자습서: Microsoft Intune을 사용하여 클라우드 네이티브 Windows 엔드포인트 설정 및 구성
팁
클라우드 네이티브 엔드포인트에 대해 읽을 때 다음 용어가 표시됩니다.
- 엔드포인트: 엔드포인트는 휴대폰, 태블릿, 노트북 또는 데스크톱 컴퓨터와 같은 디바이스를 말합니다. "엔드포인트" 및 "디바이스"는 동일한 의미로 사용될 수 있습니다.
- 관리형 엔드포인트: MDM 솔루션 또는 그룹 정책 개체를 사용하여 조직에서 정책을 수신하는 엔드포인트입니다. 이 디바이스는 일반적으로 조직 소유이지만 BYOD 또는 개인 소유 디바이스일 수도 있습니다.
- 클라우드 네이티브 엔드포인트: Microsoft Entra에 조인된 엔드포인트입니다. 온-프레미스 AD에 조인되지 않습니다.
- 워크로드: 어떤 프로그램, 서비스 또는 프로세스든 의미할 수 있습니다.
이 가이드에서는 조직에 대한 클라우드 네이티브 Windows 엔드포인트 구성을 만드는 단계를 안내합니다. 클라우드 네이티브 엔드포인트 및 해당 혜택에 대한 개요는 클라우드 네이티브 엔드포인트란?을 참조하세요.
이 기능은 다음에 적용됩니다.
- Windows 클라우드 네이티브 엔드포인트
팁
Microsoft에서 권장하는 표준화된 솔루션을 빌드하려는 경우 클라우드 구성의 Windows에 관심이 있을 수 있습니다. Intune 단계별 시나리오는 클라우드 구성의 Windows 10/11을 참조하세요.
다음 표에서는 이 가이드와 클라우드 구성의 Windows 간의 주요 차이점을 설명합니다.
해결 방법 | 목표 |
---|---|
자습서: 클라우드 네이티브 Windows 엔드포인트 시작 (이 가이드) | Microsoft 권장 설정에 따라 환경에 대한 자체 구성을 만드는 방법을 안내하고 테스트를 시작하는 데 도움이 됩니다. |
클라우드 구성의 Windows | 더 집중된 요구 사항이 있는 최전방, 원격 및 기타 작업자에 대한 Microsoft 모범 사례를 기반으로 미리 빌드된 구성을 만들고 적용하는 단계별 시나리오 환경입니다. |
클라우드 구성의 Windows와 결합된 이 가이드를 사용하여 사전 구축된 경험을 더 많이 사용자 지정할 수 있습니다.
시작하는 방법
클라우드 네이티브 Windows 엔드포인트 구성을 준비하는 데 도움이 되도록 서로를 기반으로 하는 이 가이드의 5가지 순서화된 단계를 사용합니다. 이러한 단계를 순서대로 완료하면 실질적인 진행률이 표시되고 새 디바이스를 프로비전할 준비가 된 것입니다.
단계:
- 1단계 – 환경 설정
- 2단계 – 첫 번째 클라우드 네이티브 Windows 엔드포인트 빌드
- 3단계 - 클라우드 네이티브 Windows 엔드포인트 보호
- 4단계 - 사용자 지정 설정 및 애플리케이션 적용
- 5단계 – Windows Autopilot을 사용하여 대규모로 배포
이 가이드의 끝에는 클라우드 네이티브 Windows 엔드포인트가 사용자 환경에서 테스트를 시작할 준비가 된 것입니다. 시작하기 전에 Microsoft Entra 조인 구현을 계획하는 방법에서 Microsoft Entra 조인 계획 가이드를 확인해 볼 수 있습니다.
1단계 – 환경 설정
첫 번째 클라우드 네이티브 Windows 엔드포인트를 빌드하기 전에 몇 가지 주요 요구 사항 및 구성을 확인해야 합니다. 이 단계에서는 요구 사항을 확인하고, Windows Autopilot을 구성하고, 일부 설정 및 애플리케이션을 만드는 방법을 안내합니다.
1단계 - 네트워크 요구 사항
클라우드 네이티브 Windows 엔드포인트는 여러 인터넷 서비스에 액세스해야 합니다. 열린 네트워크에서 테스트를 시작합니다. 또는 Windows Autopilot 네트워킹 요구 사항에 나열된 모든 엔드포인트에 대한 액세스를 제공한 후 회사 네트워크를 사용합니다.
무선 네트워크에 인증서가 필요한 경우 장치 프로비전을 위한 무선 연결에 가장 적합한 방법을 결정하는 동안 테스트 중에 이더넷 연결로 시작할 수 있습니다.
2단계 - 등록 및 라이선스
Microsoft Entra에 가입하고 Intune에 등록하려면 몇 가지 사항을 확인해야 합니다. Intune MDM 사용자 이름과 같은 새 Microsoft Entra 그룹을 만들 수 있습니다. 그런 다음 특정 테스트 사용자 계정을 추가하고 해당 그룹에서 다음 구성을 각각 대상으로 지정하여 구성을 설정하는 동안 디바이스를 등록할 수 있는 사용자를 제한합니다. Microsoft Entra 그룹을 만들려면 Microsoft Entra 그룹 및 그룹 멤버 자격 관리로 이동합니다.
등록 제한 사항 등록 제한을 사용하면 Intune을 사용하여 관리에 등록할 수 있는 디바이스 유형을 제어할 수 있습니다. 이 가이드를 성공적으로 사용하려면 기본 구성인 Windows(MDM) 등록이 허용되어 있는지 확인합니다.
등록 제한 구성에 대한 자세한 내용을 확인하려면 Microsoft Intune에서 등록 제한 설정으로 이동하세요.
Microsoft Entra Device MDM 설정 Windows 디바이스를 Microsoft Entra에 가입하면 디바이스에 MDM에 자동으로 등록하도록 Microsoft Entra를 구성할 수 있습니다. Windows Autopilot이 작동하려면 이 구성이 필요합니다.
Microsoft Entra Device MDM 설정이 제대로 사용하도록 설정되어 있는지 확인하려면 빠른 시작 - Intune에서 자동 등록 설정으로 이동합니다.
Microsoft Entra 회사 브랜딩 Microsoft Entra에 회사 로고 및 이미지를 추가하면 사용자가 Microsoft 365에 로그인할 때 친숙하고 일관된 모양과 느낌을 볼 수 있습니다. Windows Autopilot이 작동하려면 이 구성이 필요합니다.
Microsoft Entra에서 사용자 지정 브랜딩을 구성하는 방법에 대한 자세한 내용은 조직의 Microsoft Entra 로그인 페이지에 브랜딩 추가를 참조하세요.
라이센스 OOBE(Out Of Box Experience)에서 Intune으로 Windows 디바이스를 등록하는 사용자에게는 두 가지 주요 기능이 필요합니다.
사용자에게는 다음 라이선스가 필요합니다.
- Microsoft Intune 또는 Microsoft Intune for Education 라이선스
- 자동 MDM 등록을 허용하는 다음 옵션 중 하나와 같은 라이선스:
- Microsoft Entra Premium P1
- Microsoft Intune for Education
라이선스를 할당하려면 Microsoft Intune 라이선스 할당으로 이동하세요.
참고
두 가지 유형의 라이선스는 일반적으로 Microsoft 365 E3(또는 A3) 이상과 같은 라이선스 번들에 포함됩니다. 여기에서 M365 라이선스 비교를 봅니다.
3단계 - 테스트 장치 가져오기
클라우드 네이티브 Windows 엔드포인트를 테스트하려면 먼저 가상 머신 또는 물리적 장치를 테스트할 준비를 해야 합니다. 다음 단계에서는 디바이스 세부 정보를 가져와 이 문서의 뒷부분에 사용되는 Windows Autopilot 서비스에 업로드합니다.
참고
다음 단계에서는 테스트용 장치를 가져오는 방법을 제공하지만 파트너 및 OEM은 구매의 일부로 자동으로 장치를 Windows Autopilot으로 가져올 수 있습니다. 5단계에 Windows Autopilot에 대한 자세한 내용이 있습니다.
가상 머신에 Windows(가급적 20H2 이상)를 설치하거나 OOBE 설정 화면에서 대기할 수 있도록 물리적 디바이스를 다시 설정합니다. 가상 컴퓨터의 경우 선택적으로 검사점을 만들 수 있습니다.
인터넷에 연결하는 데 필요한 단계를 완료합니다.
Shift + F10 키보드 조합을 사용하여 명령 프롬프트를 엽니다.
bing.com을 ping하여 인터넷에 액세스할 수 있는지 확인합니다.
ping bing.com
다음 명령을 실행하여 PowerShell로 전환합니다.
powershell.exe
다음 명령을 실행하여 Get-WindowsAutopilotInfo 스크립트를 다운로드합니다.
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
Install-Script Get-WindowsAutopilotInfo
메시지가 표시되면 Y를 입력하여 수락합니다.
다음 명령을 입력합니다.
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
참고
그룹 태그를 사용하면 디바이스의 하위 집합을 기반으로 동적 Microsoft Entra 그룹을 만들 수 있습니다. 디바이스를 가져올 때 그룹 태그를 설정하거나 나중에 Microsoft Intune 관리 센터에서 변경할 수 있습니다. 4단계에서는 그룹 태그 CloudNative를 사용할 것입니다. 테스트에서 태그 이름을 다른 이름으로 설정할 수 있습니다.
자격 증명을 묻는 메시지가 표시되면 Intune 관리자 계정으로 로그인합니다.
2단계까지 컴퓨터를 첫 실행 경험으로 둡니다.
4단계 - 디바이스에 대한 Microsoft Entra 동적 그룹 만들기
이 가이드의 구성을 Windows Autopilot으로 가져오는 테스트 디바이스로 제한하려면 동적 Microsoft Entra 그룹을 만듭니다. 이 그룹에는 Windows Autopilot으로 가져오고 그룹 태그 CloudNative가 있는 장치가 자동으로 포함되어야 합니다. 그런 다음 이 그룹에서 모든 구성 및 응용 프로그램을 대상으로 할 수 있습니다.
그룹>새 그룹을 선택합니다. 다음 세부 정보를 입력합니다.
- 그룹 유형: 보안을 선택합니다.
- 그룹 이름: Autopilot Cloud-Native Windows 엔드포인트를 입력합니다.
- 멤버 자격 유형: 동적 디바이스를 선택합니다.
동적 쿼리 추가를 선택합니다.
규칙 구문 섹션에서 편집을 선택합니다.
다음 텍스트를 붙여넣습니다.
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))
만들기저장>확인을> 선택합니다.
팁
동적 그룹은 변경 후 채워지는 데 몇 분 정도 걸립니다. 대규모 조직에서는 훨씬 오래 걸릴 수 있습니다. 새 그룹을 만들고 몇 분 정도 기다렸다가 장치가 이제 그룹의 구성원이 됐는지 확인합니다.
장치의 동적 그룹에 대한 자세한 내용을 확인하려면 장치에 대한 규칙으로 이동하세요.
5단계 - 등록 상태 페이지 구성
ESP(등록 상태 페이지)는 IT 전문가가 엔드포인트 프로비전 중에 최종 사용자 환경을 제어하는 데 사용하는 메커니즘입니다. 등록 상태 페이지 설정을 참조하세요. 등록 상태 페이지의 범위를 제한하려면 새 프로필을 만들고 이전 단계인 디바이스에 대한 Microsoft Entra 동적 그룹 만들기에서 만든 Autopilot Cloud-Native Windows 엔드포인트 그룹을 대상으로 지정할 수 있습니다.
- 테스트를 위해 다음 설정을 권장하지만 필요한 경우 자유롭게 조정할 수 있습니다.
- 앱 및 프로필 구성 진행률 표시 - 예
- OOBE(첫 실행 경험)에서 프로비전한 장치에만 페이지 표시 - 예(기본값)
6단계 - Windows Autopilot 프로필 만들기 및 할당
이제 Windows Autopilot 프로필을 만들어 테스트 장치에 할당할 수 있습니다. 이 프로필은 디바이스에 Microsoft Entra 조인을 지시하고 OOBE 중에 적용할 설정을 알려줍니다.
디바이스 디바이스>온보딩>등록>Windows>Windows Autopilot>배포 프로필을 선택합니다.
프로필 만들기>Windows PC를 선택합니다.
Autopilot 클라우드 네이티브 Windows 엔드포인트 이름을 입력한 후 다음을 선택합니다.
기본 설정을 검토하고 그대로 두고 다음을 선택합니다.
범위 태그를 그대로 두고 다음을 선택합니다.
Windows 엔드포인트에서 Autopilot Cloud-Native 만든 Microsoft Entra 그룹에 프로필을 할당하고 다음을 선택한 다음 만들기를 선택합니다.
7단계 - Windows Autopilot 장치 동기화
Windows Autopilot 서비스는 하루에 여러 번 동기화됩니다. 장치를 테스트할 준비가 될 수 있도록 동기화를 즉시 트리거할 수도 있습니다. 즉시 동기화하는 경우:
디바이스 디바이스>온보딩>등록>Windows>Windows Autopilot>디바이스를 선택합니다.
동기화를 선택합니다.
동기화는 몇 분 정도 걸리며 백그라운드에서 계속됩니다. 동기화가 완료되면 가져온 장치의 프로필 상태가 할당된으로 표시됩니다.
8단계 - 최적의 Microsoft 365 환경을 위한 설정 구성
구성할 몇 가지 설정을 선택했습니다. 이러한 설정은 Windows 클라우드 네이티브 디바이스에서 최적의 Microsoft 365 최종 사용자 환경을 보여 줍니다. 이러한 설정은 장치 구성 설정 카탈로그 프로필을 사용하여 구성됩니다. 자세한 내용을 확인하려면 Microsoft Intun에서 설정 카탈로그를 사용하여 정책 만들기로 이동하세요.
프로필을 만들고 설정을 추가한 후 이전에 만든 Autopilot Cloud-Native Windows 엔드포인트 그룹에 프로필을 할당합니다.
Microsoft Outlook Microsoft Outlook의 첫 실행 환경을 개선하기 위해 다음 설정은 Outlook을 처음 열 때 프로필을 자동으로 구성합니다.
- Microsoft Outlook 2016\계정 설정\Exchange(사용자 설정)
- Active Directory 기본 SMTP 주소에 따라 첫 번째 프로필만 자동으로 구성 - 사용
- Microsoft Outlook 2016\계정 설정\Exchange(사용자 설정)
Microsoft Edge Microsoft Edge의 첫 번째 실행 환경을 개선하기 위해 다음 설정은 사용자의 설정을 동기화하고 첫 번째 실행 환경을 건너뛰도록 Microsoft Edge를 구성합니다.
- Microsoft Edge
- 첫 실행 환경 및 시작 화면 숨기기 - 사용
- 브라우저 데이터를 강제로 동기화하고 동기화 동의 프롬프트를 표시하지 안 함 - 사용
- Microsoft Edge
Microsoft OneDrive
첫 번째 로그인 환경을 개선하기 위해 다음 설정은 자동으로 로그인하고 데스크톱, 사진 및 문서를 OneDrive로 리디렉션하도록 Microsoft OneDrive를 구성합니다. FOD(요청 기반 파일)도 권장됩니다. 기본적으로 사용하도록 설정되며 다음 목록에 포함되지 않습니다. OneDrive 동기화 앱의 권장 구성에 대한 자세한 내용은 Microsoft OneDrive의 권장 동기화 앱 구성으로 이동하세요.
OneDrive
- Windows 자격 증명으로 OneDrive 동기화 앱에 자동으로 로그인 - 사용
- Windows의 알려진 폴더를 OneDrive로 자동 이동 - 사용
참고
자세한 내용을 확인하려면 알려진 폴더 리디렉션으로 이동하세요.
다음 스크린샷은 제안된 각 설정이 구성된 설정 카탈로그 프로필의 예를 보여줍니다.
9단계 - 일부 애플리케이션 만들기 및 할당
클라우드 네이티브 엔드포인트에는 일부 애플리케이션이 필요합니다. 시작하려면 다음 응용 프로그램을 구성하고 이전에 만든 Autopilot 클라우드 네이티브 Windows 엔드포인트 그룹에서 해당 응용 프로그램을 대상으로 지정하는 것이 좋습니다.
Microsoft 365 앱 (이전의 Office 365 ProPlus) Word, Excel 및 Outlook과 같은 Microsoft 365 앱은 Intune의 Windows 앱 프로필용 기본 제공 Microsoft 365 앱을 사용하여 디바이스에 쉽게 배포할 수 있습니다.
- XML이 아닌 설정 형식에 구성 디자이너를 선택합니다.
- 업데이트 채널에 현재 채널을 선택합니다.
Microsoft 365 앱을 배포하려면 Microsoft Intune을 사용하여 Windows 장치에 Microsoft 365 앱 추가로 이동하세요.
회사 포털 앱 필수 애플리케이션으로 모든 디바이스에 Intune 회사 포털 앱을 배포하는 것이 좋습니다. 회사 포털 앱은 Intune, Microsoft Store 및 Configuration Manager와 같은 여러 원본에서 애플리케이션을 설치하는 데 사용하는 사용자를 위한 셀프 서비스 허브입니다. 또한 사용자는 회사 포털 앱을 사용하여 디바이스를 Intune과 동기화하고, 규정 준수 상태 등을 확인합니다.
필요에 따라 회사 포털 을 배포하려면 Intune 관리 디바이스용 Windows 회사 포털 앱 추가 및 할당을 참조하세요.
Microsoft Store 앱 (화이트보드) Intune은 다양한 앱을 배포할 수 있지만 이 가이드의 작업을 간단하게 유지하기 위해 Microsoft Whiteboard(스토어 앱)를 배포합니다. Microsoft Intune에 Microsoft Store 앱 추가의 단계에 따라 Microsoft Whiteboard를 설치합니다.
2단계 - 클라우드 네이티브 Windows 엔드포인트 빌드
첫 번째 클라우드 네이티브 Windows 엔드포인트를 빌드하려면 1 > 단계 3단계에서 수집한 것과 동일한 가상 머신 또는 물리적 디바이스를 사용한 다음, Windows Autopilot 서비스에 하드웨어 해시를 업로드합니다. 이 장치를 사용하여 Windows Autopilot 프로세스를 진행합니다.
OOBE(첫 실행 경험)로 Windows PC 다시 시작(또는 필요한 경우 초기화)합니다.
참고
개인 또는 조직에 대한 설정을 선택하라는 메시지가 표시되면 Autopilot 프로세스가 트리거되지 않았습니다. 이 경우 장치를 다시 시작하고 인터넷에 액세스할 수 있도록 합니다. 그래도 작동하지 않는 경우 PC를 다시 설정하거나 Windows를 다시 설치해 보세요.
Microsoft Entra 자격 증명(UPN 또는 AzureAD\username)으로 로그인합니다.
등록 상태 페이지에는 디바이스 구성의 상태가 표시됩니다.
축하합니다! 첫 번째 클라우드 네이티브 Windows 엔드포인트를 프로비전했습니다.
새 클라우드 네이티브 Windows 엔드포인트에서 확인할 몇 가지 사항:
OneDrive 폴더가 리디렉션됩니다. Outlook이 열리면 Office 365에 연결하도록 자동으로 구성됩니다.
시작 메뉴에서회사 포털 앱을 열고 Microsoft Whiteboard를 설치할 수 있습니다.
장치에서 파일 공유, 프린터 및 인트라넷 사이트와 같은 온-프레미스 리소스로의 액세스를 테스트하는 것이 좋습니다.
참고
비즈니스용 Windows Hello 하이브리드를 설정하지 않은 경우 Windows Hello 로그온에서 온-프레미스 리소스에 액세스하기 위한 암호를 입력하라는 메시지가 표시될 수 있습니다. Single Sign-On 액세스를 계속 테스트하려면 비즈니스용 Windows Hello 하이브리드를 구성하거나 Windows Hello가 아닌 사용자 이름 및 암호를 사용하여 장치에 로그온할 수 있습니다. 이렇게하려면 로그온 화면에서 키 모양 아이콘을 선택합니다.
3단계 – 클라우드 네이티브 Windows 엔드포인트 보호
이 단계는 조직의 보안 설정을 구축하는 데 도움이 되도록 고안되었습니다. 이 섹션에서는 다음을 비롯한 Microsoft Intune의 다양한 엔드포인트 보안 구성 요소에 주의를 기울입니다.
- MDAV(Microsoft Defender 바이러스 백신)
- Microsoft Defender 방화벽
- BitLocker 암호화
- WINDOWS LAPS(로컬 관리자 암호 솔루션)
- 보안 기준
- 비즈니스용 Windows 업데이트
MDAV(Microsoft Defender 바이러스 백신)
다음 설정은 Windows의 기본 제공 OS 구성 요소인 Microsoft Defender 바이러스 백신에 대한 최소 구성으로 권장됩니다. 이러한 설정에는 E3 또는 E5와 같은 특정 라이선스 계약이 필요하지 않으며 Microsoft Intune 관리 센터에서 사용하도록 설정할 수 있습니다. 관리 센터에서 엔드포인트 보안>바이러스> 백신정책> 만들기Windows 이상>프로필 유형 = Microsoft Defender 바이러스 백신으로 이동합니다.
클라우드 보호:
- 클라우드 제공 보호 켜기: 예
- 클라우드 제공 보호 수준: 구성되지 않음
- Defender 클라우드 확장 시간 제한(초): 50
실시간 보호:
- 실시간 보호 켜기: 예
- 액세스 보호 사용: 예
- 들어오고 나가는 파일 모니터링: 모든 파일 모니터링
- 동작 모니터링 켜기: 예
- 침입 방지 켜기: 예
- 네트워크 보호 사용: 사용
- 다운로드한 파일 및 첨부 파일 모두 검사: 예
- Microsoft 브라우저에서 사용되는 스크립트 검사: 예
- 네트워크 파일 검사: 구성되지 않음
- 전자 메일 검사: 예
수정:
- 격리된 맬웨어를 보관할 일수(0~90): 30
- 샘플 동의 제출: 안전한 샘플 자동으로 보내기
- 사용자 동의 없이 설치된 앱에 수행할 작업: 사용
- 검색된 위협에 대한 작업: 구성
- 낮은 위협: 격리
- 보통 위협: 격리
- 높은 위협: 격리
- 심각한 위협: 격리
Endpoint Security 내의 MDAV 프로필에 구성된 설정:
고객의 E3 및 E5 라이선스를 위한 엔드포인트용 Microsoft Defender를 비롯한 Windows Defender 구성에 대한 자세한 내용은 다음을 참조하세요.
Microsoft Defender 방화벽
Microsoft Intune의 Endpoint Security를 사용하여 방화벽 및 방화벽 규칙을 구성합니다. 자세한 내용을 확인하려면 Intune에서 엔드포인트 보안을 위한 방화벽 정책으로 이동하세요.
Microsoft Defender 방화벽은 NetworkListManager CSP를 사용하여 신뢰할 수 있는 네트워크를 검색할 수 있습니다. 또한 다음 OS 버전을 실행하는 엔드포인트에서 도메인 방화벽 프로필로 전환할 수 있습니다.
- Windows 11 22H2
- 2022-12 누적 업데이트가 포함된 Windows 11 21H2
- 2022-12 누적 업데이트가 포함된 Windows 10 20H2 이상
도메인 네트워크 프로필을 사용하면 신뢰할 수 있는 네트워크, 프라이빗 네트워크 및 공용 네트워크를 기반으로 방화벽 규칙을 구분할 수 있습니다. 이러한 설정은 Windows 사용자 지정 프로필을 사용하여 적용할 수 있습니다.
참고
Microsoft Entra 조인 엔드포인트는 LDAP를 활용하여 도메인 가입 엔드포인트와 동일한 방식으로 도메인 연결을 검색할 수 없습니다. 대신 NetworkListManager CSP 를 사용하여 액세스 가능한 경우 엔드포인트를 도메인 방화벽 프로필로 전환할 TLS 엔드포인트를 지정합니다.
BitLocker 암호화
Microsoft Intune에서 Endpoint Security를 사용하여 BitLocker로 암호화를 구성합니다.
- BitLocker 관리에 대한 자세한 내용을 확인하려면 Intune에서 BitLocker를 사용하여 Windows 10/11 장치 암호화로 이동하세요.
- Microsoft Intune에서 BitLocker 사용에서 BitLocker에 대한 블로그 시리즈를 확인하세요.
이러한 설정은 Microsoft Intune 관리 센터에서 사용하도록 설정할 수 있습니다. 관리 센터에서 엔드포인트 보안>디스크 암호화>관리>정책>만들기 Windows 이상>프로필 = BitLocker로 이동합니다.
다음 BitLocker 설정을 구성할 때 표준 사용자에 대해 자동으로 128비트 암호화를 사용하도록 설정하며 이는 일반적인 시나리오입니다. 그러나 조직에는 다른 보안 요구 사항이 있을 수 있으므로 BitLocker 설명서를 사용하여 더 많은 설정을 확인하세요.
BitLocker – 기본 설정:
- OS 및 고정 데이터 드라이브에 대해 전체 디스크 암호화 사용: 예
- 저장소 카드를 암호화해야 함(모바일만 해당): 구성되지 않음
- 타사 암호화에 대한 프롬프트 숨기기: 예
- 표준 사용자가 Autopilot 중에 암호화를 사용하도록 허용: 예
- 클라이언트 기반 복구 암호 회전 구성: Microsoft Entra 조인 디바이스에서 회전 사용
BitLocker – 고정 드라이브 설정:
- BitLocker 고정 드라이브 정책: 구성
- 고정 드라이브 복구: 구성
- 복구 키 파일 만들기: 차단
- BitLocker 복구 패키지 구성: 암호 및 키
- 장치에서 복구 정보를 Azure AD에 백업: 예
- 복구 암호 만들기: 허용
- BitLocker 설치 중에 복구 옵션 숨기기: 구성되지 않음
- 복구 정보 저장 후 BitLocker 활성화: 구성되지 않음
- 인증서 기반 DRA(데이터 복구 에이전트) 사용 차단: 구성되지 않음
- BitLocker로 보호되지 않는 고정 데이터 드라이브에 대한 쓰기 액세스 차단: 구성되지 않음
- 고정 데이터 드라이브에 대한 암호화 방법 구성: 구성되지 않음
BitLocker – OS 드라이브 설정:
- BitLocker 시스템 드라이브 정책: 구성
- 시작 인증 필요: 예
- 호환되는 TPM 시작: 필수
- 호환 가능한 TPM 시작 PIN: 차단
- 호환 가능한 TPM 시작 키: 차단
- 호환 가능한 TPM 시작 키 및 PIN: 차단
- TPM이 호환되지 않는 장치에서 BitLocker 사용 안 함: 구성되지 않음
- 사전 부트 복구 메시지 및 URL 사용: 구성되지 않음
- 시스템 드라이브 복구: 구성
- 복구 키 파일 만들기: 차단
- BitLocker 복구 패키지 구성: 암호 및 키
- 장치에서 복구 정보를 Azure AD에 백업: 예
- 복구 암호 만들기: 허용
- BitLocker 설치 중에 복구 옵션 숨기기: 구성되지 않음
- 복구 정보 저장 후 BitLocker 활성화: 구성되지 않음
- 인증서 기반 DRA(데이터 복구 에이전트) 사용 차단: 구성되지 않음
- 최소 PIN 길이: 비워 두기
- 운영 체제 드라이브에 대한 암호화 방법 구성: 구성되지 않음
BitLocker – 이동식 드라이브 설정:
- BitLocker 이동식 드라이브 정책: 구성
- 이동식 데이터 드라이브에 대한 암호화 방법 구성: 구성되지 않음
- BitLocker로 보호되지 않는 이동식 데이터 드라이브에 대한 쓰기 액세스 차단: 구성되지 않음
- 다른 조직에 구성된 장치에 대한 쓰기 액세스 차단: 구성되지 않음
WINDOWS LAPS(로컬 관리자 암호 솔루션)
기본적으로 기본 제공 로컬 관리자 계정(잘 알려진 SID S-1-5-500)은 사용하지 않도록 설정됩니다. 문제 해결, 최종 사용자 지원 및 디바이스 복구와 같이 로컬 관리자 계정이 유용할 수 있는 몇 가지 시나리오가 있습니다. 기본 제공 관리자 계정을 사용하도록 설정하거나 새 로컬 관리자 계정을 만들기로 결정한 경우 해당 계정의 암호를 보호하는 것이 중요합니다.
LAPS(Windows 로컬 관리자 암호 솔루션)는 Microsoft Entra에 암호를 임의로 저장하고 안전하게 저장하는 데 사용할 수 있는 기능 중 하나입니다. Intune을 MDM 서비스로 사용하는 경우 다음 단계를 사용하여 Windows LAPS를 사용하도록 설정합니다.
중요
Windows LAPS는 이름이 변경되었거나 다른 로컬 관리자 계정을 만드는 경우에도 기본 로컬 관리자 계정이 사용하도록 설정되어 있다고 가정합니다. Windows LAPS는 로컬 계정을 만들거나 사용하도록 설정하지 않습니다.
Windows LAPS 구성과 별도로 로컬 계정을 만들거나 사용하도록 설정해야 합니다. 이 작업을 스크립팅하거나 계정 CSP 또는 정책 CSP와 같은 CSP (구성 서비스 공급자)를 사용할 수 있습니다.
Windows 10(20H2 이상) 또는 Windows 11 디바이스에 2023년 4월 이상 보안 업데이트가 설치되어 있는지 확인합니다.
자세한 내용은 Microsoft Entra 운영 체제 업데이트를 참조하세요.
Microsoft Entra에서 Windows LAPS 사용:
- Microsoft Entra에 로그인합니다.
- LAPS(로컬 관리자 암호 솔루션) 사용 설정에서 예>저장(페이지 맨 위)을 선택합니다.
Intune에서 엔드포인트 보안 정책을 만듭니다.
- Microsoft Intune 관리 센터에 로그인합니다.
- Endpoint Security>Account Protection>정책>만들기 Windows 10 이상>로컬 관리자 암호 솔루션(Windows LAPS)>만들기를 선택합니다.
자세한 내용은 Intune에서 LAPS 정책 만들기를 참조하세요.
보안 기준
보안 기준을 사용하여 Windows 엔드포인트의 보안을 강화하는 것으로 알려진 구성 집합을 적용할 수 있습니다. 보안 기준에 대한 자세한 내용울 확인하려면 Intune에 대한 Windows MDM 보안 기준 설정으로 이동하세요.
기준은 제안된 설정을 사용하여 적용하고 요구 사항에 따라 사용자 지정될 수 있습니다. 기준 내의 일부 설정으로 인해 예기치 않은 결과가 발생하거나 Windows 엔드포인트에서 실행되는 앱 및 서비스와 호환되지 않을 수 있습니다. 따라서 기준은 격리된 상태로 테스트해야 합니다. 다른 구성 프로필 또는 설정 없이 테스트 엔드포인트의 선택적 그룹에만 기준을 적용합니다.
보안 기준 알려진 문제
Windows 보안 기준의 다음 설정은 Windows Autopilot 또는 표준 사용자로 앱을 설치하는 데 문제가 발생할 수 있습니다.
- 로컬 정책 보안 옵션\관리자 권한 상승 프롬프트 동작(기본값 = 보안 데스크톱에서 동의 요청)
- 표준 사용자 권한 상승 프롬프트 동작(기본값 = 자동 권한 상승 요청 거부)
자세한 내용은 Windows Autopilot과의 정책 충돌 문제 해결을 참조하세요.
비즈니스용 Windows 업데이트
비즈니스용 Windows 업데이트 는 디바이스에 업데이트를 설치하는 방법과 시기를 제어하는 클라우드 기술입니다. Intune에서 비즈니스용 Windows 업데이트는 다음을 사용하여 구성할 수 있습니다.
자세한 내용을 보려면 다음으로 이동하세요.
- Microsoft Intune에서 비즈니스용 Windows 업데이트를 사용하는 방법에 대해 알아보기
- Intune for Education Deployment Workshop 비디오 시리즈의 모듈 4.2 - 비즈니스용 Windows 업데이트 기본 사항
Windows 업데이트에 대한 보다 세부적인 제어를 원하는 경우 Configuration Manager를 사용하는 경우 공동 관리를 고려하세요.
4단계 – 사용자 지정 적용 및 온-프레미스 구성 검토
이 단계에서는 조직별 설정, 앱을 적용하고 온-프레미스 구성을 검토합니다. 이 단계는 조직과 관련된 모든 사용자 지정을 빌드하는 데 도움이 됩니다. Windows의 다양한 구성 요소, 온-프레미스 AD 그룹 정책 환경에서 기존 구성을 검토하고 클라우드 네이티브 엔드포인트에 적용하는 방법을 확인하세요. 다음 분야 각각에 대한 섹션이 있습니다.
- Microsoft Edge
- 시작 및 작업 표시줄 레이아웃
- 설정 카탈로그
- 장치 제한
- 배달 최적화
- 로컬 관리자
- MDM 설정 마이그레이션에 대한 그룹 정책
- 스크립트
- 네트워크 드라이브 및 프린터 매핑
- 응용 프로그램
Microsoft Edge
Microsoft Edge 배포
Microsoft Edge는 다음을 실행하는 장치에 포함됩니다.
- Windows 11
- Windows 10 20H2 이상
- 2021년 5월 이후 누적 월별 보안 업데이트가 포함된 Windows 10 1803 이상 버전.
사용자가 로그인하면 Microsoft Edge가 자동으로 업데이트됩니다. 배포하는 동안 Microsoft Edge 업데이트를 트리거하기 위해 다음 명령을 실행할 수 있습니다.
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
이전 버전의 Windows에 Microsoft Edge를 배포하려면 Microsoft Intune에 Windows용 Microsoft Edge 추가로 이동하세요.
Microsoft Edge 구성
사용자가 Microsoft 365 자격 증명으로 로그인할 때 적용되는 Microsoft Edge 환경의 두 구성 요소는 Microsoft 365 관리 센터에서 구성할 수 있습니다.
Microsoft Edge 시작 페이지 로고는 Microsoft 365 관리 센터 내에서 조직 섹션을 구성하여 사용자 지정할 수 있습니다. 자세한 내용을 확인하려면 조직의 Microsoft 365 테마 사용자 지정으로 이동하세요.
Microsoft Edge의 기본 새 탭 페이지 환경에는 Office 365 정보 및 개인 설정된 뉴스가 포함됩니다. 이 페이지가 표시되는 방법은 설정>조직 설정>뉴스>Microsoft Edge 새 탭 페이지의 Microsoft 365 관리 센터에서 사용자 지정할 수 있습니다.
설정 카탈로그 프로필을 사용하여 Microsoft Edge 다른 설정을 지정할 수도 있습니다. 예를 들어 조직에 대한 특정 동기화 설정을 구성할 수 있습니다.
-
Microsoft Edge
- 동기화에서 제외되는 유형 목록 구성 - 암호
시작 및 작업 표시줄 레이아웃
Intune을 사용하여 표준 시작 및 작업 표시줄 레이아웃을 사용자 지정하고 설정할 수 있습니다.
Windows 10:
- 시작 및 작업 표시줄 사용자 지정에 대한 자세한 내용을 확인하려면 Windows 시작 및 작업 표시줄 레이아웃 관리(Windows)로 이동하세요.
- 시작 및 작업 표시줄 레이아웃을 만들려면 시작 레이아웃 사용자 지정 및 내보내기(Windows)로 이동하세요.
레이아웃을 만든 후에는 장치 제한 프로필을 구성하여 Intune에 업로드할 수 있습니다. 설정은 시작 범주 아래에 있습니다.
Windows 11:
- 시작 메뉴 레이아웃을 만들고 적용하려면 Windows 11에서 시작 메뉴 레이아웃 사용자 지정으로 이동하세요.
- 작업 표시줄 레이아웃을 만들고 적용하려면 Windows 11에서 작업 표시줄 사용자 지정으로 이동하세요.
설정 카탈로그
설정 카탈로그는 구성 가능한 모든 Windows 설정이 나열되는 단일 위치입니다. 이 기능은 정책을 만드는 방법 및 사용 가능한 모든 설정을 표시하는 방법을 간소화합니다. 자세한 내용을 확인하려면 Microsoft Intun에서 설정 카탈로그를 사용하여 정책 만들기로 이동하세요.
참고
일부 설정은 카탈로그에서 사용할 수 없지만 Intune 디바이스 구성 프로필용 템플릿에서 사용할 수 있습니다.
그룹 정책에서 익숙한 대부분의 설정은 설정 카탈로그에서 이미 사용할 수 있습니다. 자세한 내용을 확인하려면 모바일 장치 관리의 그룹 정책 설정 패리티의 최신 항목으로 이동하세요.
ADMX 템플릿 또는 설정 카탈로그(권장)를 활용하려는 경우 Windows 10 버전 2004 이상용 2021년 9월 '패치 화요일' 업데이트(KB5005565)로 장치를 업데이트해야 합니다. 이 월별 업데이트에는 1,400개 이상의 그룹 정책 설정을 MDM에 가져오는 KB5005101이 포함되어 있습니다. 이 업데이트를 적용하지 않으면 Intune 관리 센터의 설정과 함께 '해당 없음' 메시지가 표시됩니다. 처음에는 Windows의 Enterprise 및 Edu 버전에만 적용할 수 있지만, 2022년 5월부터 이러한 추가 설정은 이제 pro 버전의 Windows 10/11에서도 작동합니다. pro 버전의 Windows 10/11을 사용하는 경우 모바일 장치 관리 그룹 정책 설정 패리티의 최신 버전에 설명된 대로 Windows 11에서 Windows 10 및 KB5013943 이상에 KB5013942 이상을 설치해야 합니다.
다음은 조직과 관련이 있을 수 있는 설정 카탈로그에서 사용할 수 있는 몇 가지 설정입니다.
Azure Active Directory 기본 테넌트 도메인 이 설정은 사용자의 사용자 이름에 추가할 기본 테넌트 도메인 이름을 구성합니다. 기본 테넌트 도메인을 사용하면 사용자의 도메인 이름이 기본 테넌트 도메인과 일치하는 한 사용자가 전체 UPN이 아닌 사용자 이름으로만 Microsoft Entra 엔드포인트에 로그인할 수 있습니다. 다른 도메인 이름이 있는 사용자의 경우 전체 UPN을 입력할 수 있습니다.
이 설정은 다음에서 찾을 수 있습니다.
- 인증
- 기본 AAD 테넌트 도메인 이름 -
contoso.onmicrosoft.com
과(와) 같은 도메인 이름을 지정합니다.
- 기본 AAD 테넌트 도메인 이름 -
- 인증
Windows 추천 기본적으로 Windows의 여러 소비자 기능을 사용하도록 설정하면 선택한 스토어 앱이 설치되고 잠금 화면에 타사 제안이 표시됩니다. 설정 카탈로그의 환경 섹션을 사용하여 이를 제어할 수 있습니다.
- 환경
- Windows 소비자 기능 허용 - 차단
- Windows 추천에서 타사 제안 허용(사용자) - 차단
- 환경
Microsoft Store 조직은 일반적으로 엔드포인트에 설치할 수 있는 애플리케이션을 제한하려고 합니다. 조직이 Microsoft Store에서 설치할 수 있는 응용 프로그램을 제어하려는 경우 이 설정을 사용합니다. 이 설정은 승인되지 않은 경우 사용자가 애플리케이션을 설치할 수 없도록 합니다.
- Microsoft App Store
개인 저장소만 필요 - 개인 저장소만 사용하도록 설정
참고
이 설정은 Windows 10에 적용됩니다. Windows 11에서 이 설정은 공용 Microsoft 스토어에 대한 액세스를 차단합니다. 개인 저장소가 Windows 11에 제공됩니다. 자세한 내용을 보려면 다음으로 이동하세요.
- Microsoft App Store
게임 차단 조직에서는 회사 엔드포인트를 사용하여 게임을 플레이할 수 없도록 할 수 있습니다. 다음 설정을 사용하여 설정 앱 내의 게임 페이지를 완전히 숨길 수 있습니다. 설정 페이지 표시 여부에 대한 자세한 내용을 확인하려면 CSP 설명서 및 ms-settings URI 스키마 참조로 이동하세요.
- 설정
- 페이지 표시 여부 목록 – hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame
- 설정
작업 표시줄의 채팅 아이콘 표시 유형 제어 Windows 11 작업 표시줄의 채팅 아이콘 가시성은 정책 CSP를 사용하여 제어할 수 있습니다.
- 환경
- 채팅 구성 아이콘 - 사용 안 함
- 환경
Teams 데스크톱 클라이언트가 로그인할 수 있는 테넌트 제어
이 정책이 디바이스에 구성된 경우 사용자는 이 정책에 정의된 "테넌트 허용 목록"에 포함된 Microsoft Entra 테넌트 내의 계정으로만 로그인할 수 있습니다. "테넌트 허용 목록"은 Microsoft Entra 테넌트 ID의 쉼표로 구분된 목록입니다. 이 정책을 지정하고 Microsoft Entra 테넌트도 정의하여 개인 용도로 Teams에 로그인하는 것을 차단합니다. 자세한 내용을 확인하려면 데스크톱 장치에서 로그인을 제한하는 방법으로 이동하세요.
- 관리 템플릿 \ Microsoft Teams
- 특정 테넌트(사용자)의 계정으로 Teams에 로그인 제한 - 사용
- 관리 템플릿 \ Microsoft Teams
장치 제한
Windows 장치 제한 템플릿에는 Windows CSP(구성 서비스 공급자)를 사용하여 Windows 엔드포인트를 보호하고 관리하는 데 필요한 많은 설정이 포함되어 있습니다. 이러한 설정은 시간이 지남에 따라 설정 카탈로그에서 더 많이 사용할 수 있습니다. 자세한 내용을 확인하려면 장치 제한으로 이동하세요.
디바이스 제한 템플릿을 사용하는 프로필을 만들려면 Microsoft Intune 관리 센터에서디바이스>관리 디바이스>구성> 새로만들기>정책> 플랫폼용Windows 10 이상에서 프로필 유형에 대한 >디바이스 제한 사항 선택으로 이동합니다.
바탕 화면 배경 그림 URL(데스크톱에만 해당) Windows Enterprise 또는 Windows Education SKU에 배경 화면을 설정하려면 이 설정을 사용합니다. 온라인으로 파일을 호스트하거나 로컬로 복사된 파일을 참조합니다. 이 설정을 구성하려면 장치 제한 프로필의 구성 설정 탭에서 개인 설정을 확장하고 데스크톱 배경 사진 URL(데스크톱 전용)을 구성합니다.
디바이스를 설정하는 동안 사용자가 네트워크에 연결하도록 요구 이 설정은 컴퓨터가 다시 설정되면 디바이스가 Windows Autopilot을 건너뛸 수 있는 위험을 줄입니다. 이 설정을 사용하려면 기본 제공 환경 단계에서 장치에 네트워크 연결이 필요합니다. 이 설정을 구성하려면 장치 제한 프로필의 구성 설정 탭에서 일반을 확장하고 장치를 설정하는 동안 사용자가 네트워크에 연결해야 함을 구성합니다.
참고
이 설정은 다음에 장치를 초기화하거나 재설정할 때 적용됩니다.
배달 최적화
배달 최적화는 여러 엔드포인트 간에 지원되는 패키지를 다운로드하는 작업을 공유하여 대역폭 사용을 줄이는 데 사용됩니다. 배달 최적화는 클라이언트가 네트워크의 피어와 같은 대체 원본에서 해당 패키지를 다운로드할 수 있도록 하는 자체 구성 분산 캐시입니다. 이러한 피어 원본은 기존의 인터넷 기반 서버를 보완합니다. 배달 최적화에 사용할 수 있는 모든 설정과 Windows 업데이트용 배달 최적화에서 지원되는 다운로드 유형을 확인할 수 있습니다.
배달 최적화 설정을 적용하려면 Intune 배달 최적화 프로필 또는 설정 카탈로그 프로필을 생성합니다.
조직에서 일반적으로 사용하는 몇 가지 설정은 다음과 같습니다.
- 피어 선택 제한 - 서브넷. 이 설정은 피어 캐싱을 동일한 서브넷의 컴퓨터로 제한합니다.
- 그룹 ID. 배달 최적화 클라이언트는 동일한 그룹의 장치와만 콘텐츠를 공유하도록 구성할 수 있습니다. 그룹 ID는 정책을 통해 GUID를 보내거나 DHCP 범위의 DHCP 옵션을 사용하여 직접 구성할 수 있습니다.
Microsoft Configuration Manager를 사용하는 고객은 배달 최적화 콘텐츠를 호스트하는 데 사용할 수 있는 연결된 캐시 서버를 배포할 수 있습니다. 자세한 내용을 확인하려면 Configuration Manager의 Microsoft 연결된 캐시로 이동하세요.
로컬 관리자
모든 Microsoft Entra 조인 Windows 디바이스에 대한 로컬 관리자 액세스 권한이 필요한 사용자 그룹이 하나만 있는 경우 Microsoft Entra 조인 디바이스 로컬 관리자에 추가할 수 있습니다.
IT 기술 지원팀 또는 다른 지원 담당자가 선택한 장치 그룹에 대해 로컬 관리자 권한을 가지도록 요구할 수 있습니다. Windows 2004 이상에서는 다음 CSP(구성 서비스 공급자)를 사용하여 이 요구 사항을 충족할 수 있습니다.
- Windows 10 20H2 이상이 필요한 로컬 사용자 및 그룹 CSP를 사용하는 것이 좋습니다.
- Windows 10 20H1(2004)이 있는 경우 제한된 그룹 CSP(업데이트 작업 없음, 바꾸기만)를 사용합니다.
- Windows 10 20H1(2004) 이전의 Windows 버전에서는 그룹을 사용할 수 없으며 개별 계정만 사용할 수 있습니다.
자세한 내용은 Microsoft Entra 조인 디바이스에서 로컬 관리자 그룹을 관리하는 방법을 참조하세요.
그룹 정책을 MDM 설정 마이그레이션으로
그룹 정책 클라우드 네이티브 장치 관리로의 마이그레이션을 고려할 때 장치 구성을 만드는 몇 가지 옵션이 있습니다.
- 새로 시작하고 필요에 따라 사용자 지정 설정을 적용합니다.
- 기존 그룹 정책을 검토하고 필요한 설정을 적용합니다. 그룹 정책 분석과 같은 도구를 사용하여 도움을 줄 수 있습니다.
- 그룹 정책 분석을 사용하여 지원되는 설정에 대한 디바이스 구성 프로필을 직접 만듭니다.
클라우드 네이티브 Windows 엔드포인트로의 전환은 최종 사용자 컴퓨팅 요구 사항을 검토하고 미래를 위한 새 구성을 설정할 수 있는 기회를 나타냅니다. 가능한 경우 최소한의 정책 집합으로 새로 시작합니다. 도메인에 조인된 환경이나 Windows 7 또는 Windows XP와 같은 이전 운영 체제에서 불필요한 설정이나 레거시 설정을 전달하지 마세요.
새로 시작하려면 현재 요구 사항을 검토하고 이러한 요구 사항에 맞게 최소한의 설정 컬렉션을 구현합니다. 요구 사항에는 최종 사용자 환경을 개선하기 위한 규정 또는 필수 보안 설정과 설정이 포함될 수 있습니다. 비즈니스는 IT가 아닌 요구 사항 목록을 만듭니다. 모든 설정을 문서화하고 이해하며 목적에 맞아야 합니다.
기존 그룹 정책에서 MDM(Microsoft Intune)으로 설정을 마이그레이션하는 것이 기본 방법이 아닙니다. 클라우드 네이티브 Windows로 전환할 때 기존 그룹 정책 설정을 리프트 앤 시프트하지 않아야 합니다. 대신 대상 그룹과 필요한 설정을 고려합니다. 환경의 각 그룹 정책 설정을 검토하여 최신 관리 장치와의 관련성 및 호환성을 확인하는 것은 시간이 오래 걸리고 실용적이지 않을 수 있습니다. 모든 그룹 정책 및 개별 설정을 평가하지 않도록 합니다. 대신 대부분의 장치 및 시나리오를 다루는 일반적인 정책을 평가하는 데 집중합니다.
대신 필수 그룹 정책 설정을 식별하고 사용 가능한 MDM 설정에 대해 해당 설정을 검토합니다. 모든 간격은 해결되지 않은 경우 클라우드 네이티브 장치로 이동하지 못하게 할 수 있는 차단기를 나타냅니다. 그룹 정책 분석과 같은 도구를 사용하여 그룹 정책 설정을 분석하고 MDM 정책으로 마이그레이션할 수 있는지 여부를 확인할 수 있습니다.
스크립트
기본 제공 구성 프로필 외부에서 구성해야 하는 설정 또는 사용자 지정에 대해 PowerShell 스크립트를 사용할 수 있습니다. 자세한 내용을 확인하려면 Microsoft Intune에서 Windows 장치에 PowerShell 스크립트 추가 로 이동하세요.
네트워크 드라이브 및 프린터 매핑
클라우드 네이티브 시나리오에는 매핑된 네트워크 드라이브에 대한 기본 제공 솔루션이 없습니다. 대신 사용자가 Teams, SharePoint 및 비즈니스용 OneDrive로 마이그레이션하는 것이 좋습니다. 마이그레이션이 가능하지 않은 경우 필요한 경우 스크립트를 사용하는 것이 좋습니다.
개인 저장소의 경우 8단계 - 최적의 Microsoft 365 환경을 위한 설정 구성에서 OneDrive 알려진 폴더 이동을 구성했습니다. 자세한 내용을 확인하려면 알려진 폴더 리디렉션으로 이동하세요.
문서 저장소의 경우 사용자는 파일 탐색기와 SharePoint 통합과 라이브러리를 로컬로 동기화하는 기능(SharePoint 및 Teams 파일을 컴퓨터와 동기화)을 이점으로 사용할 수 있습니다.
일반적으로 내부 서버에 있는 회사 Office 문서 템플릿을 사용하는 경우 사용자가 어디에서나 템플릿에 액세스할 수 있도록 하는 새로운 클라우드 기반 템플릿을 고려하세요.
인쇄 솔루션의 경우 유니버설 인쇄를 고려합니다. 자세한 내용을 보려면 다음으로 이동하세요.
응용 프로그램
Intune은 다양한 Windows 응용 프로그램 유형의 배포를 지원합니다.
- MSI(Windows Installer) – Microsoft Intune에 Windows 기간 업무 앱 추가
- MSIX –Microsoft Intune에 Windows 기간 업무 앱을 추가
- Win32 앱(MSI, EXE, 스크립트 설치 관리자) – Microsoft Intune에서 Win32 앱 관리
- 스토어 앱 – Microsoft Intune에 Microsoft Store 앱 추가
- 웹 링크 - Microsoft Intune에 웹앱 추가
MSI, EXE 또는 스크립트 설치 관리자를 사용하는 응용 프로그램이 있는 경우 Microsoft Intune에서 Win32 앱 관리를 사용하여 이러한 응용 프로그램을 모두 배포할 수 있습니다. 이러한 설치 관리자를 Win32 형식으로 래핑하면 Windows Autopilot의 등록 상태 페이지에 대한 알림, 배달 최적화, 종속성, 검색 규칙 및 지원을 포함하여 더 많은 유연성과 이점을 얻을 수 있습니다.
참고
설치하는 동안 충돌을 방지하려면 Windows 기간 업무 앱 또는 Win32 앱 기능을 단독으로 사용하는 것이 좋습니다. 또는 .exe
로 패키지된 애플리케이션이 있는 경우 GitHub에서 사용할 수 있는 Microsoft Win32 콘텐츠 준비 도구를 사용하여 Win32 앱(.intunewin
)으로 .msi
변환할 수 있습니다.
5단계 – Windows Autopilot을 통해 대규모 배포
클라우드 네이티브 Windows 엔드포인트를 구성하고 Windows Autopilot을 사용하여 프로비전했으므로 더 많은 디바이스를 가져오는 방법을 고려합니다. 또한 파트너 또는 하드웨어 공급업체와 협력하여 클라우드에서 새 엔드포인트 프로비전을 시작하는 방법도 고려합니다. 다음 리소스를 검토하여 조직에 가장 적합한 방법을 결정합니다.
어떤 이유로 Windows Autopilot이 적합한 옵션이 아닌 경우 Windows에 대한 다른 등록 방법이 있습니다. 자세한 내용을 확인하려면 Windows 장치에 대한 Intune 등록 방법으로 이동하세요.
클라우드 네이티브 엔드포인트 지침 따르기
- 개요: 클라우드 네이티브 엔드포인트란?
- 🡺 자습서: 클라우드 네이티브 Windows 엔드포인트 시작하기(현재 위치)
- 개념: Microsoft Entra 조인 및 하이브리드 Microsoft Entra 조인
- 개념: 클라우드 네이티브 엔드포인트 및 온-프레미스 리소스
- 개괄적인 계획 가이드
- 알려진 문제 및 중요 정보
유용한 온라인 리소스
- Windows 장치에 대한 공동 관리
- Windows 구독 활성화
- Microsoft Entra 조건부 액세스 정책에 따라 리소스에 대한 액세스를 허용하거나 거부할 수 있는 Intune 디바이스 준수 정책 구성
- 스토어 앱 추가
- Win32 앱 추가
- Intune에서 인증에 인증서 사용
- VPN 및 Wi-Fi를 포함한 네트워크 프로필 배포
- 다단계 인증 배포
- Microsoft Edge에 대한 보안 기준