Microsoft Intune에서 디바이스 준수 정책 만들기
디바이스 준수 정책은 Intune을 사용하여 조직의 리소스를 보호할 때 핵심적인 기능입니다. Intune에서 디바이스가 규정을 준수하는 것으로 간주되기 위해 충족해야 하는 규칙 및 설정(예: 최소 OS 버전)을 만들 수 있습니다. 디바이스가 규정을 준수하지 않을 경우 조건부 액세스를 사용하여 데이터 및 리소스에 대한 액세스를 차단할 수 있습니다.
사용자에게 알림 전자 메일을 보내는 등 비준수에 대한 작업을 수행할 수도 있습니다. 준수 정책의 역할 개요 및 준수 정책 사용 방법에 대해서는 디바이스 준수 시작을 참조하세요.
이 문서의 내용은 다음과 같습니다.
- 준수 정책을 만들기 위한 필수 구성 요소 및 단계를 나열합니다.
- 사용자 및 디바이스 그룹에 정책을 할당하는 방법을 보여 줍니다.
- 정책을 "필터링"하는 scope 태그와 규정을 준수하지 않는 디바이스에서 수행할 수 있는 단계를 비롯한 다른 기능에 대해 설명합니다.
- 디바이스가 정책 업데이트를 받는 체크 인 새로 고침 주기 시간을 나열합니다.
시작하기 전에
디바이스 준수 정책을 사용하려면 다음을 확인합니다.
다음 구독을 사용합니다.
- Intune
- 조건부 액세스를 사용하는 경우 P1 또는 P2 버전을 Microsoft Entra ID 필요합니다. Microsoft Entra 가격 책정에는 다양한 버전으로 얻을 수 있는 항목이 나열됩니다. Intune 규정 준수에는 Microsoft Entra ID 필요하지 않습니다.
지원되는 플랫폼 사용:
- Android 장치 관리자
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
- macOS
- Windows 10/11
중요
Microsoft Intune 2024년 12월 31일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.
Intune에서 디바이스 등록(준수 상태를 확인하는 데 필요)
한 명의 사용자에게 디바이스를 등록하거나 기본 사용자 없이 등록합니다. 단일 디바이스는 여러 사용자에게 등록할 수 없습니다.
Intune 위해 기본 제공되는 규정 준수 설정 외에도 다음 플랫폼은 규정 준수 정책에 사용자 지정 규정 준수 설정 추가를 지원합니다.
- Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
- Windows 10/11
사용자 지정 설정을 추가하려면 먼저 사용자 지정 규정 준수를 기반으로 하는 설정을 정의하는 사용자 지정 JSON 파일과 JSON에 정의된 설정을 검색하기 위해 디바이스에서 실행되는 스크립트를 준비해야 합니다.
지원되는 플랫폼, 필수 구성 요소 및 정책을 만드는 동안 사용자 지정 준수 범주를 구성하는 방법을 포함하여 사용자 지정 규정 준수 설정을 사용하는 방법에 대한 자세한 내용은 사용자 지정 규정 준수 설정 사용을 참조하세요.
정책 만들기
Microsoft Intune 관리 센터에 로그인합니다.
디바이스>준수로 이동하여 정책 만들기를 선택합니다.
다음 옵션 중에서 이 정책의 플랫폼을 선택합니다.
- Android 장치 관리자
- Android(AOSP)
- Android Enterprise
- iOS/iPadOS
- Linux - (Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS, RedHat Enterprise Linux 8 또는 RedHat Enterprise Linux 9)
- macOS
- Windows 8.1 이상
- Windows 10 이상
Android Enterprise의 경우 정책 유형도 선택합니다.
- 완전 관리형, 전용 및 회사 소유 회사 프로필
- 개인 소유 회사 프로필
그런 다음 만들기 를 선택하여 구성 페이지를 엽니다.
기본 사항 탭에서 나중에 식별하는 데 도움이 되는 이름을 지정합니다. 예를 들어 iOS/iPadOS 무단 해제 디바이스를 비준수로 표시는 좋은 정책 이름입니다.
설명을 지정할 수도 있습니다.
준수 설정 탭에서 사용 가능한 범주를 확장하고 정책에 대한 설정을 구성합니다. 다음 문서에서는 각 플랫폼에 사용 가능한 규정 준수 설정을 설명합니다.
지원되는 플랫폼에 대한 정책에 사용자 지정 설정을 추가합니다.
팁
다음 플랫폼에서만 지원되는 선택적 단계입니다.
- Linux - Ubuntu Desktop, 버전 20.04 LTS 및 22.04 LTS
- Windows 10/11 정책에 사용자 지정 설정을 추가하려면 먼저 Intune 검색 스크립트를 업로드하고 규정 준수에 사용할 설정을 정의하는 JSON 파일을 준비해야 합니다. 사용자 지정 준수 설정을 참조하세요.
준수 설정 페이지에서 사용자 지정 준수 범주를 확장합니다.
Windows의 경우:
- 준수 설정 페이지에서 사용자 지정 규정 준수를 확장하고 사용자 지정 규정준수를 요구로 설정합니다.
- 검색 스크립트 선택에서 클릭을 선택하여 선택한 다음, 이전에 Microsoft Intune 관리 센터에 추가된 스크립트를 지정합니다. 정책 만들기를 시작하기 전에 이 스크립트를 업로드해야 합니다.
- 사용자 지정 준수 설정을 사용하여 JSON 파일 업로드 및 유효성 검사의 경우 폴더 아이콘을 선택한 다음, 이 정책에 사용할 Windows용 JSON 파일을 찾아 추가합니다. JSON에 대한 지원은 사용자 지정 규정 준수 설정에 대한 JSON 만들기를 참조하세요.
Linux의 경우:
- 준수 설정 페이지에서 설정 추가를 선택하여 설정 선택 창을 엽니다.
- 사용자 지정 규정 준수를 선택한 다음, 8을 선택합니다.
- 준수 설정 페이지로 돌아가서 사용자 지정 준수 필요 토글을 선택하여 True로 변경합니다.
- 검색 스크립트 선택에서 재사용 가능한 설정 설정을 선택한 다음, 이전에 Microsoft Intune 관리 센터에 추가된 스크립트를 지정합니다. 정책 만들기를 시작하기 전에 이 스크립트를 업로드해야 합니다.
- 규칙 파일 선택에서 폴더 아이콘을 선택한 다음, 이 정책에 사용할 Linux용 JSON 파일을 찾아 추가합니다. JSON에 대한 지원은 사용자 지정 규정 준수 설정에 대한 JSON 만들기를 참조하세요.
입력한 JSON의 유효성이 검사되고 문제가 표시됩니다. JSON 콘텐츠의 유효성을 검사한 후 JSON의 규칙이 테이블 형식으로 표시됩니다.
비준수에 대한 작업 탭에서 이 준수 정책을 충족하지 않는 디바이스에 자동으로 적용할 일련의 작업을 지정합니다.
여러 작업을 추가하고 일부 작업에 대한 일정 및 세부 정보를 구성할 수 있습니다. 예를 들어, 기본 작업 디바이스를 비준수로 표시의 일정을 1일 후에 발생하도록 변경할 수 있습니다. 그런 다음 디바이스가 비준수가 될 경우 사용자에게 메일을 보내 해당 상태를 경고하는 작업을 추가할 수 있습니다. 비준수 상태로 유지되는 디바이스를 잠그거나 사용 중지하는 작업을 추가할 수도 있습니다.
사용자에게 보낼 알림 메일을 만드는 방법을 비롯하여 구성할 수 있는 작업에 대한 자세한 내용은 비준수 디바이스에 대한 작업 추가를 참조하세요.
또 하나의 예는 위치를 사용하여 준수 정책에 하나 이상의 위치를 추가하는 것입니다. 이 경우 비준수에 대한 기본 작업은 하나 이상의 위치를 선택하는 경우에 적용됩니다. 디바이스는 선택한 위치에 연결되지 않으면 비준수로 간주됩니다. 사용자에게 1일 등의 유예 기간을 제공하도록 일정을 구성할 수 있습니다.
범위 태그 탭에서 태그를 선택하여
US-NC IT Team
또는JohnGlenn_ITDepartment
와 같은 특정 그룹으로 정책을 필터링할 수 있습니다. 설정을 추가한 후 준수 정책에 범위 태그를 추가할 수도 있습니다.범위 태그를 사용하는 방법에 대한 자세한 내용은 범위 태그를 사용하여 정책 필터링을 참조하세요.
할당 탭에서 그룹에 정책을 할당합니다.
+ 포함할 그룹 선택을 선택한 다음 하나 이상의 그룹에 정책을 할당합니다. 정책은 다음 단계 후 정책을 저장할 때 해당 그룹에 적용됩니다.
Linux에 대한 정책은 사용자 기반 할당을 지원하지 않으며 디바이스 그룹에만 할당할 수 있습니다.
검토 + 만들기 탭에서 설정을 검토한 후 만들기를 선택하여 준수 정책을 저장합니다.
정책의 대상으로 지정된 사용자 또는 디바이스는 Intune을 사용하여 체크 인할 때 준수 여부가 평가됩니다.
주기 시간 새로 고침
Intune은 다양한 새로 고침 주기를 사용하여 준수 정책에 대한 업데이트를 확인합니다. 최근 등록된 디바이스인 경우 다음과 같이 체크 인이 더 자주 실행됩니다. 정책 및 프로필 새로 고침 주기에는 예상 새로 고침 시간이 나열됩니다.
언제든 사용자는 회사 포털 앱을 열고 디바이스를 동기화하여 즉시 정책 업데이트를 확인할 수 있습니다.
InGracePeriod 상태 할당
준수 정책에 대한 InGracePeriod 상태는 값입니다. 이 값은 디바이스의 유예 기간과 해당 준수 정책에 대한 디바이스의 실제 상태의 조합에 의해 결정됩니다.
특히 디바이스가 할당된 준수 정책에 대해 NonCompliant 상태이며,
- 디바이스에 할당된 유예 기간이 없는 경우 준수 정책에 할당된 값은 NonCompliant입니다.
- 디바이스의 유예 기간이 만료된 경우 준수 정책에 할당된 값은 NonCompliant입니다.
- 디바이스에 향후 유예 기간이 있는 경우 준수 정책에 할당된 값은 InGracePeriod입니다.
다음 표에 이러한 지점이 요약되어 있습니다.
실제 준수 상태 | 할당된 유예 기간의 값 | 유효 준수 상태 |
---|---|---|
NonCompliant | 할당된 유예 시간 없음 | NonCompliant |
NonCompliant | 어제 날짜 | NonCompliant |
NonCompliant | 내일 날짜 | InGracePeriod |
디바이스 준수 정책 모니터링에 대한 자세한 내용은 Intune 디바이스 준수 정책 모니터링을 참조하세요.
결과 준수 정책 상태 할당
디바이스에 여러 준수 정책이 있고 디바이스에 두 개 이상의 할당된 준수 정책에 대한 다양한 준수 상태가 있는 경우, 단일 결과 준수 상태가 할당됩니다. 이 할당은 각 호환성 상태에 할당된 개념적 심각도 수준을 기반으로 합니다. 각 호환성 상태에는 다음과 같은 심각도 수준이 있습니다.
상태 | 심각도 |
---|---|
알 수 없음 | 1 |
NotApplicable | 2 |
규정 | 3 |
InGracePeriod | 4 |
NonCompliant | 5 |
오류 | 6 |
디바이스에 여러 준수 정책이 있는 경우 모든 정책의 가장 높은 수준의 심각도가 해당 디바이스에 할당됩니다.
예를 들어, 디바이스에는 할당된 준수 정책이 알 수 없는 상태 하나(심각도 = 1), 호환 상태 하나(심각도 = 3), InGracePeriod 상태 하나(심각도 = 4)와 같이 세 가지가 있습니다. InGracePeriod 상태는 가장 높은 심각도 수준입니다. 따라서 세 개의 정책 모두에 InGracePeriod 준수 상태가 있습니다.
다음 단계
사용자 정책을 모니터링합니다.