Microsoft Configuration Manager 사용하여 Windows 10 및 Windows 11 디바이스 온보딩

  • 아티클

적용 대상:

Configuration Manager 사용하여 디바이스 온보딩

  1. Microsoft Purview 규정 준수 포털 구성 패키지 .zip 파일(DeviceComplianceOnboardingPackage.zip)을 가져옵니다.

  2. 탐색 창에서 설정>디바이스 온보딩온보딩을> 선택합니다.

  3. 배포 방법 필드에서 Microsoft Configuration Manager 선택합니다.

  4. 패키지 다운로드를 선택하고 .zip 파일을 저장합니다.

  5. 패키지를 배포할 네트워크 관리자가 액세스할 수 있는 공유 읽기 전용 위치에 .zip 파일의 콘텐츠를 추출합니다. DeviceCompliance.onboarding이라는 파일이 있어야 합니다.

  6. 패키지 및 프로그램 - Configuration Manager 문서의 단계에 따라 패키지를 배포합니다.

  7. 패키지를 배포할 미리 정의된 디바이스 컬렉션을 선택합니다.

참고

Microsoft 365 정보 보호는 OOBE(기본 제공 환경) 단계에서 온보딩을 지원하지 않습니다. Windows 설치 또는 업그레이드를 실행한 후 사용자가 OOBE를 완료해야 합니다.

디바이스가 온보딩된 경우 Configuration Manager 애플리케이션에서 지속적으로 검사 검색 규칙을 만들 수 있습니다. 애플리케이션은 패키지 및 프로그램과 다른 유형의 개체입니다. 디바이스가 아직 온보딩되지 않은 경우(보류 중인 OOBE 완료 또는 기타 이유로 인해) Configuration Manager 규칙이 상태 변경을 감지할 때까지 디바이스를 다시 온보딩하려고 시도합니다.

이 동작은 레지스트리 값(REG_DWORD 형식) = 1인지 OnboardingState 확인하는 검색 규칙을 만들어 수행할 수 있습니다. 이 레지스트리 값은 아래에 HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"있습니다.

자세한 내용은 배포 유형 검색 방법 옵션을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에 대해 심층 분석을 위해 파일을 제출하기 위해 Microsoft Defender 보안 센터 통해 요청을 수행할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 명시하도록 구성 값을 설정할 수 있습니다.

참고

이러한 구성 설정은 일반적으로 Configuration Manager 통해 수행됩니다.

Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 디바이스에서 샘플 공유 설정을 변경할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 설정하여 불만 사항인지 확인하는 수정 규정 준수 규칙 구성 항목이어야 합니다.

구성은 다음 레지스트리 키 항목을 통해 설정됩니다.

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

여기서,

키 유형은 D-WORD입니다.

가능한 값은 다음과 같습니다.

  • 0 - 이 디바이스에서 샘플 공유를 허용하지 않음
  • 1 - 이 디바이스의 모든 파일 형식을 공유할 수 있습니다.

레지스트리 키가 없는 경우 기본값은 1입니다. Configuration Manager Configuration Manager 클라이언트로 관리되는 Windows 데스크톱 및 서버 컴퓨터에 대한 사용자 지정 구성 항목 Create 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

디바이스를 서비스에 온보딩한 후에는 다음과 같은 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

차세대 보호 구성

다음 구성 설정을 사용하는 것이 좋습니다.

스캔

  • USB 드라이브와 같은 이동식 스토리지 디바이스 검사: 예

실시간 보호

  • 동작 모니터링 사용: 예
  • 다운로드 및 설치 전에 잠재적으로 원치 않는 애플리케이션에 대한 보호를 사용하도록 설정: 예

Cloud Protection Service

  • Cloud Protection Service 멤버 자격 유형: 고급 멤버 자격

공격 표면 감소 감사에 사용 가능한 모든 규칙을 구성합니다.

참고

이러한 활동을 차단하면 합법적인 비즈니스 프로세스가 중단됩니다. 가장 좋은 방법은 감사할 모든 항목을 설정하고, 켜기에 안전한 설정을 지정한 다음, 가양성 검색이 없는 엔드포인트에서 해당 설정을 사용하도록 설정하는 것입니다.

네트워크 보호

감사 또는 차단 모드에서 네트워크 보호를 사용하도록 설정하기 전에 지원 페이지에서 가져올 수 있는 맬웨어 방지 플랫폼 업데이트를 설치했는지 확인합니다.

제어된 폴더 액세스

감사 모드에서 30일 이상 기능을 사용하도록 설정합니다. 이 기간이 지나면 검색을 검토하고 보호된 디렉터리에 쓸 수 있는 애플리케이션 목록을 만듭니다.

자세한 내용은 제어된 폴더 액세스 평가를 참조하세요.

Configuration Manager 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 이후 30일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지 만료 날짜에 대한 알림이 표시되고 패키지 이름에도 포함됩니다.

참고

온보딩 및 오프보딩 정책은 동일한 디바이스에 동시에 배포해서는 안 되며, 그렇지 않으면 예측할 수 없는 충돌이 발생합니다.

Microsoft Configuration Manager 현재 분기를 사용하여 디바이스 오프보딩

Microsoft Configuration Manager 현재 분기를 사용하는 경우 오프보딩 구성 파일 Create 참조하세요.

디바이스 구성 모니터링

현재 분기를 Microsoft Configuration Manager Configuration Manager 콘솔에서 기본 제공 엔드포인트용 Microsoft Defender dashboard 사용합니다. 자세한 내용은 Microsoft Defender Advanced Threat Protection - Monitor를 참조하세요.

디바이스가 엔드포인트 데이터 손실 방지 서비스를 준수하는지 확인합니다.

Configuration Manager 구성 항목에 대한 규정 준수 규칙을 설정하여 배포를 모니터링할 수 있습니다.

참고

이 절차 및 레지스트리 항목은 엔드포인트 DLP와 엔드포인트용 Defender에 적용됩니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 모니터링하는 수정 되지 않는 규정 준수 규칙 구성 항목이어야 합니다.

다음 레지스트리 키 항목을 모니터링합니다.

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

자세한 내용은 준수 설정 계획 및 구성을 참조하세요.