Microsoft Intune을 사용하여 엔드포인트용 Microsoft Defender에서 디바이스 제어 배포 및 관리
적용 대상:
Intune을 사용하여 엔드포인트용 Defender 설정을 관리하는 경우 이를 사용하여 디바이스 제어 기능을 배포하고 관리할 수 있습니다. 디바이스 제어의 다양한 측면은 다음 섹션에 설명된 대로 Intune에서 다르게 관리됩니다.
Intune에서 디바이스 제어 구성 및 관리
Intune 관리 센터로 이동하여 로그인합니다.
엔드포인트 보안>공격 표면 감소로 이동합니다.
공격 노출 영역 축소 정책에서 기존 정책을 선택하거나 + 정책 만들기를 선택하여 다음 설정을 사용하여 새 정책을 설정합니다.
- 플랫폼 목록에서 Windows 10, Windows 11 및 Windows Server를 선택합니다. (디바이스 제어 정책에 대해 이 프로필을 선택하더라도 현재 Windows Server에서는 디바이스 컨트롤이 지원되지 않습니다.)
- 프로필 목록에서 디바이스 컨트롤을 선택합니다.
기본 탭에서 정책의 이름과 설명을 지정합니다.
구성 설정 탭에 설정 목록이 표시됩니다. 이러한 설정을 모두 한 번에 구성할 필요는 없습니다. 디바이스 제어로 시작하는 것이 좋습니다.
- 관리 템플릿에는 디바이스 설치 및 이동식 스토리지 액세스 설정이 있습니다.
- Defender에서 전체 스캔 이동식 드라이브 검사 설정 허용을 참조하세요.
- 데이터 보호 아래에서 직접 메모리 액세스 설정 허용을 참조하세요.
- Dma Guard에서 디바이스 열거형 정책 설정을 참조하세요.
- 스토리지에서 이동식 디스크 거부 쓰기 액세스 설정을 참조하세요.
- 연결에서 USB 연결 허용** 및 Bluetooth 설정 허용을 참조하세요.
- Bluetooth에서 Bluetooth 연결 및 서비스와 관련된 설정 목록을 참조하세요. 자세한 내용은 정책 CSP - Bluetooth를 참조하세요.
- 디바이스 제어에서 재사용 가능한 설정을 사용하여 사용자 지정 정책을 구성할 수 있습니다. 자세한 내용은 디바이스 제어 개요: 규칙을 참조하세요.
- 시스템에서스토리지 카드 설정 허용을 참조하세요.
설정을 구성한 후 범위 태그 탭으로 이동하여 정책에 대한 범위 태그를 지정할 수 있습니다.
할당 탭에서 정책을 받을 사용자 또는 디바이스 그룹을 지정합니다. 자세한 내용은 Intune에서 정책 할당을 참조하세요.
검토 + 만들기 탭에서 설정을 검토하고 필요한 내용을 변경합니다.
준비가 되면 만들기 를 선택하여 디바이스 제어 정책을 만듭니다.
디바이스 제어 프로필
Intune에서 각 행은 디바이스 제어 정책을 나타냅니다. 포함된 ID는 정책이 적용되는 재사용 가능한 설정입니다. 제외된 ID는 정책에서 제외된 재사용 가능한 설정입니다. 정책에 대한 항목에는 허용되는 권한과 정책이 적용될 때 적용되는 디바이스 제어에 대한 동작이 포함됩니다.
각 디바이스 제어 정책의 행에 포함된 재사용 가능한 설정 그룹을 추가하는 방법에 대한 자세한 내용은 Intune 정책에서 재사용 가능한 설정 그룹 사용의디바이스 제어 프로필에 재사용 가능한 그룹 추가 섹션을 참조하세요.
및 – 아이콘을 사용하여 + 정책을 추가하고 제거할 수 있습니다. 정책 이름은 사용자에게 경고에 표시되고 고급 헌팅 및 보고서에 표시됩니다.
감사 정책을 추가하고 허용/거부 정책을 추가할 수 있습니다. 예기치 않은 결과가 나타나지 않도록 감사 정책을 추가할 때 항상 허용 및/또는 거부 정책을 추가하는 것이 좋습니다.
중요
감사 정책만 구성하는 경우 권한은 기본 적용 설정에서 상속됩니다.
참고
- 사용자 인터페이스에 나열된 정책의 순서는 정책 적용을 위해 유지되지 않습니다. 가장 좋은 방법은 허용/거부 정책을 사용하는 것입니다. 제외할 디바이스를 명시적으로 추가하여 정책 허용/거부 옵션이 교차하지 않는지 확인합니다. Intune의 그래픽 인터페이스를 사용하면 기본 적용을 변경할 수 없습니다. 기본 적용
Deny
을 로 변경하고 특정 디바이스를Allow
적용할 정책을 만들면 정책에 설정된Allow
디바이스를 제외한 모든 디바이스가 차단됩니다.
OMA-URI를 사용하여 설정 정의
중요
Intune OMA-URI를 사용하여 디바이스 제어를 구성하려면 디바이스가 Configuration Manager와 공동 관리되는 경우 Intune에서 디바이스 구성 워크로드를 관리해야 합니다. 자세한 내용은 Configuration Manager 워크로드를 Intune으로 전환하는 방법을 참조하세요.
다음 표에서 구성하려는 설정을 식별한 다음 OMA-URI 및 데이터 형식 & 값 열의 정보를 사용합니다. 설정은 사전순으로 나열됩니다.
설정 | OMA-URI, 데이터 형식, & 값 |
---|---|
디바이스 제어 기본 적용 기본 적용은 정책 규칙과 일치하지 않는 경우 디바이스 제어 액세스 검사 중에 어떤 결정이 내려지는지 설정합니다. |
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement 정수: - DefaultEnforcementAllow = 1 - DefaultEnforcementDeny = 2 |
디바이스 유형 디바이스 제어 보호가 켜져 있는 기본 ID로 식별되는 디바이스 유형 |
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration 문자열: - RemovableMediaDevices - CdRomDevices - WpdDevices - PrinterDevices |
디바이스 제어 사용 디바이스에서 디바이스 제어 사용 또는 사용 안 함 |
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled 정수: - 사용 안 함 = 0 - 사용 = 1 |
OMA-URI를 사용하여 정책 만들기
Intune에서 OMA-URI를 사용하여 정책을 만들 때 각 정책에 대해 하나의 XML 파일을 만듭니다. 모범 사례로 디바이스 제어 프로필 또는 디바이스 제어 규칙 프로필을 사용하여 사용자 지정 정책을 작성합니다.
행 추가 창에서 다음 설정을 지정합니다.
-
이름 필드에 를 입력합니다
Allow Read Activity
. -
OMA-URI 필드에 를 입력합니다
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData
. (PowerShell 명령을New-Guid
사용하여 새 Guid를 생성하고 를 바꿀[PolicyRule Id]
수 있습니다.) - 데이터 형식 필드에서 문자열(XML 파일)을 선택하고 사용자 지정 XML을 사용합니다.
매개 변수를 사용하여 특정 항목에 대한 조건을 설정할 수 있습니다. 다음은 각 이동식 스토리지에 대한 읽기 허용에 대한 그룹 예제 XML 파일입니다.
참고
XML 주석 표기법을 <!-- COMMENT -->
사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.
OMA-URI를 사용하여 그룹 만들기
Intune에서 OMA-URI를 사용하여 그룹을 만들 때 각 그룹에 대해 하나의 XML 파일을 만듭니다. 모범 사례로 재사용 가능한 설정을 사용하여 그룹을 정의합니다.
행 추가 창에서 다음 설정을 지정합니다.
-
이름 필드에 를 입력합니다
Any Removable Storage Group
. -
OMA-URI 필드에 를 입력합니다
./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData
. GroupID를 가져오려면 Intune 관리 센터에서 그룹으로 이동한 다음 개체 ID 복사를 선택합니다. 또는 PowerShell 명령을New-Guid
사용하여 새 Guid를 생성하고 를 바꿀[GroupId]
수 있습니다. - 데이터 형식 필드에서 문자열(XML 파일)을 선택하고 사용자 지정 XML을 사용합니다.
참고
XML 주석 표기법을 <!-- COMMENT -- >
사용하는 주석은 규칙 및 그룹 XML 파일에서 사용할 수 있지만 XML 파일의 첫 번째 줄이 아닌 첫 번째 XML 태그 안에 있어야 합니다.
OMA-URI를 사용하여 이동식 스토리지 액세스 제어 구성
Microsoft Intune 관리 센터로 이동하여 로그인합니다.
디바이스>구성 프로필을 선택합니다. 구성 프로필 페이지가 나타납니다.
정책 탭(기본적으로 선택됨)에서 + 만들기를 선택하고 표시되는 드롭다운에서 + 새 정책을 선택합니다. 프로필 만들기 페이지가 나타납니다.
플랫폼 목록의 플랫폼 드롭다운 목록에서 Windows 10, Windows 11 및 Windows Server를 선택하고 프로필 유형 드롭다운 목록에서 템플릿을 선택합니다.
프로필 유형 드롭다운 목록에서 템플릿을 선택하면 프로필 이름을 검색하기 위해 검색 상자와 함께 템플릿 이름 창이 표시됩니다.
템플릿 이름 창에서 사용자 지정을 선택하고 만들기를 선택합니다.
1-5단계를 구현하여 각 설정, 그룹 또는 정책에 대한 행을 만듭니다.
디바이스 컨트롤 그룹 보기(재사용 가능한 설정)
Intune에서 디바이스 제어 그룹은 재사용 가능한 설정으로 표시됩니다.
Microsoft Intune 관리 센터로 이동하여 로그인합니다.
엔드포인트 보안>공격 표면 감소로 이동합니다.
재사용 가능한 설정 탭을 선택합니다.