Configuration Manager 사용하여 Windows 디바이스 온보딩

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Configuration Manager 사용하여 엔드포인트를 엔드포인트용 Microsoft Defender 서비스에 온보딩할 수 있습니다.

Configuration Manager 사용하여 디바이스를 온보딩하는 데 사용할 수 있는 몇 가지 옵션이 있습니다.

Windows Server 2012 R2 및 Windows Server 2016 경우 온보딩 단계를 완료한 후 System Center Endpoint Protection 클라이언트를 구성하고 업데이트해야 합니다.

참고

엔드포인트용 Defender는 OOBE(기본 제공 환경) 단계에서 온보딩을 지원하지 않습니다. 사용자가 Windows 설치 또는 업그레이드를 실행한 후 OOBE를 완료해야 합니다.

Configuration Manager 애플리케이션에서 검색 규칙을 만들어 디바이스가 온보딩되었는지 지속적으로 확인할 수 있습니다. 애플리케이션은 패키지 및 프로그램과 다른 유형의 개체입니다. 디바이스가 아직 온보딩되지 않은 경우(보류 중인 OOBE 완료 또는 기타 이유로 인해) Configuration Manager 규칙이 상태 변경을 검색할 때까지 디바이스를 다시 온보딩합니다.

이 동작은 "OnboardingState" 레지스트리 값(REG_DWORD 형식) = 1인지 확인하는 검색 규칙을 만들어 수행할 수 있습니다. 이 레지스트리 값은 "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" 아래에 있습니다. 자세한 내용은 System Center 2012 R2 Configuration Manager 검색 방법 구성을 참조하세요.

샘플 컬렉션 설정 구성

각 디바이스에 대해 Microsoft 365 Defender 통해 심층 분석을 위해 파일을 제출하도록 요청할 때 디바이스에서 샘플을 수집할 수 있는지 여부를 명시하는 구성 값을 설정할 수 있습니다.

참고

이러한 구성 설정은 일반적으로 Configuration Manager 통해 수행됩니다.

Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 디바이스에서 샘플 공유 설정을 변경할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 설정하여 불만 사항인지 확인하는 수정 규정 준수 규칙 구성 항목이어야 합니다.

구성은 다음 레지스트리 키 항목을 통해 설정됩니다.

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

여기서 키 유형은 D-WORD입니다. 가능한 값은 다음과 같습니다.

  • 0: 이 디바이스에서 샘플 공유를 허용하지 않습니다.
  • 1: 이 디바이스에서 모든 파일 형식을 공유할 수 있습니다.

레지스트리 키가 없는 경우의 기본값은 1입니다.

System Center Configuration Manager 규정 준수에 대한 자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.

서비스에 디바이스를 온보딩한 후에는 다음 권장 구성 설정으로 디바이스를 사용하도록 설정하여 포함된 위협 방지 기능을 활용하는 것이 중요합니다.

디바이스 컬렉션 구성

엔드포인트 Configuration Manager 버전 2002 이상을 사용하는 경우 서버 또는 하위 수준 클라이언트를 포함하도록 배포를 확대하도록 선택할 수 있습니다.

차세대 보호 구성

다음 구성 설정을 사용하는 것이 좋습니다.

검사

  • USB 드라이브와 같은 이동식 스토리지 디바이스 검사: 예

실시간 보호

  • 동작 모니터링 사용: 예
  • 다운로드 및 설치 전에 잠재적으로 원치 않는 애플리케이션에 대한 보호 사용: 예

클라우드 보호 서비스

  • Cloud Protection Service 멤버 자격 유형: 고급 멤버 자격

공격 표면 감소

감사에 사용 가능한 모든 규칙을 구성합니다.

참고

이러한 활동을 차단하면 합법적인 비즈니스 프로세스가 중단됩니다. 가장 좋은 방법은 감사할 모든 항목을 설정하고, 어떤 설정을 켜도 안전한지 식별한 다음, 가양성 검색이 없는 엔드포인트에서 이러한 설정을 사용하도록 설정하는 것입니다.

네트워크 보호

감사 또는 차단 모드에서 네트워크 보호를 사용하도록 설정하기 전에 지원 페이지에서 가져올 수 있는 맬웨어 방지 플랫폼 업데이트를 설치했는지 확인합니다.

제어된 폴더 액세스

최소 30일 동안 감사 모드에서 기능을 사용하도록 설정합니다. 이 기간이 지나면 검색을 검토하고 보호된 디렉터리에 쓸 수 있는 애플리케이션 목록을 만듭니다.

자세한 내용은 제어된 폴더 액세스 평가(Evaluate)를 참조하세요.

검색 테스트를 실행하여 온보딩 확인

디바이스를 온보딩한 후 검색 테스트를 실행하여 디바이스가 서비스에 제대로 온보딩되었는지 확인할 수 있습니다. 자세한 내용은 새로 온보딩된 엔드포인트용 Microsoft Defender 디바이스에서 검색 테스트 실행을 참조하세요.

Configuration Manager 사용하여 디바이스 오프보딩

보안상의 이유로 디바이스를 오프보딩하는 데 사용되는 패키지는 다운로드한 날짜 이후 30일 후에 만료됩니다. 디바이스로 전송된 만료된 오프보딩 패키지는 거부됩니다. 오프보딩 패키지를 다운로드할 때 패키지 만료 날짜에 대한 알림이 표시되고 패키지 이름에도 포함됩니다.

참고

온보딩 및 오프보딩 정책은 동일한 디바이스에 동시에 배포해서는 안 되며, 그렇지 않으면 예측할 수 없는 충돌이 발생합니다.

Microsoft Endpoint Manager 현재 분기를 사용하여 디바이스 오프보딩

Microsoft Endpoint Manager 현재 분기를 사용하는 경우 오프보딩 구성 파일 만들기를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하여 디바이스 오프보딩

  1. Microsoft 365 Defender 포털에서 오프보딩 패키지를 가져옵니다.

    1. 탐색 창에서 설정 > 엔드포인트 > 디바이스 관리 >오프보딩을 선택합니다.
    2. Windows 10 선택하거나 운영 체제로 Windows 11.
    3. 배포 방법 필드에서 System Center Configuration Manager 2012/2012 R2/1511/1602 를 선택합니다.
    4. 패키지 다운로드 를 선택하고 .zip 파일을 저장합니다.
  2. 패키지를 배포할 네트워크 관리자가 액세스할 수 있는 공유 읽기 전용 위치에 .zip 파일의 콘텐츠를 추출합니다. WindowsDefenderATPOffboardingScript_valid_until_YYYY-MM-DD.cmd 라는 파일이 있어야 합니다.

  3. System Center 2012 R2 Configuration Manager 문서의 패키지 및 프로그램 단계에 따라 패키지를 배포합니다.

    패키지를 배포할 미리 정의된 디바이스 컬렉션을 선택합니다.

중요

오프보딩을 사용하면 디바이스가 포털로 센서 데이터 전송을 중지하지만, 디바이스에서 받은 경고에 대한 참조를 포함하여 디바이스의 데이터는 최대 6개월 동안 보존됩니다.

디바이스 구성 모니터링

Microsoft Endpoint Manager 현재 분기를 사용하는 경우 Configuration Manager 콘솔에서 엔드포인트용 기본 제공 Defender 대시보드를 사용합니다. 자세한 내용은 엔드포인트용 Defender - 모니터를 참조하세요.

System Center 2012 R2 Configuration Manager 사용하는 경우 모니터링은 다음 두 부분으로 구성됩니다.

  1. 구성 패키지가 올바르게 배포되었고 네트워크의 디바이스에서 실행 중인지(또는 성공적으로 실행되었는지) 확인합니다.

  2. 디바이스가 엔드포인트용 Defender 서비스를 준수하는지 확인합니다(이렇게 하면 디바이스가 온보딩 프로세스를 완료하고 서비스에 데이터를 계속 보고할 수 있음).

구성 패키지가 올바르게 배포되었는지 확인합니다.

  1. Configuration Manager 콘솔의 탐색 창 아래쪽에 있는 모니터링 을 클릭합니다.

  2. 개요 를 선택한 다음 배포를 선택합니다.

  3. 패키지 이름을 사용하여 배포를 선택합니다.

  4. 완료 통계 및 콘텐츠 상태 아래의 상태 표시기를 검토합니다.

    실패한 배포( 오류, 요구 사항이 충족되지 않음 또는 실패 상태 인 디바이스)가 있는 경우 디바이스 문제를 해결해야 할 수 있습니다. 자세한 내용은 엔드포인트용 Microsoft Defender 온보딩 문제 해결을 참조하세요.

    오류 없이 성공적인 배포를 보여 주는 Configuration Manager

디바이스가 엔드포인트용 Microsoft Defender 서비스를 준수하는지 확인합니다.

System Center 2012 R2 Configuration Manager 구성 항목에 대한 준수 규칙을 설정하여 배포를 모니터링할 수 있습니다.

이 규칙은 대상 디바이스에서 레지스트리 키의 값을 모니터링 하는 수정되지 않는 규정 준수 규칙 구성 항목이어야 합니다.

다음 레지스트리 키 항목을 모니터링합니다.

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

자세한 내용은 System Center 2012 R2 Configuration Manager 규정 준수 설정 소개를 참조하세요.