다음을 통해 공유


Microsoft Intune의 정책 및 프로필 관련 일반적인 질문, 답변 및 시나리오

중요

2022년 10월 22일에 Microsoft Intune은 Windows 8.1을 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스에 대한 기술 지원 및 자동 업데이트는 사용할 수 없습니다.

현재 Windows 8.1 사용하는 경우 Windows 10/11 디바이스로 이동합니다. Microsoft Intune에는 Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.

Intune에서 정책을 사용하는 경우에 관한 일반적인 질문에 대한 답변을 얻습니다. 이 문서에서는 체크 인 시간 간격을 나열하고, 충돌에 대한 추가적인 세부 정보 등도 제공합니다.

이 문서는 다음 정책에 적용됩니다.

  • 앱 보호 정책
  • 앱 구성 정책
  • 규정 준수 정책
  • 조건부 액세스 정책
  • 디바이스 구성 프로필
  • 등록 정책

정책 새로 고침 간격

Intune 서비스에서 디바이스에 체크 인을 알립니다. 알림 시간은 즉시에서 몇 시간까지 다양합니다. 이러한 알림 시간은 플랫폼에 따라서도 다릅니다. Android 디바이스에서 GMS(Google Mobile Services)는 정책 새로 고침 간격에 영향을 줄 수 있습니다.

첫 번째 알림 이후 디바이스가 정책 또는 프로필을 수신하기 위해 체크 인하지 않으면 알림을 3번 더 보냅니다. 꺼져 있거나 네트워크에 연결되지 않은 오프라인 디바이스는 알림을 받지 못할 수 있습니다. 이 경우 디바이스는 Intune 서비스를 사용하여 예약된 다음 체크 인에서 정책 또는 프로필을 가져옵니다. 규정을 준수하지 않는 상태로 전환하는 디바이스를 포함하여 비규격에 대해 확인하는 경우에도 동일하게 적용됩니다.

예상 빈도:

플랫폼 새로 고침 주기
Android, AOSP 약 8시간마다
iOS/iPadOS 약 8시간마다
macOS 약 8시간마다
Windows 10/11 PC가 장치로 등록됨 약 8시간마다
Windows 8.1 약 8시간마다

디바이스가 최근에 등록된 경우 준수, 비준수 및 구성 체크인이 더 자주 실행됩니다. 체크 인은 다음과 같이 예상됩니다.

플랫폼 빈도
Android, AOSP 15분 동안 3분마다/그 이후 2시간 동안은 15분마다/그 이후에는 약 8시간마다
iOS/iPadOS 1시간 동안 15분마다/그 이후에는 8시간마다
macOS 1시간 동안 15분마다/그 이후에는 8시간마다
Windows 10/11 PC가 장치로 등록됨 15분 동안 3분마다/그 이후 2시간 동안은 15분마다/그 이후에는 약 8시간마다
Windows 8.1 15분 동안 5분마다/그 이후 2시간 동안은 15분마다/그 이후에는 약 8시간마다

앱 보호 정책 새로 고침 간격의 경우 앱 보호 정책 전달 타이밍으로 이동합니다.

언제든 사용자는 회사 포털 앱, 디바이스>상태 확인 또는 설정>동기화를 열어 로 정책 또는 프로필 업데이트를 즉시 확인할 수 있습니다. Intune Management Extention 에이전트 또는 Win32 앱에 대한 관련 정보는 Microsoft Intune의 Win32 앱 관리를 참조하세요.

디바이스에 즉시 알림을 보내는 Intune 동작

알림을 트리거하는 다른 작업도 있습니다. 예를 들어 정책, 프로필 또는 앱 할당(또는 할당 취소), 업데이트, 삭제 등의 작업입니다. 이러한 작업 시간은 플랫폼마다 다릅니다.

디바이스는 체크 인하라는 알림을 받거나 예약된 체크 인 시간 동안 Intune에 체크 인합니다. 작업을 통해 디바이스 또는 사용자를 대상으로 지정하는 경우 Intune은 이러한 업데이트를 받으려면 체크 인하라는 알림을 디바이스에 즉시 보냅니다. 예를 들어 잠금, 암호 초기화, 앱 또는 정책 할당 작업이 실행되면 알림이 발생합니다.

다른 변경(회사 포털 앱의 연락처 정보 수정 또는 .ipa 파일 업데이트 등)은 디바이스에 즉시 알림을 보내지 않습니다.

정책 또는 프로필의 설정은 모든 체크 인에 적용됩니다. Windows 10 MDM 정책 새로 고침 고객 블로그 게시물이 유용한 리소스가 될 수 있습니다.

충돌

충돌은 다른 정책이 동일한 설정을 다른 값으로 업데이트할 때 발생할 수 있습니다. 예를 들어 복사/붙여넣기 설정을 다른 값으로 업데이트하는 두 가지 정책이 있습니다. 충돌은 정책 유형에 따라 다르게 처리됩니다.

Intune에서 Microsoft Copilot을 사용하는 경우 Copilot은 충돌을 해결하는 데 도움이 될 수 있습니다. 자세한 내용은 Intune에서 Copilot의 정책 및 설정 관리로 이동하세요.

Intune에서 Microsoft Copilot을 사용하여 정책에 구성된 정책 및 설정에 대한 자세한 정보를 얻을 수도 있습니다.

충돌하는 앱 보호 정책

충돌 값은 앱 보호 정책에서 사용할 수 있는 가장 제한적인 설정입니다. 다시 설정 전 PIN 시도와 같은 숫자 입력 필드는 예외입니다. 숫자 입력 필드는 권장 설정 옵션을 사용하여 MAM 정책을 생성한 것처럼 값과 동일하게 설정됩니다.

두 프로필 설정이 동일하면 충돌이 발생합니다. 복사/붙여넣기 설정을 제외하면 동일한 두 MAM 정책을 구성한 경우를 예로 들 수 있습니다. 이 시나리오에서는 복사/붙여넣기 설정이 가장 제한적인 값으로 설정됩니다. 나머지 설정은 구성된 대로 적용됩니다.

정책이 앱에 배포되고 적용됩니다. 두 번째 정책이 배포됩니다. 이 시나리오에서는 첫 번째 정책이 우선 적용되어 계속 적용됩니다. 두 번째 정책은 충돌을 보여 줍니다. 둘 다 동시에 적용되면 이전 정책이 없으므로 두 정책이 충돌하게 됩니다. 충돌하는 설정은 가장 제한적인 값으로 설정됩니다.

충돌하는 규정 준수 및 디바이스 구성 정책

둘 이상의 정책을 같은 사용자 또는 디바이스에 할당하면 개별 설정 수준에서 설정이 적용됩니다.

  • 규정 준수 정책을 사용하여 디바이스 설정을 평가하는 경우 준수 정책 내의 설정이 디바이스 구성 정책 내의 동일한 설정보다 우선합니다. 준수 정책 설정은 항상 구성 프로필 설정보다 우선적으로 적용됩니다.

  • 준수 정책이 다른 준수 정책의 동일 설정과 대조해 평가되는 경우 가장 제한적인 준수 정책 설정이 적용됩니다.

  • 구성 정책 설정이 다른 구성 정책의 설정과 충돌하는 경우 이 충돌은 Intune에 표시됩니다. 수동으로 이러한 충돌을 해결합니다.

Intune 관리 센터에는 그룹 정책 분석, 엔드포인트 보안, 보안 기준 등을 포함하여 구성 정책을 만들 수 있는 위치가 몇 군데 있습니다. 충돌이 있고 여러 정책이 있는 경우 정책을 구성한 모든 위치를 확인합니다. 또한 기본 제공 보고 기능은 충돌을 해결하는 데 도움이 될 수 있습니다. 사용 가능한 보고서에 대한 자세한 내용은 Intune 보고서로 이동하세요.

충돌하는 사용자 지정 iOS/iPadOS 또는 macOS 정책

Intune은 Apple 구성 파일 또는 사용자 지정 OMA-URI(Open Mobile Alliance Uniform Resource Identifier) 정책 페이로드를 평가하지 않으며 전달 메커니즘으로만 작동합니다.

사용자 지정 정책을 할당할 때는 구성된 설정이 준수, 구성 또는 기타 사용자 지정 정책과 충돌하지 않는지 확인해야 합니다. 사용자 지정 정책 및 해당 설정이 충돌하는 경우 Apple은 설정을 임의로 적용합니다.

기본 제공 보고 기능은 충돌을 해결하는 데 도움이 될 수 있습니다. 사용 가능한 보고서에 대한 자세한 내용은 Intune 보고서로 이동하세요.

프로필이 삭제되거나 더 이상 적용되지 않음

프로필을 삭제하거나 프로필이 할당된 그룹에서 장치를 제거하면 프로필과 설정이 장치에서 제거됩니다. 특히 다음 목록에 설명된 대로 제거됩니다.

  • Wi-Fi, VPN, 인증서 및 전자 메일 프로필: 이러한 프로필은 지원되는 모든 등록된 디바이스에서 제거됩니다.

  • 모든 기타 프로필 유형:

    • Android 디바이스: 설정이 디바이스에서 제거되지 않습니다.

    • iOS/iPadOS: 다음을 제외한 모든 설정이 제거됩니다.

      • 음성 로밍 허용
      • 데이터 로밍 허용
      • 로밍하는 동안 자동 동기화 허용
    • Windows 디바이스: 프로필을 제거하거나 할당 취소한 후 Microsoft Entra 사용자가 디바이스에 로그인하도록 하고 Intune 서비스와 동기화하도록 합니다.

      Intune 설정은 Windows CSP(구성 서비스 공급자)를 기반으로 합니다. 동작은 CSP에 따라 달라집니다. 일부 CSP는 설정을 제거하고 일부 CSP는 tattooing이라고도 하는 설정을 유지합니다.

  • 프로필은 사용자 그룹에 적용됩니다. 나중에 사용자가 그룹에서 제거됩니다. 해당 사용자에게서 설정을 제거하려면 다음 작업에 대해 최대 7시간 이상이 소요될 수 있습니다.

디바이스 제한 프로필을 변경했지만 변경 내용이 적용되지 않습니다.

덜 제한적인 프로필을 적용하려면 일부 디바이스를 사용 중지하고 Intune에 다시 등록해야 할 수 있습니다. 예를 들어 Android, iOS/iPadOS 및 Windows 클라이언트 디바이스를 사용 중지하고 다시 등록해야 할 수 있습니다.

Windows 10/11 프로필의 일부 설정은 "해당 사항 없음"을 반환합니다.

Windows 클라이언트 디바이스의 일부 설정은 해당 없음으로 표시할 수 있습니다. 이런 상황이 발생하는 경우 해당 특정 설정은 디바이스에서 실행되는 Windows 버전에서 지원되지 않습니다. 이 메시지는 다음과 같은 이유로 발생할 수 있습니다.

  • 설정은 디바이스의 현재 OS(운영 체제) 버전이 아닌 최신 버전의 Windows에서만 제공됩니다.
  • 설정은 Home, Professional, Enterprise 및 Education과 같은 특정 Windows 버전 또는 특정 SKU에 대해서만 제공됩니다.

다양한 설정에 대한 버전 및 버전 요구 사항에 대해 자세히 알아보려면 CSP(구성 서비스 공급 기업) 참조를 참조하세요.

디바이스가 등록되면 동적 디바이스 그룹에 할당된 앱 및 정책 적용이 지연됩니다.

등록하는 동안 Microsoft Entra 동적 디바이스 그룹을 사용할 수 있습니다. 예를 들어 디바이스 이름 또는 등록 프로필에 따라 동적 디바이스 그룹을 만들 수 있습니다.

등록 프로필은 초기 디바이스 설정 중에 디바이스 레코드에 적용됩니다. Microsoft Entra 동적 그룹화는 즉각적이지 않습니다. 디바이스가 일정 시간 동안 동적 그룹에 있지 않을 수 있으며, 테넌트에서 다른 변경되는 내용에 따라 몇 분에서 몇 시간일 수 있습니다.

디바이스가 그룹에 추가되지 않은 경우 초기 Intune 체크인 중에 앱과 정책이 디바이스에 할당되지 않습니다. 정책은 다음 예약된 체크인까지 적용되지 않을 수 있습니다.

설정/등록 시나리오에 앱 및 정책의 빠른 전달이 중요한 경우 동적 디바이스 그룹이 아닌 사용자 그룹에 앱 및 정책을 할당합니다. 사용자 그룹은 디바이스 설정 전에 멤버로 미리 채워져 있으며 이 지연이 없습니다.

동적 그룹에 대한 자세한 내용은 다음을 참조하세요.

"동기화를 시작할 수 없습니다(0x80072f9a)" 오류

Windows 디바이스에서 설정 앱 >계정>액세스 회사 또는 학교에서 동기화를 시도할 때 오류가 표시 The sync could not be initiated (0x80072f9a) 될 수 있습니다.

TPM(신뢰할 수 있는 플랫폼 모듈)이 공장 설정으로 다시 설정되면 동기화를 다시 시작하려면 디바이스를 다시 등록해야 합니다. 디바이스의 Microsoft Entra ID는 TPM에 저장됩니다. 따라서 ID가 제거되면 다시 등록이 Microsoft Entra ID를 다시 설정하기 위한 유일한 방법입니다.