보안 기준을 사용하여 Intune에서 Windows 디바이스 구성

  • 아티클
  • 읽는 데 18분 걸림

Intune을 사용하면 Windows 보안 기준을 쉽게 배포하여 사용자와 디바이스의 보안을 유지하고 보호할 수 있습니다.

Windows 및 Windows Server는 즉시 사용 가능한 보안을 위해 설계되었지만 많은 조직에서는 여전히 보안 구성에 대한 보다 세부적인 제어를 원합니다. 많은 제어 기능을 탐색하기 위해 조직에서는 다양한 보안 기능 구성에 대한 지침을 찾는 경우가 많습니다. Microsoft는 보안 기준의 형태로 이 지침을 제공합니다.

보안 기준은 관련 보안 팀에서 권장하는 세분화된 보안 설정을 적용하고 시행하는 데 도움이 되는 사전 구성된 Windows 설정 그룹입니다. 배포하는 각 기준을 사용자 지정하여 필요한 설정과 값만 적용할 수도 있습니다. Intune에서 보안 기준 프로필을 만들 때 여러 디바이스 구성 프로필로 구성된 템플릿을 만듭니다.

보안 기준을 배포해야 하는 이유와 시기에 대해 자세히 알아보려면 Windows 보안 문서에서 Windows 보안 기준을 참조하세요.

이 기능은 다음에 적용됩니다.

  • Windows 10 버전 1809 이상​
  • Windows 11

Intune의 사용자 또는 디바이스 그룹에 보안 기준을 배포하면 설정이 Windows 10/11을 실행하는 디바이스에 적용됩니다. 예를 들어 MDM 보안 기준 은 휴대용 디바이스에 대해 자동으로 BitLocker를 사용하도록 설정하고, 디바이스를 잠금 해제하는 데 자동으로 암호를 요구하며, 기본 인증을 자동으로 사용하지 않도록 설정하는 등의 기능을 제공합니다. 기본값이 환경에 맞지 않으면 기준을 사용자 지정하여 필요한 설정을 적용합니다.

다른 기준 형식에서 같은 설정을 포함할 수 있지만 해당 설정에 다른 기본값을 사용합니다. 사용하도록 선택한 기준의 기본값을 이해하고 조직의 요구 사항에 맞게 각 기준을 수정하는 것이 중요합니다.

참고

보안 기준의 미리 보기 버전을 프로덕션 환경에서 사용하지 않는 것이 좋습니다. 미리 보기 기준의 설정은 미리 보기 과정에서 변경될 수 있습니다.

보안 기준을 사용하면 Microsoft 365로 작업할 때 엔드투엔드 보안 워크플로를 제공할 수 있습니다. 몇 가지 이점은 다음과 같습니다.

  • 보안 기준선에는 보안에 영향을 주는 설정에 대한 모범 사례와 권장 사항이 포함됩니다. Intune은 그룹 정책 보안 기준선을 만드는 동일한 Windows 보안 팀과 협력하고 있습니다. 이러한 권장 사항은 지침 및 광범위한 경험을 토대로 작성된 것입니다.
  • Intune을 처음 사용하고 어디서부터 시작해야 할지 모르는 경우, 보안 기준이 도움이 됩니다. 조직의 리소스와 데이터를 보호하는 데 도움이 된다는 것을 알고 있으면 보안 프로필을 빠르게 만들고 배포할 수 있습니다.
  • 현재 그룹 정책을 사용하는 경우 이러한 기준선을 사용하면 관리를 위해 Intune으로 마이그레이션하는 것이 훨씬 쉽습니다. 이러한 기준선은 Intune에 기본적으로 제공되며 최신 관리 환경을 포함합니다.

사용 가능한 보안 기준

다음 보안 기준 인스턴스는 Intune에서 사용할 수 있습니다. 링크를 사용하여 각 기준의 최근 인스턴스에 대한 설정을 볼 수 있습니다.

프로필 릴리스를 위한 새 버전 이후에는 이전 버전을 기반으로 하는 프로필의 설정은 읽기 전용이 됩니다. 이름, 설명 및 할당 편집을 포함하여 이전 프로필을 계속 사용할 수 있지만 해당 프로필에 대한 설정을 편집하거나 이전 버전을 기반으로 새 프로필을 만들 수 없습니다.

최신 버전의 기준을 사용할 준비가 되면 새 프로필을 만들거나 기존 프로필을 새 버전으로 업데이트할 수 있습니다. 보안 기준 프로필 관리 문서에서 프로필에 대한 기준 버전 변경을 참조하세요.

기준 버전 및 인스턴스 정보

기준의 새 버전 인스턴스 각각에서는 설정을 추가 또는 제거하거나 다른 변경 내용을 도입할 수 있습니다. 예를 들어 Windows 새 버전의 Windows 10/11에서 새 Windows 설정을 사용할 수 있을 때 MDM 보안 기준은 최신 설정을 포함하는 새 버전 인스턴스를 받을 수 있습니다.

Microsoft Endpoint Manager 관리 센터엔드포인트 보안 > 보안 기준 에 사용 가능한 기준 목록이 표시됩니다. 목록에는 다음이 포함됩니다.

  • 기준 템플릿 이름.
  • 해당 유형의 기준을 사용하는 프로필의 수입니다.
  • 사용할 수 있는 기준 유형의 개별 인스턴스(버전) 수.
  • 기준 템플릿 최신 버전을 사용할 수 있게 된 ‘마지막 게시’ 날짜.

사용하는 기준 버전에 관한 자세한 내용을 보려면 ‘MDM 보안 기준’ 같은 기준 유형을 선택하여 ‘프로필’ 창을 연 다음, 버전 을 선택합니다. Intune에는 프로필에서 사용 중인 해당 기준의 버전에 대한 세부 정보가 표시됩니다. 세부 정보에는 최신 및 현재 기준 버전이 포함됩니다. 단일 버전을 선택하여 해당 버전을 사용하는 프로필에 대해 자세히 확인할 수 있습니다.

지정된 프로필에서 사용 중인 기준의 버전을 변경하도록 선택할 수 있습니다. 버전을 변경할 때 새 기준 프로필을 만들지 않아도 업데이트된 버전을 활용할 수 있습니다. 대신 기준 프로필을 선택한 다음 기본 제공 옵션을 사용하여 프로필의 인스턴스 버전을 새 버전으로 변경하면 됩니다.

기준 버전 비교

보안 기준에 대한 버전 창에는 배포한 해당 기준의 각 버전 목록이 있습니다. 해당 목록에는 기준의 최신 버전 및 활성 버전도 포함됩니다. 새 보안 기준 프로필 을 만드는 경우 프로필은 최신 버전의 보안 기준을 사용합니다. 이름, 설명 및 할당 편집을 포함하여 이전 버전을 기준으로 하는 프로필을 계속 사용할 수 있지만 이전 프로필 버전에 대한 설정은 편집할 수 없습니다.

버전 간에 변경된 사항을 확인하려면 서로 다른 두 버전의 확인란을 선택한 다음 기준 비교 를 선택합니다. 그러면 차이점을 자세히 설명하는 CSV 파일을 다운로드하라는 메시지가 표시됩니다.

다운로드는 두 개의 기준 버전에서 각 설정을 식별하며, 해당 설정이 변경되었거나(notEqual) 동일하게 유지되었는지(equal) 확인합니다. 세부 정보에는 버전별 설정의 기본값이 포함되어 있으며, 설정이 최신 버전에 ‘추가’되었거나 최신 버전에서 ‘제거’된 경우도 포함됩니다.

기준 비교

충돌 방지

Intune 환경에서 사용 가능한 기준을 하나 이상 동시에 사용할 수 있습니다. 또한 여러 사용자 지정을 포함하는 동일한 보안 기준의 여러 인스턴스를 사용할 수도 있습니다.

여러 보안 기준을 사용하는 경우 각각의 설정을 검토하여 여러 기준 구성이 동일한 설정에 대해 충돌하는 값을 도입할 때를 확인합니다. 다른 용도를 위해 설계된 보안 기준을 배포하고 사용자 지정된 설정이 포함된 동일한 기준의 여러 인스턴스를 배포할 수 있으므로 디바이스에 구성 충돌을 일으킬 수 있고, 이는 반드시 조사하여 해결해야 합니다.

또한 보안 기준은 디바이스 구성 프로필 또는 다른 정책 유형으로 설정하는 것과 동일한 설정을 관리하는 경우가 많습니다. 따라서 충돌을 방지 또는 해결할 때 설정에 대한 추가 정책과 프로필을 계속 고려합니다.

다음 링크의 정보를 참조하여 충돌을 식별하고 해결할 수 있습니다.

Q & A

이러한 설정은 왜 필요한가요?

Microsoft 보안 팀은 지난 수년 동안 Windows 개발자 및 보안 커뮤니티와 직접 협력하여 이러한 권장 사항을 작성했습니다. 이 기준선의 설정은 가장 관련성 높은 보안 관련 구성 옵션으로 간주됩니다. 새로운 Windows 빌드마다 팀은 새로 릴리스된 기능을 기반으로 해당 권장 사항을 조정합니다.

그룹 정책과 Intune에 대한 Windows 보안 기준 권장 사항이 다른가요?

동일한 Microsoft 보안팀이 각 기준선에 대한 설정을 선택하고 구성했습니다. Intune은 Intune 보안 기준선의 모든 관련 설정을 포함합니다. 그룹 정책 기준선에는 온-프레미스 도메인 컨트롤러에만 적용되는 몇 가지 설정이 있습니다. 이러한 설정은 Intune의 권장 사항에서 제외됩니다. 다른 모든 설정은 동일합니다.

Intune 보안 기준이 CIS 또는 NIST를 준수하나요?

엄밀히 말하면, 그렇지 않습니다. Microsoft 보안팀은 해당 권장 사항을 작성하기 위해 CIS와 같은 조직과 논의합니다. 그러나 “CIS 규격” 및 Microsoft 기준 간에 일대일 매핑은 없습니다.

Microsoft의 보안 기준은 어떤 인증을 포함하나요?

  • Microsoft는 수년 동안 그랬듯이 GPO(그룹 정책) 및 Security Compliance Toolkit에 대한 보안 기준을 지속적으로 게시하고 있습니다. 이러한 기준은 대부분의 조직에서 사용됩니다. 이러한 기준의 권장 사항은 Microsoft 보안 팀이 DoD(미국국방부), NIST(미국 국립표준기술원) 등을 비롯한 기업 고객 및 외부 기관과 협력한 결과입니다. Microsoft는 당사의 권장 사항과 기준을 이러한 조직과 공유합니다. 이러한 조직은 Microsoft의 권장 사항을 충실하게 반영하는 자체적인 권장 사항도 보유하고 있습니다. MDM(모바일 디바이스 관리)이 클라우드 환경으로 지속적으로 성장함에 따라 Microsoft는 이러한 그룹 정책 기준선에 대한 동일한 MDM 권장 사항을 작성했습니다. 이러한 추가 기준선은 Microsoft Intune에 기본 제공되며 기준선을 따르거나 따르지 않는 사용자, 그룹 및 디바이스에 대한 규정 준수 보고서를 포함합니다.

  • 많은 고객이 Intune 기준 권장 사항을 시작점으로 사용하여 IT 및 보안 요구 사항에 맞게 사용자 지정합니다. Microsoft의 Windows 10 RS5 MDM 보안 기준 은 릴리스할 첫 번째 기준입니다. 이 기준은 고객이 CIS, NIST 및 기타 표준을 기반으로 하고 궁극적으로는 다른 보안 기준을 가져올 수 있도록 해주는 범용 인프라로 작성되었습니다. 현재 Windows용으로 제공되며 나중에는 iOS/iPadOS 및 Android를 포함할 예정입니다.

  • Microsoft Intune에서 Azure AD(Active Directory)를 사용하여 온-프레미스 Active Directory 그룹 정책을 순수 클라우드 솔루션으로 마이그레이션할 계획입니다. 이를 위해 온-프레미스 GPO 구성을 대체할 수 있는 보안 기준에서 클라우드 기반 옵션을 식별하는 데 도움이 되는 Security Compliance Toolkit의 다양한 도구를 사용할 수 있습니다.

다음 단계