엔드포인트용 Microsoft Defender(iOS용) 기능 구성

  • 아티클
  • 읽는 데 15분 걸림

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

참고

iOS의 엔드포인트용 Defender는 웹 보호 기능을 제공하기 위해 VPN을 사용합니다. 일반 VPN이 아니며 디바이스 외부의 트래픽을 사용하지 않는 로컬/자체 루프 VPN입니다.

iOS에서 엔드포인트용 Defender를 사용하여 조건부 액세스

Microsoft Intune 및 Azure Active Directory와 함께 iOS에서 엔드포인트용 Microsoft Defender 디바이스 위험 점수에 따라 디바이스 준수 및 조건부 액세스 정책을 적용할 수 있습니다. 엔드포인트용 Defender는 Intune 통해 이 기능을 활용하기 위해 배포할 수 있는 MTD(Mobile Threat Defense) 솔루션입니다.

iOS에서 엔드포인트용 Defender를 사용하여 조건부 액세스를 설정하는 방법에 대한 자세한 내용은 엔드포인트용 Defender 및 Intune 참조하세요.

엔드포인트용 Microsoft Defender 의한 탈옥 검색

엔드포인트용 Microsoft Defender 탈옥된 관리되지 않는 및 관리되는 디바이스를 검색하는 기능이 있습니다. 디바이스가 탈옥된 것으로 감지되면 위험 수준이 높은 경고가 Microsoft 365 Defender 포털에 보고되고 디바이스 위험 점수에 따라 조건부 액세스가 설정되면 디바이스가 회사 데이터에 액세스하지 못하도록 차단됩니다.

웹 보호 및 VPN

기본적으로 iOS의 엔드포인트용 Defender는 웹 보호 기능을 포함하고 사용하도록 설정합니다. 웹 보호는 웹 위협으로부터 디바이스를 보호하고 피싱 공격으로부터 사용자를 보호하는 데 도움이 됩니다. 피싱 방지 및 사용자 지정 표시기(URL 및 IP 주소)는 웹 보호의 일부로 지원됩니다. 웹 콘텐츠 필터링은 현재 모바일 플랫폼에서 지원되지 않습니다.

iOS의 엔드포인트용 Defender는 이 기능을 제공하기 위해 VPN을 사용합니다. 로컬 VPN이며 기존 VPN과 달리 네트워크 트래픽은 디바이스 외부로 전송되지 않습니다.

기본적으로 사용하도록 설정하는 동안 VPN을 사용하지 않도록 설정해야 하는 경우가 있을 수 있습니다. 예를 들어 VPN이 구성되면 작동하지 않는 일부 앱을 실행하려고 합니다. 이러한 경우 아래 단계에 따라 디바이스의 앱에서 VPN을 사용하지 않도록 설정할 수 있습니다.

  1. iOS 디바이스에서 설정 앱을 열고 일반 을 클릭하거나 탭한 다음 VPN 을 탭합니다.

  2. 엔드포인트용 Microsoft Defender "i" 단추를 클릭하거나 탭합니다.

  3. 요청 시 연결을 해제하여 VPN을 사용하지 않도록 설정합니다.

    요청 시 VPN 구성 연결 옵션에 대한 토글 단추

참고

VPN을 사용하지 않도록 설정하면 웹 보호를 사용할 수 없습니다. 웹 보호를 다시 사용하도록 설정하려면 디바이스에서 엔드포인트용 Microsoft Defender 앱을 열고 VPN 시작을 클릭하거나 탭합니다.

웹 보호 사용 안 함

웹 보호는 엔드포인트용 Defender의 주요 기능 중 하나이며 해당 기능을 제공하려면 VPN이 필요합니다. 사용되는 VPN은 기존 VPN이 아닌 로컬/루프백 VPN이지만 고객이 VPN을 선호하지 않는 몇 가지 이유가 있습니다. VPN을 설정하지 않으려는 고객은 웹 보호를 사용하지 않도록 설정하고 해당 기능 없이 엔드포인트용 Defender를 배포하는 옵션이 있습니다. 엔드포인트용 다른 Defender 기능은 계속 작동합니다.

이 구성은 등록된(MDM) 디바이스와 등록되지 않은(MAM) 디바이스 모두에 사용할 수 있습니다. MDM을 사용하는 고객의 경우 관리자는 앱 구성에서 관리 디바이스를 통해 웹 보호를 구성할 수 있습니다. 등록이 없는 고객의 경우 MAM을 사용하여 관리자는 앱 구성에서 관리되는 앱을 통해 웹 보호를 구성할 수 있습니다.

웹 보호 구성

  1. MDM(Web Protection) 사용 안 함 다음 단계를 사용하여 등록된 디바이스에 대해 웹 보호를 사용하지 않도록 설정합니다.

    • Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 디바이스 추가 > 로 이동합니다.
    • 정책 이름을 플랫폼 > iOS/iPadOS 로 지정합니다.
    • 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.
    • 설정 페이지에서 구성 디자이너 사용을 선택하고 WebProtection 을 키로 추가하고 값 형식을 부울 로 추가합니다.
      • 기본적으로 WebProtection= true 입니다.
      • 관리 웹 보호를 해제하려면 WebProtection = false 로 설정해야 합니다.
      • Defender는 사용자가 앱을 열 때마다 Microsoft 365 Defender 포털로 하트비트를 보냅니다.
      • 다음을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

  2. MAM(Web Protection) 사용 안 함 다음 단계를 사용하여 등록되지 않은 디바이스에 대해 웹 보호를 사용하지 않도록 설정합니다.

    • Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 되는 앱 추가 > 로 이동합니다.
    • 정책에 이름을 지정하세요.
    • 공용 앱 선택에서 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.
    • 설정 페이지의 일반 구성 설정 아래에서 WebProtection 을 키로 추가하고 값을 false 로 추가합니다.
      • 기본적으로 WebProtection= true 입니다.
      • 관리 웹 보호를 해제하려면 WebProtection = false 로 설정해야 합니다.
      • Defender는 사용자가 앱을 열 때마다 Microsoft 365 Defender 포털로 하트비트를 보냅니다.
      • 다음을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

네트워크 보호 구성

참고

엔드포인트용 Microsoft Defender 네트워크 보호는 이제 공개 미리 보기로 제공됩니다. 다음 정보는 상업적으로 출시되기 전에 실질적으로 수정될 수 있는 제품의 시험판과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

엔드포인트용 Microsoft Defender의 네트워크 보호는 기본적으로 사용하도록 설정됩니다. 관리자는 다음 단계를 사용하여 iOS 디바이스에서 네트워크 보호에 대한 MAM 지원을 구성할 수 있습니다.

  1. Microsoft Endpoint Manager 관리 앱 > 앱 구성 정책으로 이동합니다. 새 앱 구성 정책을 만듭니다. 구성 정책을 추가합니다.

  2. 정책을 고유하게 식별하는 이름과 설명을 제공합니다. 그런 다음, '공개 앱 선택'을 클릭하고 플랫폼 iOS/IPadOS용 'Microsoft Defender' 를 선택합니다.

  3. 설정 페이지에서 'DefenderNetworkProtectionEnable'을 키로 추가하고 'false'로 값을 추가하여 네트워크 보호를 사용하지 않도록 설정합니다. (네트워크 보호는 기본적으로 사용하도록 설정됨) 구성 값을 추가합니다.

  4. 네트워크 보호와 관련된 다른 구성의 경우 다음 키와 적절한 해당 값을 추가합니다.

    기본값(true-enable, false-disable) 설명
    DefenderEndUserTrustFlowEnable false 사용자가 네트워크 및 인증서를 신뢰할 수 있도록 설정
    DefenderNetworkProtectionAutoRemediation true 이 설정은 IT 관리자가 사용자가 더 안전한 WIFI 액세스 지점으로 전환하거나 Defender에서 검색한 의심스러운 인증서 삭제와 같은 수정 작업을 수행할 때 전송되는 수정 경고를 사용하거나 사용하지 않도록 설정하는 데 사용됩니다.
    DefenderNetworkProtectionPrivacy true 이 설정은 IT 관리자가 네트워크 보호에서 개인 정보를 사용하거나 사용하지 않도록 설정하도록 관리됩니다.

  5. 할당 섹션에서 관리자는 정책에서 포함 및 제외할 사용자 그룹을 선택할 수 있습니다. 구성을 할당합니다.

  6. 구성 정책을 검토하고 만듭니다.

여러 VPN 프로필의 공존

Apple iOS는 여러 디바이스 전체 VPN이 동시에 활성화되도록 지원하지 않습니다. 디바이스에 여러 VPN 프로필이 있을 수 있지만 한 번에 하나의 VPN만 활성화할 수 있습니다.

MAM(앱 보호 정책)에서 엔드포인트용 Microsoft Defender 위험 신호 구성

엔드포인트용 Microsoft Defender iOS/iPadOS의 앱 보호 정책(앱, MAM이라고도 함)에서 사용할 위협 신호를 보내도록 구성할 수 있습니다. 이 기능을 사용하면 엔드포인트용 Microsoft Defender 사용하여 등록되지 않은 디바이스에서 회사 데이터에 대한 액세스를 보호할 수도 있습니다.

엔드포인트용 Microsoft Defender 사용하여 앱 보호 정책을 설정하는 단계는 다음과 같습니다.

  1. Microsoft Endpoint Manager 테넌트에서 엔드포인트용 Microsoft Defender 연결을 설정합니다. Microsoft Endpoint Manager 관리 센터에서 테넌트 관리 > 커넥터 및 토큰 > 엔드포인트용 Microsoft Defender(플랫폼 간) 또는 엔드포인트 보안 > 엔드포인트용 Microsoft Defender(설치 아래)로 이동하여 앱 보호 정책에서 토글을 켭니다. iOS에 대한 설정 입니다.

  2. 저장을 선택합니다. 이제 연결 상태가 사용으로 설정된 것을 볼 수 있습니다.

  3. 앱 보호 정책 만들기: 엔드포인트용 Microsoft Defender 커넥터 설정이 완료되면 > 앱 보호 정책(정책 아래)으로 이동하여 새 정책을 만들거나 기존 정책을 업데이트합니다.

  4. 조직에 정책에 필요한 플랫폼, 앱, 데이터 보호, 액세스 요구 사항 설정을 선택합니다.

  5. 조건부 시작 > 디바이스 조건에서 허용되는 최대 디바이스 위협 수준 설정을 찾을 수 있습니다. 이를 낮음, 보통, 높음 또는 보안으로 구성해야 합니다. 사용할 수 있는 작업은 액세스 차단 또는 데이터 초기화 입니다. 이 설정이 적용되기 전에 커넥터를 설정했는지 확인하는 정보 대화 상자가 표시 될 수 있습니다. 커넥터가 이미 설정된 경우 이 대화 상자를 무시할 수 있습니다.

  6. 과제로 완료하고 정책을 저장합니다.

MAM 또는 앱 보호 정책에 대한 자세한 내용은 iOS 앱 보호 정책 설정을 참조하세요.

MAM 또는 등록되지 않은 디바이스에 대한 엔드포인트용 Microsoft Defender 배포

iOS의 엔드포인트용 Microsoft Defender 앱 보호 정책 시나리오를 사용하도록 설정하고 Apple 앱 스토어에서 사용할 수 있습니다. 최종 사용자는 Apple 앱 스토어에서 직접 최신 버전의 앱을 설치해야 합니다.

개인 정보 보호 컨트롤

iOS의 엔드포인트용 Microsoft Defender 관리자와 최종 사용자 모두에 대해 개인 정보 제어를 사용하도록 설정합니다. 여기에는 등록된(MDM) 및 등록되지 않은(MAM) 디바이스에 대한 컨트롤이 포함됩니다. MDM을 사용하는 고객의 경우 관리자는 앱 구성에서 관리 디바이스를 통해 개인 정보 제어를 구성할 수 있습니다. 등록이 없는 고객의 경우 MAM을 사용하여 관리자는 앱 구성에서 관리되는 앱을 통해 개인 정보 제어를 구성할 수 있습니다. 또한 최종 사용자는 Defender 앱 설정에서 개인 정보 설정을 구성할 수 있습니다.

피싱 경고 보고서에서 개인 정보 구성

이제 고객은 iOS에서 엔드포인트용 Microsoft Defender 보낸 피싱 보고서에 대한 개인 정보 제어를 사용하도록 설정할 수 있습니다. 이렇게 하면 피싱 웹 사이트가 검색되고 엔드포인트용 Microsoft Defender 의해 차단될 때마다 도메인 이름이 피싱 경고의 일부로 전송되지 않습니다.

  1. MDM(관리 개인 정보 보호 컨트롤) 다음 단계를 사용하여 개인 정보를 사용하도록 설정하고 등록된 디바이스에 대한 피싱 경고 보고서의 일부로 도메인 이름을 수집하지 않습니다.

    • Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 디바이스 추가 > 로 이동합니다.

    • 정책 이름을 지정합니다. 플랫폼 > iOS/iPadOS 는 프로필 유형을 선택합니다.

    • 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.

    • 설정 페이지에서 구성 디자이너 사용을 선택하고 DefenderExcludeURLInReport 를 키 및 값 형식으로 부울 로 추가합니다.

      • 개인 정보를 사용하도록 설정하고 도메인 이름을 수집하지 않려면 값을 입력 true 하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 .로 설정됩니다 false.

      • 키가 설정된 true사용자의 경우 엔드포인트용 Defender에서 악성 사이트를 검색하고 차단할 때마다 피싱 경고에 도메인 이름 정보가 포함되지 않습니다.

    • 다음 을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

  2. MAM(관리 개인 정보 보호 컨트롤) 다음 단계를 사용하여 등록되지 않은 디바이스에 대한 피싱 경고 보고서의 일부로 도메인 이름을 수집하지 않고 개인 정보를 사용하도록 설정합니다.

    • Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 되는 앱 추가 > 로 이동합니다.

    • 정책에 이름을 지정하세요.

    • 공용 앱 선택에서 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.

    • 설정 페이지의 일반 구성 설정 아래에서 DefenderExcludeURLInReport 를 키로 추가하고 값을 true로 추가 합니다.

      • 개인 정보를 사용하도록 설정하고 도메인 이름을 수집하지 않려면 값을 입력 true 하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 .로 설정됩니다 false.

      • 키가 설정된 true사용자의 경우 엔드포인트용 Defender에서 악성 사이트를 검색하고 차단할 때마다 피싱 경고에 도메인 이름 정보가 포함되지 않습니다.

    • 다음 을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

  3. 최종 사용자 개인 정보 보호 컨트롤 이러한 컨트롤은 최종 사용자가 조직에 공유되는 정보를 구성하는 데 도움이 됩니다.

    • 감독된 디바이스의 경우 최종 사용자 컨트롤이 표시되지 않습니다. 관리 설정을 결정하고 제어합니다.
    • 그러나 감독되지 않은 디바이스의 경우 설정 > 개인 정보 보호에 컨트롤이 표시됩니다.
      • 사용자에게 안전하지 않은 사이트 정보에 대한 토글이 표시됩니다.
      • 이 토글은 관리 DefenderExcludeURLInReport = true 를 설정한 경우에만 표시됩니다.
      • 관리 사용하도록 설정한 경우 사용자는 안전하지 않은 사이트 정보를 조직에 보낼지 여부를 결정할 수 있습니다.
      • 기본적으로 해당 집합으로 true설정하면 안전하지 않은 사이트 정보가 전송됩니다.
      • 사용자가 토글하는 false경우 안전하지 않은 사이트 세부 정보가 전송되지 않습니다.

위의 개인 정보 컨트롤을 켜거나 끄면 디바이스 준수 확인 또는 조건부 액세스에 영향을 주지 않습니다.

선택적 권한

iOS의 엔드포인트용 Microsoft Defender 온보딩 흐름에서 선택적 권한을 사용하도록 설정합니다. 현재 MDE에 필요한 권한은 온보딩 흐름에서 필수입니다. 이 기능을 사용하면 관리자는 온보딩 중에 필수 VPN 권한을 적용하지 않고 BYOD 디바이스에 MDE를 배포할 수 있습니다. 최종 사용자는 필수 권한 없이 앱을 온보딩할 수 있으며 나중에 이러한 권한을 검토할 수 있습니다. 이 기능은 현재 등록된 디바이스(MDM)에 대해서만 제공됩니다.

선택적 권한 구성

  1. MDM(관리 흐름) 등록된 디바이스에 대해 선택적 VPN 권한을 사용하도록 설정하려면 다음 단계를 사용합니다.

    • Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 디바이스 추가 > 로 이동합니다.

    • 정책 이름을 지정하고 플랫폼 > iOS/iPadOS 를 선택합니다.

    • 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.

    • 설정 페이지에서 구성 디자이너 사용을 선택하고 DefenderOptionalVPN 을 키 및 값 형식으로 부울 로 추가합니다.

      • 선택적 VPN 권한을 사용하도록 설정하려면 값을 입력 true 하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 .로 설정됩니다 false.
      • 키가 설정된 true사용자의 경우 사용자는 VPN 권한을 부여하지 않고도 앱을 온보딩할 수 있습니다.

    • 다음 을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

  2. 최종 사용자 흐름 - 사용자가 앱을 설치하고 열어 온보딩을 시작합니다.

    • 관리자에게 선택적 사용 권한을 설정하는 경우 사용자는 VPN 권한을 건너뛰 고 온보딩을 완료할 수 있습니다.
    • 사용자가 VPN을 건너뛴 경우에도 디바이스는 온보딩할 수 있으며 하트비트는 전송됩니다.
    • VPN 사용할 수 없으므로 Web Protection 활성화되지 않습니다.
    • 나중에 사용자는 앱 내에서 해당 기능을 Web Protection 사용하도록 설정할 수 있습니다. 그러면 디바이스에 VPN 구성이 설치됩니다.

참고

선택적 사용 권한웹 보호 사용 안 함과 다릅니다. 선택적 VPN 권한은 온보딩하는 동안 사용 권한을 건너뛰는 데만 도움이 되지만 최종 사용자가 나중에 검토하고 사용하도록 설정할 수 있습니다. 웹 보호를 사용하지 않도록 설정하면 사용자가 웹 보호 없이 MDE 앱을 온보딩할 수 있습니다. 나중에 사용하도록 설정할 수 없습니다.

무단 해제된 디바이스에 대한 규정 준수 정책 구성

무단 해제된 iOS 디바이스에서 회사 데이터에 액세스하지 못하도록 보호하려면 Intune 다음 규정 준수 정책을 설정하는 것이 좋습니다.

참고

탈옥 검색은 iOS에서 엔드포인트용 Microsoft Defender 제공하는 기능입니다. 그러나 탈옥 시나리오에 대한 추가 방어 계층으로 이 정책을 설정하는 것이 좋습니다.

아래 단계에 따라 무단 해제된 디바이스에 대한 규정 준수 정책을 만듭니다.

  1. Microsoft Endpoint Manager 관리 센터에서 디바이스 -> 준수 정책****만들기 정책 -> 으로 이동합니다. 플랫폼으로 "iOS/iPadOS"를 선택하고 만들기 를 클릭합니다.

    정책 만들기 탭

  2. 정책의 이름(예: "탈옥 준수 정책")을 지정합니다.

  3. 준수 설정 페이지에서 Device Health 섹션을 확장하려면 클릭하고 무단 해제된 디바이스 에 대한 차단 필드를 클릭합니다.

    준수 설정 탭

  4. 비준수에 대한 작업 섹션에서 요구 사항에 따라 작업을 선택하고 다음 을 선택합니다.

    비준수에 대한 작업 탭

  5. 할당 섹션에서 이 정책에 포함할 사용자 그룹을 선택한 다음 , 다음 을 선택합니다.

  6. 검토+만들기 섹션에서 입력한 모든 정보가 올바른지 확인한 다음 만들기 를 선택합니다.

사용자 지정 표시기 구성

iOS의 엔드포인트용 Defender를 사용하면 관리자가 iOS 디바이스에서도 사용자 지정 표시기를 구성할 수 있습니다. 사용자 지정 표시기를 구성하는 방법에 대한 자세한 내용은 표시기 관리를 참조하세요.

참고

iOS의 엔드포인트용 Defender는 IP 주소 및 URL/도메인에 대해서만 사용자 지정 표시기를 만들 수 있습니다.

앱 내 피드백을 보내도록 옵션 구성

이제 고객은 엔드포인트용 Defender 앱 내에서 Microsoft에 피드백 데이터를 보낼 수 있는 기능을 구성할 수 있습니다. 피드백 데이터는 Microsoft가 제품을 개선하고 문제를 해결하는 데 도움이 됩니다.

참고

미국 정부 클라우드 고객의 경우 피드백 데이터 수집은 기본적으로 사용하지 않도록 설정 됩니다.

다음 단계를 사용하여 Microsoft에 피드백 데이터를 보내는 옵션을 구성합니다.

  1. Microsoft Endpoint Manager 관리 센터에서 앱 앱 > 구성 정책 > 관리 디바이스 추가 > 로 이동합니다.

  2. 정책 이름을 지정합니다. 플랫폼 > iOS/iPadOS 는 프로필 유형을 선택합니다.

  3. 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.

  4. 설정 페이지에서 구성 디자이너 사용을 선택하고 DefenderSendFeedback 을 키 및 값 형식으로 부울 로 추가합니다.

    • 최종 사용자가 피드백을 제공할 수 있는 기능을 제거하려면 값을 설정 false 하여 사용자에게 이 정책을 할당합니다. 기본적으로 이 값은 .로 설정됩니다 true. 미국 정부 고객의 경우 기본값은 'false'로 설정됩니다.

    • 키가 설정된 true사용자의 경우 앱 내에서 Microsoft에 피드백 데이터를 보내는 옵션이 있습니다(메뉴 > 도움말 & 피드백 > Microsoft에 피드백 보내기).

  5. 다음 을 클릭하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

안전하지 않은 사이트 보고

피싱 웹 사이트는 개인 또는 금융 정보를 얻기 위해 신뢰할 수있는 웹 사이트를 가장합니다. 피싱 사이트일 수 있는 웹 사이트를 보고하려면 네트워크 보호에 대한 피드백 제공 페이지를 방문하세요.