보안 관리자는 Intune 엔드포인트 보안 정책을 사용하여 관리되는 디바이스에서 보안 설정을 구성하고 관리합니다. 엔드포인트 보안 정책은 특정 디바이스 보안 시나리오에 초점을 맞춘 용도로 작성된 보안 프로필로, organization 보안 제어를 구현하고 관리하는 간소화된 접근 방식을 제공합니다.
디바이스 구성 정책을 통해 보안 설정을 관리하는 것과 비교할 때 엔드포인트 보안 정책은 다음과 같은 몇 가지 주요 이점을 제공합니다.
- 중요 보안 관리: 각 정책 유형은 광범위한 디바이스 구성 프로필의 복잡성 없이 특정 보안 영역(바이러스 백신, 방화벽, 디스크 암호화 등)을 대상으로 합니다.
- 보안 우선 접근 방식: 일반 디바이스 관리가 아닌 보안 시나리오를 위해 특별히 설계된 용도로 작성된 정책입니다.
- 보안 함수별로 구성: 일반 디바이스 관리 설정과 혼합되지 않고 보안 워크로드(바이러스 백신, 방화벽 등)로 그룹화됩니다.
- 포괄적인 모니터링: 보안 정책이 성공적으로 배포되도록 기본 제공 보고 및 충돌 검색.
엔드포인트 보안 정책 통합 이해
다른 Intune 정책 유형과 함께 엔드포인트 보안 정책을 구현하는 경우 구성 충돌을 최소화하는 방법을 계획합니다. 모든 Intune 정책 유형은 디바이스 구성 설정의 동일한 원본으로 처리됩니다. 즉, 디바이스가 여러 정책에서 동일한 설정에 대해 서로 다른 구성을 수신할 때 충돌이 발생합니다.
일반적인 충돌 시나리오:
- 보안 기준은 권장 구성을 준수하도록 설정에 대한 기본값이 아닌 값을 설정할 수 있지만 엔드포인트 보안 및 디바이스 구성 정책은 일반적으로 구성되지 않음으로 기본 설정됩니다. 이러한 방법을 혼합하면 충돌이 발생할 수 resolve.
- 엔드포인트 보안 정책(resolve 충돌)과 동일한 설정을 관리하는 디바이스 구성 정책입니다.
- 동일한 설정에 대해 서로 다른 값을 설정하는 여러 엔드포인트 보안 정책(충돌 관리).
충돌이 발생하면 영향을 받는 설정이 제대로 적용되지 않을 수 있습니다. 정책 아키텍처를 계획하고 연결된 지침을 사용하여 충돌을 식별하고 resolve.
사용 가능한 엔드포인트 보안 정책 유형
Microsoft Intune 관리 센터에서엔드포인트 보안 관리에서 엔드포인트 보안> 정책에 액세스합니다.
- 목적: 최신 인증 방법을 통해 사용자 ID 및 계정 보호
- 플랫폼 지원: Windows
- 사용 가능한 프로필: 계정 보호, Windows LAPS(로컬 관리자 암호 솔루션), 로컬 사용자 그룹 멤버 자격
- 사용 사례: 암호 없는 인증 및 자격 증명 보호 구현
- 목적: 바이러스 백신 보호 설정 구성 및 관리
- 플랫폼 지원: Windows, macOS, Linux
- 사용 가능한 프로필: Defender 업데이트 컨트롤, Microsoft Defender 바이러스 백신, Microsoft Defender 바이러스 백신 제외, Windows 보안 환경, macOS 엔드포인트 보안 바이러스 백신
- 사용 사례: Windows 디바이스에서 Microsoft Defender 바이러스 백신 정책을 중앙에서 관리
- 목적: WDAC(Windows Defender 애플리케이션 제어)를 사용하여 Windows 디바이스에서 실행할 수 있는 애플리케이션 제어
- 플랫폼 지원: Windows
- 사용 가능한 프로필: WDAC(Windows Defender 애플리케이션 제어)
- 사용 사례: 애플리케이션 허용 목록 구현 및 소프트웨어 실행 제어
- 목적: 잠재적인 공격 벡터 및 시스템 취약성 감소
- 플랫폼 지원: Windows
- 사용 가능한 프로필: 앱 및 브라우저 격리, 공격 표면 감소 규칙, 디바이스 제어, 악용 방지, 애플리케이션 제어
- 사용 사례: 일반적인 공격 방법 및 기술에 대한 디바이스 강화
- 요구 사항: Microsoft Defender 바이러스 백신은 기본 바이러스 백신 솔루션이어야 합니다.
- 목적: 데이터 보호를 위한 기본 제공 암호화 방법 관리
- 플랫폼 지원: Windows, macOS
- 사용 가능한 프로필: BitLocker, PDE(개인 데이터 암호화), macOS FileVault
- 사용 사례: 네이티브 암호화 기술을 사용하여 미사용 데이터 보호 보장
- 목적: 엔드포인트용 Microsoft Defender 통합 및 온보딩 구성
- 플랫폼 지원: Windows, macOS, Linux
- 사용 가능한 프로필: 엔드포인트 검색 및 응답 (온보딩 및 구성의 경우)
- 사용 사례: 고급 위협 탐지 및 대응 기능 사용
- 요구 사항: 엔드포인트용 Microsoft Defender 라이선스 및 테넌트 연결
- 목적: 기본 제공 방화벽 보호 구성
- 플랫폼 지원: Windows, macOS
- 사용 가능한 프로필: Windows 방화벽, Windows 방화벽 규칙, macOS 방화벽
- 사용 사례: 네트워크 액세스 제어 및 네트워크 세분화 구현
향상된 관리 기능
엔드포인트 보안 정책에는 기본 정책 배포 이외의 다음과 같은 관리 기능이 포함됩니다.
재사용 가능한 설정 그룹: 여러 정책에서 공유할 수 있는 표준화된 구성을 만들어 관리 오버헤드를 줄이고 일관성을 보장합니다. 지원되는 내용은 다음과 같습니다.
- 방화벽>Windows 방화벽 규칙 프로필(Windows 플랫폼)
- 공격 표면 감소>디바이스 제어 프로필(Windows 플랫폼)
Microsoft Defender 포털을 통한 보안 설정 관리: 디바이스가 엔드포인트용 Microsoft Defender 있지만 Intune 등록되지 않은 경우 Defender 포털에서 직접 선택 엔드포인트 보안 정책(바이러스 백신, 공격 표면 감소, EDR)을 사용할 수 있습니다. 다음을 제공합니다.
- 사용자 환경에서 Intune 등록되지 않은 디바이스로 보안 관리를 확장했습니다.
- Defender 포털을 통한 통합 정책 관리 환경.
- 등록된 디바이스와 등록되지 않은 디바이스에서 일관된 보안 제어.
엔드포인트 보안을 위한 역할 기반 액세스 제어
엔드포인트 보안 정책을 관리하려면 적절한 Intune RBAC(역할 기반 액세스 제어) 권한이 필요합니다. 적절한 역할 할당 및 정책 관리 액세스에는 현재 RBAC 권한 모델을 이해하는 것이 필수적입니다.
참고
Intune 모든 엔드포인트 보안 워크로드에 대한 통합 보안 기준 사용 권한을 사용하는 것에서 개별 정책 유형에 대한 세분화된 권한으로 전환하고 있습니다. 이 전환은 보다 정확한 액세스 제어를 제공하지만 정책 유형에 따라 다른 권한 요구 사항이 발생합니다.
필요한 RBAC 권한
엔드포인트 보안 정책은 특정 워크로드에 대해 세분화된 권한 또는 보안 기준 권한을 사용합니다. 필요한 권한은 정책 유형에 따라 다릅니다.
세분화된 권한 (정책별 액세스):
- 비즈니스용 애플리케이션 제어 - 애플리케이션 제어 정책 및 보고서
- 공격 표면 감소 - 대부분의 공격 표면 감소 정책. (다음 중요 참고 사항 참조)
- 엔드포인트 검색 및 응답 - EDR 정책 및 보고서
보안 기준 권한 (통합 액세스):
- 바이러스 백신 정책(모든 프로필)
- 계정 보호 정책
- 디스크 암호화 정책
- 방화벽 정책
- 일부 공격 표면 감소 프로필: 앱 및 브라우저 격리, 웹 보호, 악용 방지, 제어된 폴더 액세스
중요
공격 표면 감소 정책의 경우 특정 프로필 요구 사항을 검사. 일부 프로필은 세분화된 공격 표면 축소 권한을 사용하는 반면 다른 프로필에는 보안 기준 권한이 필요합니다.
자세한 프로필 관련 요구 사항은 사용자 지정 역할 고려 사항을 참조하세요.
중요
엔드포인트 보안 정책에 대한 바이러스 백신 의 세분화된 권한은 일부 테넌트에서 일시적으로 표시될 수 있습니다. 이 권한은 릴리스되지 않으며 사용할 수 없습니다. 바이러스 백신 권한의 구성은 Intune 무시됩니다. 바이러스 백신을 세분화된 권한으로 사용할 수 있게 되면 Microsoft Intune 문서의 새로운 기능 문서에서 해당 가용성을 잘 알릴 수 있습니다.
기본 제공 RBAC 역할
다음 Intune 기본 제공 역할은 엔드포인트 보안 워크로드에 대한 액세스를 제공합니다.
- 엔드포인트 보안 관리자 - 모든 엔드포인트 보안 정책의 전체 관리 기능입니다.
- 지원 센터 운영자 - 제한된 운영 작업 및 읽기 액세스.
- 읽기 전용 연산자 - 정책 및 보고서에 대한 보기 전용 액세스.
사용자 지정 역할 고려 사항
보고 액세스: 디바이스 구성에 대한 보고서 보기 권한은 엔드포인트 보안 정책 보고서에 대한 액세스 권한도 제공합니다.
Defender 포털 통합: Defender 포털을 통한 보안 설정 관리는 동일한 Intune RBAC 권한을 사용합니다.
다중 관리 승인: 역할 수정에는 organization 거버넌스 설정에 따라 이중 관리자 승인이 필요할 수 있습니다.
엔드포인트 보안 정책 만들기
엔드포인트 보안 정책을 만들려면 다음 일반 워크플로를 따릅니다.
정책 만들기로 이동합니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- 엔드포인트 보안>으로 이동하여 원하는 정책 유형 > 정책 만들기를 선택합니다.
정책 기본 사항 구성:
- 플랫폼: 대상 디바이스 플랫폼을 선택합니다(옵션은 정책 유형에 따라 다름).
- 프로필: 선택한 플랫폼에 사용 가능한 프로필 중에서 선택합니다.
- 만들기를 선택하여 계속합니다.
전체 정책 구성:
- 기본 사항: 프로필에 대한 설명이 포함된 이름 및 선택적 설명을 제공합니다.
- 구성 설정: 각 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다. 설정 구성이 완료되면 다음을 선택합니다.
- 범위 태그: scope 태그 선택을 선택하여 태그 선택 창을 열어 프로필에 scope 태그를 할당합니다(선택 사항).
- 할당: 이 프로필을 받을 그룹을 선택합니다. 사용자 및 디바이스 프로필 할당을 참조하세요.
- 검토 + 만들기: 구성을 검토하고 준비가 되면 만들기 를 선택합니다. 그러면 새 프로필이 정책 목록에 표시됩니다.
고급 정책 관리
중복 정책
정책 중복은 복잡한 정책을 처음부터 다시 만드는 대신 기존 구성을 복사하고 다양한 시나리오에 맞게 수정할 수 있도록 하여 배포를 간소화합니다.
정책 중복에 대한 일반적인 사용 사례:
- 환경 배포: 프로덕션 정책을 스테이징 또는 테스트 환경에 복사합니다.
- 그룹 변형: 다른 사용자 그룹에 대해 유사한 정책을 만듭니다(예: 임원과 보안 요구 사항이 약간 다른 일반 사용자).
- 지역 사용자 지정: 다양한 규정 준수 요구 사항을 사용하여 다양한 지리적 위치에 대한 정책을 조정합니다.
- 증분 롤아웃: 단계적 배포에 대해 동일한 정책의 여러 버전을 만듭니다.
중복 워크플로:
- 정책 목록에서 원본 정책을 찾습니다.
- 줄임표 선택(...) >중복.
- 새 설명이 포함된 이름을 입력하고 저장합니다.
- 중복된 정책을 편집하여 특정 사용 사례에 대한 설정을 사용자 지정합니다.
- 대상 시나리오에 대한 새 그룹 할당을 구성합니다.
참고
중복된 정책은 원래 정책의 모든 구성 설정과 scope 태그를 유지하지만 할당을 상속하지는 않습니다. 새 할당을 구성하고 일반적으로 대상 시나리오에 맞게 일부 설정을 수정해야 합니다.
기존 정책 수정
속성 보기를 통해 정책을 업데이트합니다.
- 수정할 정책을 선택합니다.
- 변경이 필요한 각 섹션(기본 사항, 할당, 범위 태그, 구성 설정)에 대해편집을 선택합니다.
- 다음으로 진행하기 전에 섹션을 편집한 후 변경 내용을 저장합니다.
정책 충돌 관리
전략적 계획 및 모니터링을 통해 정책 충돌을 방지하고 resolve.
방지 전략:
- 구현 전에 정책 아키텍처를 계획하고 특정 설정을 관리하는 정책 유형을 문서화합니다.
- 정책 유형 간에 일관된 구성 접근 방식을 사용합니다.
- 적절한 경우 보안 기준을 기본 구성 원본으로 적용합니다.
정책 경계 이해:
- 겹침 설정: 엔드포인트 보안 정책에서 관리하는 많은 설정은 디바이스 구성 정책 및 보안 기준에서도 사용할 수 있습니다.
- 우선 순위 동일: 모든 정책 유형은 Intune 디바이스 구성을 평가할 때 동일한 우선 순위를 갖습니다.
- 충돌 동작: 여러 정책이 서로 다른 값으로 동일한 설정을 구성하는 경우 설정이 적용되지 못하고 충돌 플래그가 지정될 수 있습니다.
충돌 문제 해결 워크플로:
- 충돌 식별: 정책 배포 보고서에서 오류 또는 충돌 상태 플래그를 모니터링합니다.
- 설정 확인: 여러 정책에서 동일한 설정을 대상으로 하는 정책 유형을 확인합니다.
- 설정별 상태 검토: 디바이스 수준 보고를 사용하여 적용되는 정책을 식별합니다.
- 기준 확인: 보안 기준이 다른 정책과 충돌하는 기본값이 아닌 값을 설정하는지 확인합니다.
- 해결 방법 적용: 정책별 지침을 사용하여 충돌을 체계적으로 resolve.
해결 리소스: Intune 정책 및 프로필 문제 해결 및 보안 기준 모니터링.
엔드포인트용 Microsoft Defender와 통합
많은 엔드포인트 보안 정책은 선택적 향상에서 필수 통합에 이르기까지 엔드포인트용 Microsoft Defender 긴밀하게 통합됩니다. 이러한 관계를 이해하는 것은 성공적인 구현에 필수적입니다.
정책별 Defender 종속성
EDR(엔드포인트 검색 및 응답):
- 통합 필요: 엔드포인트용 Defender 테넌트 연결과 Intune.
- 온보딩 패키지: 각 플랫폼에 대해 Defender별 온보딩 구성을 사용합니다.
- 핵심 기능: 실시간 공격 탐지 및 대응 기능을 제공합니다.
바이러스 백신:
- 플랫폼 간 관리: Windows 디바이스는 기본 제공 Microsoft Defender 바이러스 백신을 사용하고 macOS 디바이스는 엔드포인트용 Microsoft Defender 사용합니다.
- 변조 방지: 엔드포인트용 Defender P1 이상의 라이선스를 사용하여 Windows 및 macOS에서 사용할 수 있습니다.
공격 표면 감소:
- 요구 사항: Microsoft Defender 바이러스 백신은 기본 바이러스 백신 솔루션이어야 합니다.
- ASR 규칙: 공격 표면 감소 규칙은 엔드포인트용 Defender와 통합되는 네이티브 Microsoft Defender 바이러스 백신 기능입니다.
- 디바이스 제어: 고급 디바이스 제어 정책은 Defender의 주변 장치 모니터링 기능을 사용합니다.
애플리케이션 제어:
- 관리되는 설치 관리자: Defender의 애플리케이션 태그 지정 및 신뢰 메커니즘과 통합합니다.
- 정책 적용: 애플리케이션 제어 결정에 Defender 인프라를 사용합니다.
Defender 통합 이점
- 통합 보안 태세: 엔드포인트 보안 정책 및 위협 검색 전반에서 중앙 집중식 가시성.
- 고급 보고: 디바이스 규정 준수 및 위협 인텔리전스 데이터를 결합했습니다.
- 플랫폼 간 관리: Defender 에이전트를 통해 Windows, macOS 및 Linux 간에 일관된 보안 정책 배포
- 보안 설정 관리: Defender 포털을 통해 등록되지 않은 디바이스에서 선택 엔드포인트 보안 정책(바이러스 백신, 공격 표면 감소, EDR)을 관리합니다. 엔드포인트용 Microsoft Defender 보안 설정 관리를 참조하세요.
Defender 통합을 위한 필수 구성 요소
- 라이선스: P1 이상의 라이선스를 엔드포인트용 Microsoft Defender.
- 테넌트 연결: Intune 엔드포인트용 Defender 테넌트 간의 서비스 간 연결입니다.
- 에이전트 배포: 대상 디바이스에 설치된 엔드포인트용 Defender 에이전트(일부 정책 유형에 필요).
-
네트워크 연결: Defender 보안 설정 관리 및 정책 통신을 위한 엔드포인트에 대한 디바이스 액세스
*.dm.microsoft.com.