다음을 통해 공유

비즈니스용 Microsoft 365에서 기본 이동성 및 보안 설정

기본 이동성 및 보안 사용하여 디바이스를 관리하고 회사에 대한 액세스를 보호하려면 이 문서의 절차에 따라 organization 기본 이동성 및 보안 켜고 구성해야 합니다.

기본 이동성 및 보안 대한 자세한 내용은 비즈니스용 Microsoft 365의 기본 이동성 및 보안 개요를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

1단계: organization 기본 이동성 및 보안 사용

organization 기본 이동성 및 보안 이미 사용하도록 설정된 경우 기본 이동성 및 보안 페이지의 개요 탭에서 사용 기능을 사용할 수 없으므로 이 단계를 건너뛸 수 있습니다.

다음 단계를 사용하여 organization 기본 이동성 및 보안 사용하도록 설정합니다.

  1. 의 기본 이동성 및 보안 페이지에서 https://compliance.microsoft.com/basicmobilityandsecurity개요 탭이 선택되어 있는지 확인합니다.

  2. 개요 탭에서 기능 사용을 선택합니다.

    사용 가능한 기능 링크가 있는 기본 이동성 및 보안 페이지를 보여 주는 스크린샷.

  3. 열리는 확인 대화 상자에서 확인을 선택합니다. 대화 상자에 다음 메시지가 표시됩니다.

    처리를 위해 제출된 활성화 요청입니다. 몇 분 후에 페이지를 다시 로드하세요.

  4. 몇 분 후 브라우저에서 페이지를 새로 고칩니다.

기본 이동성 및 보안 사용하도록 설정되면 기본 이동성 및 보안 페이지의 개요 탭에서 다음과 같은 변경이 수행됩니다.

  • 개요 탭의 사용 기능은관리되는 디바이스Apple MDM 푸시 인증서 관리로 대체됩니다.
  • 정책조직 설정 탭을 사용할 수 있습니다.

기능을 사용하도록 설정한 후 기본 이동성 및 보안 페이지를 보여 주는 스크린샷

PowerShell을 사용하여 organization 기본 이동성 및 보안 사용하도록 설정

보안 & 규정 준수 PowerShell을 사용하여 organization 기본 모바일 및 보안을 사용하도록 설정하려는 경우 다음 단계를 수행합니다.

  1. 다음 한 줄 명령을 실행하여 organization 기본 이동성 및 보안 이미 사용하도록 설정되어 있는지 확인합니다.

    Write-Output -InputObject `r`n,"Device tenant policy",("-"*25); Get-DeviceTenantPolicy | Format-Table Name; Write-Output -InputObject "Device tenant rule",("-"*25); Get-DeviceTenantRule | Format-List Name,ExclusionList,BlockUnsupportedDevices

  2. 이전 명령이 결과를 반환하지 않으면 다음 명령을 실행하여 기본 이동성 및 보안 페이지의 개요 탭에서 사용하도록 설정한 것과 동일한 값을 사용하여 기본 이동성 및 보안 사용하도록 설정합니다.

    New-DeviceTenantPolicy

New-DeviceTenantRule -ExclusionList 00000000-0000-0000-0000-000000000000

    00000000-0000-0000-0000-000000000000 은 모든 사용자가 기본 이동성 및 보안 포함되어 있음을 의미합니다(보안 그룹이 기본 이동성 및 보안 예외를 지정하지 않음). 또는 기본 이동성 및 보안 제외하기 위해 쉼표로 구분된 하나 이상의 보안 그룹의 GUID 값을 지정할 수 있습니다. 자세한 내용은 이 문서의 뒷부분에 있는 기본 이동성 및 보안 섹션에서 PowerShell을 사용하여 organization 설정 구성 섹션을 참조하세요.

    마찬가지로 나중에 설정하는 대신 디바이스 테넌트 규칙을 만들 때 BlockUnsupportedDevices 매개 변수를 값 $true 으로 설정할 수 있습니다.

자세한 구문 및 매개 변수 정보는 New-DeviceTenantPolicyNew-DeviceTenantRule을 참조하세요.

2단계: 기본 이동성 및 보안 사용자 지정 Microsoft 365 도메인에 대한 CNAME 레코드 구성

사용자가 사용자 지정 Microsoft 365 도메인(예 michelle@contoso.com: )에서 계정을 사용하여 로그인하는 경우 이 단계가 필요합니다. 사용자가 Microsoft Online Email MOERA(라우팅 주소) 도메인(예michelle@contoso.onmicrosoft.com: )에서만 계정을 사용하여 로그인하는 경우 이 단계를 건너뛸 수 있습니다.

사용자 지정 Microsoft 365 전자 메일 도메인의 DNS 등록 기관에서 기본 이동성 및 보안 대한 두 개의 CNAME 레코드를 추가해야 합니다. CNAME 레코드의 기본 구문은 다음과 같습니다.

Hostname: EnterpriseEnrollment.company_domain.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us

Hostname: EnterpriseRegistration.company_domain.com
Points to address or value: EnterpriseRegistration.windows.net

예시:

Hostname: EnterpriseEnrollment.contoso.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us

Hostname: EnterpriseRegistration.contoso.com
Points to address or value: EnterpriseRegistration.windows.net

CNAME 레코드를 설정하는 데 도움이 필요하세요? Microsoft는 여러 도메인 등록 기관에서 다양한 Microsoft 365 서비스에 대한 CNAME 레코드를 만드는 지침을 제공합니다. 이러한 지침을 시작점으로 사용하여 기본 이동성 및 보안 대한 CNAME 레코드를 만들 수 있습니다. 자세한 내용은 DNS 레코드 추가를 참조하여 도메인을 연결합니다.

DNS 구성에 익숙하지 않은 경우 도메인 등록 기관에 문의하고 도움을 요청하세요.

CNAME 레코드를 추가한 후 사용자 지정 Microsoft 365 도메인의 전자 메일 주소를 사용하여 Windows 디바이스에 로그인하는 사용자는 기본 이동성 및 보안 등록하도록 리디렉션됩니다.

3단계: Apple 디바이스용 Apple 푸시 알림 서비스 인증서 만들기

기본 이동성 및 보안 사용하여 iOS/iPadOS 디바이스를 관리할 계획이 없는 경우 이 단계를 건너뛸 수 있습니다.

기본 이동성 및 보안 iOS/iPadOS 디바이스를 관리하려면 APN(Apple Push Notification Service) 인증서가 필요합니다. 다음 단계를 사용하여 APNs 인증서를 만듭니다.

  1. 다음 단계 중 하나를 수행합니다.

  2. MDM 푸시 인증서 구성 페이지 또는 플라이아웃에서 표시된 단계를 수행하여 APNs 인증서를 구성합니다. 자세한 지침은 1단계: Apple에 사용자 및 디바이스 정보를 보낼 수 있는 Microsoft 권한 부여에서 시작합니다.

Apple MDM 푸시 인증서는 365일 동안 유효합니다(만료된 후 갱신할 유예 기간은 30일임). Apple 디바이스 관리를 유지하려면 매년 인증서를 갱신해야 합니다. 지침은 Apple MDM 푸시 인증서 갱신을 참조하세요.

4단계: 기본 이동성 및 보안 organization 설정 구성

의 기본 이동성 및 보안 페이지에 https://compliance.microsoft.com/basicmobilityandsecurity 있는 조직 설정 탭에는 고려해야 할 다음 설정이 포함되어 있습니다.

  • 지원되지 않는 MDM 디바이스에 대한 액세스 제한: 사용자가 기본 이동성 및 보안 지원하지 않는 디바이스에서 Microsoft 365 전자 메일에 액세스하지 못하도록 합니다. 지원되는 디바이스에 대한 자세한 내용은 기본 이동성 및 보안 지원되는 디바이스 플랫폼을 참조하세요.

    이 섹션을 확장하면 다음 값을 사용할 수 있습니다.

    • 액세스 허용(디바이스 등록 필요). 이 값은 기본값입니다.

    • 액세스 차단: 이 값을 사용하여 organization 보호하는 것이 좋습니다. 지원되지 않는 디바이스는 디바이스에서 Microsoft 365 전자 메일에 액세스할 수 없습니다. 이 값을 선택하면 탭이 자동으로 새로 고쳐지고 페이지의 두 섹션이 모두 축소됩니다. 선택한 값을 보려면 이 섹션을 확장합니다.

    확장된 두 섹션과 선택한 액세스 차단을 보여 주는 기본 이동성 및 보안 페이지의 조직 설정 탭 스크린샷

  • 액세스 제어에서 제외된 보안 그룹: 이 설정을 사용하여 지정된 보안 그룹의 멤버를 기본 이동성 및 보안 제외합니다. 예시:

    • 알려진 비규격 디바이스에 대한 특정 임시 예외입니다.
    • 더 이상 organization 기본 이동성 및 보안 사용하지 않습니다(organization 모든 사용자를 포함하는 하나 이상의 그룹 지정).

    지원되는 보안 그룹 유형은 다음과 같습니다.

    • 사용자 그룹: Microsoft 365 관리 센터 사용자 보안 그룹을 만들려면 보안 그룹 만들기, 편집 또는 삭제를 참조하세요.

      Business Basic 및 Business Standard 기본 제공 모든 사용자 동적 사용자 그룹을 사용할 수 있지만 할당된 사용자 그룹(동적 사용자 그룹이 아님)을 만드는 것을 지원하는 Microsoft Entra 무료가 포함되어 있습니다. Microsoft Entra 관리 센터 할당된 사용자 그룹을 만들려면 기본 그룹 만들기 및 멤버 추가를 참조하세요. 다음 설정을 사용합니다.

      • 그룹 유형: 보안 (기본값).
      • Microsoft Entra 역할을 그룹에 할당할 수 있습니다. 아니요(기본값).
      • 멤버: (10단계): 선택된 구성원 없음을 선택합니다. 열리는 구성원 추가 페이지에서 사용자 탭을 선택하여 그룹에 추가할 사용자를 선택합니다.

    • 할당된 디바이스 그룹: 마찬가지로 Microsoft Entra 무료는 할당된 디바이스 그룹 만들기를 지원합니다(동적 디바이스 그룹이 아님). Microsoft Entra 관리 센터 할당된 디바이스 그룹을 만들려면 기본 그룹 만들기 및 멤버 추가를 참조하세요. 다음 설정을 사용합니다.

      • 그룹 유형: 보안 (기본값).
      • Microsoft Entra 역할을 그룹에 할당할 수 있습니다. 아니요(기본값).
      • 멤버: (10단계): 선택된 구성원 없음을 선택합니다. 열리는 구성원 추가 페이지에서 디바이스 탭을 선택하여 그룹에 추가할 디바이스를 선택합니다.

      이 섹션을 확장한 후 상자에 그룹 이름을 입력한 다음, 그룹 이름이 표시되면 선택합니다. 탭이 자동으로 새로 고쳐지고 섹션이 축소됩니다. 섹션을 확장하여 상자 아래에서 선택한 그룹을 확인합니다.

      선택한 그룹을 제거하려면 항목에서 를 선택합니다 . 탭이 자동으로 새로 고쳐지고 섹션이 축소됩니다. 섹션을 확장하여 제거한 그룹이 더 이상 상자 아래에 없는지 확인합니다.

      필요한 만큼 이 단계를 반복합니다.

PowerShell을 사용하여 기본 이동성 및 보안 organization 설정 구성

보안 & 준수 PowerShell을 사용하여 organization 기본 이동성 및 보안 organization 설정을 구성하려는 경우 다음 단계를 수행합니다.

  1. 다음 명령을 실행하여 설정의 현재 상태 확인합니다.

    Get-DeviceTenantRule | Format-List BlockUnsupportedDevices,ExclusionList

    ExclusionList의 현재 값이 잘리는 경우 다음 명령을 실행하여 모두 확인합니다.

    Get-DeviceTenantRule | Select-Object -ExpandProperty ExclusionList

  2. organization 설정을 구성하려면 다음 구문을 사용합니다.

    Set-DeviceTenantPolicy [-BlockUnsupportedDevices <$true | $false>] [-ExclusionList "SecurityGroupGUID1","SecurityGroupGUID2",..."SecurityGroupGUIDN"]

    • BlockUnsupportedDevices: 지원되지 않는 MDM 디바이스 설정에 대한 액세스 제한에 해당합니다.

      • $true = 액세스 차단
      • $false = 액세스 허용(디바이스 등록 필요) (기본값)

    • ExclusionList: 액세스 제어 설정에서 제외된 보안 그룹에 해당합니다. 쉼표로 구분된 하나 이상의 보안 그룹을 지정합니다. GUID 값으로 그룹을 식별합니다.

      • 00000000-0000-0000-0000-000000000000 은 보안 그룹이 제외되지 않음을 의미합니다(기본값).
      • 사용 가능한 보안 그룹의 GUID 값을 찾으려면 다음 절차를 따르세요.

        1. 필요한 경우 다음 명령을 실행하여 PowerShell에 Microsoft Graph PowerShell 모듈을 설치합니다.

          Install-Module -Name Microsoft.Graph -Scope CurrentUser

          NuGet 공급자를 설치하거나 PSGallery에서 설치하는 방법에 대한 지시문에 예 라고 대답합니다.

        2. 다음 명령을 실행하여 Microsoft.Graph.Groups PowerShell에 연결합니다.

          Connect-MgGraph -Scopes "Group.ReadWrite.All"

          자세한 구문 및 매개 변수 정보는 Connect-MgGraph를 참조하세요.

        3. 다음 명령을 실행합니다.

          Get-MgGroup

          DisplayName 값을 사용하여 사용할 ID 값을 찾아 복사합니다.

          PowerShell 창에서 글꼴 크기를 줄이고 명령을 다시 실행하여 모든 값을 명확하게 확인해야 할 수 있습니다. 예를 들어 창을 클릭하고 마우스의 스크롤 휠을 사용하여 아래로 스크롤한 다음 명령을 다시 실행합니다.

          Microsoft 365 그룹 사용할 수 없습니다(GroupTypes 속성 값은 Unified).

          ExclusionList 매개 변수에 대해 지정한 값은 기존 값을 덮어씁 수 있습니다. 보안 그룹의 전체 목록을 보는 방법을 보려면 1단계를 다시 참조하세요.

          자세한 구문 및 매개 변수 정보는 Get-MgGroup을 참조하세요.

    이 예제에서는 다음 organization 설정을 구성합니다.

    • 지원되지 않는 디바이스에 대한 액세스를 차단합니다.
    • 지정된 보안 그룹을 기본 이동성 및 보안 제외합니다.
    Set-DeviceTenantPolicy -BlockUnsupportedDevices $true -ExclusionList "6010e907-3193-4a6f-b94c-a4c24b1398cc","0be37e4a-8f43-4b9f-ab7f-74659816067a"

    자세한 구문 및 매개 변수 정보는 Set-DeviceTenantPolicy를 참조하세요.

5단계: 디바이스 보안 정책 만들기

자세한 내용은 기본 이동성 및 보안 정책 구성을 참조하세요.

다음 단계

기본 이동성 및 보안 하나 이상의 정책을 만든 후 정책에서 식별된 사용자는 다음에 Microsoft 365 ID를 사용하여 디바이스에 로그인하거나 지원되는 애플리케이션을 사용하여 회사 데이터에 액세스하려고 할 때 등록 메시지를 받습니다.

사용자는 Microsoft 365 전자 메일 및 문서에 액세스하려면 먼저 등록 및 활성화 단계를 완료해야 합니다. 자세한 내용은 기본 이동성 및 보안 사용하여 모바일 디바이스 등록을 참조하세요.

디바이스 등록 프로세스에서 사용자의 기본 설정 언어를 사용할 수 없는 경우 사용자는 다른 언어로 알림 및 단계를 받을 수 있습니다. 현재 Microsoft 365에서 지원되는 모든 언어를 모바일 디바이스의 등록 프로세스에 사용할 수 있는 것은 아닙니다.