모바일 디바이스 관리 기관을 설정합니다.
MDM(모바일 디바이스 관리) 기관 설정에 따라 디바이스를 관리하는 방법이 결정됩니다. IT 관리자가 MDM 기관을 설정해야 사용자가 관리를 위해 디바이스를 등록할 수 있습니다. MDM 기관을 설정하려면 Intune 라이선스도 할당되어야 합니다.
가능한 구성은 다음과 같습니다.
Intune 독립 실행형 - Azure Portal을 사용하여 구성하는 클라우드 전용 관리입니다. Intune에서 제공하는 모든 기능 집합을 포함합니다. Microsoft Intune 관리 센터에서 MDM 기관을 설정합니다.
Intune 공동 관리 - Windows 10 디바이스를 위한 Intune 클라우드 솔루션과 Configuration Manager의 통합입니다. Configuration Manager 콘솔을 사용하여 Intune을 구성합니다. Intune에 대한 디바이스 자동 등록을 구성합니다.
Microsoft 365용 기본 이동성 및 보안 - 이 구성이 활성화되면 MDM 기관이 "Office 365"로 설정됩니다. Intune 사용을 시작하려면 Intune 라이선스를 구매해야 합니다.
Microsoft 365 공존용 기본 이동성 및 보안 - 이미 Microsoft 365용 기본 이동성 및 보안 사용하는 경우 테넌트에서 Intune 추가할 수 있습니다. 각 사용자가 MDM 등록 디바이스를 관리하는 데 사용되는 서비스를 지시하도록 Microsoft 365에 대한 관리 기관을 Intune 또는 기본 이동성 및 보안 설정할 수 있습니다. 각 사용자의 관리 기관은 사용자에게 할당된 라이선스에 따라 정의됩니다.
- Microsoft 365용 기본 이동성 및 보안 Microsoft 365 Basic 또는 표준에 대한 라이선스만 있는 사용자의 디바이스를 관리합니다.
- Intune 사용권이 부여된 라이선스가 있는 사용자의 디바이스를 관리합니다.
- 이전에 Microsoft 365용 기본 이동성 및 보안 관리하던 사용자에게 Intune 라이선스를 추가하면 해당 디바이스가 Intune 관리로 전환됩니다. 사용자의 디바이스에서 Microsoft 365 구성에 대한 기본 이동성 및 보안 잃지 않도록 하려면 Intune 전환하기 전에 사용자에게 Intune 구성을 할당해야 합니다.
MDM 기관을 Intune으로 설정
Microsoft Intune 관리 센터에서 주황색 배너를 선택하여 모바일 장치 관리 기관 설정을 엽니다. 주황색 배너는 MDM 기관을 아직 설정하지 않은 경우만 표시됩니다.
모바일 디바이스 관리 기관 아래에서, 다음 옵션 중에서 MDM 기관을 선택합니다.
- Intune MDM 기관
- 없음
MDM 기관을 Intune으로 설정했음을 나타내는 메시지가 표시됩니다.
Intune 관리 UI의 워크플로
Android 또는 Apple 디바이스 관리를 사용하는 경우 Intune은 이러한 타사 서비스와 통합하는 디바이스 및 사용자 정보를 보내 해당 디바이스를 관리합니다.
데이터 공유 동의를 추가하는 시나리오는 다음과 같습니다.
- Android Enterprise 개인 소유 또는 회사 소유 회사 프로필을 사용하도록 설정합니다.
- Apple MDM 푸시 인증서를 사용하고 업로드.
- DEP(장비 등록 프로그램), School Manager, Volume Purchasing Program 등의 Apple 서비스 중 하나를 사용.
각 경우에 동의는 모바일 디바이스 관리 서비스의 실행과 관련하여 엄격히 적용됩니다. 예를 들어 IT 관리자는 등록을 위해 Google 또는 Apple 디바이스를 인증했는지 확인합니다. 새 워크플로가 가동될 때 어떤 정보가 공유되는지 알려주는 설명서는 다음 위치에 있습니다.
핵심 고려 사항
새 MDM 기관으로 전환한 후 디바이스가 체크 인되어 서비스와 동기화되기까지 약간의 전환 시간(최대 8시간)이 있습니다. 변경 후 등록된 디바이스가 계속 관리되고 보호되도록 새 MDM 기관에서 설정을 구성해야 합니다.
- 디바이스는 새 MDM 기관(Intune 독립 실행형)의 설정이 디바이스의 기존 설정을 대체하도록 변경 후에도 서비스에 연결되어야 합니다.
- MDM 기관을 변경한 후 이전 MDM 기관의 일부 기본 설정(예: 프로필)이 최대 7일 동안 또는 디바이스가 서비스에 처음 연결될 때까지 디바이스에 남아 있습니다. 가능한 한 빨리 새 MDM 기관에서 앱 및 설정(예: 정책, 프로필 및 앱)을 구성하고 기존 등록된 디바이스가 있는 사용자를 포함하는 사용자 그룹에 설정을 배포해야 합니다. MDM 기관에서 변경이 수행되고 디바이스가 서비스에 연결되는 즉시, 새 MDM 기관에서 새 설정을 수신되므로 관리 및 보호의 부재가 나타나지 않습니다.
- 연결된 사용자가 없는 디바이스(일반적으로 iOS/iPadOS 장비 등록 프로그램 또는 대량 등록 시나리오가 있는 경우)는 새 MDM 기관으로 마이그레이션되지 않습니다. 이러한 디바이스의 경우 새 MDM 기관으로 이동하려면 지원 서비스에 문의해야 합니다.
동시 사용
공존을 사용하도록 설정하면 기존 사용자에 대해 기본 이동성 및 보안 계속 사용하면서 새 사용자 집합에 Intune 사용할 수 있습니다. 사용자를 통해 Intune 관리하는 디바이스를 제어할 수 있습니다. Intune 사용자가 Intune 라이선스를 가지고 있거나 Configuration Manager Intune 공동 관리를 사용하는 경우 사용자가 등록한 모든 디바이스를 관리합니다. 그렇지 않으면 사용자가 기본 모바일 및 보안을 통해 관리됩니다.
공존을 사용하는 세 가지 주요 단계는 다음과 같습니다.
- 준비
- Intune MDM 기관 추가
- 사용자 및 디바이스 마이그레이션(선택 사항)
준비
기본 모바일 및 보안의 공존을 사용하도록 설정하기 전에 다음 사항을 고려하세요.
- Intune을 통해 관리하려는 사용자에게 충분한 Intune 라이선스가 있는지 확인합니다.
- Intune 라이선스를 할당받은 사용자를 검토합니다. 동시 사용을 사용하도록 설정하고 나면 이미 Intune 라이선스를 할당받은 사용자는 자신의 디바이스를 Intune으로 전환할 것입니다. 예기치 않은 디바이스 전환을 방지하려면 동시 사용을 활성화할 때까지 Intune 라이선스를 할당하지 않는 것이 좋습니다.
- Intune 정책을 만들고 배포하여 원래 Office 365 Security & Compliance 포털을 통해 배포된 디바이스 보안 정책을 대체합니다. 기본 모바일 및 보안에서 Intune으로 이동하려는 모든 사용자에 대해 이러한 대체를 수행해야 합니다. 해당 사용자에게 할당된 Intune 정책이 없으면 공존을 사용하도록 설정하면 기본 모바일 및 보안 설정이 손실될 수 있습니다. 이러한 설정은 관리되는 전자 메일 프로필과 같이 대체 없이 손실됩니다. 디바이스 보안 정책을 Intune 정책으로 대체하는 경우에도 사용자에게 디바이스가 Intune 관리로 이동한 후 이메일 프로필을 재인증하라는 메시지가 표시될 수 있습니다.
- 기본 모바일 및 보안을 설정한 후에는 프로비전을 해제할 수 없습니다. 그러나 정책을 해제하기 위해 수행할 수 있는 단계가 있습니다. 자세한 내용은 기본 이동성 및 보안 해제를 참조하세요.
Intune MDM 기관 추가
공존을 사용하려면 사용자 환경에 MDM 기관으로 Intune을 추가해야 합니다.
Microsoft Entra Global 또는 Intune 서비스 관리자 권한으로 Microsoft Intune 관리 센터에 로그인합니다.
디바이스로 이동합니다.
MDM 기관 추가 블레이드 배너가 표시됩니다.
MDM 기관을 Office 365에서 Intune으로 전환하고 함께 사용할 수 있도록 설정하려면 Intune MDM 기관>추가를 선택합니다.
사용자 및 디바이스 마이그레이션(선택 사항)
Intune MDM 기관을 사용하도록 설정하면 공존이 활성화되고 Intune 통해 사용자 관리를 시작할 수 있습니다. 필요에 따라 이전에 기본 이동성 및 보안 관리하던 디바이스를 해당 사용자에게 Intune 라이선스를 할당하여 Intune 관리할 수 있습니다. 사용자의 디바이스는 다음 MDM 체크 인에서 Intune으로 전환됩니다. 기본 이동성 및 보안 통해 이러한 디바이스에 적용된 설정은 더 이상 적용되지 않으며 디바이스에서 제거됩니다.
MDM 인증서 만료 후 모바일 디바이스 정리
MDM 인증서는 모바일 디바이스가 Intune 서비스와 통신할 때 자동으로 갱신됩니다. 모바일 디바이스가 초기화되거나 일정 기간 동안 Intune 서비스와 통신하지 못한 경우에는 MDM 인증서가 갱신되지 않습니다. MDM 인증서가 만료되고 180일 후 Azure Portal에서 디바이스가 제거됩니다.
MDM 기관 제거
MDM 기관을 Unknown으로 다시 변경할 수 없습니다. MDM 기관은 등록된 디바이스가 보고하는 포털(Microsoft Intune 또는 Microsoft 365용 기본 모바일 및 보안)을 서비스가 확인하는 데 사용됩니다.
MDM 기관 변경 후 예상되는 상황
Intune 서비스가 테넌트의 MDM 기관의 변경 사항을 감지하면 등록된 모든 디바이스에 알림 메시지를 보냅니다. 알림 메시지는 디바이스에 검사 정기적인 일정 외에 서비스와 동기화하라는 메시지를 표시합니다. 따라서 전원이 켜진 모든 온라인 디바이스가 서비스와 연결되고 새 MDM 기관을 받습니다. 새 기관은 중단 없이 디바이스를 관리하고 보호합니다. 따라서 테넌트용 MDM 기관이 Intune 독립 실행형에서 변경된 후 디바이스는 새 MDM 기관에서 정상적으로 계속 작동합니다.
MDM 기관 변경 중 또는 그 직후 또는 그 직후에 전원이 켜지고 온라인으로 구동되는 디바이스는 지연이 발생합니다. 지연은 다음 예약된 일반 검사 타이밍에 따라 최대 8시간까지 지속될 수 있습니다. 지연 중에 디바이스는 새 MDM 기관에 따라 서비스에 등록되지 않습니다. 지연 후 디바이스는 완전히 등록되고 새 MDM 기관에서 작동합니다.
중요
MDM 기관을 변경하는 시간과 갱신된 APN 인증서를 새 기관으로 업로드하는 시간 사이의 iOS/iPadOS 디바이스에 대한 새 디바이스 등록 및 디바이스 체크 인에 실패합니다. 따라서 MDM 기관을 변경한 후 가능한 한 빨리 APNs 인증서를 갱신하고 새 인증 기관에 업로드하는 것이 중요합니다.
사용자는 디바이스에서 서비스로의 체크 인을 수동으로 시작하여 새 MDM 기관을 빠르게 변경할 수 있습니다. 사용자는 회사 포털 앱을 사용하고 디바이스 준수 검사를 시작하여 이 변경을 쉽게 수행할 수 있습니다.
디바이스가 MDM 기관을 변경한 다음 서비스에 체크 인되고 동기화된 후에 작업이 제대로 작동하는지 확인하려면 새 MDM 기관에서 디바이스를 찾습니다.
MDM 기관 변경 동안 디바이스가 오프라인 상태일 때와 디바이스가 서비스로 체크 인될 때까지의 중간 기간이 있습니다. 중간 기간 동안 디바이스의 기능을 보호하고 유지하는 것이 중요합니다. 디바이스의 기능을 보호하고 유지 관리하기 위해 다음 프로필이 디바이스에 남아 있습니다. 이러한 프로필은 디바이스가 새 MDM 기관과 연결될 때까지 최대 7일 동안 디바이스에 유지됩니다. 디바이스가 연결되고 새 설정을 받으면 기존 프로필을 덮어씁니다.
- 전자 메일 프로필
- VPN 프로필
- 인증서 프로필
- Wi-Fi 프로필
- 구성 프로필
새 MDM 기관으로 변경한 후 Microsoft Intune 관리 센터의 규정 준수 데이터는 정확하게 보고하는 데 최대 1주일이 걸릴 수 있습니다. 그러나 Microsoft Entra ID 및 디바이스의 규정 준수 상태는 정확하므로 디바이스는 여전히 보호됩니다.
기존 설정을 덮어쓰려는 새 설정의 이름이 이전 설정과 동일한지 확인하여 이전 설정을 덮어씁니다. 그렇지 않으면 디바이스에서 프로필 및 정책이 중복될 수 있습니다.
팁
모범 사례는 MDM 기관 변경이 완료된 즉시, 모든 배포 뿐만 아니라 모든 관리 설정과 구성을 만드는 것입니다. 이렇게 하면 중간 기간 동안에도 디바이스가 보호되고 능동적으로 관리될 수 있습니다.
MDM 기관을 변경한 후 다음 단계를 수행하여 새 디바이스가 새 기관에 성공적으로 등록되었는지 확인합니다.
- 새 디바이스 등록
- 새로 등록된 디바이스가 새 MDM 기관에 표시되는지 확인합니다.
- Microsoft Intune 관리 센터에서 디바이스로 원격 잠금과 같은 작업을 수행합니다. 성공하면 새 MDM 기관이 디바이스를 관리하고 있습니다.
특정 디바이스에 문제가 있는 경우 등록을 취소했다가 다시 등록하여 가능한 한 빠른 시일 내에 디바이스가 새 기관에 연결되고 관리될 수 있도록 합니다.
테넌트의 MDM 기관 확인
MDM 기관이 Intune 설정되어 있는지 확인하려면 다음 단계를 사용합니다.
- Microsoft Intune 관리 센터에서테넌트 관리>테넌트 상태 선택합니다.
- 테넌트 세부 정보 탭에서 MDM 기관을 찾습니다.
다음 단계
MDM 기관을 설정하면 디바이스 등록을 시작할 수 있습니다.