S 모드 디바이스에서 Win32 앱 사용

Windows 10 S 모드 는 스토어 앱만 실행하는 잠긴 운영 체제입니다. 기본적으로 Windows S 모드 디바이스는 Win32 앱의 설치 및 실행을 허용하지 않습니다. 이러한 디바이스에는 S 모드 디바이스가 Win32 앱을 실행하지 못하도록 잠그는 단일 Win 10S 기본 정책이 포함됩니다. 그러나 Intune에서 S 모드 추가 정책을 만들고 사용하여 Windows 10 S 모드 관리 디바이스에서 Win32 앱을 설치하고 실행할 수 있습니다. WDAC(Microsoft Defender 애플리케이션 제어) PowerShell 도구를 사용하여 Windows S 모드에 대한 하나 이상의 추가 정책을 만들 수 있습니다. DGSS(Device Guard 서명 서비스) 또는 SignTool.exe 추가 정책에 서명한 다음 Intune을 통해 정책을 업로드하고 배포해야 합니다. 또는 조직의 코드 서명 인증서를 사용하여 추가 정책에 서명할 수 있지만 DGSS를 사용하는 것이 좋습니다. 조직에서 코드 서명 인증서를 사용하는 경우 코드 서명 인증서가 연결된 루트 인증서가 디바이스에 있어야 합니다.

Intune에서 S 모드 추가 정책을 할당하면 디바이스에서 디바이스의 기존 S 모드 정책에 예외를 적용하여 업로드된 해당 서명된 앱 카탈로그를 허용합니다. 정책은 S 모드 디바이스에서 사용할 수 있는 앱(앱 카탈로그)의 허용 목록을 설정합니다.

참고

S 모드 디바이스의 Win32 앱은 Windows 10 2019년 11월 업데이트(빌드 18363) 이상 버전에서만 지원됩니다.

Win32 앱이 S 모드의 Windows 10 디바이스에서 실행되도록 허용하는 단계는 다음과 같습니다.

1. Windows 10 S 등록 프로세스의 일부로 Intune을 통해 S 모드 디바이스를 사용하도록 설정합니다.
2. Win32 앱을 허용하는 추가 정책을 만듭니다.
   • WDAC(Microsoft Defender 애플리케이션 제어) 도구를 사용하여 추가 정책을 만들 수 있습니다. 정책 내의 기본 정책 ID는 S 모드 기본 정책 ID(클라이언트에서 하드 코딩됨)와 일치해야 합니다. 또한 정책 버전이 이전 버전보다 높은지 확인합니다.
   • DGSS를 사용하여 추가 정책에 서명합니다. 자세한 내용은 Device Guard 서명을 사용하여 코드 무결성 정책 서명을 참조하세요.
   • Windows 10 S 모드 추가 정책을 만들어 서명된 추가 정책을 Intune에 업로드합니다(아래 참조).
3. Intune을 통해 Win32 앱 카탈로그를 허용합니다.
   • 카탈로그 파일(모든 앱에 대해 하나씩)을 만들고 DGSS 또는 기타 인증서 인프라를 사용하여 서명합니다.
   • Microsoft Win32 콘텐츠 준비 도구를 사용하여 서명된 카탈로그를 .intunewin 파일에 패키지합니다. Microsoft Win32 콘텐츠 준비 도구를 사용하여 카탈로그 파일을 만들 때는 명명 제한이 없습니다. 지정된 원본 폴더 및 설정 파일 에서 .intunewin 파일을 생성할 때 -a cmdline 옵션을 사용하여 카탈로그 파일만 포함하는 별도의 폴더를 제공할 수 있습니다. 자세한 내용은 Win32 앱 관리 - 업로드할 Win32 앱 콘텐츠 준비를 참조하세요.
   • Intune은 서명된 앱 카탈로그를 적용하여 Intune 관리 확장을 사용하여 S 모드 디바이스에 Win32 앱을 설치합니다.

참고

앱에 대한 S 모드 추가 정책은 Intune 관리 확장을 통해 제공해야 합니다.

S 모드 정책은 디바이스 수준에서 적용됩니다. 여러 대상 정책이 디바이스에서 병합됩니다. 병합된 정책은 디바이스에 적용됩니다.

Windows 10 S 모드 추가 정책을 만들려면 다음 단계를 사용합니다.

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 앱>S 모드 추가 정책 정책>만들기를 선택합니다.

3. 정책 파일을 추가하기 전에 만들고 서명해야 합니다. 자세한 내용은 다음 항목을 참조하세요.

   • PowerShell 도구를 사용하여 WDAC 정책을 만들고 이진 형식으로 변환
   • Device Guard 서명 서비스를 사용하여 서명(권장)

4. 기본 사항 페이지에서 다음 값을 추가합니다.

   값	설명
   정책 파일	WDAC 정책을 포함하는 파일입니다.
   이름	이 정책의 이름입니다.
   설명	[선택 사항] 이 정책에 대한 설명입니다.

5. 다음: 범위 태그를 선택합니다.
   범위 태그 페이지에서 선택적으로 범위 태그를 구성하여 Intune에서 앱 정책을 볼 수 있는 사용자를 결정할 수 있습니다. 범위 태그에 대한 자세한 내용은 분산형 IT에 역할 기반 액세스 제어 및 범위 태그 사용을 참조하세요.

6. 다음: 할당을 선택합니다.
   할당 페이지에서 사용자 및 디바이스에 정책을 할당할 수 있습니다. 디바이스가 Intune에서 관리되는지 여부에 관계없이 디바이스에 정책을 할당할 수 있다는 점에 유의해야 합니다.

7. 다음: 검토 + 만들기를 선택하여 프로필에 대해 입력한 값을 검토합니다.

8. 완료되면 만들기 를 선택하여 Intune에서 S 모드 추가 정책을 만듭니다.

정책이 만들어지면 Intune의 S 모드 추가 정책 목록에 추가된 것을 볼 수 있습니다. 정책이 할당되면 정책이 디바이스에 배포됩니다. 추가 정책과 동일한 보안 그룹에 앱을 배포해야 합니다. 해당 디바이스에 앱을 대상으로 지정하고 할당하기 시작할 수 있습니다. 이렇게 하면 최종 사용자가 S 모드 디바이스에서 앱을 설치하고 실행할 수 있습니다.

S 모드 정책 제거

현재 디바이스에서 S 모드 추가 정책을 제거하려면 기존 S 모드 추가 정책을 덮어쓰기 위해 빈 정책을 할당하고 배포해야 합니다.

정책 보고

디바이스 수준에서 적용되는 S 모드 추가 정책에는 디바이스 수준 보고만 있습니다. 디바이스 수준 보고는 성공 및 오류 조건에 사용할 수 있습니다.

S 모드 보고 정책에 대한 Microsoft Intune 관리 센터에 표시되는 보고 값:

• 성공: S 모드 추가 정책이 적용됩니다.
• 알 수 없음: S 모드 추가 정책의 상태를 알 수 없습니다.
• TokenError: S 모드 추가 정책은 구조적으로 괜찮지만 토큰에 권한을 부여하는 데 오류가 있습니다.
• NotAuthorizedByToken: 토큰은 이 S 모드 추가 정책에 권한을 부여하지 않습니다.
• PolicyNotFound: S 모드 추가 정책을 찾을 수 없습니다.

다음 단계

• 자세한 내용은 S 모드의 Win32 앱을 참조하세요.
• Intune의 앱을 추가하는 방법에 대한 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.
• Win32 앱에 대한 자세한 내용은 Intune Win32 앱 관리를 참조하세요.