비즈니스용 App Control 정책 및 관리형 설치 관리자를 사용하여 Windows 디바이스에 대해 승인된 앱을 관리합니다Microsoft Intune
이 기능은 공개 미리 보기로 제공됩니다.
매일 새로운 악성 파일과 앱이 야생에 나타납니다. organization 디바이스에서 실행하면 위험을 초래하므로 관리하거나 방지하기 어려울 수 있습니다. 관리되는 Windows 디바이스에서 원치 않는 앱이 실행되지 않도록 하려면 Microsoft Intune 비즈니스용 앱 제어 정책을 사용할 수 있습니다.
Intune 비즈니스용 앱 제어 정책은 엔드포인트 보안의 일부이며 Windows ApplicationControl CSP를 사용하여 Windows 디바이스에서 허용된 앱을 관리합니다.
또한 비즈니스용 App Control 정책을 통해 사용할 수 있으며 관리되는 설치 관리자 정책을 사용하여 테넌트에서 관리되는 설치 관리자로 Intune 관리 확장을 추가할 수 있습니다. 이 확장을 관리되는 설치 관리자로 사용하면 Intune 통해 배포하는 앱이 설치 관리자에 의해 자동으로 태그가 지정됩니다. 태그가 지정된 앱은 비즈니스용 앱 제어 정책에서 디바이스에서 실행할 수 있는 안전한 앱으로 식별할 수 있습니다.
Intune 관리 확장은 Windows 10 및 Windows 11 디바이스에 대한 Windows 10 MDM 기능을 보완하는 Intune 서비스입니다. 관리 디바이스에서 Win32 앱 및 PowerShell 스크립트를 쉽게 설치할 수 있습니다.
관리되는 설치 관리자는 AppLocker 규칙을 사용하여 organization 신뢰할 수 있는 애플리케이션에 태그를 지정합니다. 자세한 내용은 Windows 보안 설명서에서 관리되는 설치 관리자가 설치한 앱 허용을 참조하세요.
비즈니스용 App Control 정책을 사용하려면 관리되는 설치 관리자를 사용할 필요가 없습니다.
이 문서의 정보는 다음을 도울 수 있습니다.
관련 정보는 Windows 보안 설명서의 Windows Defender 애플리케이션 제어를 참조하세요.
참고
비즈니스용 앱 제어 정책 및 애플리케이션 제어 프로필: Intune 비즈니스용 앱 제어 정책은ApplicationControl CSP를 사용합니다. Intune 공격 표면 감소 정책은 애플리케이션 제어 프로필에 AppLocker CSP를 사용합니다. Windows는 AppLocker CSP를 대체하기 위해 ApplicationControlCSP를 도입했습니다. Windows는 AppLocker CSP를 계속 지원하지만 더 이상 새 기능을 추가하지 않습니다. 대신 ApplicationControl CSP를 통해 개발이 계속됩니다.
적용 대상:
- Windows 10
- Windows 11
필수 구성 요소
디바이스
다음 디바이스는 Intune 등록할 때 비즈니스용 App Control 정책에 대해 지원됩니다.
Windows Enterprise 또는 Education:
- Windows 10 버전 1903 이상
- Windows 11 버전 1903 이상
Windows Professional:
- KB5019959 Windows 10
- Windows 11:
- 버전 22H2 및 KB5019980
- 버전 21H2 및 KB5019961
Windows 11 SE:
- Windows 11 SE 교육용 테넌트에서만 지원됩니다. 자세한 내용은 이 문서의 뒷부분에 있는 Education 테넌트용 비즈니스용 앱 제어 정책을 참조하세요.
AVD(Azure Virtual Desktop ):
- AVD 디바이스는 비즈니스용 App Control 정책을 사용하도록 지원됩니다.
- AVD 다중 세션 디바이스를 대상으로 지정하려면 Endpoint Security에서 비즈니스용 앱 제어 노드를 사용합니다. 그러나 비즈니스용 App Control은 디바이스 scope 전용입니다.
공동 관리 디바이스:
- 공동 관리 디바이스에서 비즈니스용 애플리케이션 제어 정책을 지원하려면 Endpoint Protection 슬라이더의 슬라이더를 Intune 설정합니다.
비즈니스용 Windows Defender 앱 컨트롤
Windows 보안 설명서의 Windows용 애플리케이션 제어 정보에서 Windows버전 및 라이선스 요구 사항을 참조하세요.
역할 기반 액세스 제어
비즈니스용 App Control 정책을 관리하려면 계정에 원하는 작업을 완료할 수 있는 충분한 권한과 권한이 포함된 INTUNE RBAC(역할 기반 액세스 제어) 역할이 할당되어야 합니다.
다음은 필요한 권한과 권한이 있는 사용 가능한 작업입니다.
관리되는 설치 관리자 사용 - 계정에 Intune 관리자 역할이 할당되어야 합니다. 설치 관리자를 사용하도록 설정하는 것은 일회성 이벤트입니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. Intune 관리자 및 유사한 계정은 다른 역할을 사용할 수 없는 시나리오로 제한되어야 하는 높은 권한의 역할입니다.
비즈니스용 앱 제어 정책 관리 - 계정에는 삭제, 읽기, 할당, 만들기, 업데이트 및 보고서 보기에 대한 권한이 포함된 비즈니스용 앱 제어 권한이 있어야 합니다.
비즈니스용 App Control 정책에 대한 보고서 보기 - 계정에는 다음 권한 및 권한 중 하나가 있어야 합니다.
- 보고서 보기가 있는 비즈니스용 앱 컨트롤 권한입니다.
- 읽기가 있는 조직 권한 입니다.
비즈니스용 앱 제어 정책 Intune 관리할 수 있는 적절한 수준의 권한 및 권한을 할당하는 방법에 대한 지침은 assign-role-based-access-controls-for-endpoint-security-policy를 참조하세요.
정부 클라우드 지원
Intune 엔드포인트 보안 애플리케이션 제어 정책 및 관리되는 설치 관리자 구성은 다음과 같은 소버린 클라우드 환경에서 지원됩니다.
- 미국 정부 클라우드
- 21Vianet
관리되는 설치 관리자 시작
Intune 엔드포인트 보안 비즈니스용 App Control을 사용하면 정책을 사용하여 관리되는 Windows 디바이스에서 관리되는 설치 관리자로 Intune 관리 확장을 추가할 수 있습니다.
관리되는 설치 관리자를 사용하도록 설정하면 Intune 통해 Windows 디바이스에 배포하는 모든 후속 애플리케이션이 관리되는 설치 관리자 태그로 표시됩니다. 태그는 앱이 알려진 원본에 의해 설치되었으며 신뢰할 수 있음을 식별합니다. 그런 다음 앱의 관리되는 설치 관리자 태그 지정은 비즈니스용 App Control 정책에서 사용되어 사용자 환경의 디바이스에서 실행하도록 승인된 앱을 자동으로 식별합니다.
비즈니스용 앱 제어 정책은 WDAC(Windows Defender 애플리케이션 제어)의 구현입니다. WDAC 및 앱 태그 지정에 대한 자세한 내용은 Windows Defender 애플리케이션 제어 설명서의 Windows 및 WDAC 애플리케이션 ID(AppId) 태그 지정 가이드 를 참조하세요.
관리되는 설치 관리자 사용에 대한 고려 사항:
관리되는 설치 관리자 설정은 모든 관리되는 Windows 디바이스에 적용되는 테넌트 전체 구성입니다.
관리되는 설치 관리자로 Intune 관리 확장을 사용하도록 설정하면 Intune 통해 Windows 디바이스에 배포하는 모든 앱에 관리되는 설치 관리자의 표시로 태그가 지정됩니다.
그 자체로 이 태그는 디바이스에서 실행할 수 있는 앱에 영향을 주지 않습니다. 태그는 관리되는 디바이스에서 실행할 수 있는 앱을 결정하는 WDAC 정책을 할당하는 경우에만 사용됩니다.
소급 태그 지정이 없으므로 관리되는 설치 관리자를 사용하도록 설정하기 전에 배포된 디바이스의 모든 앱은 태그가 지정되지 않습니다. WDAC 정책을 적용하는 경우 태그가 지정되지 않은 앱을 실행할 수 있도록 명시적 구성을 포함해야 합니다.
관리되는 설치 관리자 정책을 편집하여 이 정책을 해제할 수 있습니다. 정책을 해제하면 후속 앱이 관리되는 설치 관리자로 태그가 지정되지 않습니다. 이전에 설치되고 태그가 지정된 앱은 태그가 지정된 상태로 유지됩니다. 정책을 끈 후 관리되는 설치 관리자의 수동 클린 업에 대한 자세한 내용은 이 문서의 뒷부분에 있는 관리되는 설치 관리자로 Intune 관리 확장 제거를 참조하세요.
Windows 보안 설명서에서 관리되는 설치 관리자를 Intune 설정하는 방법에 대해 자세히 알아봅니다.
중요
Log Analytics 통합에서 수집한 이벤트에 대한 잠재적 영향
Log Analytics는 고객이 AppLocker 정책 이벤트에서 데이터를 수집하는 데 사용할 수 있는 Azure Portal의 도구입니다. 이 공개 미리 보기를 사용하면 옵트인 작업을 완료하면 AppLocker 정책이 테넌트에서 해당 디바이스에 배포되기 시작합니다. Log Analytics 구성에 따라 특히 자세한 로그 중 일부를 수집하는 경우 AppLocker 정책에 의해 생성된 이벤트가 증가합니다. organization Log Analytics를 사용하는 경우 다음과 같이 Log Analytics 설정을 검토하는 것이 좋습니다.
- Log Analytics 설정을 이해하고 예기치 않은 청구 비용을 방지하기 위해 적절한 데이터 수집 한도가 있는지 확인합니다.
- MSI 및 스크립트 로그를 제외하고 Log Analytics(오류, 경고, 정보)에서 AppLocker 이벤트 컬렉션을 모두 끕니다.
테넌트에서 관리되는 설치 관리자 추가
다음 절차에서는 Intune 관리 확장을 테넌트용 관리형 설치 관리자로 추가하는 방법에 대해 설명합니다. Intune 단일 관리형 설치 관리자 정책을 지원합니다.
Microsoft Intune 관리 센터에서 엔드포인트 보안(미리 보기)으로 이동하여 관리되는 설치 관리자 탭을 선택한 다음* 추가를 선택합니다. 관리되는 설치 관리자 추가 창이 열립니다.
추가를 선택한 다음 예를 선택하여 관리되는 설치 관리자로 Intune 관리 확장을 추가한 것을 확인합니다.
관리되는 설치 관리자를 추가한 후 드문 경우이지만 새 정책이 테넌트에 추가되기까지 최대 10분 정도 기다려야 할 수 있습니다. 새로 고침을 선택하여 관리 센터를 사용할 수 있게 될 때까지 주기적으로 업데이트합니다.
Intune 관리되는 설치 관리자 - Intune 관리 확장이라는 이름의 관리되는 설치 관리자 정책을 활성 상태 표시하면 서비스에서 정책이 준비됩니다. 클라이언트 쪽에서 정책이 배달되기 시작할 때까지 최대 1시간 동안 기다려야 할 수 있습니다.
이제 정책을 선택하여 해당 구성을 편집할 수 있습니다. 다음 두 정책 영역만 편집을 지원합니다.
설정: 정책 설정을 편집하면 관리되는 설치 관리자에 대한 옵트아웃 창이 열립니다. 여기서 설정과 끄기 사이에 관리되는 설치 관리자 설정에 대한 값을 변경할 수 있습니다. 설치 관리자를 추가하면 관리되는 설치 관리자 설정 이 기본적으로 켜기로 설정됩니다. 구성을 변경하기 전에 켜 기 및 끄기 창에 자세히 설명된 동작을 검토해야 합니다.
범위 태그: 이 정책에 할당된 scope 태그를 추가하고 수정할 수 있습니다. 이렇게 하면 정책 세부 정보를 볼 수 있는 관리자를 지정할 수 있습니다.
정책이 적용되기 전에 비즈니스용 앱 제어 정책을 만들고 배포하여 Windows 디바이스에서 앱을 실행할 수 있는 규칙을 지정해야 합니다.
자세한 내용은 Windows 보안 설명서에서 관리되는 설치 관리자가 설치한 앱 허용을 참조하세요.
중요
AppLocker 정책 병합에서 부팅되지 않을 수 있는 위험
Intune 통해 관리되는 설치 관리자를 사용하도록 설정하면 더미 규칙이 있는 AppLocker 정책이 배포되고 대상 디바이스의 기존 AppLocker 정책과 병합됩니다. 기존 AppLocker 정책에 빈 규칙 집합을 사용하여 구성되지 않음 으로 정의된 RuleCollection이 포함된 경우 더미 규칙과 NotConfigured 으로 병합됩니다. NotConfigured 규칙 컬렉션은 컬렉션에 정의된 규칙이 있는 경우 기본적으로 적용됩니다. 더미 규칙이 구성된 유일한 규칙인 경우 이는 다른 모든 항목이 로드되거나 실행되지 않도록 차단됨을 의미합니다. 이로 인해 애플리케이션이 시작에 실패하고 Windows로 부팅하거나 로그온하지 못하는 등의 예기치 않은 문제가 발생할 수 있습니다. 이 문제를 방지하려면 현재 사용 중인 경우 기존 AppLocker 정책에서 빈 규칙 집합을 사용하여 구성되지 않음 으로 정의된 RuleCollection을 제거하는 것이 좋습니다.
- 관리되는 설치 관리자는 GPO에서 적용되는 중지 또는 비활성화된 App-Locker 정책(대상 PC)을 사용하도록 설정할 수 있습니다.
관리되는 설치 관리자로 Intune 관리 확장 제거
필요한 경우 테넌트용 관리 설치 관리자로 Intune 관리 확장 구성을 중지할 수 있습니다. 이렇게 하려면 관리되는 설치 관리자 정책을 해제해야 합니다. 정책이 꺼진 후 추가 클린 작업을 사용하도록 선택할 수 있습니다.
Intune 관리 확장 정책 끄기(필수)
디바이스에 관리되는 설치 관리자로 Intune 관리 확장 추가를 중지하려면 다음 구성이 필요합니다.
관리 센터에서 엔드포인트 보안(미리 보기)으로 이동하여 관리되는 설치 관리자 탭을 선택한 다음 관리되는 설치 관리자 – Intune 관리 확장 정책을 선택합니다.
정책을 편집하고 관리되는 설치 관리자 설정을끄기로 변경하고 정책을 저장합니다.
새 디바이스는 관리되는 설치 관리자로 Intune 관리 확장을 사용하여 구성되지 않습니다. 이렇게 하면 이미 사용하도록 구성된 디바이스에서 관리되는 설치 관리자로 Intune 관리 확장이 제거되지 않습니다.
디바이스에서 관리되는 설치 관리자로 Intune 관리 확장 제거(선택 사항)
선택적 클린 단계로 스크립트를 실행하여 Intune 관리 확장을 이미 설치한 디바이스에서 관리되는 설치 관리자로 제거할 수 있습니다. 이 단계는 관리되는 설치 관리자를 참조하는 비즈니스용 App Control 정책을 사용하지 않는 한 이 구성이 디바이스에 영향을 주지 않는 한 선택 사항입니다.
CatCleanIMEOnly.ps1 PowerShell 스크립트를 다운로드합니다. 이 스크립트는 download.microsoft.com 에서 https://aka.ms/intune_WDAC/CatCleanIMEOnly 사용할 수 있습니다.
Intune 관리 확장이 관리되는 설치 관리자로 설정된 디바이스에서 이 스크립트를 실행합니다. 이 스크립트는 관리되는 설치 관리자로 Intune 관리 확장만 제거합니다.
위의 변경 내용을 적용하려면 Intune 관리 확장 서비스를 다시 시작합니다.
이 스크립트를 실행하려면 Intune 사용하여 PowerShell 스크립트 또는 원하는 다른 메서드를 실행할 수 있습니다.
디바이스에서 모든 AppLocker 정책 제거(선택 사항)
디바이스에서 모든 Windows AppLocker 정책을 제거하려면 CatCleanAll.ps1 PowerShell 스크립트를 사용할 수 있습니다. 이 스크립트는 관리되는 설치 관리자로 Intune 관리 확장뿐만 아니라 디바이스에서 Windows AppLocker를 기반으로 하는 모든 정책을 제거합니다. 이 스크립트를 사용하기 전에 조직에서 AppLocker 정책을 사용하는 것을 이해해야 합니다.
CatCleanAll.ps1 PowerShell 스크립트를 다운로드합니다. 이 스크립트는 download.microsoft.com 에서 https://aka.ms/intune_WDAC/CatCleanAll 사용할 수 있습니다.
Intune 관리 확장이 관리되는 설치 관리자로 설정된 디바이스에서 이 스크립트를 실행합니다. 이 스크립트는 디바이스에서 관리되는 설치 관리자 및 AppLocker 정책으로 Intune 관리 확장을 제거합니다.
위의 변경 내용을 적용하려면 Intune 관리 확장 서비스를 다시 시작합니다.
이 스크립트를 실행하려면 Intune 사용하여 PowerShell 스크립트 또는 원하는 다른 메서드를 실행할 수 있습니다.
비즈니스용 App Control 정책 시작
Intune 엔드포인트 보안 비즈니스용 앱 제어 정책을 사용하면 관리되는 Windows 디바이스에서 실행할 수 있는 앱을 관리할 수 있습니다. 정책에서 명시적으로 실행할 수 없는 앱은 감사 모드를 사용하도록 정책을 구성하지 않으면 실행이 차단됩니다. 감사 모드에서 정책은 모든 앱을 실행할 수 있도록 허용하고 클라이언트에서 로컬로 해당 앱에 대한 세부 정보를 기록합니다.
허용되거나 차단되는 앱을 관리하기 위해 Intune Windows 디바이스에서 Windows ApplicationControl CSP를 사용합니다.
비즈니스용 앱 컨트롤 정책을 만들 때 사용할 구성 설정 형식 을 선택해야 합니다.
xml 데이터 입력 - xml 데이터를 입력하도록 선택하는 경우 비즈니스용 App Control 정책을 정의하는 사용자 지정 XML 속성 집합을 정책에 제공해야 합니다.
기본 제공 컨트롤 – 이 옵션은 구성하는 가장 간단한 경로이지만 여전히 강력한 선택입니다. 기본 제공 컨트롤을 사용하면 관리되는 설치 관리자가 설치한 모든 앱을 쉽게 승인하고 Windows 구성 요소 및 스토어 앱을 신뢰할 수 있습니다.
이러한 옵션에 대한 자세한 내용은 정책을 만들 때 UI에서 사용할 수 있으며 정책 만들기를 안내하는 다음 절차에 자세히 설명되어 있습니다.
비즈니스용 앱 컨트롤 정책을 만든 후에는 원래 정책에 XML 형식의 규칙을 더 추가하는 추가 정책을 만들어 해당 정책의 scope 확장할 수 있습니다. 추가 정책을 사용하는 경우 원래 정책을 기본 정책이라고 합니다.
참고
테넌트가 교육 테넌트인 경우 교육 테넌트용 비즈니스용 앱 제어 정책을 참조하여 해당 디바이스에 대한 추가 디바이스 지원 및 비즈니스용 앱 제어 정책에 대해 알아봅니다.
비즈니스용 앱 컨트롤 정책 만들기
다음 절차를 사용하여 성공적인 비즈니스용 App Control 정책을 만들 수 있습니다. 이 정책은 이 정책으로 정의한 신뢰의 scope 확장하는 추가 정책을 만드는 경우 기본 정책으로 간주됩니다.
Microsoft Intune 관리 센터에 로그인하고 비즈니스용 엔드포인트 보안>앱 컨트롤(미리 보기)>으로 이동하여 비즈니스용 앱 제어 탭 > 을 선택한 다음 정책 만들기를 선택합니다. 비즈니스용 앱 제어 정책은 플랫폼 유형의 Windows 10 이상에 자동으로 할당됩니다.
기본 사항에서 다음 속성을 입력합니다.
- 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
- 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
구성 설정에서 구성 설정 형식을 선택합니다.
xml 데이터 입력 - 이 옵션을 사용하면 비즈니스용 App Control 정책을 정의하려면 사용자 지정 XML 속성을 제공해야 합니다. 이 옵션을 선택했지만 정책에 XLM 속성을 추가하지 않으면 구성되지 않음으로 작동합니다. 구성되지 않은 비즈니스용 앱 컨트롤 정책은 ApplicationControl CSP에서 추가된 옵션 없이 디바이스에서 기본 동작을 발생합니다.
기본 제공 컨트롤 – 이 옵션을 사용하면 정책은 사용자 지정 XML을 사용하지 않습니다. 대신 다음 설정을 구성합니다.
Windows 구성 요소 및 스토어 앱 신뢰 사용 – 이 설정이 사용 (기본값)인 경우 관리 디바이스는 Windows 구성 요소를 실행하고 앱뿐만 아니라 신뢰할 수 있는 앱으로 구성할 수 있는 다른 앱을 저장할 수 있습니다. 이 정책에서 신뢰할 수 있는 것으로 정의되지 않은 앱은 실행이 차단됩니다.
이 설정은 감사 전용 모드도 지원합니다. 감사 모드를 사용하면 모든 이벤트가 로컬 클라이언트 로그에 기록되지만 앱 실행이 차단되지 않습니다.
앱을 신뢰하기 위한 추가 옵션 선택 – 이 설정의 경우 다음 옵션 중 하나 또는 둘 다를 선택할 수 있습니다.
평판이 좋은 앱 신뢰 – 이 옵션을 사용하면 디바이스가 Microsoft Intelligent Security Graph에 정의된 대로 신뢰할 수 있는 앱을 실행할 수 있습니다. ISG(Intelligent Security Graph)를 사용하는 방법에 대한 자세한 내용은 Windows 보안 설명서에서 ISG(Intelligent Security Graph)로 평판이 좋은 앱 허용을 참조하세요.
관리되는 설치 관리자의 앱 신뢰 – 이 옵션을 사용하면 디바이스가 관리되는 설치 관리자인 권한 있는 원본에 의해 배포된 앱을 실행할 수 있습니다. 이는 관리되는 설치 관리자로 Intune 관리 확장을 구성한 후 Intune 통해 배포하는 앱에 적용됩니다.
이 정책의 규칙에 의해 지정되지 않은 다른 모든 앱 및 파일에 대한 동작은 Windows 구성 요소 및 스토어 앱의 신뢰 사용 구성에 따라 달라집니다.
- 사용하도록 설정하면 파일 및 앱이 디바이스에서 실행되지 않도록 차단됩니다.
- 감사 전용으로 설정된 경우 파일 및 앱은 로컬 클라이언트 로그에서만 감사됩니다.
범위 태그 페이지에서 적용할 범위 태그를 선택하고 다음을 선택합니다.
할당의 경우 정책을 수신하는 그룹을 선택하지만 WDAC 정책은 디바이스 scope만 적용됩니다. 계속하려면 다음을 선택합니다.
프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.
검토 + 만들기의 경우 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.
추가 정책 사용
하나 이상의 추가 정책을 통해 비즈니스용 App Control 기본 정책을 확장하여 해당 정책의 신뢰도를 높일 수 있습니다. 추가 정책은 하나의 기본 정책만 확장할 수 있지만 여러 추가 항목은 동일한 기본 정책을 확장할 수 있습니다. 추가 정책을 추가하면 기본 정책 및 추가 정책에서 허용하는 애플리케이션을 디바이스에서 실행할 수 있습니다.
추가 정책은 XML 형식이어야 하며 기본 정책의 정책 ID를 참조해야 합니다.
비즈니스용 앱 컨트롤 기본 정책의 정책 ID는 기본 정책의 구성에 따라 결정됩니다.
사용자 지정 XML을 사용하여 만든 기본 정책에는 해당 XML 구성을 기반으로 하는 고유한 PolicyID가 있습니다.
비즈니스용 App Control에 대한 기본 제공 컨트롤을 사용하여 만든 기본 정책에는 기본 제공 설정의 가능한 조합에 따라 결정되는 4가지 가능한 PolicyID 중 하나가 있습니다. 다음 표에서는 조합과 관련 PolicyID를 식별합니다.
기본 정책의 PolicyID WDAC 정책의 옵션(감사 또는 적용) {A8012CFC-D8AE-493C-B2EA-510F035F1250} Windows 구성 요소 및 스토어 앱을 신뢰하는 앱 제어 정책 사용 {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} 앱 제어 정책을 사용하여 Windows 구성 요소를 신뢰하고 앱 저장 및
평판이 좋은 앱
신뢰{63D1178A-816A-4AB6-8ECD-127F2DF0CE47} 앱 제어 정책을 사용하여 Windows 구성 요소를 신뢰하고 앱 저장
및
관리되는 설치 관리자의 앱 신뢰{2DA0F72D-1688-4097-847D-C42C39E631BC} 앱 제어 정책을 사용하여 Windows 구성 요소를 신뢰하고 앱 저장 및
평판
이 좋은 앱
신뢰 및
관리되는 설치 관리자의 앱 신뢰
기본 제공 컨트롤의 동일한 구성을 사용하는 두 개의 비즈니스용 App Control 정책에 동일한 PolicyID가 있더라도 정책에 대한 할당 에 따라 다른 추가 정책을 적용할 수 있습니다.
다음 시나리오를 고려합니다.
동일한 구성을 사용하는 두 개의 기본 정책을 만들므로 PolicyID가 동일합니다. 이러한 정책 중 하나를 경영진에 배포하면 두 번째 정책이 지원 센터 팀에 배포됩니다.
다음으로, 경영진이 요구하는 다른 앱을 실행할 수 있는 추가 정책을 만듭니다. 동일한 그룹인 경영진에게 이 추가 정책을 할당합니다.
그런 다음 기술 지원 센터 팀이 요구하는 다양한 도구를 실행할 수 있는 두 번째 추가 정책을 만듭니다. 이 정책은 기술 지원 센터 그룹에 할당됩니다.
이러한 배포의 결과로 두 추가 정책 모두 기본 정책의 두 인스턴스를 수정할 수 있습니다. 그러나 고유하고 별도의 할당으로 인해 첫 번째 추가 정책은 집행 팀에 할당된 허용된 앱만 수정하고 두 번째 정책은 지원 센터 팀에서 사용하는 허용된 앱만 수정합니다.
추가 정책 만들기
Windows Defender 애플리케이션 제어 마법사 또는 PowerShell cmdlet을 사용하여 비즈니스용 앱 컨트롤 정책을 XML 형식으로 생성합니다.
마법사에 대한 자세한 내용은 aka.ms/wdacWizard 또는 Microsoft WDAC 마법사를 참조하세요.
XML 형식으로 정책을 만들 때 기본 정책의 정책 ID 를 참조해야 합니다.
비즈니스용 앱 제어 추가 정책을 XML 형식으로 만든 후 Microsoft Intune 관리 센터에 로그인하고 비즈니스용 엔드포인트 보안>앱 컨트롤(미리 보기)>으로 이동하여 비즈니스용 앱 제어 탭을 선택한 다음 정책 만들기를 선택합니다.
기본 사항에서 다음 속성을 입력합니다.
이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다.
설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
구성 설정에서 구성 설정 형식에 대해 xml 데이터 입력을 선택하고 XML 파일을 업로드합니다.
할당의 경우 추가 정책을 적용할 기본 정책에 할당된 것과 동일한 그룹을 선택한 다음, 다음을 선택합니다.
검토 + 만들기의 경우 설정을 검토한 다음 만들기를 선택합니다. 만들기를 선택하면 변경 사항이 저장되고 프로필이 할당됩니다. 정책 목록에도 정책이 표시됩니다.
교육 테넌트용 비즈니스용 앱 제어 정책
교육 기관용 테넌트의 비즈니스용 앱 제어 정책은 필수 구성 요소에서 지원되는 플랫폼 외에도 Windows 11 SE 지원합니다.
Windows 11 SE 클래스룸에서 사용하도록 최적화된 클라우드 우선 운영 체제입니다. 교육용 Intune 마찬가지로 Windows SE 11은 생산성, 학생 개인 정보 보호 및 학습의 우선 순위를 지정하며 교육에 필수적인 기능 및 앱만 지원합니다.
이 최적화를 지원하기 위해 WDAC 정책 및 Intune 관리 확장은 Windows 11 SE 디바이스에 대해 자동으로 구성됩니다.
Windows 11 SE 디바이스에 대한 Intune 지원은 EDU 테넌트에서 앱의 집합 목록을 사용하여 미리 정의된 WDAC 정책을 배포하도록 범위가 지정됩니다. 이러한 정책은 자동으로 배포되며 변경할 수 없습니다.
Intune EDU 테넌트에서 Intune 관리 확장은 자동으로 관리되는 설치 관리자로 설정됩니다. 이 구성은 자동이며 변경할 수 없습니다.
비즈니스용 앱 제어 정책 삭제
MDM(모바일 장치 관리)을 사용하여 WDAC 정책 배포(Windows 10) - Windows 보안 설명서의 Windows 보안에 설명된 대로 Intune UI에서 삭제된 정책은 시스템 및 디바이스에서 제거되지만 컴퓨터의 다음 재부팅까지 계속 적용됩니다.
WDAC 적용을 사용하지 않도록 설정하거나 삭제하려면 다음을 수행합니다.
에서 Windows 디바이스에 있는 예제 정책의 규칙과 같이 기존 정책을
Allow /*
새 버전의 정책으로 바꿉%windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
이 구성은 정책을 제거한 후 디바이스에 남아 있을 수 있는 블록을 제거합니다.
업데이트된 정책이 배포된 후 Intune 포털에서 새 정책을 삭제할 수 있습니다.
이 시퀀스는 모든 항목이 차단되는 것을 방지하고 다음 다시 부팅 시 WDAC 정책을 완전히 제거합니다.
비즈니스용 앱 제어 정책 및 관리되는 설치 관리자 모니터링
디바이스에 비즈니스용 App Control 및 관리형 설치 관리자 정책이 할당되면 관리 센터 내에서 정책 세부 정보를 볼 수 있습니다.
- 보고서를 보려면 계정에 조직의 Intune 역할 기반 액세스 제어 범주에 대한 읽기 권한이 있어야 합니다.
보고서를 보려면 Intune 관리 센터에 로그인하고 계정 제어 노드로 이동합니다. (엔드포인트 보안>계정 컨트롤(미리 보기). 여기에서 보려는 정책 세부 정보에 대한 탭을 선택할 수 있습니다.
관리되는 설치 관리자
관리되는 설치 관리자 탭에서 관리되는 설치 관리자 – Intune 관리 확장 정책에 대한 상태, 성공 횟수 및 오류 세부 정보를 볼 수 있습니다.
정책 이름을 선택하여 다음 정보를 볼 수 있는 개요 페이지를 엽니다.
디바이스 상태, 성공과 오류의 정적 수입니다.
디바이스 상태 추세는 각 세부 정보 범주에서 타임라인 및 디바이스 수를 표시하는 기록 차트입니다.
보고서 세부 정보는 다음과 같습니다.
개요에서 디바이스 상태 및 디바이스 상태 추세 섹션을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
정책 세부 정보를 보는 동안 디바이스 상태(모니터 아래)를 선택하여 정책 세부 정보에 대한 디바이스 기반 보기를 열 수 있습니다. 디바이스 상태 보기에는 디바이스가 정책을 성공적으로 적용하지 못할 경우 문제를 식별하는 데 사용할 수 있는 다음 세부 정보가 표시됩니다.
- 장치 이름
- 사용자 이름
- OS 버전
- 관리되는 설치 관리자 상태(성공 또는 오류)
디바이스가 실제로 정책을 수신한 후 정책 세부 정보의 디바이스 기반 보기가 업데이트되는 데 몇 분 정도 걸릴 수 있습니다.
비즈니스용 앱 제어
비즈니스용 앱 컨트롤 탭에서 비즈니스용 App Control 정책 및 할당된 경우 및 마지막으로 수정된 시기를 비롯한 기본 세부 정보 목록을 볼 수 있습니다.
정책을 선택하여 더 많은 보고서 옵션이 있는 보기를 엽니다.
정책에 대한 보고서 옵션은 다음과 같습니다.
디바이스 및 사용자 검사 상태 - 이 정책에 사용할 수 있는 각 상태 보고하는 디바이스 수를 표시하는 간단한 차트입니다.
보고서 보기 - 이 정책을 받은 디바이스 목록이 있는 보기가 열립니다. 여기에서 드릴인할 디바이스를 선택하고 비즈니스용 앱 제어 정책 설정 형식을 볼 수 있습니다.
정책 보기에는 다음 보고서 타일도 포함됩니다.
디바이스 할당 상태 - 이 보고서에는 보류 중인 정책 할당 상태의 디바이스를 포함하여 정책의 대상이 되는 모든 디바이스가 표시됩니다.
이 보고서를 사용하여 보려는 할당 상태 값을 선택한 다음 보고서 생성을 선택하여 정책을 받은 개별 디바이스, 마지막 활성 사용자 및 할당 상태 보고서 보기를 새로 고칠 수 있습니다.
디바이스를 선택하여 비즈니스용 앱 제어 정책 설정 형식을 드릴인하고 볼 수도 있습니다.
설정별 상태 - 이 보고서에는 이 정책의 설정에 대한 성공, 오류 또는 충돌로 상태 보고하는 디바이스 수가 표시됩니다.
질문과 대답
Intune 관리 확장을 관리되는 설치 관리자로 설정해야 하는 경우는 언제인가요?
사용 가능한 다음 기회에 관리되는 설치 관리자로 Intune 관리 확장을 구성하는 것이 좋습니다.
설정되면 디바이스에 배포하는 후속 앱에 적절한 태그가 지정되어 관리되는 설치 관리자의 앱을 신뢰하는 WDAC 정책을 지원합니다.
관리되는 설치 관리자가 구성되기 전에 앱을 배포한 환경에서는 앱이 배포되었지만 신뢰할 수 있는 태그가 지정되지 않은 것을 식별할 수 있도록 감사 모드 에서 새 WDAC 정책을 배포하는 것이 좋습니다. 그런 다음 감사 결과를 검토하고 신뢰할 수 있는 앱을 결정할 수 있습니다. 신뢰하고 실행할 수 있는 앱의 경우 사용자 지정 WDAC 정책을 만들어 해당 앱을 허용할 수 있습니다.
IT 관리자가 관리하고 정책을 만드는 데 도움이 되는 여러 컴퓨터에서 감사 이벤트를 더 쉽게 쿼리할 수 있도록 하는 엔드포인트용 Microsoft Defender 기능인 고급 헌팅을 탐색하는 것이 도움이 될 수 있습니다.
공격 표면 감소 정책의 이전 애플리케이션 제어 정책으로 무엇을 해야 하나요?
Intune UI의 엔드포인트 보안>연결 표면 축소 또는 디바이스>관리 디바이스>구성에서 애플리케이션 제어 정책의 인스턴스를 확인할 수 있습니다. 향후 릴리스에서는 더 이상 사용되지 않습니다.
동일한 디바이스에 여러 기본 또는 추가 정책이 있는 경우 어떻게 해야 하나요?
1903년 Windows 10 이전에는 비즈니스용 App Control에서 특정 시간에 시스템에서 단일 활성 정책만 지원했습니다. 이러한 동작은 서로 다른 의도를 가진 여러 정책이 유용한 상황에서 고객을 크게 제한합니다. 현재 동일한 디바이스에서 여러 기본 및 추가 정책이 지원됩니다. 여러 비즈니스용 App Control 정책을 배포하는 방법에 대해 자세히 알아봅니다.
관련 참고 사항에서 비즈니스용 App Control에 대해 동일한 디바이스에서 활성 상태인 32개 정책의 제한은 더 이상 없습니다. 이 문제는 2024년 3월 12일 또는 그 이후에 릴리스된 Windows 보안 업데이트로 Windows 10 1903 이상을 실행하는 디바이스에서 해결되었습니다. 이전 버전의 Windows는 향후 Windows 보안 업데이트에서 이 수정 사항을 받을 것으로 예상됩니다.
내 테넌트에서 관리되는 설치 관리자 옵트인 기능이 적절한 태그를 사용하여 Configuration Manager 설치된 앱을 설정하나요?
아니요. 이 릴리스에서는 관리되는 설치 관리자로 Intune 관리 확장을 사용하여 Intune 설치된 앱을 설정하는 데 중점을 둡니다. Configuration Manager 관리되는 설치 관리자로 설정할 수 없습니다.
Configuration Manager 관리되는 설치 관리자로 설정하려는 경우 Configuration Manager 내에서 해당 동작을 허용할 수 있습니다. 이미 Configuration Manager 관리형 설치 관리자로 설정된 경우 새 Intune 관리 확장 AppLocker 정책이 기존 Configuration Manager 정책과 병합된다는 것이 예상 동작입니다.
관리형 설치 관리자를 사용하려는 organization 내 HAADJ(Entra Hybrid Join) 디바이스에 대해 고려해야 할 고려 사항은 무엇인가요?
Entra 하이브리드 조인 디바이스는 AppLocker를 통해 관리되는 설치 관리자 정책을 비롯한 그룹 정책을 적용하려면 온-프레미스 DC(도메인 컨트롤러)에 연결해야 합니다. DC 연결이 없으면 특히 Autopilot 프로비저닝 중에 관리되는 설치 관리자 정책이 적용되지 않습니다. 고려사항:
대신 Entra 조인과 함께 Autopilot을 사용합니다. 자세한 내용은 선택할 Entra 조인 옵션 에 대한 권장 사항을 참조하세요.
Entra 하이브리드 조인의 경우 다음 중 하나 또는 둘 다를 선택합니다.
- Autopilot이 작동하지 않을 수 있으므로 앱 설치 시 DC 연결을 제공하는 디바이스 프로비저닝 방법을 사용합니다.
- Autopilot 프로비저닝이 완료된 후 앱을 배포하여 앱 설치 시 DC 연결이 설정되고 관리되는 설치 관리자 정책을 적용할 수 있습니다.