자습서: 클라우드를 사용하여 ADMX 템플릿 및 Microsoft Intune 사용하여 Windows 10/11 디바이스에서 그룹 정책을 구성합니다.

참고

이 자습서는 Microsoft Ignite에 대한 기술 워크샵으로 만들어졌습니다. Intune 및 온-프레미스에서 ADMX 정책 사용 및 구성을 비교하므로 일반적인 자습서보다 더 많은 필수 구성 요소가 있습니다.

ADMX 템플릿이라고도 하는 그룹 정책 관리 템플릿에는 PC를 포함하여 Windows 클라이언트 디바이스에서 구성할 수 있는 설정이 포함됩니다. ADMX 템플릿 설정은 다양한 서비스에서 사용할 수 있습니다. 이러한 설정은 Microsoft Intune 포함하여 MDM(Mobile 장치 관리) 공급자에서 사용됩니다. 예를 들어 PowerPoint 디자인 아이디어를 켜고, Microsoft Edge 홈페이지를 설정하고, Internet Explorer에서 ActiveX 컨트롤을 차단하는 등의 작업을 수행할 수 있습니다.

ADMX 템플릿은 다음 서비스에 사용할 수 있습니다.

ADMX 정책에 대한 자세한 내용은 ADMX 지원 정책 이해를 참조하세요.

이러한 템플릿은 Microsoft Intune 위해 기본 제공되며 관리 템플릿 프로필로 사용할 수 있습니다. 이 프로필에서는 포함할 설정을 구성한 다음 이 프로필을 디바이스에 "할당"합니다.

이 자습서에서는 다음 작업을 수행하게 됩니다.

  • Microsoft Endpoint Manager 관리 센터를 소개합니다.
  • 사용자 그룹을 만들고 디바이스 그룹을 만듭니다.
  • Intune 설정을 온-프레미스 ADMX 설정과 비교합니다.
  • 다른 관리 템플릿을 만들고 다른 그룹을 대상으로 하는 설정을 구성합니다.

이 랩이 끝나면 Intune 및 Microsoft 365 사용하여 사용자를 관리하고 관리 템플릿을 배포하는 기술을 갖습니다.

이 기능은 다음에 적용됩니다.

  • Windows 11
  • Windows 10 버전 1709 이상

관리 템플릿은 템플릿을 사용하거나 설정 카탈로그를 사용하는 두 가지 방법으로 만들 수 있습니다. 이 문서에서는 관리 템플릿 템플릿을 사용하는 방법을 주로 설명합니다. 설정 카탈로그에는 사용할 수 있는 관리 템플릿 설정이 추가로 있습니다. 설정 카탈로그를 사용하는 구체적인 단계는 설정 카탈로그를 사용하여 설정 구성을 참조하세요.

전제 조건

  • Intune 및 AD(Azure Active Directory) 프리미엄을 포함하는 Microsoft 365 E3 또는 E5 구독입니다. E3 또는 E5 구독이 없는 경우 무료로 사용해 보세요.

    다양한 Microsoft 365 라이선스를 사용하는 방법에 대한 자세한 내용은 Microsoft 365 사용하여 Enterprise 변환을 참조하세요.

  • Microsoft Intune Intune MDM 기관 으로 구성됩니다. 자세한 내용은 모바일 장치 관리 기관 설정을 참조하세요.

    테넌트 상태에 Microsoft Intune MDM 기관 설정

  • 온-프레미스 Active Directory DC(도메인 컨트롤러)에서:

    1. 다음 Office 및 Microsoft Edge 템플릿을 Central Store(sysvol 폴더)에 복사합니다.

    2. DC와 동일한 도메인의 Windows 10/11 Enterprise 관리자 컴퓨터에 이러한 템플릿을 푸시하는 그룹 정책을 만듭니다. 이 자습서에서는 다음을 수행합니다.

      • 이러한 템플릿을 사용하여 만든 그룹 정책을 OfficeandEdge 라고 합니다. 이미지에 이 이름이 표시됩니다.
      • 사용하는 Windows 10/11 Enterprise 관리자 컴퓨터를 관리 컴퓨터 라고 합니다.

      일부 조직에서는 도메인 관리자에게 다음 두 개의 계정이 있습니다.

      • 일반적인 도메인 회사 계정
      • 그룹 정책과 같은 도메인 관리자 작업에만 사용되는 다른 도메인 관리자 계정

      관리 컴퓨터 의 목적은 관리자가 도메인 관리자 계정으로 로그인하고 그룹 정책을 관리하도록 설계된 액세스 도구를 사용하는 것입니다.

  • 이 관리 컴퓨터에서 다음을 수행합니다.

    • 도메인 관리자 계정으로 로그인합니다.

    • RSAT: 그룹 정책 관리 도구를 설치합니다.

      1. AppsOptional > featuresAdd 기능을 > > 설정 앱을 엽니다.

      2. RSAT: 그룹 정책 Management ToolsInstall > 을 선택합니다.

        Windows 기능을 설치하는 동안 기다립니다. 완료되면 결국 Windows 관리 도구 앱에 표시됩니다.

        그룹 정책 관리 앱을 포함한 관리 도구 앱 Windows

    • Endpoint Manager 관리 센터를 포함하는 Microsoft 365 구독에 대한 인터넷 액세스 및 관리자 권한이 있는지 확인합니다.

Endpoint Manager 관리 센터 열기

  1. Microsoft Edge 버전 77 이상과 같은 chromium 웹 브라우저를 엽니다.

  2. Microsoft Endpoint Manager 관리 센터로 이동합니다. 다음 계정으로 로그인합니다.

    사용자: Microsoft 365 테넌트 구독의 관리자 계정을 입력합니다.
    암호: 암호를 입력합니다.

이 관리 센터는 디바이스 관리에 중점을 두고 있으며 Azure AD 및 Intune 같은 Azure 서비스를 포함합니다. Azure Active DirectoryIntune 브랜딩이 표시되지 않을 수도 있지만 사용하고 있습니다.

Microsoft 365 관리 센터 Endpoint Manager 관리 센터를 열 수도 있습니다.

  1. https://admin.microsoft.com으로 이동합니다.

  2. Microsoft 365 테넌트 구독의 관리자 계정으로 로그인합니다.

  3. AllAll > 관리 센터 > Endpoint 관리 표시를 선택합니다. Endpoint Manager 관리 센터가 열립니다.

    Microsoft 365 관리 센터 모든 관리 센터 보기

그룹 만들기 및 사용자 추가

온-프레미스 정책은 LSDOU 순서(로컬, 사이트, 도메인 및 OU(조직 구성 단위))에 적용됩니다. 이 계층 구조에서 OU 정책은 로컬 정책을 덮어쓰고, 도메인 정책은 사이트 정책을 덮어쓰는 등의 작업을 수행합니다.

Intune에서 정책은 직접 만든 사용자 및 그룹에 적용됩니다. 계층 구조가 없습니다. 예제:

  • 두 정책이 동일한 설정을 업데이트하는 경우 설정은 충돌로 표시됩니다.
  • 두 규정 준수 정책이 충돌하는 경우 가장 제한적인 정책이 적용됩니다.
  • 두 구성 프로필이 충돌하는 경우 설정이 적용되지 않습니다.

자세한 내용은 디바이스 정책 및 프로필과 관련된 일반적인 질문, 문제 및 해결 방법을 참조하세요.

다음 단계에서는 보안 그룹을 만들고 이러한 그룹에 사용자를 추가합니다. 여러 그룹에 사용자를 추가할 수 있습니다. 예를 들어 사용자가 업무용 Surface Pro 및 개인용 Android 모바일 디바이스와 같은 여러 디바이스를 사용하는 것이 정상입니다. 또한 사용자가 이러한 여러 디바이스에서 조직 리소스에 액세스하는 것은 정상입니다.

  1. Endpoint Manager 관리 센터에서 GroupsNew > 그룹을 선택합니다.

  2. 다음 설정을 입력합니다.

    • 그룹 유형: 보안 을 선택합니다.
    • 그룹 이름: 모든 Windows 10 학생 디바이스를 입력합니다.
    • 멤버 자격 유형: 할당을 선택합니다.
  3. 구성원 을 선택하고 일부 디바이스를 추가합니다.

    디바이스 추가는 선택 사항입니다. 목표는 그룹을 만들고 디바이스를 추가하는 방법을 알고 연습하는 것입니다. 프로덕션 환경에서 이 자습서를 사용하는 경우 수행 중인 작업을 알고 있어야 합니다.

  4. 선택 > 변경 내용을 저장하기 위해 만듭니다.

    그룹이 표시되지 않나요? 새로 고침 을 선택합니다.

  5. 새 그룹을 선택하고 다음 설정을 입력합니다.

    • 그룹 유형: 보안 을 선택합니다.

    • 그룹 이름: 모든 Windows 디바이스를 입력합니다.

    • 멤버 자격 유형: 동적 디바이스 를 선택합니다.

    • 동적 디바이스 멤버: 동적 쿼리 추가 를 선택하고 쿼리를 구성합니다.

      • 속성: deviceOSType 을 선택합니다.
      • 연산자: 등호를 선택합니다.
      • : Windows 입력합니다.
      1. 식 추가 를 선택합니다. 식은 규칙 구문 에 표시됩니다.

        동적 쿼리 만들기 및 Microsoft Intune 관리 템플릿에서 식 추가

        입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 운영 체제가 Windows 때 디바이스가 이 그룹에 자동으로 추가됩니다. 프로덕션 환경에서 이 자습서를 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

      2. 저장 > 변경 내용을 저장하기 위해 만듭니다.

  6. 다음 설정을 사용하여 모든 교사 그룹을 만듭니다.

    • 그룹 유형: 보안 을 선택합니다.

    • 그룹 이름: 모든 교사를 입력합니다.

    • 멤버 자격 유형: 동적 사용자를 선택합니다.

    • 동적 사용자 구성원: 동적 쿼리 추가 를 선택하고 쿼리를 구성합니다.

      • 속성: 부서 를 선택합니다.

      • 연산자: 등호를 선택합니다.

      • : 교사를 입력합니다.

        1. 식 추가 를 선택합니다. 식이 규칙 구문 에 표시됩니다.

          입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 부서가 교사일 때 사용자가 이 그룹에 자동으로 추가됩니다. 사용자가 조직에 추가되면 부서 및 기타 속성을 입력할 수 있습니다. 프로덕션 환경에서 이 자습서를 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

        2. 저장 > 변경 내용을 저장하기 위해 만듭니다.

대화 포인트

  • 동적 그룹은 Azure AD Premium 기능입니다. Azure AD Premium 없는 경우 할당된 그룹만 만들 수 있습니다. 동적 그룹에 대한 자세한 내용은 다음을 참조하세요.

  • Azure AD Premium MFA(다단계 인증)조건부 액세스를 포함하여 앱 및 디바이스를 관리할 때 일반적으로 사용되는 다른 서비스를 포함합니다.

  • 많은 관리자가 사용자 그룹을 사용해야 하는 시기와 디바이스 그룹을 사용해야 하는 시기를 묻습니다. 일부 지침은 사용자 그룹 및 디바이스 그룹을 참조하세요.

  • 사용자가 여러 그룹에 속할 수 있습니다. 다음과 같이 만들 수 있는 다른 동적 사용자 및 디바이스 그룹 중 일부를 고려해 보세요.

    • 모든 학생
    • 모든 Android 디바이스
    • 모든 iOS/iPadOS 디바이스
    • 마케팅
    • 인적 자원
    • 모든 Charlotte 직원
    • 모든 Redmond 직원
    • 서부 해안 IT 관리자
    • 동부 해안 IT 관리자

만든 사용자 및 그룹은 Microsoft 365 관리 센터, Azure Portal Azure AD, Azure Portal Microsoft Intune 표시됩니다. 테넌트 구독에 대한 이러한 모든 영역에서 그룹을 만들고 관리할 수 있습니다. 디바이스 관리가 목표인 경우 Microsoft Endpoint Manager 관리 센터를 사용합니다.

그룹 멤버 자격 검토

  1. Endpoint Manager 관리 센터에서 기존 사용자의 이름을 선택할 > 사용자를 선택합니다.

    Endpoint Manager 관리 센터에서 사용자를 선택합니다.

  2. 추가하거나 변경할 수 있는 정보 중 일부를 검토합니다. 예를 들어 직속, 부서, 도시, Office 위치 등 구성할 수 있는 속성을 확인합니다. 동적 그룹을 만들 때 동적 쿼리에서 이러한 속성을 사용할 수 있습니다.

  3. 그룹을 선택하여 이 사용자의 멤버 자격을 확인합니다. 그룹에서 사용자를 제거할 수도 있습니다.

  4. 다른 옵션 중 일부를 선택하여 자세한 정보와 수행할 수 있는 작업을 확인합니다. 예를 들어 할당된 라이선스, 사용자의 디바이스 등을 확인합니다.

난 그냥 무엇을 했는가?

Endpoint Manager 관리 센터에서 새 보안 그룹을 만들고 이러한 그룹에 기존 사용자 및 디바이스를 추가했습니다. 이 자습서의 이후 단계에서 이러한 그룹을 사용합니다.

Intune 템플릿 만들기

이 섹션에서는 Intune 관리 템플릿을 만들고, 그룹 정책 Management 의 일부 설정을 살펴보고, Intune 동일한 설정을 비교합니다. 목표는 그룹 정책에서 설정을 표시하고 Intune 동일한 설정을 표시하는 것입니다.

  1. Endpoint Manager 관리 센터에서 DevicesConfiguration > profilesCreate > 프로필을 선택합니다.

  2. 다음 속성을 입력합니다.

    • 플랫폼: Windows 10 이상 을 선택합니다.
    • 프로필: 관리 템플릿을 선택합니다.
  3. 만들기 를 선택합니다.

  4. 기본 에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 학생 디바이스를 Windows 10 관리자 템플릿을 입력합니다.
    • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
  5. 다음 을 선택합니다.

  6. 구성 설정 에서 모든 설정 은 모든 설정의 사전순 목록을 표시합니다. 디바이스에 적용되는 설정(컴퓨터 구성) 및 사용자에게 적용되는 설정(사용자 구성)을 필터링할 수도 있습니다.

    Microsoft Intune Endpoint Manager 사용자 및 디바이스에 ADMX 템플릿 설정 적용

  7. 컴퓨터 구성 > Microsoft Edge > SmartScreen 설정을 선택합니다. 정책의 경로와 사용 가능한 모든 설정을 확인합니다.

    Microsoft Intune ADMX 템플릿에서 Microsoft Edge SmartScreen 정책 설정을 참조하세요.

  8. 검색에서 다운로드를 입력 합니다. 정책 설정이 필터링됩니다.

    Microsoft Intune ADMX 템플릿에서 Microsoft Edge SmartScreen 정책 설정 필터링

그룹 정책 관리 열기

이 섹션에서는 Intune 정책과 일치하는 정책을 그룹 정책 관리 편집기에서 보여 드립니다.

디바이스 정책 비교

  1. 관리 컴퓨터 에서 그룹 정책 관리 앱을 엽니다.

    이 앱은 Windows 설치하는 선택적 기능인 RSAT: 그룹 정책 관리 도구 와 함께 설치됩니다. 이 문서의 필수 구성 요소 에는 설치 단계가 나열됩니다.

  2. 도메인을 > 도메인을 선택합니다. 예를 들어 contoso.net 선택합니다.

  3. OfficeandEdge 정책 > 편집 을 마우스 오른쪽 단추로 클릭합니다. 그룹 정책 관리 편집기 앱이 열립니다.

    Office 마우스 오른쪽 단추로 클릭하고 ADMX 그룹 정책을 Microsoft Edge 편집을 선택합니다.

    OfficeandEdge 는 Office 및 Microsoft Edge ADMX 템플릿을 포함하는 그룹 정책입니다. 이 정책은 필수 구성 요소 (이 문서)에 설명되어 있습니다.

  4. Computer configurationPoliciesAdministrative > > Templates > 제어판 > Personalization 을 확장합니다. 사용 가능한 설정을 확인합니다.

    그룹 정책 관리 편집기에서 컴퓨터 구성을 확장하고 개인 설정으로 이동합니다.

    잠금 화면 카메라 사용 방지를 두 번 클릭하고 사용 가능한 옵션을 확인합니다.

    그룹 정책에서 컴퓨터 구성 설정 옵션을 참조하세요.

  5. Endpoint Manager 관리 센터에서 학생 디바이스 템플릿을 Windows 10 관리 템플릿 으로 이동합니다.

  6. 컴퓨터 구성 > 제어판 > 인격화를 선택합니다. 사용 가능한 설정은 다음과 같습니다.

    Microsoft Intune 개인 설정 정책 설정 경로

    설정 유형은 Device 이고 경로는 /제어판/Personalization 입니다. 이 경로는 그룹 정책 관리 편집기에서 방금 본 것과 비슷합니다. 잠금 화면 카메라 설정 사용 안 함 설정을 열면 그룹 정책 관리 편집기에서 표시되는 것과 동일한 구성되지 않음, 사용사용 안 함 옵션이 표시됩니다.

사용자 정책 비교

  1. 관리 템플릿에서 Computer configurationAll > 설정을 선택하고 자세한 검색을 검색합니다. 경로를 확인합니다.

    사용자 구성 에 대해 동일한 작업을 수행합니다. 모든 설정을 선택하고 권한 있는 검색을 검색합니다.

  2. 그룹 정책 관리 편집기 에서 일치하는 사용자 및 디바이스 설정을 찾습니다.

    • 디바이스: Computer configurationPoliciesAdministrative > > Templates > Windows componentsInternet > ExplorerPrivacyTurn > > off InPrivate 브라우징 을 확장합니다.
    • 사용자: User configurationPoliciesAdministrative > > Templates > Windows componentsInternet > ExplorerPrivacyTurn > > off InPrivate 브라우징 을 확장합니다.

    ADMX 템플릿을 사용하여 Internet Explorer에서 InPrivate 브라우징 끄기

기본 제공 Windows 정책을 보려면 GPEdit(그룹 정책 앱 편집)를 사용할 수도 있습니다.

Microsoft Edge 정책 비교

  1. Endpoint Manager 관리 센터에서 학생 디바이스 템플릿을 Windows 10 관리 템플릿 으로 이동합니다.

  2. 컴퓨터 구성 > Microsoft Edge > 시작, 홈페이지 및 새 탭 페이지를 확장합니다. 사용 가능한 설정을 확인합니다.

    사용자 구성 에 대해 동일한 작업을 수행합니다.

  3. 그룹 정책 관리 편집기에서 다음 설정을 찾습니다.

    • 디바이스: Computer configurationPoliciesAdministrative > > Templates > Microsoft Edge > Startup, 홈페이지 및 새 탭 페이지를 확장합니다.
    • 사용자: User configurationPoliciesAdministrative > > Templates > Microsoft Edge > Startup, 홈페이지 및 새 탭 페이지 확장

난 그냥 무엇을 했는가?

Intune 관리 템플릿을 만들었습니다. 이 템플릿에서는 일부 ADMX 설정을 살펴보고 그룹 정책 Management에서 동일한 ADMX 설정을 살펴보았습니다.

학생 관리 템플릿에 설정 추가

이 템플릿에서는 여러 학생이 공유하는 디바이스를 잠그도록 일부 Internet Explorer 설정을 구성합니다.

  1. 관리자 템플릿에서 - 학생 디바이스를 Windows 10 컴퓨터 구성 을 확장하고 , 모든 설정을 선택하고, InPrivate 브라우징 해제를 검색합니다.

    Microsoft Intune 관리 템플릿에서 InPrivate 브라우징 디바이스 정책 끄기

  2. InPrivate 브라우징 끄기 설정을 선택합니다. 이 창에서 설정할 수 있는 설명 및 값을 확인합니다. 이러한 옵션은 그룹 정책에 표시되는 옵션과 유사합니다.

  3. EnabledOK를 > 선택하여 변경 내용을 저장합니다.

  4. 또한 다음 Internet Explorer 설정을 구성합니다. 확인을 선택하여 변경 내용을 저장해야 합니다.

    • 파일 끌어서 놓기 또는 복사 및 붙여넣기 허용

      • 형식: 디바이스
      • 경로: \Windows 구성 요소\Internet Explorer\Internet 제어판\보안 페이지\인터넷 영역
      • : 사용 안 함
    • 인증서 오류 무시 방지

      • 형식: 디바이스
      • 경로: \Windows 구성 요소\Internet Explorer\Internet 제어판
      • : 사용
    • 홈페이지 설정 변경 사용 안 함

      • 형식: 사용자
      • 경로: \Windows 구성 요소\Internet Explorer
      • : 사용
      • 홈페이지: URL(예: contoso.com.)을 입력합니다.
  5. 검색 필터를 선택 취소합니다. 구성한 설정이 맨 위에 나열됩니다.

    구성된 설정은 Microsoft Intune 맨 위에 나열됩니다.

템플릿 할당

  1. 템플릿에서 할당 에 도착할 때까지 다음 을 선택합니다. 포함할 그룹 선택 선택:

    Microsoft Intune 디바이스 구성 프로필 목록에서 관리 템플릿 프로필을 선택합니다.

  2. 기존 사용자 및 그룹의 목록이 표시됩니다. 이전에 만든 모든 Windows 10 학생 디바이스 그룹을 > 선택합니다.

    프로덕션 환경에서 이 자습서를 사용하는 경우 비어 있는 그룹을 추가하는 것이 좋습니다. 목표는 템플릿 할당을 연습하는 것입니다.

  3. 다음 을 선택합니다. 검토 + 만들기 에서 만들기 를 선택하여 변경 내용을 저장합니다.

프로필이 저장되는 즉시 Intune 사용하여 체크 인할 때 디바이스에 적용됩니다. 디바이스가 인터넷에 연결되어 있으면 즉시 발생할 수 있습니다. 정책 새로 고침 시간에 대한 자세한 내용은 디바이스에서 정책, 프로필 또는 앱을 가져오는 데 걸리는 시간을 참조하세요.

엄격하거나 제한적인 정책 및 프로필을 할당할 때 자신을 잠그지 마세요. 정책 및 프로필에서 제외된 그룹을 만드는 것이 좋습니다. 문제는 문제 해결에 대한 액세스 권한을 가지는 것입니다. 이 그룹을 모니터링하여 의도한 대로 사용 중인지 확인합니다.

난 그냥 무엇을 했는가?

Endpoint Manager 관리 센터에서 관리 템플릿 디바이스 구성 프로필을 만들고 만든 그룹에 이 프로필을 할당했습니다.

OneDrive 템플릿 만들기

이 섹션에서는 Intune OneDrive 관리 템플릿을 만들어 일부 설정을 제어합니다. 이러한 특정 설정은 조직에서 일반적으로 사용되므로 선택됩니다.

  1. 다른 프로필(DevicesConfiguration > profilesCreate 프로필)을 > 만듭니다.

  2. 다음 속성을 입력합니다.

    • 플랫폼: Windows 10 이상 을 선택합니다.
    • 프로필: 관리 템플릿을 선택합니다.
  3. 만들기 를 선택합니다.

  4. 기본 에서 다음 속성을 입력합니다.

    • 이름: 관리자 템플릿을 입력합니다. 모든 Windows 10 사용자에게 적용되는 정책을 OneDrive.
    • 설명: 설정에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
  5. 다음 을 선택합니다.

  6. 구성 설정 에서 다음 설정을 구성합니다. 확인을 선택하여 변경 내용을 저장해야 합니다.

    • 컴퓨터 구성:

      • Windows 자격 증명을 사용하여 사용자를 OneDrive 동기화 클라이언트에 자동으로 로그인
        • 형식: 디바이스
        • : 사용
      • OneDrive 요청 기반 파일 관리 사용
        • 형식: 디바이스
        • : 사용
    • 사용자 구성:

      • 사용자가 개인 OneDrive 계정을 동기화하지 못하도록 방지
        • 형식: 사용자
        • : 사용

설정이 다음 설정과 유사하게 표시됩니다.

Microsoft Intune OneDrive 관리 템플릿 만들기

OneDrive 클라이언트 설정에 대한 자세한 내용은 그룹 정책 사용하여 OneDrive 동기화 클라이언트 설정을 제어합니다.

템플릿 할당

  1. 템플릿에서 할당 에 도착할 때까지 다음 을 선택합니다. 포함할 그룹 선택 선택:

  2. 기존 사용자 및 그룹의 목록이 표시됩니다. 이전에 만든 모든 Windows 디바이스 그룹을 > 선택합니다.

    프로덕션 환경에서 이 자습서를 사용하는 경우 비어 있는 그룹을 추가하는 것이 좋습니다. 목표는 템플릿 할당을 연습하는 것입니다.

  3. 다음 을 선택합니다. 검토 + 만들기 에서 만들기 를 선택하여 변경 내용을 저장합니다.

이 시점에서 일부 관리 템플릿을 만들고 만든 그룹에 할당했습니다. 다음 단계는 Windows PowerShell 및 Intune 위한 Microsoft Graph API 사용하여 관리 템플릿을 만드는 것입니다.

선택 사항: PowerShell을 사용하여 정책 만들기 및 Graph API

이 섹션에서는 다음 리소스를 사용합니다. 이 섹션에서는 이러한 리소스를 설치합니다.

  1. 관리 컴퓨터 에서 관리자 권한으로 Windows PowerShell 엽니다.

    1. 검색 창에서 powershell을 입력합니다.
    2. Right-click Windows PowerShell > Run as administrator.

    관리자 권한으로 Windows PowerShell 실행

  2. 실행 정책을 가져와서 설정합니다.

    1. 입력: get-ExecutionPolicy

      설정된 내용을 적어 두면 제한 됩니다. 자습서를 마치면 원래 값으로 다시 설정합니다.

    2. 입력: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. 입력 Y 하여 변경합니다.

    PowerShell의 실행 정책은 악의적인 스크립트 실행을 방지하는 데 도움이 됩니다. 자세한 내용은 실행 정책 정보를 참조하세요.

  3. 입력: Install-Module -Name Microsoft.Graph.Intune

    다음을 입력 Y 합니다.

    • NuGet 공급자 설치 요청
    • 신뢰할 수 없는 리포지토리에서 모듈을 설치하라는 요청

    완료하는 데 몇 분 정도 걸릴 수 있습니다. 완료되면 다음 프롬프트와 유사한 프롬프트가 표시됩니다.

    모듈을 설치한 후 프롬프트 Windows PowerShell

  4. 웹 브라우저에서 이동하여 https://github.com/Microsoft/Intune-PowerShell-SDK/releasesIntune-PowerShell-SDK_v6.1907.00921.0001.zip 파일을 선택합니다.

    1. 다른 이름으로 저장 을 선택하고 기억할 폴더를 선택합니다. c:\psscripts 는 좋은 선택입니다.

    2. 폴더를 열고 .zip 파일을 마우스 오른쪽 단추로 클릭하고 allExtract > 추출 을 >. 폴더 구조는 다음 폴더와 유사합니다.

      추출된 후 PowerShell SDK 폴더 구조 Intune

  5. 보기 탭에서 파일 이름 확장명을 확인합니다.

    탐색기의 보기 탭에서 파일 이름 확장명 선택

  6. 폴더 c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471에서 . 모든 .dll > PropertiesUnblock > 을 마우스 오른쪽 단추로 클릭합니다.

    DLL 차단 해제

  7. Windows PowerShell 앱에서 다음을 입력합니다.

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1
    

    신뢰할 수 없는 게시자에서 실행하라는 메시지가 표시되면 입력 R 합니다.

  8. Intune 관리 템플릿은 베타 버전의 Graph 사용합니다.

    1. 입력: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. 입력: Connect-MSGraph -AdminConsent

    3. 메시지가 표시되면 동일한 Microsoft 365 관리자 계정으로 로그인합니다. 이러한 cmdlet은 테넌트 조직에서 정책을 만듭니다.

      사용자: Microsoft 365 테넌트 구독의 관리자 계정을 입력합니다.
      암호: 암호를 입력합니다.

    4. 수락 을 선택합니다.

  9. 테스트 구성 구성 프로필을 만듭니다. 입력:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST
    

    이러한 cmdlet이 성공하면 프로필이 만들어집니다. 확인하려면 Endpoint Manager 관리 센터 > 구성 프로필 로 이동합니다. 테스트 구성 프로필이 나열되어야 합니다.

  10. 모든 SettingDefinitions를 가져옵니다. 입력:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET
    
  11. 설정 표시 이름을 사용하여 정의 ID를 찾습니다. 입력:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}
    
  12. 설정을 구성합니다. 입력:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST
    
    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH
    
    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET
    

정책 보기

  1. Endpoint Manager 관리 센터에서 Configuration ProfilesRefresh를 > >.
  2. 테스트 구성 프로필 > 설정 선택합니다.
  3. 드롭다운 목록에서 모든 제품을 선택합니다.

Windows 자격 증명 설정이 구성된 OneDrive 동기화 클라이언트에 자동으로 로그인하는 사용자가 표시됩니다.

정책 모범 사례

Intune 정책 및 프로필을 만들 때 고려해야 할 몇 가지 권장 사항 및 모범 사례가 있습니다. 자세한 내용은 정책 및 프로필 모범 사례를 참조하세요.

리소스를 정리합니다.

더 이상 필요하지 않은 경우 다음을 수행할 수 있습니다.

  • 만든 그룹을 삭제합니다.

    • 모든 Windows 10 학생 장치
    • 모든 Windows 디바이스
    • 모든 교사
  • 만든 관리자 템플릿을 삭제합니다.

    • 관리자 템플릿 - 학생 디바이스 Windows 10
    • 관리자 템플릿 - 모든 Windows 10 사용자에게 적용되는 정책 OneDrive
    • 테스트 구성
  • Windows PowerShell 실행 정책을 원래 값으로 다시 설정합니다. 다음 예제에서는 실행 정책을 Restricted로 설정합니다.

    Set-ExecutionPolicy -ExecutionPolicy Restricted
    

다음 단계

이 자습서에서는 Microsoft Endpoint Manager 관리 센터에 대해 더 잘 알고, 쿼리 작성기를 사용하여 동적 그룹을 만들고, Intune 관리 템플릿을 만들어 ADMX 설정을 구성했습니다. 또한 Intune 온-프레미스 및 클라우드에서 ADMX 템플릿을 사용하는 것을 비교했습니다. 보너스로 PowerShell cmdlet을 사용하여 관리 템플릿을 만들었습니다.

Intune 관리 템플릿에 대한 자세한 내용은 다음을 참조하세요.