Intune 엔드포인트 보안에 대한 방화벽 정책

  • 아티클

Intune 엔드포인트 보안 방화벽 정책을 사용하여 macOS 및 Windows 디바이스를 실행하는 디바이스에 대한 기본 제공 방화벽을 구성합니다.

디바이스 구성에 Endpoint Protection 프로필을 사용하여 동일한 방화벽 설정을 구성할 수 있지만 디바이스 구성 프로필에는 추가 설정 범주가 포함됩니다. 이러한 추가 설정은 방화벽과 관련이 없으며 환경에 대한 방화벽 설정만 구성하는 작업을 복잡하게 만들 수 있습니다.

Microsoft Intune 관리 센터의 엔드포인트 보안 노드에서 관리 아래에서 방화벽에 대한 엔드포인트 보안 정책을 찾습니다.

방화벽 프로필의 필수 구성 요소

  • Windows 10
  • Windows 11
  • R2 이상 Windows Server 2012
  • 지원되는 macOS 버전

중요

Windows는 Windows CSP(방화벽 구성 서비스 공급자)가 원자성 방화벽 규칙 블록의 규칙을 적용하는 방법을 업데이트했습니다. 디바이스의 Windows 방화벽 CSP는 Intune 엔드포인트 보안 방화벽 정책의 방화벽 규칙 설정을 구현합니다. 다음 버전의 Windows부터 업데이트된 CSP 동작은 이제 각 원자성 규칙 블록에서 방화벽 규칙을 전부 또는 전혀 적용하지 않습니다.

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

이전 버전의 Windows를 실행하는 디바이스에서 CSP는 한 번에 하나의 규칙(또는 설정)인 원자성 규칙 블록에서 방화벽 규칙을 처리합니다. 의도는 해당 원자 블록의 모든 규칙을 적용하거나 그 중 어느 것도 적용하지 않는 것입니다. 그러나 CSP가 블록에서 규칙을 적용하는 데 문제가 발생하는 경우 CSP는 후속 규칙 적용을 중지하지만 이미 성공적으로 적용된 해당 블록에서 규칙을 롤백하지 않습니다. 이 동작으로 인해 디바이스에 방화벽 규칙이 부분적으로 배포될 수 있습니다.

방화벽 프로필

Intune 관리되는 디바이스

플랫폼: macOS:

  • macOS 방화벽 – macOS 에서 기본 제공 방화벽에 대한 설정을 사용하도록 설정하고 구성합니다.

플랫폼: Windows 10, Windows 11 및 Windows Server:

다음 프로필에서 설정을 구성하는 방법에 대한 자세한 내용은 CSP(방화벽 구성 서비스 공급자)를 참조하세요.

참고

2022년 4월 5일부터 Windows 10 이상 플랫폼이 Windows 10, Windows 11 및 Windows Server 플랫폼으로 대체되었습니다.

Windows 10, Windows 11 및 Windows Server 플랫폼은 Microsoft Intune 또는 엔드포인트용 Microsoft Defender 통해 통신하는 디바이스를 지원합니다. 또한 이러한 프로필은 기본적으로 Microsoft Intune 통해 지원되지 않는 Windows Server 플랫폼에 대한 지원을 추가합니다.

이 새 플랫폼의 프로필은 설정 카탈로그에 있는 설정 형식을 사용합니다. 이 새 플랫폼의 각 새 프로필 템플릿에는 대체되는 이전 프로필 템플릿과 동일한 설정이 포함됩니다. 이 변경으로 더 이상 이전 프로필의 새 버전을 만들 수 없습니다. 이전 프로필의 기존 인스턴스는 계속 사용하고 편집할 수 있습니다.

  • Windows 방화벽 – 고급 보안을 사용하여 Windows 방화벽에 대한 설정을 구성합니다. Windows 방화벽은 디바이스에 대한 호스트 기반 양방향 네트워크 트래픽 필터링을 제공하며 로컬 디바이스로 들어오거나 나가는 무단 네트워크 트래픽을 차단할 수 있습니다.

  • Windows 방화벽 규칙 - 특정 포트, 프로토콜, 애플리케이션 및 네트워크를 포함하여 세분화된 방화벽 규칙을 정의하고 네트워크 트래픽을 허용하거나 차단합니다. 이 프로필의 각 instance 최대 150개의 사용자 지정 규칙을 지원합니다.

    MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP에 설명된 정책 앱 ID 설정을 사용하려면 환경에서 Windows Defender WDAC(애플리케이션 제어) 태그 지정을 사용해야 합니다. 자세한 내용은 다음 Windows Defender 문서를 참조하세요.

  • Windows Hyper-V 방화벽 규칙 Windows Hyper-V 방화벽 규칙 템플릿을 사용하면 WSL(Linux용 Windows 하위 시스템) 및 WSA(Android용 Windows 하위 시스템)와 같은 애플리케이션을 포함하여 Windows의 특정 Hyper-V 컨테이너에 적용되는 방화벽 규칙을 제어할 수 있습니다.

방화벽 규칙에 대한 프로필에 재사용 가능한 설정 그룹 추가

공개 미리 보기에서 Windows 방화벽 규칙 프로필은 다음 플랫폼에 재사용 가능한 설정 그룹의 사용을 지원합니다.

  • Windows 10 및 Windows 11

다음 방화벽 규칙 프로필 설정은 재사용 가능한 설정 그룹에서 사용할 수 있습니다.

  • 원격 IP 주소 범위
  • FQDN 정의 및 자동 확인

하나 이상의 재사용 가능한 설정 그룹을 추가하도록 방화벽 규칙을 구성하는 경우 해당 그룹의 설정을 사용하는 방법을 정의하도록 작업 규칙도 구성합니다.

프로필에 추가하는 각 규칙에는 재사용 가능한 설정 그룹과 규칙에 직접 추가된 개별 설정이 모두 포함될 수 있습니다. 그러나 재사용 가능한 설정 그룹에 대해 각 규칙을 사용하거나 규칙에 직접 추가하는 설정을 관리하는 것이 좋습니다. 이러한 분리는 향후 구성 또는 변경 내용을 간소화하는 데 도움이 될 수 있습니다.

재사용 가능한 그룹을 구성한 다음 이 프로필에 추가하기 위한 필수 구성 요소 및 지침은 Intune 정책과 함께 재사용 가능한 설정 그룹 사용을 참조하세요.

Configuration Manager 관리되는 디바이스

방화벽

Configuration Manager 관리되는 디바이스에 대한 지원은 미리 보기로 제공됩니다.

테넌트 연결을 사용하는 경우 Configuration Manager 디바이스에 대한 방화벽 정책 설정을 관리합니다.

정책 경로:

  • 엔드포인트 보안 > 방화벽 > Windows 10 이상

프로필:

  • Windows 방화벽(ConfigMgr)

필요한 버전의 Configuration Manager:

  • 콘솔 내 업데이트 Configuration Manager 2006 핫픽스(KB4578605)를 사용하여 현재 분기 버전 2006 이상을 Configuration Manager

지원되는 Configuration Manager 디바이스 플랫폼:

  • Windows 11 이상(x86, x64, ARM64)
  • Windows 10 이상(x86, x64, ARM64)

방화벽 규칙 병합 및 정책 충돌

하나의 정책만 사용하여 디바이스에 방화벽 정책을 적용하도록 계획합니다. 단일 정책 instance 및 정책 유형을 사용하면 두 개의 별도 정책이 동일한 설정에 서로 다른 구성을 적용하여 충돌이 발생하지 않도록 방지할 수 있습니다. 두 정책 인스턴스 또는 서로 다른 값으로 동일한 설정을 관리하는 정책 유형 간에 충돌이 발생하면 설정이 디바이스로 전송되지 않습니다.

  • 이러한 형태의 정책 충돌은 다른 Windows 방화벽 프로필 또는 디바이스 구성과 같은 다른 정책 유형으로 제공되는 방화벽 구성과 충돌할 수 있는 Windows 방화벽 프로필에 적용됩니다.

    Windows 방화벽 프로필은Windows 방화벽 규칙 프로필과 충돌하지 않습니다.

Windows 방화벽 규칙 프로필을 사용하는 경우 동일한 디바이스에 여러 규칙 프로필을 적용할 수 있습니다. 그러나 구성이 서로 다른 동일한 것에 대해 서로 다른 규칙이 있는 경우 둘 다 디바이스로 전송되고 해당 디바이스에서 충돌이 발생합니다.

  • 예를 들어 하나의 규칙이 방화벽을 통해 Teams.exe 차단하고 두 번째 규칙이 Teams.exe허용하는 경우 두 규칙은 모두 클라이언트에 전달됩니다. 이 결과는 방화벽 설정에 대한 다른 정책을 통해 생성된 충돌과 다릅니다.

여러 규칙 프로필의 규칙이 서로 충돌하지 않는 경우 디바이스는 각 프로필의 규칙을 병합하여 디바이스에서 결합된 방화벽 규칙 구성을 만듭니다. 이 동작을 사용하면 각 개별 프로필이 지원하는 150개 이상의 규칙을 디바이스에 배포할 수 있습니다.

  • 예를 들어 두 개의 Windows 방화벽 규칙 프로필이 있습니다. 첫 번째 프로필을 사용하면 방화벽을 통해Teams.exe 수 있습니다. 두 번째 프로필을 사용하면 방화벽을 통해Outlook.exe 수 있습니다. 디바이스가 두 프로필을 모두 수신하면 디바이스가 방화벽을 통해 두 앱을 모두 허용하도록 구성됩니다.

방화벽 정책 보고서

방화벽 정책에 대한 보고서는 관리되는 디바이스의 방화벽 상태 대한 상태 세부 정보를 표시합니다. 방화벽 보고서는 다음 운영 체제를 실행하는 관리되는 디바이스를 지원합니다.

  • Windows 10/11

요약

요약은 방화벽 노드를 열 때 기본 보기입니다. Microsoft Intune 관리 센터를 연 다음 엔드포인트 보안>방화벽>요약으로 이동합니다.

이 보기는 다음을 제공합니다.

  • 방화벽이 꺼진 디바이스의 집계 수입니다.
  • 이름, 유형, 할당된 경우 및 마지막으로 수정한 시기를 비롯한 방화벽 정책 목록입니다.

방화벽이 꺼진 Windows 10 이상을 실행하는 MDM 디바이스

이 보고서는 엔드포인트 보안 노드에 있습니다. Microsoft Intune 관리 센터를 연 다음 방화벽이 꺼진 Windows 10 이상을 실행하는 엔드포인트 보안>방화벽> MDM 디바이스로 이동합니다.

데이터는 Windows DeviceStatus CSP를 통해 보고되며 방화벽이 꺼져 있는 각 디바이스를 식별합니다. 기본적으로 표시되는 세부 정보는 다음과 같습니다.

  • 장치 이름
  • 방화벽 상태
  • 사용자 계정 이름
  • Target(디바이스 관리 방법)
  • 마지막 검사 시간

방화벽 끄기 보기

Windows 10 이상용 MDM 방화벽 상태

이 조직 보고서는 Intune 보고서에도 설명되어 있습니다.

조직 보고서로서 이 보고서는 보고서 노드에서 사용할 수 있습니다. Microsoft Intune 관리 센터를 연 다음 보고서방화벽MDM 방화벽> 상태 Windows 10 이상으로 이동합니다.>

방화벽 보고서 선택

데이터는 Windows DeviceStatus CSP를 통해 보고되며 관리 디바이스의 방화벽 상태를 보고합니다. 하나 이상의 상태 정보 범주를 사용하여 이 보고서의 반환 결과를 필터링할 수 있습니다.

상태 정보에는 다음이 포함됩니다.

  • 사용 – 방화벽이 켜져 있고 성공적으로 보고하고 있습니다.
  • 사용 안 함 - 방화벽이 꺼져 있습니다.
  • 제한됨 – 방화벽이 일부 네트워크를 모니터링하지 않거나 일부 규칙이 해제되어 있습니다.
  • 일시적으로 사용 안 함(기본값) – 방화벽이 일시적으로 일부 네트워크를 모니터링하지 않습니다.
  • 해당 없음 - 디바이스가 방화벽 보고를 지원하지 않습니다.

하나 이상의 상태 정보 범주를 사용하여 이 보고서의 반환 결과를 필터링할 수 있습니다.

방화벽 상태 보고서 보기

방화벽 규칙에 대한 문제 조사

Intune 방화벽 규칙 및 일반적인 문제를 해결하는 방법에 대한 자세한 내용은 다음 Intune 고객 성공 블로그를 참조하세요.

추가 일반적인 방화벽 규칙 문제:

이벤트 뷰어: RemotePortRanges 또는 LocalPortRanges "매개 변수가 잘못되었습니다."

RemotePortRangesFailure

  • 구성된 범위가 오름차순인지 확인합니다(예: 1-5가 올바르고 5-1이 이 오류를 발생).
  • 구성된 범위가 0-65535의 전체 포트 범위 내에 있는지 확인합니다.
  • 원격 포트 범위 또는 로컬 포트 범위가 규칙에 구성된 경우 프로토콜도 6(TCP) 또는 17(UDP)으로 구성해야 합니다.

이벤트 뷰어: "... 이름), 결과: (매개 변수가 잘못되었습니다)"

이름 오류의 화면 캡처

  • 규칙에서 에지 순회를 사용하는 경우 규칙 방향을 "이 규칙은 인바운드 트래픽에 적용"으로 설정 해야 합니다 .

이벤트 뷰어: "... InterfaceTypes), 결과: (매개 변수가 올바르지 않음)"

인터페이스 형식 오류의 화면 캡처

  • 규칙에서 "All" 인터페이스 형식을 사용하도록 설정한 경우 다른 인터페이스 형식을 선택 해서는 안 됩니다 .

다음 단계

엔드포인트 보안 정책 구성

Windows 10 이상 플랫폼의 사용되지 않는 방화벽 프로필에서 설정에 대한 세부 정보를 봅니다.