Configuration Manager 소개

 

적용 대상: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Microsoft System Center 관리 솔루션 제품군에 포함된 System Center 2012 Configuration Manager를 사용하면 수동 작업을 줄이고 중요한 프로젝트를 중점적으로 수행함으로써 IT 생산성과 효율성을 높이고, 하드웨어 및 소프트웨어 투자를 최대한 활용하고, 적합한 소프트웨어를 제때 제공하여 최종 사용자 생산성을 향상시킬 수 있습니다.Configuration Manager를 사용하면 안전하고 확장 가능한 소프트웨어 배포, 호환성 설정 관리, 그리고 서버/데스크톱/노트북/모바일 장치의 포괄적 자산 관리를 지원하여 IT 서비스를 더욱 효율적으로 제공할 수 있습니다.

Configuration Manager는 기존 Microsoft 기술 및 솔루션을 확장하고 함께 사용됩니다. 예를 들면 다음과 같습니다.

  • Configuration Manager에서는 Active Directory 도메인 서비스를 사용하여 보안, 서비스 위치, 구성 관련 작업을 수행하고, 관리할 사용자 및 장치를 검색합니다.

  • Configuration Manager에서는 Microsoft SQL Server를 배포된 변경 관리 데이터베이스로 사용하고 SQL Server Reporting Services (SSRS)와 통합하여 관리 활동을 모니터링하고 추적하는 보고서를 생성합니다.

  • 관리 기능을 제공하는 대부분의 Configuration Manager 사이트 시스템 역할은 IIS(인터넷 정보 서비스)의 웹 서비스를 사용합니다.

  • BITS(Background Intelligent Transfer Service) 및 BranchCache를 사용하면 사용 가능한 네트워크 대역폭을 관리할 수 있습니다.

그 밖에도 Configuration Manager는 WSUS(Windows Server Update Services), NAP(네트워크 액세스 보호), 인증서 서비스, Exchange Server 및 Exchange Online, 그룹 정책, DNS 서버 역할, Windows 자동 설치 키트(Windows AIK) 및 사용자 환경 마이그레이션 도구(USMT), WDS(Windows 배포 서비스), 원격 데스크톱 및 원격 지원과 통합할 수 있습니다.

Configuration Manager를 성공적으로 사용하려면 프로덕션 환경에서 Configuration Manager를 사용하기 전에 먼저 철저히 계획하고 관리 기능을 테스트해야 합니다.Configuration Manager는 강력한 관리 응용 프로그램으로, 잠재적으로 조직의 모든 컴퓨터에 영향을 줄 수 있습니다. 신중히 계획하고 비즈니스 요구 사항을 고려하여 Configuration Manager를 배포하고 관리하면 Configuration Manager를 통해 관리 오버헤드와 총 소유 비용을 줄일 수 있습니다.

Configuration Manager에 대한 자세한 내용은 다음 섹션을 참조하세요.

  • Configuration Manager 관리 기능

  • Configuration Manager 콘솔

  • 응용 프로그램 카탈로그, 소프트웨어 센터 및 회사 포털

    • Configuration Manager 속성(클라이언트)
  • Configuration Manager에 대한 예제 시나리오

    • 예제 시나리오: 사용자에게 모든 장치에서 응용 프로그램에 액세스할 수 있는 권한 부여

    • 예제 시나리오: 장치에 대한 호환성 관리 통합

    • 예제 시나리오: 장치에 대한 클라이언트 관리 간소화

  • 다음 단계

Configuration Manager 관리 기능

다음 표는 Configuration Manager의 기본 관리 기능에 대한 정보를 제공합니다. 각 기능에는 고유한 필수 구성 요소가 있고 사용하려는 기능에 따라 Configuration Manager 계층의 디자인과 구현이 달라질 수 있습니다. 예를 들어 계층의 장치에 소프트웨어를 배포하려는 경우 배포 지점 사이트 시스템 역할을 설치해야 합니다.

관리 기능

설명

추가 정보

응용 프로그램 관리

기업에서 응용 프로그램을 만들고, 관리하고, 배포하고, 모니터링할 수 있는 도구 및 리소스 집합을 제공합니다.

Configuration Manager의 응용 프로그램 관리 소개

회사 리소스 액세스

System Center 2012 R2 Configuration Manager 이상:

조직의 사용자가 원격 위치에서 데이터와 응용 프로그램에 액세스할 수 있는 도구 및 리소스 집합을 제공합니다. 이러한 도구는 다음과 같습니다.

  • Wi-Fi 프로필

  • VPN 프로필

  • 인증서 프로필

Configuration Manager의 회사 리소스 액세스

호환성 설정

기업에서 클라이언트 장치의 구성 호환성을 평가하고, 추적하고, 재구성할 수 있는 도구 및 리소스 집합을 제공합니다.

Configuration Manager에서 규정 준수 설정 소개

Endpoint Protection

기업의 컴퓨터에 보안, 맬웨어 방지, Windows 방화벽 관리 기능을 제공합니다.

Configuration Manager의 Endpoint Protection 소개

인벤토리

자산을 식별하고 모니터링할 수 있는 도구 집합을 제공합니다.

  • 하드웨어 인벤토리: 기업 내 장치의 하드웨어에 대한 자세한 정보를 수집합니다.

  • 소프트웨어 인벤토리: 조직 내 클라이언트 컴퓨터에 저장된 파일에 대한 정보를 수집하고 보고합니다.

  • Asset Intelligence: 인벤토리 데이터를 수집하고 기업의 소프트웨어 라이선스 사용 현황을 모니터링하는 도구를 제공합니다.

다음 설명서를 참조 하세요.

운영 체제 배포

운영 체제 이미지를 만드는 도구를 제공합니다. 그러면 PXE 부팅 또는 부팅 가능한 미디어(예: CD 세트, DVD 또는 USB 플래시 드라이브)를 사용하여 Configuration Manager에서 관리하는 컴퓨터 및 관리되지 않는 컴퓨터에 이러한 이미지를 배포할 수 있습니다.

Configuration Manager의 운영 체제 배포 소개

대역 외 관리

Intel AMT(Intel Active Management Technology)와 통합되어 데스크톱 및 랩톱 컴퓨터를 Configuration Manager 클라이언트 또는 컴퓨터 운영 체제와 별도로 관리할 수 있습니다.

Configuration Manager에서 대역외 관리 소개 

전원 관리

기업에서 클라이언트 컴퓨터의 전력 소비를 관리하고 모니터링하는 데 사용할 수 있는 도구 및 리소스 집합을 제공합니다.

Configuration Manager의 전원 관리 소개

쿼리

계층의 리소스에 대한 정보 및 인벤토리 데이터와 상태 메시지에 대한 정보를 검색하는 도구를 제공합니다. 그러면 이 정보를 사용하여 소프트웨어 배포 및 구성 설정에 대한 장치 또는 사용자 컬렉션을 보고하거나 정의할 수 있습니다.

Configuration Manager에서 쿼리 소개

원격 연결 프로필

System Center 2012 R2 Configuration Manager 이상:

조직에서 원격 연결 설정을 만들어 장치에 배포하고 모니터링할 수 있는 도구 및 리소스 집합을 제공합니다. 이러한 설정을 배포하면 최종 사용자가 회사 네트워크에서 자신의 컴퓨터에 연결하는 데 필요한 노력이 최소화됩니다.

Configuration Manager의 원격 연결 프로필 소개

원격 제어

Configuration Manager 콘솔에서 클라이언트 컴퓨터를 원격으로 관리하는 도구를 제공합니다.

Configuration Manager에서 원격 제어 소개

보고

Configuration Manager 콘솔에서 SQL Server Reporting Services의 고급 보고 기능을 사용할 수 있는 도구 및 리소스 집합을 제공합니다.

Configuration Manager의 보고 기능 소개

소프트웨어 계량

Configuration Manager 클라이언트에서 소프트웨어 사용량 데이터를 모니터링하고 수집하는 도구를 제공합니다.

Configuration Manager의 소프트웨어 측정 소개

소프트웨어 업데이트

기업에서 소프트웨어 업데이트를 관리하고, 배포하고, 모니터링할 수 있는 도구 및 리소스 집합을 제공합니다.

Configuration Manager의 소프트웨어 업데이트 소개

Microsoft Intune 관리

인터넷을 통해 Microsoft Intune 서비스를 사용하여 Configuration Manager를 통해 iOS, Android(Samsung KNOX 포함), Windows Phone 및 Windows 장치를 관리할 수 있습니다.

Microsoft Intune 서비스를 사용하더라도 관리 작업은 Configuration Manager 콘솔을 통해 사용 가능한 Microsoft Intune 커넥터 사이트 시스템 역할을 사용하여 완료합니다.

System Center 2012 R2 Configuration Manager에서는 Configuration Manager 클라이언트를 설치하지 않은 모바일 장치와 같은 방식으로 Windows 8.1 장치를 관리하는 옵션도 제공됩니다.

사용 환경에서 이러한 관리 기능을 지원할 수 있도록 Configuration Manager를 계획하고 설치하는 방법에 대한 자세한 내용은 Configuration Manager에서 사이트 관리 소개 섹션을 참조하세요.

Configuration Manager 콘솔

Configuration Manager를 설치한 후에는 Configuration Manager 콘솔을 사용하여 사이트 및 클라이언트를 구성하고 관리 작업을 실행하고 모니터링합니다. 이 콘솔은 기본 관리 지점으로, 여러 사이트를 관리할 수 있습니다. 이 콘솔을 사용하면 다음과 같은 보조 콘솔을 실행하여 특정 클라이언트 관리 작업을 지원할 수 있습니다.

  • 리소스 탐색기: 하드웨어 및 소프트웨어 인벤토리 정보를 볼 수 있습니다.

  • 원격 제어: 원격으로 클라이언트 컴퓨터에 연결하여 문제 해결 작업을 수행할 수 있습니다.

  • 대역 외 관리: Intel AMT 기반 컴퓨터에서 AMT 관리 컨트롤러에 연결하여 전원 관리 작업이나 문제 해결 작업을 수행할 수 있습니다.

추가 서버 컴퓨터 및 워크스테이션에 Configuration Manager 콘솔을 설치하고 Configuration Manager 역할 기반 관리를 사용하여 액세스를 제한하고 관리자가 콘솔에서 볼 수 있는 내용을 제한할 수 있습니다.

자세한 내용은 Configuration Manager의 사이트 설치 및 계층 만들기 항목에서 Configuration Manager 콘솔 설치 섹션을 참조하세요.

응용 프로그램 카탈로그, 소프트웨어 센터 및 회사 포털

Configuration Manager 응용 프로그램 카탈로그는 사용자가 Windows 기반 PC용 소프트웨어를 찾고 요청할 수 있는 웹 사이트입니다. 응용 프로그램 카탈로그를 사용하려면 사이트에 대해 응용 프로그램 카탈로그 웹 서비스 지점 및 응용 프로그램 카탈로그 웹 사이트 지점을 설치해야 합니다.

소프트웨어 센터는 Windows 기반 컴퓨터에 Configuration Manager 클라이언트를 설치할 때 설치되는 응용 프로그램입니다. 사용자는 이 응용 프로그램을 실행하여 소프트웨어를 요청하고 Configuration Manager를 사용하여 사용자에게 배포된 소프트웨어를 관리합니다. 사용자가 소프트웨어 센터에서 수행할 수 있는 작업은 다음과 같습니다.

  • 응용 프로그램 카탈로그에서 소프트웨어를 찾아 설치합니다.

  • 자신의 소프트웨어 요청 기록을 봅니다.

  • Configuration Manager가 자신의 장치에 소프트웨어를 설치할 수 있는 시간을 구성합니다.

  • 관리자가 원격 제어를 사용하도록 설정한 경우 원격 제어의 액세스 설정을 구성합니다.

회사 포털은 응용 프로그램 카탈로그와 유사한 기능을 제공하지만 Microsoft Intune에서 등록한 모바일 장치용 앱 또는 웹 사이트입니다.

자세한 내용은 Configuration Manager의 응용 프로그램 관리 소개 항목을 참조하세요.

Configuration Manager 속성(클라이언트)

Windows 컴퓨터에 Configuration Manager 클라이언트를 설치하면 제어판에 Configuration Manager가 설치됩니다. 일반적으로 클라이언트 구성은 Configuration Manager 콘솔에서 수행되므로 이 응용 프로그램을 구성할 필요는 없습니다. 이 응용 프로그램을 사용하면 관리자 및 지원 센터에서 개별 클라이언트의 문제를 해결할 수 있습니다.

클라이언트 배포에 대한 자세한 내용은 Configuration Manager에서 클라이언트 배포 소개 섹션을 참조하세요.

Configuration Manager에 대한 예제 시나리오

다음 예제 시나리오는 Trey Research라는 회사에서 사용자의 생산성을 높이고, 장치의 호환성 관리를 통합하여 더욱 능률적인 관리 환경을 조성하며, 장치 관리를 단순화하여 IT 운영 비용을 줄이기 위해 System Center 2012 Configuration Manager를 사용하는 방식을 보여 줍니다. 모든 시나리오에서 Configuration Manager의 기본 관리자는 구재석입니다.

예제 시나리오: 사용자에게 모든 장치에서 응용 프로그램에 액세스할 수 있는 권한 부여

Trey Research는 직원들이 필요한 응용 프로그램에 액세스할 수 있는 권한을 최대한 효율적으로 부여하려고 합니다. 구재석은 회사의 이러한 요구 사항을 다음 시나리오로 정리합니다.

요구 사항

현재 클라이언트 관리 상태

이후 클라이언트 관리 상태

신입 직원이 첫날부터 효율적으로 작업할 수 있습니다.

직원들이 회사에 입사하면 맨 처음 로그온한 후에 응용 프로그램이 설치될 때까지 기다려야 합니다.

직원들이 회사에 입사하면 로그온했을 때 응용 프로그램이 설치되어 사용할 준비가 되어 있습니다.

직원들이 필요한 추가 소프트웨어를 빠르고 쉽게 요청할 수 있습니다.

추가 응용 프로그램이 필요한 경우 직원들이 지원 센터에 신청서를 제출한 후에 신청서가 처리되어 응용 프로그램이 설치될 때까지 보통 이틀을 기다립니다.

추가 응용 프로그램이 필요한 경우 직원들이 웹 사이트에서 요청할 수 있으며 라이선스 제한이 없으면 바로 응용 프로그램이 설치됩니다. 라이선스 제한이 있으면 사용자가 응용 프로그램을 설치하기 전에 먼저 승인을 요청해야 합니다.

사용자는 웹 사이트에서 설치 가능한 응용 프로그램만 볼 수 있습니다.

직원들의 모바일 장치가 모니터링되고 적용되는 보안 정책을 준수하는 경우 직장에서 해당 장치를 사용할 수 있습니다. 이러한 정책에는 다음과 같은 정책이 있습니다.

  • 강력한 암호

  • 비활성 시간이 지나면 잠금

  • 분실하거나 도난당한 모바일 장치는 원격으로 초기화됨

직원들은 전자 메일 서비스를 위해 모바일 장치를 Exchange Server에 연결하지만 기본 Exchange ActiveSync 사서함 정책의 보안 정책을 준수하는지 확인하기 위해 보고 기능은 제한됩니다. IT를 통해 정책을 준수하는지 확인할 수 없는 경우 모바일 장치의 개인적 사용이 금지될 수 있습니다.

IT 조직에서 필수 설정을 사용하여 모바일 장치 보안 호환성을 보고할 수 있습니다. 이렇게 확인이 되면 사용자가 모바일 장치를 직장에서 계속 사용할 수 있습니다. 모바일 장치를 분실하거나 도난당할 경우 사용자가 원격으로 모바일 장치를 초기화할 수 있으며, 지원 센터에서도 분실하거나 도난당했다고 보고된 모든 사용자의 모바일 장치를 초기화할 수 있습니다.

보안 및 제어를 강화하기 위해 PKI 환경에서 모바일 장치를 등록합니다.

직원들이 책상 앞에 있지 않아도 생산적인 활동을 할 수 있습니다.

직원들이 책상 앞에 있지 않고 휴대용 컴퓨터도 없으면 회사 전체에서 사용할 수 있는 키오스크 컴퓨터를 사용하여 응용 프로그램에 액세스할 수 없습니다.

직원들이 키오스크 컴퓨터를 사용하여 응용 프로그램 및 데이터에 액세스할 수 있습니다.

일반적으로 비즈니스 연속성이 필수 응용 프로그램 및 소프트웨어 업데이트 설치보다 우선합니다.

필수 응용 프로그램 및 소프트웨어 업데이트가 낮 동안 설치되는데 설치 중에는 컴퓨터가 느려지거나 다시 시작되므로 자주 사용자의 작업을 방해합니다.

컴퓨터를 사용하는 동안에는 필수 소프트웨어가 설치되지 않도록 사용자가 자신의 업무 시간을 구성할 수 있습니다.

구재석은 요구 사항을 충족하기 위해 다음의 Configuration Manager 관리 기능과 구성 옵션을 사용합니다.

  • 응용 프로그램 관리

  • 모바일 장치 관리

다음 표의 구성 단계를 사용하여 이를 구현합니다.

구성 단계

결과

구재석은 새 사용자에게 Active Directory의 사용자 계정이 있음을 확인하고 Configuration Manager에서 이 사용자에 대한 새 쿼리 기반 컬렉션을 만듭니다. 그런 다음 사용자 계정을 해당 사용자가 사용할 기본 컴퓨터에 매핑하는 파일을 만들어 이 사용자에 대한 사용자 장치 선호도를 정의하고 파일을 Configuration Manager로 가져옵니다.

새 사용자의 필수적인 응용 프로그램은 이미 Configuration Manager에 만들어져 있습니다. 그 후 구재석은 용도가 필수인 이 응용 프로그램을 새 사용자가 포함된 컬렉션에 배포합니다.

사용자 장치 선호도 정보로 인해 응용 프로그램은 각 사용자의 기본 컴퓨터에 사용자가 로그온하기 전에 설치되어 있습니다.

응용 프로그램은 사용자가 로그온에 성공하는 즉시 사용할 수 있습니다.

구재석은 사용자가 설치할 응용 프로그램을 찾아볼 수 있도록 응용 프로그램 카탈로그 사이트 시스템 역할을 설치 및 구성합니다. 그리고 용도가 사용 가능인 응용 프로그램 배포를 만든 다음 이 응용 프로그램을 새 사용자가 포함된 컬렉션에 배포합니다.

그는 라이센스 수가 제한된 응용 프로그램에 대해서는 응용 프로그램에 승인이 필요하도록 구성합니다.

응용 프로그램을 사용 가능으로 구성하고 응용 프로그램 카탈로그를 활성화함으로써 사용자는 이제 설치가 허용된 응용 프로그램을 찾아볼 수 있습니다. 그런 다음 사용자는 즉시 응용 프로그램을 설치하거나 승인을 요청하고 지원 센터에서 이 요청을 승인한 후 설치를 실행하기 위해 응용 프로그램 카탈로그로 돌아갈 수 있습니다.

구재석은 회사의 온-프레미스 Exchange Server에 연결하는 모바일 장치를 관리하기 위해 Configuration Manager에 Exchange Server 커넥터를 만듭니다. 또한 강력한 암호 요구 사항을 포함하고 일정한 비활성 기간 후 모바일 장치를 잠그는 보안 설정을 이 커넥터에 구성합니다.

구재석은 Configuration Manager SP1을 실행하고 있으므로 Windows Phone 8, Windows RT, iOS 등을 실행하는 장치의 추가 관리를 위해 Microsoft Intune 구독을 얻은 다음 Microsoft Intune 커넥터 사이트 시스템 역할을 설치합니다. 기업에서는 이러한 모바일 장치 관리 솔루션의 도움으로 해당 장치를 더 효과적으로 관리할 수 있습니다. 여기에는 장치에 응용 프로그램을 설치할 수 있도록 제공하는 기능과 확장 설정 관리가 포함됩니다. 또한 모바일 장치 연결은 Intune에서 자동으로 만들어지고 배포되는 PKI 인증서로 보호됩니다.Microsoft Intune 커넥터를 구성한 후 구재석은 전자 메일 메시지를 모바일 장치의 소유자에게 보냅니다. 모바일 장치 소유자는 이 메시지의 링크를 클릭하여 등록 프로세스를 시작할 수 있습니다.

구재석은 Intune에서 등록될 모바일 장치에 대해 호환성 설정을 사용하여 보안 설정을 구성합니다. 이 설정은 강력한 암호 구성 요구 사항을 포함하고 일정한 비활성 기간 후 모바일 장치를 잠급니다.

IT 부서에서는 이러한 두 가지 모바일 장치 관리 솔루션을 통해 회사 네트워크에서 사용 중인 모바일 장치 및 현재 구성된 보안 설정과 모바일 장치의 호환성에 대해 보고 정보를 제공할 수 있습니다.

사용자가 모바일 장치를 분실하거나 도난당한 경우 응용 프로그램 카탈로그 또는 회사 포털을 사용하여 모바일 장치를 원격으로 초기화하는 방법이 표시됩니다. 또한 지원 센터도 Configuration Manager 콘솔을 사용하여 사용자의 모바일 장치를 원격으로 초기화하는 방법에 대한 지침을 받습니다.

그 밖에 Intune에서 등록된 모바일 장치에 대한 기능이 향상되었습니다. 구재석은 이제 사용자가 설치할 모바일 응용 프로그램을 배포하고 장치에서 더 많은 인벤토리 데이터를 수집할 수 있으며, 더 많은 설정에 액세스할 수 있으므로 장치에 대한 관리 제어를 강화할 수 있습니다.

Trey Research는 사무실을 방문하는 직원이 사용하는 여러 키오스크 컴퓨터를 보유하고 있습니다. 직원들은 자신의 응용 프로그램을 로그온하는 위치에 상관없이 사용할 수 있기를 바랍니다. 그러나 구재석은 모든 응용 프로그램을 각 컴퓨터마다 로컬로 설치하기를 원하지 않습니다.

이를 위해 그는 두 가지 배포 유형을 갖는 필수 응용 프로그램을 만듭니다.

  • 응용 프로그램 전체 로컬 설치(사용자의 기본 장치에만 설치할 수 있음)

  • 응용 프로그램 가상 버전(사용자의 기본 장치에 설치할 수 없음)

방문 직원이 키오스크 컴퓨터에 로그온하면 필요한 응용 프로그램이 키오스크 컴퓨터의 바탕 화면에 아이콘으로 표시됩니다. 응용 프로그램을 실행하면 해당 응용 프로그램이 가상 응용 프로그램으로 스트리밍됩니다. 따라서 방문 직원은 자신의 데스크톱을 사용하는 것처럼 효과적으로 작업할 수 있습니다.

구재석은 사용자가 소프트웨어 센터에서 자신의 업무 시간을 구성할 수 있고 이 시간 동안을 비롯해 컴퓨터가 프레젠테이션 모드일 때 소프트웨어 배포 작업을 차단하는 옵션을 선택할 수 있다고 알려 줍니다.

사용자는 Configuration Manager에서 자신의 컴퓨터에 소프트웨어를 배포하는 시점을 제어할 수 있으므로 근무 시간 동안 더 생산적으로 작업할 수 있습니다.

Trey Research에서 이러한 구성 단계 및 결과를 구현함으로써 각 직원은 어느 장치에서든 필요한 응용 프로그램에 액세스할 수 있으므로 충분한 지원을 얻게 됩니다.

예제 시나리오: 장치에 대한 호환성 관리 통합

Trey Research는 컴퓨터에서 자동으로 최신 버전으로 유지되는 바이러스 백신 소프트웨어를 실행할 수 있는 통합 클라이언트 관리 솔루션을 원하고 있습니다. 이는 곧 Windows 방화벽을 사용하도록 설정하고, 중요 소프트웨어 업데이트를 설치하고, 특정 레지스트리 키를 설정하고, 관리되는 모바일 장치에서 서명되지 않은 응용 프로그램을 설치하거나 실행할 수 없도록 조치하는 것입니다. 회사에서는 또한 이러한 보호 솔루션을 인트라넷과 인터넷 사이에서 이동하는 랩톱을 위해 인터넷으로 확장하려고 합니다.

구재석은 회사의 이러한 요구 사항을 다음 시나리오로 정리합니다.

요구 사항

현재 클라이언트 관리 상태

이후 클라이언트 관리 상태

모든 컴퓨터는 최신 정의 파일이 설치되고 Windows 방화벽에서 활성화된 맬웨어 방지 프로그램 소프트웨어를 실행합니다.

여러 컴퓨터에서 여러 맬웨어 방지 솔루션을 실행합니다. 이러한 솔루션은 항상 최신 버전으로 유지되지는 않고 Windows 방화벽이 기본적으로 활성화되어 있지만 사용자가 가끔 방화벽을 비활성화합니다.

사용자의 컴퓨터에서 맬웨어가 검색되면 지원 센터에 연락할 것인지를 묻는 메시지가 표시됩니다.

모든 컴퓨터는 동일한 맬웨어 방지 솔루션을 실행하며 이 솔루션은 최신 정의 업데이트 파일을 자동으로 다운로드하고 사용자에 의해 비활성화되는 Windows 방화벽을 자동으로 다시 활성화합니다.

맬웨어가 검색되면 전자 메일로 지원 센터에 자동으로 알립니다.

모든 컴퓨터에는 중요 소프트웨어 업데이트가 릴리스되는 첫 달 내에 설치됩니다.

소프트웨어 업데이트가 설치된 컴퓨터 중에는 중요 소프트웨어 업데이트가 릴리스된지 2~3달이 될 때까지도 이 업데이트를 자동으로 설치하지 않는 컴퓨터가 많이 있습니다. 이러한 컴퓨터는 해당 기간 동안 공격에 취약한 상태가 됩니다.

지원 센터에서는 중요 소프트웨어 업데이트를 설치하지 않는 컴퓨터를 대상으로 처음에 사용자에게 업데이트를 설치하도록 요청하는 전자 메일 메시지를 보냅니다. 비호환 상태인 컴퓨터에는 엔지니어가 원격으로 연결한 후 누락된 소프트웨어 업데이트를 수동으로 설치합니다.

전자 메일 메시지를 보내거나 지원 센터에 수동 설치를 요청하지 않고 현재의 호환률을 지정된 달 안에 95% 이상 향상시킵니다.

특정 응용 프로그램에 대한 보안 설정을 정기적으로 검사하고 필요하면 재구성합니다.

컴퓨터는 특정 응용 프로그램에 대 한 레지스트리 값을 다시 설정 하려면 컴퓨터 그룹 구성원 자격에 의존 하는 복잡 한 시작 스크립트를 실행 합니다.

이 스크립트는 시작 시에만 실행되고 일부 컴퓨터는 수 일 동안 현 상태로 유지될 수 있기 때문에 지원 센터는 적시에 구성 내용을 확인할 수 없습니다.

컴퓨터 그룹 멤버 자격에 의존하거나 컴퓨터를 다시 시작하지 않고도 레지스트리 값이 확인되고 자동으로 재구성됩니다.

모바일 장치에서 안전하지 않은 응용 프로그램을 설치하거나 실행할 수 없습니다.

사용자에게 인터넷에서 잠재적으로 안전하지 않은 응용 프로그램을 다운로드하거나 실행하지 말라는 메시지가 표시되지만 이를 모니터링하거나 강제 적용할 제어 기능은 없습니다.

Microsoft Intune 커넥터 또는 Configuration Manager에서 관리되는 모바일 장치는 서명되지 않은 응용 프로그램이 설치되거나 실행되지 않도록 자동으로 차단합니다.

인트라넷에서 인터넷으로 이동하는 랩톱은 안전하게 보호해야 합니다.

이동형 근무자가 날마다 VPN을 통해 연결할 수 없는 경우가 많으며 이 사용자의 랩톱은 보안 요구 사항과 호환되지 않는 상태가 됩니다.

랩톱이 보안 요구 사항과 호환되기 위해 필요한 조건은 인터넷 연결뿐입니다. 사용자는 VPN에 로그온하거나 VPN을 사용할 필요가 없습니다.

구재석은 요구 사항을 충족하기 위해 다음의 Configuration Manager 관리 기능과 구성 옵션을 사용합니다.

  • Endpoint Protection

  • 소프트웨어 업데이트

  • 호환성 설정

  • 모바일 장치 관리

  • 인터넷 기반 클라이언트 관리

다음 표의 구성 단계를 사용하여 이를 구현합니다.

구성 단계

결과

구재석은 Endpoint Protection을 구성한 후 다른 맬웨어 방지 솔루션을 제거하도록 클라이언트 설정을 구성하고 Windows 방화벽을 활성화합니다. 또한 컴퓨터에서 최신 정의 업데이트를 정기적으로 확인 및 설치할 수 있도록 자동 배포 규칙을 구성합니다.

단일 맬웨어 방지 솔루션을 사용하면 필요한 관리 작업을 최소화하면서 모든 컴퓨터를 보호할 수 있습니다. 맬웨어 방지 프로그램이 검색되면 전자 메일 메시지로 지원 센터에 자동으로 알리므로 문제를 빠르게 해결할 수 있습니다. 따라서 다른 컴퓨터에 대한 공격을 방지할 수 있습니다.

호환률을 향상시키기 위해, 구재석은 자동 배포 규칙을 사용하고 서버에 대한 유지 관리 기간을 정의하며 최대 절전 모드 상태의 컴퓨터에 Wake-On-LAN을 사용하면 어떤 장단점이 있는지 검토합니다.

중요 소프트웨어 업데이트에 대한 호환성에 따라 사용자 또는 지원 센터가 소프트웨어 업데이트를 수동으로 설치해야 하는 요구 사항이 강화되거나 완화됩니다.

구재석은 호환성 설정을 사용하여 지정된 응용 프로그램이 있는지 확인합니다. 응용 프로그램이 검색되면 구성 항목에서 레지스트리 값을 확인하고 비호환 상태인 레지스트리 값을 자동으로 재구성합니다.

모든 컴퓨터에 배포되어 매일 호환성을 검사하는 구성 항목 및 구성 기준을 사용하면 컴퓨터 멤버 자격에 의존하는 별도의 스크립트가 더 이상 필요 없고 컴퓨터를 다시 시작할 필요도 없습니다.

구재석은 등록된 모바일 장치에 대해 호환성 설정을 사용하고 Exchange Server 커넥터를 구성하여 서명되지 않은 응용 프로그램이 해당 모바일 장치에서 설치되고 실행되지 않도록 차단합니다.

서명되지 않은 응용 프로그램을 차단하면 모바일 장치는 잠재적으로 위험한 응용 프로그램으로부터 자동으로 보호됩니다.

구재석은 사이트 시스템 서버 및 컴퓨터에 Configuration Manager에서 HTTPS 연결을 위해 필요로 하는 PKI 인증서가 있음을 확인한 후 경계 네트워크에 인터넷을 통한 클라이언트 연결을 허용하는 추가 사이트 시스템 역할을 설치합니다.

인트라넷에서 인터넷으로 이동하는 컴퓨터는 인터넷에 연결될 경우 계속 자동으로 Configuration Manager에 의해 관리됩니다. 이러한 컴퓨터는 자신의 컴퓨터에 로그온하거나 VPN에 연결하는 사용자에 의해 좌우되지 않습니다.

이 컴퓨터에서 맬웨어 방지 프로그램, Windows 방화벽, 소프트웨어 업데이트, 구성 항목 등이 계속 관리됩니다. 따라서 호환성 수준은 자동으로 향상됩니다.

Trey Research는 이와 같은 구성 단계와 결과를 통해 자체의 장치에 대한 호환성 관리를 성공적으로 통합할 수 있습니다.

예제 시나리오: 장치에 대한 클라이언트 관리 간소화

Trey Research에서는 모든 새 컴퓨터에서 Windows 7을 실행하는 회사의 기본 컴퓨터 이미지를 자동으로 설치하려고 합니다. 이러한 컴퓨터에 운영 체제 이미지를 설치한 후에는 관리 및 모니터링을 통해 사용자가 설치하는 추가 소프트웨어를 파악해야 합니다. 고도의 기밀 정보를 저장하는 컴퓨터에는 다른 컴퓨터의 경우보다 더 제한적인 관리 정책이 필요합니다. 예를 들어 지원 센터 엔지니어는 이 컴퓨터에 원격으로 연결해서는 안 되고, 다시 시작 시 BitLocker PIN 항목을 사용해야 하고, 로컬 관리자만 소프트웨어를 설치할 수 있습니다.

구재석은 회사의 이러한 요구 사항을 다음 시나리오로 정리합니다.

요구 사항

현재 클라이언트 관리 상태

이후 클라이언트 관리 상태

새 컴퓨터에 Windows 7을 설치합니다.

지원 센터는 사용자를 위해 Windows 7을 설치 및 구성한 후 컴퓨터를 해당 위치에 보냅니다.

새 컴퓨터가 최종 대상 위치로 직접 이동하여 네트워크에 연결되면 Windows 7이 자동으로 설치 및 구성됩니다.

컴퓨터를 관리하고 모니터링해야 합니다. 여기에는 라이센스 요구 사항을 확인할 수 있는 하드웨어 및 소프트웨어 인벤토리가 포함됩니다.

Configuration Manager 클라이언트가 자동 클라이언트 강제를 통해 배포되고 지원 센터는 설치 실패와 필요 시 인벤토리 데이터를 보내지 않는 클라이언트를 조사합니다.

설치 종속성이 충족되지 않고 클라이언트에서 WMI가 손상되어 설치에 자주 실패합니다.

컴퓨터에서 수집되는 클라이언트 설치 및 인벤토리 데이터가 안정성이 더 뛰어나며 지원 센터의 개입도 최소화합니다. 보고서는 라이센스 정보에 대한 소프트웨어 사용 현황을 표시합니다.

일부 컴퓨터에는 보다 엄격한 관리 정책이 있어야 합니다.

이 컴퓨터는 보다 엄격한 관리 정책으로 인해 현재 Configuration Manager에서 관리되지 않습니다.

예외를 처리하기 위한 추가 관리 작업 없이 Configuration Manager를 사용하여 이 컴퓨터를 관리합니다.

구재석은 요구 사항을 충족하기 위해 다음의 Configuration Manager 관리 기능과 구성 옵션을 사용합니다.

  • 운영 체제 배포

  • 클라이언트 배포 및 클라이언트 상태

  • 호환성 설정

  • 클라이언트 설정

  • 인벤토리 및 Asset Intelligence

  • 역할 기반 관리

다음 표의 구성 단계를 사용하여 이를 구현합니다.

구성 단계

결과

구재석은 Windows 7이 설치되고 회사 사양에 맞게 구성된 컴퓨터에서 운영 체제 이미지를 캡처합니다. 그런 다음 알 수 없는 컴퓨터 지원과 PXE를 사용하여 운영 체제를 새 컴퓨터에 배포합니다. 또한 운영 체제 배포의 일부로서 Configuration Manager 클라이언트를 설치합니다.

새 컴퓨터는 지원 센터의 개입 없이 더 빠르게 가동 및 실행되고 있습니다.

구재석은 사이트 전체의 클라이언트 강제 설치를 구성하여, 검색된 모든 컴퓨터에 Configuration Manager 클라이언트를 설치합니다. 이를 통해 클라이언트와 함께 이미지로 캡처되지 않은 모든 컴퓨터가 클라이언트를 여전히 설치하여 Configuration Manager로 컴퓨터를 관리할 수 있습니다.

구재석은 클라이언트 문제가 검색되면 모두 자동으로 해결하도록 클라이언트 상태를 구성합니다. 또한 필수인 인벤토리 데이터 컬렉션을 사용하도록 설정하는 클라이언트 설정을 구성하고 Asset Intelligence를 구성합니다.

운영 체제와 함께 클라이언트를 설치하면 Configuration Manager에서 컴퓨터를 검색할 때까지 대기했다가 컴퓨터에서 클라이언트 원본 파일을 설치하는 것보다 더 빠르고 안정적입니다. 하지만 자동 클라이언트 강제 설치 옵션을 사용하는 상태로 두면 운영 체제가 이미 설치된 컴퓨터에 백업 수단을 제공하므로 컴퓨터가 네트워크에 연결될 때 클라이언트를 설치할 수 있습니다.

클라이언트 설정을 통해 클라이언트가 정기적으로 인벤토리 정보를 사이트로 전송하도록 보장됩니다. 클라이언트 상태 테스트와 더불어 이를 통해 지원 센터의 개입을 최소한으로 유지하며 클라이언트를 실행 상태로 계속 유지할 수 있습니다. 예를 들어 WMI 손상이 검색되면 자동으로 치료됩니다.

Asset Intelligence 보고서는 소프트웨어 사용량과 라이선스를 모니터링하는 데 유용합니다.

구재석은 좀 더 엄격한 정책 설정을 보유해야 하는 컴퓨터 컬렉션을 만들고, 원격 제어 비활성화를 포함하여 이 컬렉션에 대한 사용자 지정 클라이언트 장치 설정을 만들며, BitLocker PIN 항목을 사용하도록 설정하고, 로컬 관리자만 소프트웨어를 설치하도록 허용합니다.

구재석은 역할 기반 관리를 구성하여 지원 센터 기술자가 이 컬렉션의 컴퓨터를 볼 수 없도록 합니다. 그래야 실수로 표준 컴퓨터로 관리되지 않도록 보장됩니다.

이러한 컴퓨터는 이제 Configuration Manager로 관리되지만 특정 설정이 지정된 경우 새 사이트가 필요하지 않습니다.

이러한 컴퓨터의 컬렉션은 지원 센터 기술자에게 표시되지 않으며, 표준 컴퓨터에 실수로 배포 및 스크립트가 자동 전송될 가능성을 줄여줍니다.

이러한 구성 단계와 결과를 통해 Trey Research가 성공적으로 장치에 대한 클라이언트 관리를 간소화할 수 있었습니다.

다음 단계

Configuration Manager를 설치하기 전에 Configuration Manager와 관련된 일부 기본 개념과 용어에 익숙해져야 합니다.

기본 개념에 익숙한 경우 System Center 2012 Configuration Manager 문서를 참조하면 성공적으로 Configuration Manager를 배포하고 사용할 수 있습니다. 사용할 수 있는 문서에 대한 자세한 내용은 Configuration Manager 설명서의 새로운 내용 섹션을 참조하세요.