• 아티클

Configuration Manager의 준수 정책

 

적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

이 항목의 정보는 System Center 2012 Configuration Manager SP1 이상 및 System Center 2012 R2 Configuration Manager 이상에 적용됩니다.

Configuration Manager의 준수 정책은 장치가 조건부 액세스 정책을 준수하는 것으로 간주되기 위해 준수해야 하는 규칙 및 설정을 정의합니다. 준수 정책을 사용하여 조건부 액세스와 독립적으로 장치를 모니터링하고 준수 문제를 수정할 수도 있습니다.

System_CAPS_important중요

준수 정책은 Microsoft Intune을 통해 관리되는 장치에만 적용됩니다.

이러한 규칙은 다음과 같습니다.

  • PIN 및 암호

  • 암호화

  • 장치의 무단 해제 또는 루팅 여부

  • Intune 정책이 장치의 전자 메일을 관리하는지 여부

  • 최소 OS 버전 필요 - 일반적으로 회사의 규정 준수 정책 및 보안 요구 사항에 따라 다릅니다. 이렇게 하면 이전 OS 버전을 사용하기 때문에 보안에 취약할 수 있는 장치에 대한 액세스를 방지하는 데 도움이 됩니다.

  • 허용된 최대 OS 버전 - 테스트 이전이라서 또는 기타 이유로 인해 최신 OS 버전을 지원하지 않도록 선택할 수 있습니다. 지정한 것보다 나중 버전을 포함하는 장치를 차단하도록 선택할 수 있습니다. 해당 장치는 해당 정책이 변경될 때까지 회사 리소스에 액세스할 수 없습니다.

참고

최소 및 최대 OS 버전 규칙을 사용하려면 System Center 2012 R2 Configuration Manager SP1용 최신 조건부 액세스 확장을 사용해야 합니다.

참고

Windows PC에서 Windows 운영 체제 버전 8.1은 8.1 대신 6.3으로 보고됩니다. OS 버전 규칙이 Windows에 대해 Windows 8.1로 설정된 경우 장치에 Windows OS 8.1이 있어도 장치가 비규격으로 보고됩니다.보고된 Windows 버전을 최소 및 최대 OS 규칙에 맞게 설정해야 합니다. 버전 번호는 winver 명령에 의해 반환된 버전과 일치해야 합니다.

Windows Phone에서는 버전이 예상대로 8.1로 보고되기 때문에 이러한 문제가 없습니다.

준수 정책은 사용자 컬렉션에 배포합니다. 규정 준수 정책을 사용자에게 배포하면 모든 사용자 장치의 규정 준수가 확인됩니다.

다음 테이블은 정책을 조건부 액세스 정책과 함께 사용하는 경우 규정 준수 정책에서 지원하는 장치 유형 및 규정에 위반된 설정을 관리하는 방법을 나열합니다.

장치 유형

PIN 또는 암호 구성

장치 암호화

무단 해제 또는 루팅된 장치

전자 메일 프로필

최소 OS 버전

최대 OS 버전

Windows 8.1 이상

재구성됨

해당 없음

해당 없음

해당 없음

격리됨

격리됨

Windows Phone 8.1 이상

재구성됨

재구성됨

해당 없음

해당 없음

격리됨

격리됨

iOS 6.0 이상

재구성됨

재구성됨(PIN 설정)

격리됨(설정 아님)

격리됨

격리됨

격리됨

Android 4.0 이상

격리됨

격리됨

격리됨(설정 아님)

해당 없음

격리됨

격리됨

Samsung KNOX Standard 4.0 이상

격리됨

격리됨

격리됨(설정 아님)

해당 없음

격리됨

격리됨

재구성됨 = 장치 운영 체제에서 준수를 적용하도록 요구합니다. 예를 들어, 사용자는 직접 PIN을 설정해야 합니다. 설정이 비규격인 경우는 없습니다.

격리됨 = 장치 운영 체제에서 준수를 적용하도록 요구하지 않습니다. 예를 들어, Android 장치에서 사용자에게 장치를 암호화하도록 강제하지 않습니다. 이 경우:

  • 사용자가 조건부 액세스 정책의 대상인 장치가 차단됩니다.

  • 회사 포털 또는 웹 포털은 모든 규정 준수 문제에 대해 사용자에게 알립니다.

1단계: 규정 준수 정책 만들기

  1. Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.

  2. 자산 및 호환성 작업 영역에서 호환성 설정을 확장하고 준수 정책을 클릭합니다.

  3. 탭의 만들기 그룹에서 준수 정책 만들기를 클릭합니다.

  4. 준수 정책 만들기 마법사일반 페이지에서 다음 정보를 지정합니다.

    설정

    추가 정보

    Name

    규정 준수 정책에 대한 고유한 이름을 입력합니다. 최대 256자까지 사용할 수 있습니다.

    설명

    VPN 프로필에 대한 개략적인 정보를 제공하며 Configuration Manager 콘솔에서 해당 VPN 프로필을 식별하는 데 도움이 되는 설명을 입력합니다. 최대 256자까지 사용할 수 있습니다.

    보고할 비호환성 심각도

    이 준수 정책이 비호환으로 평가되는 경우 보고되는 심각도 수준을 지정합니다. 사용할 수 있는 심각도 수준은 다음과 같습니다.

    • 없음 이 준수 규칙을 준수하지 못한 장치가 Configuration Manager 보고서용으로 오류 심각도를 보고하지 않습니다.

    • 정보 이 준수 규칙을 준수하지 못한 장치가 Configuration Manager 보고서용으로 오류 심각도 정보를 보고합니다.

    • 경고 이 준수 규칙을 준수하지 못한 장치가 Configuration Manager 보고서용으로 오류 심각도 경고를 보고합니다.

    • 위험 이 준수 규칙을 준수하지 못한 장치가 Configuration Manager 보고서용으로 오류 심각도 위험을 보고합니다.

    • 위험(이벤트 포함) 이 준수 규칙을 준수하지 못한 장치가 Configuration Manager 보고서용으로 오류 심각도 위험을 보고합니다. 또한 이 심각도 수준은 응용 프로그램 이벤트 로그에 Windows 이벤트로 기록됩니다.

  5. 지원되는 플랫폼 페이지에서 이 준수 정책을 평가할 장치 플랫폼을 선택하거나 모두 선택을 클릭하여 모든 장치 플랫폼을 선택합니다.

  6. 규칙 페이지에서는 장치가 준수로 평가되려면 포함해야 하는 구성을 정의하는 규칙을 하나 이상 정의합니다. 다음 표에 사용 가능한 규칙이 나와 있습니다. 준수 정책을 만들 때는 일부 규칙이 기본적으로 사용하도록 설정되지만 이러한 규칙을 편집하거나 삭제할 수 있습니다.

    규칙 이름

    추가 정보

    지원되는 플랫폼

    모바일 장치에 암호 설정 필요

    사용자는 암호를 입력해야 자신의 장치에 액세스할 수 있습니다.

    (기본적으로 사용하도록 설정됨)

    • Windows Phone 8 이상

    • iOS 6 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    단순 암호 허용

    사용자가 '1234'또는'1111'과 같은 단순한 암호를 만들 수 있습니다.

    (기본적으로 사용하지 않도록 설정됨)

    • Windows Phone 8 이상

    • iOS 6 이상

    최소 암호 길이1

    사용자의 암호에 포함해야 하는 최소 자릿수 또는 문자 수를 지정합니다.

    (기본적으로 6)

    • Windows Phone 8 이상

    • Windows 8.1

    • iOS 6 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    모바일 장치에서 파일 암호화

    리소스에 연결하려면 장치를 암호화해야 합니다.

    Windows Phone 8을 실행하는 장치는 자동으로 암호화됩니다.

    System_CAPS_important중요

    iOS를 실행하는 장치는 모바일 장치에 암호 설정 필요 설정을 구성하면 암호화됩니다.

    (기본적으로 사용하도록 설정됨)

    • Windows Phone 8 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    장치를 무단 해제하거나 루팅하면 안 됩니다.

    이 옵션을 사용하도록 설정하면 무단 해제된 장치(iOS) 또는 루팅된 장치(Android)는 규격으로 인식되지 않습니다.

    (기본적으로 사용하지 않도록 설정됨)

    • iOS 6 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    Intune에서 전자 메일 계정을 관리해야 함

    이 옵션을 선택하면 IT 관리자가 장치에 배포한 전자 메일 프로필과 일치하는 전자 메일 계정이 장치에서 설정된 경우 장치가 비호환으로 보고됩니다.Configuration Manager는 사용자가 프로비전한 프로필을 덮어쓸 수 없으므로 이러한 프로필을 관리할 수 없습니다.

    장치의 준수 상태를 유지하려면 사용자는 기존 전자 메일 설정을 제거해야 합니다. 그러면 Configuration Manager가 관리되는 전자 메일 프로필을 설치할 수 있습니다.

    전자 메일 프로필에 대한 자세한 내용은 Microsoft Intune에서 전자 메일 프로필을 사용하여 회사 전자 메일에 대한 액세스 허용을 참조하세요.

    (기본적으로 사용하지 않도록 설정됨)

    • iOS 6 이상

    전자 메일 프로필

    Intune에서 전자 메일 계정을 관리해야 함을 선택한 경우 선택을 클릭하여 장치 관리에 사용할 전자 메일 프로필을 선택합니다. 장치에 전자 메일 프로필이 있어야 합니다.

    • iOS 6 이상

    필요한 최소 OS

    장치가 OS 최소 버전 요구 사항을 충족하지 못하면 비규격으로 보고됩니다. 업그레이드 방법에 대한 정보를 제공하는 링크가 표시됩니다. 최종 사용자는 회사 리소스에 액세스할 수 있으면 장치를 업그레이드하도록 선택할 수 있습니다.

    • Windows Phone 8 이상

    • Windows 8.1

    • iOS 6 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    허용된 최대 OS 버전

    장치가 규칙에 지정된 버전 이후의 OS를 사용하는 경우 회사 리소스에 대한 액세스가 차단되고 사용자는 IT 관리자에게 문의하라는 메시지가 표시됩니다. OS 버전 허용 규칙이 변경될 때까지 회사 리소스에 액세스하는 데 이 장치를 사용할 수 없습니다.

    • Windows Phone 8 이상

    • Windows 8.1

    • iOS 6 이상

    • Android 4.0 이상

    • Samsung KNOX Standard 4.0 이상

    1 Windows를 실행하고 Microsoft 계정으로 보안이 유지되는 장치의 경우 최소 암호 길이가 8자보다 길거나 최소 문자 집합 수가 2보다 크면 준수 정책 평가가 올바르게 이루어지지 않습니다.

  7. 마법사의 요약 페이지에서 적용한 설정을 검토한 후 마법사를 완료합니다.

새 정책이 자산 및 호환성 작업 영역의 준수 정책 노드에 표시됩니다.

준수 정책 배포

  1. Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.

  2. 자산 및 호환성 작업 영역에서 호환성 설정을 확장하고 준수 정책을 클릭합니다.

  3. 탭의 배포 그룹에서 배포를 클릭합니다.

  4. 규정 준수 정책 배포 대화 상자에서 찾아보기를 클릭하여 정책을 배포할 사용자 컬렉션을 선택합니다.

    정책 미준수 시 경고를 생성하는 옵션과 이 정책의 준수 여부를 평가할 일정을 구성하는 옵션을 선택할 수도 있습니다.

  5. 작업이 끝나면 확인을 클릭합니다.

규정 준수 정책 모니터링

Configuration Manager 콘솔에서 호환성 결과를 보려면

  1. Configuration Manager 콘솔에서 모니터링을 클릭합니다.

  2. 모니터링 작업 영역에서 배포를 클릭합니다.

  3. 배포 목록에서 준수 정보를 검토할 준수 정책 배포를 선택합니다.

  4. 기본 페이지에서 정책 배포의 준수에 대한 요약 정보를 검토할 수 있습니다. 더 자세한 정보를 보려면 배포를 선택한 다음 탭의 배포 그룹에서 상태 보기를 클릭하여 배포 상태 페이지를 엽니다.

    배포 상태 페이지에는 다음 탭이 있습니다.

    - **호환**: 영향받는 자산 수에 따라 정책 준수를 표시합니다. 규칙을 클릭하여 **자산 및 호환성** 작업 영역의 **사용자** 또는 **장치** 노드 아래에 임시 노드를 만들 수 있습니다. 그러면 이 규칙을 준수하는 모든 사용자 또는 장치가 해당 노드에 포함됩니다.**자산 정보** 창에 정책을 준수하는 사용자 또는 장치가 표시됩니다. 목록에서 추가 정보를 표시할 사용자 또는 장치를 두 번 클릭합니다.

- **오류**: 영향받는 자산 수에 따라 선택한 정책 배포에 대한 모든 오류 목록을 표시합니다. 규칙을 클릭하여 **자산 및 호환성** 작업 영역의 **사용자** 또는 **장치** 노드 아래에 임시 노드를 만들 수 있습니다. 그러면 이 규칙에 대해 오류를 생성한 모든 사용자 또는 장치가 해당 노드에 포함됩니다. 사용자 또는 장치를 선택하면 **자산 정보** 창에 선택한 문제의 영향을 받는 사용자 또는 장치가 표시됩니다. 목록에서 문제에 대한 추가 정보를 표시할 사용자 또는 장치를 두 번 클릭합니다.

- **비호환**: 영향받는 자산 수에 따라 정책 내에 있는 모든 미준수 규칙의 목록을 표시합니다. 규칙을 클릭하여 **자산 및 호환성** 작업 영역의 **사용자** 또는 **장치** 노드 아래에 임시 노드를 만들 수 있습니다. 그러면 이 규칙을 준수하지 않는 모든 사용자 또는 장치가 해당 노드에 포함됩니다. 사용자 또는 장치를 선택하면 **자산 정보** 창에 선택한 문제의 영향을 받는 사용자 또는 장치가 표시됩니다. 목록에서 문제에 대한 추가 정보를 표시할 사용자 또는 장치를 두 번 클릭합니다.

- **알 수 없음**: 선택한 정책 배포에 대해 준수 여부를 보고하지 않은 모든 사용자 및 장치의 목록과 장치의 현재 클라이언트 상태를 표시합니다.

다음 단계

이제 사용자의 조직에서 서비스에 대 한 액세스를 제어하려면 조건부 액세스 정책과 함께 규정 준수 정책을 사용할 수 있습니다.