다음을 통해 공유


Microsoft Intune으로 데이터 및 디바이스 보호

Microsoft Intune 손상된 디바이스로부터 organization 데이터를 보호하는 동시에 관리되는 디바이스를 안전하고 최신 상태로 유지하는 데 도움이 될 수 있습니다. 데이터 보호에는 관리되는 디바이스와 관리되지 않는 디바이스 모두에서 organization 데이터로 사용자가 수행하는 작업을 제어하는 것이 포함됩니다. 또한 데이터 보호는 손상될 수 있는 디바이스의 데이터에 대한 액세스 차단으로 확장됩니다.

이 문서에서는 Intune 통합할 수 있는 Intune 기본 제공 기능 및 파트너 기술의 대부분을 강조 표시합니다. 이에 대해 더 알아보면 여러 기능을 함께 사용하여 제로 트러스트 환경으로의 여정에서 더욱 포괄적인 솔루션을 만들 수 있습니다.

Microsoft Intune 관리 센터에서 Intune Android, iOS/iPad, Linux, macOS 및 Windows를 실행하는 관리 디바이스를 지원합니다.

Configuration Manager를 사용하여 온-프레미스 디바이스를 관리하는 경우 테넌트 연결 또는 공동 관리를 구성하여 Intune 정책을 해당 디바이스로 확장할 수 있습니다.

Intune은 디바이스 규정 준수 및 모바일 위협 방지를 제공하는 타사 제품을 사용하여 관리하는 디바이스의 정보를 사용할 수도 있습니다.

정책을 통해 디바이스 보호

Intune 엔드포인트 보안, 디바이스 구성디바이스 준수 정책을 배포하여 조직의 보안 목표를 충족하도록 디바이스를 구성합니다. 정책은 등록된 디바이스 그룹에 배포하는 플랫폼별 규칙의 불연속 집합인 하나 이상의 프로필을 지원합니다.

  • 엔드포인트 보안 정책을 사용하여 디바이스의 보안에 집중하고 위험을 완화하는 데 도움이 되도록 설계된 보안 중심 정책을 배포합니다. 사용 가능한 작업은 위험에 처한 디바이스를 식별하고, 해당 디바이스를 수정하고, 규정을 준수하거나 더 안전한 상태로 복원하는 데 도움이 될 수 있습니다.

  • 디바이스 구성 정책을 사용하여 디바이스가 조직에서 사용하는 설정 및 기능을 정의하는 프로필을 관리합니다. 엔드포인트 보호에 대한 디바이스 구성, 인증을 위한 인증서 프로비전, 소프트웨어 업데이트 동작 설정 등을 수행합니다.

  • 디바이스 규정 준수 정책을 통해 디바이스 요구 사항을 설정하는 다양한 디바이스 플랫폼의 프로필을 만듭니다. 요구 사항에는 운영 체제 버전, 디스크 암호화 사용 또는 위협 관리 소프트웨어에서 정의한 특정 위협 수준 이하에 있는 것이 포함될 수 있습니다.

    Intune은 정책을 준수하지 않는 디바이스를 보호하고 디바이스를 준수 상태로 만들도록 디바이스 사용자에게 경고할 수 있습니다.

    조합에 조건부 액세스를 추가하는 경우 규격 디바이스만 네트워크 및 organization 리소스에 액세스할 수 있도록 허용하는 정책을 구성합니다. 액세스 제한에는 파일 공유 및 회사 이메일이 포함될 수 있습니다. 조건부 액세스 정책은 Intune과 통합하는 타사 디바이스 규정 준수 파트너가 보고한 디바이스 상태 데이터도 활용합니다.

다음은 사용 가능한 정책을 통해 관리할 수 있는 몇 가지 보안 설정 및 작업입니다.

  • 인증 방법 – 디바이스가 organization 리소스, 이메일 및 애플리케이션에 인증하는 방법을 구성합니다.

    • 애플리케이션에 대한 인증, organization 리소스 및 S/MIME를 사용하여 전자 메일의 서명 및 암호화에 인증서를 사용합니다. 환경에서 스마트 카드를 사용해야 하는 경우 파생된 자격 증명을 설정할 수 있습니다.

    • 다음과 같이 위험을 제한하는 데 도움이 되는 설정을 구성합니다.

      • 사용자에 대한 추가 인증 계층을 추가하려면 MFA(다단계 인증)가 필요합니다.
      • 리소스에 대한 액세스 권한을 얻기 전에 충족해야 하는 PIN 및 암호 요구 사항을 설정합니다.
      • Windows 디바이스에 비즈니스용 Windows Hello 사용하도록 설정합니다.
  • 디바이스 암호화 – Windows 디바이스에서 BitLocker 를 관리하고 macOS에서 FileVault 를 관리합니다.

  • 소프트웨어 업데이트 – 디바이스에서 소프트웨어 업데이트를 가져오는 방법 및 시기를 관리합니다. 지원되는 내용은 다음과 같습니다.

    • Android 펌웨어 업데이트:
      • FOTA(펌웨어 무선) - 일부 OEM에서 지원되며 FOTA를 사용하여 디바이스의 펌웨어를 원격으로 업데이트할 수 있습니다.
      • Zebra LifeGuard 무선(LG OTA) - Intune 관리 센터를 통해 지원되는 Zebra 디바이스에 대한 펌웨어 업데이트를 관리합니다.
    • iOS - 디바이스 운영 체제 버전 및 디바이스가 업데이트를 검사 설치할 때 관리합니다.
    • macOS - 감독된 디바이스로 등록된 macOS 디바이스에 대한 소프트웨어 업데이트를 관리합니다.
    • Windows- 디바이스에 대한 Windows 업데이트 환경을 관리하려면 디바이스가 업데이트를 검사하거나 설치할 때 구성하고, 특정 기능 버전에서 관리되는 디바이스 집합을 보유하는 등의 작업을 수행할 수 있습니다.
  • 보안 기준보안 기준을 배포하여 Windows 디바이스에서 핵심 보안 태세를 설정합니다. 보안 기준은 관련 제품 팀에서 권장하는 미리 구성된 Windows 설정 그룹입니다. 제공된 기준을 사용하거나 인스턴스를 편집하여 대상 디바이스 그룹에 대한 보안 목표를 달성할 수 있습니다.

  • VPN(가상 사설망) – VPN 프로필을 사용하여 디바이스에 VPN 설정을 할당하여 organization 네트워크에 쉽게 연결할 수 있습니다. Intune 일부 플랫폼에 대한 기본 제공 기능과 디바이스용 자사 및 타사 VPN 앱을 모두 포함하는 여러 VPN 연결 유형 및 앱을 지원합니다.

  • WINDOWS LAPS(로컬 관리자 암호 솔루션) - Windows LAPS 정책을 사용하면 다음을 수행할 수 있습니다.

    • 로컬 관리자 계정에 대한 암호 요구 사항 적용
    • 디바이스에서 AD(Active Directory) 또는 Microsoft Entra 로컬 관리자 계정 백업
    • 이러한 계정 암호를 안전하게 유지하기 위해 해당 계정 암호의 회전을 예약합니다.

정책을 통해 데이터 보호

Intune 관리 앱 및 Intune의 앱 보호 정책을 통해 데이터 유출을 방지하고 조직의 데이터를 안전하게 유지할 수 있습니다. 이러한 보호는 Intune 등록된 디바이스 및 그렇지 않은 디바이스에 적용할 수 있습니다.

  • Intune 관리형 앱(또는 간단히 관리되는 )은 Intune 앱 SDK를 통합하거나 Intune App Wrapping Tool 래핑되는 앱입니다. Intune 앱 보호 정책을 사용하여 이러한 앱을 관리할 수 있습니다. 공개적으로 사용 가능한 관리 앱의 목록을 보려면 Intune 보호 앱을 참조하세요.

    사용자는 관리되는 앱을 사용하여 organization 데이터와 자신의 개인 데이터를 모두 사용할 수 있습니다. 그러나 앱 보호 정책에서 관리되는 앱을 사용해야 하는 경우 관리되는 앱은 organization 데이터에 액세스하는 데 사용할 수 있는 유일한 앱입니다. 앱 보호 규칙은 사용자의 개인 데이터에 적용되지 않습니다.

  • 앱 보호 정책은 관리 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 규칙은 사용해야 하는 관리되는 앱을 식별하고, 앱이 사용 중인 동안 데이터로 수행할 수 있는 작업을 정의합니다.

다음은 앱 보호 정책 및 관리 앱으로 설정할 수 있는 보호 및 제한의 예시입니다.

  • 작업 컨텍스트에서 앱을 열 때 PIN을 요구하는 것과 같은 앱 계층 보호를 구성합니다.
  • 복사 및 붙여넣기 차단 또는 화면 캡처와 같이 디바이스의 앱 간에 organization 데이터 공유를 제어합니다.
  • organization 데이터를 개인 스토리지 위치에 저장하지 않도록 합니다.

디바이스 작업을 사용하여 디바이스 및 데이터 보호

Microsoft Intune 관리 센터에서 선택한 디바이스를 보호하는 데 도움이 되는 디바이스 작업을 실행할 수 있습니다. 이러한 작업의 하위 집합을 대량 디바이스 작업으로 실행하여 동시에 여러 디바이스에 영향을 미칠 수 있습니다. 또한 몇 가지 Intune의 원격 작업을 공동 관리 디바이스에 사용할 수 있습니다.

디바이스 작업은 정책이 아니며 호출될 때 한 번 적용됩니다. 디바이스에 온라인으로 액세스할 수 있는 경우 또는 다음에 디바이스가 부팅되거나 Intune에 체크인할 때 즉시 적용됩니다. 이러한 작업은 디바이스 채우기에 대한 보안 구성을 구성하고 유지 관리하는 정책 사용에 대한 보완으로 간주되었습니다.

다음은 실행하여 디바이스 및 데이터를 보호하는 데 도움이 될 수 있는 작업의 예제입니다.

Intune에서 관리하는 디바이스:

  • BitLocker 키 순환(Windows에만 해당)
  • 활성화 잠금 사용 안 함(Apple 디바이스에만 해당, Apple Business Manager를 사용하여 정품 인증 잠금을 해제하는 방법 참조)
  • 전체 또는 빠른 검사(Windows에만 해당)
  • 원격 잠금
  • 사용 중지(개인 데이터를 그대로 유지하면서 디바이스에서 organization 데이터 제거)
  • Microsoft Defender 보안 인텔리전스 업데이트
  • 초기화(디바이스를 공장 재설정하고 모든 데이터, 앱 및 설정 제거)

Configuration Manager가 관리하는 디바이스:

  • 중지
  • 초기화
  • 동기화(디바이스가 Intune에 즉시 체크인하여 새 정책 또는 보류 중인 작업을 찾도록 시행)

다른 제품 및 파트너 기술과 통합

Intune은 기본 제공 기능을 확장하는 자사 및 타사 소스의 파트너 앱과의 통합을 지원합니다. Intune을 여러 Microsoft 기술과 통합할 수도 있습니다.

규정 준수 파트너

Intune 디바이스 규정 준수 파트너 사용에 대해 알아봅니다. Intune 이외의 모바일 디바이스 관리 파트너로 디바이스를 관리하는 경우 해당 규정 준수 데이터를 Microsoft Entra ID 통합할 수 있습니다. 통합된 경우 조건부 액세스 정책은 Intune 규정 준수 데이터와 함께 파트너 데이터를 사용할 수 있습니다.

기능이며

여러 Intune 정책 및 디바이스 작업을 사용하여 Configuration Manager로 관리하는 디바이스를 보호할 수 있습니다. 이러한 디바이스를 지원하려면 공동 관리 또는 테넌트 연결을 구성합니다. Intune에 두 가지 모두를 사용할 수 있습니다.

  • 공동 관리를 사용하면 Configuration Manager 및 Intune 모두 사용하여 Windows 디바이스를 동시에 관리할 수 있습니다. Configuration Manager 클라이언트를 설치하고 디바이스를 Intune에 등록하면 디바이스가 양쪽 서비스와 모두 통신합니다.

  • 테넌트 연결을 사용하면 Configuration Manager 사이트와 Intune 테넌트 간에 동기화를 설정합니다. 이 동기화는 Microsoft Intune 사용하여 관리하는 모든 디바이스에 대해 단일 보기를 제공합니다.

Intune Configuration Manager 간의 연결이 설정되면 Configuration Manager 디바이스를 Microsoft Intune 관리 센터에서 사용할 수 있습니다. 그런 다음 이러한 디바이스에 Intune 정책을 배포하거나 디바이스 작업을 사용하여 디바이스를 보호할 수 있습니다.

적용할 수 있는 보호에는 다음이 포함됩니다.

  • Intune SCEP(단순 인증서 등록 프로토콜) 또는 PKCS(비공개 및 공개 키 쌍) 인증서 프로필을 사용하여 디바이스에 인증서를 배포
  • 규정 준수 정책 사용
  • 바이러스 백신, 엔드포인트 검색 및 응답, 방화벽 규칙과 같은 엔드포인트 보안 정책 사용
  • 보안 기준 적용
  • Windows 업데이트 관리

모바일 위협 방어 앱

MTD(모바일 위협 방어) 앱은 디바이스에 대한 위협을 적극적으로 검사 및 분석합니다. 모바일 위협 방어 앱과 Intune을 통합(연결)하면 디바이스 위협 수준에 대한 앱 평가를 얻을 수 있습니다. 디바이스 위협 또는 위험 수준 평가는 손상된 모바일 디바이스로부터 organization 리소스를 보호하기 위한 중요한 도구입니다. 그런 다음 조건부 액세스 정책과 같은 다양한 정책에서 해당 위협 수준을 사용하여 해당 리소스에 대한 액세스를 제어할 수 있습니다.

디바이스 규정 준수, 앱 보호 및 조건부 액세스에 대한 정책에 위협 수준 데이터를 사용합니다. 이러한 정책은 데이터를 사용하여 비규격 디바이스가 organization 리소스에 액세스하지 못하도록 차단합니다.

통합 MTD 앱 사용:

  • 등록 디바이스:

    • Intune을 사용하여 디바이스에서 MTD 앱을 배포하고 관리합니다.
    • 디바이스에서 보고한 위협 수준을 사용하여 규정 준수를 평가하는 디바이스 규정 준수 정책을 배포합니다.
    • 디바이스 위협 수준을 고려하는 조건부 액세스 정책을 정의합니다.
    • 앱 보호 정책을 정의하여 디바이스의 위협 수준에 따라 데이터에 대한 액세스를 차단 또는 허용할 시기를 결정합니다.
  • Intune 등록하지 않고 Intune 통합되는 MTD 앱을 실행하는 디바이스의 경우 위협 수준 데이터를 앱 보호 정책과 함께 사용하여 organization 데이터에 대한 액세스를 차단합니다.

Intune은 다음과의 통합을 지원합니다.

엔드포인트용 Microsoft Defender

엔드포인트용 Microsoft Defender는 자체적으로 몇 가지 보안 중심 이점을 제공합니다. 엔드포인트용 Microsoft Defender는 또한 Intune과 통합되며 여러 디바이스 플랫폼에서 지원됩니다. 통합을 통해 모바일 위협 방어 앱을 얻고 Intune에 기능을 추가하여 데이터와 디바이스를 안전하게 유지합니다. 해당 기능은 다음과 같습니다.

  • Microsoft Tunnel 지원 - Android 디바이스에서 엔드포인트용 Microsoft Defender는 Intune용 VPN 게이트웨이 솔루션인 Microsoft Tunnel에 사용하는 클라이언트 애플리케이션입니다. Microsoft Tunnel 클라이언트 앱으로 사용하는 경우 엔드포인트용 Microsoft Defender 구독이 필요하지 않습니다.

  • 보안 작업보안 작업을 통해 Intune 관리자는 엔드포인트용 Microsoft Defender의 위협 및 취약성 관리 기능을 활용할 수 있습니다. 작업 방법:

    • 엔드포인트용 Microsoft Defender 팀은 위험에 노출된 디바이스를 식별하고 엔드포인트용 Microsoft Defender 보안 센터에서 Intune에 대한 보안 작업을 만듭니다.
    • 이러한 작업은 Intune 관리자가 위험을 완화하는 데 사용할 수 있는 완화 조언과 함께 Intune에 표시됩니다.
    • Intune에서 작업이 해결되면 해당 상태는 완화 결과를 평가할 수 있는 엔드포인트용 Microsoft Defender 보안 센터로 다시 전달됩니다.
  • 엔드포인트 보안 정책 – 다음 Intune 엔드포인트 보안 정책에는 엔드포인트용 Microsoft Defender와의 통합이 필요합니다. 테넌트 연결을 사용하는 경우 이러한 정책을 Intune 또는 Configuration Manager를 통해 관리하는 디바이스로 배포할 수 있습니다.

    • 바이러스 백신 정책 - 지원되는 디바이스(예: Windows 및 macOS)에서 Microsoft Defender 바이러스 백신Windows 보안 환경에 대한 설정을 관리합니다.

    • 엔드포인트 검색 및 응답 정책 – 이 정책을 사용하여 엔드포인트용 Microsoft Defender의 기능인 EDR(엔드포인트 검색 및 응답)을 구성합니다.

조건부 액세스

조건부 액세스는 디바이스를 보호하기 위해 Intune 작동하는 Microsoft Entra 기능입니다. Microsoft Entra ID 등록하는 디바이스의 경우 조건부 액세스 정책은 Intune 디바이스 및 규정 준수 세부 정보를 사용하여 사용자 및 디바이스에 대한 액세스 결정을 적용할 수 있습니다.

조건부 액세스 정책과 다음을 결합:

  • 디바이스 준수 정책을 사용하려면 해당 디바이스를 사용하여 organization 리소스에 액세스하기 전에 디바이스를 규격으로 표시해야 할 수 있습니다. 조건부 액세스 정책은 보호하려는 앱 서비스, 앱 또는 서비스에 액세스할 수 있는 조건 및 정책이 적용되는 사용자를 지정합니다.

  • 앱 보호 정책은 Intune 앱 보호 정책을 지원하는 클라이언트 앱만 Exchange 또는 기타 Microsoft 365 서비스와 같은 온라인 리소스에 액세스할 수 있도록 하는 보안 계층을 추가할 수 있습니다.

조건부 액세스는 디바이스를 안전하게 유지하는 데 도움이 되도록 다음을 사용합니다.

  • 엔드포인트용 Microsoft Defender 및 타사 MTD 앱
  • 디바이스 규정 준수 파트너 앱
  • Microsoft Tunnel

엔드포인트 권한 관리 추가

EPM(엔드포인트 권한 관리)을 사용하면 organization 설정한 조직 규칙 및 매개 변수에 의해 설계된 대로 필요한 경우에만 권한을 상승하면서 Windows 사용자를 표준 사용자로 실행할 수 있습니다. 이 디자인은 제로 트러스트 보안 아키텍처의 핵심 테넌트인 최소 권한 액세스의 적용을 지원합니다. EPM을 사용하면 IT 팀이 표준 사용자를 보다 효율적으로 관리하고 직원이 승인된 특정 애플리케이션 또는 작업에 대한 관리자로만 실행할 수 있도록 허용하여 공격 노출 영역을 제한할 수 있습니다.

일반적으로 관리 권한이 필요한 작업은 애플리케이션 설치(예: Microsoft 365 애플리케이션), 디바이스 드라이버 업데이트 및 특정 Windows 진단 실행입니다.

정의하는 EPM 권한 상승 규칙을 배포하면 신뢰할 수 있는 애플리케이션만 관리자 권한 컨텍스트에서 실행하도록 허용할 수 있습니다. 예를 들어 규칙은 파일 해시 일치 또는 디바이스에서 실행되기 전에 파일 무결성의 유효성을 검사하기 위해 인증서 가 있어야 할 수 있습니다.

엔드포인트 권한 관리는 추가 라이선스가 필요하고 Windows 10 및 Windows 11 디바이스를 지원하는 Intune 추가 기능으로 사용할 수 있습니다.

자세한 내용은 엔드포인트 권한 관리를 참조하세요.

다음 단계

데이터 및 디바이스를 보호하여 제로 트러스트 환경으로의 여정을 지원하는 Intune의 기능 사용을 계획합니다. 이전 인라인 링크 외에도 이러한 기능에 대해 자세히 알아보려면 Intune의 데이터 보안 및 공유에 대해 알아보세요.