Microsoft Defender Application Guard 설치 준비
참고
- Windows 격리 앱 시작 관리자 API를 포함한 Microsoft Defender Application Guard 비즈니스용 Microsoft Edge 더 이상 사용되지 않으며 더 이상 업데이트되지 않습니다. Microsoft Edge 보안 기능에 대한 자세한 내용은 비즈니스 보안용 Microsoft Edge를 참조하세요.
- Windows 11 버전 24H2부터 Windows 격리 앱 시작 관리자 API를 포함한 Microsoft Defender Application Guard 더 이상 사용할 수 없습니다.
- Application Guard 더 이상 사용되지 않으므로 Edge 매니페스트 V3으로 마이그레이션하지 않습니다. 해당 브라우저 확장 및 연결된 Windows 스토어 앱을 더 이상 사용할 수 없습니다. 엔터프라이즈에서 MDAG 사용을 중지할 준비가 될 때까지 보호되지 않는 브라우저를 차단하려면 AppLocker 정책 또는 Microsoft Edge 관리 서비스를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Edge 및 Microsoft Defender Application Guard 참조하세요.
계속하기 전에 Microsoft Defender Application Guard 대한 시스템 요구 사항을 검토하여 Microsoft Defender Application Guard 대한 하드웨어 및 소프트웨어 설치 요구 사항을 검토합니다.
참고
VM 및 VDI 환경에서는 Microsoft Defender Application Guard 지원되지 않습니다. 비 프로덕션 시스템에서 테스트 및 자동화하려면 호스트에서 Hyper-V 중첩 가상화를 사용하도록 설정하여 VM에서 WDAG를 활성화할 수 있습니다.
Microsoft Defender Application Guard 준비
Microsoft Defender Application Guard 설치하고 사용하려면 먼저 엔터프라이즈에서 사용할 방법을 결정해야 합니다. 독립 실행형 또는 엔터프라이즈 관리형 모드에서 Application Guard를 사용할 수 있습니다.
독립 실행형 모드
직원이 관리자 또는 관리 정책을 구성하지 않고도 하드웨어 격리 브라우징 세션을 사용할 수 있습니다. 이 모드에서는 반드시 Application Guard를 설치해야 하며, 직원이 신뢰할 수 없는 사이트를 브라우징하는 동안 Application Guard에서 수동으로 Microsoft Edge를 시작해야 합니다. 작동 방법의 예는 독립 실행형 모드 테스트 시나리오의 Application Guard를 참조하세요.
독립 실행형 모드는 다음을 적용할 수 있습니다.
- Windows 10 Enterprise 버전, 버전 1709 이상
- Windows 10 Pro 버전, 버전 1803 이상
- Windows 10 Education 버전, 버전 1809 이상
- Windows 11 Enterprise, 교육 또는 Pro 버전
엔터프라이즈 관리 모드
기업과 보안 부서는 신뢰할 수 있는 도메인을 명시적으로 추가하고 Application Guard 경험을 사용자 지정하여 직원 장치에서 요구를 충족하고 적용하는 방식으로 기업 경계를 정의할 수 있습니다. 엔터프라이즈 관리 모드는 컨테이너에 비엔터프라이즈 도메인을 추가하도록 브라우저 요청을 자동으로 리디렉션합니다.
엔터프라이즈 관리 모드는 다음을 위해 적용할 수 있습니다.
- Windows 10 Enterprise 버전, 버전 1709 이상
- Windows 10 Education 버전, 버전 1809 이상
- Windows 11 Enterprise 또는 Education 버전
다음 그림은 호스트 PC와 격리된 컨테이너 간의 흐름을 보여줍니다.
Application Guard 설치
Application Guard 기능은 기본적으로 비활성화되어 있습니다. 그러나 제어판, PowerShell 또는 MDM(모바일 디바이스 관리) 솔루션을 통해 직원의 디바이스에 신속하게 설치할 수 있습니다.
제어판 설치
제어판 열고 프로그램을 선택한 다음 Windows 기능 켜기 또는 끄기를 선택합니다.
Microsoft Defender Application Guard 옆에 있는 검사 상자를 선택한 다음 확인을 선택하여 Application Guard 및 해당 기본 종속성을 설치합니다.
PowerShell에서 설치
참고
이 단계 전에 디바이스가 모든 시스템 요구 사항을 충족하는지 확인합니다. PowerShell은 시스템 요구 사항을 확인하지 않고 기능을 설치합니다. 디바이스가 시스템 요구 사항을 충족하지 않는 경우 Application Guard 작동하지 않을 수 있습니다. 이 단계는 엔터프라이즈 관리 시나리오에만 권장됩니다.
Windows 작업 표시줄에서 검색 아이콘을 선택하고 PowerShell을 입력합니다.
Windows PowerShell 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택하여 관리자 자격 증명으로 Windows PowerShell 엽니다.
다음 명령을 입력합니다.
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
디바이스를 다시 시작하여 Application Guard 및 해당 기본 종속성을 설치합니다.
Intune 설치
중요
organization 디바이스가 요구 사항을 충족하고 Intune 등록되어 있는지 확인합니다.
Microsoft Intune 관리 센터에 로그인합니다.
엔드포인트 보안>공격 노출 영역 축소>정책 만들기를 선택하고 다음을 수행합니다.
- 플랫폼 목록에서 Windows 10 이상을 선택합니다.
- 프로필 유형에서 앱 및 브라우저 격리를 선택합니다.
- 만들기를 선택합니다.
기본 탭에서 정책의 이름 및 설명을 지정합니다. 다음을 선택합니다.
구성 설정 탭에서 원하는 대로 Application Guard 설정을 구성합니다. 다음을 선택합니다.
범위 태그 탭에서 organization scope 태그를 사용하는 경우 + scope 태그 선택을 선택한 다음 사용할 태그를 선택합니다. 다음을 선택합니다.
scope 태그에 대한 자세한 내용은 RBAC(역할 기반 액세스 제어) 및 분산 IT에 scope 태그 사용을 참조하세요.
할당 페이지에서 정책을 수신하는 사용자 또는 그룹을 선택합니다. 다음을 선택합니다.
정책 할당에 대한 자세한 내용은 Microsoft Intune 정책 할당을 참조하세요.
설정을 검토한 다음 만들기를 선택합니다.
정책을 만든 후 정책을 적용해야 하는 모든 디바이스는 Microsoft Defender Application Guard 사용하도록 설정됩니다. 보호가 적용되려면 사용자가 디바이스를 다시 시작해야 할 수 있습니다.