Microsoft Intune 로그인하는 ID, 로그인하는 디바이스 및 작업을 완료하는 데 사용하는 앱의 세 가지 핵심 요소로 빌드됩니다. Intune Microsoft Entra ID 위에서 이러한 기둥을 오케스트레이션하고 디바이스 및 앱 상태를 회사 리소스에 대한 액세스를 게이트하는 Microsoft Entra 조건부 액세스에 다시 공급합니다.
Intune 수행하는 작업과 그 이유에 대한 소개는 Microsoft Intune?을 참조하세요. 구성 요소, 통합 및 배포 보기는 Microsoft Intune 아키텍처를 참조하세요.
세 가지 기둥
| 기둥 | Intune 수행하는 일 | Intune 사용하는 내용 |
|---|---|---|
| ID | 정책을 사용자 및 그룹에 대상으로 지정하고, RBAC(역할 기반 액세스 제어)를 통해 관리자 액세스 범위를 지정하고, 등록 시 사용자 선호도를 만듭니다. | 계정, 그룹, 인증 및 조건부 액세스에 대한 Microsoft Entra ID. |
| 장치 | organization 작업을 실행하는 하드웨어를 등록, 구성, 보호 및 사용 중지합니다. 조건부 액세스에 대한 준수 상태를 보고합니다. | 플랫폼 등록 프로그램(Windows Autopilot, Apple 자동 디바이스 등록, Android Enterprise). |
| 앱 | 등록된 디바이스 및 개인 디바이스에서 사용자에게 필요한 앱을 배포, 구성, 보호 및 업데이트합니다. | 앱 스토어 및 공급업체 카탈로그(Microsoft Store, App Store, Managed Google Play, Apple Business). |
이 문서의 나머지 내용은 각 기둥을 안내하고 세 가지 모두에 걸쳐 단일 로그인을 추적하는 작업된 예제로 끝납니다.
ID
Intune 사용자 ID를 저장하지 않습니다. 계정, 그룹, 인증 및 조건부 액세스에 Microsoft Entra ID 사용합니다. Intune 내에서 ID는 세 곳에 표시됩니다.
등록 시 사용자 선호도
사용자가 처음으로 디바이스에 로그인하면 디바이스가 해당 사용자와 연결됩니다. 이 연결을 사용자 선호도라고 합니다. 사용자에게 할당된 정책은 연결된 모든 디바이스에서 해당 정책을 따르며 사용자는 해당 디바이스에서 전자 메일, 파일 및 앱에 액세스할 수 있습니다.
디바이스와 연결된 사용자가 없으면 디바이스는 사용자 없는 것입니다. 이 패턴은 단일 작업 전용 키오스크 및 여러 사람이 사용하는 공유 디바이스에 일반적입니다.
올바른 등록 방법을 선택할 수 있도록 등록하기 전에 디바이스의 용도를 결정합니다. 플랫폼별 지침은 Microsoft Intune 디바이스 등록을 참조하세요.
관리자를 위한 역할 기반 액세스
Intune RBAC(역할 기반 액세스 제어)를 사용하여 각 관리자가 관리 센터에서 보고 수행할 수 있는 작업을 결정합니다. Application Manager, 정책 및 프로필 관리자와 같은 기본 제공 역할은 특정 엔드포인트 관리 작업에 대한 권한을 scope. Intune Microsoft Entra ID 사용하므로 기본 제공 Microsoft Entra 역할(Intune 관리자 포함)도 사용할 수 있습니다.
RBAC를 scope 태그와 페어링하여 관리자가 볼 수 있는 작업뿐만 아니라 관리자가 볼 수 있는 작업 범위를 좁힐 수 있습니다. 예를 들어 지역 지원 센터에 디바이스 초기화를 허용하는 역할을 제공하지만 해당 지역에서만 디바이스를 보고 초기화할 수 있도록 태그를 지정합니다.
자세한 내용은 Microsoft Intune 있는 역할 기반 액세스 제어 및 scope 태그를 사용하여 정책 필터링을 참조하세요.
정책 및 할당 대상 지정
Intune 클라우드 기반이며 사용자 또는 그룹에 직접 정책을 대상으로 합니다. 조직 구성 단위와 같은 컨테이너 계층 구조는 없습니다. 정책을 만든 다음 하나 이상의 Microsoft Entra 그룹에 할당합니다.
정책을 대상으로 지정하여 다음을 수행할 수 있습니다.
- 사용자 그룹- 설정이 디바이스에서 사용자를 따라야 하는 경우입니다. 예를 들어 전자 메일 프로필 또는 앱 배포가 있습니다.
- 디바이스 그룹: 키오스크 구성 또는 최전방 작업자 정책과 같이 로그인한 사용자에 관계없이 설정이 적용되어야 하는 경우입니다.
- 설정이 테넌트 전체에 적용되는 경우 기본 제공 가상 그룹(모든 사용자, 모든 디바이스)
자세한 내용은 사용자 및 디바이스를 구성하는 그룹 추가 및Microsoft Intune 디바이스 프로필 할당을 참조하세요.
디바이스
Intune organization Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS 및 Windows에서 사용하는 데스크톱, 노트북, 태블릿 및 휴대폰을 관리하고 보호합니다. 지원되는 전체 OS 매트릭스는 지원되는 운영 체제 및 브라우저를 참조하세요.
디바이스 수명 주기
모든 관리형 디바이스는 모두 동일한 관리 센터에서 처리되는 4단계를 통과합니다.
- 등록: 관리 중인 디바이스를 가져옵니다. 조직 소유 하드웨어는 일반적으로 Windows Autopilot, Apple 자동 디바이스 등록 또는 Android Enterprise를 통해 자동화된 등록을 사용합니다. 개인 디바이스는 회사 포털 앱을 통해 등록됩니다.
- 구성: Wi-Fi, VPN, 인증서, 이메일, 디바이스 기능 및 플랫폼별 옵션에 대한 설정을 적용합니다. 설정 카탈로그는 수천 개의 플랫폼 설정을 노출합니다.
- 보호: 규정 준수 규칙을 적용하고, 디스크를 암호화하고, 보안 기준을 배포하고, 모바일 위협 방어와 통합합니다. 규정 준수 상태 피드는 조건부 액세스를 Microsoft Entra.
- 사용 중지: 디바이스를 분실하거나 교체하거나 더 이상 필요하지 않은 경우 원격 작업을 통해 organization 데이터를 초기화하거나, 디바이스를 공장 초기화하거나, 등록을 취소할 수 있습니다.
MDM 및 MAM
Intune 두 가지 관리 모드를 지원합니다. 독립적으로 또는 함께 사용할 수 있습니다.
- MDM(모바일 디바이스 관리)은 설정, 앱 및 데이터와 같은 Intune 제어 하에 전체 디바이스를 제공합니다. MDM은 organization 소유 하드웨어에 일반적입니다.
- MAM(모바일 애플리케이션 관리) 은 회사 앱과 그 안의 데이터만 관리합니다. 사용자는 디바이스의 나머지 부분을 제어합니다. MAM은 BYOD(Bring-your-own-device) 시나리오에 일반적입니다.
동일한 디바이스에서 둘을 결합할 수 있습니다. 예를 들어 등록된 MDM(회사 전화)에는 특히 중요한 데이터를 처리하는 앱에 MAM(앱 보호 정책)이 있을 수도 있습니다.
자세한 내용은 Microsoft Intune 디바이스 등록 및 앱 보호 정책 개요를 참조하세요.
조직 소유 및 개인 디바이스
대부분의 조직은 두 개의 디바이스 채우기를 관리합니다. 즉, 소유한 하드웨어와 직원이 업무에 사용하는 개인 디바이스입니다. Intune 서로 다른 컨트롤을 모두 지원합니다.
- 조직 소유 디바이스는 MDM에 등록해야 합니다. 사용자가 이러한 디바이스를 직접 관리하지 마세요.
- 사용자가 조직 리소스에 대한 모든 권한을 원할 때 개인 디바이스를 MDM에 등록하거나 Outlook, Teams 및 기타 관리되는 앱 내에서 데이터를 보호하는 MAM 정책만 사용할 수 있습니다.
Device groups
디바이스 그룹은 디바이스만 포함하는 Microsoft Entra 그룹입니다. 키오스크, 공유 PC, 최전방 작업자 디바이스 또는 특수 하드웨어 등 로그인한 사용자에 관계없이 설정을 적용해야 하는 경우에 유용합니다.
멤버 자격은 정적 또는 동적일 수 있습니다.
- 정적 그룹에 는 디바이스를 수동으로 추가하고 제거해야 합니다. 작고 안정적인 디바이스 집합에 유용합니다.
- 동적 그룹은 사용자가 정의한 조건에 따라 디바이스를 자동으로 추가하고 제거합니다. 대규모의 변화하는 디바이스에 유용합니다.
앱
Intune 지원되는 모든 플랫폼에서 전체 앱 수명 주기(배포, 구성, 보호, 업데이트)를 다룹니다.
앱 수명 주기
- 관리 센터에서 공용 상점, 공급업체 카탈로그, LOB(기간 업무) 패키지 또는 기본 제공 항목의 앱을 배포합니다.
- 앱 구성 정책을 사용하여 사용자가 앱을 열기 전에 앱을 구성합니다. 앱 언어를 설정하고, organization 로고를 추가하고, 개인 계정을 차단하는 등의 작업을 합니다.
- 앱 보호 정책을 사용하여 앱 내의 데이터를 보호합니다. PIN이 필요하고, 개인 앱에 복사 붙여넣기를 차단하고, 개인 클라우드 서비스에 대한 백업을 방지하고, 미사용 데이터를 암호화하고, organization 데이터를 선택적으로 초기화합니다.
- 새 버전을 사용할 수 있게 되면 자동으로 앱을 업데이트합니다. Windows의 Microsoft 365 앱, Microsoft Edge 및 Microsoft Teams의 경우 Windows 자동 패치에 대한 업데이트를 전달할 수 있습니다.
등록이 없는 앱 보호(MAM-WE)
앱 보호 정책에는 MDM 등록이 필요하지 않습니다. 세 가지 디바이스 모집단에서 작동합니다.
- BYOD(MDM)에 등록되지 않은 개인 디바이스입니다.
- 다른 MDM 공급자에 등록된 디바이스: Intune 관리되는 앱 내의 데이터를 계속 보호할 수 있습니다.
- MDM 이외의 추가 계층이 필요한 앱의 경우 Intune 등록된 디바이스입니다.
자세한 내용은 앱 보호 정책 개요를 참조하세요.
플랫폼별 앱
Intune Android, iOS, iPadOS, macOS 및 Windows에서 공용 스토어 앱, LOB(기간 업무) 앱, 웹앱 및 플랫폼별 앱 유형을 지원합니다. 앱 유형과 앱 유형에 대한 플랫폼별 분석 정보는 Microsoft Intune 앱 추가 및 업데이트를 참조하세요.
기둥이 함께 맞추는 방법
일반적인 액세스 결정은 다음 세 가지 핵심 요소를 모두 다룹니다.
- 사용자가 관리 디바이스에 로그인하고 사용자를 인증하는 Microsoft Entra ID.
- 디바이스는 Intune 사용하여 체크인하고 규정 준수 상태 및 인벤토리를 보고합니다.
- Intune 준수 상태를 Microsoft Entra ID 전달합니다.
- 사용자가 회사 앱을 엽니다. Microsoft Entra 조건부 액세스는 사용자, 디바이스의 규정 준수 상태, 앱, 위치 및 Microsoft Defender 엔드포인트 보안의 신호를 사용하여 요청을 평가합니다.
- 조건부 액세스는 액세스를 허용하거나 차단합니다. 액세스가 허용되고 앱이 관리되는 앱인 경우 앱 보호 정책은 앱 내 컨트롤(PIN, 복사 붙여넣기 제한, 선택적 초기화)을 적용합니다.
모든 액세스 결정은 사용자의 ID, 디바이스 규정 준수 및 사용자가 여는 앱의 세 가지 핵심 요소 모두를 함께 실행합니다.