Intune 디바이스 관리자 추가

온라인에서 편집하기

Microsoft™ Intune을 기기 관리자로 설정하세요.

시작하기 전에

이 태스크를 완료하려면 관리 권한이 있어야 합니다.
관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.

참고: mTLS 인증이 필요한 각 테넌트는 다음을 반드시 갖춰야 합니다

허상 호스트 이름이 구성되었습니다. “사용자 지정 호스트 이름 설정”을 참조하십시오.
바니티 호스트명을 위해 엣지 인프라(Akamai)에 업로드된 테넌트의 루트 및 중간 CA 인증서.

기기는 클라이언트 인증서를 사용하여 테넌트의 사용자 지정 호스트 이름에 직접 인증합니다. 다음 엔드포인트가 사용됩니다.

인증: https://{vanity-hostname}/v1.0/mdm/mtls
SCEP 운영: https://{vanity-hostname}/v1.0/mdm/scep

이 태스크에 대한 정보

지원되는 운영 체제

Windows 8.1 이상
macOS 10.13 이상

신뢰 모델

Verify는 SCEP 인증 기관(CA) 역할을 수행하며, 등록된 기기에 클라이언트 인증서를 발급합니다. 사용자가 구성한 루트 인증서, 중간 인증서 및 SCEP 인증서 프로필을 통해 이 인증서 발급 프로세스가 가능해집니다.

상호 TLS 인증( mTLS )의 경우, 장치가 인증을 시도할 때 Verify에 자신의 클라이언트 인증서를 제시합니다. 이 인증서는 Verify CA를 통해 검증되어 암호화적 신뢰 관계를 확립하고 장치 신원을 확인합니다.

인증서 검증이 성공적으로 완료되면, Verify는 구성된 권한을 사용하여 Microsoft Graph API를 조회하고 Intune에서 실시간 장치 상태 및 규정 준수 정보를 가져옵니다. 이 핵심 규정 준수 정보에는 다음이 포함됩니다:

장치의 규정 준수 상태(준수/비준수/알 수 없음). Intune에서 장치가 규정 미준수 상태가 되어도 인증서 자체는 자동으로 취소되지 않습니다. 사용자 및 기기 정보의 캐시 유효 기간이 만료될 때마다, IBM Verify 은 Microsoft Graph API를 조회하여 Intune에서 현재 기기 준수 상태를 가져옵니다. 임차인이 정책 기반 액세스 제어를 사용하는 경우, 해당 complianceState 속성(및 기타 장치 속성)은 IBM Verify 에 구성된 액세스 정책에 따라 평가됩니다. 이러한 정책은 ~할지 여부를 결정합니다
- (정책에서 규정을 준수하지 않는 기기의 사용을 허용하는 경우) 액세스를 허용합니다.
- 추가 인증(강화된 인증)을 요구합니다.
- 접근 거부 (정책상 규정 준수 기기만 허용되는 경우).
애플리케이션은 규정 준수 요건을 정의하는 액세스 정책으로 구성할 수 있습니다. complianceState 을 포함한 기기 속성은 Verify에 의해 조회되며, 등록이 성공적으로 완료된 후 저장됩니다. 장치 속성은 캐시 시간 초과에 지정된 제한된 시간 동안 캐시에 저장되며, 캐시 유효 기간이 만료되면 Intune에서 다시 가져옵니다.
참고: 규정을 준수하지 않는 기기를 영구적으로 차단해야 하는 경우, IBM Verify 에서 해당 기기를 삭제하십시오. 이렇게 하면 해당 기기의 인증서도 동시에 취소됩니다. 이 작업은 관리 대상 클라이언트 장치에서 취소된 인증서를 자동으로 제거하지는 않습니다.
장치 관리 상태(관리됨/관리되지 않음) 다음 장치 속성을 액세스 정책 평가에 사용할 수 있습니다.
- 새 디바이스
- 디바이스 플랫폼
- 디바이스 준수

이러한 모든 속성은 액세스 정책 결정 시 활용할 수 있습니다. ‘액세스 정책 관리’를 참조하십시오.

참고: 기기가 해킹당했을 경우, IBM Verify 에서 해당 기기를 삭제하면 인증서 취소 절차가 즉시 시작됩니다. 해당 장치와 관련된 모든 인증서가 즉시 취소됩니다. 해당 기기는 인증서 파일을 여전히 보유하고 있더라도 더 이상 인증을 수행할 수 없습니다.

SCEP 서버 사양

별도의 SCEP 인프라가 필요하지 않습니다. SCEP 서버 기능은 mdm-broker 서비스에 내장되어 있으며, 모든 표준 SCEP 작업을 처리합니다:

GetCACaps - CA 기능을 반환합니다
GetCACert - CA 인증서 체인을 반환합니다
PKIOperation - 인증서 발급 및 갱신 요청을 처리합니다

IBM Verify 통합된 SCEP 서버 및 인증 기관(CA)을 제공합니다. 관리 대상 장치는 표준 SCEP 프로토콜(PKIOperation)을 통해 Verify SCEP 엔드포인트에 인증서 서명 요청(CSR)을 전송합니다. Verify는 SCEP 서버와 서명 CA의 역할을 모두 수행하며, 구성된 SCEP 프로필에 따라 이러한 요청을 처리하고 서명된 클라이언트 인증서를 발급합니다.

생성, 서명, 저장 및 갱신을 포함한 SCEP 인증서의 전체 수명 주기는 Verify에서 내부적으로 처리합니다.

참고: MacOS Safari를 사용하는 경우, Intune 장치 관리자가 발급한 클라이언트 인증서에 대한 확인 메시지가 표시되지 않는 문제가 발생할 수 있습니다. 이 문제를 해결하려면 MacOS 키 체인 ID 환경 설정을 구성해야 합니다.

Mac에서 ‘키체인 액세스’로 이동하세요.
클라이언트 인증서에 대한 ID 환경 설정을 추가합니다.
ID 환경 설정 위치를 테넌트 인증 URL +(공백)+ (com.apple.Safari)으로 설정하십시오. 예를 들어, https://{tenant_vanity_hostname}/usc입니다.

이제 신원 확인 설정은 ‘키체인 액세스 > 로그인 > 모든 항목’에서 찾을 수 있으며, 인증서 확인 창이 정상적으로 작동합니다.

프로시저

‘인증 ’ > ‘장치 관리자’를 선택합니다.
‘장치 관리자 추가’를 선택합니다.
설정할 장치 관리자의 유형 을 선택하십시오.
‘다음’을 선택하세요.
‘일반 설정’ 페이지에서 다음 정보를 입력하십시오.
- 제공된 필드에 장치 관리자 이름을 입력하세요.
- 메뉴에서 ID 공급자를 선택하십시오.
- 메뉴에서 트러스트 유형 을 선택하십시오. ‘장치 신뢰’를 선택하려면 사용자는 설정된 1단계 인증 방식을 통해 로그인해야 합니다. 기기 신뢰 기능은 기존 인증 세션에 관리되는 기기 속성을 제공합니다.
  참고: ‘장치 및 사용자 인증 분리 ’ 기능 CI-114829 은 요청 시 활성화할 수 있습니다. 이 기능을 요청하려면 IBM 영업 담당자나 IBM 담당자에게 문의하여 해당 기능 활성화에 대한 의사를 밝혀 주시기 바랍니다. 권한이 있다면 지원 티켓을 생성해 주세요. IBM Verify 체험판 구독자는 지원 티켓을 생성할 수 없습니다.
- 사용자 계정에 JIT(Just-In-Time) 프로비저닝을 사용할지 여부를 선택하십시오.
  참고: 사용자 계정에 대한 JIT(Just-in-Time) 프로비저닝은 ‘사용자 및 기기 신뢰’를 선택한 경우에만 적용됩니다.
- 클라이언트 인증서의 유효 기간 을 선택하십시오. 장치 관리자는 인증서 유효 기간을 90일, 180일, 365일 또는 3년으로 설정할 수 있습니다. 기본적으로 선택 기간은 3년입니다. 조직은 자사의 보안 정책 및 규정 준수 요건에 부합하는 유효 기간을 선택할 수 있습니다. 유효 기간을 짧게 설정하면 인증서가 유출되었을 때의 노출 기간을 줄일 수 있는 반면, 기간을 길게 설정하면 갱신 작업의 빈도를 줄일 수 있습니다.
- 각 디바이스의 최대 인증서 수를 지정하십시오. 인증서의 잔여 유효 기간이 SCEP 프로필에 설정된 갱신 기준값보다 짧아지면, 기기에서 자동으로 인증서 갱신을 처리합니다. 이 장치는 자동으로 갱신 요청을 시작합니다. 갱신 절차는 최종 사용자에게 투명하게 진행되며 수동 개입이 필요하지 않습니다. 갱신이 성공적으로 완료되면 기존 인증서는 자동으로 취소됩니다.
  Verify는 다양한 시나리오에 걸쳐 포괄적인 인증서 해지 기능을 제공합니다.
  - 인증서 갱신
  - Verify에서 기기 삭제
  - Verify에서 사용자 삭제
  - 인증서 만료
- 사용자 및 디바이스 정보가 보관되는 기간(분)을 지정하십시오.
‘다음’을 선택하세요.
API 자격 증명 페이지에서 Azure Active Directory 에 애플리케이션의 API 정보를 입력하세요.
- 애플리케이션이 이미 있으면 양식만 해당을 선택하십시오.
  1. 애플리케이션 ID, 시크릿 및 테넌트 이름을 제공하십시오.
  2. 미리 정의된 속성 목록에서 선택하거나 Unique user identifier , ‘사용자 지정 규칙’을 선택하여 속성 매핑을 지정하십시오. 사용자 지정 규칙을 사용하도록 선택하면 사용자 지정 속성과 규칙을 추가할 수 있습니다. 속성 값을 계산하는 규칙을 입력하세요. 예를 들면 다음과 같습니다.
```
requestContext.email[0].split('@')[0]
```
    참고: 사용자 지정 규칙 선택은 ‘기기 신뢰 ’에는 적용되지 않습니다. 하지만 제공된 입력란에 해당 속성을 입력할 수 있습니다.
  3. 인증 정보를 검증하려면 인증 정보 테스트를 선택하십시오.
  4. ‘다음’을 선택하세요.
- 애플리케이션을 작성 중이면 단계와 함께 표시를 선택하고 지시사항을 따르십시오.
  1. Azure 포털에서 Azure Active Directory > 앱 등록 으로 이동한 후 ‘새 등록 ’을 선택합니다.
  2. 애플리케이션 등록 애플리케이션에서 다음 세부사항을 지정하십시오.
    
    이름
    
    의미 있는 앱 이름을 입력하세요. 예를 들어, ‘ IBM Verify ’와 같이 입력하세요.
    
    지원되는 계정 유형
    
    조직 디렉토리에서 계정을 선택하십시오.
    
    경로 재지정 URI
    
    참고: 앱 등록 설정 시 리다이렉트 URI는 비워 두어도 됩니다.
  3. 등록을 선택하십시오.
  4. 앱 개요 페이지에서 애플리케이션(클라이언트) ID 값을 복사하여 앱 ID 입력 필드에 붙여넣으십시오.
  5. 앱의 탐색 페이지에서 ‘관리 ’ 아래에 있는 ‘인증서 및 비밀 키 ’를 선택한 다음 ‘새 클라이언트 비밀 키’를 선택합니다.
  6. 설명을 입력하고 만료에 대한 옵션을 선택한 다음 추가를 클릭하십시오.
  7. 앱 시크릿 입력 필드에 클라이언트 시크릿을 붙여넣으십시오.
  8. ‘테넌트 이름 ’ 필드에는 Microsoft Entra ID 테넌트 이름을 입력하십시오.
  9. 고유한 사용자 식별자 속성을 선택하거나 직접 입력하세요.
  10. 앱의 탐색 페이지에서 ‘관리 ’ 아래에 있는 ‘API 권한’을 선택한 다음, ‘권한 추가’를 선택합니다
  11. Intune을 선택한 후 애플리케이션 권한을 선택하십시오. scep_challenge-provider에 대한 선택란을 선택하십시오.
  12. 권한 추가를 선택하십시오.
  13. 앱의 탐색 분할창에서 관리아래의 API 권한을 선택하고 권한 추가를 선택하십시오.
  14. ‘Microsoft Graph’를 선택한 다음 ‘애플리케이션 권한’을 선택합니다.
  15. “ DeviceManagementManagedDevices ” 옆의 확인란을 선택합니다. Read.All, User.Read.All 및 Application.Read.All.
  16. 권한 추가를 선택하십시오.
  17. Microsoft에 대한 관리자 동의 권한 부여를 선택한 후 예를 선택하십시오.
  18. 인증 정보를 검증하려면 인증 정보 테스트를 선택하십시오.
    “인증 정보 테스트” 버튼은 다음을 확인합니다
    - 자격 증명의 형식이 올바릅니다.
    - 클라이언트 ID와 클라이언트 시크릿이 유효합니다.
    - Microsoft Entra ID에 접속할 수 있습니다.
    - OAuth 액세스 토큰은 Microsoft에서 발급받을 수 있습니다.
    다음은 테스트 대상이 아닙니다:
    - API 권한 (예: DeviceManagementManagedDevices.Read.All)
    - Microsoft Graph에서 사용자 /dev 의 정보를 읽을 수 있는 기능
    - Microsoft Graph API 엔드포인트에 대한 네트워크 연결
    - 임차인 구성 완료 여부
    테스트 통과:
    
    https://login.microsoftonline.com/{tenant}/oauth2/v2.0/tokenOAuth 에서 액세스 토큰을 성공적으로 획득했습니다.
    
    참고: 인증 테스트가 성공했다고 해서 통합이 정상적으로 작동한다는 보장은 없습니다. 이 테스트는 인증만 검증하며, API 권한이나 데이터 접근 권한은 검증하지 않습니다. 완전한 검증을 위해서는 실제 기기 등록 테스트가 필요합니다.
    
    테스트 실패:
    
    HTTP 다음 오류 메시지와 함께 400 응답이 반환됩니다:Connection to MicrosoftIntune failed.
    
    일반적인 원인으로는 잘못된 클라이언트 ID 또는 시크릿, 잘못된 테넌트 이름, 네트워크 문제, 또는 만료된 자격 증명이 있습니다.
    
    문제점 해결
    
    HTTP 에 대한 검토 : 성공 시 SCEP URL을 반환하고, 실패 시 오류 메시지를 반환합니다.
    
    Azure 구성 확인 : Azure 포털에서 클라이언트 ID, 시크릿 및 테넌트 이름을 확인하십시오.
    
    API 권한 확인 : 관리자의 승인을 받아 필요한 Microsoft Graph 권한이 부여되었는지 확인하십시오.
    
    종단 간 테스트 : 실제 기기 등록을 시도하여 전체 통합 상태를 검증합니다.
  19. ‘다음’을 선택하세요.
해당 (사용자 및 기기 신뢰 선택 시 열림) 또는 장치 속성 (기기 신뢰 선택 시 열림)사용자 속성 페이지에서 장치 관리자 속성을 속성에 IBM Verify 매핑하십시오.

참고: 속성 이름은 대소문자를 구분하지 않으며, 중복된 속성은 허용되지 않습니다.
1. 장치 관리자 속성을 선택하십시오.
  매핑에 사용할 수 있는 Intune 장치 관리자 속성은 Microsoft Graph API 엔드포인트에서 반환되는 속성들입니다:
  - /deviceManagement/managedDevices
  - /users/{userId}
  - Intune 사용자 속성에 대한 내용은 Microsoft에서 사용자 리소스 유형 항목에 설명되어 있습니다. ‘이 문서에서’ 메뉴에서 ‘속성’을 선택합니다.
  - Intune 장치 속성에 대한 내용은 Microsoft에서 managedDevice resouce-type 에 문서화되어 있습니다. ‘이 문서에서’ 메뉴에서 ‘속성’을 선택합니다.
  참고: 장치 속성을 Verify에 매핑하려면 해당 속성 이름 앞에 mdmDevice:: 라는 문자열을 붙여야 합니다. 예를 들어, device 속성을 complianceState Verify에 매핑하려면 다음과 같이 작성해야 합니다
```
mdmDevice::complianceState 
```
  사용자 속성에는 접두사가 필요하지 않습니다.
  
  등록된 단일 기기의 지도와 같은 mdmDevice::complianceState 기기 속성. 여러 기기를 사용하는 환경에서는 이 값이 일관되지 않을 수 있습니다. 사용자가 단일 기기로만 제한될 것으로 예상되는 경우에만 기기 속성을 Verify에 매핑하십시오.
2. 선택 사항: 메뉴에서 변환을 선택합니다.
3. 필수: 매핑할 속성을 Verify 선택하십시오.
4. 사용자 프로파일에 속성을 저장할 방법을 선택하십시오.
선택 사항: ‘속성 추가’를 클릭합니다.
사용자 지정 규칙을 사용하도록 선택하면, 사용자 지정 속성을 하나씩 추가하고 규칙을 설정할 수 있습니다. 속성 값을 계산하는 규칙을 입력하세요. 예를 들면 다음과 같습니다.
```
idsuser.email[0].split('@')[0]
```
‘테스트 실행’을 클릭하여 규칙이 제대로 작동하는지 확인하세요.
‘저장 후 계속’을 선택하세요.
디바이스 관리자가 저장됩니다.
루트 인증서 프로파일을 작성하십시오.

제공된 지시사항을 따르십시오.
1. 제공된 다음 루트 및 프로필 인증서 .zip 파일을 다운로드하십시오.
2. Microsoft Endpoint Manager에 로그인한 다음, [장치] > [구성 프로필]을 엽니다.
3. 루트 인증서 프로필을 만들려면 ‘프로필 만들기’를 선택하고 다음 설정을 지정하십시오:
  
  플랫폼
  
  적절한 플랫폼을 선택하십시오.
  
  프로파일
  
  신뢰할 수 있는 인증서.
4. ‘만들기’를 선택합니다.
5. 루트 인증서 프로필의 이름을 지정합니다(예: WIN10_RootCA_Cert ). 그런 다음 ‘다음’을 선택합니다.
6. 1단계에서 다운로드한 루트 인증서 프로필을 업로드하고, 대상 저장소를 ‘컴퓨터 인증서 저장소 - 루트’로 설정한 다음 ‘다음’을 선택합니다.
7. ‘할당 대상’을 테스트할 사용자 또는 그룹으로 설정한 다음 ‘다음’을 선택합니다.
8. ‘만들기’를 선택합니다.
9. 중간 인증서의 경우 2 - 8단계를 반복하십시오.
‘다음’을 선택하세요.
SCEP 인증서 프로필 페이지에서 Azure Active Directory 에 애플리케이션의 API 세부 정보를 입력하세요.
- SCEP 인증서 프로파일이 이미 있으면 값만 해당을 선택하십시오.
  1. 주제 및 SCEP URL을 제공하십시오.
  2. ‘다음’을 선택하세요.
- SCEP 인증서 프로파일을 작성 중이면 단계와 함께 표시를 선택하고 지시사항에 따르십시오.
  1. SCEP 인증서 프로파일을 작성하려면 프로파일 작성을 선택하고 다음 설정을 선택하십시오.
    
    플랫폼
    
    적절한 플랫폼을 선택하십시오.
    
    프로파일
    
    신뢰할 수 있는 SCEP 인증서.
  2. ‘만들기’를 선택합니다.
  3. 루트 인증서 프로파일의 이름을 지정하고(예: WIN10_RootCA_Cert) 다음을 선택하십시오.
  4. 다음 구성 설정을 사용하십시오.
    
    인증서 유형
    
    사용자.
    
    주제 이름 형식
    
    사용자 정의
    
    사용자 정의
    
    자동으로 생성된 CN.
    
    주제 대체 이름
    
    사용자 프린시펄 이름(UPN).
    
    인증서 유효 기간
    
    1년.
    
    키 스토리지 제공자(KSP)
    
    사용 가능한 경우 TPM(Trusted Platform Module) KSP에 등록하고, 그렇지 않으면 소프트웨어 KSP에 등록하십시오.
    
    키 사용
    
    키 암호화, 디지털 서명.
    
    키 크기(비트)
    
    2048.
    
    해시 알고리즘
    
    SHA-2.
    
    루트 인증서
    
    11 단계에서 생성하고 이름을 지정한 루트 인증서 프로필을 선택하십시오.
    
    확장 키 사용
    
    사전 정의된 값 메뉴에서 클라이언트 인증을 선택하십시오.
    
    갱신 임계값
    
    20.
    
    SCEP 서버 URL
    
    자동으로 생성된 URL.
  5. 다음을 선택하고 연결을 테스트할 사용자 또는 그룹을 지정하십시오.
  6. ‘만들기’를 선택합니다.
  7. ‘다음’을 선택하세요.
MDM 범위를 설정하십시오.
지시에 따르십시오.
1. Microsoft Endpoint Manager 관리 센터에서 모든 서비스 > M365 Azure Active Directory > Azure Active Directory > 모빌리티(MDM 및 MAM)를 선택합니다.
2. Intune을 구성하려면 Microsoft Intune을 선택하세요.
3. MDM 사용자 범위에서 ‘일부’를 선택하여 MDM 자동 등록 기능을 통해 직원의 Windows™ 기기에서 기업 데이터를 관리하십시오.
  MDM 자동 등록은 AAD에 가입된 기기와 개인 기기 사용(BYOD) 환경에 대해 구성됩니다.
4. [그룹 선택] > [선택된 그룹/사용자] > [할당된 그룹으로 선택]을 선택합니다.
5. MAM 사용자 범위에서 ‘일부’를 선택하여 직원의 기기에 저장된 데이터를 관리하세요.
6. [그룹 선택] > [그룹/사용자 선택] > [할당된 그룹으로 선택]을 선택합니다.
7. 나머지 구성 값에 대해서는 기본값을 사용하십시오.
8. ‘저장’을 선택하세요.
‘다음’을 선택하세요.
구성을 테스트하십시오.
지시에 따르십시오.
‘설정 완료’를 선택하세요.
1. 설정을 검토하십시오.
2. 변경사항 저장을 선택하십시오.