Microsoft Intune 그룹 정책 분석을 사용하여 온-프레미스 GPO 가져오기 및 분석
팁
온-프레미스 GPO 분석을 찾고 계신가요? Microsoft 보안 준수 도구 키트에서 사용할 수 있는 도구가 있습니다.
Microsoft Intune에는 온-프레미스 GPO와 동일한 설정이 많이 있습니다. 그룹 정책 분석은 다음을 Microsoft Intune 도구입니다.
- 온-프레미스 GPO를 가져오고 분석합니다.
- Microsoft Intune 포함하여 클라우드 기반 MDM 공급자가 지원하는 설정을 보여 줍니다.
- 사용되지 않는 설정 또는 사용할 수 없는 설정을 표시합니다.
- 장치에 배포할 수 있는 가져온 GPO를 설정 카탈로그 정책으로 마이그레이션할 수 있습니다.
organization 온-프레미스 GPO를 사용하여 Windows 10/11 디바이스를 관리하는 경우 그룹 정책 분석이 도움이 될 수 있습니다. 그룹 정책 분석을 사용하면 Intune이 온-프레미스 GPO를 대체할 수 있습니다. Windows 10/11 장치는 본질적으로 클라우드 네이티브입니다. 따라서 구성에 따라 이러한 장치는 온-프레미스 Active Directory에 대한 액세스가 필요하지 않을 수 있습니다.
온-프레미스 AD에 대한 종속성을 제거할 준비가 되었다면 그룹 정책 분석으로 GPO를 분석하는 것이 좋은 첫 번째 단계입니다. 일부 이전 설정은 지원되지 않거나 클라우드 기본 Windows 장치에 적용되지 않습니다. GPO를 분석한 후에도 여전히 유효한 설정을 알 수 있습니다.
이 기능은 다음에 적용됩니다.
- Windows 11
- Windows 10
이 문서에서는 온-프레미스 GPO를 내보내고, GPO를 Intune 가져오고, 분석 및 결과를 검토하는 방법을 보여 줍니다. 가져온 GPO를 Intune 정책으로 마이그레이션하거나 전송하려면 Microsoft Intune 가져온 GPO를 사용하여 설정 카탈로그 정책 만들기로 이동합니다.
시작하기 전에
Microsoft Intune 관리 센터에서 Intune 관리자 또는 보안 기준 및 디바이스 구성 권한이 있는 역할로 로그인합니다. 기본 제공 역할에 대한 자세한 내용은 역할 기반 액세스 제어를 참조하세요.
GPO를 XML 파일로 내보내기
다음 단계는 사용 중인 GPMC 버전에 따라 서버에서 다를 수 있습니다. GPO를 내보낼 때 XML 파일로 내보내야 합니다.
온-프레미스 컴퓨터에서
Group Policy Management
콘솔(GPMC.msc)을 엽니다.관리 콘솔에서 도메인 이름을 확장합니다.
그룹 정책 개체를 확장하여 사용 가능한 모든 GPO를 확인합니다.
GPO를 마우스 오른쪽 단추로 클릭하고 보고서 저장을 선택합니다.
내보내기용으로 쉽게 액세스할 수 있는 폴더를 선택합니다. 파일 형식에서 XML 파일을 선택합니다. 또 다른 단계에서는 Intune 정책 분석을 그룹화하기 위해 이 파일을 추가합니다.
파일이 4MB 미만이고 유니코드 인코딩이 올바른지 확인합니다. 내보낸 파일이 4MB보다 크면 그룹 정책 개체의 설정 수를 줄이세요.
GPO 가져오기 및 분석 실행
Microsoft Intune 관리 센터에서디바이스>>관리그룹 정책 분석을 선택합니다.
가져오기를 선택하고 저장된 XML 파일 >다음을 선택합니다.
동시에 여러 파일을 선택할 수 있습니다.
개별 GPO XML 파일의 크기를 확인하세요. 단일 GPO는 4MB보다 클 수 없습니다. 단일 GPO가 4MB보다 크면 가져오기가 실패합니다. 적절한 유니코드 종료가 없는 XML 파일도 실패합니다.
범위 태그에서 가져온 GPO에 적용할 기존 scope 태그를 선택합니다. 기존 scope 태그를 선택하지 않으면 기본 scope 태그가 자동으로 사용됩니다.
선택한 scope 태그에 포함된 관리자만 가져온 GPO를 볼 수 있습니다. 가져온 GPO의 scope 태그에 대한 자세한 내용은 가져올 때 scope 태그 선택(이 문서)으로 이동합니다.
다음>만들기를 선택합니다.
만들기를 선택하면 Intune XML 파일에서 GPO를 자동으로 분석합니다.
분석을 실행한 후에는 가져온 GPO가 다음 정보와 함께 나열됩니다.
그룹 정책 이름: GPO의 정보를 사용하여 이름이 자동으로 생성됩니다.
Active Directory 대상: 대상은 GPO의 OU(조직 구성 단위) 대상 정보를 사용하여 자동으로 생성됩니다.
MDM 지원: Intune과 설정이 동일한 GPO 그룹 정책 설정의 백분율을 보여 줍니다.
참고
Microsoft Intune 제품 팀에서 Intune의 매핑을 변경할 때마다 MDM 지원의 백분율이 자동으로 업데이트되어 해당 변경 내용을 반영합니다.
알 수 없는 설정: 일부 CSP를 분석할 수 없습니다. 알 수 없는 설정: 분석할 수 없는 GOS를 나열합니다.
AD의 대상: 예는 GPO가 온-프레미스 그룹 정책의 OU에 연결됨을 의미합니다. 아니요는 GPO가 온-프레미스 OU에 연결되지 않음을 의미합니다.
마지막으로 가져온 날짜: 마지막 가져오기의 날짜를 보여 줍니다.
분석을 위해 더 많은 GPO를 가져오고, 페이지를 새로 고치고, 출력을 필터링할 수 있습니다. 또한 이 보기를
.csv
파일로 내보낼 수도 있습니다.나열된 GPO에 대한 MDM 지원 백분율을 선택합니다. GPO에 대한 추가 세부 정보가 표시됩니다.
설정 이름: GPO 설정의 정보를 사용하여 이름이 자동으로 생성됩니다.
그룹 정책 설정 범주: Internet Explorer 및 Microsoft Edge와 같은 ADMX 설정의 설정 범주를 보여 줍니다. 일부 설정에는 설정 범주가 없습니다.
MDM 지원:
- 예는 Intune 사용할 수 있는 일치 설정이 있음을 의미합니다. 설정 카탈로그에서 이 설정을 구성할 수 있습니다.
- 아니요는 Intune을 비롯한 MDM 공급자가 사용할 수 있는 일치 설정이 없음을 의미합니다.
- 기타 값: 더 이상 지원되지 않는 이전 설정을 가져오는 경우 도구에서 지원되는 최신 버전으로 마이그레이션하는 것이 좋습니다. 마이그레이션 시나리오에 대한 자세한 내용은 Intune 가져온 GPO - 알아야 할 사항으로 이동합니다.
값: GPO에서 가져온 값을 표시합니다.
true
,900
,Enabled
,false
등 다양한 값이 표시됩니다.범위: 가져온 GPO가 사용자 또는 디바이스를 대상으로 하는지 여부를 보여 줍니다.
최소 OS 버전: GPO 설정이 적용되는 최소 Windows OS 버전 빌드 번호를 보여 줍니다. (1903), (1803)
17130
및 기타 Windows 클라이언트 버전을 표시18362
할 수 있습니다.예를 들어 정책 설정에
18362
가 표시되는 경우 이 설정은 빌드18362
이상을 지원합니다.CSP 이름: CSP(구성 서비스 공급자)는 Windows 클라이언트에서 장치 구성 설정을 노출합니다. 이 열은 해당 설정을 포함하는 CSP를 보여 줍니다. 예를 들어 정책, BitLocker, PassportforWork 등을 볼 수 있습니다.
CSP 참고자료는 사용 가능한 CSP를 나열하고, 지원되는 OS 버전 등을 표시합니다.
CSP 매핑: 온-프레미스 정책에 대한 OMA-URI 경로를 표시합니다. OMA-URI는 사용자 지정 디바이스 구성 프로필에서 사용할 수 있습니다. 예를 들어 가 표시
./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
될 수 있습니다.
MDM을 지원하는 설정의 경우 이러한 설정을 사용하여 설정 카탈로그 정책을 만들 수 있습니다. 특정 단계는 Microsoft Intune 가져온 GPO를 사용하여 설정 카탈로그 정책 만들기로 이동합니다.
가져올 때 scope 태그 선택
GPO를 가져올 때 기존 scope 태그를 선택할 수 있습니다. scope 태그를 선택하지 않으면 기본 scope 태그가 자동으로 사용됩니다. 기본 scope 태그로 범위가 지정된 관리자만 가져온 GPO를 볼 수 있습니다. 기본 scope 태그로 범위가 지정되지 않은 관리자는 가져온 GPO가 표시되지 않습니다.
이 동작은 GPO를 가져올 때 선택하는 모든 scope 태그에 적용됩니다. 관리자는 가져오는 동안 동일한 scope 태그 중 하나가 선택된 경우에만 가져온 GPO를 볼 수 있습니다. 관리자에게 scope 태그가 없는 경우 가져온 GPO가 보고 또는 GPO 목록에 표시되지 않습니다.
예를 들어 관리자는 Charlotte
역할에 할당된 , London
또는 Boston
scope 태그가 있습니다.
- "Charlotte" scope 태그가 있는 관리자는 GPO를 가져옵니다.
- 가져오는 동안 "Charlotte" scope 태그를 선택합니다. 가져온 GPO에 "Charlotte" scope 태그가 적용됩니다.
- "Charlotte" scope 태그가 있는 모든 관리자는 가져온 개체를 볼 수 있습니다.
- "London" 또는 "Boston" scope 태그만 있는 관리자는 "Charlotte" 관리자로부터 가져온 개체를 볼 수 없습니다.
관리자가 분석을 보거나 가져온 GPO를 Intune 정책으로 마이그레이션하려면 이러한 관리자는 가져오는 동안 동일한 scope 태그 중 하나를 선택해야 합니다.
scope 태그에 대한 자세한 내용은 RBAC 및 분산 IT에 대한 scope 태그로 이동하세요.
지원되는 CSP 및 그룹 정책
그룹 정책 분석은 MDM 지원을 위해 다음 CSP를 구문 분석할 수 있습니다.
가져온 GPO에 지원되는 CSP 및 그룹 정책에 없는 설정이 있는 경우 알 수 없는 설정 열에 설정이 나열될 수 있습니다. 이 동작은 GPO에서 설정이 식별되었음을 의미합니다.
그룹 정책 분석에서 CSP를 구문 분석할 수 있지만 가져온 GPO를 마이그레이션할 때 알아야 할 몇 가지 사항이 있습니다. 자세한 내용은 가져온 GPO를 설정 카탈로그 정책으로 마이그레이션 - 알아야 할 사항으로 이동하세요.
그룹 정책 마이그레이션 준비 상태 보고서
Microsoft Intune 관리 센터에서보고서>디바이스 관리>그룹 정책 분석을 선택합니다.
요약 탭에 GPO 및 해당 정책의 요약이 표시됩니다. 이 정보를 사용하여 GPO 정책의 상태를 확인할 수 있습니다.
마이그레이션 준비 완료: 이 정책은 Intune에 일치하는 설정이 있으며 Intune으로 마이그레이션할 준비가 된 것입니다.
지원되지 않음: 정책에 일치하는 설정이 없습니다. 일반적으로 이 상태를 표시하는 정책 설정은 Intune을 비롯한 MDM 공급자에게 노출되지 않습니다.
사용되지 않음: 정책은 이전 Windows 버전, 이전 Microsoft Edge 버전 및 더 이상 사용되지 않는 더 많은 정책에 적용할 수 있습니다.
참고
Microsoft Intune 제품 팀이 매핑 논리를 업데이트하면 가져온 GPO가 자동으로 업데이트됩니다. GOS를 다시 가져올 필요가 없습니다.
보고서 탭 >그룹 정책 마이그레이션 준비를 선택합니다. 이 보고서에서 다음을 수행할 수 있습니다.
- 디바이스 구성 프로필에서 구성할 수 있는 GPO의 설정 수를 참조하세요. 여기에서 해당 설정의 지원 여부와 사용 중지 여부, 사용자 지정 프로필에서 사용 가능한지 여부도 확인할 수 있습니다.
- 마이그레이션 준비, 프로필 유형 및 CSP 이름 필터를 사용하여 보고서 출력을 필터링합니다.
- 보고서 생성 또는 다시 생성을 클릭하여 현재 데이터를 가져옵니다.
- GPO의 설정 목록을 확인합니다.
- 검색 창을 사용하여 특정 설정을 찾습니다.
- 마지막으로 보고서가 생성된 타임스탬프를 가져옵니다.
참고
가져온 GPO를 추가 또는 제거한 후 마이그레이션 준비 상태 보고 데이터를 업데이트하는 데 20분 정도 걸릴 수 있습니다.
알려진 문제
현재 그룹 정책 분석 도구는 영어에서 비 ADMX 설정만 지원합니다. 영어 이외의 언어로 설정이 포함된 GPO를 가져오는 경우 MDM 지원 비율이 정확하지 않습니다.
제품 피드백 보내기
그룹 정책 분석에 대한 피드백을 제공할 수 있습니다. Microsoft Intune 관리 센터에서디바이스>관리 디바이스>그룹 정책 분석피드백 제공을 > 선택합니다.
피드백 영역의 예는 다음과 같습니다.
- GPO 가져오기 또는 분석 도중에 오류가 발생했으며 특정 정보가 더 필요합니다.
- Microsoft Intune에서 그룹 정책 분석을 사용하여 지원되는 그룹 정책을 찾기가 간단했나요?
- 이 도구는 일부 워크로드를 Intune 이동하는 데 도움이 나요? 그렇다면 고려 중인 워크로드는 무엇인가요?
고객 경험에 관한 정보를 얻기 위해 피드백은 집계되어 Microsoft로 전송됩니다. 전자 메일을 입력하는 것은 선택 사항이며, 자세한 정보를 가져오는 데 사용할 수 있습니다.
개인 정보 및 보안
organization 사용하는 GPO와 같은 고객 데이터의 모든 사용은 집계됩니다. 이 데이터는 제삼자에게 판매되지 않습니다. Microsoft 내에서 비즈니스 의사 결정을 내리는 데 이 데이터가 사용될 수 있습니다. 고객 데이터는 안전하게 저장됩니다.
언제든지 가져온 GPO를 삭제할 수 있습니다.
디바이스>관리 디바이스>그룹 정책 분석으로 이동합니다.
상황에 맞는 메뉴 > 삭제를 선택합니다.
다음 단계
참고 항목
CSP(구성 서비스 공급자)에 대해 자세히 알아보세요.