ASD 청사진에 정렬된 Windows 365 대한 구성 지침
Windows 365 Enterprise 클라우드 PC는 최종 사용자를 위한 Windows 365 가상 머신(클라우드 PC)을 자동으로 만드는 클라우드 기반 DaaS(Desktop-as-a Service)입니다. Microsoft 365의 생산성, 보안, 보호된 수준의 규정 준수 및 공동 작업 이점을 제공합니다.
Microsoft 서비스 신뢰 포털에서 사용할 수 있는 Microsoft 365의 호주 정부 IRAP(Infosec 등록 평가자 프로그램) 평가에는 평가된 서비스의 scope Windows 365 포함되어 있습니다. 서비스는 보호된 수준의 데이터를 보유하도록 평가 됩니다 . 보호는 오스트레일리아의 퍼블릭 클라우드 서비스에 적용되는 가장 높은 수준의 보안 평가입니다. 이 서비스는 제로 트러스트 사용하여 빌드되며 전송 중 및 미사용 중에 암호화됩니다.
그러나 중요한 환경에 배포된 새 서비스와 마찬가지로 Windows 365 도입하려면 특정 구성이 필요합니다. 이 구성 계획 가이드는 중요한 정보를 처리하는 운영 프레임워크 내에서 Windows 365 성공적으로 배포하는 데 필요한 고려 사항을 해결하기 위한 것입니다. 이 지침에서는 Microsoft 365용 보안 클라우드 구성 지침에 따라 Windows 365 구독 라이선스 및 Microsoft 365 Enterprise E3 또는 E5에 대한 액세스를 가정합니다. 이 가이드는 다음 문서와 함께 사용됩니다.
- Microsoft PSPF(보호 보안 정책 프레임워크) 가이드: PSPF 요구 사항을 준수하기 위해 Microsoft 제품을 사용하는 방법에 대한 규범적 지침입니다.
- Microsoft Essential 8 가이드: 성숙도 1~3에 대한 필수 8을 준수하기 위해 Microsoft 제품을 사용하는 방법에 대한 규범적 지침입니다.
- 보안 클라우드용 ASD(Australian Signals Directorate) 청사진: ASD 청사진에 연결하여 조직이 클라우드 작업 영역을 설계, 구성 및 배포할 때 ISM 및 PSPF의 요구 사항과 함께 고려할 수 있는 실질적인 지침을 제공합니다.
계획 Windows 365
Windows 365 Enterprise 설명서는 Windows 365 클라우드 배포를 위한 포괄적인 가이드입니다. 오스트레일리아의 ASD 청사진 및 규제가 높은 산업에 맞게 이 문서를 Windows 365 Enterprise 설명서와 함께 사용해야 합니다.
팁
클라우드 PC와 물리적 PC는 모두 Intune 통해 관리할 수 있으므로 필수 8, RBAC(역할 기반 액세스 제어), 물리적 디바이스에 적용할 수 있는 분석을 포함하여 보안 기준과 같은 기존 컨트롤을 클라우드 PC에도 적용할 수 있습니다.
프로비저닝 정책 설정
ASD 청사진에 맞게 다음 특정 단계를 수행하여 Windows 365 지침에 대한 프로비저닝 정책 만들기에 따라 지침을 따릅니다.
일반 탭
조인 유형 세부 정보에서 가능하면 Microsoft Entra 조인 및 Microsoft 호스팅 네트워크를 선택하는 것이 좋습니다. 이 선택은 관리 용이성, 보안 및 단순성과 결합된 최적의 최종 사용자 환경을 제공합니다. 네트워크 및 보안 관점에서 이 구성은 클라우드 PC를 보안 VPN을 통해 온-프레미스 및 지정된 프라이빗 리소스에만 연결할 수 있는 격리된 디바이스로 취급합니다.
온-프레미스 액세스가 필요한 클라우드 PC 사용자의 경우 Windows 365 대한 Azure 네트워크 연결 만들기를 참조하세요. 하이브리드 조인 사용자가 ISM(정보 보안 설명서) 보호 원칙 11에 따라 불필요한 액세스를 제한하는 것과 온-프레미스 액세스가 필요하지 않은 다른 사용자를 위한 두 가지 프로비저닝 정책을 만들어 최적의 성능과 보안을 보장하는 것이 좋습니다.
ISM에는 데이터의 위치 저장과 관련된 필수 요구 사항이 없습니다. Microsoft는 사용자가 연결하는 가장 가까운 지역에 클라우드 PC를 프로비전하는 최상의 최종 사용자 환경을 권장합니다. 대기 시간이 긴 애플리케이션의 경우 사용자 또는 백 엔드 시스템에 가까운 지역을 대상으로 지정하여 최적의 최종 사용자 환경을 보장할 수 있습니다. ASD 청사진 다음의 가장 일반적인 사용 사례의 경우 사용자는 오스트레일리아에 있습니다(예: Microsoft Entra Join 및 Microsoft 호스팅 네트워크).
지리오스트레일리아를 선택합니다.
지역자동 선택(권장)
Windows 365 클라우드 PC 프로비전하는 데 사용할 수 있는 다른 Azure 지리 및 지역에 대한 자세한 내용은 클라우드 PC 프로비저닝에 지원되는 지역 및 지역을 참조하세요.
Microsoft Entra SSO(Single Sign-On) 사용을 선택합니다. SSO를 기본 설정으로 사용하도록 설정 해야 합니다. 자세한 내용은 Windows 365 ID 및 인증을 참조하세요.
다음을 선택합니다.
구성 탭
Windows 설정
언어 및 지역에서 영어(뉴질랜드)를 선택합니다.
참고
영어(오스트레일리아)는 아직 Windows 365 사용할 수 없습니다. 뉴질랜드 옵션을 선택하는 것이 호주 영어와 가장 유사합니다.
클라우드 PC 이름 지정
클라우드 PC 명명의 경우 특정 명명 규칙이 필요하지 않은 경우 클라우드 PC가 프로비전될 때 Microsoft에서 PC 이름을 자동으로 만들므로 이 확인란을 선택 취소하는 것이 좋습니다. 기본 클라우드 PC 이름은 접두사로 지정 CPC됩니다.
추가 서비스
Microsoft는 Windows 365 Enterprise 및 최전방 전용 모드에 자동 패치를 사용하는 것이 좋습니다. organization 엔드포인트에 대해 Essential 8 Maturity Level 3을 달성하는 데 도움이 됩니다.
Essential 8 맞춤 설정에서 자동 패치를 사용하는 방법에 대한 자세한 내용은 Windows 365 Autopatch를 사용하는 Essential 8 지침을 참조하세요.
다음을 선택합니다. 만들기를 선택하면 클라우드 PC 프로비전이 시작됩니다.
scope 태그, 할당 및 검토 + 만들기에 대한 나머지 단계는 Windows 365 대한 프로비전 정책 가이드에 따라 수행됩니다.
팁
범위 태그는 환경에서 세분화된 관리 제어를 제공하는 데 사용됩니다. 자세한 내용은 RBAC 및 scope 태그 사용을 참조하세요.
창 365 애플리케이션 권장 사항
Windows App 사용자가 Windows 365 클라우드 PC, Azure Virtual Desktop 또는 Dev Box와 같은 Microsoft DaaS 중 하나에 연결할 수 있는 통합 환경을 제공합니다. 데스크톱 액세스는 경량 설치 가능 클라이언트 또는 최신 HTML5 브라우저를 통해 사용할 수 있습니다.
다음 위치 중 하나에서 Windows App 다운로드합니다.
- https://windows365.microsoft.com
- Microsoft Store 앱 및 Windows App 검색
Windows App(클라이언트 또는 브라우저)를 사용하여 클라우드 PC 데스크톱에 대한 액세스를 더욱 안전하게 보호하려면 권한 부여 및 규정 준수를 위한 조건부 액세스 정책 및/또는 데이터 거버넌스를 위한 MAM(모바일 애플리케이션 관리) 구성 정책을 사용합니다.
Intune 권장 청사진 설정
Windows 365 보안 기준
Microsoft Intune 관리 센터에서Windows 365 보안 기준을 배포합니다. 단계별 지침은 Windows 365 보안 기준을 참조하세요.
클라우드 PC에 대한 RDP 디바이스 리디렉션 관리
INTUNE RDP(원격 데스크톱 프로토콜) 리디렉션 설정은 사용자가 클라우드 PC에 액세스하는 방법과 조직 및 최종 사용자 요구 사항에 맞게 조정할 수 있는 액세스 권한이 있는 특정 기능을 결정합니다.
팁
ASD는 조직에서 "고유한 요구 사항, 위험 욕구 및 조직 문화와 함께 청사진을 고려"할 것을 권고합니다. 제안된 리디렉션은 organization 특정 사용 사례에 맞게 평가되고 조정되어야 합니다.
| 리디렉션 | 자세한 가이드 | 기본 설정 | 참고 |
|---|---|---|---|
| 오디오 및 비디오 리디렉션 | 오디오 및 비디오 리디렉션 구성 | 기본값은 오디오 및 비디오 재생 리디렉션을 사용하도록 설정되어 로컬 컴퓨터로의 리디렉션을 허용합니다. | 이 설정을 변경하는 경우 ASD 청사진에서 접근성 조언을 고려합니다. 이 설정을 기본값으로 유지합니다. |
| 오디오 캡처 리디렉션 | 오디오 캡처 리디렉션 구성 | 기본값은 오디오 녹음 리디렉션이 차단되지 않고 클라우드 PC에서 오디오 녹음 리디렉션을 사용하도록 설정하는 것입니다. |
ASD 청사진은 소리 녹음을 차단하는 것이 좋습니다. 오디오 녹음/녹화 리디렉션> 허용 사용안 함에서 설정을 구성합니다. |
| 카메라, 웹캠 및 비디오 캡처 | 카메라, 웹캠 및 비디오 캡처 리디렉션 구성 | 기본값은 카메라, 웹캠 및 비디오 캡처 주변 장치 리디렉션이 사용되며 로컬 컴퓨터로 리디렉션할 수 있습니다. | 이 설정을 변경하는 경우 ASD 청사진에서 접근성 조언을 고려합니다. 이 설정을 기본값으로 유지합니다. |
| 클립보드 | 원격 데스크톱 프로토콜을 통한 클립보드 리디렉션 구성 | 기본값은 클립보드 리디렉션이 차단되지 않음입니다. 클립보드는 원격 세션과 로컬 디바이스 간에 양방향으로 리디렉션됩니다. |
ASD 청사진은 클립보드 리디렉션을 차단하는 것이 좋습니다. 클립보드 리디렉션> 허용 안 함 사용에서 설정을 구성합니다. |
| 드라이브 및 스토리지 | 고정, 이동식 및 네트워크 드라이브 리디렉션 구성 | 기본값은 모든 드라이브가 로컬 디바이스에서 원격 세션으로 리디렉션되며, 여기에는 나중에 연결된 드라이브가 포함됩니다. |
ASD 청사진은 드라이브 리디렉션을 차단하는 것이 좋습니다. 드라이브 리디렉션> 허용 안 함 사용에서 설정을 구성합니다. |
| 위치 | 위치 리디렉션 구성 | 기본값은 위치 정보를 공유하는 사용자 컨트롤입니다. | Force Location On은 SaaS 보호를 위한 ASD Blueprint 권장 사항을 따르는 클라우드용 Defender 앱 변칙 검색 정책을 사용하여 불가능한 이동과 같은 위치 변칙을 식별하는 데 도움이 됩니다. |
| MTP 및 PTP | Windows에서 미디어 전송 프로토콜 및 사진 전송 프로토콜 리디렉션 구성 | 기본값은 MTP이고 PTP 리디렉션은 사용하도록 설정됩니다. | 지원되는 플러그 앤 플레이 디바이스 리디렉션>사용 허용 안 함에서 설정을 구성합니다. |
| 프린터 | 프린터 리디렉션 구성 | 기본값은 모든 프린터가 로컬 디바이스에서 원격 세션으로 리디렉션되고 로컬 디바이스의 기본 프린터는 클라우드 PC의 기본 프린터입니다. |
ASD Blueprint는 Office용으로만 인쇄를 사용하도록 설정하는 것이 좋습니다. 클라이언트 프린터 리디렉션 허용 안 함>사용하도록 설정되었습니다. 또는 유니버설 인쇄를 사용하여 지정된 사무실 프린터로 안전하게 인쇄할 수 있습니다. |
| 직렬/COM 포트 | 직렬 또는 COM 포트 리디렉션 구성 | 기본값은 직렬이거나 COM 포트는 로컬 디바이스에서 클라우드 PC로 리디렉션됩니다. | COM 포트 리디렉션> 허용 안 함 사용에서 설정을 구성합니다. |
| 스마트 카드 | 스마트 카드 디바이스 리디렉션 구성 | 기본값은 스마트 카드 디바이스가 로컬 디바이스에서 클라우드 PC로 리디렉션됩니다. | 스마트 카드 디바이스 리디렉션> 사용을 허용하지 않음에서 설정을 구성합니다. |
| USB | Windows에서 USB 리디렉션 구성 | 기본값은 USB 리디렉션이 허용되지 않음입니다. | 지원되는 플러그 앤 플레이 디바이스 리디렉션>사용 허용 안 함에서 설정을 구성합니다. |
| WebAuthn | WebAuthn 리디렉션 구성 | 기본값은 클라우드 PC에서 WebAuthn 리디렉션을 사용하도록 설정하는 것입니다. | SSO에서 WebAuthn을 사용하므로 이 설정을 기본값 (WebAuthn 리디렉션 허용)으로 유지합니다. |
사용 중인 클라이언트 엔드포인트 OS에 따라 디바이스 리디렉션에 대한 몇 가지 미묘한 차이가 있습니다. 엔드포인트 간 기능 비교에 대한 자세한 내용은 플랫폼 및 디바이스에서 원격 데스크톱 앱 기능 비교를 참조하세요.
일반적인 RDP 예제
이 섹션에는 정부 조직의 일반적인 클라우드 PC 사용 사례에 대한 템플릿 기반 RDP 디바이스 리디렉션 예제가 포함되어 있습니다. 이러한 설정을 시작점으로 사용하고 조직의 요구에 맞게 조정합니다.
예제 1: 조직 관리 디바이스의 회사 사용자
회사 사용자가 조직 관리 디바이스에서 로그온하는 경우 클라우드 PC에서 기존 회사 구성을 상속하는 것이 좋습니다.
| 리디렉션 | 제안된 설정 |
|---|---|
| 오디오 및 비디오 리디렉션 | 상속됨(변경 내용 없음) |
| 오디오 캡처 리디렉션 | 상속됨(변경 내용 없음) |
| 카메라, 웹캠 및 비디오 캡처 | 상속됨(변경 내용 없음) |
| 클립보드 | 상속됨(변경 내용 없음) |
| 드라이브 및 스토리지 | 상속됨(변경 내용 없음) |
| 위치 | 상속됨(변경 내용 없음) |
| MTP 및 PTP | 상속됨(변경 내용 없음) |
| 프린터 | 상속됨(변경 내용 없음) |
| 직렬/COM 포트 | 상속됨(변경 내용 없음) |
| 스마트 카드 | 상속됨(변경 내용 없음) |
| USB | 상속됨(변경 내용 없음) |
| WebAuthn | 상속됨(변경 내용 없음) |
예제 2: 계약자 BYOD
정부 설정의 일반적인 사용 사례는 BYOD(Bring Your Own Device) 계약자 사용 사례의 사용 사례에 대해 일반적으로 사용되는 RDP 디바이스 리디렉션을 계약자에게 클라우드 PC를 제공하는 것입니다.
| 리디렉션 | 제안된 설정 |
|---|---|
| 오디오 및 비디오 리디렉션 | 기본값으로 둡니다. |
| 오디오 캡처 리디렉션 | 사용 안 함 (오디오 캡처 차단) |
| 카메라, 웹캠 및 비디오 캡처 | 기본값으로 둡니다. |
| 클립보드 | 사용 (클립보드 리디렉션 차단) |
| 드라이브 및 스토리지 | 사용 (블록 드라이브 및 스토리지 리디렉션) |
| 위치 | 위치 강제 켜기 |
| MTP 및 PTP | 사용 (MTP 및 PTP 차단) |
| 프린터 |
사용 (프린터 리디렉션 차단) 또는 유니버설 인쇄 를 사용하여 모든 인쇄를 조직에서 승인한 사무실 프린터로 다시 보냅니다. |
| 직렬/COM 포트 | 사용 (직렬/COM 포트 차단) |
| 스마트 카드 | 사용 (스마트 카드 차단) |
| USB | 사용 (USB 차단) |
| WebAuthn | 기본값으로 둡니다. |
예제 3: 보안 enclave
보안 enclave는 일반적으로 기본 organization 처리하는 것보다 더 높은 분류 데이터를 위해 설계된 소규모의 개별 조직입니다. 이렇게 하면 더 높은 허가와 알아야 할 사항이 있는 개인이 이 데이터에 액세스할 수 있습니다.
| 리디렉션 | 제안된 설정 |
|---|---|
| 오디오 및 비디오 리디렉션 | 사용 안 함 (오디오 및 비디오 리디렉션 차단) |
| 오디오 캡처 리디렉션 | 사용 안 함 (오디오 캡처 차단) |
| 카메라, 웹캠 및 비디오 캡처 | 사용 (비디오 캡처 리디렉션 차단) |
| 클립보드 | 사용 (클립보드 리디렉션 차단) |
| 드라이브 및 스토리지 | 사용 (블록 드라이브 및 스토리지 리디렉션) |
| 위치 | 위치 강제 켜기 |
| MTP 및 PTP | 사용 (MTP 및 PTP 차단) |
| 프린터 |
사용 (프린터 리디렉션 차단) 또는 유니버설 인쇄 를 사용하여 모든 인쇄를 지정된 보호된 등급 프린터로 다시 전달합니다. |
| 직렬/COM 포트 | 사용 (직렬/COM 포트 차단) |
| 스마트 카드 | 사용 (스마트 카드 차단) |
| USB | 사용 (USB 차단) |
| WebAuthn | 기본값으로 둡니다. |
예제 4: 점프 호스트
점프 호스트를 통해 수행되는 관리 활동은 ISM 1387(ML 2 및 3)에서 허용됩니다. 클라우드 PC는 점프 호스트를 달성하는 간단하고 효과적인 방법입니다.
| 리디렉션 | 제안된 설정 |
|---|---|
| 오디오 및 비디오 리디렉션 | 사용 안 함 (오디오 및 비디오 리디렉션 차단) |
| 오디오 캡처 리디렉션 | 사용 안 함 (오디오 캡처 차단) |
| 카메라, 웹캠 및 비디오 캡처 | 사용 (비디오 캡처 리디렉션 차단) |
| 클립보드 | 사용 (클립보드 리디렉션 차단) |
| 드라이브 및 스토리지 | 사용 (블록 드라이브 및 스토리지 리디렉션) |
| 위치 | 위치 강제 켜기 |
| MTP 및 PTP | 사용 (MTP 및 PTP 차단) |
| 프린터 |
사용 (프린터 리디렉션 차단) 또는 유니버설 인쇄 를 사용하여 모든 인쇄를 지정된 보호된 프린터로 다시 전달합니다. |
| 직렬/COM 포트 | 사용 (직렬/COM 포트 차단) |
| 스마트 카드 | 사용 (스마트 카드 차단) |
| USB | 사용 (USB 차단) |
| WebAuthn | 기본값으로 둡니다. |
중요
ISM 1175를 충족하고 점프 호스트에 대한 Essential 8 ML 1, 2 및 3을 충족하려면 지침에 따라 Office 365 서비스를 클라우드 PC로 제한합니다. Essential 8을 충족하도록 관리 액세스를 제한하는 방법에 대한 자세한 내용은 Essential Eight 관리 권한 제한을 참조하세요.