Microsoft Endpoint Manager를 사용하여 장치에서 엔드포인트용 Microsoft Defender 구성 설정 관리
적용 대상:
- Microsoft Endpoint Manager 사용하여 디바이스에서 엔드포인트용 Microsoft Defender 관리
- 엔드포인트용 Microsoft Defender
- Microsoft 365 Defender
엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.
엔드포인트용 Microsoft Defender 보안 관리는 Microsoft Endpoint Manager 관리되지 않는 디바이스가 Endpoint Manager Microsoft Defender에 대한 보안 구성을 직접 수신할 수 있는 기능입니다.
필수 구성 요소, 지원되는 플랫폼 등을 포함한 보안 구성 관리에 대한 자세한 내용은 Microsoft Endpoint Manager 사용하여 디바이스에서 엔드포인트용 Microsoft Defender 관리를 참조하세요.
Microsoft Endpoint Manager 사용하여 엔드포인트용 Microsoft Defender 대한 보안 구성을 관리하는 방법을 알아보려면 이 비디오를 시청하세요.
필수 구성 요소
엔드포인트용 Microsoft Defender 시나리오의 보안 관리에 대한 요구 사항은 다음 섹션을 검토합니다.
환경
디바이스가 엔드포인트용 Microsoft Defender 온보딩하는 경우:
- 디바이스는 Intune 대한 MDM(모바일 디바이스 관리) 등록인 기존 Endpoint Manager 현재 상태를 조사합니다.
- Endpoint Manager 없는 디바이스는 보안 관리 기능을 사용하도록 설정합니다.
- 트러스트가 아직 없는 경우 Azure Active Directory 사용하여 만들어집니다.
- Azure Active Directory 트러스트는 Endpoint Manager(Intune)와 통신하고 정책을 검색하는 데 사용됩니다.
- Endpoint Manager 정책 검색은 엔드포인트용 Microsoft Defender 디바이스에 적용됩니다.
Active Directory 요구 사항
도메인에 가입된 디바이스가 Azure Active Directory 대한 트러스트를 만드는 경우 이 시나리오를 하이브리드 Azure Active Directory 조 인 시나리오라고 합니다. 엔드포인트용 Microsoft Defender 보안 관리는 다음 요구 사항으로 이 시나리오를 완벽하게 지원합니다.
- Azure Active Directory 커넥트(AAD 커넥트)는 엔드포인트용 Microsoft Defender 사용되는 테넌트에 동기화되어야 합니다.
- 하이브리드 Azure Active Directory 조인은 사용자 환경에서 구성해야 합니다(페더레이션 또는 AAD 커넥트 동기화를 통해).
- AAD 커넥트 동기화는 Azure Active Directory 동기화를 위한 범위에 디바이스 개체를 포함해야 합니다(조인에 필요한 경우).
- 동기화에 대한 AAD 커넥트 규칙은 Server 2012 R2에 대해 수정해야 합니다(Server 2012 R2에 대한 지원이 필요한 경우).
- 모든 디바이스는 엔드포인트용 Microsoft Defender 호스트하는 테넌트 Azure Active Directory 등록해야 합니다. 테넌트 간 시나리오는 지원되지 않습니다.
연결 요구 사항
디바이스는 다음 엔드포인트에 액세스할 수 있어야 합니다.
enterpriseregistration.windows.net- Azure AD 등록.login.microsoftonline.com- Azure AD 등록.*.dm.microsoft.com- 와일드카드 사용은 등록, 체크 인 및 보고에 사용되며 서비스 확장에 따라 변경 가능한 클라우드 서비스 엔드포인트를 지원합니다.
참고
조직에서 SSL(Secure Socket Layer) 검사를 사용하는 경우 엔드포인트를 검사에서 제외해야 합니다.
지원되는 플랫폼
엔드포인트용 Microsoft Defender 보안 관리에 대한 정책은 다음 디바이스 플랫폼에서 지원됩니다.
- Windows 10 Professional/Enterprise(KB5006738 포함)
- Windows 11 Professional/Enterprise
- Down-Level 디바이스용 Microsoft Defender를 사용하여 R2 Windows Server 2012
- Down-Level 디바이스용 Microsoft Defender를 사용하여 Windows Server 2016
- Windows Server 2019(KB5006744 포함)
- Windows Server 2022(KB5006745 포함)
라이선스 및 구독
엔드포인트용 Microsoft Defender 보안 관리를 사용하려면 다음이 필요합니다.
Microsoft 365 같은 엔드포인트용 Microsoft Defender 대한 라이선스 또는 엔드포인트용 Microsoft Defender 대한 독립 실행형 라이선스를 부여하는 구독입니다. 엔드포인트용 Microsoft Defender 라이선스를 부여하는 구독은 테넌트에게 Microsoft Endpoint Manager 관리 센터의 엔드포인트 보안 노드에 대한 액세스 권한을 부여합니다.
참고
예외: 클라우드용 Microsoft Defender 전용 라이선스(이전의 Azure Security Center)의 일부로 엔드포인트용 Microsoft Defender 액세스할 수 있는 경우 엔드포인트용 Microsoft Defender 기능을 사용할 수 없습니다.
엔드포인트 보안 노드는 디바이스에 대한 엔드포인트용 Microsoft Defender 관리하고 디바이스 상태를 모니터링하는 정책을 구성하고 배포하는 위치입니다.
옵션에 대한 현재 정보는 엔드포인트용 Microsoft Defender 대한 최소 요구 사항을 참조하세요.
아키텍처
다음 다이어그램은 엔드포인트용 Microsoft Defender 보안 구성 관리 솔루션의 개념적 표현입니다.
엔드포인트용 Microsoft Defender 디바이스를 온보딩합니다.
각 디바이스와 Azure AD 간에 트러스트가 설정됩니다. 디바이스에 기존 트러스트가 있는 경우 사용됩니다. 디바이스가 등록되지 않은 경우 새 트러스트가 만들어집니다.
디바이스는 Azure AD ID를 사용하여 Endpoint Manager 통신합니다. 이 ID를 사용하면 Microsoft Endpoint Manager 체크 인할 때 디바이스를 대상으로 하는 정책을 배포할 수 있습니다.
엔드포인트용 Defender는 정책의 상태를 다시 Endpoint Manager 보고합니다.
어떤 솔루션을 사용해야 하나요?
Microsoft Endpoint Manager 디바이스에서 엔드포인트용 Defender의 구성을 관리하는 여러 가지 방법 및 정책 유형을 포함합니다.
디바이스 보호가 엔드포인트용 Defender 관리 이상으로 확장되어야 하는 경우 디바이스 보호 개요를 참조하여 디바이스 준수, 관리되는 앱, 앱 보호 정책 및 타사 규정 준수 및 모바일 위협 방어 파트너와의 통합을 포함하여 디바이스를 보호하기 위해 Microsoft Endpoint Manager 제공하는 추가 기능에 대해 알아봅니다.
다음 표에서는 다양한 시나리오에서 관리하는 디바이스에서 지원되는 MDE 설정을 구성할 수 있는 정책을 이해하는 데 도움이 될 수 있습니다. MDE 보안 구성 과 Microsoft Endpoint Manager 모두 지원되는 정책을 배포하는 경우 엔드포인트용 Microsoft Defender만 실행되는 디바이스와 Intune 또는 Intune 관리되는 디바이스에서 해당 정책의 단일 인스턴스를 처리할 수 있습니다. Configuration Manager.
| Microsoft Endpoint Manager | 워크로드 | 정책 | MDE 보안 구성 | Microsoft Endpoint Manager |
|---|---|---|---|---|
| 엔드포인트 보안 | 바이러스 검사 | 바이러스 검사 |  |
|
| 바이러스 검사 | 바이러스 백신 제외 | |
|
|
| 바이러스 검사 | Windows 보안 환경 | |
||
| 디스크 암호화 | 모두 | |
||
| 방화벽 | 방화벽 | |
|
|
| 방화벽 | 방화벽 규칙 | |
|
|
| 엔드포인트 감지 및 응답 | 엔드포인트 감지 및 응답 | |
|
|
| 공격 표면 감소 | 모두 | |
||
| 계정 보호 | 모두 | |
||
| 디바이스 준수 | 모두 | |
||
| 조건부 액세스 | 모두 | |
||
| 보안 기준 | 모두 | |
엔드포인트 보안 정책은 조직의 디바이스 보호에 중점을 둔 보안 관리자가 사용하기 위한 개별 설정 그룹입니다.
- 바이러스 백신 정책은 엔드포인트용 Microsoft Defender 있는 보안 구성을 관리합니다. 엔드포인트 보안에 대한 바이러스 백신 정책을 참조하세요.
- 공격 표면 감소 정책은 조직이 사이버 공격 및 공격에 취약한 위치를 최소화하는 데 중점을 줍니다. 자세한 내용은 Windows 위협 방지 설명서의 공격 표면 감소 개요 및 엔드포인트 보안을 위한 공격 표면 감소 정책을 참조하세요.
- 엔드포인트 검색 및 응답(EDR) 정책은 거의 실시간으로 실행 가능한 고급 공격 검색을 제공하는 엔드포인트용 Defender 기능을 관리합니다. EDR 구성에 따라 보안 분석가는 경고의 우선 순위를 효과적으로 지정하고, 위반의 전체 범위에 대한 가시성을 확보하고, 위협을 수정하기 위한 대응 조치를 취할 수 있습니다. 엔드포인트 보안에 대한 엔드포인트 감지 및 응답 정책을 참조하세요.
- 방화벽 정책은 디바이스의 Defender 방화벽에 집중합니다. 엔드포인트 보안에 대한 방화벽 정책을 참조하세요.
- 방화벽 규칙은 특정 포트, 프로토콜, 애플리케이션 및 네트워크를 포함하여 방화벽에 대한 세분화된 규칙을 구성합니다. 엔드포인트 보안에 대한 방화벽 정책을 참조하세요.
- 보안 기준에는 Defender, Edge 또는 Windows 같은 다양한 제품에 대한 Microsoft 권장 보안 태세를 정의하는 미리 구성된 보안 설정이 포함됩니다. 기본 권장 사항은 관련 제품 팀에서 제공하는 것이며 권장되는 보안 구성을 디바이스에 신속하게 배포할 수 있습니다. 설정은 각 기준에 미리 구성되어 있지만 사용자 지정된 인스턴스를 만들어 조직의 보안 기대치를 설정할 수 있습니다. Intune 대한 보안 기준을 참조하세요.
엔드포인트용 Microsoft Defender 보안 구성 관리를 지원하도록 테넌트 구성
Microsoft Endpoint Manager 관리 센터를 통해 엔드포인트용 Microsoft Defender 보안 구성 관리를 지원하려면 각 콘솔 내에서 통신을 사용하도록 설정해야 합니다.
Microsoft 365 Defender 포털에 로그인하고 설정 > 구성 관리 > 적용 범위****로 > 이동하여 보안 설정 관리에 플랫폼을 사용하도록 설정합니다.
조직의 요구에 맞게 파일럿 모드 및 Configuration Manager 기관 설정을 구성합니다.
팁
파일럿 모드 및 적절한 디바이스 태그를 사용하여 적은 수의 디바이스에서 롤아웃을 테스트하고 유효성을 검사합니다. 파일럿 모드를 사용하지 않으면 구성된 범위에 속하는 모든 디바이스가 자동으로 등록됩니다.
관련 사용자에게 Microsoft Endpoint Manager 엔드포인트 보안 설정을 관리하거나 Defender 포털에서 역할을 구성하여 해당 권한을 부여할 수 있는 권한이 있는지 확인합니다. 설정 > 제로 > 이동 항목 추가:
팁
기존 역할을 수정하고 필요한 권한을 추가하거나 엔드포인트용 Microsoft Defender 추가 역할을 만들 수 있습니다.
역할을 구성할 때 사용자를 추가하고 Microsoft Endpoint Manager 엔드포인트 보안 설정 관리를 선택해야 합니다.
Microsoft Endpoint Manager 관리 센터에 로그인합니다.
엔드포인트 보안 > 엔드포인트용 Microsoft Defender 을 선택하고 엔드포인트용 Microsoft Defender 허용을 설정하여 Endpoint 보안 구성(미리 보기) 을 켜 기로 적용합니다.
이 옵션을 켜 기로 설정하면 Microsoft Endpoint Manager 관리되지 않는 엔드포인트용 Microsoft Defender 플랫폼 범위의 모든 디바이스가 엔드포인트용 Microsoft Defender 온보딩될 수 있습니다.
엔드포인트용 Microsoft Defender에 장치 온보딩
엔드포인트용 Microsoft Defender 디바이스를 온보딩하는 몇 가지 옵션을 지원합니다. 현재 지침은 엔드포인트용 Defender 설명서의 Windows 디바이스에 대한 온보딩 도구 및 메서드를 참조하세요.
Microsoft Endpoint Configuration Manager 공존
일부 환경에서는 Configuration Manager 테넌트 연결이 있는 엔드포인트용 Microsoft Defender 보안 관리를 사용하는 것이 좋을 수 있습니다. 둘 다 사용하는 경우 둘 이상의 채널을 사용하면 충돌 및 원치 않는 결과에 대한 기회가 생성되므로 단일 채널을 통해 정책을 제어해야 합니다.
이를 지원하려면 Configuration Manager 설정/해제로 전환 하여 보안 관리 설정을 구성 합니다. Microsoft 365 Defender 포털에 로그인하고 설정 > 엔드포인트 > 구성 관리 > 적용 범위 로 이동합니다.
참고
Configuration Manager 엔드포인트용 Microsoft Defender 보안 관리를 사용하는 경우 엔드포인트 보안 정책은 단일 제어 평면으로 격리되어야 합니다. 두 채널을 통해 정책을 제어하면 충돌 및 원치 않는 결과가 발생할 수 있습니다.
Azure AD 그룹 만들기
엔드포인트용 Defender에 디바이스를 온보딩한 후에는 엔드포인트용 Microsoft Defender 정책 배포를 지원하는 디바이스 그룹을 만들어야 합니다.
엔드포인트용 Microsoft Defender 등록했지만 Intune 또는 Configuration Manager 관리되지 않는 디바이스를 식별하려면 다음을 수행합니다.
Microsoft Endpoint Manager 관리 센터에 로그인합니다.
디바이스 > 모두 디바이스 로 이동한 다음 관리되는 열을 선택하여 디바이스 보기를 정렬합니다.
엔드포인트용 Microsoft Defender 등록되었지만 Intune 관리되지 않는 디바이스는 관리 기준 열에 엔드포인트용 Microsoft Defender 표시합니다. 엔드포인트용 Microsoft Defender 대한 보안 관리 정책을 받을 수 있는 디바이스입니다.
또한 엔드포인트용 Microsoft Defender 보안 관리를 사용하는 디바이스에 대한 두 가지 레이블을 찾을 수 있습니다.
- MDEJoined - 이 시나리오의 일부로 디렉터리에 조인된 디바이스에 추가되었습니다.
- MDEManaged - 보안 관리 시나리오를 적극적으로 사용하는 디바이스에 추가되었습니다. 엔드포인트용 Defender에서 보안 구성 관리를 중지하면 이 태그가 디바이스에서 제거됩니다.
Azure AD 또는 Microsoft Endpoint Manager 관리 센터 내에서 이러한 디바이스에 대한 그룹을 만들 수 있습니다.
정책 배포
엔드포인트용 Microsoft Defender 관리하는 디바이스를 포함하는 하나 이상의 Azure AD 그룹을 만든 후 해당 그룹에 엔드포인트용 Microsoft Defender 대한 보안 관리에 대해 다음 정책을 만들고 배포할 수 있습니다.
- 바이러스 검사
- 방화벽
- 방화벽 규칙
- 엔드포인트 검색 및 응답
팁
디바이스에 동일한 설정을 관리하는 여러 정책을 배포하지 않습니다.
Microsoft Endpoint Manager 각 엔드포인트 보안 정책 유형의 여러 인스턴스를 동일한 디바이스에 배포하도록 지원하며 각 정책 인스턴스는 디바이스에서 개별적으로 수신됩니다. 따라서 디바이스는 서로 다른 정책에서 동일한 설정에 대한 별도의 구성을 수신하여 충돌이 발생할 수 있습니다. 일부 설정(예: 바이러스 백신 제외)은 클라이언트에서 병합되고 성공적으로 적용됩니다.
Microsoft Endpoint Manager 관리 센터에 로그인합니다.
엔드포인트 보안 으로 이동한 다음, 구성하려는 정책 유형(바이러스 백신 또는 방화벽)을 선택한 다음 정책 만들기 를 선택합니다.
선택한 다음 속성 또는 정책 유형을 입력합니다.
바이러스 백신 정책의 경우 다음을 선택합니다.
- 플랫폼: Windows 10, Windows 11 및 Windows 서버(미리 보기)
- 프로필: Microsoft Defender 바이러스 백신(미리 보기)
방화벽 정책의 경우 다음을 선택합니다.
- 플랫폼: Windows 10, Windows 11 및 Windows 서버(미리 보기)
- 프로필: Microsoft Defender 방화벽(미리 보기)
방화벽 규칙 정책의 경우 다음을 선택합니다.
- 플랫폼: Windows 10, Windows 11 및 Windows 서버(미리 보기)
- 프로필: Microsoft Defender 방화벽 규칙(미리 보기)
엔드포인트 검색 및 응답 정책의 경우 다음을 선택합니다.
- 플랫폼: Windows 10, Windows 11 및 Windows 서버(미리 보기)
- 프로필: 엔드포인트 검색 및 응답(미리 보기)
참고
이러한 프로필은 Microsoft Intune MDM(Mobile 장치 관리)을 통해 통신하는 디바이스와 엔드포인트용 Microsoft Defender 클라이언트를 사용하여 통신하는 디바이스에 모두 적용됩니다.
필요에 따라 대상 지정 및 그룹을 검토해야 합니다.
만들기 를 선택합니다.
기본 사항 페이지에서 프로필의 이름과 설명을 입력한 후 다음 을 선택합니다.
구성 설정 페이지에서 이 프로필을 사용하여 관리하려는 설정을 선택합니다. 설정에 대해 자세히 알아보려면 해당 정보 대화 상자를 확장하고 자세한 정보 링크를 선택하여 온라인 설명서에서 설정에 대한 CSP 정보를 확인합니다.
설정 구성을 완료하면 다음 을 선택합니다.
할당 페이지에서 이 프로필을 받을 Azure AD 그룹을 선택합니다. 프로필 할당에 대한 자세한 내용은 사용자 및 장치 프로필 할당을 참조하세요.
다음 을 선택하여 계속합니다.
팁
- 할당 필터는 보안 구성 관리 프로필에 대해 지원되지 않습니다.
- 디바이스 개체 만 엔드포인트용 Microsoft Defender 관리에 적용할 수 있습니다. 사용자를 대상으로 지정하는 것은 지원되지 않습니다.
- 구성된 정책은 Microsoft Intune 클라이언트와 엔드포인트용 Microsoft Defender 클라이언트 모두에 적용됩니다.
정책 만들기 프로세스를 완료한 다음 검토 + 만들기 페이지에서 만들기 를 선택합니다. 사용자가 만든 프로필에 대한 정책 유형을 선택하면 목록에 새 프로필이 표시됩니다.
정책이 할당될 때까지 기다렸다가 정책이 적용되었음을 나타내는 성공 표시를 봅니다.
Get-MpPreference 명령 유틸리티를 사용하여 설정이 클라이언트에 로컬로 적용되었는지 확인할 수 있습니다.
참고
이 기능은 점진적으로 롤아웃되고 있습니다.
보안 구성 관리에 대한 자세한 내용은 Microsoft Endpoint Manager 사용하여 디바이스에서 엔드포인트용 Microsoft Defender 관리를 참조하세요.
등록 문제가 발생하는 경우 보안 구성 관리 온보딩 문제 해결을 참조하세요.
참고
이 기능은 Microsoft Endpoint Manager(Intune 또는 Configuration Manager)에 이미 등록된 디바이스에는 적용되지 않습니다. Intune 등록된 디바이스는 설정된 관리 채널을 통해 정책을 계속 받습니다.
온보딩된 디바이스 식별
다음 단계를 사용하여 엔드포인트가 엔드포인트용 Microsoft Defender 온보딩 프로세스를 위한 보안 관리를 성공적으로 완료되었는지 확인합니다.
디바이스가 Microsoft 365 Defender 디바이스 인벤토리 섹션에 표시되는지 확인합니다.
Azure Active Directory 포털에서 디바이스가 성공적으로 등록되었는지 확인합니다.
Microsoft Endpoint Manager 관리 센터에서 디바이스 > 모든 디바이스 섹션에서 디바이스를 조회하여 디바이스가 성공적으로 등록되었는지 확인합니다.
디바이스 오프보딩
엔드포인트용 Microsoft Defender 보안 관리를 통해 온보딩된 디바이스를 오프보딩하려면 엔드포인트용 Microsoft Defender 서비스에서 디바이스 오프보딩을 참조하세요.
참고
오프보딩을 사용하면 변조 방지를 사용하지 않도록 설정합니다 .
보안 관리 문제 해결
엔드포인트용 Microsoft Defender 등록 문제에 대한 보안 관리를 해결하려면 엔드포인트용 Microsoft Defender 보안 관리와 관련된 온보딩 문제 해결을 참조하세요.