연습 - Intune 설정 카탈로그 정책 만들기 및 온-프레미스 ADMX와 비교

그룹 정책 및 ADMX 템플릿에는 Windows 디바이스에서 구성할 수 있는 설정이 포함됩니다. 이러한 설정은 Microsoft Intune과 같은 MDM(모바일 장치 관리) 공급자가 Windows 디바이스에서 기능 및 설정을 구성하는 데 사용하고 관리합니다. 예를 들어 PowerPoint에서 디자인 아이디어를 켜고 Microsoft Edge에서 홈페이지를 설정하는 등의 작업을 수행할 수 있습니다.

이러한 설정은 Microsoft Intune 설정 카탈로그에 기본 제공됩니다. 설정 카탈로그 프로필에서 포함하려는 설정을 구성한 다음, 이 프로필을 디바이스에 할당합니다.

이 연습에서는 다음을 수행합니다.

이 랩을 마치면 Intune을 사용하여 사용자를 관리하고 설정 카탈로그 정책을 배포할 수 있습니다.

이 기능은 다음에 적용됩니다.

• Windows
• Microsoft Edge 버전 77 이상

필수 구성 요소

• Intune 및 Microsoft Entra ID P1 또는 P2를 포함하는 Microsoft 365 E3 또는 E5 구독입니다. E3 또는 E5 구독이 없는 경우 무료로 사용해 보세요.

  다양한 Microsoft 365 라이선스를 사용하여 얻을 수 있는 항목에 대한 자세한 내용은 Microsoft 365를 사용하여 엔터프라이즈 변환을 참조하세요.

• Microsoft Intune은 Intune MDM 기관으로 구성됩니다. 자세한 내용은 모바일 디바이스 관리 기관 설정을 참조하세요.

  

• 온-프레미스 Active Directory DC(도메인 컨트롤러)에서 다음을 수행합니다.

  1. 다음 Office 및 Microsoft Edge 템플릿을 중앙 저장소(sysvol 폴더)에 복사합니다.

     • Office 관리 템플릿
     • Microsoft Edge 정책 파일

  2. DC와 동일한 도메인의 Windows Enterprise 관리자 컴퓨터에 이러한 템플릿을 푸시하는 그룹 정책을 만듭니다. 이 연습에서는 다음을 수행합니다.

     • 이러한 템플릿을 사용하여 만든 그룹 정책의 이름은 OfficeandEdge입니다. 이미지에 이 이름이 표시됩니다.
     • 사용하는 Windows Enterprise 관리자 컴퓨터의 이름은 관리 컴퓨터입니다.

     대부분의 조직에서 도메인 관리자는 다음 두 개의 계정을 가지고 있습니다.

     • 일반적인 도메인 회사 계정
     • 그룹 정책과 같은 도메인 관리자 작업에만 사용되는 다른 도메인 관리자 계정

     이 관리 컴퓨터의 목적은 관리자가 도메인 관리자 계정으로 로그인하고 그룹 정책을 관리하도록 설계된 도구에 액세스하는 것입니다.

• 이 관리 컴퓨터에서 다음을 수행합니다.

  • 도메인 관리자 계정으로 로그인합니다.

  • RSAT: 그룹 정책 관리 도구를 추가합니다.

    1. 설정 앱 >시스템>선택적 기능 보기 기능> 추가를 엽니다.

    2. RSAT: 그룹 정책 관리 도구 추가를> 선택합니다.

       Windows에서 기능을 추가하는 동안 기다립니다. 완료되면 결국 Windows 관리 도구 앱에 표시됩니다.

       

  • Intune 관리 센터를 포함하는 Microsoft 365 구독에 대한 인터넷 액세스 및 관리자 권한이 있는지 확인합니다.

Intune 관리 센터 열기

1. Microsoft Edge와 같은 Chromium 기반 웹 브라우저를 엽니다.

2. Microsoft Intune 관리 센터로 이동합니다. 다음 계정으로 로그인합니다.

   사용자: Microsoft 365 테넌트 구독의 관리자 계정을 입력합니다. 암호: 암호를 입력합니다.

Intune 관리 센터는 디바이스 관리에 중점을 두고 있으며 Microsoft Entra ID와 같은 Azure 서비스를 포함합니다. Microsoft Entra ID 및 Azure 브랜딩이 표시되지 않을 수도 있지만 사용하고 있습니다.

Microsoft 365 관리 센터 Intune 관리 센터를 열 수도 있습니다.

1. https://admin.microsoft.com로 이동합니다.

2. Microsoft 365 테넌트 구독의 관리자 계정으로 로그인합니다.

3. 모두> 표시관리 센터>Microsoft Intune을 선택합니다. Intune 관리 센터가 열립니다.

   

그룹 만들기 및 사용자 추가

온-프레미스 정책은 LSDOU 순서(로컬, 사이트, 도메인 및 OU(조직 구성 단위)에 적용됩니다. 이 계층 구조에서 OU 정책은 로컬 정책을 덮어쓰고 도메인 정책은 사이트 정책을 덮어쓰는 등의 작업을 수행합니다.

Intune에서 정책은 직접 만든 사용자 및 그룹에 적용됩니다. 계층 구조가 없습니다. 예시:

• 두 정책이 동일한 설정을 업데이트하는 경우 설정은 충돌로 표시됩니다.
• 두 규정 준수 정책이 충돌하는 경우 가장 제한적인 정책이 적용됩니다.
• 두 구성 프로필이 충돌하는 경우 설정이 적용되지 않습니다.

자세한 내용은 디바이스 정책 및 프로필에 대한 일반적인 질문, 문제 및 해결 방법을 참조하세요.

다음 단계에서는 보안 그룹을 만들고 이러한 그룹에 사용자를 추가합니다. 여러 그룹에 사용자를 추가할 수 있습니다. 예를 들어 사용자는 업무용 Surface Pro 개인용 Android 모바일 디바이스와 같은 여러 디바이스를 사용하는 것이 정상입니다. 또한 사용자가 이러한 여러 디바이스에서 조직 리소스에 액세스하는 것은 정상입니다.

1. Intune 관리 센터에서그룹>새 그룹을 선택합니다.

2. 다음 설정을 입력합니다.

   • 그룹 유형: 보안을 선택합니다.
   • 그룹 이름: 모든 Windows 학생 디바이스를 입력합니다.
   • 멤버 자격 유형: 할당됨을 선택합니다.

3. 멤버를 선택하고 일부 디바이스를 추가합니다.

   디바이스 추가는 선택 사항입니다. 목표는 그룹을 만들고 디바이스를 추가하는 방법을 아는 방법을 연습하는 것입니다. 프로덕션 환경에서 이 연습을 사용하는 경우 수행 중인 작업을 알고 있어야 합니다.

4. 고르다>을 만들어 변경 내용을 저장합니다.

   그룹이 표시되지 않나요? 새로 고침을 선택합니다.

5. 새 그룹을 선택하고 다음 설정을 입력합니다.

   • 그룹 유형: 보안을 선택합니다.

   • 그룹 이름: 모든 Windows 디바이스를 입력합니다.

   • 멤버 자격 유형: 동적 디바이스를 선택합니다.

   • 동적 디바이스 멤버: 동적 쿼리 추가를 선택하고 쿼리를 구성합니다.

     • 속성: deviceOSType을 선택합니다.
     • 연산자: 같음 을 선택합니다.
     • 값: Windows를 입력 합니다.

     1. 식 추가를 선택합니다. 식은 규칙 구문에 표시됩니다.

        

        입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 운영 체제가 Windows일 때 디바이스가 이 그룹에 자동으로 추가됩니다. 프로덕션 환경에서 이 연습을 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

     2. 구해내다>을 만들어 변경 내용을 저장합니다.

6. 다음 설정을 사용하여 모든 교사 그룹을 만듭니다.

   • 그룹 유형: 보안을 선택합니다.

   • 그룹 이름: 모든 교사를 입력합니다.

   • 멤버 자격 유형: 동적 사용자를 선택합니다.

   • 동적 사용자 멤버: 동적 쿼리 추가를 선택하고 쿼리를 구성합니다.

     • 속성: 부서를 선택합니다.

     • 연산자: 같음 을 선택합니다.

     • 값: 교사를 입력합니다.

       1. 식 추가를 선택합니다. 식은 규칙 구문에 표시됩니다.

          입력한 조건을 충족하는 사용자 또는 디바이스는 동적 그룹에 자동으로 추가됩니다. 이 예제에서는 부서가 교사인 경우 사용자가 이 그룹에 자동으로 추가됩니다. 사용자가 organization 추가되면 부서 및 기타 속성을 입력할 수 있습니다. 프로덕션 환경에서 이 연습을 사용하는 경우 주의해야 합니다. 목표는 동적 그룹 만들기를 연습하는 것입니다.

       2. 구해내다>을 만들어 변경 내용을 저장합니다.

대화 포인트

• 동적 그룹은 일부 Microsoft Entra ID 라이선스의 기능입니다. 올바른 Microsoft Entra ID 라이선스가 없는 경우 할당된 그룹을 만들 수 있는 라이선스만 부여됩니다. 동적 그룹에 대한 자세한 내용은 다음을 참조하세요.

  • Microsoft Entra ID에서 동적 그룹 처리 이해 및 관리
  • Microsoft Entra ID에서 동적 멤버 자격 그룹에 대한 규칙 관리

• Microsoft Entra ID 라이선스에는 MFA(다단계 인증) 및 조건부 액세스를 포함하여 앱 및 디바이스를 관리할 때 일반적으로 사용되는 다른 서비스가 포함될 수 있습니다.

• 많은 관리자가 사용자 그룹을 사용해야 하는 시기와 디바이스 그룹을 사용해야 하는 시기를 묻습니다. 몇 가지 지침은 사용자 그룹 및 디바이스 그룹으로 이동합니다.

• 사용자는 여러 그룹에 속할 수 있습니다. 다음과 같이 만들 수 있는 다른 동적 사용자 및 디바이스 그룹 중 일부를 고려합니다.

  • 모든 학생
  • 모든 Android 디바이스
  • 모든 iOS/iPadOS 디바이스
  • 마케팅
  • 인적 자원
  • 모든 Charlotte 직원
  • 모든 Redmond 직원
  • 서부 해안 IT 관리자
  • 동부 해안 IT 관리자

만든 사용자 및 그룹도 Microsoft 365 관리 센터 및 Microsoft Entra 관리 센터에서 볼 수 있습니다. 테넌트 구독에 대한 이러한 모든 영역에서 그룹을 만들고 관리할 수 있습니다. 디바이스 관리가 목표인 경우 Microsoft Intune 관리 센터를 사용합니다.

그룹 멤버 자격 검토

1. Intune 관리 센터에서사용자>모든 사용자를> 선택하여 기존 사용자의 이름을 선택합니다.
2. 추가하거나 변경할 수 있는 정보 중 일부를 검토합니다. 예를 들어 직속, 부서, 구/군/시, 사무실 위치 등과 같이 구성할 수 있는 속성을 확인합니다. 동적 그룹을 만들 때 동적 쿼리에서 이러한 속성을 사용할 수 있습니다.
3. 그룹을 선택하여 이 사용자의 멤버 자격을 확인합니다. 그룹에서 사용자를 제거할 수도 있습니다.
4. 다른 옵션 중 일부를 선택하여 자세한 내용과 수행할 수 있는 작업을 확인합니다. 예를 들어 할당된 라이선스, 사용자의 디바이스 등을 확인합니다.

난 그냥 무엇을 했는가?

Intune 관리 센터에서 새 보안 그룹을 만들고 이러한 그룹에 기존 사용자 및 디바이스를 추가했습니다. 이 자습서의 이후 단계에서 이러한 그룹을 사용합니다.

Intune에서 설정 카탈로그 정책 만들기

이 섹션에서는 Intune에서 설정 카탈로그 정책을 만들고, 온-프레미스 그룹 정책 Management의 일부 설정을 살펴보고, Intune에서 동일한 설정을 비교합니다. 목표는 그룹 정책에 설정을 표시하고 Intune에서 동일한 설정을 표시하는 것입니다.

1. Intune 관리 센터에서디바이스>관리 디바이스>구성>새로 만들기>정책을 선택합니다.

2. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 설정 카탈로그를 선택합니다.

3. 만들기를 선택합니다.

4. 기본에서 다음 속성을 입력합니다.

   • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 Windows 학생 디바이스를 입력합니다.
   • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

5. 다음을 선택합니다.

6. 구성 설정에서 설정 추가를 선택합니다. 모든 설정 목록이 표시됩니다.

   

   사용자에게 적용되는 디바이스 및 설정에 적용되는 설정을 필터링하고 설정을 검색할 수도 있습니다.

   

7. 검색에서 다운로드를 입력 합니다. 이름에 "다운로드"가 있는 모든 정책 설정이 필터링되어 목록에 표시됩니다.

   

8. Microsoft Edge 범주 > 로 이동하여 SmartScreen 설정을 선택합니다. 이름에 "다운로드"가 있는 SmartScreen 정책 설정이 필터링되어 표시됩니다.

   

그룹 정책 Management 및 Intune의 정책 비교

이 섹션에서는 Intune의 정책과 그룹 정책 Management 편집기 일치하는 정책을 보여 드립니다.

1. 관리 컴퓨터에서 그룹 정책 관리 앱을 엽니다.

   이 앱은 Windows에서 추가하는 선택적 기능인 RSAT: 그룹 정책 관리 도구와 함께 설치됩니다. 이 문서의 필수 구성 요소 에는 설치 단계가 나열되어 있습니다.

2. 도메인을 확장하여 도메인을> 선택합니다. 예를 들어 를 선택합니다 contoso.net.

3. OfficeandEdge 정책 >편집을 마우스 오른쪽 단추로 클릭합니다. 그룹 정책 관리 편집기 앱이 열립니다.

   

   OfficeandEdge 는 Office 및 Microsoft Edge ADMX 템플릿을 포함하는 그룹 정책입니다. 이 정책은 필수 구성 요소 (이 문서)에서 설명합니다.

4. 컴퓨터 구성>정책>관리 템플릿제어판>인격화를 확장합니다>. 사용 가능한 설정을 확인합니다.

   

   잠금 화면 카메라 사용 방지를 두 번 클릭하고 사용 가능한 옵션을 참조하세요.

   

5. Intune 관리 센터에서 Windows 학생 디바이스 설정 카탈로그 정책으로 이동합니다.

6. 구성 설정>편집>설정 추가를 선택합니다. 개인 설정을 검색하고 범주를 Administrative templates\Control Panel\Personalization 선택합니다. 사용 가능한 설정은 다음과 같습니다.

   

   이 경로 및 사용 가능한 설정은 그룹 정책 관리 편집기 표시되는 것과 유사합니다. 잠금 화면 카메라 사용 방지 설정을 선택하면 그룹 정책 관리 편집기 사용할 수 있는 유사한 옵션이 표시됩니다.

   

그룹 정책 Management 및 Intune에서 사용자 정책 비교

1. Windows 학생 디바이스 설정 카탈로그 정책에서 구성 설정>편집>설정 추가를 선택합니다. 를 검색합니다 inprivate browsing. 설정 옵션을 확인합니다. 설정은 (User) 사용자 구성에 적용됩니다. 다른 설정은 디바이스 구성에 적용됩니다.

   

2. 그룹 정책 관리 편집기 일치하는 사용자 및 디바이스 설정을 찾습니다.

   • 디바이스: 컴퓨터 구성>정책>관리 템플릿>Windows 구성 요소>인터넷 Explorer>Privacy>InPrivate 브라우징 끄기를 확장합니다.
   • 사용자: 사용자 구성>정책>관리 템플릿>Windows 구성 요소>인터넷 Explorer>Privacy>InPrivate 브라우징 끄기를 확장합니다.

   

난 그냥 무엇을 했는가?

Intune에서 설정 카탈로그 정책을 만들었습니다. 이 정책에서는 일부 설정을 살펴보고 온-프레미스 그룹 정책 Management에서 동일한 ADMX 설정을 살펴보았습니다.

OneDrive 설정 카탈로그 정책 만들기

이 섹션에서는 Intune에서 OneDrive 설정 카탈로그 정책을 만들어 일부 설정을 제어합니다. 이러한 특정 설정은 조직에서 일반적으로 사용되므로 선택됩니다.

1. 다른 Intune 정책을 만듭니다(디바이스>디바이스> 관리구성>새 정책만들기>).

2. 다음 속성을 입력합니다.

   • 플랫폼: Windows 10 이상을 선택합니다.
   • 프로필 유형: 설정 카탈로그를 선택합니다.

3. 만들기를 선택합니다.

4. 기본에서 다음 속성을 입력합니다.

   • 이름: 모든 Windows 사용자에 대한 OneDrive 정책을 입력합니다.
   • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.

5. 다음을 선택합니다.

6. 구성 설정에서 설정 추가를 선택합니다. 범주 목록에서 OneDrive를 검색하거나 이동합니다. 다음 설정을 선택한 다음 설정 선택기를 닫습니다.

   • 사용자가 개인 OneDrive 계정을 동기화하지 못하도록 방지(사용자)
   • Windows 자격 증명을 사용하여 사용자를 OneDrive 동기화 앱에 자동으로 로그인
   • OneDrive 요청 기반 파일 관리 사용

7. 다음 설정을 구성합니다.

   설정	값
   사용자가 개인 OneDrive 계정을 동기화하지 못하도록 방지(사용자)	사용
   Windows 자격 증명을 사용하여 OneDrive 동기화 앱에 자동으로 사용자 로그인	사용
   OneDrive 요청 기반 파일 관리 사용	사용

설정이 다음 설정과 유사하게 표시됩니다.

OneDrive 클라이언트 설정에 대한 자세한 내용은 그룹 정책 사용하여 OneDrive 동기화 클라이언트 설정 제어를 참조하세요.

정책 할당

1. 정책에서 할당에 도착할 때까지 다음을 선택합니다. 그룹 추가를 선택합니다.

2. 기존 사용자 및 그룹의 목록이 표시됩니다. 이전에 > 만든 모든 Windows 디바이스 그룹을 선택합니다.

   프로덕션 환경에서 이 연습을 사용하는 경우 비어 있는 그룹을 추가하는 것이 좋습니다. 목표는 정책 할당을 연습하는 것입니다.

3. 다음을 선택합니다. 검토 + 만들기에서 만들기를 선택하여 변경 내용을 저장합니다.

이 섹션에서는 일부 설정 카탈로그 정책을 만들고 만든 그룹에 할당했습니다.

정책 모범 사례

Intune에서 정책 및 프로필을 만들 때 고려해야 할 몇 가지 권장 사항과 모범 사례가 있습니다. 자세한 내용은 정책 및 프로필 모범 사례를 참조하세요.

리소스를 정리합니다.

더 이상 필요하지 않은 경우 다음을 수행할 수 있습니다.

• 만든 그룹을 삭제합니다.

  • 모든 Windows 학생 장치
  • 모든 Windows 디바이스
  • 모든 교사

• 만든 설정 카탈로그 정책을 삭제합니다.

  • Windows 학생 디바이스
  • 모든 Windows 사용자에게 적용되는 OneDrive 정책

요약

이 자습서에서는 Microsoft Intune 관리 센터에 대해 더 잘 알고, 쿼리 작성기를 사용하여 동적 그룹을 만들고, Intune에서 설정 카탈로그 정책을 만들어 다양한 설정을 구성했습니다. 또한 Intune을 사용하여 온-프레미스 및 클라우드에서 ADMX 템플릿을 사용하는 것을 비교했습니다.