다음을 통해 공유


로컬 스크립트를 사용하여 Windows 장치 온보딩

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender에 개별 디바이스를 수동으로 온보딩할 수도 있습니다. 네트워크의 모든 디바이스 온보딩을 커밋하기 전에 서비스를 테스트할 때 일부 디바이스를 온보딩하는 것이 좋습니다.

중요

이 문서에 설명된 스크립트는 엔드포인트용 Defender에 디바이스를 수동으로 온보딩하는 데 권장됩니다. 제한된 수의 디바이스에서만 사용해야 합니다. 프로덕션 환경에 배포하는 경우 Intune, 그룹 정책 또는 Configuration Manager 같은 다른 배포 옵션을 참조하세요.

엔드포인트용 Defender 아키텍처 및 배포 방법 식별을 확인하여 엔드포인트용 Defender 배포의 다양한 경로를 확인합니다.

온보딩 장치

  1. 서비스 온보딩 마법사에서 다운로드한 구성 패키지 .zip 파일(WindowsDefenderATPOnboardingPackage.zip)을 엽니다. Microsoft Defender 포털에서 패키지를 가져올 수도 있습니다.

    1. 탐색 창에서 설정>엔드포인트>디바이스 관리>온보딩을 선택합니다.

    2. 운영 체제로 Windows 10 또는 Windows 11 선택합니다.

    3. 배포 방법 필드에서 로컬 스크립트를 선택합니다.

    4. 패키지 다운로드를 선택하고 .zip 파일을 저장합니다.

  2. 구성 패키지의 내용을 온보딩하려는 디바이스의 위치(예: 데스크톱)로 추출합니다. WindowsDefenderATPLocalOnboardingScript.cmd 파일이 있어야 합니다.

  3. 디바이스에서 관리자 권한 명령줄 프롬프트를 열고 스크립트를 실행합니다.

    1. 시작 (으)로 이동하고 cmd를 입력하십시오.

    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.

    관리자 권한으로 실행을 가리키는 창 시작 메뉴

  4. 스크립트 파일의 위치를 입력합니다. 파일을 바탕 화면에 복사한 경우 다음을 입력합니다. %userprofile%\Desktop\WindowsDefenderATPLocalOnboardingScript.cmd

  5. Enter 키를 누르거나 확인을 선택합니다.

  6. "Y"를 입력하고 메시지가 표시되면 를 입력합니다.

  7. 스크립트가 완료되면 "계속하려면 아무 키나 누르세요..."가 표시됩니다. 아무 키나 눌러 디바이스의 단계를 완료합니다.

디바이스가 규정을 준수하는지 수동으로 유효성을 검사하고 센서 데이터를 올바르게 보고하는 방법에 대한 자세한 내용은 엔드포인트용 Microsoft Defender 온보딩 문제 해결을 참조하세요.

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 엔드포인트에서 검색 테스트 실행을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에 대해 Microsoft Defender XDR 통해 심층 분석을 위해 파일을 제출할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 명시하도록 구성 값을 설정할 수 있습니다.

regedit를 사용하거나 파일을 만들고 실행하여 디바이스에서 샘플 공유 설정을 수동으로 구성할 수 있습니다.reg.

구성은 다음 레지스트리 키 항목을 통해 설정됩니다.

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

여기서 Name 형식은 D-WORD입니다. 가능한 값은 다음과 같습니다.

  • 0 - 이 디바이스에서 샘플 공유를 허용하지 않음
  • 1 - 이 디바이스의 모든 파일 형식을 공유할 수 있습니다.

레지스트리 키가 없는 경우 기본값은 1입니다.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

로컬 스크립트를 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 7일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지의 만료 날짜에 대한 알림이 표시되고 해당 날짜가 패키지 파일 이름에 포함됩니다.

참고

온보딩 및 오프보딩 정책은 동일한 디바이스에 동시에 배포해서는 안 됩니다. 그렇지 않으면 예측할 수 없는 충돌이 발생할 수 있습니다.

  1. Microsoft Defender 포털에서 오프보딩 패키지를 가져옵니다.

    1. 탐색 창에서 설정>엔드포인트>디바이스 관리>오프보딩을 선택합니다.

    2. 운영 체제로 Windows 10 또는 Windows 11 선택합니다.

    3. 배포 방법 필드에서 로컬 스크립트를 선택합니다.

    4. 패키지 다운로드를 선택하고 .zip 파일을 저장합니다.

  2. 디바이스에서 액세스할 수 있는 공유 읽기 전용 위치로 .zip 파일의 내용을 추출합니다. 라는 WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd파일이 있어야 합니다.

  3. 디바이스에서 관리자 권한 명령줄 프롬프트를 열고 스크립트를 실행합니다.

    1. 시작 (으)로 이동하고 cmd를 입력하십시오.

    2. 명령 프롬프트 을(를) 마우스 오른쪽 버튼으로 클릭하고 관리자 (으)로 실행을 선택합니다.

      관리자 권한으로 실행 옵션을 가리키는 Windows 시작 메뉴

  4. 스크립트 파일의 위치를 입력합니다. 파일을 바탕 화면에 복사한 경우 다음을 입력합니다. %userprofile%\Desktop\WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd

  5. Enter 키를 누르거나 확인을 선택합니다.

중요

오프보딩을 사용하면 디바이스가 포털로 센서 데이터 전송을 중지하지만, 디바이스에서 받은 경고에 대한 참조를 포함한 데이터는 최대 6개월 동안 보존됩니다.

디바이스 구성 모니터링

온보딩 문제 해결의 다양한 확인 단계에 따라 스크립트가 성공적으로 완료되고 에이전트가 실행 중인지 확인할 수 있습니다.

모니터링은 포털에서 직접 수행하거나 다른 배포 도구를 사용하여 수행할 수도 있습니다.

포털을 사용하여 디바이스 모니터링

  1. Microsoft Defender 포털로 이동합니다.

  2. 디바이스 인벤토리를 선택합니다.

  3. 디바이스가 표시되는지 확인합니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.