그룹 기반 정책 관리에 관한 자세한 내용
사용자 또는 디바이스 그룹에 따라 디바이스, 앱 및 정책의 할당을 관리할 수 있습니다.
다음 유형의 그룹을 추가할 수 있습니다.
- 할당된 그룹: 사용자 또는 디바이스를 정적 그룹에 수동으로 추가합니다.
- 동적 그룹 (Microsoft Entra ID P1 또는 P2 필요): 사용자가 만든 식에 따라 사용자 또는 디바이스를 사용자 그룹 또는 디바이스 그룹에 자동으로 추가합니다.
디바이스
디바이스를 보다 쉽게 관리하기 위해 Microsoft Intune 디바이스 범주를 사용하여 정의된 범주에 따라 자동으로 디바이스를 그룹에 추가할 수 있습니다.
디바이스 범주에는 다음 워크플로가 사용됩니다.
- 사용자가 자신의 디바이스를 등록할 때 선택할 수 있는 범주를 만듭니다.
- iOS/iPadOS 및 Android 디바이스의 사용자가 디바이스를 등록하는 경우 구성된 범주 목록에서 범주를 선택해야 합니다. Windows 디바이스에 범주를 할당하려면 사용자는 회사 포털 웹 사이트를 사용해야 합니다.
- 그런 다음 이러한 그룹에 정책 및 앱을 배포할 수 있습니다.
원하는 모든 디바이스 범주를 만들 수 있습니다. 예를 들면 다음과 같습니다.
- POS(Point of Sale) 디바이스
- 데모 디바이스
- 영업
- 회계
- 매니저
디바이스가 등록되면 관리됩니다. 조직은 Intune과 같은 MDM(모바일 디바이스 관리) 공급자를 통해 디바이스에 정책과 앱을 할당할 수 있습니다.
앱
Microsoft Intune에 앱을 추가한 후, 사용자와 디바이스에 앱을 할당할 수 있습니다. Intune에서 관리하든 관리하지 않든, 앱을 디바이스에 할당할 수 있다는 점을 알아두는 것이 중요합니다.
Intune에서 포함 및 제외할 사용자 그룹을 할당하여 앱에 액세스할 수 있는 사용자를 결정할 수 있습니다. 앱에 그룹을 할당하기 전에 앱의 할당 유형을 설정해야 합니다. 할당 유형은 앱을 사용할 수 있게 만들고 필수 사항으로 만들거나 앱을 제거하기도 합니다.
앱의 가용성을 설정하려면 사용자 또는 디바이스 그룹에 앱 할당을 포함하거나 제외합니다. 포함 및 제외 그룹 할당을 조합하여 이를 달성할 수 있습니다. 이 기능은 대규모 그룹을 포함하여 앱을 제공할 때 유용할 수 있습니다. 그런 다음 더 작은 그룹을 제외하여 선택한 사용자의 범위를 좁힙니다. 더 작은 그룹은 테스트 그룹 또는 경영진 그룹일 수 있습니다.
모범 사례로, 사용자 그룹에 맞는 앱을 특수하게 만들어 할당하고, 디바이스 그룹에 대해서는 별도로 앱을 만들어 할당합니다.
예를 들어 관리자 제목이 있는 사용자를 추가하면 모든 관리자 사용자 그룹에 사용자가 자동으로 추가됩니다. 디바이스에 iOS/iPadOS 디바이스 OS 유형이 있는 경우 디바이스가 모든 iOS/iPadOS 디바이스 그룹에 자동으로 추가됩니다.
Intune에서 그룹에 앱을 할당한 후 사용자 또는 디바이스에 앱 정책을 할당할 수 있습니다.
정책
Intune을 사용하여 그룹에 정책을 할당할 수 있습니다. 정책을 할당할 때 포함할 사용자와 제외할 사용자를 선택할 수 있습니다.
사용자 그룹 및 디바이스 그룹
많은 사용자가 사용자 그룹과 디바이스 그룹을 언제 활용해야 할지 궁금해합니다. 어떤 그룹을 사용할지는 목표에 따라 달라집니다. 다음은 시작하는 데 도움이 되는 몇 가지 지침입니다.
디바이스 그룹
디바이스에서 설정을 적용하려면 로그인한 사용자와 관계없이 디바이스 그룹에 프로필을 할당합니다. 디바이스 그룹에 적용되는 설정은 사용자가 아니라 항상 디바이스를 따라 이동합니다. 디바이스 그룹은 일반적으로 공유 및 특수 디바이스에 사용됩니다.
예를 들면 다음과 같습니다.
- 디바이스 그룹은 전용 사용자가 없는 디바이스를 관리하는 데 유용합니다. 예를 들어, 티켓 인쇄, 인벤토리 검사, 교대 근무자 간에 정보 공유, 특정 웨어하우스에 티켓 할당 등을 수행하는 디바이스가 있습니다. 디바이스 그룹에 이러한 디바이스를 배치하고 이 디바이스 그룹에 프로필을 할당합니다.
- BIOS에서 설정을 업데이트하는 DFCI(디바이스 펌웨어 구성 인터페이스)를 만듭니다. 예를 들어, 디바이스 카메라를 사용하지 않도록 이 프로필을 구성하거나 부팅 옵션을 잠가 사용자가 다른 OS를 부팅하지 못하도록 할 수 있습니다. 이 프로필은 디바이스 그룹에 할당할 수 있는 좋은 시나리오입니다.
- 일부 특정 Windows 디바이스에서는 디바이스를 사용하는 사용자에 관계없이 항상 일부 Microsoft Edge 설정을 제어하려고 할 수 있습니다. 예를 들어, 모든 다운로드를 차단하고 모든 쿠키를 현재 검색 세션으로 제한하고 검색 기록을 삭제하려고 합니다. 이 시나리오에서는 특정 Windows 디바이스를 디바이스 그룹에 넣습니다. 그런 다음, Intune에서 관리 템플릿을 만들고, 이러한 디바이스 설정을 추가한 다음, 디바이스 그룹에 이 프로필을 할당합니다.
요약하자면, 디바이스에 로그인한 사용자가 누군지, 로그인한 사람이 있는지 여부를 신경 쓰지 않으면서 디바이스 그룹을 사용할 수 있습니다. 설정이 항상 디바이스에서 유지되는 것을 원할 것입니다.
사용자 그룹
사용자 그룹에 적용된 프로필 설정은 항상 사용자를 따라 이동하며, 여러 디바이스에 로그인한 경우 사용자를 따라 이동합니다. 일반적으로 사용자는 업무용 Surface Pro 및 개인 iOS/iPadOS 디바이스와 같은 여러 디바이스를 사용하게 됩니다. 또한 개인 사용자는 일반적으로 이러한 디바이스에서 메일 및 기타 조직 리소스에 액세스하게 됩니다. 사용자 그룹은 일반적으로 정보 작업 및 지식 근로자에 사용됩니다.
예를 들면 다음과 같습니다.
모든 디바이스에 모든 사용자를 위한 지원 센터 아이콘을 배치하려고 합니다. 이 시나리오에서는 사용자 그룹에 관련 사용자를 넣고 해당 사용자 그룹에 지원 센터 아이콘 프로필을 할당합니다.
사용자는 조직 소유의 새 디바이스를 받게 됩니다. 사용자는 해당 도메인 계정으로 디바이스에 로그인합니다. 디바이스는 Microsoft Entra ID에 자동으로 등록되고 Intune에서 자동으로 관리됩니다. 이 프로필은 사용자 그룹에 할당할 수 있는 좋은 시나리오입니다.
사용자가 디바이스에 로그인할 때마다 OneDrive 또는 Office와 같은 앱의 기능을 제어하려고 합니다. 이 시나리오에서는 사용자 그룹에 OneDrive 또는 Office 프로필 설정을 할당합니다.
예를 들어, Office 앱에서 신뢰할 수 없는 ActiveX 컨트롤을 차단하려고 합니다. Intune에서 관리 템플릿을 만들고, 설정을 구성하고, 이 프로필을 사용자 그룹에 할당할 수 있습니다.
요약하자면, 어떤 디바이스를 사용하든, 설정 및 규칙이 항상 사용자와 함께 이동하도록 하려는 경우에는 사용자 그룹을 활용합니다.