이 단계별 자습서에서는 Microsoft Intune 및 Windows Autopilot을 사용하여 클라우드 네이티브 Windows 엔드포인트를 설정하는 방법을 보여줍니다. 클라우드 네이티브 Windows 엔드포인트(클라우드 네이티브 Windows로 작성됨)는 Microsoft Entra 조인되고, Microsoft Intune 등록되고, 클라우드에서 전적으로 관리됩니다( Active Directory 도메인 조인 없음, 온-프레미스 인프라 필요 없음).
이 자습서를 마치면 다음과 같은 완전히 구성된 Windows 디바이스가 있습니다.
- Microsoft Entra 가입되어Microsoft Intune
- Microsoft Defender 바이러스 백신, BitLocker 암호화, Windows LAPS 및 보안 기준으로 보호됨
- Microsoft 365 앱, OneDrive 알려진 폴더 이동 및 회사 포털 사용하여 Windows Autopilot을 통해 프로비전됨
- 나머지 Windows 플릿으로 확장할 준비가 완료됨
배경 정보는 클라우드 네이티브 엔드포인트란? 및 Microsoft Entra 조인 구현을 계획하는 방법을 참조하세요.
팁
클라우드 네이티브 엔드포인트에 대해 읽을 때 다음 용어가 표시됩니다.
- 엔드포인트: 엔드포인트는 휴대폰, 태블릿, 노트북 또는 데스크톱 컴퓨터와 같은 디바이스를 말합니다. "엔드포인트" 및 "디바이스"는 동일한 의미로 사용될 수 있습니다.
- 관리형 엔드포인트: MDM 솔루션 또는 그룹 정책 개체를 사용하여 조직에서 정책을 수신하는 엔드포인트입니다. 이 디바이스는 일반적으로 조직 소유이지만 BYOD 또는 개인 소유 디바이스일 수도 있습니다.
- 클라우드 네이티브 엔드포인트: Microsoft Entra 조인된 엔드포인트입니다. 온-프레미스 AD에 조인되지 않습니다.
- 워크로드: 어떤 프로그램, 서비스 또는 프로세스든 의미할 수 있습니다.
시작하는 방법
순서대로 5단계를 완료합니다. 각 단계는 이전 단계를 기반으로 합니다.
| 작업 단계 | 목표 |
|---|---|
| 1단계 – 환경 설정 | 테넌트, 테스트 디바이스 및 기준 Autopilot 정책 준비 |
| 2단계 - 클라우드 네이티브 Windows 엔드포인트 빌드 | Autopilot을 통해 첫 번째 엔드포인트 프로비전 |
| 3단계 - 클라우드 네이티브 Windows 엔드포인트 보호 | 엔드포인트 보안 적용: Defender, BitLocker, LAPS, 기준, 업데이트 |
| 4단계 - 사용자 지정 적용 및 온-프레미스 구성 검토 | organization 특정 앱, 설정 추가 및 그룹 정책 마이그레이션 |
| 5단계 - Windows Autopilot을 사용하여 배포 크기 조정 | OEM 등록, 가상 사용자 및 롤아웃 링을 사용하여 플릿에 대한 프로비저닝 크기 조정 |
엔드포인트가 배포된 후 클라우드 네이티브 Windows 엔드포인트 모니터링 섹션을 사용하여 진행 중인 작업의 일부로 Intune 관리 센터에서 정책, 앱 및 규정 준수 상태 유효성을 검사합니다.
1단계 – 환경 설정
첫 번째 클라우드 네이티브 Windows 엔드포인트를 빌드하기 전에 몇 가지 주요 요구 사항 및 구성을 확인해야 합니다. 이 단계에서는 요구 사항을 확인하고, Windows Autopilot을 구성하고, 일부 설정 및 애플리케이션을 만드는 방법을 안내합니다.
1단계 - 네트워크 요구 사항
클라우드 네이티브 Windows 엔드포인트는 여러 인터넷 서비스에 액세스해야 합니다. 열린 네트워크에서 테스트를 시작합니다. 또는 Windows Autopilot 네트워킹 요구 사항에 나열된 모든 엔드포인트에 대한 액세스를 제공한 후 회사 네트워크를 사용합니다.
무선 네트워크에 인증서가 필요한 경우 장치 프로비전을 위한 무선 연결에 가장 적합한 방법을 결정하는 동안 테스트 중에 이더넷 연결로 시작할 수 있습니다.
2단계 - 등록 및 라이선스
Microsoft Entra 가입하고 Intune 등록하려면 몇 가지 사항을 검사. MDM 사용자 이름 Intune 같은 새 Microsoft Entra 그룹을 만들 수 있습니다. 그런 다음 특정 테스트 사용자 계정을 추가하고 해당 그룹에서 다음 구성을 각각 대상으로 지정하여 구성을 설정하는 동안 디바이스를 등록할 수 있는 사용자를 제한합니다. Microsoft Entra 그룹을 만들려면 Microsoft Entra 그룹 관리 및 그룹 멤버 자격으로 이동합니다.
등록 제한 사항 등록 제한을 사용하면 Intune 사용하여 관리에 등록할 수 있는 디바이스 유형을 제어할 수 있습니다. 이 가이드를 성공적으로 사용하려면 기본 구성인 Windows(MDM) 등록이 허용되어 있는지 확인합니다.
등록 제한 구성에 대한 자세한 내용을 확인하려면 Microsoft Intune에서 등록 제한 설정으로 이동하세요.
디바이스 MDM 설정 Microsoft Entra Windows 디바이스를 Microsoft Entra 가입하면 디바이스에 MDM에 자동으로 등록하도록 Microsoft Entra 구성할 수 있습니다. Windows Autopilot이 작동하려면 이 구성이 필요합니다.
Microsoft Entra 디바이스 MDM 설정이 제대로 사용하도록 설정되었는지 검사 빠른 시작 - Intune 자동 등록 설정으로 이동합니다.
Microsoft Entra 회사 브랜딩 회사 로고 및 이미지를 Microsoft Entra 추가하면 사용자가 Microsoft 365에 로그인할 때 친숙하고 일관된 모양과 느낌을 볼 수 있습니다. Windows Autopilot이 작동하려면 이 구성이 필요합니다.
Microsoft Entra 사용자 지정 브랜딩을 구성하는 방법에 대한 자세한 내용은 organization Microsoft Entra 로그인 페이지에 브랜딩 추가를 참조하세요.
라이센스 OOBE(Out Of Box Experience)에서 Intune Windows 디바이스를 등록하는 사용자에게는 두 가지 주요 기능이 필요합니다.
사용자에게는 다음 라이선스가 필요합니다.
- Microsoft Intune 또는 Microsoft Intune for Education 라이선스
- 자동 MDM 등록을 허용하는 다음 옵션 중 하나와 같은 라이선스:
- Microsoft Entra Premium P1
- Microsoft Intune for Education
라이선스를 할당하려면 Microsoft Intune 라이선스 할당으로 이동하세요.
참고
두 가지 유형의 라이선스는 일반적으로 Microsoft 365 E3(또는 A3) 이상과 같은 라이선스 번들에 포함됩니다. 여기에서 Microsoft 365 라이선스 비교를 확인 합니다.
3단계 - 테스트 장치 가져오기
클라우드 네이티브 Windows 엔드포인트를 테스트하려면 먼저 가상 머신 또는 물리적 장치를 테스트할 준비를 해야 합니다. 다음 단계에서는 디바이스 세부 정보를 가져와 이 문서의 뒷부분에 사용되는 Windows Autopilot 서비스에 업로드합니다.
참고
다음 단계에서는 테스트용 장치를 가져오는 방법을 제공하지만 파트너 및 OEM은 구매의 일부로 자동으로 장치를 Windows Autopilot으로 가져올 수 있습니다. 5단계의 Windows Autopilot에 대한 자세한 정보가 있습니다.
가상 머신에 Windows를 설치하거나 OOBE 설정 화면에서 대기할 수 있도록 물리적 디바이스를 다시 설정합니다. 가상 컴퓨터의 경우 선택적으로 검사점을 만들 수 있습니다.
인터넷에 연결하는 데 필요한 단계를 완료합니다.
Shift + F10 키보드 조합을 사용하여 명령 프롬프트를 엽니다.
bing.com을 ping하여 인터넷에 액세스할 수 있는지 확인합니다.
ping bing.com
다음 명령을 실행하여 PowerShell로 전환합니다.
powershell.exe
다음 명령을 실행하여 Get-WindowsAutopilotInfo 스크립트를 다운로드합니다.
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope ProcessInstall-Script Get-WindowsAutopilotInfo
메시지가 표시되면 Y를 입력하여 수락합니다.
다음 명령을 입력합니다.
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
참고
그룹 태그를 사용하면 디바이스의 하위 집합을 기반으로 동적 Microsoft Entra 그룹을 만들 수 있습니다. 디바이스를 가져올 때 그룹 태그를 설정하거나 나중에 Microsoft Intune 관리 센터에서 변경할 수 있습니다. 4단계에서 그룹 태그 CloudNative 을 사용합니다. 테스트에서 태그 이름을 다른 이름으로 설정할 수 있습니다.
자격 증명을 묻는 메시지가 표시되면 Intune 관리자 계정으로 로그인합니다.
2단계까지 컴퓨터를 첫 실행 경험으로 둡니다.
4단계 - 디바이스에 대한 Microsoft Entra 동적 그룹 만들기
이 가이드의 구성을 Windows Autopilot으로 가져오는 테스트 디바이스로 제한하려면 동적 Microsoft Entra 그룹을 만듭니다. 이 그룹에는 Windows Autopilot으로 가져오고 그룹 태그 CloudNative가 있는 장치가 자동으로 포함되어야 합니다. 그런 다음 이 그룹에서 모든 구성 및 응용 프로그램을 대상으로 할 수 있습니다.
그룹>새 그룹을 선택합니다. 다음 세부 정보를 입력합니다.
- 그룹 유형: 보안을 선택합니다.
- 그룹 이름: Autopilot Cloud-Native Windows 엔드포인트를 입력합니다.
- 멤버 자격 유형: 동적 디바이스를 선택합니다.
동적 쿼리 추가를 선택합니다.
규칙 구문 섹션에서 편집을 선택합니다.
다음 텍스트를 붙여넣습니다.
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))만들기저장>확인을> 선택합니다.
팁
동적 그룹은 변경 후 채워지는 데 몇 분 정도 걸립니다. 대규모 조직에서는 시간이 더 오래 걸릴 수 있습니다. 새 그룹을 만들고 몇 분 정도 기다렸다가 장치가 이제 그룹의 구성원이 됐는지 확인합니다.
장치의 동적 그룹에 대한 자세한 내용을 확인하려면 장치에 대한 규칙으로 이동하세요.
5단계 - 등록 상태 페이지 구성
ESP(등록 상태 페이지)는 IT 전문가가 엔드포인트 프로비전 중에 최종 사용자 환경을 제어하는 데 사용하는 메커니즘입니다. 등록 상태 페이지 설정을 참조하세요. 등록 상태 페이지의 scope 제한하려면 새 프로필을 만들고 이전 단계인 디바이스에 대한 Microsoft Entra 동적 그룹 만들기에서 만든 Autopilot Cloud-Native Windows 엔드포인트 그룹을 대상으로 지정할 수 있습니다.
테스트를 위해 다음 설정을 권장하지만 필요한 경우 자유롭게 조정할 수 있습니다.
설정 값 앱 및 프로필 구성 진행률 표시 예 OOBE(첫 실행 경험)로 프로비전된 디바이스에만 페이지 표시 예(기본값)
6단계 - Windows Autopilot 프로필 만들기 및 할당
이제 Windows Autopilot 프로필을 만들어 테스트 장치에 할당할 수 있습니다. 이 프로필은 디바이스에 Microsoft Entra 조인하도록 지시하고 OOBE 중에 적용할 설정을 알려줍니다.
디바이스 디바이스>온보딩>등록>Windows>Windows Autopilot>배포 프로필을 선택합니다.
프로필 만들기>Windows PC를 선택합니다.
Windows 엔드포인트에 Cloud-Native Autopilot 이름을 입력한 다음, 다음을 선택합니다.
OOBE(기본 제공 환경) 설정에서 다음 키 값을 확인하고 다음을 선택합니다.
설정 값 배포 모드 사용자 기반 Microsoft Entra ID 조인 Microsoft Entra 조인됨 사용자 계정 유형 Standard 장치 이름 템플릿 적용 선택 사항. 와 같은 CloudPC-%SERIAL%명명 템플릿을 사용하면 관리 센터에서 디바이스를 쉽게 식별할 수 있습니다.중요
사용자 계정 유형을Standard 설정하는 것이 보안 모범 사례입니다. 사용자가 승인되지 않은 소프트웨어를 설치하지 못하게 하고 클라우드 네이티브 엔드포인트의 공격 노출 영역을 줄입니다.
범위 태그를 그대로 두고 다음을 선택합니다.
Windows 엔드포인트에서 Autopilot Cloud-Native 만든 Microsoft Entra 그룹에 프로필을 할당하고 다음을 선택한 다음 만들기를 선택합니다.
7단계 - Windows Autopilot 장치 동기화
Windows Autopilot 서비스는 하루에 여러 번 동기화됩니다. 장치를 테스트할 준비가 될 수 있도록 동기화를 즉시 트리거할 수도 있습니다. 즉시 동기화하는 경우:
디바이스 디바이스>온보딩>등록>Windows>Windows Autopilot>디바이스를 선택합니다.
동기화를 선택합니다.
동기화는 몇 분 정도 걸리며 백그라운드에서 계속됩니다. 동기화가 완료되면 가져온 장치의 프로필 상태가 할당된으로 표시됩니다.
8단계 - 최적의 Microsoft 365 환경을 위한 설정 구성
구성할 몇 가지 설정을 선택했습니다. 이러한 설정은 Windows 클라우드 네이티브 디바이스에서 최적의 Microsoft 365 최종 사용자 환경을 보여 줍니다. 이러한 설정은 장치 구성 설정 카탈로그 프로필을 사용하여 구성됩니다. 자세한 내용을 확인하려면 Microsoft Intun에서 설정 카탈로그를 사용하여 정책 만들기로 이동하세요.
프로필을 만들고 설정을 추가한 후 이전에 만든 Autopilot Cloud-Native Windows 엔드포인트 그룹에 프로필을 할당합니다.
Microsoft Outlook - Microsoft Outlook의 첫 실행 환경을 개선하기 위해 다음 설정은 Outlook을 처음 열 때 프로필을 자동으로 구성합니다.
설정 범주 설정 값 Microsoft Outlook 2016\계정 설정\Exchange(사용자 설정) Active Directory 기본 SMTP 주소를 기반으로 첫 번째 프로필만 자동으로 구성 Enabled Microsoft Edge - Microsoft Edge의 첫 번째 실행 환경을 개선하기 위해 다음 설정은 사용자의 설정을 동기화하고 첫 번째 실행 환경을 건너뛰도록 Microsoft Edge를 구성합니다.
설정 범주 설정 값 Microsoft Edge 첫 실행 환경 및 시작 화면 숨기기 Enabled 브라우저 데이터의 강제 동기화 및 동기화 동의 프롬프트 표시 안 함 Enabled Microsoft OneDrive - 첫 번째 로그인 환경을 개선하기 위해 다음 설정은 자동으로 로그인하고 데스크톱, 사진 및 문서를 OneDrive로 리디렉션하도록 Microsoft OneDrive를 구성합니다. FOD(요청 기반 파일)도 권장됩니다. 기본적으로 사용하도록 설정되며 다음 목록에 포함되지 않습니다. OneDrive 동기화 앱의 권장 구성에 대한 자세한 내용은 Microsoft OneDrive의 권장 동기화 앱 구성으로 이동하세요.
설정 범주 설정 값 OneDrive Windows 자격 증명을 사용하여 OneDrive 동기화 앱에 자동으로 사용자 로그인 Enabled Windows 알려진 폴더를 OneDrive로 자동 이동 Enabled 참고
자세한 내용을 확인하려면 알려진 폴더 리디렉션으로 이동하세요.
다음 스크린샷은 제안된 각 설정이 구성된 설정 카탈로그 프로필의 예를 보여줍니다.
9단계 - 일부 애플리케이션 만들기 및 할당
클라우드 네이티브 엔드포인트에는 일부 애플리케이션이 필요합니다. 시작하려면 다음 응용 프로그램을 구성하고 이전에 만든 Autopilot 클라우드 네이티브 Windows 엔드포인트 그룹에서 해당 응용 프로그램을 대상으로 지정하는 것이 좋습니다.
Microsoft 365 앱(이전 Office 365 ProPlus) - Word, Excel 및 Outlook과 같은 Microsoft 365 앱 Intune Windows 앱 프로필용 기본 제공 Microsoft 365 앱을 사용하여 디바이스에 쉽게 배포할 수 있습니다.
- XML이 아닌 설정 형식에 구성 디자이너를 선택합니다.
- 업데이트 채널에 현재 채널을 선택합니다.
Microsoft 365 앱을 배포하려면 Microsoft Intune을 사용하여 Windows 장치에 Microsoft 365 앱 추가로 이동하세요.
회사 포털 앱 - 필요한 애플리케이션으로 모든 디바이스에 Intune 회사 포털 앱을 배포하는 것이 좋습니다. 회사 포털 앱은 Intune, Microsoft Store 및 구성 관리자 같은 여러 원본에서 애플리케이션을 설치하는 데 사용하는 사용자의 셀프 서비스 허브입니다. 또한 사용자는 회사 포털 앱을 사용하여 디바이스를 Intune, 검사 규정 준수 상태 등과 동기화합니다.
필요에 따라 회사 포털 배포하려면 Intune 관리 디바이스에 대한 Windows 회사 포털 앱 추가 및 할당을 참조하세요.
Microsoft Store 앱(Whiteboard) - Intune 다양한 앱을 배포할 수 있지만 이 가이드의 작업을 간단하게 유지하기 위해 Microsoft Whiteboard(스토어 앱)를 배포합니다. Microsoft Intune Microsoft Store 앱 추가의 단계에 따라 Microsoft Whiteboard를 설치합니다.
2단계 - 클라우드 네이티브 Windows 엔드포인트 빌드
첫 번째 클라우드 네이티브 Windows 엔드포인트를 빌드하려면 1단계, 3단계 - 테스트 디바이스 가져오기에서 수집한 것과 동일한 가상 머신 또는 물리적 디바이스를 사용한 다음 Windows Autopilot 서비스에 하드웨어 해시를 업로드합니다. 이 장치를 사용하여 Windows Autopilot 프로세스를 진행합니다.
OOBE(첫 실행 경험)로 Windows PC 다시 시작(또는 필요한 경우 초기화)합니다.
참고
개인 또는 organization 설정을 선택하라는 메시지가 표시되면 Windows Autopilot 프로세스가 시작되지 않았습니다. 이 경우 장치를 다시 시작하고 인터넷에 액세스할 수 있도록 합니다. 그래도 작동하지 않는 경우 PC를 다시 설정하거나 Windows를 다시 설치해 보세요.
Microsoft Entra 자격 증명(UPN 또는 AzureAD\username)으로 로그인합니다.
등록 상태 페이지에는 디바이스 구성의 상태 표시됩니다.
축하합니다! 첫 번째 클라우드 네이티브 Windows 엔드포인트를 프로비전했습니다.
엔드포인트 유효성 검사
3단계로 이동하기 전에 새 디바이스에서 다음 작업을 확인합니다.
- OneDrive 폴더(데스크톱, 문서, 사진)가 리디렉션되고 동기화됩니다.
- Outlook이 열리고 Microsoft 365 프로필이 자동으로 구성됩니다.
- 회사 포털 설치되고 Microsoft Whiteboard를 사용할 수 있습니다.
- Microsoft Entra 자격 증명으로 로그인하고 클라우드 리소스에 액세스할 수 있습니다.
- 필요한 경우 온-프레미스 리소스(파일 공유, 인트라넷 사이트, 프린터)에 액세스할 수 있습니다.
Windows Hello 사용하여 온-프레미스 리소스에 액세스할 때 암호를 입력하라는 메시지가 표시되면 비즈니스용 Windows Hello Hybrid는 아직 구성되지 않았습니다. 로그인 화면에서 키 아이콘을 선택하고 대신 사용자 이름과 암호를 사용하여 테스트를 계속할 수 있습니다. 자세한 내용은 비즈니스용 Windows Hello 하이브리드를 참조하세요.
3단계 – 클라우드 네이티브 Windows 엔드포인트 보호
이 단계는 조직의 보안 설정을 구축하는 데 도움이 되도록 고안되었습니다. 이 섹션에서는 다음을 포함하여 Microsoft Intune 다양한 엔드포인트 보안 구성 요소에 주의를 기울입니다.
- MDAV(Microsoft Defender 바이러스 백신)
- Microsoft Defender 방화벽
- BitLocker 암호화
- WINDOWS LAPS(로컬 관리자 암호 솔루션)
- 보안 기준
- 클라이언트 정책 Windows 업데이트
- 준수 정책
- 조건부 액세스
MDAV(Microsoft Defender 바이러스 백신)
다음 설정은 Windows의 기본 제공 OS 구성 요소인 Microsoft Defender 바이러스 백신에 대한 최소 구성으로 권장됩니다. 이러한 설정에는 E3 또는 E5와 같은 특정 라이선스 계약이 필요하지 않으며 Microsoft Intune 관리 센터에서 사용하도록 설정할 수 있습니다.
Intune 관리 센터
Microsoft Graph관리 센터에서 엔드포인트 보안>바이러스 백신 정책>>만들기Windows 이상>프로필 유형 = Microsoft Defender 바이러스 백신으로 이동합니다.
Defender:
- 동작 모니터링 허용: 허용됨. 실시간 동작 모니터링을 켭니다.
- 클라우드 보호 허용: 허용됩니다. 클라우드 보호를 켭니다.
- Email 검사 허용: 허용됨 전자 메일 검사를 켭니다.
- 다운로드한 모든 파일 및 첨부 파일의 검사를 허용합니다. 허용됨.
- 실시간 모니터링 허용: 허용됩니다. 실시간 모니터링 서비스를 켜고 실행합니다.
- 검사 네트워크 Files 허용: 허용됨. 네트워크 파일을 검사합니다.
- 스크립트 검사 허용: 허용됨.
- 클라우드 연장 시간 제한: 50
- 정리된 맬웨어를 유지하는 일: 30
- 네트워크 보호 사용: 사용(감사 모드)
- PUA 보호: PUA 보호 켜기. 검색된 항목이 차단됩니다. 그들은 다른 위협과 함께 역사에 표시됩니다.
- 실시간 검색 방향: 모든 파일(양방향)을 모니터링합니다.
- 샘플 동의 제출: 안전한 샘플을 자동으로 보냅니다.
- 액세스 보호 허용: 허용됨.
- 심각한 위협에 대한 수정 작업: 격리. 파일을 격리로 이동합니다.
- 낮은 심각도 위협에 대한 수정 작업: 격리. 파일을 격리로 이동합니다.
- 보통 심각도 위협에 대한 수정 작업: 격리. 파일을 격리로 이동합니다.
- 심각도가 높은 위협에 대한 수정 작업: 격리. 파일을 격리로 이동합니다.
로그인하고 Intune 관리자 조직 계정으로 로그인합니다.고객의 E3 및 E5 라이선스에 대한 엔드포인트용 Microsoft Defender 포함하여 Windows Defender 구성에 대한 자세한 내용은 다음을 참조하세요.
Microsoft Defender 방화벽
Microsoft Intune Endpoint Security를 사용하여 방화벽 및 방화벽 규칙을 구성합니다. 자세한 내용을 확인하려면 Intune에서 엔드포인트 보안을 위한 방화벽 정책으로 이동하세요.
Microsoft Defender 방화벽은 NetworkListManager CSP를 사용하여 신뢰할 수 있는 네트워크를 검색할 수 있습니다. 또한 Windows를 실행하는 엔드포인트에서 도메인 방화벽 프로필로 전환할 수 있습니다.
도메인 네트워크 프로필을 사용하면 신뢰할 수 있는 네트워크, 프라이빗 네트워크 및 공용 네트워크를 기반으로 방화벽 규칙을 구분할 수 있습니다. 이러한 설정은 Windows 사용자 지정 프로필을 사용하여 적용할 수 있습니다.
참고
Microsoft Entra 조인된 엔드포인트는 LDAP를 사용하여 도메인에 가입된 엔드포인트와 동일한 방식으로 도메인 연결을 검색할 수 없습니다. 대신 NetworkListManager CSP 를 사용하여 액세스 가능한 경우 엔드포인트를 도메인 방화벽 프로필로 전환하는 TLS 엔드포인트를 지정합니다.
BitLocker 암호화
Microsoft Intune Endpoint Security를 사용하여 BitLocker로 암호화를 구성합니다.
- BitLocker 관리에 대한 자세한 내용은 Intune BitLocker를 사용하여 Windows 디바이스 암호화를 참조하세요.
- Microsoft Intune BitLocker 사용에서 BitLocker에 대한 블로그 시리즈를 확인하세요.
이러한 설정은 Microsoft Intune 관리 센터에서 사용하도록 설정할 수 있습니다. 관리 센터에서 엔드포인트 보안>디스크 암호화>관리>정책>만들기 Windows 이상>프로필 = BitLocker로 이동합니다.
다음 BitLocker 설정을 구성할 때 표준 사용자에 대해 자동으로 128비트 암호화를 사용하도록 설정하며 이는 일반적인 시나리오입니다. 그러나 organization 보안 요구 사항이 다를 수 있으므로 BitLocker 설명서를 사용하여 더 많은 설정을 확인하세요.
| 설정 범주 | 설정 | 값 |
|---|---|---|
| BitLocker | 장치 암호화 필요 | Enabled |
| 다른 디스크 암호화에 대한 경고 허용 | Disabled | |
| Standard 사용자 암호화 허용 | Enabled | |
| 복구 암호 회전 구성 | Azure AD 조인된 디바이스에 대해 새로 고침 켜기 | |
| BitLocker 드라이브 암호화 | 드라이브 암호화 방법 및 암호 강도 선택 | 구성되지 않음 |
| 조직에 대한 고유 식별자 사용 | 구성되지 않음 | |
| 운영 체제 드라이브 | 운영 체제 드라이브에 드라이브 암호화 유형 적용 | Enabled |
| 암호화 유형 선택(디바이스) | 사용된 공간 전용 암호화 | |
| 시작 시 추가 인증 필요 | Enabled | |
| 호환되는 TPM 없이 BitLocker 허용(USB 플래시 드라이브에 암호 또는 시작 키 필요) | 거짓 | |
| TPM 시작 키 및 PIN 구성 | TPM을 사용하여 시작 키 및 PIN 허용 | |
| TPM 시작 키 구성 | TPM을 사용하여 시작 키 허용 | |
| TPM 시작 PIN 구성 | TPM을 사용하여 시작 PIN 허용 | |
| TPM 시작 구성 | TPM 필요 | |
| 시작에 대한 최소 PIN 길이 구성 | 구성되지 않음 | |
| 시작 시 강화된 PIN 허용 | 구성되지 않음 | |
| 표준 사용자가 PIN 또는 암호를 변경하지 못하도록 허용 | 구성되지 않음 | |
| InstantGo 또는 HSTI를 준수하는 디바이스가 사전 부팅 PIN을 옵트아웃하도록 허용 | 구성되지 않음 | |
| 슬레이트에서 사전 부트 키보드 입력이 필요한 BitLocker 인증 사용 | 구성되지 않음 | |
| BitLocker로 보호되는 운영 체제 드라이브를 복구하는 방법 선택 | Enabled | |
| BitLocker 복구 정보의 사용자 스토리지 구성 | 48자리 복구 암호 필요 | |
| 데이터 복구 에이전트 허용 | 거짓 | |
| AD DS에 대한 BitLocker 복구 정보의 스토리지 구성 | 복구 암호 및 키 패키지 저장 | |
| 운영 체제 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요. | True | |
| BitLocker 설치 마법사에서 복구 옵션을 생략합니다. | True | |
| 운영 체제 드라이브용 AD DS에 BitLocker 복구 정보 저장 | True | |
| 부팅 전 복구 메시지 및 URL 구성 | 구성되지 않음 | |
| 고정 데이터 드라이브 | 고정 데이터 드라이브에서 드라이브 암호화 유형 적용 | Enabled |
| 암호화 유형 선택: (디바이스) | 사용자가 선택할 수 있도록 허용(기본값) | |
| BitLocker로 보호된 고정 드라이브를 복구하는 방법 선택 | Enabled | |
| BitLocker 복구 정보의 사용자 스토리지 구성 | 48자리 복구 암호 필요 | |
| 데이터 복구 에이전트 허용 | 거짓 | |
| AD DS에 대한 BitLocker 복구 정보의 스토리지 구성 | 백업 복구 암호 및 키 패키지 | |
| 고정 데이터 드라이브에 대한 복구 정보가 AD DS에 저장될 때까지 BitLocker를 사용하도록 설정하지 마세요. | True | |
| BitLocker 설치 마법사에서 복구 옵션을 생략합니다. | True | |
| 고정 데이터 드라이브에 대한 BitLocker 복구 정보를 AD DS에 저장 | True | |
| BitLocker로 보호되지 않는 고정 드라이브에 대한 쓰기 액세스 거부 | 구성되지 않음 | |
| 이동식 데이터 드라이브 | 이동식 드라이브에서 BitLocker 사용 제어 | Enabled |
| 사용자가 이동식 데이터 드라이브에 BitLocker 보호를 적용하도록 허용(디바이스) | 거짓 | |
| 사용자가 이동식 데이터 드라이브에서 BitLocker 보호를 일시 중단 및 암호 해독할 수 있도록 허용(디바이스) | 거짓 | |
| BitLocker로 보호되지 않는 이동식 드라이브에 대한 쓰기 액세스 거부 | 구성되지 않음 |
WINDOWS LAPS(로컬 관리자 암호 솔루션)
기본적으로 기본 제공 로컬 관리자 계정(잘 알려진 SID S-1-5-500)은 사용하지 않도록 설정됩니다. 문제 해결, 최종 사용자 지원 및 디바이스 복구와 같이 로컬 관리자 계정이 유용할 수 있는 몇 가지 시나리오가 있습니다. 기본 제공 관리자 계정을 사용하도록 설정하거나 새 로컬 관리자 계정을 만들기로 결정한 경우 해당 계정의 암호를 보호하는 것이 중요합니다.
LAPS(Windows 로컬 관리자 암호 솔루션)는 암호를 임의로 저장하고 Microsoft Entra 안전하게 저장하는 데 사용할 수 있는 기능 중 하나입니다. Intune MDM 서비스로 사용하는 경우 다음 단계를 사용하여 Windows LAPS를 사용하도록 설정합니다.
중요
Windows LAPS는 이름이 변경되었거나 다른 로컬 관리자 계정을 만드는 경우에도 기본 로컬 관리자 계정이 사용하도록 설정되어 있다고 가정합니다. 자동 계정 관리 모드를 구성하지 않는 한 Windows LAPS는 로컬 계정을 만들거나 사용하도록 설정하지 않습니다.
Windows LAPS 구성과 별도로 로컬 계정을 만들거나 사용하도록 설정해야 합니다. 이 작업을 스크립팅하거나 계정 CSP 또는 정책 CSP와 같은 CSP (구성 서비스 공급자)를 사용할 수 있습니다.
Windows 디바이스에 2023년 4월 이상 보안 업데이트가 설치되어 있는지 확인합니다.
자세한 내용은 Microsoft Entra 운영 체제 업데이트를 참조하세요.
Microsoft Entra Windows LAPS를 사용하도록 설정합니다.
- Microsoft Entra 로그인합니다.
- LAPS(로컬 관리자 암호 솔루션) 사용 설정에서 예>저장(페이지 맨 위)을 선택합니다.
Intune 엔드포인트 보안 정책을 만듭니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- 엔드포인트 보안>계정 보호>정책> 만들기Windows>로컬 관리자 암호 솔루션(Windows LAPS)>만들기를 선택합니다.
자세한 내용은 Intune LAPS 정책 만들기를 참조하세요.
보안 기준
보안 기준을 사용하여 Windows 엔드포인트의 보안을 강화하는 것으로 알려진 구성 집합을 적용할 수 있습니다. 보안 기준에 대한 자세한 내용울 확인하려면 Intune에 대한 Windows MDM 보안 기준 설정으로 이동하세요.
기준은 제안된 설정을 사용하여 적용하고 요구 사항에 따라 사용자 지정될 수 있습니다. 기준 내의 일부 설정으로 인해 예기치 않은 결과가 발생하거나 Windows 엔드포인트에서 실행되는 앱 및 서비스와 호환되지 않을 수 있습니다. 따라서 기준은 격리된 상태로 테스트해야 합니다. 다른 구성 프로필 또는 설정 없이 테스트 엔드포인트의 선택적 그룹에만 기준을 적용합니다.
보안 기준 알려진 문제
Windows 보안 기준의 다음 설정은 Windows Autopilot 또는 표준 사용자로 앱을 설치하는 데 문제가 발생할 수 있습니다.
- 로컬 정책 보안 옵션\관리자 권한 상승 프롬프트 동작(기본값 = 보안 데스크톱에서 동의 요청)
- 표준 사용자 권한 상승 프롬프트 동작(기본값 = 자동 권한 상승 요청 거부)
자세한 내용은 Windows Autopilot과의 정책 충돌 문제 해결을 참조하세요.
클라이언트 정책 Windows 업데이트
Windows 업데이트 클라이언트 정책은 업데이트가 디바이스에 설치되는 방법과 시기를 제어하는 클라우드 기술입니다. Intune Windows 업데이트 클라이언트 정책은 다음을 사용하여 구성할 수 있습니다.
자세한 내용을 보려면 다음으로 이동하세요.
- Microsoft Intune Windows 업데이트 클라이언트 정책 사용에 대해 알아봅니다.
- Intune for Education Deployment Workshop 비디오 시리즈의 모듈 4.2 - 비즈니스용 Windows 업데이트 기본 사항
팁
클라우드 네이티브 환경의 경우 Windows 자동 패치를 고려합니다. 자동 패치는 업데이트 링 관리 및 보고를 자동화하여 지연 기간 및 기한을 수동으로 조정할 필요가 없습니다. Microsoft Intune 포함되며 관리자 오버헤드를 최소화하면서 완전히 자동화된 정책 기반 Windows 업데이트를 원하는 조직에 권장되는 방법입니다.
준수 정책
규정 준수 정책은 클라우드 네이티브 Windows 엔드포인트의 상태를 보고합니다(예: BitLocker 사용 여부, 보안 부팅이 켜지고 Microsoft Defender 바이러스 백신이 실행 중인지 여부). 이 정책은 조건부 액세스의 기초이기도 하므로 비규격 디바이스가 organization 리소스에 액세스하지 못하도록 차단할 수 있습니다.
Windows 규정 준수 정책을 만들려면 다음을 수행합니다.
Microsoft Intune 관리 센터에 로그인합니다.
디바이스>준수>정책 만들기를 선택합니다.
플랫폼에서Windows 10 이상 만들기를> 선택합니다.
기본 사항에서 정책의 이름을 입력하고 다음을 선택합니다.
준수 설정에서 다음 권장 값을 구성하고 다음을 선택합니다.
설정 범주 설정 값 장치 상태 BitLocker 필요 필수 디바이스에서 보안 부팅을 사용하도록 설정해야 함 필수 코드 무결성 필요 필수 시스템 보안 방화벽 필수 바이러스 검사 필수 스파이웨어 방지 필수 모바일 디바이스의 잠금을 해제하는 데 암호 필요 필수 단순 암호 차단 암호 유형 영숫자 최소 암호 길이 14 암호를 요구하기 전까지 최대 비활성 시간(분) 1분 암호 만료(일) 365 재사용을 방지하기 위한 이전 암호 수 5 Defender Microsoft Defender 맬웨어 방지 프로그램 필수 최신 Microsoft Defender 맬웨어 방지 보안 인텔리전스 필수 실시간 보호 필수 팁
Microsoft 및 현재 NIST 지침 은 더 이상 주기적인 암호 만료를 권장하지 않습니다. Windows 보안 기준은 2019년에 암호 만료를 제거했습니다. 클라우드 네이티브 엔드포인트의 경우 가장 강력한 태세는 사용자를 비즈니스용 Windows Hello 및 암호 없는 로그인/FIDO2 보안 키를 사용하여 암호 없는 로그인으로 이동하고 Microsoft Entra 암호 보호를 사용하여 약한 암호를 차단하는 것입니다. 위의 값을 organization 정책과 일치하도록 조정합니다. 자세한 내용은 Microsoft Intune 암호 없는 인증을 참조하세요.
비준수에 대한 작업에서 디바이스 비규격 일정 표시를
1일(또는 organization 적합한 다른 유예 기간)으로 설정합니다.팁
조건부 액세스를 사용하는 경우 비규격 디바이스가 organization 리소스에 대한 액세스 권한을 즉시 잃지 않도록 유예 기간을 구성합니다. 규격을 받는 단계를 사용하여 사용자에게 작업을 메일로 보낼 수도 있습니다.
4단계 - 디바이스에 대한 Microsoft Entra 동적 그룹 만들기에서 Autopilot Cloud-Native Windows 엔드포인트 그룹에 정책을 할당합니다.
Windows 규정 준수 설정에 대한 자세한 내용은 Microsoft Intune Windows 디바이스 준수 설정을 참조하세요.
조건부 액세스
Microsoft Entra 조건부 액세스는 Intune 준수 신호를 사용하여 organization 리소스에 대한 액세스를 허용하거나 차단합니다. 가장 일반적인 클라우드 네이티브 패턴은 Microsoft 365 앱 및 기타 클라우드 서비스에 대한 규격 디바이스가 필요합니다 . 이 패턴은 Intune 관리형 정상 디바이스만 데이터에 액세스할 수 있도록 합니다.
일반적인 클라우드 네이티브 조건부 액세스 기준에는 다음이 포함됩니다.
- 모든 사용자에 대해 다단계 인증이 필요합니다.
- 클라우드 앱에 규격 디바이스(또는 하이브리드 Microsoft Entra 조인된 디바이스)가 필요합니다.
- 레거시 인증 프로토콜을 차단합니다.
중요
먼저 파일럿 그룹에서 조건부 액세스 정책을 테스트합니다. 잘못 구성된 정책은 관리자를 Microsoft Entra 관리 센터 잠글 수 있습니다.
단계별 지침은 다음을 참조하세요.
4단계 – 사용자 지정 적용 및 온-프레미스 구성 검토
이 단계에서는 organization 특정 설정, 앱을 적용하고 온-프레미스 구성을 검토합니다. 이 단계는 조직과 관련된 모든 사용자 지정을 빌드하는 데 도움이 됩니다. Windows의 다양한 구성 요소, 온-프레미스 AD 그룹 정책 환경에서 기존 구성을 검토하고 클라우드 네이티브 엔드포인트에 적용하는 방법을 확인하세요. 다음 분야 각각에 대한 섹션이 있습니다.
- 사용자 환경
- 장치 구성
- 온-프레미스에서 마이그레이션
- 응용 프로그램
Microsoft Edge
Microsoft Edge 배포
Microsoft Edge는 다음을 실행하는 장치에 포함됩니다.
- Windows
사용자가 로그인하면 Microsoft Edge가 자동으로 업데이트됩니다. 배포하는 동안 Microsoft Edge 업데이트를 트리거하기 위해 다음 명령을 실행할 수 있습니다.
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
이전 버전의 Windows에 Microsoft Edge를 배포하려면 Microsoft Intune에 Windows용 Microsoft Edge 추가로 이동하세요.
Microsoft Edge 구성
사용자가 Microsoft 365 자격 증명으로 로그인할 때 적용되는 Microsoft Edge 환경의 두 구성 요소는 Microsoft 365 관리 센터에서 구성할 수 있습니다.
Microsoft Edge 시작 페이지 로고는 Microsoft 365 관리 센터 내에서 조직 섹션을 구성하여 사용자 지정할 수 있습니다. 자세한 내용을 확인하려면 조직의 Microsoft 365 테마 사용자 지정으로 이동하세요.
Microsoft Edge의 기본 새 탭 페이지 환경에는 Office 365 정보 및 개인 설정된 뉴스가 포함됩니다. 설정조직 설정>뉴스>Microsoft Edge 새 탭 페이지의 Microsoft 365 관리 센터 > 이 페이지를 표시하는 방법을 사용자 지정할 수 있습니다.
설정 카탈로그 프로필을 사용하여 Microsoft Edge 다른 설정을 지정할 수도 있습니다. 예를 들어 조직에 대한 특정 동기화 설정을 구성할 수 있습니다.
-
Microsoft Edge
- 동기화에서 제외되는 유형 목록 구성 - 암호
시작 및 작업 표시줄 레이아웃
Intune을 사용하여 표준 시작 및 작업 표시줄 레이아웃을 사용자 지정하고 설정할 수 있습니다.
Windows 11:
- 시작 메뉴 레이아웃을 만들고 적용하려면 Windows 11에서 시작 메뉴 레이아웃 사용자 지정으로 이동하세요.
- 작업 표시줄 레이아웃을 만들고 적용하려면 Windows 11에서 작업 표시줄 사용자 지정으로 이동하세요.
Windows 10:
- 시작 및 작업 표시줄 사용자 지정에 대한 자세한 내용을 확인하려면 Windows 시작 및 작업 표시줄 레이아웃 관리(Windows)로 이동하세요.
- 시작 및 작업 표시줄 레이아웃을 만들려면 시작 레이아웃 사용자 지정 및 내보내기(Windows)로 이동하세요.
레이아웃을 만든 후 디바이스 제한 프로필을 구성하여 Intune 업로드할 수 있습니다. 설정은 시작 범주 아래에 있습니다.
중요
2025년 10월 14일, Windows 10 지원이 종료되었으며 품질 및 기능 업데이트를 받지 못합니다. Windows 10 Intune 허용되는 버전입니다. 이 버전을 실행하는 디바이스는 여전히 Intune 등록하고 적격 기능을 사용할 수 있지만 기능이 보장되지 않으며 다를 수 있습니다.
설정 카탈로그
설정 카탈로그는 구성 가능한 모든 Windows 설정이 나열되는 단일 위치입니다. 이 기능은 정책을 만드는 방법 및 사용 가능한 모든 설정을 표시하는 방법을 간소화합니다. 자세한 내용을 확인하려면 Microsoft Intun에서 설정 카탈로그를 사용하여 정책 만들기로 이동하세요.
팁
그룹 정책에서 익숙한 대부분의 설정은 설정 카탈로그에 기본 제공됩니다. 설정 카탈로그에서 설정을 사용할 수 없는 경우 디바이스 구성 프로필 템플릿을 검사.
다음은 조직과 관련이 있을 수 있는 설정 카탈로그에서 사용할 수 있는 몇 가지 설정입니다.
active Directory 기본 설정 테넌트 도메인 Azure - 이 설정은 기본 설정 테넌트 도메인 이름을 사용자의 사용자 이름에 추가하도록 구성합니다. 기본 테넌트 도메인을 사용하면 사용자의 도메인 이름이 기본 테넌트 도메인과 일치하는 한 사용자가 전체 UPN이 아닌 사용자 이름으로만 엔드포인트를 Microsoft Entra 로그인할 수 있습니다. 다른 도메인 이름이 있는 사용자의 경우 전체 UPN을 입력할 수 있습니다.
설정 범주 설정 값 인증 기본 설정 AAD 테넌트 도메인 이름 도메인 이름(예: contoso.onmicrosoft.com)을 입력합니다.참고
설정 레이블은 레거시 용어를 사용합니다. "AAD"는 Microsoft Entra ID 나타냅니다.
Windows 추천 - 기본적으로 Windows의 여러 소비자 기능이 사용하도록 설정되어 선택한 스토어 앱이 설치되고 잠금 화면에 타사 제안이 표시됩니다. 설정 카탈로그의 환경 섹션을 사용하여 이를 제어할 수 있습니다.
설정 범주 설정 값 환경 > Windows 추천 허용 Windows 소비자 기능 허용 차단 Windows 추천에서 타사 제안 허용(사용자) 차단 Microsoft Store - 조직은 일반적으로 엔드포인트에 설치할 수 있는 애플리케이션을 제한하려고 합니다. 조직이 Microsoft Store에서 설치할 수 있는 응용 프로그램을 제어하려는 경우 이 설정을 사용합니다. 이 설정은 승인되지 않은 경우 사용자가 애플리케이션을 설치할 수 없도록 합니다.
설정 범주 설정 값 Microsoft App Store 개인 저장소만 필요 프라이빗 저장소만 사용할 수 있습니다. 참고
이 설정은 Windows 10 적용됩니다. Windows 11 이 설정은 공용 Microsoft 스토어에 대한 액세스를 차단합니다. 자세한 내용을 보려면 다음으로 이동하세요.
게임 차단 - 조직에서는 회사 엔드포인트를 사용하여 게임을 플레이할 수 없도록 할 수 있습니다. 다음 설정을 사용하여 설정 앱 내의 게임 페이지를 완전히 숨길 수 있습니다. 설정 페이지 표시 여부에 대한 자세한 내용을 확인하려면 CSP 설명서 및 ms-settings URI 스키마 참조로 이동하세요.
설정 범주 설정 값 설정 페이지 표시 유형 목록 hide:gaming-gamebar; gaming-gamedvr; 게임 브로드캐스팅; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame Teams 데스크톱 클라이언트가 로그인할 수 있는 테넌트 제어 - 이 정책이 디바이스에 구성된 경우 사용자는 이 정책에 정의된 "테넌트 허용 목록"에 포함된 Microsoft Entra 테넌트의 계정으로만 로그인할 수 있습니다. "테넌트 허용 목록"은 Microsoft Entra 테넌트 ID의 쉼표로 구분된 목록입니다. 이 정책을 지정하고 Microsoft Entra 테넌트도 정의하여 개인적인 용도로 Teams에 로그인하는 것을 차단합니다. 자세한 내용을 확인하려면 데스크톱 장치에서 로그인을 제한하는 방법으로 이동하세요.
설정 범주 설정 값 Microsoft Teams Teams에 대한 로그인을 특정 테넌트(사용자)의 계정으로 제한 Enabled
장치 제한
Windows 장치 제한 템플릿에는 Windows CSP(구성 서비스 공급자)를 사용하여 Windows 엔드포인트를 보호하고 관리하는 데 필요한 많은 설정이 포함되어 있습니다. 이러한 설정은 시간이 지남에 따라 설정 카탈로그에서 더 많이 사용할 수 있습니다. 자세한 내용을 확인하려면 장치 제한으로 이동하세요.
디바이스 제한 템플릿을 사용하는 프로필을 만들려면 Microsoft Intune 관리 센터에서디바이스>관리 디바이스>구성>새 정책>만들기> 프로필 유형에 대한 플랫폼 >템플릿 디바이스 제한에 대해 Windows 10 이상 선택으로 이동합니다.
바탕 화면 배경 사진 URL(데스크톱 전용) - 이 설정을 사용하여 Windows Enterprise 또는 Windows Education SKU에서 배경 화면을 설정합니다. 온라인으로 파일을 호스트하거나 로컬로 복사된 파일을 참조합니다. 이 설정을 구성하려면 디바이스 제한 프로필의 구성 설정 탭에서 개인 설정을 확장하고 데스크톱 배경 사진 URL(데스크톱에만 해당)을 구성합니다.
사용자가 디바이스를 설정하는 동안 네트워크에 연결하도록 요구 - 이 설정은 컴퓨터가 다시 설정되면 디바이스가 Windows Autopilot을 건너뛸 수 있는 위험을 줄입니다. 이 설정을 사용하려면 기본 제공 환경 단계에서 장치에 네트워크 연결이 필요합니다. 이 설정을 구성하려면 디바이스 제한 프로필의 구성 설정 탭에서 일반을 확장하고 디바이스를 설정하는 동안 사용자가 네트워크에 연결하도록 요구 구성합니다.
참고
이 설정은 다음에 장치를 초기화하거나 재설정할 때 적용됩니다.
배달 최적화
배달 최적화는 여러 엔드포인트 간에 지원되는 패키지를 다운로드하는 작업을 공유하여 대역폭 사용을 줄이는 데 사용됩니다. 배달 최적화는 클라이언트가 네트워크의 피어와 같은 대체 원본에서 해당 패키지를 다운로드할 수 있도록 하는 자체 구성 분산 캐시입니다. 이러한 피어 원본은 기존의 인터넷 기반 서버를 보완합니다. 배달 최적화에 사용할 수 있는 모든 설정과 Windows 업데이트용 배달 최적화에서 지원되는 다운로드 유형을 확인할 수 있습니다.
배달 최적화 설정을 적용하려면 Intune 배달 최적화 프로필 또는 설정 카탈로그 프로필을 생성합니다.
조직에서 일반적으로 사용하는 몇 가지 설정은 다음과 같습니다.
- 피어 선택 제한 – 서브넷 - 이 설정은 동일한 서브넷의 컴퓨터로 피어 캐싱을 제한합니다.
- 그룹 ID - 배달 최적화 클라이언트는 동일한 그룹의 디바이스와만 콘텐츠를 공유하도록 구성할 수 있습니다. 그룹 ID는 정책을 통해 GUID를 보내거나 DHCP 범위의 DHCP 옵션을 사용하여 직접 구성할 수 있습니다.
Microsoft Configuration Manager 사용하는 고객은 배달 최적화 콘텐츠를 호스트하는 데 사용할 수 있는 연결된 캐시 서버를 배포할 수 있습니다. 자세한 내용을 확인하려면 구성 관리자의 Microsoft 연결된 캐시로 이동하세요.
로컬 관리자
모든 Microsoft Entra 가입된 Windows 디바이스에 대한 로컬 관리자 액세스 권한이 필요한 사용자 그룹이 하나만 있는 경우 Microsoft Entra 조인된 디바이스 로컬 관리자에 추가할 수 있습니다.
IT 기술 지원팀 또는 다른 지원 담당자가 선택한 장치 그룹에 대해 로컬 관리자 권한을 가지도록 요구할 수 있습니다. 다음 CSP(구성 서비스 공급자)를 사용하여 이 요구 사항을 충족할 수 있습니다.
- 로컬 사용자 및 그룹 CSP (기본 설정)
- 제한된 그룹 CSP (업데이트 작업 없음, 바꾸기만 해당)
자세한 내용은 Microsoft Entra 조인된 디바이스에서 로컬 관리자 그룹을 관리하는 방법을 참조하세요.
그룹 정책을 MDM 설정 마이그레이션으로
그룹 정책 클라우드 네이티브 장치 관리로의 마이그레이션을 고려할 때 장치 구성을 만드는 몇 가지 옵션이 있습니다.
- 새로 시작하고 필요에 따라 사용자 지정 설정을 적용합니다.
- 기존 그룹 정책을 검토하고 필요한 설정을 적용합니다. 그룹 정책 분석과 같은 도구를 사용하여 도움을 줄 수 있습니다.
- 그룹 정책 분석을 사용하여 지원되는 설정에 대한 디바이스 구성 프로필을 직접 만듭니다.
클라우드 네이티브 Windows 엔드포인트로의 전환은 최종 사용자 컴퓨팅 요구 사항을 검토하고 미래를 위한 새 구성을 설정할 수 있는 기회를 나타냅니다. 가능한 경우 최소한의 정책 집합으로 새로 시작합니다. 도메인에 조인된 환경이나 Windows 7 또는 Windows XP와 같은 이전 운영 체제에서 불필요한 설정이나 레거시 설정을 전달하지 마세요.
새로 시작하려면 현재 요구 사항을 검토하고 이러한 요구 사항에 맞게 최소한의 설정 컬렉션을 구현합니다. 요구 사항에는 최종 사용자 환경을 개선하기 위한 규정 또는 필수 보안 설정과 설정이 포함될 수 있습니다. 비즈니스는 IT가 아닌 요구 사항 목록을 만듭니다. 모든 설정을 문서화하고 이해하며 목적에 맞아야 합니다.
기존 그룹 정책에서 MDM(Microsoft Intune)으로 설정을 마이그레이션하는 것이 기본 방법이 아닙니다. 클라우드 네이티브 Windows로 전환할 때 기존 그룹 정책 설정을 리프트 앤 시프트하지 않아야 합니다. 대신 대상 그룹과 필요한 설정을 고려합니다. 환경의 각 그룹 정책 설정을 검토하여 최신 관리 장치와의 관련성 및 호환성을 확인하는 것은 시간이 오래 걸리고 실용적이지 않을 수 있습니다. 모든 그룹 정책 및 개별 설정을 평가하지 않도록 합니다. 대신 대부분의 장치 및 시나리오를 다루는 일반적인 정책을 평가하는 데 집중합니다.
대신 필수 그룹 정책 설정을 식별하고 사용 가능한 MDM 설정에 대해 해당 설정을 검토합니다. 모든 간격은 해결되지 않은 경우 클라우드 네이티브 장치로 이동하지 못하게 할 수 있는 차단기를 나타냅니다. 그룹 정책 분석과 같은 도구를 사용하여 그룹 정책 설정을 분석하고 MDM 정책으로 마이그레이션할 수 있는지 여부를 확인할 수 있습니다.
스크립트
기본 제공 구성 프로필 외부에서 구성해야 하는 설정 또는 사용자 지정에 대해 PowerShell 스크립트를 사용할 수 있습니다. 자세한 내용을 확인하려면 Microsoft Intune에서 Windows 장치에 PowerShell 스크립트 추가 로 이동하세요.
네트워크 드라이브 및 프린터 매핑
클라우드 네이티브 시나리오에는 매핑된 네트워크 드라이브에 대한 기본 제공 솔루션이 없습니다. 대신 사용자가 Teams, SharePoint 및 OneDrive로 마이그레이션하는 것이 좋습니다. 마이그레이션이 가능하지 않은 경우 필요한 경우 스크립트를 사용하는 것이 좋습니다.
개인 저장소의 경우 8단계 - 최적의 Microsoft 365 환경을 위한 설정 구성에서 OneDrive 알려진 폴더 이동을 구성했습니다. 자세한 내용을 확인하려면 알려진 폴더 리디렉션으로 이동하세요.
문서 저장소의 경우 사용자는 파일 탐색기와 SharePoint 통합과 라이브러리를 로컬로 동기화하는 기능(SharePoint 및 Teams 파일을 컴퓨터와 동기화)을 이점으로 사용할 수 있습니다.
일반적으로 내부 서버에 있는 회사 Office 문서 템플릿을 사용하는 경우 사용자가 어디에서나 템플릿에 액세스할 수 있도록 하는 새로운 클라우드 기반 템플릿을 고려하세요.
인쇄 솔루션의 경우 유니버설 인쇄를 고려합니다. 자세한 내용을 보려면 다음으로 이동하세요.
응용 프로그램
Intune은 다양한 Windows 응용 프로그램 유형의 배포를 지원합니다.
- MSI(Windows Installer) – Microsoft Intune에 Windows 기간 업무 앱 추가
- MSIX –Microsoft Intune에 Windows 기간 업무 앱을 추가
- Win32 앱(MSI, EXE, 스크립트 설치 관리자) – Microsoft Intune에서 Win32 앱 관리
- 스토어 앱 – Microsoft Intune에 Microsoft Store 앱 추가
- 웹 링크 - Microsoft Intune에 웹앱 추가
MSI, EXE 또는 스크립트 설치 관리자를 사용하는 응용 프로그램이 있는 경우 Microsoft Intune에서 Win32 앱 관리를 사용하여 이러한 응용 프로그램을 모두 배포할 수 있습니다. 이러한 설치 관리자를 Win32 형식으로 래핑하면 Windows Autopilot의 등록 상태 페이지에 대한 알림, 배달 최적화, 종속성, 검색 규칙 및 지원을 포함하여 더 많은 유연성과 이점을 얻을 수 있습니다.
참고
설치하는 동안 충돌을 방지하려면 Windows 기간 업무 앱 또는 Win32 앱 기능을 단독으로 사용하는 것이 좋습니다. 또는 .exe로 패키지된 애플리케이션이 있는 경우 GitHub에서 사용할 수 있는 Microsoft Win32 콘텐츠 준비 도구를 사용하여 Win32 앱(.intunewin)으로 .msi 변환할 수 있습니다.
5단계 - Windows Autopilot을 사용하여 배포 크기 조정
한 디바이스에서 클라우드 네이티브 작동을 입증했습니다. 이 단계에서는 테스트 디바이스에서 프로덕션 플릿으로 이동하는 방법, 디바이스 등록 방법, 가상 사용자별로 디바이스를 그룹화하는 방법, 출시를 준비하는 방법 및 이미 관리하는 기존 PC를 처리하는 방법을 설명합니다.
대규모로 디바이스 등록
1단계에서는 하드웨어 해시를 수동으로 업로드했습니다. 랩에서는 괜찮지만 크기는 조정되지 않습니다. 프로덕션 준비 옵션은 다음과 같습니다.
| 등록 원본 | 작동 방법 | 가장 적합합니다. |
|---|---|---|
| OEM 또는 하드웨어 파트너 | 디바이스는 이미 테넌트(Dell, HP, Lenovo, Microsoft, Surface 등)에 등록된 공급업체에서 배송됩니다. | 새 하드웨어 조달 - 권장 대상 상태입니다. |
| 재판매인 또는 CSP | Microsoft 파트너가 사용자를 대신하여 디바이스를 등록합니다. | 간접 또는 혼합 공급망. |
| 수동 해시 업로드(CSV) | CSV로 대량 업로드된 1단계, 3단계의 동일한 Get-WindowsAutopilotInfo 흐름입니다. |
파일럿, 랩 디바이스, 작은 일괄 처리, 온보딩 중인 기존 디바이스. |
| Intune 커넥터/직접 등록 | 관리 센터에 최신 등록 경로가 표시되었습니다. | 특정 등록 시나리오 - Autopilot 등록 개요를 참조하세요. |
자세한 내용은 Autopilot 디바이스 등록을 참조하세요.
팁
새 Windows 하드웨어를 구입할 때마다 재판매인 또는 OEM에게 구매 시 Microsoft Entra 테넌트 ID에 디바이스를 등록하도록 요청합니다. 이 방법은 가장 낮은 마찰 장기 패턴이며 해시를 수동으로 수집할 필요가 없습니다.
가상 사용자에 그룹 태그 사용
이미 1단계에서 CloudNative 그룹 태그를 사용하여 동적 그룹을 구동했습니다. 동일한 패턴이 여러 디바이스 가상 사용자로 확장됩니다. 가상 사용자당 하나의 그룹 태그, 태그당 하나의 동적 Microsoft Entra 그룹 및 하나의 Autopilot 배포 프로필과 그룹당 등록 상태 페이지를 정의합니다.
| 가상 사용자 | 제안된 그룹 태그 | Autopilot 프로필 | 사용자 계정 유형 |
|---|---|---|---|
| 지식 근로자 | KnowledgeWorker |
사용자 기반 | Standard 사용자 |
| 개발자/전원 사용자 | Developer |
사용자 기반 | 관리자 |
| 키오스크 또는 공유 디바이스 | Kiosk |
자체 배포 | 해당 없음 |
| 미리 프로비전된(흰색 장갑) | PreProvisioned |
미리 프로비저닝됨 | Standard 사용자 |
이 패턴은 구성, 앱 및 보안 정책을 가상 사용자별로 격리하고 테넌트 전체에서 일회성 예외가 발생하지 않도록 방지합니다.
링으로 롤아웃
한 번에 전체 함대에 배포하지 마세요. Windows 업데이트 사용하는 것과 동일한 링 개념을 사용합니다.
| 반지 | 대상 그룹 | 용도 |
|---|---|---|
| 파일럿 | IT 팀과 소규모 자원 봉사자 그룹 | 엔드 투 엔드 프로비저닝 및 정책의 유효성을 검사합니다. |
| 얼리 어답터 | 부서에 분산된 사용자의 5% | 가상 사용자 및 앱 관련 문제를 파악합니다. |
| 넓은 | 나머지 함대는 지역 또는 부서별로 준비됩니다. | 프로덕션 출시. |
할당 필터를 사용하여 모든 정책에 대해 중복 그룹을 만드는 대신 링을 대상으로 지정합니다. 다음으로 승격하기 전에 클라우드 네이티브 Windows 엔드포인트 모니터링 섹션을 사용하여 각 링을 모니터링합니다.
기존 디바이스 처리
이미 관리하는 Windows PC의 경우 현재 전체 플릿을 다시 프로비전하는 대신 다음 하드웨어 새로 고침 시 Autopilot으로 이동하는 것이 좋습니다. 클라우드 네이티브 Windows는 클린 OOBE 시작에서 모든 이점을 얻을 수 있으며, 새로 고침 주기를 사용하면 사용자 중단을 최소화하면서 자연스럽게 전환할 수 있습니다.
새로 고침을 기다릴 수 없는 경우 다음 두 경로를 사용할 수 있습니다.
- 등록하고 다시 설정합니다. 기존 디바이스에 대한 해시를 수집하고 Autopilot에 등록한 다음 PC를 다시 설정합니다. 디바이스는 OOBE를 통해 클라우드 네이티브 엔드포인트로 다시 제공됩니다. Windows Autopilot에 기존 디바이스 추가를 참조하세요.
- 새로 고침을 이미지로 다시 설치합니다. 새 하드웨어 또는 새로 고침된 하드웨어만 클라우드 네이티브로 등록됩니다. 기존 디바이스는 수명이 끝날 때까지 현재 관리 상태를 유지합니다.
주의
공동 관리 계획 없이 Microsoft Configuration Manager 적극적으로 관리되는 디바이스를 등록하지 마세요. Autopilot에 등록하기 전에 디바이스가 클라우드 관리, 공동 관리 또는 구성 관리자 유지할지 여부를 결정합니다. 자세한 내용은 Windows 디바이스에 대한 공동 관리를 참조하세요.
자세히 알아보기
Windows Autopilot이 시나리오에 적합하지 않은 경우 Windows 디바이스에 대한 Intune 등록 방법을 참조하세요.
클라우드 네이티브 Windows 엔드포인트 모니터링
클라우드 네이티브 Windows 엔드포인트를 프로비전하고 구성한 후 Microsoft Intune 관리 센터의 모니터링 보기를 사용하여 정책, 스크립트 및 앱이 성공적으로 배포되었는지 확인하고 문제를 조기에 발견합니다. 모니터링은 일회성 설정 단계가 아니라 진행 중인 운영 작업입니다.
| 모니터링할 항목 | 관리 센터에서 | 검토할 내용 | 추가 정보 |
|---|---|---|---|
| 스크립트 상태 | 장치>플랫폼>별Windows>디바이스> 관리스크립트 및 수정>플랫폼 스크립트 | 디바이스 상태 스크립트 > 선택 | — |
| 앱 설치 상태 | 애플 리 케이 션>Windows>Windows 앱 | 앱 >디바이스 설치 상태 선택 또는 사용자 설치 상태 | 앱 설치 문제 해결 |
| 보안 기준 | — | — | Intune 보안 기준 모니터링 |
| 디스크 암호화(BitLocker) | 엔드포인트 보안>디스크 암호화 | BitLocker 정책 >디바이스 설치 상태 선택합니다. 복구 키: 디바이스>Windows>에서 디바이스 >복구 키를 선택합니다. | — |
| Windows 업데이트 링 | 장치>업데이트> 관리Windows 10 이상 업데이트>링 | 링 >디바이스 상태 선택 | 업데이트 링에 대한 보고서 |
| 규정 준수 | 장치>준수 | 정책을 선택하여 할당 결과, 비규격 디바이스 및 설정별 오류를 확인합니다. | 규정 준수 정책 모니터링 |
| 엔드포인트 분석 | 보고서>엔드포인트 분석 | 차량 전체의 시작 성능, 앱 안정성 및 사전 예방적 수정 | 엔드포인트 분석 개요 · Intune 보고서 |
클라우드 네이티브 엔드포인트 지침 따르기
- 개요: 클라우드 네이티브 엔드포인트란?
- 🡺 자습서: Microsoft Intune 사용하여 클라우드 네이티브 Windows 엔드포인트 설정(여기 있음)
- 개념: 조인된 Microsoft Entra 하이브리드 Microsoft Entra 조인됨
- 개념: 클라우드 네이티브 엔드포인트 및 온-프레미스 리소스
- 개괄적인 계획 가이드
- 알려진 문제 및 중요 정보
질문과 대답
클라우드 네이티브 Windows 엔드포인트란?
클라우드 네이티브 Windows 엔드포인트는 온-프레미스 Active Directory, 그룹 정책 또는 도메인 컨트롤러에 종속되지 않고 Microsoft Intune Microsoft Entra 가입되고 등록된 Windows 디바이스입니다. 모든 구성, 보안 및 앱 배포는 Microsoft Intune 및 Windows Autopilot을 사용하여 클라우드에서 관리됩니다.
클라우드 네이티브와 하이브리드 Microsoft Entra 조인의 차이점은 무엇인가요?
하이브리드 Microsoft Entra 조인 디바이스는 온-프레미스 Active Directory 및 Microsoft Entra 모두에 조인됩니다. 여전히 인증을 위한 도메인 컨트롤러에 따라 달라지고 구성에 대한 그룹 정책. 클라우드 네이티브(Microsoft Entra 조인된 디바이스)에는 온-프레미스 종속성(ID, 정책 및 앱 모두 클라우드에서 온)이 없습니다. 자세한 비교는 조인된 Microsoft Entra 하이브리드 Microsoft Entra 조인을 참조하세요.
클라우드 네이티브 엔드포인트에 대한 Windows 11 필요합니까?
아니요. 클라우드 네이티브 Windows는 Windows 10 22H2 이상에서 작동합니다. Windows Autopilot, 비즈니스용 Windows Hello 및 최신 보안 기능을 사용하여 최상의 환경을 위해 Windows 11 권장합니다.
기존 도메인 가입 디바이스를 클라우드 네이티브로 이동할 수 있나요?
예, 하지만 전체 플릿을 다시 프로 비전하는 대신 다음 하드웨어 새로 고침 시 수행하는 것이 좋습니다. 클라우드 네이티브 Windows는 클린 OOBE 시작을 통해 모든 이점을 얻을 수 있습니다. 새로 고침을 기다릴 수 없는 디바이스의 경우 5단계에서 기존 디바이스 처리를 참조하세요.
클라우드 네이티브 Windows는 파일 공유 및 프린터와 같은 온-프레미스 리소스에서 작동하나요?
예, 몇 가지 계획. 클라우드 네이티브 디바이스는 VPN을 통해 또는 Microsoft Entra 애플리케이션 프록시를 통해 온-프레미스 리소스에 액세스할 수 있습니다. 파일 스토리지의 경우 OneDrive 및 SharePoint로 마이그레이션하는 것이 좋습니다. 인쇄의 경우 유니버설 인쇄를 고려하세요. 자세한 지침 은 클라우드 네이티브 엔드포인트 및 온-프레미스 리소스 를 참조하세요.
유용한 온라인 리소스
- Windows 장치에 대한 공동 관리
- Windows 구독 활성화
- Microsoft Entra 조건부 액세스 정책에 따라 리소스에 대한 액세스를 허용하거나 거부할 수 있는 Intune 디바이스 준수 정책 구성
- 스토어 앱 추가
- Win32 앱 추가
- Intune에서 인증에 인증서 사용
- VPN 및 Wi-Fi를 포함한 네트워크 프로필 배포
- 다단계 인증 배포
- Microsoft Edge에 대한 보안 기준