다음을 통해 공유

macOS 엔드포인트를 시작하기 위한 엔드 투 엔드 가이드

  • 아티클

Microsoft Intune 사용하여 organization 또는 학교에서 소유한 macOS 엔드포인트를 관리하고 보호할 수 있습니다. 사용자 또는 organization 디바이스를 관리할 때 최종 사용자에게 필요한 앱을 배포하고, 원하는 디바이스 기능을 구성하고, 위협으로부터 디바이스 & organization 보호하는 정책을 사용할 수 있습니다.

이 글의 적용 대상:

  • organization 소유한 macOS 디바이스

이 문서는 macOS 엔드포인트를 시작하는 데 도움이 되는 엔드 투 엔드 가이드입니다. 다음 사항에 중점을 둡니다.

  • Apple Business Manager 또는 Apple School Manager로 관리되는 엔드포인트
  • 사용자 선호도와 함께 자동화된 디바이스 등록을 사용하여 Intune 등록된 디바이스. 사용자 선호도는 일반적으로 하나의 기본 사용자가 있는 디바이스에 사용됩니다.

이 문서에서는 Microsoft Intune 사용하여 macOS 엔드포인트를 만들고 관리하는 엔드 투 엔드 단계를 안내합니다.

이 가이드를 사용하는 방법

이 가이드에는 7단계가 있습니다. 각 단계에는 macOS 엔드포인트 구성 및 배포를 빌드하는 데 도움이 되는 일련의 단계가 있습니다. 각 단계는 이전 단계를 기반으로 합니다.

테스트, 등록, 보안, 정책 배포 및 Microsoft Intune 사용하여 디바이스 지원을 포함하여 macOS 디바이스를 온보딩하는 모든 단계를 요약한 다이어그램

단계 및 단계를 순서대로 완료합니다. 단계는 다음과 같습니다.

이 가이드의 끝에는 macOS 엔드포인트가 Intune 등록되고 시나리오에서 유효성 검사를 시작할 준비가 된 것입니다.

1단계 - 환경 설정

첫 번째 macOS 엔드포인트를 빌드하기 전에 구성하는 몇 가지 요구 사항 및 구성 기능이 있습니다.

이 단계에서는 요구 사항을 검사 Apple Business Manager(또는 Apple School Manager)와 Intune 통합하고, 일부 기능을 구성하고, Intune 몇 가지 앱을 추가합니다.

netowrk 요구 사항, 인증서, Single Sign-On 구성 등을 포함하여 Microsoft Intune macOS 디바이스를 지원하도록 환경을 설정하는 단계를 나열하는 다이어그램

1단계 - 네트워크 요구 사항

네트워크 설정

macOS 엔드포인트를 성공적으로 준비하고 배포하려면 엔드포인트에서 여러 공용 인터넷 서비스에 액세스해야 합니다.

  • 열린 네트워크에서 테스트를 시작합니다. 또는 organization 네트워크에서 Microsoft Intune 위해 네트워크 엔드포인트에 나열된 모든 엔드포인트에 대한 액세스를 제공합니다. 그런 다음 organization 네트워크를 사용하여 구성을 테스트할 수 있습니다.

  • 무선 네트워크에 인증서가 필요한 경우 테스트 중에 이더넷 연결로 시작할 수 있습니다. 이더넷 연결을 사용하면 디바이스에 필요한 무선 연결에 가장 적합한 방법을 결정할 수 있습니다.

주의

SSL 검사로 인해 Microsoft 및 Apple 서비스에 대한 액세스가 실패할 수 있습니다. Apple의 요구 사항에 대한 자세한 내용은 엔터프라이즈 네트워크에서 Apple 제품 사용을 참조하세요.

2단계 - 등록 및 라이선스

새 그룹 만들기, 등록 제한 구성 및 라이선스 할당

등록할 엔드포인트를 준비하려면 올바른 엔드포인트가 대상으로 지정되고 엔드포인트의 라이선스가 올바르게 부여되었는지 확인해야 합니다.

특히 다음 사항에 유의합니다.

  • 새 그룹 만들기

    Intune MDM 사용자와 같은 새 Microsoft Entra 테스트 그룹을 만듭니다. 그런 다음, 이 그룹에 테스트 사용자 계정을 추가합니다. 구성을 설정하는 동안 디바이스를 등록할 수 있는 사용자를 제한하려면 구성을 이 그룹에 대상으로 지정합니다.

    Microsoft Entra 그룹을 만들려면 Intune 관리 센터를 사용합니다. Intune 그룹을 만들 때 Entra 그룹을 만듭니다. Entra 브랜딩은 표시되지 않지만 사용하는 것입니다.

    자세한 내용은 Intune 사용자를 관리하는 그룹 만들기로 이동합니다.

  • 등록 제한 사항

    등록 제한을 사용하면 Intune 관리에 등록할 수 있는 디바이스 유형을 제어할 수 있습니다. 이 가이드가 성공하려면 등록 제한에서 기본 구성인 macOS(MDM) 등록이 허용되는지 확인합니다. 만든 새 그룹에 이 등록 제한을 할당합니다.

    필요/원하는 경우 특정 디바이스가 등록되지 않도록 할 수도 있습니다.

    등록 제한 구성에 대한 자세한 내용을 확인하려면 Microsoft Intune에서 등록 제한 설정으로 이동하세요.

  • 라이선스

    macOS 디바이스를 등록하는 사용자는 교육용 Microsoft Intune 또는 Microsoft Intune 라이선스가 필요합니다. 라이선스를 할당하려면 Microsoft Intune 라이선스 할당으로 이동하세요. 만든 테스트 계정에 라이선스를 할당합니다.

    참고

    두 가지 유형의 라이선스는 일반적으로 Microsoft 365 E3(또는 A3) 이상과 같은 라이선스 번들에 포함됩니다. 자세한 내용은 Microsoft 365 Enterprise 계획 비교를 참조하세요.

3단계 - Apple MDM 인증서 추가

관리되는 Apple ID를 사용하여 푸시 인증서 추가

  • macOS 디바이스를 관리하려면 Apple에서 MDM 푸시 인증서를 사용하여 Intune 테넌트를 구성해야 합니다. 현재 이 동일한 테넌트에서 iOS/iPadOS 디바이스를 관리하는 경우 이 단계가 완료됩니다.

  • Apple Business Manager(또는 Apple School Manager) instance 관리되는 Apple ID를 사용해야 합니다.

    개인 Apple ID를 사용하지 마세요. Apple 푸시 알림 서비스 인증서의 관리는 디바이스 관리 솔루션의 수명 동안 매우 중요합니다. 직원이 시간이 지남에 따라 변경되기 때문에 개인 Apple ID를 사용하여 액세스할 수 없게 될 수 있습니다.

Apple MDM 푸시 인증서를 구성하는 방법에 대한 자세한 내용은 Intune Apple MDM 푸시 인증서 가져오기를 참조하세요.

4단계 - Apple 자동화된 디바이스 등록 토큰 추가

자동화된 디바이스 등록을 위한 Apple 토큰 연결

Apple Business Manager(또는 Apple School Manager)를 통해 등록된 디바이스를 관리하려면 MDM 토큰을 설정하고 토큰을 Intune 연결해야 합니다.

이 토큰은 Intune ADE(자동화된 디바이스 등록)에 필요합니다. 토큰:

  • Intune Apple Business Manager(또는 Apple School Manager) 계정에서 ADE 디바이스 정보를 동기화할 수 있습니다.
  • Intune 등록 프로필을 Apple에 업로드할 수 있습니다.
  • Intune 해당 프로필에 디바이스를 할당할 수 있습니다.

현재 ADE를 사용하여 이 동일한 테넌트에서 iOS/iPadOS 디바이스를 관리하는 경우 이러한 단계 중 일부가 수행될 수 있습니다.

Intune 사용하여 Apple Business Manager를 구성하는 방법에 대한 자세한 내용은 macOS 디바이스 등록 - Apple Business Manager 또는 Apple School Manager를 참조하세요.

Intune Apple Business Manager(또는 Apple School Manager)를 구성하는 개략적인 단계는 다음과 같습니다.

  1. Apple Business Manager(또는 Apple School Manager)에 Intune 연결합니다.
  2. Intune Apple Business Manager 토큰에 대한 ADE 프로필을 만듭니다.
  3. Apple Business Manager에서 Intune MDM에 디바이스를 할당합니다.
  4. Intune macOS 디바이스에 ADE 프로필을 할당합니다.

5단계 - 대상 디바이스

사용자 그룹, Intune 필터 또는 동적 그룹을 사용하여 특정 그룹 대상 지정

사용자 선호도가 있는 macOS 디바이스는 사용자 또는 디바이스 그룹을 사용하여 프로필 및 앱을 대상으로 지정할 수 있습니다. 조직에서 디바이스를 동적으로 대상으로 지정하는 방법에 대한 두 가지 일반적인 옵션이 있습니다.

  • 옵션 1 - enrollmentProfileName에 할당 필터가 있는 모든 디바이스 그룹

    등록 직후에 적용해야 하는 중요한 앱 및 정책(보안 설정, 제한 사항, 회사 포털 앱)의 경우 기본 제공 Intune 모든 디바이스 그룹에 정책을 할당할 수 있습니다. 4단계 - Apple 자동 디바이스 등록 토큰 추가에서 만든 등록 프로필을 사용하여 할당 필터를 만듭니다.

    모든 디바이스 그룹을 대상으로 하는 정책 및 앱은 동적 그룹보다 등록 후 더 빠르게 적용됩니다. 모든 구성 프로필(예: macOS 스크립트)이 필터를 지원하는 것은 아닙니다.

    할당 필터에 대한 자세한 내용은 Microsoft Intune 필터 만들기를 참조하세요.

  • 옵션 2 – enrollmentProfileName을 기반으로 동적 그룹 Microsoft Entra

    이 가이드의 구성을 Apple Business Manager를 통해 가져오는 테스트 디바이스로 제한하려면 동적 Microsoft Entra 그룹을 만듭니다. 그런 다음 모든 구성 및 앱을 이 그룹에 대상으로 지정할 수 있습니다.

    1. Microsoft Intune 관리 센터를 엽니다.

    2. 그룹>새 그룹을 선택하고 다음 세부 정보를 입력합니다.

      • 그룹 유형: 보안을 선택합니다.
      • 그룹 이름: macOS 엔드포인트를 입력합니다.
      • 멤버 자격 유형: 동적 디바이스를 선택합니다.

    3. 동적 디바이스 멤버의 경우 동적 쿼리 추가를 선택하고 다음 속성을 입력합니다.

      • 속성: enrollmentProfileName을 선택합니다.
      • 연산자: 같음 을 선택합니다.
      • : 등록 프로필 이름을 입력합니다.

    4. 만들기저장>확인을> 선택합니다.

    앱 및 정책을 만들 때 이 새로운 동적 Microsoft Entra 그룹에 정책을 대상으로 지정할 수 있습니다.

    참고

    변경이 발생한 후 동적 그룹을 채우는 데 몇 분 정도 걸릴 수 있습니다. 대규모 조직에서는 시간이 더 오래 걸릴 수 있습니다. 새 그룹을 만든 후 디바이스가 그룹의 구성원인지 검사 몇 분 정도 기다립니다.

    디바이스의 동적 그룹에 대한 자세한 내용은 Microsoft Entra ID 그룹에 대한 동적 멤버 자격 규칙: 디바이스에 대한 규칙으로 이동합니다.

6단계 - 초기 설정 및 SSO(Single Sign-On) 구성

첫 번째 실행 환경 최적화

Intune 사용하여 ADE 등록 프로필 내의 기본 제공 설정을 사용하여 첫 번째 실행 환경을 최적화할 수 있습니다. 특히 등록 프로필을 만들 때 다음을 수행할 수 있습니다.

  • 설치 도우미에서 최종 사용자 정보를 미리 구성합니다.
  • Await 최종 구성 기능을 사용합니다. 이 기능을 사용하면 Intune 디바이스 구성 정책이 적용될 때까지 최종 사용자가 제한된 콘텐츠에 액세스하거나 설정을 변경할 수 없습니다.

이 기능 및 ADE 등록에 대한 자세한 내용은 Apple Business Manager 또는 Apple School Manager를 사용하여 Mac 자동 등록을 참조하세요.

SSO를 사용하여 앱 로그인 프롬프트 줄이기

Intune Microsoft 365 앱을 포함하여 앱을 사용할 때 최종 사용자가 수신하는 로그인 프롬프트 수를 줄이는 설정을 구성할 수 있습니다. 이 구성에는 다음 두 부분이 있습니다.

  • 1부 - Microsoft Enterprise SSO 플러그 인을 사용하여 Microsoft 365 앱을 포함하여 인증에 Microsoft Entra ID 사용하는 앱 및 웹 사이트에 SSO(Single Sign-On)를 제공합니다.

    Mac용 SSO 구성에는 Enterprise SSO 플러그 인플랫폼 SSO의 두 가지 옵션이 있습니다.

    Apple 디바이스용 Microsoft Enterprise SSO 플러그 인은 Apple의 엔터프라이즈 Single Sign-On 기능을 지원하는 모든 애플리케이션에서 macOS의 Microsoft Entra 계정에 대한 SSO(Single Sign-On)를 제공합니다.

    이러한 정책을 만들려면 Intune 관리 센터에서 다음으로 이동합니다.

    • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 인증 > SSO(확장 가능 Single Sign On): 다음 설정을 추가하고 구성합니다.

      이름 구성
      확장 식별자 com.microsoft.CompanyPortalMac.ssoextension
      팀 식별자: UBF8T346G9
      유형 리디렉션
      URL https://login.microsoftonline.com
      https://login.microsoft.com
      https://sts.windows.net
      https://login.partner.microsoftonline.cn
      https://login.chinacloudapi.cn
      https://login.microsoftonline.us
      https://login-us.microsoftonline.com

    • 다음 선택적 설정을 구성합니다.

      타이핑
      AppPrefixAllowList String com.apple.,com.microsoft
      browser_sso_interaction_enabled 정수 1
      disable_explicit_app_prompt 정수 1

    정책을 만드는 방법을 포함하여 Enterprise SSO 플러그 인에 대한 자세한 내용은 Intune 사용하여 macOS Enterprise SSO 플러그 인 구성을 참조하세요.

  • 2부 - Intune 설정 카탈로그를 사용하여 MAU(Microsoft AutoUpdate) 및 Microsoft Office를 포함하여 로그인 프롬프트를 줄이는 다음 설정을 구성합니다.

    • 장치 > 디바이스 > 관리 구성 >> 새 정책 > 설정 만들기 카탈로그 > MAU(Microsoft AutoUpdate): 다음 설정을 추가하고 구성합니다.

      • 데이터 수집 정책 자동 승인: 승인 - 필수 및 선택적 데이터 보내기를 선택합니다.

        이 설정에 대한 자세한 내용은 기본 설정을 사용하여 Mac용 Office

      • 자동 업데이트 사용: True를 선택합니다.

        이 설정은 Microsoft 자동 업데이트가 켜지도록 합니다. Microsoft 365 앱 및 회사 포털 업데이트하는 Microsoft 자동 업데이트에 대한 자세한 내용은 Mac용 Office 대한 업데이트 배포를 참조하세요.

    • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > Microsoft Office>: 다음 설정을 추가하고 구성합니다.

      • Office 정품 인증 Email 주소: 를 입력합니다{{userprincipalname}}.
      • 자동 로그인 사용: True를 선택합니다.

      이러한 설정은 Office 앱을 처음 열 때 로그인 프로세스를 간소화합니다. 이러한 설정에 대한 자세한 내용은 Mac용 Office 대한 제품군 전체 기본 설정으로 이동합니다.

    정책 만들기 방법을 포함하여 설정 카탈로그에 대한 자세한 내용은 설정 카탈로그를 사용하여 Microsoft Intune 설정 구성을 참조하세요.

7단계 - 필수 앱 추가 및 할당

Intune 앱의 최소 집합 추가

organization macOS 디바이스에 있어야 하는 일부 앱이 있을 수 있습니다. organization Intune 관리하는 모든 디바이스에 이러한 앱을 설치하도록 요구할 수 있습니다.

이 단계에서는 이러한 앱을 Intune 추가하고 그룹에 할당합니다.

일부 필수 앱은 다음과 같습니다.

2단계 - 테스트 엔드포인트 등록

다음 단계에서는 테스트 macOS 디바이스를 Intune 등록합니다. 이 단계에서는 초기 단계에 익숙해지므로 모든 macOS 디바이스를 Intune 등록할 준비가 된 것입니다.

디바이스 등록, 프로필 할당 등을 포함하여 Microsoft Intune 사용하여 테스트 macOS 디바이스를 등록하는 단계를 나열하는 다이어그램

첫 번째 organization macOS 엔드포인트를 등록하려면 macOS 디바이스가 다음과 같은지 확인합니다.

Intune 첫 번째 macOS 엔드포인트를 등록하는 개략적인 단계는 다음과 같습니다.

  1. macOS 엔드포인트를 지우거나 다시 설정합니다. 이 단계는 기존 디바이스에 필요합니다. 이미 설정된 macOS 디바이스를 등록하는 경우 디바이스는 개인 디바이스로 간주됩니다. 따라서 디바이스를 Intune 등록하려면 먼저 디바이스를 지우거나 다시 설정해야 합니다.

    설정되지 않은 새 디바이스의 경우 이 단계를 건너뛸 수 있습니다. 디바이스가 설정되어 있는지 확실하지 않은 경우 디바이스를 다시 설정합니다.

  2. 설치 도우미를 진행합니다.

  3. 회사 포털 앱을 열고 organization 계정(user@contoso.com)으로 로그인합니다.

사용자가 로그인하면 등록 정책이 적용됩니다. 완료되면 macOS 엔드포인트가 Intune 등록됩니다.

3단계 - macOS 엔드포인트 보호

이 단계에서는 업데이트를 통해 디바이스를 최신 상태로 유지하는 것을 포함하여 엔드포인트를 보호하는 데 도움이 되는 보안 설정 및 기능을 구성합니다.

Microsoft Intune 규정 준수 정책, 소프트웨어 업데이트 등을 사용하여 macOS 디바이스를 보호하는 단계를 나열하는 다이어그램

이 섹션에서는 다음을 포함하여 Microsoft Intune 다양한 엔드포인트 보안 기능에 중점을 둡니다.

  • 규정 준수 및 조건부 액세스 정책
  • 엔드포인트용 Microsoft Defender
  • FileVault, Firewall 및 Gatekeeper 엔드포인트 보안
  • 소프트웨어 업데이트
  • 게스트 계정
  • 유휴 로그인
  • Mac 평가 유틸리티

규정 준수 및 조건부 액세스 정책

규정 준수 정책 만들기 및 조건부 액세스 준수 적용

  • 규정 준수 정책은 구성한 디바이스 설정을 확인하고 규정을 준수하지 않는 일부 설정을 수정할 수 있습니다. 예를 들어 암호 복잡성, 탈옥 상태, 위협 수준, 등록 상태 등을 검사 규정 준수 정책을 만들 수 있습니다.

    규정 준수 정책과 다른 정책 간에 충돌하는 구성 설정이 있는 경우 준수 정책이 우선합니다. 자세한 내용은 충돌하는 규정 준수 및 디바이스 구성 정책으로 이동합니다.

  • 조건부 액세스를 사용하여 만든 규정 준수 정책을 적용할 수 있습니다. 결합된 경우 최종 사용자는 organization 리소스에 액세스하기 전에 디바이스를 등록하고 최소 보안 표준을 충족해야 할 수 있습니다. 디바이스가 비준수인 경우 이메일과 같은 리소스에 대한 액세스를 차단하거나 사용자가 디바이스를 등록하고 문제를 해결하도록 요구할 수 있습니다.

참고

적절한 디바이스 컨트롤을 적용하고 있는지 확인하려면 Entra 조건부 액세스 정책을 관리하는 팀과 협력하세요.

Intune 관리 센터에서 규정 준수 및 조건부 액세스 정책을 만들 수 있습니다.

자세한 내용을 보려면 다음으로 이동하세요.

엔드포인트용 Microsoft Defender

위협 방어에 엔드포인트용 Microsoft Defender 사용

엔드포인트용 Microsoft Defender 보안 위협으로부터 디바이스를 보호하는 모바일 위협 방어 솔루션입니다.

Intune 엔드포인트용 Microsoft Defender 서비스에 연결하고, 엔드포인트용 Microsoft Defender 설정을 사용하여 Intune 정책을 만든 다음, 디바이스에 정책을 배포할 수 있습니다.

자세한 내용을 보려면 다음으로 이동하세요.

기본 제공 엔드포인트 보안

FileVault 디스크 암호화를 사용하여 디바이스 암호화

FileVault 는 무단 액세스를 방지하는 데 도움이 되는 전체 디스크 암호화 기능입니다. FileVault 설정은 Intune 설정 카탈로그에 기본 제공되며 규정 준수 정책으로 사용할 수 있습니다.

따라서 FileVault를 구성하고 규정 준수를 위해 검사 디바이스에 정책을 배포할 수 있습니다.

이러한 정책을 만들려면 Intune 관리 센터에서 다음으로 이동합니다.

  • 디바이스 >> 디바이스 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 전체 디스크 암호화
  • 디바이스 > 관리 디바이스 > 준수 > 정책 만들기 시스템 > 보안 > 디바이스에서 데이터 스토리지 암호화 필요

FileVault에 대한 자세한 내용은 다음을 참조하세요.

방화벽 구성

방화벽은 애플리케이션 방화벽이며 들어오는 공격을 방지하는 데 도움이 됩니다. 방화벽 설정은 Intune 설정 카탈로그에 기본 제공되며 규정 준수 정책으로 사용할 수 있습니다.

따라서 방화벽을 구성하고 규정 준수를 위해 검사 정책을 디바이스에 배포할 수 있습니다.

이러한 정책을 만들려면 Intune 관리 센터에서 다음으로 이동합니다.

  • 장치 > 디바이스 > 관리 구성 >새 정책> 만들기 > 설정 카탈로그:

    • 네트워킹 > 방화벽
    • 보안 > 보안 기본 설정

  • 디바이스 > 관리 디바이스 > 준수 > 정책 만들기 시스템 > 보안 > 방화벽

macOS 방화벽에 대한 자세한 내용은 다음을 참조하세요.

Gatekeeper 구성

Gatekeeper 는 신뢰할 수 있는 소프트웨어만 디바이스에서 실행되도록 합니다. Gatekeeper 설정은 Intune 설정 카탈로그에 기본 제공되며 규정 준수 정책으로 사용할 수 있습니다.

따라서 Gatekeeper를 구성하고 규정 준수를 위해 검사 디바이스에 정책을 배포할 수 있습니다.

이러한 정책을 만들려면 Intune 관리 센터에서 다음으로 이동합니다.

  • 장치 > 디바이스 > 관리 구성 >새 정책> 만들기 > 설정 카탈로그 > 시스템 정책 > 시스템 정책 제어:

    • 식별된 개발자 허용: True를 선택합니다.
    • 평가 사용: True를 선택합니다.

  • 장치 > 디바이스 > 관리 구성 >새 정책> 만들기 > 설정 카탈로그 > 시스템 정책 > 시스템 정책 관리:

    • 재정의 사용 안 함: True를 선택합니다.

  • 디바이스 > 관리 디바이스 > 준수 > 정책 만들기 시스템 > 보안 > 게이트키퍼

Gatekeeper에 대한 자세한 내용은 다음을 참조하세요.

소프트웨어 업데이트

소프트웨어 업데이트 구성

디바이스에서 소프트웨어 업데이트는 매우 중요하며 업데이트 설치 방법을 결정해야 합니다. 몇 가지 옵션이 있습니다.

이러한 설정을 구성할 때 디바이스의 설정 앱 >소프트웨어 업데이트 노드에서 동작을 적용하고 제한합니다.

  • 옵션 1 - macOS 14.0 이상 디바이스(권장) - macOS 14.0 이상 디바이스에서 Intune 설정 카탈로그를 사용하여 관리되는 소프트웨어 업데이트 정책을 만듭니다. 이 기능은 Apple의 DDM(선언적 디바이스 관리)을 사용하며 macOS 디바이스를 업데이트하는 데 권장되는 방법입니다.

    특히 Intune 관리 센터에서 다음 설정을 구성합니다.

    • 디바이스 > 관리 디바이스 > 구성 > 새 정책 > 설정 만들기 > 카탈로그 > 선언적 장치 관리 > 소프트웨어 업데이트

    • 선택 사항 - 디바이스 > 관리 디바이스 > 구성 > 새 정책 > 설정 카탈로그 > 제한 만들기>에서 다음 설정을 사용하여 업데이트가 릴리스된 후 사용자가 업데이트를 수동으로 설치할 수 있는 기간을 지연할 수 있습니다. 이러한 설정은 Apple의 MDM 설정을 사용합니다.

      • 강제 소프트웨어 업데이트 부 OS 지연 설치 지연: 0-30
      • 강제 소프트웨어 업데이트 주요 OS 지연 설치 지연: 0-30
      • 강제 소프트웨어 업데이트 비 OS 지연 설치 지연: 0-30

      설정 카탈로그 > 선언적 장치 관리 > 소프트웨어 업데이트 설정이 설정 카탈로그 > 제한 설정보다 우선합니다. 자세한 내용은 macOS 업데이트 정책에서 설정 우선 순위를 참조하세요.

  • 옵션 2 - macOS 13.0 이상(권장) - macOS 13.0 이상 디바이스에서는 Intune 설정 카탈로그와 Intune소프트웨어 업데이트 정책의 조합을 사용할 수 있습니다. 이러한 기능은 Apple의 MDM 설정을 사용합니다.

    특히 Intune 관리 센터에서 다음 설정을 구성할 수 있습니다.

    • 디바이스 > 업데이트 관리 Apple에서 >> macOS 업데이트 정책을 업데이트합니다.

    • 디바이스 > 관리 디바이스 > 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 소프트웨어 업데이트

    두 정책 유형(소프트웨어 업데이트 및 설정 카탈로그)의 일부 설정은 겹칠 수 있습니다. 따라서 각 정책에서 구성하는 내용에 주의하세요. macOS 업데이트 정책의 설정이 설정 카탈로그 > 소프트웨어 업데이트 설정보다 우선합니다. 자세한 내용은 macOS 업데이트 정책에서 설정 우선 순위를 참조하세요.

  • 옵션 3(권장되지 않음) - 최종 사용자가 업데이트를 수동으로 설치합니다. 이 방법은 최종 사용자가 업데이트를 설치할 시기를 결정하는 데 의존합니다. 또한 organization 승인하지 않는 업데이트를 설치할 수 있습니다.

macOS 업데이트 전략을 계획하는 방법에 대한 자세한 내용은 Microsoft Intune 관리되는 macOS 디바이스에 대한 소프트웨어 업데이트 계획 가이드를 참조하세요.

게스트 계정

게스트 계정 사용 안 함

macOS 엔드포인트에서 게스트 계정을 사용하지 않도록 설정해야 합니다. Intune 설정 카탈로그를 사용하여 게스트 계정을 사용하지 않도록 설정할 수 있습니다.

  • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 계정 > 계정:
    • 게스트 계정 사용 안 함: True를 선택합니다.

유휴 시간 제한

유휴 시간 제한 설정

Intune 설정 카탈로그를 사용하여 macOS에서 암호를 묻는 유휴 기간을 제어합니다.

  • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 시스템 구성 > 화면 보호기:

    • 암호 요청: True를 선택합니다.
    • Windows 유휴 시간 로그인: 5분인 와 같은 300항목을 입력합니다.
    • 암호 지연 요청: 와 같은 5항목을 입력합니다.
    • 모듈 이름: 화면 보호기 모듈의 이름(예: Flurry)을 입력합니다.

  • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 사용자 환경 > 화면 보호기 사용자:

    • 유휴 시간: 5분인 와 같은 300항목을 입력합니다.
    • 모듈 이름: 화면 보호기 모듈의 이름(예: Flurry)을 입력합니다.

  • 데스크톱 및 노트북 장치의 경우 에너지를 절약하는 데 도움이 되는 설정이 있습니다.

    장치 > 디바이스 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 시스템 구성 > 에너지 절약 >모드:

    • 데스크톱 전원 > 디스플레이 절전 모드 타이머
    • 노트북 배터리 전원 > 디스플레이 절전 모드 타이머
    • 노트북 전원 > 디스플레이 절전 모드 타이머

화면 보호기 모듈 이름을 찾으려면 화면 보호기를 설정하고 터미널 앱을 열고 다음 명령을 실행합니다.

defaults -currentHost read com.apple.screensaver

macOS 평가 유틸리티

macOS 평가 유틸리티 사용

Mac 평가 유틸리티는 Mac에 Apple에서 권장하는 구성 및 설정이 있음을 확인합니다. Mac 평가 유틸리티에 액세스하려면 IT용 Apple Seed(Apple 웹 사이트 열기) > 리소스에 로그인합니다.

4단계 - organization 특정 사용자 지정 적용

이 단계에서는 organization 특정 설정 및 앱을 적용하고 온-프레미스 구성을 검토합니다.

Microsoft Intune 사용하여 앱, 디바이스 설정, 인증서 등을 사용하여 macOS 디바이스를 사용자 지정하는 몇 가지 기능을 나열하는 다이어그램

이 단계는 organization 관련된 모든 기능을 사용자 지정하는 데 도움이 됩니다. macOS의 다양한 구성 요소를 확인합니다. 다음 분야 각각에 대한 섹션이 있습니다.

  • 도크, 알림, 기본 설정 파일 & 사용자 지정 정책 및 배경 화면의 디바이스 구성
  • 장치 이름
  • 인증서
  • Wi-Fi

Intune 더 많은 앱 추가

1단계 - 환경 설정에서 디바이스에 있어야 하는 일부 앱을 추가했습니다. 이 단계에서는 최종 사용자 환경 또는 생산성을 향상시킬 수 있는 다른 앱을 추가합니다.

장치 구성

설정 카탈로그는 정책을 만드는 방법과 사용 가능한 모든 설정을 볼 수 있는 방법을 간소화합니다. 이 가이드의 여러 단계와 단계에서는 Intune 설정 카탈로그를 사용하여 디바이스 기능 및 설정을 구성합니다.

예를 들어 설정 카탈로그를 사용하여 다음 기능 영역을 구성했습니다.

  • Microsoft Edge 브라우저 설정
  • Microsoft 자동 업데이트
  • Microsoft Office
  • 소프트웨어 업데이트
  • 사용자 환경

설정 카탈로그를 사용하여 구성할 수 있는 디바이스 설정은 다음과 같습니다.

부두

  • 디바이스 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 사용자 환경 > 도킹

GitHub - Microsoft Intune dock 셸 샘플 또는 GitHub -DockUtil과 같은 파트너 명령줄 도구를 사용하여 도크에서 항목을 추가하거나 제거할 수도 있습니다.

알림 프롬프트

  • 디바이스 > 관리 디바이스 > 구성 > 새 정책 > 설정 만들기 > 카탈로그 > 사용자 환경 > 알림 알림 > 설정

    알림을 제어하려는 각 애플리케이션에 대한 번들 ID를 입력해야 합니다.

자세한 내용은 Apple 디바이스에 대한 알림 MDM 페이로드 설정 (Apple 웹 사이트 열기)으로 이동합니다.

기본 설정 파일 및 사용자 지정 정책

  • 기본 설정 파일 은 미리 구성하려는 앱 속성 또는 설정을 정의합니다. Intune 설정 카탈로그에는 Microsoft Edge 및 Microsoft Office와 같은 앱에 대한 많은 기본 제공 설정이 있습니다. 따라서 기본 설정 파일이 필요하지 않을 수 있습니다.

    설정 카탈로그에서 기본 제공 설정을 사용하는 것이 좋습니다. 설정 카탈로그에 필요한 설정이 없는 경우 기본 설정 파일을 Intune 추가합니다.

    자세한 내용은 Microsoft Intune 사용하여 macOS 디바이스에 속성 목록 파일 추가로 이동하세요.

  • 사용자 지정 프로필은 Intune 위해 기본 제공되지 않는 디바이스 설정 및 기능을 추가하도록 설계되었습니다.

    설정 카탈로그에서 기본 제공 설정을 사용하는 것이 좋습니다. 설정 카탈로그에 필요한 설정이 없는 경우 사용자 지정 프로필을 사용합니다.

    자세한 내용은 사용자 지정 프로필로 이동하세요.

벽지

샘플 스크립트와 설정 카탈로그의 조합을 사용하여 macOS에 배경 화면을 적용할 수 있습니다.

  • 장치 > 디바이스 > 관리 구성 > 새 정책 > 만들기 > 설정 카탈로그 > 사용자 환경 > 데스크톱:
    • 그림 경로 재정의: '이미지>의 <경로를 입력합니다.'

이미지 파일은 macOS 엔드포인트에 있어야 합니다. 웹 위치에서 그림을 다운로드하려면 GitHub - Microsoft Intune 배경 화면 셸 샘플에서 샘플 스크립트를 사용할 수 있습니다. 앱 패키지 도구를 사용하여 파일을 복사한 다음 관리되지 않는 PKG 배포 기능을 사용하여 배포할 수도 있습니다.

장치 이름

디바이스 이름 바꾸기

셸 스크립트를 사용하면 디바이스 이름을 변경하여 국가/지역 코드와 결합된 디바이스 일련 번호와 같은 특정 정보를 포함할 수 있습니다.

자세한 내용은 GitHub - Microsoft Shell 스크립트로 이동하여 Mac 디바이스의 이름을 바꿉니다.

인증서

인증서 기반 인증에 대한 인증서 추가

암호 없는 환경에 인증서 기반 인증을 사용하는 경우 Intune 사용하여 인증서를 추가하고 배포할 수 있습니다.

자세한 내용은 Microsoft Intune 사용할 수 있는 인증서 유형으로 이동합니다.

Wi-Fi

Wi-Fi 연결 미리 구성

Intune 사용하여 네트워크 정보를 포함하는 Wi-Fi 연결을 만든 다음 macOS 디바이스에 연결을 배포할 수 있습니다. 디바이스가 Wi-Fi를 사용하여 organization 연결하는 경우 Wi-Fi 연결 정책을 만듭니다.

자세한 내용은 Microsoft Intune macOS 디바이스에 대한 Wi-Fi 설정 구성을 참조하세요.

5단계 - 캐싱(선택 사항)

네트워크 대역폭을 줄이는 데 사용할 수 있는 몇 가지 캐싱 기능이 있습니다.

Microsoft Intune 사용하여 macOS 디바이스에서 콘텐츠 캐싱 및 로컬 캐시 앱 자동 업데이트 사용을 설명하는 다이어그램

콘텐츠 캐싱 사용

네트워크에 macOS 또는 iOS/iPadOS 디바이스가 많은 경우 Apple Content Cache를 배포하여 인터넷 대역폭을 줄일 수 있습니다. Apple Content Cache는 소프트웨어 업데이트 및 VPP 앱과 같은 Apple 서비스에서 호스트되는 콘텐츠를 캐시할 수 있습니다.

자세한 내용은 콘텐츠 캐싱 소개 (Apple 웹 사이트 열기)로 이동하세요.

로컬 캐시 자동 업데이트

macOS의 많은 Microsoft 앱은 Microsoft 자동 업데이트 애플리케이션을 사용하여 업데이트됩니다. 이 앱은 콘텐츠에 대해 다른 URL을 참조할 수 있습니다.

GitHub - Microsoft 자동 업데이트 캐시 관리 사용하여 Microsoft 자동 업데이트에 대한 로컬 캐시를 구성할 수 있습니다.

자세한 내용은 GitHub - Microsoft 자동 업데이트 캐시 관리.

6단계 - 나머지 macOS 엔드포인트 등록

지금까지 구성을 만들고 앱을 추가했습니다. 이제 Microsoft Intune 사용하여 자동화된 디바이스 등록 정책을 사용하여 모든 macOS 엔드포인트를 등록할 준비가 되었습니다.

Microsoft Intune 사용하여 자동화된 디바이스 등록 정책을 사용하여 모든 macOS 엔드포인트를 등록하도록 지시하는 다이어그램

자동화된 디바이스 등록 정책 만들기

등록 정책이 새 그룹에 할당됩니다. 디바이스가 등록 정책을 받으면 등록 프로세스가 시작되고 사용자가 만든 앱 & 구성 정책이 적용됩니다.

자동화된 디바이스 등록 및 시작에 대한 자세한 내용은 Apple Business Manager 또는 Apple School Manager를 사용하여 Mac 자동 등록을 참조하세요.

7단계 - 지원, 유지 관리 및 다음 단계

마지막 단계는 macOS 디바이스를 지원하고 유지 관리하는 것입니다. 이 단계에는 원격 도움말, Apple 인증서 모니터링 등과 같은 Intune 기능 사용이 포함됩니다.

원격 도움말 사용, 사용자 지정 특성 추가 및 Microsoft Intune 사용하여 Apple Business Manager 구성을 포함하여 macOS 디바이스를 지원하고 유지 관리하는 단계를 나열하는 다이어그램

Intune 기본 제공 운영 체제 MDM 기능 및 IME(Intune Management Extension) 에이전트를 사용하여 macOS 디바이스를 관리합니다.

이러한 두 구성 요소는 별도의 기능을 제공하고 다른 채널을 통해 macOS 디바이스와 통신합니다. 등록은 Apple Business Manager를 통해 오케스트레이션되고, MDM은 Apple 푸시 알림 서비스를 통해 오케스트레이션되며, IME는 Intune 직접 통신합니다.

macOS MDM과 Intune Managemnt 확장이 함께 작동하여 Microsoft Intune 사용하여 macOS 디바이스 관리를 지원하는 방법을 보여 주는 다이어그램

Intune 관리 확장에 대한 자세한 내용은 macOS용 Microsoft Intune 관리 에이전트 이해를 참조하세요.

macOS 등록 유지 관리

Apple 인증서 갱신 및 ADE 토큰 동기화

Mac 디바이스가 Intune 연결을 유지하고 등록을 계속하려면 콘솔에서 주기적으로 검사 필요에 따라 조치를 취해야 하는 몇 가지 중요한 영역이 있습니다.

  • Apple 푸시 알림 서비스 인증서 만료

    Apple의 푸시 알림 서비스 인증서는 매년 갱신해야 합니다. 이 인증서가 만료되면 Intune 해당 인증서를 사용하여 등록된 디바이스를 관리할 수 없습니다. 매년 이 인증서를 갱신해야 합니다.

    자세한 내용은 Intune Apple MDM 푸시 인증서 가져오기를 참조하세요.

  • Apple 자동 디바이스 등록 인증서 만료

    Apple Business Manager(또는 Apple School Manager)와 Intune 간에 연결을 설정하면 인증서가 사용됩니다. 이 인증서는 매년 갱신해야 합니다. 이 인증서가 갱신되지 않으면 Apple Business Manager(또는 Apple School Manager)의 변경 내용이 Intune 동기화할 수 없습니다.

    자세한 내용은 macOS 디바이스 등록 - Apple Business Manager 또는 Apple School Manager로 이동하세요.

  • Apple 자동 디바이스 등록 동기화 상태

    Apple은 Apple Business Manager(또는 Apple School Manager)에서 사용 약관이 변경되면 ADE 토큰의 동기화를 일시 중단합니다. 주요 OS 릴리스 후에 변경될 수 있지만 언제든지 발생할 수 있습니다.

    동기화 상태 주의가 필요한 문제를 모니터링해야 합니다.

    자세한 내용은 관리되는 디바이스 동기화를 참조하세요.

원격 지원

원격 도움말 사용

원격 지원 역할 기반 액세스 제어를 사용하는 보안 지원 센터 연결을 위한 클라우드 기반 솔루션입니다. 연결하면 지원 담당자가 최종 사용자 디바이스에 원격으로 연결할 수 있습니다.

자세한 내용을 보려면 다음으로 이동하세요.

사용자 정의 특성

사용자 지정 속성을 사용하여 보고 정보 가져오기

Intune 셸 스크립트를 사용하여 관리되는 macOS 디바이스에서 사용자 지정 속성을 수집할 수 있습니다. 이 기능은 사용자 지정 보고 정보를 가져오는 좋은 방법입니다.

자세한 내용은 Microsoft Intune macOS 디바이스에서 셸 스크립트 사용을 참조하세요.

자동 사용자 프로비저닝을 위한 Apple Business Manager 구성

ABM 관리 및 관리되는 Apple ID에 Entra 사용자 계정 사용

Microsoft Entra 프로비저닝 서비스를 사용하여 사용자를 ABM(Apple Business Manager)으로 자동으로 프로비저닝 및 프로비저닝 해제하도록 Microsoft Entra ID 구성할 수 있습니다.

자세한 내용은 자습서: 자동 사용자 프로비저닝을 위한 Apple Business Manager 구성을 참조하세요.