Microsoft Intune에서 디바이스 프로필 만들기

디바이스 프로필을 사용하여 설정을 추가 및 구성한 후 조직의 디바이스에 이 설정을 밀어넣을 수 있습니다. 정책을 만들 때 몇 가지 옵션이 있습니다.

  • 관리 템플릿: Windows 10/11 장치의 이 템플릿은 사용자가 구성하는 ADMX 설정입니다. ADMX 정책 또는 GPO(그룹 정책 개체)를 잘 알고 있는 경우 관리 템플릿을 사용하는 것이 Microsoft Intune과 Endpoint Manager로 가는 자연스러운 단계입니다.

    자세한 내용은 관리 템플릿을 참조하세요.

  • 기준: Windows 10/11 장치의 이 기준은 미리 구성한 보안 설정을 포함합니다. Microsoft 보안 팀의 권장 사항을 사용하여 보안 정책을 만들려는 경우 보안 기준은 사용자의 기준이 됩니다.

    자세한 내용은 보안 기준을 참조하세요.

  • 설정 카탈로그: Windows 10/11 장치에서 설정 카탈로그를 사용하여 사용 가능한 모든 설정을 한 위치에서 확인합니다. 예를 들어 BitLocker에 적용되는 모든 설정을 확인하고 BitLocker에만 중점을 둔 정책을 만들 수 있습니다. macOS 디바이스의 경우 설정 카탈로그를 사용하여 Microsoft Edge 버전 77과 설정을 구성합니다.

    자세한 내용은 설정 카탈로그를 참조하세요.

    macOS에서 기본 설정 파일을 사용하여 다음을 수행합니다.

    • 이전 버전의 Microsoft Edge 구성
    • 설정 카탈로그에 없는 Edge 브라우저 설정 구성
  • 템플릿: Android, iOS/iPadOS, macOS 및 Windows 디바이스에서는 VPN, 이메일, 키오스크 디바이스 등의 기능 또는 개념을 구성하는 설정의 논리 그룹이 템플릿에 포함됩니다. Microsoft Intune에서 디바이스 구성 정책을 만드는 방법을 잘 알고 있다면 이러한 템플릿을 이미 사용 중일 것입니다.

    사용 가능한 템플릿을 포함하여 자세한 내용은 디바이스 프로필을 사용하여 디바이스에서 기능 및 설정 적용을 참조하세요.

이 문서의 내용은 다음과 같습니다.

  • 프로필을 만드는 단계를 나열합니다.
  • 범위 태그를 추가하여 정책을 "필터링"하는 방법을 보여 줍니다.
  • Windows 클라이언트 장치의 적용 가능성 규칙을 설명하고 규칙을 만드는 방법을 보여줍니다.
  • 디바이스가 프로필 및 프로필 업데이트를 받는 체크 인 새로 고침 주기 시간을 나열합니다.

프로필 만들기

프로필은 Microsoft Endpoint Manager 관리 센터에서 생성됩니다. 이 관리 센터에서 디바이스 를 선택합니다. 다음과 같은 옵션을 선택할 수 있습니다.

Endpoint Manager와 Microsoft Intune에서 구성 및 관리할 수 있는 항목을 볼 디바이스를 선택합니다.

  • 개요: 프로필의 상태를 나열하고 사용자와 디바이스에 할당한 프로필에 관한 추가 세부 정보를 제공합니다.
  • 모니터링: 성공 또는 실패에 대한 프로필 상태를 확인하고 프로필 로그도 봅니다.
  • 플랫폼별: 플랫폼별 정책 및 프로필을 만들고 확인합니다. 이 보기에는 플랫폼에 특정한 기능이 표시될 수도 있습니다. 예를 들어 Windows 를 선택하면 Windows 업데이트 링PowerShell 스크립트 같은 Windows 특정 기능이 표시됩니다.
  • 정책: 디바이스 프로필을 만들어 디바이스에서 실행할 사용자 지정 PowerShell 스크립트를 업로드하고, eSIM을 사용하는 디바이스에 데이터 플랜을 추가합니다.

프로필을 만들 때(구성 프로필 > 프로필 만들기) 플랫폼을 선택합니다.

  • Android 장치 관리자
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 10 이상
  • Windows 8.1 이상

그런 다음 프로필을 선택합니다. 선택한 플랫폼에 따라 구성할 수 있는 설정이 다릅니다. 다음 문서에서는 다양한 프로필을 설명합니다.

예를 들어 플랫폼으로 iOS/iPadOS 를 선택하는 경우 옵션은 다음 프로필과 비슷하게 표시됩니다.

Endpoint Manager와 Microsoft Intune에서 iOS/iPadOS 디바이스 구성 정책 및 프로필을 만듭니다.

플랫폼으로 Windows 10 이상 을 선택하는 경우 옵션은 다음 프로필과 비슷하게 표시됩니다.

Endpoint Manager와 Microsoft Intune에서 Windows 디바이스 구성 정책 및 프로필을 만듭니다.

범위 태그

설정을 추가한 후 프로필에 범위 태그를 추가할 수도 있습니다. 범위 태그는 프로필을 특정 IT 그룹(예: US-NC IT Team 또는 JohnGlenn_ITDepartment)으로 필터링합니다. 또한 분산 IT에서 사용됩니다.

범위 태그 및 수행할 수 있는 작업에 대한 자세한 내용은 분산형 IT에 RBAC 및 범위 태그 사용을 참조하세요.

적용 가능성 규칙

적용 대상:

  • Windows 11
  • Windows 10

적용 가능성 규칙을 통해 관리자는 특정 조건을 충족하는 그룹의 디바이스를 대상으로 지정할 수 있습니다. 예를 들어 모든 Windows 10/11 디바이스 그룹에 적용되는 디바이스 제한 프로필을 만들고, Windows Enterprise를 실행하는 디바이스에만 프로필을 할당하려고 한다고 해 봅시다.

이 작업을 수행하려면 적용 가능성 규칙 을 만듭니다. 이러한 규칙은 다음 시나리오에 유용합니다.

  • Windows 10 교육(EDU)을 사용합니다. Bellows college에서는 RS3와 RS4 사이에 있는 모든 Windows 10 EDU 디바이스를 대상으로 지정하려 합니다.
  • Contoso의 인사 관리 부서에 있는 모든 사용자를 대상으로 지정하지만 Windows 10 Professional 또는 Enterprise 디바이스만 사용하려 합니다.

이러한 시나리오를 사용하려면 다음을 수행합니다.

  • Bellows college의 모든 디바이스를 포함하는 디바이스 그룹을 만듭니다. 프로필에서 OS 최소 버전이 16299이고 최대 버전이 17134인 경우 적용 되도록 적용 가능성 규칙을 추가합니다. Bellows college 디바이스 그룹에 이 프로필을 할당합니다.

    할당된 후에는 프로필이 입력한 최소 및 최대 버전 사이의 디바이스에 적용됩니다. 입력하는 최소 및 최대 버전 사이에 있지 않은 디바이스의 경우 상태가 적용할 수 없음 으로 표시됩니다.

  • Contoso에서 HR(인사 관리 부서)의 모든 사용자를 포함하는 사용자 그룹을 만듭니다. 프로필에서 Windows 10 Professional 또는 Enterprise를 실행하는 디바이스에 적용되는 적용 가능성 규칙을 추가합니다. HR 사용자 그룹에 이 프로필을 할당합니다.

    할당된 프로필은 Windows 10 Professional 또는 Enterprise를 실행하는 디바이스에 적용됩니다. 이러한 버전을 실행하지 않는 장치의 경우 상태가 적용할 수 없음 으로 표시됩니다.

  • 동일한 설정을 사용하는 프로필이 두 개 있으면 적용 가능성 규칙이 없는 프로필이 적용됩니다.

    예를 들어 프로필 A는 Windows 10 디바이스 그룹을 대상으로 하고, BitLocker를 사용하도록 설정하고, 적용 가능성 규칙이 없습니다. 프로필 B는 동일한 Windows 10 디바이스 그룹을 대상으로 하며, BitLocker를 사용하도록 설정하고, Windows 10 Enterprise에만 프로필을 적용하는 적용 가능성 규칙이 있습니다.

    두 프로필을 모두 할당하는 경우 프로필 A에 적용 가능성 규칙이 없기 때문에 프로필 A가 작용됩니다.

그룹에 프로필을 할당하는 경우 적용 가능성 규칙은 필터 역할을 하며 조건을 충족하는 디바이스만 대상으로 합니다.

규칙 추가

  1. 적용 가능성 규칙 을 선택합니다. 규칙속성 을 선택할 수 있습니다.

    적용 가능성 규칙을 Endpoint Manager와 Microsoft Intune의 Windows 10 디바이스 구성 프로필에 추가합니다.

  2. 규칙 에서 사용자 또는 그룹을 포함할지 아니면 제외할지를 선택합니다. 옵션은 다음과 같습니다.

    • 다음의 경우 프로필 할당: 입력한 조건을 충족하는 사용자 또는 그룹을 포함합니다.
    • 다음의 경우 프로필 할당하지 않음: 입력한 조건을 충족하는 사용자 또는 그룹을 제외합니다.
  3. 속성 에서 필터를 선택합니다. 옵션은 다음과 같습니다.

    • OS 버전: 목록에서 규칙에서 포함 또는 제외하려는 Windows 클라이언트 버전을 확인합니다.

    • OS 버전: 규칙에 포함하거나 제외하려는 Windows 클라이언트 버전 수의 최소값최대값 을 입력합니다. 두 값 모두 필수 항목입니다.

      예를 들어 최소 버전으로 10.0.16299.0(RS3 or 1709)을 입력하고 최대 버전으로 10.0.17134.0(RS4 또는 1803)을 입력할 수 있습니다. 또는 보다 세부적으로 최소 버전으로 10.0.16299.001을 입력하고 최대 버전으로 10.0.17134.319를 입력할 수 있습니다.

      자세한 버전 번호는 Windows 클라이언트 릴리스 정보를 참조하세요.

  4. 추가 를 선택하여 변경 내용을 저장합니다.

주기 시간 새로 고침

Intune은 다양한 새로 고침 주기를 사용하여 구성 프로필에 대한 업데이트를 확인합니다. 최근 등록된 디바이스인 경우 다음과 같이 체크 인이 더 자주 실행됩니다. 정책 및 프로필 새로 고침 주기에는 예상 새로 고침 시간이 나열됩니다.

언제든 사용자는 회사 포털 앱을 열고 디바이스를 동기화하여 즉시 프로필 업데이트를 확인할 수 있습니다.

추천

프로필을 만들 때 다음 권장 사항을 고려합니다.

  • 어떤 정책인지와 어떤 작업을 수행하는지 알 수 있는 이름을 정책에 지정합니다. 모든 준수 정책구성 프로필에는 선택적 설명 속성이 있습니다. 설명 은 다른 사람이 어떤 정책인지 알 수 있도록 구체적으로 지정하고 정보를 포함합니다.

    일부 구성 프로필 예제는 다음과 같습니다.

    프로필 이름: 관리 템플릿 - 모든 Windows 10 사용자를 위한 OneDrive 구성 프로필
    프로필 설명: 모든 Windows 10 사용자에 대한 최소 및 기본 설정이 포함된 OneDrive 관리 템플릿 프로필입니다. 사용자가 조직 데이터를 개인 OneDrive 계정과 공유하지 못하도록 하기 위해 user@contoso.com에서 생성합니다.

    프로필 이름: 모든 iOS/iPadOS 사용자의 VPN 프로필
    프로필 설명: 모든 iOS/iPadOS 사용자가 Contoso VPN에 연결하는 데 필요한 최소 및 기본 설정이 포함된 VPN 프로필입니다. 사용자 이름과 암호를 묻는 메시지를 표시하는 대신, 사용자가 VPN에서 자동으로 인증되도록 하기 위해 user@contoso.com에서 생성합니다.

  • Microsoft Edge 설정 구성, Microsoft Defender 바이러스 백신 설정 사용, iOS/iPadOS 무단 해제된 디바이스 차단과 같은 작업을 통해 프로필을 만듭니다.

  • 마케팅, 영업, IT 관리자, 위치 또는 학교 시스템 등의 특정 그룹에 적용되는 프로필을 만듭니다.

  • 디바이스 정책에서 사용자 정책을 분리합니다.

    예를 들어, Intune의 관리 템플릿에는 수천 개의 ADMX 설정이 있습니다. 이러한 템플릿은 설정이 사용자 또는 디바이스에 적용되는지 여부를 표시합니다. 관리 템플릿을 만들 때 사용자 설정을 사용자 그룹에 할당하고 디바이스 그룹에 디바이스 설정을 할당합니다.

    다음 이미지는 사용자 또는 디바이스 또는 둘 다에 적용할 수 있는 설정의 예를 보여 줍니다.

    Endpoint Manager 및 Microsoft Intune의 사용자와 디바이스에 적용되는 Intune 관리 템플릿.

  • 제한적인 정책을 만들 때마다 사용자에게 이러한 변경 사항을 알려야 합니다. 예를 들어 암호 요구 사항을 4자에서 6자로 변경하는 경우 정책을 할당하기 전에 사용자에게 알립니다.

다음 단계

프로필을 할당하고, 해당 상태를 모니터링합니다.