수 정책을 만들고 할당하여 보안 액세스 및 관리를 위한 조직 표준을 적용합니다.
플랫폼 SSO는 macOS 디바이스에서 인증을 강화하도록 구성됩니다.
플랫폼 SSO 정책이 macOS 디바이스에 적용되지 않는 경우 엔드포인트는 안전하지 않거나 일관되지 않은 인증 메커니즘을 사용하여 공격자가 조건부 액세스 및 규정 준수 정책을 우회할 수 있습니다. 이렇게 하면 특히 페더레이션 ID가 사용되는 경우 클라우드 서비스 및 온-프레미스 리소스 간에 횡적 이동의 문이 열립니다. 위협 행위자가 도난당한 토큰 또는 캐시된 자격 증명을 활용하여 유지되고 관리되지 않는 앱 또는 브라우저 세션을 통해 중요한 데이터 유출할 수 있습니다. SSO 적용이 없으면 앱 보호 정책 및 디바이스 상태 평가가 훼손되어 위반을 감지하고 포함하기가 어렵습니다. 궁극적으로 macOS Platform SSO 정책을 구성하고 할당하지 않으면 ID 보안이 손상되고 organization 제로 트러스트 태세가 약화됩니다.
macOS 디바이스에 플랫폼 SSO 정책을 적용하면 앱 및 서비스 간에 일관되고 안전한 인증이 보장됩니다. 이렇게 하면 ID 보호가 강화되고 조건부 액세스 적용이 지원되며 로컬 자격 증명에 대한 의존도를 줄이고 자세 평가를 개선하여 제로 트러스트 맞게 조정됩니다.
수정 작업
Intune 사용하여 macOS 디바이스에 대한 플랫폼 SSO 정책을 구성하고 할당하여 보안 인증을 적용하고 ID 보호를 강화합니다. 다음을 참조하세요.
- Intune macOS용 플랫폼 SSO 구성 – macOS 디바이스에서 플랫폼 SSO를 사용하도록 설정하기 위한 단계별 지침입니다.
- Microsoft Intune Apple 디바이스에 대한 SSO(Single Sign-On) 개요 및 옵션 – Apple 플랫폼에서 사용할 수 있는 SSO 옵션 개요입니다.
엔드포인트용 Defender 자동 등록은 관리되지 않는 Android 위협으로부터의 위험을 줄이기 위해 적용됩니다.
엔드포인트용 Microsoft Defender 자동 등록이 Intune Android 디바이스에 대해 구성되지 않은 경우 관리형 엔드포인트는 모바일 위협에 대해 보호되지 않은 상태로 유지될 수 있습니다. Defender 온보딩이 없으면 디바이스에 고급 위협 탐지 및 대응 기능이 부족하여 맬웨어, 피싱 및 기타 모바일 기반 공격의 위험이 증가합니다. 보호되지 않는 디바이스는 보안 정책을 우회하고, 회사 리소스에 액세스하고, 중요한 데이터 손상에 노출할 수 있습니다. 모바일 위협 방어의 이러한 격차는 organization 제로 트러스트 태세를 약화시키고 엔드포인트 상태에 대한 가시성을 줄입니다.
자동 Defender 등록을 사용하도록 설정하면 Android 디바이스가 고급 위협 탐지 및 대응 기능으로 보호됩니다. 이를 통해 모바일 위협 방지를 적용하고, 가시성을 개선하고, 관리되지 않거나 손상된 엔드포인트에 대한 노출을 줄여 제로 트러스트 지원합니다.
수정 작업
Intune 사용하여 Android 디바이스의 엔드포인트용 Microsoft Defender 자동 등록을 구성하여 모바일 위협 방지를 적용합니다.
디바이스 정리 규칙은 비활성 디바이스를 숨김으로써 테넌트 위생을 유지 관리합니다.
Intune 디바이스 정리 규칙이 구성되지 않은 경우 부실 또는 비활성 디바이스는 테넌트에서 무기한으로 표시되도록 유지할 수 있습니다. 이로 인해 디바이스 목록이 복잡해지고, 보고가 부정확하며, 활성 디바이스 환경에 대한 가시성이 줄어듭니다. 사용하지 않는 디바이스는 액세스 자격 증명 또는 토큰을 보존하여 무단 액세스 또는 잘못된 정보 정책 결정의 위험을 높일 수 있습니다.
디바이스 정리 규칙은 관리자 보기 및 보고서에서 비활성 디바이스를 자동으로 숨겨 테넌트 위생을 개선하고 관리 부담을 줄입니다. 이는 감사 또는 조사를 위해 기록 데이터를 유지하면서 정확하고 신뢰할 수 있는 디바이스 인벤토리를 유지 관리하여 제로 트러스트 지원합니다.
수정 작업
테넌트에서 비활성 디바이스를 자동으로 숨기도록 Intune 디바이스 정리 규칙을 구성합니다.
자세한 내용은 다음 항목을 참조하세요.
- Microsoft Tech Community 블로그에서 Intune디바이스 정리 규칙 사용
사용 약관 정책은 중요한 데이터 대한 액세스를 보호합니다.
사용 약관 정책이 Intune 구성되고 할당되지 않은 경우 사용자는 필요한 법적, 보안 또는 사용 약관에 동의하지 않고 회사 리소스에 액세스할 수 있습니다. 이 누락은 규정 준수 위험, 법적 책임 및 리소스의 잠재적 오용에 대한 organization 노출합니다.
사용 약관을 적용하면 사용자가 중요한 데이터 또는 시스템에 액세스하기 전에 회사 정책을 승인하고 수락하여 규정 준수 및 책임 있는 리소스 사용을 지원합니다.
수정 작업
회사 리소스에 대한 액세스 권한을 부여하기 전에 사용자 동의를 요구하도록 Intune 사용 약관 정책을 만들고 할당합니다.
회사 포털 브랜딩 및 지원 설정은 사용자 환경과 신뢰를 향상시킵니다.
Intune 회사 포털 브랜딩이 organization 세부 정보를 나타내도록 구성되지 않은 경우 사용자는 일반 인터페이스를 발견할 수 있으며 직접 지원 정보가 부족할 수 있습니다. 이렇게 하면 사용자 신뢰가 줄어들고 지원 오버헤드가 증가하며 문제 해결에 혼란이나 지연이 발생할 수 있습니다.
organization 브랜딩 및 지원 연락처 세부 정보를 사용하여 회사 포털 사용자 지정하면 사용자 신뢰가 향상되고 지원이 간소화되며 디바이스 관리 통신의 정당성이 강화됩니다.
수정 작업
organization 브랜딩을 사용하여 Intune 회사 포털 구성하고 연락처 정보를 지원하여 사용자 환경을 개선하고 지원 오버헤드를 줄입니다.
엔드포인트 분석은 Windows 디바이스의 위험을 식별하는 데 도움이 되도록 설정됩니다.
엔드포인트 분석을 사용하도록 설정하지 않으면 위협 행위자가 디바이스 상태, 성능 및 보안 상태의 격차를 악용할 수 있습니다. 엔드포인트 분석이 제공하는 가시성이 없으면 organization 비정상적인 디바이스 동작, 지연된 패치 또는 구성 드리프트와 같은 지표를 검색하기가 어려울 수 있습니다. 이러한 격차를 통해 공격자는 지속성을 설정하고, 권한을 에스컬레이션하고, 환경 전체에서 횡적으로 이동할 수 있습니다. 분석 데이터가 없으므로 빠른 검색 및 대응이 방해가 되어 공격자가 명령 및 제어, 데이터 반출 또는 추가 손상을 위해 모니터링되지 않는 엔드포인트를 악용할 수 있습니다.
엔드포인트 분석을 사용하도록 설정하면 디바이스 상태 및 동작에 대한 가시성을 제공하여 조직이 위험을 감지하고 위협에 신속하게 대응하며 강력한 제로 트러스트 상태를 유지할 수 있도록 지원합니다.
수정 작업
Intune 엔드포인트 분석에 Windows 디바이스를 등록하여 디바이스 상태를 모니터링하고 위험을 식별합니다.
자세한 내용은 다음 항목을 참조하세요.