Microsoft Intune 엔드포인트 보안 정책을 사용하여 디바이스 보안 관리

Intune 엔드포인트 보안 정책을 사용하여 디바이스의 보안 설정을 관리합니다. 각 엔드포인트 보안 정책은 하나 이상의 프로필을 지원합니다. 이러한 프로필은 개념에서 관련 설정의 논리적 그룹인 디바이스 구성 정책 템플릿과 유사합니다.

디바이스 보안과 관련된 보안 관리자는 이러한 보안 중심 프로필을 사용하여 디바이스 구성 프로필 또는 보안 기준의 오버헤드를 방지할 수 있습니다. 디바이스 구성 프로필 및 기준에는 엔드포인트 보안의 scope 외부에서 다양한 설정의 큰 본문이 포함됩니다. 반면, 각 엔드포인트 보안 프로필은 디바이스 보안의 한 측면을 구성하기 위한 디바이스 설정의 특정 하위 집합에 중점을 둡니다.

디바이스 구성 정책의 보안 기준 또는 엔드포인트 보호 템플릿과 같은 다른 정책 유형과 함께 엔드포인트 보안 정책을 사용하는 경우 여러 정책 유형을 사용하여 충돌하는 설정의 위험을 최소화하기 위한 계획을 개발하는 것이 중요합니다. 보안 기준, 디바이스 구성 정책 및 엔드포인트 보안 정책은 모두 Intune 디바이스 구성 설정의 동일한 원본으로 처리됩니다. 설정 충돌은 디바이스가 여러 원본에서 설정에 대해 서로 다른 두 가지 구성을 수신할 때 발생합니다. 여러 원본에는 별도의 정책 유형과 동일한 정책의 여러 인스턴스가 포함될 수 있습니다.

Intune 디바이스에 대한 정책을 평가하고 설정에 대한 충돌 구성을 식별하는 경우 관련된 설정에 오류 또는 충돌에 대한 플래그를 지정하고 적용하지 못할 수 있습니다. 각 구성 정책 유형은 충돌이 발생할 경우 식별 및 해결을 지원합니다.

Microsoft Intune 관리 센터의 엔드포인트 보안 노드에서 관리 아래에 엔드포인트 보안 정책을 찾을 수 있습니다.

Microsoft Intune 관리 센터에서 엔드포인트 보안 정책 관리

다음은 각 엔드포인트 보안 정책 유형에 대한 간략한 설명입니다. 각각에 대해 사용 가능한 프로필을 포함하여 해당 프로필에 대해 자세히 알아보려면 각 정책 유형 전용 콘텐츠에 대한 링크를 따르세요.

  • 계정 보호 - 계정 보호 정책은 사용자의 ID 및 계정을 보호하는 데 도움이 됩니다. 계정 보호 정책은 Windows ID 및 액세스 관리의 일부인 Windows Hello 및 Credential Guard에 대한 설정에 중점을 줍니다.

  • 바이러스 백신 - 바이러스 백신 정책은 보안 관리자가 관리 디바이스에 대한 개별 바이러스 백신 설정 그룹을 관리하는 데 집중할 수 있도록 지원합니다.

  • 비즈니스용 앱 제어(미리 보기) - 비즈니스용 앱 제어 정책 및 Microsoft Intune 관리되는 설치 관리자를 사용하여 Windows 디바이스에 대해 승인된 앱을 관리합니다. Intune 비즈니스용 앱 제어 정책은 Windows Defender WDAC(애플리케이션 제어)의 구현입니다.

  • 공격 표면 감소 - Windows 10/11 디바이스에서 Defender 바이러스 백신을 사용하는 경우 공격 표면 감소에 Intune 엔드포인트 보안 정책을 사용하여 디바이스에 대한 설정을 관리합니다.

  • 디스크 암호화 - 엔드포인트 보안 디스크 암호화 프로필은 FileVault 또는 BitLocker와 같은 기본 제공 암호화 방법과 관련된 설정에만 초점을 맞춥니다. 이 포커스를 사용하면 보안 관리자가 관련 없는 여러 설정을 탐색하지 않고도 디스크 암호화 설정을 쉽게 관리할 수 있습니다.

  • 엔드포인트 검색 및 응답 - Intune 엔드포인트용 Microsoft Defender 통합하는 경우 엔드포인트 보안 정책을 사용하여 EDR(엔드포인트 검색 및 응답)을 사용하여 EDR 설정을 관리하고 디바이스를 온보딩하여 엔드포인트용 Microsoft Defender.

  • 방화벽 - Intune 엔드포인트 보안 방화벽 정책을 사용하여 macOS 및 Windows 10/11을 실행하는 디바이스에 대한 기본 제공 방화벽을 구성합니다.

다음 섹션은 모든 엔드포인트 보안 정책에 적용됩니다.

엔드포인트 보안 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안을 선택한 다음 구성하려는 정책 유형을 선택한 다음 정책 만들기를 선택합니다. 다음 정책 유형에서 선택합니다.

    • 계정 보호
    • 바이러스 검사
    • 애플리케이션 컨트롤(미리 보기)
    • 공격 표면 감소
    • 디스크 암호화
    • 엔드포인트 감지 및 응답
    • 방화벽
  3. 다음 속성을 입력합니다.

    • 플랫폼: 정책을 만드는 플랫폼을 선택합니다. 사용 가능한 옵션은 선택한 정책 유형에 따라 다릅니다.
    • 프로필: 선택한 플랫폼에 사용 가능한 프로필 중에서 선택합니다. 프로필에 대한 자세한 내용은 선택한 정책 유형에 대한 이 문서의 전용 섹션을 참조하세요.
  4. 만들기를 선택합니다.

  5. 기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음을 선택합니다.

  6. 구성 설정 페이지에서 각 설정 그룹을 확장하고 이 프로필로 관리하려는 설정을 구성합니다.

    설정 구성을 완료하면 다음을 선택합니다.

  7. 범위 태그 페이지에서 scope 태그 선택을 선택하여 태그 선택 창을 열어 프로필에 scope 태그를 할당합니다.

    다음을 선택하여 계속합니다.

  8. 할당 페이지에서 이 프로필을 받을 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.

    다음을 선택합니다.

  9. 검토 + 만들기 페이지에서 완료되면 만들기를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.

정책 복제

엔드포인트 보안 정책은 중복을 지원하여 원래 정책의 복사본을 만듭니다. 정책을 복제하는 것이 유용한 시나리오는 유사한 정책을 다른 그룹에 할당해야 하지만 전체 정책을 수동으로 다시 만들지 않으려는 경우입니다. 대신 원래 정책을 복제한 다음 새 정책에 필요한 변경 내용만 도입할 수 있습니다. 특정 설정과 정책이 할당된 그룹만 변경할 수 있습니다.

중복을 만들 때 복사본에 새 이름을 지정합니다. 복사본은 원본과 동일한 설정 구성 및 범위 태그를 사용하여 작성하지만 할당은 없습니다. 할당을 만들려면 나중에 새 정책을 편집해야 합니다.

다음 정책 유형은 중복을 지원합니다.

  • 계정 보호
  • 애플리케이션 제어(미리 보기)
  • 바이러스 검사
  • 공격 표면 감소
  • 디스크 암호화
  • 엔드포인트 감지 및 응답
  • 방화벽

새 정책을 만든 후 정책을 검토하고 편집하여 구성을 변경합니다.

정책을 복제하려면

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. 복사할 정책을 선택합니다. 다음으로 중복 을 선택하거나 정책 오른쪽에 있는 줄임표(...)를 선택하고 중복을 선택합니다.
  3. 정책의 새 이름을 입력한 다음 저장을 선택합니다.

정책을 편집하려면

  1. 새 정책을 선택한 다음 속성을 선택합니다.
  2. 설정을 선택하여 정책의 구성 설정 목록을 확장합니다. 이 보기에서 설정을 수정할 수 없지만 구성 방법을 검토할 수 있습니다.
  3. 정책을 수정하려면 변경하려는 각 범주에 대해 편집을 선택합니다.
    • 기본 사항
    • Assignments
    • 범위 태그
    • 구성 설정
  4. 변경 사항을 적용했다면 저장을 선택하여 편집 내용을 저장합니다. 추가 범주에 대한 편집을 도입하려면 먼저 한 범주에 대한 편집을 저장해야 합니다.

충돌 관리

엔드포인트 보안 정책(보안 정책)으로 관리할 수 있는 대부분의 디바이스 설정은 Intune 다른 정책 유형을 통해서도 사용할 수 있습니다. 이러한 다른 정책 유형에는 디바이스 구성 정책 및 보안 기준이 포함됩니다. 여러 정책 유형을 통해 또는 동일한 정책 유형의 여러 인스턴스를 통해 설정을 관리할 수 있으므로 예상한 구성을 준수하지 않는 장치에 대한 정책 충돌을 식별하고 해결할 수 있도록 준비하세요.

  • 보안 기준은 기준이 처리하는 권장 구성을 준수하도록 설정에 대해 기본값이 아닌 값을 설정할 수 있습니다.
  • 엔드포인트 보안 정책을 비롯한 다른 정책 유형은 기본적으로 구성되지 않음 값을 설정합니다. 이러한 다른 정책 유형을 사용하려면 정책에서 설정을 명시적으로 구성해야 합니다.

정책 메서드에 관계없이 여러 정책 유형을 통해 또는 동일한 정책 유형의 여러 인스턴스를 통해 동일한 장치에서 동일한 설정을 관리하면 피해야 하는 충돌이 발생할 수 있습니다.

다음 링크의 정보는 충돌을 식별하고 resolve 데 도움이 될 수 있습니다.

다음 단계

Intune 엔드포인트 보안 관리