Microsoft Intune 계획 가이드

성공적인 Microsoft Intune 배포 또는 마이그레이션은 계획에서 시작됩니다. 이 가이드에서는 일반적인 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리) 목표를 단계별로 안내합니다. 디바이스 인벤토리 작성, 라이선스, 현재 정책과 인프라 검토, 출시 계획 만들기 등에 대한 지침도 제공합니다.

Intune Adoption Kit에는 메일 템플릿과 유용한 추가 정보가 포함되어 있습니다.

이 가이드는 지속적으로 변화합니다. 따라서 유용하다고 판단한 기존 팁과 지침을 추가하거나 업데이트해야 합니다.

태스크 1: 목표 결정

조직은 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리)을 사용하여 조직 데이터를 안전하게 제어하고 사용자 중단을 최소화합니다. Microsoft Intune 등의 MDM/MAM 솔루션을 평가하는 경우 목표와 달성하려는 성과를 살펴봅니다.

이 섹션에서는 Intune을 사용하는 경우의 일반적인 목표에 대해 설명합니다.

목표: 조직 앱 및 메일 액세스

사용자는 디바이스에서 조직 앱을 통해 메일 읽기/응답, 데이터 업데이트/공유 등의 작업을 수행할 수 있을 것으로 기대합니다. Intune에서 다음을 비롯한 여러 유형의 앱을 배포할 수 있습니다.

  • Office 365 앱
  • Win32 앱
  • LOB(기간 업무) 앱
  • 사용자 지정 앱
  • 기본 제공 앱 또는 스토어 앱에 대한 액세스를 허용하거나 차단합니다.

작업: 사용자가 정기적으로 사용하는 앱 목록을 만듭니다. 이 앱은 디바이스에 배포하려는 앱입니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 대부분의 조직은 Word, Excel, OneNote, PowerPoint, Teams 등의 Office 앱 제품군을 PC와 태블릿에 배포합니다. 휴대폰과 같은 소형 디바이스에는 사용자 요구 사항에 따라 개별 앱을 설치할 수 있습니다.

    예를 들어 영업 팀은 Teams, Excel, SharePoint가 필요할 수 있습니다. 모바일 디바이스에 전체 Office 제품군을 배포하는 대신 관련 앱만 배포할 수 있습니다.

  • 사용자는 개인 디바이스를 비롯한 모든 디바이스에서 메일을 읽고 회신하며 모임에 참가할 수 있을 것으로 기대합니다. 조직 소유 디바이스에 Outlook과 Teams를 배포할 수 있습니다. 또한 PIN 및 암호 요구 사항을 비롯한 모든 디바이스 설정과 모든 앱 설정을 관리하고 제어합니다. 개인 디바이스에서는 이 제어 권한이 없습니다. 따라서 메일, 모임 등의 조직 앱에 대한 액세스 권한을 사용자에게 부여할지 여부를 결정합니다.

    자세한 내용과 고려 사항은 개인 디바이스 대 조직 소유 디바이스(이 문서)를 참조하세요.

목표: 모든 디바이스에서 액세스 보호

데이터가 모바일 디바이스에 저장되는 경우 악의적인 활동으로부터 데이터를 보호해야 합니다.

작업: 디바이스를 보호하고 악의적인 활동의 영향을 최소화할 방법을 결정합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • AV(바이러스 백신) 및 맬웨어 방지가 필요합니다. Intune은 다양한 MTD(모바일 위협 방어) 파트너와 통합되므로 등록된 디바이스, 개인 디바이스, 앱을 보호하는 데 도움이 됩니다. Windows 10 디바이스에서 엔드포인트용 Microsoft Defender와 Intune을 함께 사용할 수 있습니다.

    엔드포인트용 Microsoft Defender에는 위협을 모니터링하고 대응하는 데 도움이 되는 포털과 보안 기능이 포함되어 있습니다.

  • 디바이스가 손상된 경우 조건부 액세스를 사용하여 영향을 제한하는 것이 좋습니다. 예를 들면 다음과 같습니다.

    • 디바이스가 설정된 위협 수준을 충족할 경우 조직 리소스에 대한 액세스를 차단할 수 있습니다. 조건부 액세스는 악의적인 활동의 확산을 방지하는 데 도움이 됩니다.

    • 조건부 액세스를 통해 Intune에 등록되지 않은 디바이스를 포함하여 디바이스로부터 네트워크와 리소스를 보호할 수 있습니다.

      예를 들어 Intune은 엔드포인트용 Microsoft Defender와 통합됩니다. 엔드포인트용 Microsoft Defender는 디바이스를 검사하여 손상되었는지 확인합니다. 그런 다음, 조건부 액세스를 통해 메일을 비롯한 조직 리소스에 대한 이 디바이스의 액세스를 자동으로 차단할 수 있습니다.

  • 디바이스, 운영 체제, 앱의 업데이트도 데이터 보안 유지에 도움이 됩니다. 업데이트 설치 방법과 시기에 대한 계획을 만듭니다. Intune에는 스토어 앱 업데이트를 포함하여 업데이트를 관리하는 데 도움이 되는 정책이 있습니다.

  • 사용자가 여러 디바이스를 통해 조직 리소스에 인증하는 방법을 결정합니다. 예를 들어 다음을 수행할 수 있습니다.

    • 디바이스의 인증서를 사용하여 VPN(가상 사설망)에 연결하고 Outlook을 여는 등, 기능과 앱을 인증합니다. 인증서를 통해 “암호 없는” 사용자 환경을 제공할 수 있습니다. 암호 없는 환경이 사용자가 조직 사용자 이름과 암호를 입력해야 하는 환경보다 더 안전하다고 간주합니다.

      인증서를 사용할 계획인 경우 인증서 프로필을 만들고 배포할 준비가 완료된, 지원되는 PKI(퍼블릭 키 인프라) 인프라가 있어야 합니다.

    • 조직 소유 디바이스에 추가 인증 계층이 필요한 경우 MFA(다단계 인증)를 사용합니다. 또는 MFA를 사용하여 개인 디바이스의 앱을 인증합니다. 얼굴 인식, 지문 등의 생체 인식을 사용할 수도 있습니다.

      생체 인식을 인증에 사용하는 경우 디바이스에서 생체 인식을 지원해야 합니다. 대부분의 최신 디바이스는 생체 인식을 지원합니다.

    • 제로 트러스트 배포를 구현합니다. 제로 트러스트와 함께 Azure AD 및 Microsoft Intune의 기능을 사용하여 모든 엔드포인트를 보호하고 암호 없는 인증을 사용하는 등의 작업을 수행합니다. 자세한 내용은 제로 트러스터 배포 센터를 참조하세요.

목표: IT 분산

대부분의 조직은 위치, 부서 등에 대한 제어 권한을 각기 다른 관리자에게 제공하려고 합니다. 예를 들어 Charlotte IT 관리자 그룹은 Charlotte 캠퍼스의 정책을 제어하고 모니터링합니다. Charlotte IT 관리자는 Charlotte 위치의 정책만 확인하고 관리할 수 있습니다. Redmond 위치의 정책은 확인하고 관리할 수 없습니다. 이 방법을 분산 IT라고 합니다.

Intune에서 분산 IT는 범위 태그디바이스 등록 범주를 사용합니다. 범위 태그는 RBAC(역할 기반 액세스 제어)를 사용합니다. 따라서 특정 그룹의 사용자만 해당 범위에 속한 사용자 및 디바이스의 정책과 프로필을 관리할 수 있는 권한이 있습니다.

디바이스 범주를 사용하는 경우 생성된 범주를 기준으로 디바이스가 그룹에 자동으로 추가됩니다. 사용자가 디바이스를 등록할 때 영업, IT 관리자, POS(Point-Of-Sale) 디바이스 등의 범주를 선택합니다. 이제 디바이스 그룹이 생성된 프로필과 정책을 받을 준비가 되었습니다.

디바이스를 더욱 쉽게 관리하기 위해 Intune 디바이스 범주를 사용하여 정의된 범주를 기준으로 디바이스를 그룹에 자동으로 추가할 수 있습니다.

작업: 규칙과 설정(정책 및 프로필)을 배포하는 방법을 결정합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 관리자 구조를 결정합니다. 예를 들어 Charlotte IT 관리자 또는 Redmond IT 관리자 와 같이 위치별로 구분할 수 있습니다. VPN을 비롯한 모든 네트워크 액세스를 제어하는 네트워크 관리자 와 같이 역할별로 구분할 수도 있습니다.

    관련 범주는 범위 태그가 됩니다.

  • 대부분의 조직은 iOS, iPadOS, Android, Windows 디바이스 등의 디바이스 유형별로 그룹을 구분합니다. 몇 가지 예는 다음과 같습니다.

    • 특정 디바이스에 특정 앱을 배포합니다. 예를 들어 Redmond 네트워크의 디바이스에 Microsoft 셔틀 앱을 배포합니다.
    • 특정 위치에 정책을 배포합니다. 예를 들어 Charlotte 네트워크의 디바이스에 VPN 프로필을 배포하여 범위 내에 있을 경우 자동으로 연결되도록 합니다.
    • 특정 디바이스의 설정을 제어합니다. 예를 들어 제조 현장에서 사용되는 Android Enterprise 디바이스의 카메라를 사용하지 않도록 설정하거나, 모든 Windows 디바이스에 대한 Windows Defender 바이러스 백신 프로필을 만들거나, 모든 iOS/iPadOS 디바이스에 Exchange 메일 설정을 추가합니다.

    관련 범주는 디바이스 등록 범주가 됩니다.

목표: 조직 데이터를 조직 내에 유지

데이터가 모바일 디바이스에 저장되는 경우 실수로 손실되거나 공유되지 않도록 데이터를 보호해야 합니다. 이 목표에는 개인 및 조직 소유 디바이스에서 조직 데이터를 초기화하는 작업이 포함됩니다.

작업: 조직에 영향을 주는 다양한 시나리오에 적용할 계획을 만듭니다. 몇 가지 고려 사항은 다음과 같습니다.

자세한 내용과 고려 사항은 개인 디바이스 대 조직 소유 디바이스(이 문서)를 참조하세요.

태스크 2: 디바이스 인벤토리 작성

조직에는 데스크톱 컴퓨터, 노트북, 태블릿, 휴대폰을 포함하여 다양한 디바이스가 있습니다. 이 디바이스는 조직 소유 디바이스 또는 사용자 소유 디바이스일 수 있습니다. 디바이스 관리 솔루션을 계획하는 경우 사용자 개인 디바이스를 포함하여 조직 리소스에 액세스하는 모든 항목을 고려해야 합니다.

이 섹션에는 고려해야 할 디바이스 정보가 포함되어 있습니다.

지원되는 플랫폼

Intune은 Android 디바이스 관리자, Android Enterprise, iOS, iPadOS, macOS, Windows 디바이스를 지원합니다. 특정 버전은 지원되는 플랫폼을 참조하세요.

작업: 디바이스에서 지원되지 않는 버전(주로 이전 운영 체제)을 사용하는 경우 OS를 업그레이드하거나 디바이스를 바꿔야 합니다. 이전 OS와 디바이스는 제한적으로 지원되어 보안상 위험할 수 있습니다. 이 작업에는 Windows 7을 실행하는 데스크톱 컴퓨터, 원본 v10.0 OS를 실행하는 iPhone 7 디바이스 등이 포함됩니다.

개인 디바이스 대 조직 소유 디바이스

개인 디바이스에서는 사용자가 메일 확인, Teams 모임 참가, SharePoint 파일 업데이트 등을 수행하는 것이 정상적이고 필요합니다. 개인 디바이스를 허용하는 조직도 많고, 조직 소유 디바이스만 허용하는 조직도 많습니다.

조직 및 관리자가 개인 디바이스를 허용할지 여부를 결정합니다.

작업: 개인 디바이스를 처리하는 방법을 결정합니다. “모바일”이 조직에 중요한 경우 다음 방법을 고려합니다.

  • 개인 디바이스에서 Intune에 등록하는 옵션을 사용자에게 제공합니다. 등록되면 관리자가 정책 푸시, 디바이스 기능 및 설정 제어, 디바이스 초기화 등을 포함하여 디바이스를 완전히 관리합니다. 관리자로 이 제어 권한을 원하거나, 이 제어 권한을 원한다고 ‘생각’할 수 있습니다.

    개인 디바이스를 등록하는 사용자는 실수로 디바이스를 초기화하거나 다시 설정하는 경우를 포함하여 관리자가 디바이스에서 모든 작업을 수행할 수 있다는 것을 인식하거나 이해하지 못할 수 있습니다. 관리자가 이 책임이나 조직 소유가 아닌 디바이스에 대한 잠재적인 영향을 원하지 않을 수도 있습니다.

    또한 많은 사용자가 등록을 거부하고, 조직 리소스에 액세스하는 다른 방법을 찾습니다. 예를 들어 Outlook 앱을 통해 조직 메일을 확인하려면 디바이스를 등록해야 하도록 지정합니다. 이 요구 사항을 건너뛰려는 사용자는 디바이스에서 웹 브라우저를 열고 Outlook Web Access에 로그인합니다(원하는 작업이 아닐 수 있음). 또는 스크린샷을 만들고 디바이스에 이미지를 저장합니다(역시 원하는 작업이 아님).

  • 개인 디바이스에서 앱 구성 정책과 앱 보호 정책을 사용합니다. 사용자가 Intune에 등록하지 않습니다. 이 디바이스는 관리자가 관리하지 않습니다.

    사용 약관 내용에 조건부 액세스 정책을 사용합니다. 동의하지 않은 사용자는 앱에 액세스할 수 없습니다. 사용자가 약관 내용에 동의하면 디바이스 레코드가 Azure AD에 추가되고, 디바이스는 알려진 엔터티가 됩니다. 디바이스를 알고 있는 경우 디바이스에서 액세스하는 항목을 추적할 수 있습니다.

    다음으로, 앱 정책을 사용하여 액세스와 보안을 제어합니다.

    조직에서 가장 많이 사용하는 작업(예: 메일, 모임 참가)을 살펴봅니다. 앱 구성 정책을 사용하여 앱별 설정을 구성합니다. 앱 보호 정책을 사용하여 앱 보안 및 액세스를 제어합니다.

    예를 들어 사용자는 개인 디바이스의 Outlook 앱을 사용하여 회사 메일을 확인할 수 있습니다. Intune을 통해 관리자는 Outlook 앱이 열릴 때마다 MFA(다단계 인증)를 사용하고 복사 및 붙여넣기를 방지하는 등의 Outlook 앱 보호 정책을 만듭니다.

  • 모든 디바이스를 완전히 관리하려고 합니다. 이 시나리오에서는 휴대폰을 포함하여 필요한 모든 디바이스를 사용자에게 제공합니다. 사용자가 생산성과 효율성을 유지할 수 있도록 하드웨어 새로 고침 계획에 투자합니다. 조직 소유 디바이스를 Intune에 등록하고 정책을 사용하여 관리합니다.

    이 옵션은 개인 디바이스를 차단합니다.

항상 디바이스에서 데이터를 보낸다고 가정하는 것이 좋습니다. 추적 및 감사 방법이 구현되어 있어야 합니다. 자세한 내용은 제로 트러스터 배포 센터를 참조하세요.

데스크톱 컴퓨터 관리

Intune은 Windows 10 이상을 실행하는 데스크톱 컴퓨터를 관리할 수 있습니다. Windows 10 OS에는 기본 제공 최신 디바이스 관리 기능이 포함되어 있으며 로컬 AD(Active Directory) 그룹 정책에 대한 종속성이 제거됩니다. Intune에서 규칙과 설정을 만들고 데스크톱 컴퓨터와 PC를 비롯한 모든 Windows 10 디바이스에 해당 정책을 배포하면 클라우드의 이점을 얻을 수 있습니다.

자세한 내용은 단계별 시나리오 - 클라우드 관리형 최신 데스크톱을 참조하세요.

현재 Configuration Manager를 사용하여 Windows 10 디바이스를 관리하는 경우에도 디바이스를 Intune에 등록할 수 있습니다. 이 방법을 “공동 관리”라고 합니다. 공동 관리는 디바이스에서 원격 작업(다시 시작, 원격 제어, 초기화) 실행, 디바이스 규정 준수를 사용한 조건부 액세스 등의 다양한 혜택을 제공합니다. 디바이스를 Intune에 클라우드로 연결할 수도 있습니다.

자세한 내용은 공동 관리란?, 공동 관리 경로, Endpoint Manager 테넌트 연결을 참조하세요.

작업: 현재 모바일 디바이스 관리에 사용하는 항목과 목표를 살펴보고 최적 경로를 결정합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 현재 아무것도 사용하지 않는 경우 Intune으로 바로 이동하는 것이 가장 좋을 수 있습니다.

  • Configuration Manager 또는 MDM 솔루션에 등록되지 않은 새 디바이스의 경우 Intune으로 바로 이동하는 것이 가장 좋을 수 있습니다.

  • 현재 Configuration Manager를 사용하는 경우의 옵션은 다음과 같습니다.

    • 기존 인프라를 유지하고 일부 워크로드를 클라우드로 이동하려면 공동 관리를 사용합니다. 두 서비스의 이점을 모두 얻을 수 있습니다. 기존 디바이스는 Configuration Manager(온-프레미스)에서 일부 정책을 받고 Intune(클라우드)에서 기타 정책을 받을 수 있습니다.
    • 기존 인프라를 유지하고 Intune을 사용하여 온-프레미스 디바이스를 모니터링하려면 테넌트 연결을 사용합니다. Configuration Manager를 사용하여 디바이스를 관리하는 동시에 Endpoint Manager 관리 센터를 사용하는 이점을 얻을 수 있습니다.
    • 순수 클라우드 솔루션을 통해 디바이스를 관리하려면 Intune으로 이동합니다. 이 시나리오는 거의 사용되지 않습니다. 기존 Configuration Manager 사용자는 대체로 Configuration Manager를 계속 사용하려고 합니다. 설정 배포 가이드에 몇 가지 유용한 정보가 나와 있습니다.

    자세한 내용은 공동 관리 워크로드를 참조하세요.

태스크 3: 비용 및 라이선스 결정

디바이스 관리는 다양한 서비스와 관련이 있습니다. Intune에는 다양한 디바이스에서 제어할 수 있는 설정과 기능이 포함되어 있습니다. 주요 역할을 하는 다음과 같은 기타 서비스도 있습니다.

  • Azure AD(Active Directory) Premium 에는 다음을 포함하여 디바이스 관리에 중요한 여러 가지 기능이 있습니다.

    • Windows Autopilot: Windows 10 디바이스가 Intune에 자동으로 등록하고 자동으로 정책을 받을 수 있습니다.
    • MFA(다단계 인증): 사용자가 PIN, Authenticator 앱, 지문 등의 인증 방법을 두 가지 이상 입력해야 합니다. MFA는 추가 보안이 필요한 조직 소유 디바이스 또는 개인 디바이스에 앱 보호 정책을 사용하는 경우에 유용한 옵션입니다.
    • 조건부 액세스: 6자리 암호 등의 규칙을 준수하는 사용자와 디바이스는 조직 리소스에 액세스할 수 있습니다. 규칙을 준수하지 않는 사용자 또는 디바이스는 액세스 권한이 없습니다.
    • 동적 사용자 그룹 및 동적 디바이스 그룹: 도시, 직위, OS 유형, OS 버전 등의 기준을 충족하는 사용자 또는 디바이스를 그룹에 자동으로 추가합니다.
  • Office 365 에는 Outlook, Word, SharePoint, Teams, OneDrive 등을 포함하여 사용자가 자주 사용하는 앱이 들어 있습니다. Intune을 통해 해당 앱을 디바이스에 배포할 수 있습니다.

  • 엔드포인트용 Microsoft Defender 는 Windows 10 디바이스에서 악의적인 활동을 모니터링하고 검사하는 데 도움이 됩니다. 허용되는 위협 수준을 설정할 수도 있습니다. 조건부 액세스와 함께 사용하면 위협 수준을 초과할 경우 조직 리소스에 대한 액세스를 차단할 수 있습니다.

  • Azure Information Protection 은 레이블을 적용하여 문서와 메일을 분류하고 보호합니다. Office 앱에서 이 서비스를 사용하면 개인 디바이스의 앱을 포함하여 조직 데이터에 대한 무단 액세스를 방지할 수 있습니다.

관련 서비스는 Microsoft 365 E5 라이선스에 모두 포함되어 있습니다. 자세한 내용은 Microsoft 365 라이선스 플랜을 참조하세요.

작업: 조직에서 생산성과 보안을 유지하는 데 필요하고 사용하는 서비스 및 프로그램을 확인합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 정책(규칙)과 프로필(설정)을 적용하지 않고 최소한 배포하는 것이 목표인 경우 Intune이 필요합니다. Intune은 독립 실행형 서비스를 포함하여 다양한 구독으로 이용할 수 있습니다. 자세한 내용은 Microsoft Intune 라이선스를 참조하세요.

    현재 Configuration Manager를 사용하고 있으며, 디바이스에 공동 관리를 설정하려고 합니다. Intune은 Configuration Manager 라이선스에 이미 포함되어 있습니다. Intune을 통해 새 디바이스나 기존 공동 관리형 디바이스를 완전히 관리하려면 별도의 Intune 라이선스가 필요합니다.

  • Intune에서 만든 규정 준수 또는 암호 규칙을 적용하려고 합니다. 최소한 Intune과 Azure AD Premium이 필요합니다. Intune과 Azure AD Premium은 Enterprise Mobility + Security 로 이용할 수 있습니다.

    자세한 내용은 Enterprise Mobility + Security 가격 책정 옵션을 참조하세요.

  • 디바이스에서 Office 365 앱만 관리하려고 합니다. 최소한 Office 365가 필요합니다. 자세한 내용은 Office 365용 MDM 대 Microsoft IntuneOffice 365용 모바일 디바이스 관리에 대한 FAQ를 참조하세요.

  • 디바이스에 Office 365 앱을 배포하고, 해당 앱을 실행하는 디바이스를 보호하는 정책을 만들려고 합니다. 최소한 Intune과 Office 365가 필요합니다.

  • Intune에서 정책을 만들고 Office 365 앱을 배포한 다음, 규칙과 설정을 적용하려고 합니다. 최소한 Intune, Office 365, Azure AD Premium이 필요합니다. 관련 서비스는 Microsoft 365에 모두 포함되어 있으므로 Microsoft 365 라이선스를 사용하는 것이 비용 효과적일 수 있습니다.

    자세한 내용은 Microsoft 365 라이선스 플랜을 참조하세요.

태스크 4: 기존 정책 및 인프라 검토

대부분의 조직에는 “유지 관리”되기만 하는 기존 정책 및 디바이스 관리 인프라가 있습니다. 예를 들어 기능도 모르는, 20년 전에 만든 그룹 정책이 있을 수 있습니다. 클라우드로 이동을 고려하는 경우 항상 해왔던 작업을 살펴보는 대신 목표를 결정합니다.

이 목표를 염두에 두고 정책의 기준을 만듭니다. 디바이스 관리 솔루션이 여러 개 있는 경우 지금이 단일 모바일 디바이스 관리 솔루션으로 전환할 때일 수 있습니다.

작업: 온-프레미스에서 실행하고 있으며 클라우드로 이동할 수 있는 작업을 살펴봅니다. 항상 해왔던 작업을 살펴보는 대신 목표를 결정합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 기존 정책과 구조를 검토합니다. 일부 정책은 전체적으로 적용되고, 일부 정책은 사이트 수준에서 적용되며, 일부 정책은 디바이스와 관련이 있습니다. 목표는 전역 정책의 의도, 로컬 정책의 의도 등을 알고 파악하는 것입니다.

    AD 그룹 정책은 로컬, 사이트, 도메인, OU(조직 구성 단위)의 LSDOU 순서로 적용됩니다. 이 계층 구조에서 OU 정책은 도메인 정책을 덮어쓰고, 도메인 정책은 사이트 정책을 덮어씁니다.

    Intune에서 정책은 직접 만든 사용자 및 그룹에 적용됩니다. 계층 구조가 없습니다. 두 정책이 동일한 설정을 업데이트하는 경우 설정은 충돌로 표시됩니다. 자세한 내용은 디바이스 정책 및 프로필과 관련된 일반적인 질문, 문제 및 해결 방법을 참조하세요.

    AD 그룹 정책에서 Intune으로 들어오는 AD 전역 정책은 기존 그룹이나 필요한 그룹에 논리적으로 적용되기 시작합니다. 해당 그룹에는 전역 수준, 사이트 수준 등에서 대상으로 지정할 사용자와 디바이스가 포함됩니다. 이 작업을 통해 Intune에서 필요한 그룹 구조를 파악할 수 있습니다.

  • Intune에서 새로운 정책과 프로필을 만들 준비를 합니다. Intune에는 관심 있는 시나리오를 처리하는 여러 가지 기능이 포함되어 있습니다. 몇 가지 예는 다음과 같습니다.

    • 보안 기준: Windows 10 디바이스에서 보안 기준은 권장 값으로 미리 구성된 보안 설정입니다. 디바이스 보호를 처음 사용하거나 포괄적인 기준을 확인하려는 경우 보안 기준을 살펴보세요.
    • 관리 템플릿: Windows 10 디바이스에서는 ADMX 템플릿을 사용하여 Windows, Internet Explorer, Office, Microsoft Edge 버전 77 이상의 그룹 정책 설정을 구성합니다. AD 그룹 정책에서 사용되는 것과 동일한 ADMX 템플릿이지만, Intune에서는 100% 클라우드 기반입니다.
    • 그룹 정책: 그룹 정책 분석을 사용하여 GPO를 가져오고 분석합니다. 이 기능은 클라우드에서 GPO가 변환되는 방식을 확인하는 데 도움이 됩니다. 출력은 Microsoft Intune을 비롯한 MDM 공급자에서 지원되는 설정을 보여 줍니다. 또한 더 이상 사용되지 않는 설정 또는 MDM 공급자가 사용할 수 없는 설정을 보여 줍니다.
    • 단계별 시나리오: 단계별 시나리오는 엔드투엔드 사용 사례에 중점을 두는 일련의 사용자 지정 단계입니다. 이 시나리오에는 정책, 앱, 할당, 기타 관리 구성이 자동으로 포함됩니다.
  • 최소 목표를 포함하는 정책 기준을 만듭니다. 예를 들면 다음과 같습니다.

    • 메일 보호: 최소한 다음을 수행하는 것이 좋습니다.

      • Exchange Online 또는 온-프레미스 메일 솔루션 연결에 조건부 액세스를 사용하도록 설정합니다.
      • Outlook 앱 보호 정책을 만듭니다.
    • 디바이스 설정: 최소한 다음을 수행하는 것이 좋습니다.

      • 디바이스 잠금을 해제하려면 6자 PIN이 필요하도록 설정합니다.
      • iCloud 또는 OneDrive와 같은 개인 클라우드 서비스에 백업할 수 없도록 차단합니다.
    • 디바이스 프로필: 최소한 다음을 수행하는 것이 좋습니다.

      • 미리 구성된 설정을 사용하여 Contoso Wi-Fi 무선 네트워크에 연결하는 Wi-Fi 프로필을 만듭니다.
      • 인증서를 사용하여 자동으로 인증하고 조직 VPN에 연결하는 VPN 프로필을 만듭니다.
      • 미리 구성된 설정을 사용하여 Office 365 또는 Gmail 메일 솔루션에 연결하는 메일 프로필을 만듭니다.
    • 앱: 최소한 다음을 수행하는 것이 좋습니다.

      • 앱 보호 정책을 사용하여 Office 365를 배포합니다.
      • 앱 보호 정책을 사용하여 LOB(기간 업무)를 배포합니다.
  • 그룹의 현재 구조를 검토합니다. Intune에서 정책을 만들어 사용자 그룹, 디바이스 그룹, 동적 사용자 및 디바이스 그룹에 할당할 수 있습니다(Azure AD Premium 필요).

    Intune 또는 Microsoft 365와 같은 클라우드에서 그룹을 만드는 경우 Azure AD에 만들어집니다. 표시되지는 않지만 Azure AD 브랜딩을 사용하고 있습니다.

  • 디바이스 관리 솔루션이 여러 개 있는 경우 단일 모바일 디바이스 관리 솔루션으로 전환합니다. Intune을 사용하여 앱과 디바이스의 조직 데이터를 보호하는 것이 좋습니다.

태스크 5: 출시 계획 만들기

다음 작업은 사용자 및 디바이스가 정책을 받는 방법과 시기를 계획하는 것입니다. 이 작업에서 다음 사항도 고려합니다.

  • 목표 및 성공 메트릭을 정의합니다. 이 데이터 요소를 사용하여 다른 출시 단계를 만듭니다. SMART(구체적(Specific), 측정 가능(Measurable), 달성 가능(Attainable), 현실적(Realistic), 시기적절(Timely)) 원칙에 따라 목적을 결정합니다. 각 단계에서 목표 대비 성과 측정을 계획하여 출시 프로젝트가 일정에 따라 진행되도록 합니다.
  • 목표를 명확하게 정의합니다. 모든 인식 및 교육 활동에 해당 목표를 포함하여 조직에서 Intune을 선택한 이유를 사용자가 이해할 수 있게 합니다.

작업: 정책 출시 계획을 만들고 사용자가 디바이스를 Intune에 등록하는 방법을 선택합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 정책을 단계별로 출시합니다. 예를 들면 다음과 같습니다.

    • 파일럿 또는 테스트 그룹으로 시작합니다. 해당 그룹은 최초 사용자인 것을 알고 있으며 피드백 제공 의사가 있어야 합니다. 이 피드백을 사용하여 향후 출시에서 구성, 설명서, 알림을 개선하고 사용자가 사용하기 쉽게 만들 수 있습니다. 사용자는 임원이나 VIP가 아니어야 합니다.

      초기 테스트 후에 더 많은 사용자를 파일럿 그룹에 추가합니다. 또는 다른 출시에 중점을 두는 다음과 같은 파일럿 그룹을 더 만듭니다.

      • 부서: 각 부서가 출시 단계일 수 있습니다. 한 번에 한 부서 전체를 대상으로 지정합니다. 이 출시에서 각 부서의 사용자는 디바이스를 동일한 방식으로 사용하고 동일한 애플리케이션에 액세스할 수 있습니다. 사용자에게 적용되는 정책 유형도 같을 가능성이 높습니다.

      • 지리: 동일한 대륙, 국가/지역 또는 동일한 조직 건물에 있는지와 관계없이 특정 지리의 모든 사용자에게 정책을 배포합니다. 이 출시에서는 특정 위치의 사용자에 집중할 수 있습니다. 동시에 Intune을 배포하는 위치 수가 더 적기 때문에 미리 프로비저닝된 배포 방법을 위해 Windows Autopilot을 제공할 수 있습니다. 동일한 위치에 다양한 부서나 다양한 사용 사례가 있을 수도 있습니다. 따라서 다양한 사용 사례를 동시에 테스트하게 될 수 있습니다.

      • 플랫폼: 이 출시에서는 유사한 플랫폼을 동시에 배포합니다. 예를 들어 2월에는 모든 iOS/iPadOS 디바이스에 정책을 배포하고, 3월에는 모든 Android 디바이스에 정책을 배포하고, 4월에는 모든 Windows 디바이스에 정책을 배포합니다. 이 방법을 사용할 경우 한 번에 하나의 플랫폼만 지원하면 되기 때문에 기술 지원팀 지원이 간소화될 수 있습니다.

      단계별 방법을 사용하여 광범위한 사용자 유형의 피드백을 받을 수 있습니다.

    • 파일럿이 성공적으로 완료되면 전체 프로덕션 출시를 시작할 수 있습니다. 다음 예제는 대상 그룹과 타임라인을 포함하는 Intune 출시 계획입니다.

    출시 단계 7월 8월 9월 10월
    제한된 파일럿 IT(50명의 사용자)
    확장된 파일럿 IT(200명의 사용자), IT 임원(10명의 사용자)
    프로덕션 출시 단계 1 영업 및 마케팅(2,000명의 사용자)
    프로덕션 출시 단계 2 소매(1,000명의 사용자)
    프로덕션 출시 단계 3 HR(50명의 사용자), 재무(40명의 사용자), 임원(30명의 사용자)

    이 템플릿은 Intune 배포 계획, 설계, 구현 - 테이블 템플릿에서도 다운로드할 수 있습니다.

  • 사용자가 개인 디바이스와 조직 소유 디바이스를 등록하는 방법을 선택합니다. 다음을 포함하여 다양한 등록 방법을 사용할 수 있습니다.

    • 사용자 셀프 서비스: 사용자가 IT 조직에서 제공한 단계에 따라 본인 디바이스를 등록합니다. 이 방법은 가장 일반적이며 사용자 지원 등록보다 스케일링 성능이 뛰어납니다.
    • 사용자 지원 등록: 미리 프로비저닝된 배포 방법을 사용하여 IT 멤버가 직접 만나거나 Teams를 통해 사용자에게 등록 프로세스를 안내합니다. 이 방법은 일반적으로 임원 및 추가 지원이 필요할 수 있는 기타 그룹에 사용됩니다.
    • IT 기술 박람회: 이 이벤트에서 IT 그룹은 Intune 등록 지원 부스를 설치합니다. 사용자는 Intune 등록 관련 정보를 받고, 질문하고, 디바이스 등록에 필요한 도움을 받습니다. 이 옵션은 특히 Intune 출시의 초기 단계에서 IT 및 사용자에게 유용합니다.

    다음 예제에는 등록 방법이 포함되어 있습니다.

    출시 단계 7월 8월 9월 10월
    제한된 파일럿
    셀프서비스 IT
    확장된 파일럿
    셀프서비스 IT
    미리 프로비저닝됨 IT 임원
    프로덕션 출시 단계 1 영업, 마케팅
    셀프서비스 영업 및 마케팅
    프로덕션 출시 단계 2 Retail
    셀프서비스 Retail
    프로덕션 출시 단계 3 임원, HR, 재무
    셀프서비스 HR, 재무
    미리 프로비저닝됨 임원

태스크 6: 변경 내용 알림

변경 관리에는 예정된 변경에 대한 명확하고 유용한 통신이 필요합니다. 원활한 Intune 배포를 위해 사용자에게 변경 내용과 중단을 알려야 합니다.

작업: 출시 통신 계획에는 중요한 정보, 사용자에게 알리는 방법, 알리는 시기가 포함되어야 합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 알릴 정보를 결정합니다. Intune 출시 개시부터 등록 전, 등록 후 순으로 그룹 및 사용자에게 단계별로 알립니다.

    • 개시 단계: Intune 프로젝트를 소개하는 광범위한 통신입니다. 다음과 같은 주요 질문에 대답해야 합니다.

      • Intune이란?
      • 조직과 사용자가 얻을 수 있는 이점을 포함하여 조직에서 Intune을 사용하는 이유
      • 개괄적인 배포 및 출시 계획을 제공합니다.
      • 디바이스를 등록하지 ‘않으면’ 개인 디바이스가 허용되지 않는 경우 이렇게 결정한 이유를 설명합니다.
    • 등록 전 단계: Intune 및 추가 서비스(예: Office, Outlook, OneDrive), 사용자 리소스, 사용자와 그룹이 Intune을 받게 되는 특정 타임라인에 대한 정보를 포함하는 광범위한 통신입니다.

    • 등록 단계: Intune을 받을 예정인 조직 그룹 및 사용자를 대상으로 하는 통신입니다. 사용자에게 Intune을 받을 준비가 되었음을 알리고, 등록 단계와 도움을 요청하고 질문할 담당자를 포함해야 합니다.

    • 등록 후 단계: Intune에 등록된 조직 사용자와 그룹을 대상으로 하는 통신입니다. 사용자에게 유용할 수 있는 추가 리소스를 제공하고 등록 중과 등록 후의 경험에 대한 피드백을 수집해야 합니다.

    Intune Adoption Kit가 도움이 될 수 있습니다. 이 키트를 그대로 사용하거나 조직에 맞게 변경합니다.

  • 대상 그룹 및 사용자에게 Intune 출시 정보를 알리는 방법을 선택합니다. 예를 들면 다음과 같습니다.

    • 조직 전체 대면 회의를 하거나 Microsoft Teams를 사용합니다.

    • 등록 전 메일, 등록 메일, 등록 후 메일을 만듭니다. 예를 들면 다음과 같습니다.

      • 메일 1: 이점, 예상 및 일정을 설명합니다. 이 기회를 활용하여 Intune을 통해 관리되는 디바이스에서 액세스 권한이 부여되는 기타 모든 서비스를 소개합니다.
      • 메일 2: 서비스가 현재 Intune을 통해 액세스할 준비가 되었음을 알립니다. 사용자에게 지금 등록하라고 알립니다. 사용자의 액세스 권한에 영향을 주기 전 미리 사용자에게 타임라인을 제공합니다. 사용자에게 마이그레이션의 이점 및 전략적 이유를 다시 알려줍니다.
    • 출시 단계, 사용자가 기대할 수 있는 사항, 도움을 요청할 수 있는 담당자를 설명하는 조직 웹 사이트를 사용합니다.

    • 포스터를 만들거나, 조직 소셜 미디어 플랫폼(예: Yammer)을 사용하거나, 전단지를 배포하여 등록 전 단계를 알립니다.

  • 시간과 대상을 포함하는 타임라인을 만듭니다. 첫 번째 Intune 개시 통신은 전체 조직이나 하위 집합을 대상으로 할 수 있습니다. 이 통신은 Intune 출시가 시작되기 전에 몇 주에 걸쳐 진행될 수 있습니다. 그런 다음, Intune 출시 일정에 맞춰 사용자와 그룹에 정보를 단계별로 알릴 수 있습니다.

    다음 예제는 개괄적인 Intune 출시 통신 계획입니다.

    통신 계획 7월 8월 9월 10월
    1단계 모두
    킥오프 회의 첫째 주
    2단계 IT 영업 및 마케팅 소매 HR, 재무 및 임원
    출시 전 메일 1 첫째 주 첫째 주 첫째 주 첫째 주
    3단계 IT 영업 및 마케팅 소매 HR, 재무 및 임원
    출시 전 메일 2 둘째 주 둘째 주 둘째 주 둘째 주
    4단계 IT 영업 및 마케팅 소매 HR, 재무 및 임원
    등록 메일 셋째 주 셋째 주 셋째 주 셋째 주
    5단계 IT 영업 및 마케팅 소매 HR, 재무 및 임원
    등록 후 메일 넷째 주 넷째 주 넷째 주 넷째 주

태스크 7: 기술 지원팀 및 최종 사용자 지원

Intune 배포 계획 및 파일럿 활동의 초기 단계에 IT 고객 지원팀과 기술 지원팀을 포함합니다. 초기에 포함하면 고객 지원팀이 Intune을 살펴보고 문제를 보다 효과적으로 확인 및 해결하는 데 필요한 지식과 경험을 얻을 수 있습니다. 또한 조직의 전체 프로덕션 출시를 지원할 준비가 됩니다. 숙련된 기술 지원팀과 지원팀은 사용자의 변경 내용 채택에도 도움이 됩니다.

작업: 지원 교육을 통합합니다. 배포 계획에서 성공 메트릭을 사용하여 최종 사용자 환경의 유효성을 검사합니다. 몇 가지 고려 사항은 다음과 같습니다.

  • 최종 사용자를 지원할 담당자를 결정합니다. 조직에 다양한 계층 또는 수준(1-3)이 있을 수 있습니다. 예를 들어 계층 1과 2는 지원 팀의 일부일 수 있고, 계층 3에는 Intune 배포를 담당하는 MDM 팀의 팀원이 포함됩니다.

    일반적으로 계층 1이 첫 번째 지원 수준이자 문의할 첫 번째 계층입니다. 계층 1에서 문제를 해결할 수 없는 경우 계층 2로 에스컬레이션합니다. 계층 2는 계층 3으로 에스컬레이션합니다. Microsoft 지원은 계층 4로 간주할 수 있습니다.

    • 초기 출시 단계에서는 지원 팀의 모든 계층이 문제와 해결 방법을 문서화해야 합니다. 패턴을 찾고 다음 출시 단계를 위해 통신을 조정합니다. 예를 들면 다음과 같습니다.
      • 개인 디바이스 등록을 망설이는 사용자나 그룹이 많은 경우 Teams 통화를 통해 일반적인 질문에 대답하는 것이 좋습니다.
      • 사용자가 조직 소유 디바이스를 등록할 때도 동일한 문제가 발생하는 경우 대면 이벤트를 호스트하여 사용자의 디바이스 등록을 지원합니다.
  • 기술 지원팀 워크플로를 만들고 지원 문제, 추세, 기타 중요한 정보를 지원 팀의 모든 계층에 지속적으로 알립니다. 예를 들어 매일 또는 매주 Teams 모임을 가져 모든 계층이 추세와 패턴을 인식하고 도움을 받을 수 있게 합니다.

    다음 예제에서는 Contoso에서 IT 고객 지원팀 또는 기술 지원팀 워크플로를 구현하는 방법을 보여 줍니다.

    1. 최종 사용자가 등록 문제에 대해 IT 지원 또는 기술 지원팀 계층 1에 연락합니다.
    2. IT 고객 지원팀 또는 기술 지원팀 계층 1에서 근본 원인을 확인할 수 없어 계층 2로 에스컬레이션합니다.
    3. IT 고객 지원팀 또는 기술 지원팀 계층 2에서 조사합니다. 계층 2에서 문제를 해결할 수 없어 계층 3으로 에스컬레이션하고 문제에 도움이 되는 추가 정보를 제공합니다.
    4. IT 고객 지원팀 또는 기술 지원팀 계층 3에서 조사하여 근본 원인을 확인하고 해결 방법을 계층 2와 1에 알립니다.
    5. IT 고객 지원팀/기술 지원팀 계층 1에서 사용자에게 연락하여 문제를 해결합니다.

    특히 Intune 출시의 초기 단계에서 이 방법을 사용하면 다음을 포함하여 많은 이점이 있습니다.

    • 기술 학습을 지원합니다.
    • 문제와 해결 방법을 빠르게 확인합니다.
    • 전반적인 사용자 환경을 개선합니다.
  • 기술 지원팀과 지원 팀을 교육합니다. 조직에서 사용되는 다양한 플랫폼(Android, iOS/iPadOS, macOS, Windows)을 실행하는 디바이스를 등록하여 프로세스를 숙지하게 합니다. 기술 지원팀과 지원 팀을 시나리오의 파일럿 그룹으로 사용하는 것이 좋습니다.

    YouTube 동영상, 등록, 규정 준수, 구성 관련 Microsoft 자습서, 교육 파트너를 통한 교육 과정 등의 교육 리소스를 사용할 수 있습니다.

    다음 예제는 Intune 지원 교육 어젠더입니다.

    • Intune 지원 계획 검토
    • Intune 개요
    • 일반적인 문제 해결
    • 도구 및 리소스
    • Q & A

최종 사용자 교육 설명서, 커뮤니티 기반 Intune 포럼, 최종 사용자 설명서도 유용한 리소스입니다.

다음 단계

앱 및 디바이스 정책을 만들고 디바이스를 등록합니다.

Intune Adoption Kit를 참조하세요.