그룹 기반 정책 관리에 관한 자세한 내용

4분

사용자 또는 디바이스 그룹에 따라 디바이스, 앱 및 정책의 할당을 관리할 수 있습니다.

다음 유형의 그룹을 추가할 수 있습니다.

할당된 그룹: 수동으로 정적 그룹에 사용자 또는 디바이스를 추가합니다.
동적 그룹(Microsoft Entra ID P1 또는 P2 필요): 만든 식을 기반으로 사용자 또는 디바이스를 사용자 그룹 또는 디바이스 그룹에 자동으로 추가합니다.

디바이스

디바이스를 보다 쉽게 관리하기 위해 Microsoft Intune 디바이스 범주를 사용하여 정의된 범주에 따라 자동으로 디바이스를 그룹에 추가할 수 있습니다.

디바이스 범주에는 다음 워크플로가 사용됩니다.

사용자가 자신의 디바이스를 등록할 때 선택할 수 있는 범주를 만듭니다.
iOS/iPadOS 및 Android 디바이스의 사용자가 디바이스를 등록하는 경우 구성된 범주 목록에서 범주를 선택해야 합니다. Windows 디바이스에 범주를 할당하려면 사용자는 회사 포털 웹 사이트를 사용해야 합니다.
그런 다음 이러한 그룹에 정책 및 앱을 배포할 수 있습니다.

원하는 모든 디바이스 범주를 만들 수 있습니다. 예를 들면 다음과 같습니다.

POS 디바이스
데모 디바이스
Sales
회계
Manager

디바이스가 등록되면 관리됩니다. 조직은 Intune과 같은 MDM(모바일 디바이스 관리) 공급자를 통해 디바이스에 정책과 앱을 할당할 수 있습니다.

앱

Microsoft Intune에 앱을 추가한 후, 사용자와 디바이스에 앱을 할당할 수 있습니다. Intune에서 관리하든 관리하지 않든, 앱을 디바이스에 할당할 수 있다는 점을 알아두는 것이 중요합니다.

Intune에서 포함 및 제외할 사용자 그룹을 할당하여 앱에 액세스할 수 있는 사용자를 결정할 수 있습니다. 앱에 그룹을 할당하기 전에 앱의 할당 유형을 설정해야 합니다. 할당 유형은 앱을 사용할 수 있게 만들고 필수 사항으로 만들거나 앱을 제거하기도 합니다.

앱의 가용성을 설정하려면 사용자 또는 디바이스 그룹에 앱 할당을 포함하거나 제외합니다. 포함 및 제외 그룹 할당을 조합하여 이를 달성할 수 있습니다. 이 기능은 대규모 그룹을 포함하여 앱을 제공할 때 유용할 수 있습니다. 그런 다음 더 작은 그룹을 제외하여 선택한 사용자의 범위를 좁힙니다. 더 작은 그룹은 테스트 그룹 또는 경영진 그룹일 수 있습니다.

모범 사례로, 사용자 그룹에 맞는 앱을 특수하게 만들어 할당하고, 디바이스 그룹에 대해서는 별도로 앱을 만들어 할당합니다.

예를 들어 관리자 직책을 가진 사용자를 추가하면 사용자는 모든 관리자 사용자 그룹에 자동으로 추가됩니다. 디바이스에 iOS/iPadOS 디바이스 OS 유형이 설치된 경우 디바이스는 모든 iOS/iPadOS 디바이스 그룹에 자동으로 추가됩니다.

Intune에서 그룹에 앱을 할당한 후 사용자 또는 디바이스에 앱 정책을 할당할 수 있습니다.

정책

Intune을 사용하여 그룹에 정책을 할당할 수 있습니다. 정책을 할당할 때 포함할 사용자와 제외할 사용자를 선택할 수 있습니다.

사용자 그룹 및 디바이스 그룹

많은 사용자가 사용자 그룹과 디바이스 그룹을 언제 활용해야 할지 궁금해합니다. 어떤 그룹을 사용할지는 목표에 따라 달라집니다. 다음은 시작하는 데 도움이 되는 몇 가지 지침입니다.

디바이스 그룹

디바이스에서 설정을 적용하려면 로그인한 사용자와 관계없이 디바이스 그룹에 프로필을 할당합니다. 디바이스 그룹에 적용되는 설정은 사용자가 아니라 항상 디바이스를 따라 이동합니다. 디바이스 그룹은 일반적으로 공유 및 특수 디바이스에 사용됩니다.

예를 들면 다음과 같습니다.

디바이스 그룹은 전용 사용자가 없는 디바이스를 관리하는 데 유용합니다. 예를 들어, 티켓 인쇄, 인벤토리 검사, 교대 근무자 간에 정보 공유, 특정 웨어하우스에 티켓 할당 등을 수행하는 디바이스가 있습니다. 디바이스 그룹에 이러한 디바이스를 배치하고 이 디바이스 그룹에 프로필을 할당합니다.
BIOS에서 설정을 업데이트하는 DFCI(디바이스 펌웨어 구성 인터페이스)를 만듭니다. 예를 들어, 디바이스 카메라를 사용하지 않도록 이 프로필을 구성하거나 부팅 옵션을 잠가 사용자가 다른 OS를 부팅하지 못하도록 할 수 있습니다. 이 프로필은 디바이스 그룹에 할당할 수 있는 좋은 시나리오입니다.
일부 특정 Windows 디바이스에서는 디바이스를 사용하는 사용자에 관계없이 항상 일부 Microsoft Edge 설정을 제어하려고 할 수 있습니다. 예를 들어, 모든 다운로드를 차단하고 모든 쿠키를 현재 검색 세션으로 제한하고 검색 기록을 삭제하려고 합니다. 이 시나리오에서는 특정 Windows 디바이스를 디바이스 그룹에 넣습니다. 그런 다음, Intune에서 관리 템플릿을 만들고, 이러한 디바이스 설정을 추가한 다음, 디바이스 그룹에 이 프로필을 할당합니다.

요약하자면, 디바이스에 로그인한 사용자가 누군지, 로그인한 사람이 있는지 여부를 신경쓰지 않으면서 디바이스 그룹을 사용할 수 있습니다. 설정이 항상 디바이스에서 유지되는 것을 원할 것입니다.

사용자 그룹

사용자 그룹에 적용된 프로필 설정은 항상 사용자를 따라 이동하며, 여러 디바이스에 로그인한 경우 사용자를 따라 이동합니다. 일반적으로 사용자는 업무용 Surface Pro 및 개인 iOS/iPadOS 디바이스와 같은 여러 디바이스를 사용하게 됩니다. 또한 개인 사용자는 일반적으로 이러한 디바이스에서 메일 및 기타 조직 리소스에 액세스하게 됩니다. 사용자 그룹은 일반적으로 정보 작업 및 지식 근로자에 사용됩니다.