마이그레이션 가이드: Microsoft Intune 설정 또는 이동
Microsoft Intune으로의 이동을 계획한 후 다음 단계에서 조직에 적합한 마이그레이션 방법을 선택합니다. 이러한 결정은 현재 MDM(모바일 디바이스 관리) 환경, 비즈니스 목표 및 기술 요구 사항에 따라 달라집니다.
이 마이그레이션 가이드에서는 다음을 포함하는 Intune을 채택하거나 이동하는 옵션을 나열하고 설명합니다.
- 모바일 디바이스 관리 솔루션을 사용하지 않습니다.
- 타사 파트너 MDM 솔루션을 사용합니다.
- Configuration Manager를 사용합니다.
- 온-프레미스 그룹 정책을 사용합니다.
- Microsoft 365 Basic Mobility and Security를 사용합니다.
이 가이드를 사용하여 최상의 마이그레이션 방법을 결정하고 권장 사항에 & 몇 가지 지침을 가져옵니다.
팁
-
이 가이드는 지속적으로 변화합니다. 따라서 유용하다고 판단한 기존 팁과 지침을 추가하거나 업데이트해야 합니다.
이 문서의 동반자로서 Microsoft 365 관리 센터에는 몇 가지 설정 지침도 있습니다. 이 가이드는 사용자 환경에 따라 환경을 사용자 지정합니다. 이 배포 가이드에 액세스하려면 Microsoft 365 관리 센터의 Microsoft Intune 설치 가이드로 이동하여 전역 읽기 권한자로 로그인합니다(최소한). 이러한 배포 가이드 및 필요한 역할에 대한 자세한 내용은 Microsoft 365 및 Office 365 제품에 대한 고급 배포 가이드를 참조하세요.
자동화된 설치 기능을 로그인하고 활성화하지 않고 모범 사례를 검토하려면 M365 설치 포털로 이동합니다.
시작하기 전에
Microsoft Intune은 ID, 디바이스 및 앱을 관리하는 데 도움이 되는 클라우드 네이티브 솔루션입니다. 클라우드 네이티브가 되는 것이 목표인 경우 다음 문서에서 자세히 알아볼 수 있습니다.
Intune 배포는 이전 MDM 배포와 다를 수 있습니다. Intune은 ID 기반 액세스 제어를 사용합니다. 네트워크 외부 디바이스에서 조직 데이터에 액세스할 때 네트워크 프록시가 필요하지 않습니다.
현재 아무것도 사용하지 않음
현재 MDM 또는 MAM(모바일 애플리케이션 관리) 공급자를 사용하지 않는 경우 몇 가지 옵션이 있습니다.
Microsoft Intune: 클라우드 솔루션을 원하고 전체 디바이스 관리를 준비하려면 Intune으로 바로 이동합니다. Intune을 사용하여 규정 준수를 확인하고, 디바이스 기능을 구성하고, 앱을 배포하고, 시스템 & 앱 업데이트를 설치할 수 있습니다. 웹 기반 콘솔인 Microsoft Intune 관리 센터의 이점도 제공됩니다.
Configuration Manager: Intune(클라우드)과 결합된 Configuration Manager(온-프레미스)의 기능을 원하는 경우 테넌트 연결 (이 문서) 또는 공동 관리 (이 문서)를 고려합니다.
Configuration Manager는 다음을 수행할 수 있습니다.
- 온-프레미스 Windows Server 및 일부 클라이언트 디바이스를 관리합니다.
- 파트너 또는 타사 소프트웨어 업데이트를 관리합니다.
- Windows 운영 체제를 배포할 때 사용자 지정 작업 순서 를 만듭니다.
- 다양한 앱 유형을 배포하고 관리합니다.
현재 타사 MDM 공급자 사용
디바이스에는 MDM 공급자가 하나만 있어야 합니다. 작업 영역 ONE(이전의 AirWatch), MobileIron 또는 MaaS360과 같은 다른 MDM 공급자를 사용하는 경우 Intune으로 이동할 수 있습니다.
사용자는 Intune에 등록하기 전에 현재 MDM 공급자에서 디바이스 등록을 취소해야 합니다.
MDM 기관을 Intune으로 설정하는 것을 포함하여 Intune을 설정합니다.
자세한 내용을 보려면 다음으로 이동하세요.
앱을 배포하고 앱 보호 정책을 만듭니다. 이 아이디어는 마이그레이션 중 및 디바이스가 Intune에서 관리되는 & 등록될 때까지 앱에서 조직 데이터를 보호하는 것입니다.
현재 MDM 공급자에서 디바이스 등록을 취소합니다.
등록 취소된 디바이스는 보호를 제공하는 정책을 포함하여 정책을 수신하지 않습니다. 디바이스는 Intune에 등록하고 새 정책 수신을 시작할 때까지 취약합니다.
사용자에게 특정 등록 취소 단계를 제공합니다. 디바이스 등록을 취소하는 방법에 관한 기존 MDM 공급자의 지침을 포함합니다. 명확하고 유용한 통신은 최종 사용자 가동 중지 시간, 불만족 및 기술 지원팀 호출을 최소화합니다.
선택 사항이지만 권장합니다. Microsoft Entra ID P1 또는 P2가 있는 경우 조건부 액세스를 사용하여 Intune에 등록할 때까지 디바이스를 차단합니다.
자세한 내용은 3단계 – 규정 준수 정책 계획을 참조하세요.
선택 사항이지만 권장합니다. 모든 사용자와 디바이스에 있어야 하는 규정 준수 및 디바이스 설정의 기준을 만듭니다. 이러한 정책은 사용자가 Intune에 등록할 때 배포할 수 있습니다.
자세한 내용을 보려면 다음으로 이동하세요.
Intune에 등록합니다. 사용자에게 특정 등록 단계를 제공해야 합니다.
자세한 내용을 보려면 다음으로 이동하세요.
중요
Exchange 또는 SharePoint를 비롯한 리소스에 액세스 제어를 적용하도록 Intune 및 기존 타사 MDM 솔루션을 동시에 구성하지 마세요.
권장 사항:
파트너 MDM/MAM 공급자에서 이동하는 경우 실행 중인 작업 및 사용하는 기능을 확인합니다. 이 정보는 Intune에서도 수행할 작업에 대한 아이디어를 제공합니다.
단계별 방법을 사용합니다. 소규모 파일럿 사용자 그룹부터 시작하여 전체 규모의 배포에 도달할 때까지 더 많은 그룹을 추가합니다.
각 단계의 기술 지원팀 로드 및 등록 성공 여부를 모니터링합니다. 다음 그룹을 마이그레이션하기 전에 각 그룹에 대해 성공 기준을 평가하기 위해 일정에 시간 여유를 둡니다.
파일럿 배포에서는 다음 작업의 유효성을 검사해야 합니다.
등록 성공 및 실패 비율이 예상 범위 내에 있습니다.
사용자 생산성:
- VPN, Wi-Fi, 메일, 인증서를 포함한 회사 리소스가 작동되고 있습니다.
- 배포된 앱에 액세스할 수 있습니다.
데이터 보안:
- 준수 보고서를 검토하고 일반적인 문제 및 추세를 검색합니다. 기술 지원팀에 문제, 해결 방법, 추세를 알립니다.
- 모바일 앱 보호가 적용됩니다.
마이그레이션의 첫 번째 단계에 만족하는 경우 다음 단계에 대해 마이그레이션 주기를 반복합니다.
- 모든 사용자가 Intune에 마이그레이션될 때까지 단계적 주기를 반복합니다.
- 기술 지원팀이 마이그레이션 전반에 걸쳐 최종 사용자를 지원할 준비가 되었는지 확인합니다. 지원 호출 워크로드를 예측할 수 있을 때까지 자발적인 마이그레이션을 실행합니다.
- 기술 지원팀에서 나머지 모든 사용자를 처리할 수 있을 때까지 등록 기한을 설정하지 마세요.
유용한 정보:
현재 Configuration Manager 사용
Configuration Manager는 Windows Server 및 Windows & macOS 클라이언트 디바이스를 지원합니다. 조직에서 다른 플랫폼을 사용하는 경우 디바이스를 다시 설정한 다음 Intune에 등록해야 할 수 있습니다. 등록되면 관리자가 만든 정책과 프로필을 받게 됩니다. 자세한 내용은 Intune 등록 배포 가이드를 참조하세요.
현재 Configuration Manager을 사용 중이고 Intune을 사용하려는 경우 다음 옵션을 사용합니다.
옵션 1 - 테넌트 연결 추가
테넌트 연결을 사용하여 “테넌트”라고도 하는 Intune의 조직에 Configuration Manager 디바이스를 업로드할 수 있습니다. 디바이스를 연결한 후에 는 Microsoft Intune 관리 센터를 사용하여 동기화 컴퓨터 및 사용자 정책과 같은 원격 작업을 실행합니다. 온-프레미스 서버를 확인하고 OS 정보를 가져올 수도 있습니다.
테넌트 연결은 추가 비용 없이 Configuration Manager 공동 관리 라이선스에 포함됩니다. 클라우드(Intune)를 온-프레미스 Configuration Manager 설정과 통합하는 가장 쉬운 방법입니다.
자세한 내용은 테넌트 연결 사용을 참조하세요.
옵션 2 - 공동 관리 설정
이 옵션은 일부 워크로드에 Configuration Manager를 사용하고 다른 워크로드에 Intune을 사용합니다.
디바이스를 Intune에 등록하고 정책을 받을 준비가 된 것입니다.
유용한 정보:
- 공동 관리란 무엇인가요?
- 공동 관리 워크로드
- Configuration Manager 워크로드를 Intune으로 전환
- Configuration Manager 제품 및 라이선싱 FAQ
옵션 3 - Configuration Manager에서 Intune으로 이동
대부분의 기존 Configuration Manager 고객은 Configuration Manager를 계속 사용하려고 합니다. 여기에는 온-프레미스 디바이스에 유용한 서비스가 포함됩니다.
관련 단계는 개요이며 100% 클라우드 솔루션을 원하는 사용자를 위해서만 포함됩니다. 이 옵션을 사용하여 다음을 수행합니다.
- 기존 온-프레미스 Active Directory Windows 클라이언트 디바이스를 Microsoft Entra ID의 디바이스로 등록합니다.
- 기존 온-프레미스 Configuration Manager 워크로드를 Intune으로 이동합니다.
이 옵션은 관리자에게 더 적합하지만 기존 Windows 클라이언트 디바이스에서도 더 원활한 환경을 만들 수 있습니다. 새 Windows 클라이언트 디바이스의 경우 Microsoft 365 및 Intune (이 문서)으로 처음부터 시작하는 것이 좋습니다.
디바이스에 대한 하이브리드 Active Directory 및 Microsoft Entra ID 를 설정합니다. Microsoft Entra 하이브리드 조인 디바이스는 온-프레미스 Active Directory에 조인되고 Microsoft Entra ID에 등록됩니다. 디바이스가 Microsoft Entra ID에 있는 경우 Intune에서도 사용할 수 있습니다.
하이브리드 Microsoft Entra ID는 Windows 디바이스를 지원합니다. 로그인 요구 사항을 비롯한 기타 필수 구성 요소는 Microsoft Entra 하이브리드 조인 구현 계획을 참조하세요.
Configuration Manager에서 공동 관리를 설정합니다.
MDM 기관을 Intune으로 설정하는 것을 포함하여 Intune을 설정합니다.
Configuration Manager에서 모든 워크로드를 Configuration Manager에서 Intune으로 이동합니다.
디바이스에서 구성 관리자 클라이언트를 제거합니다. 자세한 내용은 클라이언트 제거를 참조하세요.
Intune이 설정되면 구성 관리자 클라이언트를 제거하는 Intune 앱 구성 정책을 만들 수 있습니다. 예를 들어 Intune을 사용하여 구성 관리자 클라이언트 설치의 단계를 되돌릴 수 있습니다.
디바이스를 Intune에 등록하고 정책을 받을 준비가 된 것입니다.
중요
하이브리드 Microsoft Entra ID는 Windows 디바이스만 지원합니다. Configuration Manager는 Windows 및 macOS 디바이스를 지원합니다. Configuration Manager에서 관리되는 macOS 디바이스의 경우 다음을 수행할 수 있습니다.
- 구성 관리자 클라이언트를 제거합니다. 클라이언트를 제거하면 디바이스는 보호를 제공하는 정책을 포함하여 정책을 수신하지 않습니다. Intune에 등록하고 새 정책 수신을 시작할 때까지 취약합니다.
- 정책을 수신하려면 디바이스를 Intune에 등록합니다.
취약성을 최소화하려면 Intune이 설정된 후 및 등록 정책을 배포할 준비가 되면 macOS 디바이스를 이동합니다.
옵션 4 - Microsoft 365 및 Intune을 사용하여 처음부터 시작
이 옵션은 Windows 클라이언트 디바이스에 적용됩니다. Windows Server 2022와 같은 Windows Server를 사용하는 경우 이 옵션을 사용하지 마세요. Configuration Manager를 사용합니다.
Windows 클라이언트 디바이스를 관리하려면 다음을 수행합니다.
사용자 및 그룹 만들기를 포함하여 Microsoft 365를 배포합니다. Microsoft 365 Basic Mobility and Security를 사용하거나 구성하지 마세요.
유용한 링크:
MDM 기관을 Intune으로 설정하는 것을 포함하여 Intune을 설정합니다.
기존 디바이스에서 구성 관리자 클라이언트를 제거합니다. 자세한 내용은 클라이언트 제거를 참조하세요.
디바이스를 Intune에 등록하고 정책을 받을 준비가 된 것입니다.
현재 온-프레미스 그룹 정책 사용
클라우드에서 Intune과 같은 MDM 공급자는 디바이스의 설정 및 기능을 관리합니다. GPO(그룹 정책 개체)는 사용되지 않습니다.
디바이스를 관리할 때 Intune 디바이스 구성 프로필은 온-프레미스 GPO를 대체합니다. 디바이스 구성 프로필은 Apple, Google 및 Microsoft에서 노출하는 설정을 사용합니다.
특히 다음 사항에 유의합니다.
- Android 디바이스에서 관련 프로필은 Android 관리 API 및 EMM API를 사용합니다.
- Apple 디바이스에서 관련 프로필은디바이스 관리 페이로드를 사용합니다.
- Windows 디바이스에서 관련 프로필은 Windows CSP(구성 서비스 공급자)를 사용합니다.
그룹 정책에서 디바이스를 이동하는 경우 그룹 정책 분석을 사용합니다. 그룹 정책 분석은 GPO를 분석하는 Intune의 도구 및 기능입니다. Intune에서 GPO를 가져오고 Intune에서 사용할 수 있고 사용할 수 없는 정책을 확인합니다. Intune에서 사용할 수 있는 정책의 경우 가져온 설정을 사용하여 설정 카탈로그 정책을 만들 수 있습니다. 이 기능에 대한 자세한 내용은 Microsoft Intune에서 가져온 GPO를 사용하여 설정 카탈로그 정책 만들기를 참조하세요.
다음으로, 1단계: Microsoft Intune 설정
현재 Microsoft 365 Basic Mobility and Security 사용
Microsoft 365 기본 모바일 및 보안 정책을 만들고 배포한 경우 사용자, 그룹 및 정책을 Microsoft Intune으로 마이그레이션할 수 있습니다.
자세한 내용은 Microsoft 365 Basic Mobility and Security에서 Intune으로 마이그레이션을 참조하세요.
테넌트 간 마이그레이션
테넌트는 Contoso와 같은 Microsoft Entra ID의 조직입니다. 여기에는 Contoso가 Microsoft Intune 또는 Microsoft 365와 같은 Microsoft 클라우드 서비스를 받을 때 수신하는 전용 Microsoft Entra 서비스 인스턴스가 포함됩니다. Microsoft Entra ID는 Intune 및 Microsoft 365에서 사용자 및 디바이스를 식별하고 사용자가 만든 정책에 대한 액세스를 제어하는 데 사용됩니다.
Intune에서 사용자는 Microsoft Graph 및 Windows PowerShell을 사용하여 일부 정책을 내보내고 가져올 수 있습니다.
예를 들어 사용자는 Microsoft Intune 평가판 구독을 만들 수 있습니다. 이 구독 평가판 테넌트에서는 앱 및 기능 구성과 규정 준수 확인 등의 작업을 위한 정책이 있습니다. 이러한 정책은 다른 테넌트로 이동할 수도 있습니다.
이 섹션에서는 테넌트에서 테넌트로 마이그레이션하기 위해 Microsoft Graph 스크립트를 사용하는 방법을 보여 줍니다. 또한 내보낼 수 있거나 내보낼 수 없는 몇 가지 정책 유형도 나열합니다.
중요
- 해당 단계에서는 GitHub의 Intune 베타 그래프 샘플을 사용합니다. 샘플 스크립트는 테넌트를 변경합니다. 있는 그대로 사용할 수 있으며, 비프로덕션 또는 ‘test’ 테넌트 계정을 사용하여 유효성을 검사해야 합니다. 스크립트가 조직의 보안 지침을 충족하는지 확인해야 합니다.
- 스크립트는 인증서 프로필과 같은 모든 정책을 내보내거나 가져오지 않습니다. 이러한 스크립트에서 사용할 수 있는 것보다 더 많은 작업이 필요합니다. 일부 정책을 다시 만들어야 합니다.
- 사용자의 디바이스를 마이그레이션하려면 사용자가 이전 테넌트에서 디바이스 등록을 취소한 다음 새 테넌트에서 다시 등록해야 합니다.
샘플을 다운로드하고 스크립트를 실행합니다.
이 섹션에는 단계에 대한 개요가 포함되어 있습니다. 이러한 단계를 지침으로 사용하고 특정 단계가 다를 수 있음을 알 수 있습니다.
샘플을 다운로드하고 Windows PowerShell을 사용하여 정책을 내보냅니다.
microsoftgraph/powershell-intune-samples로 이동하여 코드>ZIP 다운로드를 선택합니다.
.zip
파일의 압축을 풉니다.Windows PowerShell 앱을 관리자 권한으로 열고 디렉터리를 폴더로 변경합니다. 예를 들어 다음 명령을 입력합니다.
cd C:\psscripts\powershell-intune-samples-master
AzureAD PowerShell 모듈 설치:
Install-Module AzureAD
Y를 선택하여 신뢰할 수 없는 리포지토리에서 모듈을 설치합니다. 설치는 몇 분 정도 걸릴 수 있습니다.
실행하려는 스크립트가 포함된 폴더로 디렉터리를 변경합니다. 예를 들어 디렉터리를
CompliancePolicy
폴더로 변경합니다.cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
내보내기 스크립트를 실행합니다. 예를 들어 다음 명령을 입력합니다.
.\CompliancePolicy_Export.ps1
사용자 계정으로 로그인합니다. 메시지가 표시되면 정책을 넣을 경로를 입력합니다. 예를 들어 다음과 같이 입력합니다.
C:\psscripts\ExportedIntunePolicies\CompliancePolicies
폴더에서 정책을 내보냅니다.
새 테넌트에서 정책을 가져옵니다.
실행하려는 스크립트가 포함된 PowerShell 폴더로 디렉터리를 변경합니다. 예를 들어 디렉터리를
CompliancePolicy
폴더로 변경합니다.cd C:\psscripts\powershell-intune-samples-master\powershell-intune-samples-master\CompliancePolicy
가져오기 스크립트를 실행합니다. 예를 들어 다음 명령을 입력합니다.
.\CompliancePolicy_Import_FromJSON.ps1
사용자 계정으로 로그인합니다. 메시지가 표시되면 가져올 정책
.json
파일로 경로를 입력합니다. 예를 들어 다음과 같이 입력합니다.C:\psscripts\ExportedIntunePolicies\CompliancePolicies\PolicyName.json
Intune 관리 센터에 로그인합니다. 가져온 정책이 표시됩니다.
수행 불가한 작업
일부 정책 유형은 내보낼 수 없습니다. 일부 정책 유형은 내보낼 수 있지만 다른 테넌트로 가져올 수 없습니다. 다음 목록을 가이드로 활용하세요. 목록에 포함되지 않은 다른 정책 유형도 있습니다.
정책 또는 프로필 유형 | 정보 |
---|---|
응용 프로그램 | |
Android 기간 업무 앱 |
❌ Export ❌ 가져오기 LOB 앱을 새 테넌트에 추가하려면 원래의 .apk 애플리케이션 원본 파일도 필요합니다. |
Apple – Apple Volume Purchase Program(VPP) |
❌ Export ❌ 가져오기 이러한 앱은 Apple VPP와 동기화됩니다. 새 테넌트에서 사용 가능한 앱을 표시하는 VPP 토큰을 추가합니다. |
iOS/iPadOS 기간 업무 앱 |
❌ Export ❌ 가져오기 LOB 앱을 새 테넌트에 추가하려면 원래의 .ipa 애플리케이션 원본 파일도 필요합니다. |
관리되는 Google Play |
❌ Export ❌ 가져오기 이러한 앱 및 웹 링크는 관리되는 Google Play와 동기화됩니다. 새 테넌트에서 사용 가능한 앱을 표시하는 관리되는 Google Play 계정을 추가합니다. |
비즈니스용 Microsoft Store |
❌ Export ❌ 가져오기 이러한 앱은 비즈니스용 Microsoft Store와 동기화됩니다. 새 테넌트에서 사용 가능한 앱을 표시하는 비즈니스용 Microsoft Store 계정을 추가합니다. |
Windows 앱(Win32) |
❌ Export ❌ 가져오기 LOB 앱을 새 테넌트에 추가하려면 원래의 .intunewin 애플리케이션 원본 파일도 필요합니다. |
규정 준수 정책 | |
비준수에 대한 작업 |
❌ Export ❌ 가져오기 이메일 템플릿 링크가 있을 수 있습니다. 비준수 작업이 있는 정책을 가져올 때 비준수에 대한 기본 작업이 대신 추가됩니다. |
Assignments |
✅ Export ❌ 가져오기 할당은 그룹 ID를 대상으로 합니다. 새 테넌트에서 그룹 ID는 다릅니다. |
구성 프로필 | |
전자 메일 |
✅ Export ✅ 전자 메일 프로필에서 인증서를 사용하지 않는 경우 가져오기가 작동합니다. ❌ 이메일 프로필에서 루트 인증서를 사용하는 경우에는 프로필을 새 테넌트로 가져올 수 없습니다. 루트 인증서 ID는 새 테넌트에서 다릅니다. |
SCEP 인증서 |
✅ Export ❌ 가져오기 SCEP 인증서 프로필은 루트 인증서를 사용합니다. 루트 인증서 ID는 새 테넌트에서 다릅니다. |
VPN |
✅ Export ✅ VPN 프로필에서 인증서를 사용하지 않는 경우 가져오기가 작동합니다. ❌ VPN 프로필에서 루트 인증서를 사용하는 경우에는 프로필을 새 테넌트로 가져올 수 없습니다. 루트 인증서 ID는 새 테넌트에서 다릅니다. |
Wi-Fi |
✅ Export ✅ Wi-Fi 프로필에서 인증서를 사용하지 않는 경우 가져오기가 작동합니다. ❌ Wi-Fi 프로필에서 루트 인증서를 사용하는 경우에는 프로필을 새 테넌트로 가져올 수 없습니다. 루트 인증서 ID는 새 테넌트에서 다릅니다. |
Assignments |
✅ Export ❌ 가져오기 할당은 그룹 ID를 대상으로 합니다. 새 테넌트에서 그룹 ID는 다릅니다. |
엔드포인트 보안 | |
엔드포인트 감지 및 응답 |
❌ Export ❌ 가져오기 이 정책은 엔드포인트용 Microsoft Defender에 연결됩니다. 새 테넌트에서는 엔드포인트 검색 및 응답 정책을 자동으로 포함하는 엔드포인트용 Microsoft Defender를 구성합니다. |