Intune에서 비준수 디바이스에 대한 작업 구성
보안 요구 사항을 충족하지 않는 디바이스로부터 조직 리소스를 보호하는 규정 준수 정책의 일부로 규정 준수 정책에는 규정 미준수 조치도 포함됩니다. 비준수에 대한 작업은 디바이스와 조직을 보호하는 데 도움이 되는 정책에 의해 수행되는 하나 이상의 시간 순서 작업입니다. 예를 들어, 비준수에 대한 작업은 디바이스가 보호되도록 원격으로 잠그거나 디바이스나 사용자에게 알림을 보내 비준수 상태를 이해하고 해결할 수 있도록 할 수 있습니다.
중요
Microsoft Intune 2024년 12월 31일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.
개요
기본적으로 각 준수 정책에는 일정이 0일(0)로 설정된 디바이스를 비준수로 표시라는 비준수에 대한 작업이 포함됩니다. 따라서 Intune은 기본적으로 규정을 준수하지 않는 디바이스를 감지할 경우 해당 디바이스를 즉시 비준수로 표시합니다. 디바이스가 비준수로 표시되면 Microsoft Entra 조건부 액세스가 디바이스를 차단할 수 있습니다.
비준수에 대한 작업을 구성하면 비규격 디바이스에 대해 수행할 작업과 수행할 작업을 유연하게 결정할 수 있습니다. 예를 들어 디바이스를 즉시 차단하지 않고 사용자에게 준수 유예 기간을 부여하기로 할 수 있습니다.
설정하는 각 작업에 대해 해당 작업이 적용되는 시기를 결정하는 일정을 구성할 수 있습니다. 일정은 디바이스가 비준수로 표시되기 전에 경과되는 일수입니다. 작업의 여러 인스턴스를 구성할 수도 있습니다. 정책에서 작업의 여러 인스턴스를 설정하면 디바이스가 비준수 상태로 유지되는 경우 나중에 예약된 시간에 작업이 다시 실행됩니다.
모든 플랫폼에서 모든 작업을 사용할 수 있는 것은 아닙니다.
참고
Microsoft Intune 관리 센터에는 일정(비준수 후 일)이 일로 표시됩니다. 그러나 0.25(6시간), 0.5(12시간), 1.5(36시간) 등의 소수 분수를 사용하여 보다 세분화된 간격(시간)을 지정할 수 있습니다. 다른 값은 가능하지만 관리 센터를 통해서가 아니라 Microsoft Graph를 사용하여 구성할 수 있습니다. 관리 센터에서 0.33(8시간)과 같은 다른 값을 사용하려고 하면 정책을 저장할 때 오류가 발생합니다.
비준수에 사용 가능한 작업
비준수에 사용 가능한 작업은 다음과 같습니다.
디바이스 비준수 표시: 기본적으로 이 작업은 각 준수 정책에 대해 설정되며 일정이 0일(0)이므로 디바이스를 즉시 비준수로 표시합니다.
기본 일정을 변경하는 경우 사용자가 비규격으로 표시되지 않고 문제를 수정하거나 규정을 준수할 수 있는 유예 기간을 제공합니다.
이 작업은 Intune이 지원하는 모든 플랫폼에서 지원됩니다.
최종 사용자에게 메일 전송: 이 작업은 사용자에게 이메일 알림을 보냅니다. 이 작업을 사용하도록 설정하는 경우:
- 이 작업에서 보낼 알림 메시지 템플릿을 선택합니다. 먼저 알림 메시지 템플릿을 만든 후 이 작업에 할당할 수 있습니다. 사용자 지정 알림을 만들 때 메시지 로캘, 제목, 메시지 본문을 사용자 지정하고 회사 로고, 회사 이름 및 기타 연락처 정보를 포함할 수 있습니다.
- 하나 이상의 Microsoft Entra 그룹을 선택하여 더 많은 받는 사람에게 메시지를 보내도록 선택합니다.
Intune에서는 UPN(사용자 계정 이름)이 아닌 최종 사용자의 프로필에 정의된 이메일 주소를 사용합니다. 사용자 프로필에 정의된 전자 메일 주소가 없으면 Intune에서 알림 전자 메일을 보내지 않습니다. 이메일이 전송되면 Intune이 비준수 디바이스에 대한 세부 정보를 이메일 알림에 포함합니다.
이 작업은 Intune이 지원하는 모든 플랫폼에서 지원됩니다.
참고
알림 이메일은 다음에서 전송됩니다. microsoft-noreply@microsoft.com
이 주소에서 전자 메일을 배달하지 못하도록 하는 사서함 정책이 없는지 확인하세요. 그렇지 않으면 최종 사용자가 전자 메일 알림을 받지 못할 수 있습니다.
2022년 12월 이전에는 상업용 클라우드의 알림 이메일이 다음에서 전송되었습니다. IntuneNotificationService@microsoft.com
비준수 디바이스 원격 잠금: 디바이스의 원격 잠금을 실행하려면 이 작업을 사용합니다. 그러면 디바이스 잠금을 해제하기 위해 PIN 또는 암호를 입력하라는 메시지가 표시됩니다. 원격 잠금 기능에 대해 자세히 알아봅니다.
다음 플랫폼에서 이 작업을 지원합니다.
- Android 장치 관리자
- Android(AOSP)
- Android Enterprise:
- 완전 관리형
- 전용
- 회사 소유 회사 프로필
- 개인 소유 회사 프로필
- Android 엔터프라이즈 키오스크 디바이스
- iOS/iPadOS
- macOS
사용 중지 목록에 디바이스 추가: 디바이스에서 이 작업을 수행하면 디바이스가 Intune 관리 센터의 사용 중지된 비규격 디바이스 목록에 추가됩니다. 디바이스>준수로 이동하여 비준수 디바이스 사용 중지 탭을 선택하여 목록을 볼 수 있습니다. 그러나 관리자가 사용 중지 프로세스를 명시적으로 시작할 때까지 디바이스는 사용 중지되지 않습니다. 관리자가 해당 목록에서 디바이스를 사용 중지하면 사용 중지는 디바이스에서 모든 회사 데이터를 제거하고 해당 디바이스를 Intune 관리에서 제거합니다.
다음 플랫폼에서 이 작업을 지원합니다.
- Android 장치 관리자
- Android(AOSP)
- Android Enterprise:
- 완전 관리형
- 전용
- 회사 소유 회사 프로필
- 개인 소유 회사 프로필
- iOS/iPadOS
- macOS
- Windows 10/11
참고
사용 중지 목록에 디바이스 추가 작업이 트리거된 디바이스만 선택한 디바이스 사용 중지 탭에 표시됩니다. 규정을 준수하지 않는 모든 디바이스 목록을 보려면 디바이스 준수 정책 모니터링에 언급된 비준수 디바이스 보고서를 참조하세요.
목록에서 하나 이상의 디바이스를 사용 중지하려면 사용 중지할 디바이스를 선택한 다음 선택한 디바이스 사용 중지를 선택합니다. 디바이스를 사용 중지하는 작업을 선택하면 작업을 확인하는 대화 상자가 표시됩니다. 회사 데이터가 지워지고 Intune 관리에서 제거되는 디바이스를 폐기하려는 의도를 확인한 후에야 합니다.
다른 옵션으로는 모든 디바이스 사용 중지, 모든 디바이스 사용 중지 상태 지우기, 선택한 디바이스 사용 중지 상태 지우기 등이 있습니다. 디바이스의 사용 중지 상태를 지우면 사용 중지 목록에 디바이스 추가 작업이 해당 디바이스에 다시 적용될 때까지 사용 중지할 수 있는 디바이스 목록에서 디바이스 가 제거됩니다.
디바이스 사용 중지에 대해 자세히 알아보세요.
최종 사용자에게 푸시 알림 보내기: 디바이스의 회사 포털 앱 또는 Intune 앱을 통해 디바이스에 대한 비준수에 대한 푸시 알림을 보내도록 이 작업을 구성합니다.
다음 플랫폼에서 이 작업을 지원합니다.
- Android 장치 관리자
- Android Enterprise:
- 완전 관리형
- 전용
- 회사 소유 회사 프로필
- 개인 소유 회사 프로필
- iOS/iPadOS
푸시 알림은 디바이스가 Intune 사용하여 처음 체크 인할 때 전송되며 규정 준수 정책에 부합하지 않는 것으로 확인됩니다. 사용자가 알림을 선택하면 회사 포털 앱 또는 Intune 앱이 열리고 비준수 이유에 대한 정보가 표시됩니다. 그런 다음, 사용자가 문제 해결을 위한 조치를 취할 수 있습니다. 비준수에 대한 메시지 세부 정보는 Intune 생성되며 사용자 지정할 수 없습니다.
중요
Intune, 회사 포털 앱 및 Microsoft Intune 앱은 푸시 알림의 전송을 보장할 수 없습니다. 보장한다고 해도 알림이 몇 시간 지연 후 표시될 수 있습니다. 여기에는 사용자가 푸시 알림을 해제한 경우가 포함됩니다.
긴급 메시지에는 이 알림 방법을 사용하지 마세요.
작업의 각 인스턴스가 알림을 한 번씩 보냅니다. 정책에서 동일한 알림을 다시 보내려면 해당 정책에서 각각 다른 일정으로 더 많은 작업 인스턴스를 구성합니다.
예를 들어 첫 번째 작업을 0일로 예약한 다음, 작업의 두 번째 인스턴스를 3일로 설정할 수 있습니다. 이렇게 간격을 두고 두 번째 알림을 보내면 사용자가 며칠 동안 문제를 해결하고 두 번째 알림을 피할 수 있습니다.
중복 메시지가 너무 많은 사용자에게 스팸을 방지하려면 비준수에 대한 푸시 알림을 포함하는 준수 정책을 검토하고 간소화하고 일정을 검토하여 동일한 알림이 너무 자주 반복되지 않도록 합니다.
고려사항:
같은 날에 전송되는 푸시 알림 인스턴스를 여러 개 포함하는 단일 정책의 경우 해당 일에 알림을 하나만 보냅니다.
여러 준수 정책에 동일한 준수 조건이 포함되어 있고 일정이 동일한 푸시 알림 작업이 포함된 경우 Intune은 같은 날짜에 여러 개의 알림을 동일한 디바이스에 보냅니다.
참고
다음 비규격 작업은 장치 준수 관리 파트너가 관리하는 장치에는 지원되지 않습니다.
- 최종 사용자에게 전자 메일 보내기
- 비규격 장치 원격으로 잠그기
- 사용 중지 목록에 디바이스 추가
- 최종 사용자에게 푸시 알림 보내기
시작하기 전에
디바이스 준수 정책을 구성할 때 또는 나중에 정책을 편집하여 비준수에 대한 작업을 추가할 수 있습니다. 요구 사항에 맞게 각 정책에 추가 작업을 추가할 수 있습니다. 각 규정 준수 정책에는 디바이스를 비규격으로 표시하는 비준수에 대한 기본 작업이 자동으로 포함되며 일정은 0일로 설정됩니다.
디바이스 준수 정책을 사용하여 회사 리소스에서 디바이스를 차단하려면 Microsoft Entra 조건부 액세스를 설정해야 합니다. 지침은 Microsoft Entra ID 조건부 액세스 또는 Intune함께 조건부 액세스를 사용하는 일반적인 방법을 참조하세요.
디바이스 준수 정책을 만들려면 다음 플랫폼 관련 지침을 참조하세요.
알림 메시지 템플릿 만들기
사용자에게 이메일을 보내려면 알림 메시지 템플릿을 만들고 비준수에 대한 작업으로 준수 정책에 연결합니다. 그러면 디바이스가 비준수 상태이면 템플릿에 입력한 세부 사항이 사용자에게 보낸 메일에 표시됩니다.
알림 메시지 템플릿에는 각각 다른 로캘에 대한 여러 메시지가 포함될 수 있습니다. 여러 메시지 및 로캘을 지정하면 비준수 최종 사용자는 O365 기본 설정 언어에 따라 적절한 지역화된 메시지를 받습니다.
메시지에 변수를 추가하여 동적 콘텐츠로 개인 설정된 전자 메일을 만듭니다. 다음 표에서는 메시지의 제목 줄과 본문에서 사용할 수 있는 변수에 대해 설명합니다.
변수 이름 | 사용할 토큰 | 설명 |
---|---|---|
사용자 이름 | {{UserName}} | 비준수 디바이스에 대한 기본 사용자의 이름을 추가합니다. 예: John Doe |
장치 이름 | {{DeviceName}} | Microsoft Intune 기록된 비규격 디바이스의 이름을 추가합니다. 예: John's iPad |
디바이스 ID | {{DeviceId}} | 비준수 디바이스에 속하는 Intune 디바이스 ID를 추가합니다. 예: 12ab345c-6789-def0-1234-000000000000 |
디바이스 OS 버전 | {{OSAndVersion}} | 비규격 디바이스의 운영 체제 및 버전을 추가합니다. 예: Android 12 |
템플릿을 만드는 방법
Microsoft Intune 관리 센터에 로그인합니다.
엔드포인트 보안>디바이스 준수>알림>알림 만들기를 선택합니다.
기본 사항 페이지에서 템플릿을 식별하는 데 도움이 되는 이름을 템플릿에 지정합니다. 그런 후 다음을 선택합니다.
머리글 및 바닥글 설정 페이지에서 회사 세부 정보 및 로고를 추가합니다.
옵션은 다음과 같습니다.
- Email 헤더 – 회사 로고 표시(기본값 = 사용) - 로고를 업로드하여 전자 메일 템플릿에 organization 브랜딩을 추가합니다. 회사 포털 브랜딩에 대한 자세한 내용은 회사 ID 브랜딩 사용자 지정을 참조하세요.
- Email 바닥글 – 회사 이름 표시(기본값 = 사용) - 이 설정을 사용하도록 설정하여 전자 메일에 회사 이름을 표시합니다. 레코드에서 회사 이름을 검토하려면 테넌트 값을 참조하세요.
- Email 바닥글 – 연락처 정보 표시(기본값 = 사용) - 이 설정을 사용하도록 설정하여 전자 메일에 이름, 전화 번호 및 전자 메일 주소와 같은 organization 연락처 정보를 표시합니다. 레코드에 대한 연락처 정보를 검토하려면 테넌트 값을 참조하세요.
- Email 바닥글 - 회사 포털 웹 사이트 링크 표시(기본값 = 사용 안 함) - 전자 메일에 회사 포털 웹 사이트에 대한 링크를 포함하도록 이 설정을 사용하도록 설정합니다. 사용자에게 표시되는 웹 사이트 링크를 검토하려면 테넌트 값을 참조하세요.
다음을 선택하여 계속합니다.
알림 메시지 템플릿 페이지에서 하나 이상의 메시지를 구성합니다. 각 메시지에 대해 다음 세부 정보를 지정합니다.
- 로캘: 디바이스 사용자의 로캘과 상관 관계가 있는 언어를 선택합니다.
- 제목: 전자 메일의 제목 줄을 추가합니다. 최대 78자를 입력할 수 있습니다.
-
원시 HTML 편집기: HTML 편집기를 켜서 메시지에 HTML 서식 및 링크를 추가하는 동안 제안을 가져옵니다. 특성을 사용하여
href
링크를 추가할 수 있습니다(HTTPS URL이어야 합니다). 지원되는 HTML 태그에는 , ,<strong>
,<b>
<u>
,<ol>
,<ul>
,<li>
,<p>
,<br>
,<code>
,<table>
, ,<tbody>
,<tr>
, ,<td>
, 가<thead>
<th>
포함됩니다<a>
. HTML 편집기를 사용할 필요는 없으며 편집기를 켜지 않고도 지원되는 HTML을 추가할 수 있습니다. - 메시지: 비준수 이유를 설명하는 메시지를 만듭니다. 최대 2,000자를 입력할 수 있습니다.
동적 콘텐츠가 있는 템플릿을 만들려면 제목 줄 또는 메시지에 지원되는 변수의 토큰을 삽입합니다. 지원되는 변수 목록은 이 문서의 알림 메시지 템플릿 만들기 에서 표를 참조하세요.
중요
메시지 본문에서 지원되는 Intune HTML 태그 및 특성만 사용해야 합니다. Intune HTML 형식 대신 다른 유형의 태그, 요소 또는 스타일을 일반 텍스트로 포함하는 메시지를 보냅니다. 여기에는 다음이 포함된 메시지가 포함됩니다.
- CSS
- 이 문서에 나열되지 않은 태그 및 특성
참고
Intune Windows 스타일의 새 줄 문자를 로 변환합니다
<br>
. HTML 태그는 무시하지만 macOS 및 Linux에 대한 문자를 포함하여 다른 모든 유형의 새 줄 문자를 무시합니다. 줄 바꿈이 템플릿에서 제대로 렌더링되도록 하려면 태그를<br>
사용하여 줄의 끝을 나타내는 것이 좋습니다.메시지 중 하나에 대한 기본값 확인란을 선택합니다. Intune 기본 설정 언어를 설정하지 않은 사용자에게 기본 메시지를 보내거나 템플릿에 해당 로캘에 대한 특정 메시지가 포함되지 않은 경우 입니다. 하나의 메시지만 기본값으로 설정할 수 있습니다. 메시지를 삭제하려면 줄임표(...)를 선택한 다음 삭제를 선택합니다.
다음을 선택하여 계속합니다.
범위 태그 페이지에서 태그를 선택하여 이 메시지의 표시 유형 및 관리를 또는
JohnGlenn_ITDepartment
와 같은US-NC IT Team
특정 Intune 관리 그룹으로 제한합니다. 범위 태그에 대한 자세한 내용은 분산형 IT에 RBAC 및 범위 태그 사용을 참조하세요.다음을 선택하여 계속합니다.
검토 + 만들기 페이지에서 구성을 검토하여 알림 메시지 템플릿을 사용할 준비가 되었는지 확인합니다. 만들기를 선택하여 알림 만들기를 완료합니다.
알림 보기 및 편집
생성된 알림은 준수 정책>알림 페이지에서 확인할 수 있습니다. 페이지에서 알림을 선택하여 해당 구성을 확인하고 다음을 수행할 수 있습니다.
미리 보기 이메일 보내기를 선택하여 Intune에 로그인하는 데 사용한 계정으로 알림 이메일의 미리 보기를 전송합니다.
미리 보기 전자 메일을 성공적으로 보내려면 계정에 Intune 관리자(Intune 서비스 관리자라고도 함) 또는 정책 및 프로필 관리자와 같은 Microsoft Entra 그룹 또는 Intune 역할과 동일한 권한이 있어야 합니다.
편집을 선택하여 기본 사항 또는 범위 태그를 변경합니다.
참고
미리 보기 전자 메일에는 알림 메시지 템플릿에 지정된 디바이스 변수가 포함되어 있지 않습니다.
비준수에 대한 작업 추가
디바이스 준수 정책을 만들면 Intune은 비준수 디바이스인 경우에 수행할 작업을 자동으로 만듭니다. 디바이스가 규정 준수 정책을 충족하지 않는 경우 이 작업은 디바이스를 규격이 아닌 것으로 표시합니다. 디바이스가 비준수로 표시되는 기간을 사용자 지정할 수 있습니다. 이 작업은 제거할 수 없습니다.
준수 정책을 만들 때 선택적 작업을 추가하거나 기존 정책을 업데이트할 수 있습니다.
Microsoft Intune 관리 센터에 로그인합니다.
디바이스>준수로 이동합니다.
정책을 선택한 다음 속성을 선택합니다.
정책이 아직 없습니까? Android, iOS, Windows 또는 다른 플랫폼 정책을 만듭니다.
참고
타사 디바이스 규정 준수 파트너에 의해 관리되고 디바이스 그룹으로 대상 지정된 디바이스는 현재 준수 작업을 받을 수 없습니다.
비준수 >편집에 대한 작업을선택합니다.
작업을 선택합니다.
최종 사용자에게 메일 보내기: 디바이스가 비준수 상태이면 사용자에게 메일을 보내도록 선택합니다. 또한 다음 작업도 수행합니다.
- 이전에 만든 메시지 템플릿을 선택합니다.
- 그룹을 선택하여 추가 받는 사람를 입력합니다.
원격으로 비규격 디바이스 잠금: 디바이스가 비준수 상태이면 디바이스를 잠급니다. 이렇게 하면 사용자는 디바이스 잠금을 해제하려면 PIN 또는 암호를 입력해야 합니다.
사용 중지 목록에 디바이스 추가: 디바이스가 비준수인 경우 디바이스에서 모든 회사 데이터를 제거하고 Intune 관리에서 디바이스를 제거합니다.
최종 사용자에게 푸시 알림 보내기: 디바이스의 회사 포털 앱 또는 Intune 앱을 통해 디바이스에 대한 비준수에 대한 푸시 알림을 보내도록 이 작업을 구성합니다.
스케줄 구성: 사용자 디바이스에 대해 작업을 트리거할 비준수 이후의 일 수(0-365)를 입력합니다. 이 유예 기간이 지나면 조건부 액세스 정책을 적용할 수 있습니다. 0을 입력하면 조건부 액세스가 즉시 적용됩니다. 예를 들어 디바이스가 비규격인 경우 조건부 액세스를 사용하여 메일, SharePoint 및 기타 조직 리소스에 대한 액세스를 즉시 차단할 수 있습니다.
준수 정책을 만들 경우 디바이스를 비규격으로 표시 작업이 자동으로 생성되고, 자동으로 0일(즉시)로 설정됩니다. 이 작업을 사용하면 디바이스가 Intune 사용하여 체크 인하고 정책을 평가할 때 해당 정책을 준수하지 않으면 해당 디바이스를 즉시 비준수로 표시할 Intune 있습니다. 클라이언트가 비준수로 이어지는 문제를 수정한 후 나중에 체크 인하는 경우 상태 새 규정 준수 상태 업데이트됩니다. 조건부 액세스를 사용하는 경우 디바이스가 비준수로 표시되는 즉시 해당 정책도 적용됩니다. 디바이스가 비준수로 표시되기 전에 비준수 조건을 수정할 수 있도록 유예 기간을 설정하려면 디바이스를 비준수로 표시 작업에서 일정을 변경합니다.
예를 들어 준수 정책에서 사용자에게도 알리고 싶을 수 있습니다. 최종 사용자에게 메일 보내기 작업을 추가할 수 있습니다. 이 메일 보내기 작업에서 일정을 2일로 설정합니다. 디바이스 또는 최종 사용자가 2일째에 여전히 비준수로 평가되는 경우 2일째에 전자 메일이 전송됩니다. 비준수 5일째에 다시 사용자에게 메일을 보내려면 다른 작업을 추가하고 일정을 5일로 설정합니다.
규정 준수 및 기본 제공 작업에 대한 자세한 내용은 준수 개요를 참조하세요.
완료되면 추가>확인을 선택하여 변경 내용을 저장합니다.
다음 단계
사용자 정책을 모니터링합니다.