Microsoft Intune MDM 서버를 사용하여 Windows 10 및 Windows 11 운영 체제 구성 요소에서 Microsoft 서비스로의 연결 관리
적용 대상:
- Windows 11
- Windows 10 Enterprise 1903 버전 이상
이 문서에서는 Windows 10 및 Windows 11 구성 요소가 Microsoft에 수행하는 네트워크 연결과 IT 전문가가 Microsoft Intune을 사용하여 Microsoft와 공유되는 데이터를 관리하는 데 도움이 되는 모바일 장치 관리/구성 서비스 공급자(MDM/CSP) 및 사용자 지정 OMA URI(Open Mobile Alliance Uniform Resource Identifier) 정책에 대해 설명합니다. Windows에서 Microsoft 서비스로의 연결을 최소화하거나 개인 정보 설정을 구성하려는 경우 여러 가지 설정을 고려해야 합니다. 예를 들어 이 문서의 지침을 사용하여 Windows 버전의 가장 낮은 수준에 대한 진단 데이터를 구성하고 해제하려는 Windows에서 Microsoft 서비스에 대한 연결을 평가할 수 있습니다. Microsoft에 대한 네트워크 연결을 최소화할 수 있지만, 맬웨어 정의 업데이트와 현재 인증서 해지 목록 유지 관리와 같이 이러한 통신이 기본적으로 사용하도록 설정되어 있는 데는 여러 가지 이유가 있습니다. 이 데이터는 보안, 안정성, 최신 환경을 제공하는 데 도움이 됩니다.
중요
- MDM 구성에 대해 허용되는 트래픽 끝점은 다음과 같습니다. 허용된 트래픽
- CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜) 네트워크 트래픽은 사용하지 않도록 설정할 수 없으며 네트워크 추적에 계속 표시됩니다. 발급 인증 기관에 대해 CRL 및 OCSP 검사를 수행합니다. Microsoft는 다음 기관 중 하나입니다. DigiCert, Thawte, Google, Symantec, VeriSign 등 기타 여러 기관이 있습니다.
- Windows 10 및 Windows 11 장치의 Microsoft Intune 기반 관리에 특히 필요한 몇 가지 트래픽이 있습니다. 이 트래픽에는 WNS(Windows 알림 서비스), ARCU(자동 루트 인증서 업데이트) 및 일부 Windows 업데이트 관련 트래픽이 포함됩니다. 위에서 언급한 트래픽은 Windows 10 및 Windows 11 장치를 관리하기 위해 Microsoft Intune MDM 서버에 허용되는 트래픽으로 구성됩니다.
- 보안상의 이유로, 일부 장치의 보안 수준을 낮출 수 있는 설정 구성 결정에 주의를 기울여야 합니다. 보안 수준이 낮은 장치 구성을 야기할 수 있는 설정의 예는 Windows 업데이트 사용 안 함, 자동 루트 인증서 업데이트 해제, Windows Defender 사용 안 함입니다. 따라서 이러한 기능을 사용하지 않도록 설정하는 것은 권장되지 않습니다.
- 충돌이 발생하는 경우 CSP가 그룹 정책 보다 우선하도록 하려면 ControlPolicyConflict 정책을 사용합니다.
- MDM/CSP 설정의 일부 또는 전부를 적용한 후에는 Windows의 도움말 및 피드백 보내기 링크가 더 이상 작동하지 않을 수 있습니다.
Warning
사용자가 "모두 제거" 옵션을 사용하여 "이 PC 초기화" 명령(설정 -> 업데이트 및 보안 - > 복구)을 실행하는 경우 디바이스의 송신 트래픽을 다시 제한하기 위해 > Windows Restricted Traffic Limited Functionality 설정을 다시 적용해야 합니다. >이 작업을 수행하려면 클라이언트를 Microsoft Intune 서비스에 다시 등록해야 합니다. Restricted Traffic Limited Functionality 설정의 응용 프로그램을 다시 적용하는 기간 동안 송신 트래픽이 발생할 수 있습니다. 사용자가 "내 파일 보관" > 옵션으로 "이 PC 재설정"을 실행하는 경우, 제한된 트래픽 제한 기능 설정은 디바이스에 유지되므로, 클라이언트는 "내 파일 보관" 재설정 중 및 이후에 > 제한 트래픽 구성으로 유지되며, 재등록이 필요하지 않습니다.
Microsoft Intune에 대한 자세한 내용은 현대적인 업무 환경을 위해 IT 서비스 제공 혁신과 Microsoft Intune 설명서를 참조하세요.
Windows 설정, 그룹 정책, 레지스트리 설정을 사용하여 Microsoft 서비스에 대한 네트워크 연결을 관리하는 방법에 대한 자세한 내용은 Windows 운영 체제 구성 요소에서 Microsoft 서비스에 대한 연결 관리를 참조하세요.
Microsoft는 끊임없는 노력으로 설명서를 개선하고 있으며, 여러분의 의견을 환영합니다. telmhelp@microsoft.com으로 이메일을 전송하여 피드백을 제공할 수 있습니다.
Windows 10 Enterprise 버전 1903 이상 및 Windows 11에 대한 설정
다음 표에는 각 설정에 대한 관리 옵션이 나와 있습니다.
Windows 10 및 Windows 11의 경우 정책 CSP에서 다음 MDM 정책을 사용할 수 있습니다.
자동 루트 인증서 업데이트
- MDM 정책: 자동 루트 인증서 업데이트에 사용할 수 있는 MDM은 의도적으로 제공되지 않습니다. 이 MDM은 디바이스의 MDM 관리 작업 및 관리를 방지하기 때문에 존재하지 않습니다.
Cortana 및 검색
- MDM 정책: Experience/AllowCortana. Cortana를 통해 디바이스에 설치하고 실행할 수 있는지 여부를 선택합니다. 0으로 설정
- MDM 정책: Search/AllowSearchToUseLocation. Cortana 및 검색에서 위치 인식 검색 결과를 제공할 수 있는지 여부를 선택합니다. 0으로 설정
날짜 및 시간
- MDM 정책: Settings/AllowDateTime. 사용자가 날짜 및 시간 설정을 변경할 수 있도록 합니다. 0으로 설정
장치 메타데이터 검색
- MDM 정책: DeviceInstallation/PreventDeviceMetadataFromNetwork. Windows가 인터넷에서 장치 메타데이터를 검색하지 못하도록 할 것인지 여부를 선택합니다. 사용으로 설정
내 장치 찾기
- MDM 정책: Experience/AllowFindMyDevice. 이 정책은 내 장치 찾기를 켭니다. 0으로 설정
글꼴 스트리밍
- MDM 정책: System/AllowFontProviders. Windows에서 온라인 글꼴 공급자로부터 글꼴 및 글꼴 카탈로그 데이터를 다운로드할 수 있는지 여부를 결정하는 설정입니다. 0으로 설정
Insider Preview 빌드
- MDM 정책: System/AllowBuildPreview. 이 정책 설정은 사용자가 Windows 업데이트의 고급 옵션에서 참가자 빌드 컨트롤에 액세스할 수 있는지 여부를 결정합니다. 0으로 설정
Internet ExplorerInternet Explorer CSP에서 사용할 수 있는 Microsoft Internet Explorer MDM 정책은 다음과 같습니다.
- MDM 정책: InternetExplorer/AllowSuggestedSites. 사용자의 검색 활동을 기준으로 웹 사이트를 추천합니다. 사용 안 함으로 설정
- MDM 정책: InternetExplorer/PreventManagingSmartScreenFilter. 사용자가 방문하는 웹 사이트가 "피싱"을 통해 개인 정보를 수집하려고 하는 것으로 알려져 있거나 맬웨어를 호스트하는 것으로 알려진 경우 사용자에게 경고하는 Windows Defender SmartScreen을 사용자가 관리하지 못하도록 합니다. 다음 값으로 문자열로 설정:
- <enabled/><data id=”IE9SafetyFilterOptions” value=”1”/>
- MDM 정책: InternetExplorer/DisableFlipAheadFeature. 사용자가 화면에서 살짝 밀거나 앞으로를 클릭하여 웹 사이트의 미리 로드된 다음 페이지로 이동할 수 있는지 여부를 결정합니다. 사용으로 설정
- MDM 정책: InternetExplorer/DisableHomePageChange. 사용자가 기본 홈 페이지를 변경할 수 있는지 여부를 결정합니다. 다음 값으로 문자열로 설정:
- <enabled/><>data id=”EnterHomePagePrompt” value=”Start Page”/
- MDM 정책: InternetExplorer/DisableFirstRunWizard. Internet explorer 또는 Windows를 설치한 후 사용자가 처음으로 브라우저를 시작할 때 Internet Explorer에서 첫 실행 마법사를 실행하지 않도록 합니다. 다음 값으로 문자열로 설정:
- <enabled/><>data id=”FirstRunOptions” value=”1”/
라이브 타일
- MDM 정책: Notifications/DisallowTileNotification. 이 정책 설정은 타일 알림을 해제합니다. 이 정책 설정을 사용하면 애플리케이션 및 시스템 기능이 시작 화면에서 타일 및 타일 배지를 업데이트할 수 없게 됩니다. 정수 값 1
메일 동기화
- MDM 정책: Accounts/AllowMicrosoftAccountConnection. 사용자가 전자 메일 이외의 관련 연결 인증 및 서비스에 Microsoft 계정을 사용할 수 있는지 여부를 지정합니다. 0으로 설정
Microsoft 계정
- MDM 정책: Accounts/AllowMicrosoftAccountSignInAssistant. Microsoft 계정 로그인 도우미를 사용하지 않도록 설정합니다. 0으로 설정
Microsoft Edge정책 CSP에서 사용할 수 있는 Microsoft Edge MDM 정책은 다음과 같습니다. Microsoft Edge 정책의 전체 목록은 Microsoft Edge에 대해 사용 가능한 정책을 참조하세요.
- MDM 정책: Browser/AllowAutoFill. 직원이 웹 사이트에서 자동 채우기를 사용할 수 있는지 여부를 선택합니다. 0으로 설정
- MDM 정책: Browser/AllowDoNotTrack. 직원이 Do Not Track 헤더를 보낼 수 있는지 여부를 선택합니다. 0으로 설정
- MDM 정책: Browser/AllowMicrosoftCompatbilityList. Microsoft Edge에서 Microsoft 호환성 목록을 지정합니다. 0으로 설정
- MDM 정책: Browser/AllowPasswordManager. 직원이 암호를 로컬로 장치에 저장할 수 있는지 선택합니다. 0으로 설정
- MDM 정책: Browser/AllowSearchSuggestionsinAddressBar. 주소 표시줄에 검색 제안이 표시되는지 여부를 선택합니다. 0으로 설정
- MDM 정책: Browser/AllowSmartScreen. Windows Defender SmartScreen을 켤지 혹은 끌지 선택합니다. 0으로 설정
네트워크 연결 상태 표시기
- Connectivity/DisallowNetworkConnectivityActiveTests. 참고: 이 정책을 적용한 후에는 정책 설정이 반영되려면 장치를 다시 시작해야 합니다. 1로 설정
오프라인 지도
- MDM 정책: AllowOfflineMapsDownloadOverMeteredConnection. 데이터 통신 연결을 통해 지도 데이터를 다운로드하고 업데이트할 수 있습니다.
0으로 설정 - MDM 정책: EnableOfflineMapsAutoUpdate. 지도 데이터의 자동 다운로드 및 업데이트를 사용하지 않도록 설정합니다. 0으로 설정
- MDM 정책: AllowOfflineMapsDownloadOverMeteredConnection. 데이터 통신 연결을 통해 지도 데이터를 다운로드하고 업데이트할 수 있습니다.
OneDrive
- MDM 정책: DisableOneDriveFileSync. IT 관리자가 앱과 기능을 OneDrive의 파일에서 사용하지 못하도록 할 수 있습니다. 1로 설정
- ADMX 수집 - 최신 버전의 Windows 10 및 Windows 11 클라이언트를 필요로 하는 최신 OneDrive ADMX 파일을 가져옵니다. ADMX 파일은 %LocalAppData%\Microsoft\OneDrive\ 경로에 있습니다. 최신 OneDrive 빌드(예: "18.162.0812.0001")가 있는 폴더가 있습니다. admx 및 adml 정책 정의 파일을 포함하는 "adm"이라는 폴더가 있습니다.
- MDM 정책: 사용자가 로그인하기 전에 네트워크 트래픽을 방지합니다. PreventNetworkTrafficPreUserSignIn. OMA-URI 값: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC\~Policy\~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn, 데이터 형식: String, 값: <enabled/>
개인 정보 설정 피드백 및 진단 페이지를 제외하고, 이 설정은 PC에 로그인하는 모든 사용자 계정에 대해 구성되어야 합니다.
- 일반 - TextInput/AllowLinguisticDataCollection. 이 정책 설정은 Microsoft에 수동 입력 및 입력 데이터를 전송하는 기능을 제어합니다. 0으로 설정
- 위치 - System/AllowLocation. 위치 서비스에 대한 앱 액세스를 허용할지 여부를 지정합니다. 0으로 설정
- 카메라 - Camera/AllowCamera. 카메라를 사용하거나 사용하지 않습니다. 0으로 설정
- 마이크 - Privacy/LetAppsAccessMicrophone. Windows 앱에서 마이크에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 알림 - Privacy/LetAppsAccessNotifications. Windows 앱에서 알림에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 알림 - Settings/AllowOnlineTips. 설정 앱에 대한 온라인 팁 및 도움말 검색을 설정하거나 해제합니다. 정수 값 0
- 음성, 수동 입력 및 입력 - Privacy/AllowInputPersonalization. 이 정책은 장치 사용자에게 온라인 음성 인식을 사용하도록 설정할 수 있는 옵션이 있는지 여부를 지정합니다. 0으로 설정
- 음성, 수동 입력 및 입력 - TextInput/AllowLinguisticDataCollection. 이 정책 설정은 Microsoft에 수동 입력 및 입력 데이터를 전송할 수 있는 기능을 제어합니다. 0으로 설정
- 계정 정보 - Privacy/LetAppsAccessAccountInfo. Windows 앱에서 계정 정보에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 연락처 - Privacy/LetAppsAccessContacts. Windows 앱에서 연락처에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 일정 - Privacy/LetAppsAccessCalendar. Windows 앱에서 일정에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 통화 기록 - Privacy/LetAppsAccessCallHistory. Windows 앱에서 계정 정보에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 메일 - Privacy/LetAppsAccessEmail. Windows 앱에서 전자 메일에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 메시지 - Privacy/LetAppsAccessMessaging. Windows 앱에서 메시지(텍스트 또는 MMS)를 읽거나 보낼 수 있는지 여부를 지정합니다. 2로 설정
- 전화 통화 - Privacy/LetAppsAccessPhone. Windows 앱이 전화를 걸 수 있는지 여부를 지정합니다. 2로 설정
- 라디오 - Privacy/LetAppsAccessRadios. Windows 앱에서 라디오 제어에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 기타 장치 - Privacy/LetAppsSyncWithDevices. Windows 앱을 장치와 동기화할 수 있는지 여부를 지정합니다. 2로 설정
- 기타 장치 - Privacy/LetAppsAccessTrustedDevices. Windows 앱에서 신뢰할 수 있는 장치에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 피드백 및 진단 - System/AllowTelemetry. 장치에서 진단 및 사용 원격 분석 데이터(예: Watson)를 보낼 수 있도록 허용합니다. 0으로 설정
- 피드백 및 진단 - Experience/DoNotShowFeedbackNotifications. 장치에서 Microsoft의 피드백 질문이 표시되지 않도록 합니다. 1로 설정
- 백그라운드 앱 - Privacy/LetAppsRunInBackground. Windows 앱이 백그라운드에서 실행될 수 있는지 여부를 지정합니다. 2로 설정
- 동작 - Privacy/LetAppsAccessMotion. Windows 앱에서 이동 데이터에 액세스할 수 있는지 여부를 지정합니다. 2로 설정
- 작업 - Privacy/LetAppsAccessTasks. 작업에 액세스할 수 있는 앱을 선택하는 기능을 끕니다. 2로 설정
- 앱 진단 - Privacy/LetAppsGetDiagnosticInfo. 실행 중인 다른 앱에 대한 진단 정보를 가져올 수 있는 앱의 사용자 제어를 강제로 허용, 거부 또는 제공합니다. 2로 설정
소프트웨어 보호 플랫폼 - Licensing/DisallowKMSClientOnlineAVSValidation. Microsoft에 KMS 클라이언트 정품 인증 데이터를 자동으로 보내는 것을 옵트아웃합니다. 1로 설정
저장소 상태 - Storage/AllowDiskHealthModelUpdates. 디스크 상태 모델 업데이트를 허용합니다. 0으로 설정
설정 동기화 - Experience/AllowSyncMySettings. 설정이 동기화되는지 여부를 제어합니다. 0으로 설정
Teredo - MDM이 필요하지 않습니다. Teredo는 기본적으로 해제되어 있습니다. 배달 최적화(DO)는 Teredo를 켤 수 있지만, DO 자체는 MDM을 통해 해제됩니다.
Wi-Fi 센스 - MDM이 필요하지 않습니다. Windows 10 버전 1803 이상 또는 Windows 11에서는 Wi-Fi 센스를 더 이상 사용할 수 없습니다.
Windows Defender
- Defender/AllowCloudProtection. Microsoft 맬웨어 방지 프로그램 보호 서비스에서 연결을 끊습니다. 0으로 설정
- Defender/SubmitSamplesConsent. 파일 샘플을 다시 Microsoft로 보내는 것을 중지합니다. 2로 설정
- Defender/EnableSmartScreenInShell. 앱 및 파일 실행을 위해 Windows에서 SmartScreen을 끕니다. 0으로 설정
- Windows Defender SmartScreen - Browser/AllowSmartScreen. Windows Defender SmartScreen을 사용하지 않도록 설정합니다. 0으로 설정
- Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl. 사용자가 Microsoft Store 이외의 위치에서 앱을 설치할 수 있는지 여부를 제어합니다. 0으로 설정
- Windows Defender 잠재적으로 원치 않는 응용 프로그램(PUA) 보호 - Defender/PUAProtection. 잠재적으로 원치 않는 응용 프로그램(PUA)에 대한 검색 수준을 지정합니다. 1로 설정
- Defender/SignatureUpdateFallbackOrder. 다른 정의 업데이트 원본에 연결되는 순서를 정의할 수 있습니다. 이에 대한 OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder, 데이터 형식: String, 값: FileShares
Windows 추천 - Experience/AllowWindowsSpotlight. Windows 추천을 사용하지 않도록 설정합니다. 0으로 설정
Microsoft Store
- ApplicationManagement/DisableStoreOriginatedApps. 사전 설치되었거나 다운로드된 Microsoft Store의 모든 앱의 시작을 해제하는 부울 값입니다. 1로 설정
- ApplicationManagement/AllowAppStoreAutoUpdate. Microsoft Store 앱의 자동 업데이트 허용 여부를 지정합니다. 0으로 설정
웹 사이트용 앱 - ApplicationDefaults/EnableAppUriHandlers. 이 정책 설정은 Windows에서 앱 URI 처리기를 사용하여 웹에서 앱으로 연결할 수 있는지 여부를 결정합니다. 0으로 설정
Windows 업데이트 배달 최적화 - 정책 CSP에서 다음 배달 최적화 MDM 정책을 사용할 수 있습니다.
- DeliveryOptimization/DODownloadMode. 배달 최적화에서 업데이트 및 앱을 가져오거나 보내는 위치를 선택할 수 있습니다. 99(구십구)로 설정
Windows 업데이트
- Update/AllowAutoUpdate. 자동 업데이트를 제어합니다. 5로 설정
- Windows 업데이트 - 업데이트 서비스 허용 - Update/AllowUpdateService. 장치에서 Microsoft 업데이트, WSUS(Windows Server Update Services) 또는 Microsoft Store를 사용할 수 있는지 여부를 지정합니다. 0으로 설정
- Windows 업데이트 서비스 URL - Update/UpdateServiceUrl. 장치에서 Microsoft 업데이트 대신 WSUS 서버의 업데이트를 확인할 수 있도록 합니다. 다음 값으로 문자열로 설정:
- <바꾸기><CmdID>$CmdID$<항목><메타><형식>chr<유형>text/plain</Meta><대상><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><데이터>http://abcd-srv:8530</Item></Replace>
권장 사항
a. 시작 정책 CSP(구성 서비스 공급자)의 HideRecentJumplist 설정입니다. 시작 메뉴 권장 섹션에서 권장되는 앱 및 파일 목록을 숨기려면
Microsoft Intune/MDM 구성에 허용된 트래픽
허용된 트래픽 끝점 |
---|
activation-v2.sls.microsoft.com/* |
cdn.onenote.net |
client.wns.windows.com |
crl.microsoft.com/pki/crl/* |
ctldl.windowsupdate.com |
*displaycatalog.mp.microsoft.com |
dm3p.wns.windows.com |
\*microsoft.com/pkiops/\* |
ocsp.digicert.com/* |
r.manage.microsoft.com |
tile-service.weather.microsoft.com |
settings-win.data.microsoft.com |
msedge.api.cdp.microsoft.com |
*.dl.delivery.mp.microsoft.com |
edge.microsoft.com |