Hybrid mobile device management (MDM) with System Center Configuration Manager and Microsoft Intune

 

적용 대상: System Center Configuration Manager (current branch)

이 연습에서는 인터넷을 통해 Microsoft Intune 온라인 서비스를 사용하여 iOS, Android(Samsung KNOX 포함), Windows Phone 및 Windows 장치를 관리할 수 있도록 System Center Configuration Manager를 구성하는 방법을 보여 줍니다. Intune 서비스를 사용할 수 있지만, 관리 작업은 Configuration Manager 콘솔에서 서비스 연결 지점 사이트 시스템 역할을 사용하여 수행됩니다.

사용자가 관리되는 안전한 방식으로 장치에서 회사 리소스에 액세스하도록 Configuration Manager 를 구성할 수 있습니다. 장치 관리를 사용하면 사용자가 개인 또는 회사 소유의 모바일 장치를 등록하여 회사 데이터에 액세스할 수 있도록 허용하면서 동시에 회사 데이터를 보호할 수 있습니다. Configuration Manager 를 Intune에서 사용하는 경우 장치에서 다음과 같은 관리 기능이 제공됩니다.

  • 장치 사용 중지 및 초기화

  • 암호, 보안, 로밍, 암호화 및 무선 통신과 같은 준수 설정 구성

  • 장치에 LOB(기간 업무) 앱 배포

  • Windows 스토어, Windows Phone 스토어, 앱 스토어 또는 Google Play에 연결하는 장치에 앱 배포

  • 하드웨어 인벤토리 수집

  • 기본 제공 보고서를 사용하여 소프트웨어 인벤토리 수집

하이브리드 MDM에 사용할 수 있는 새로운 기능에 대한 내용은 System Center Configuration Manager를 사용하는 하이브리드 모바일 장치 관리 및 Microsoft Intune의 새로운 기능을 참조하세요.

이 문서에서는 Configuration Manager를 사용하여 컴퓨터를 관리하고 있으며 Configuration Manager에서 Intune 콘솔을 확장하여 모바일 장치를 관리하는 데 관심이 있다고 가정합니다. Intune과 하이브리드 모바일 장치 관리 간의 차이점을 이해하려면 Microsoft Intune 독립 실행형 관리와 System Center Configuration Manager를 사용하는 하이브리드 모바일 장치 관리 중에서 선택을 참조하세요.

Intune로 Configuration Manager를 확장하면 사용자에게 개인 장치를 등록하거나 회사 소유 장치를 등록하고 관리할 권한을 제공할 수 있습니다. Configuration Manager를 사용하는 Intune에서 회사 소유 장치를 관리할 수도 있습니다. Configuration Manager를 사용하는 하이브리드 배포를 위해 회사 소유 장치 등록을 참조하세요.

다음 섹션의 정보는 모바일 장치를 관리하는 데 도움이 됩니다.

모바일 장치 관리를 위한 전제 조건을 확인하려면 다음 정보를 참조하세요.

Configuration Manager 외부 종속성

필요한 경우 다음 단계를 수행하여 Configuration Manager 외부 종속성을 충족합니다.

  1. 공개적으로 등록된 도메인 이름이 있으며, 각 사용자에게 Intune에서 확인할 수 있는 공용 도메인 UPN이 있는지 확인합니다. GoDaddy 또는 Symantec은 도메인 이름을 제공하는 회사의 대표적인 예입니다.

    Active Directory 사용자 계정을 동기화하기 전에 사용자 계정에 공용 도메인 UPN이 있는지 확인해야 합니다. 자세한 내용은 Active Directory 문서 라이브러리의 UPN 접미사 추가 를 참조하세요.

    Configuration Manager 사용자 지정 보고서를 만들어 다음 SQL 쿼리를 사용하면 검색된 사용자의 UPN이 Intune 계정 포털과 일치하는지 확인할 수 있습니다.

    SELECT UserPrincipalName,   
    COUNT(*) AS NumOfOccurances FROM (SELECT RIGHT(User_Principal_Name0,   
    LEN(User_Principal_Name0)-PATINDEX('%@%',   
    User_Principal_Name0)) AS UserPrincipalName FROM CM_EC1.dbo.v_R_User)   
    AS sub GROUP BY UserPrincipalName  
    
    
  2. 선택 사항이지만 적극 권장되는 단계: ADFS(Active Directory Federated Services)를 배포하고 구성합니다.

    Single Sign-On을 설정하면 사용자가 회사 자격 증명에 로그인하여 Intune의 서비스에 액세스할 수 있습니다.

    자세한 내용은 다음 항목을 참조하세요.

  3. 디렉터리 동기화 배포 및 구성

    디렉터리 동기화를 사용하면 동기화된 사용자 계정으로 Intune 를 채울 수 있습니다. 동기화된 사용자 계정 및 보안 그룹은 Intune에 추가됩니다. 디렉터리 동기화를 사용하도록 설정하지 않으면 Configuration Manager MDM with Microsoft Intune을 설정할 때 보통 장치에서 등록할 수 없습니다.

    자세한 내용은 Active Directory 문서 라이브러리의 디렉터리 통합 을 참조하세요.

  4. 선택 사항이며 권장되지 않는 단계: ADFS(Active Directory Federation Services)를 사용하지 않을 경우 사용자의 Microsoft Online 암호를 재설정합니다.

    AD FS를 사용하지 않을 경우 각 사용자의 Microsoft Online 암호를 설정해야 합니다.

Intue 구독을 통해 Intue 서비스에 대한 구성 설정을 지정할 수 있습니다. 여기에는 장치를 등록할 수 있는 사용자 지정 및 관리할 모바일 장치 플랫폼 정의가 포함됩니다. 구독을 만든 후에는 Intue 서비스에 연결하는 데 사용할 수 있는 서비스 연결 지점 사이트 시스템 역할을 설치할 수 있습니다. 이 사이트 시스템 역할은 Intue 서비스에 설정 및 응용 프로그램을 푸시합니다. Intune 구독은 다음을 수행합니다.

  • 서비스 연결 지점이 Intue 서비스에 연결하는 데 필요한 인증서 검색

  • 사용자가 모바일 장치를 등록할 수 있는 사용자 컬렉션 정의

  • 지원할 모바일 플랫폼 정의 및 구성

System_CAPS_ICON_important.jpg 중요


Configuration Manager 에서 Microsoft Intune에 대한 구독을 만들면 사이트의 서비스 연결 지점이 "온라인 모드"가 됩니다. System Center Configuration Manager의 서비스 연결 지점 정보를 참조하세요.

Microsoft Intune 구독을 만들려면

  1. 아직 그렇게 하지 않은 경우 Microsoft Intune에서 Microsoft Intune 계정을 등록합니다.

    지침에 대해서는 Microsoft Intune 시작을 참조하세요.

  2. Configuration Manager 콘솔에서 관리를 클릭합니다.

  3. 관리 작업 영역에서 클라우드 서비스를 확장하고 Microsoft Intune 구독을 클릭합니다. 탭에서 Microsoft Intune 구독 추가를 클릭합니다.

  4. Microsoft Intune 구독 만들기 마법사의 소개 페이지에서 텍스트를 검토하고 다음을 클릭합니다.

  5. 구독 페이지에서 로그인 을 클릭하고 회사 또는 학교 계정을 사용하여 로그인합니다. 모바일 장치 관리 기관 설정 대화 상자에서 Configuration Manager 콘솔을 통해 Configuration Manager 을 사용하는 방법으로만 모바일 장치를 관리하려면 확인란을 선택합니다. 구독을 계속하려면 이 옵션을 선택해야 합니다.

    System_CAPS_ICON_important.jpg 중요


    Configuration Manager를 관리 기관으로 선택한 후에는 향후에 관리 기관을 Microsoft Intune으로 변경할 수 없습니다.

  6. 개인 정보 취급 방침 링크를 클릭하여 검토하고 다음을 클릭합니다.

  7. 일반 페이지에서 다음 옵션을 지정한 후 다음을 클릭합니다.

    • 컬렉션: 모바일 장치를 등록할 사용자가 포함된 사용자 컬렉션을 지정합니다.

      System_CAPS_ICON_note.jpg 참고


      사용자가 컬렉션에서 제거될 경우 사용자 데이터베이스에서 사용자 레코드가 제거되면 최대 24시간 동안 사용자 장치가 계속 관리됩니다.

    • 회사 이름: 회사 이름을 지정합니다.

    • 회사 개인 정보 취급 방침 문서의 URL: 인터넷에서 액세스할 수 있는 링크에 회사 개인 정보 취급 방침을 게시하는 경우 사용자가 회사 포털에서 이 방침에 액세스할 수 있는 링크를 제공합니다(예: http://www.contoso.com/CP_privacy.html). 개인 정보 취급 방침 정보에는 사용자가 회사와 공유할 수 있는 정보가 명시될 수 있습니다.

    • 회사 포털의 색 구성표: 선택적으로 회사 포털의 기본 색상인 파란색을 변경합니다.

    • Configuration Manager 사이트 코드: 모바일 장치를 관리할 기본 사이트의 사이트 코드를 지정합니다.

      System_CAPS_ICON_note.jpg 참고


      사이트 코드를 변경하면 새 등록만 영향을 받으며 기존에 등록된 장치는 영향을 받지 않습니다.

    • 장치 등록 제한을 지정합니다. 사용이 허가된 각 사용자는 최대 5개의 장치를 등록할 수 있습니다. 사용자가 지정한 수보다 더 많은 장치를 등록하려고 하면 오류 메시지가 표시됩니다.

  8. 회사 연락처 정보 페이지에서 회사 포털에 표시되는 회사 연락처 정보를 지정하고 다음을 클릭합니다.

  9. 회사 로고 페이지에서 회사 포털에 로고를 표시할지 여부를 선택하고 다음을 클릭합니다.

  10. 마법사를 완료합니다.

모바일 장치에 대한 Intune 관리를 구성한 경우 사용 약관을 만들 수 있습니다. 장치를 등록할 때 발생하는 상황을 사용 약관을 통해 설명합니다. 사용자는 장치를 등록하려면 먼저 사용 약관에 동의해야 합니다. System Center Configuration Manager의 사용 약관을 참조하세요.

서비스 연결 지점은 설정과 소프트웨어 배포 정보를 Configuration Manager 에 전송하고 모바일 장치에서 상태 및 인벤토리 메시지를 검색합니다. Configuration Manager 서비스는 게이트웨이 역할을 하며 모바일 장치와 통신하고 설정을 저장합니다.

System_CAPS_ICON_note.jpg 참고


서비스 연결 지점 사이트 시스템 역할은 중앙 관리 사이트 또는 독립 실행형 기본 사이트에만 설치할 수 있습니다. 서비스 연결 지점에는 인터넷 액세스가 있어야 합니다.

서비스 연결 지점 역할을 구성하려면

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 사이트 구성을 확장하고 서버 및 사이트 시스템 역할을 클릭합니다.

  3. 다음 중 해당 단계를 사용하여 새 또는 기존 사이트 시스템 서버에 서비스 연결 지점 역할을 추가합니다.

    • 새 사이트 시스템 서버: 탭의 만들기 그룹에서 사이트 시스템 서버 만들기 를 클릭하여 사이트 시스템 서버 만들기 마법사를 시작합니다.

    • 기존 사이트 시스템 서버: 서비스 연결 지점 역할을 설치할 서버를 클릭합니다. 그런 다음 탭의 서버 그룹에서 사이트 시스템 역할 추가 를 클릭하여 사이트 시스템 역할 추가 마법사를 시작합니다.

  4. 시스템 역할 선택 페이지에서 서비스 연결 지점을 선택하고 다음을 클릭합니다.

  5. 마법사를 완료합니다.

서비스 연결 지점이 Microsoft Intune 서비스를 인증하는 방법

서비스 연결 지점은 인터넷을 통해 모바일 장치를 관리하는 클라우드 기반 Configuration Manager 서비스에 대한 연결을 설정하여 Intune 를 확장합니다. 서비스 연결 지점은 Intune 서비스를 다음과 같이 인증합니다.

  1. Intune 콘솔에서 Configuration Manager 구독을 만들 때 Configuration Manager 관리자가 Azure Active Directory에 연결하여 인증을 받습니다. 그러면 개별 ADFS 서버로 리디렉션되어 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 해당 정보를 입력하면 Intune 에서 테넌트에 인증서를 발급합니다.

  2. 1단계에서 발급된 인증서가 서비스 연결 지점 사이트 역할에 설치되며 Microsoft Intune 서비스와의 이후 모든 통신을 인증하고 권한을 부여하는 데 사용됩니다.

장치를 등록하려면 먼저 관리 솔루션과 관리되는 모바일 장치 간에 트러스트 관계를 설정해야 합니다. 이 관계는 플랫폼마다 고유하므로 iOS 장치를 관리하려는 경우 APNs(Apple Push Notification Service) 인증서로 Apple 서버를 통해 등록을 사용하도록 설정해야 합니다. 다음 항목에서는 각 장치 모음에 대해 MDM을 사용하도록 설정하는 방법을 설명합니다.

모바일 장치 관리 구성 확인

다음 로그 파일을 확인하여 특정 장치 관리 구성 요소를 확인할 수 있습니다.

  • Cloudusersync.log에서 사용자 계정이 제대로 동기화되었는지 확인합니다.

  • Sitecomp.log에서 서비스 연결 지점이 제대로 만들어졌는지 확인합니다.

Microsoft Intune(평가판 구독 또는 유료 구독)을 Configuration Manager에 추가하고 다른 Intune 구독으로 전환해야 하는 경우 새 구독을 추가하려면 먼저 Configuration Manager 콘솔에서 Microsoft Intune 구독서비스 연결 지점을 모두 삭제해야 합니다.

Configuration Manager에서 Intune 구독을 삭제하는 방법

  1. Configuration Manager 콘솔에서 관리를 클릭합니다.

  2. 관리 작업 영역에서 개요를 확장하고 클라우드 서비스로 이동하고 Microsoft Intune 구독을 클릭합니다.

  3. Microsoft Intune 구독을 마우스 오른쪽 단추로 클릭하고 삭제를 클릭합니다. Microsoft Intune 구독

    System_CAPS_ICON_important.jpg 중요


    Intune 평가판 구독을 위해 구성된 사용자 등록, 정책 및 앱 배포를 포함하는 모든 콘텐츠는 손실됩니다.

  4. 관리 작업 영역에서 개요를 확장하고 사이트 구성으로 이동하고 서버 및 사이트 시스템 역할을 클릭합니다.

  5. 서비스 연결 지점 역할을 호스트하는 서버를 선택합니다.

  6. 사이트 시스템 역할 목록에서 서비스 연결 지점을 선택한 후 리본 메뉴에서 역할 제거를 클릭합니다. 역할을 제거할 것을 확인합니다. 서비스 연결 지점이 삭제됩니다.

  7. 이제 새 서비스 연결 지점을 만들고, 새 Intune 구독을 Configuration Manager에 추가하고, Configuration Manager를 MDM 기관으로 설정할 수 있습니다.

System Center Configuration Manager로 컴퓨터 및 장치 관리

표시: