Microsoft Defender XDR/MDE

Deploy Microsoft Defender for Endpoint (MDE). (1) Entra ID / Intune MDM에 대한 이해

Pepuri 2023. 10. 12. 20:00
반응형

이전글

2023.10.12 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (1) Entra ID / Intune MDM에 대한 이해

 

이번 포스팅은 온보딩에 필요한 Entra ID / Intune MDM 개념에 대해서 작성였습니다.

 

I. Entra ID /  Intune MDM 에 대한 이해

아래의 기술자료를 보면, EDR 사용하는데 있어서는 아래의 아키텍쳐로 관리하는 것을 권장한다고 설명하고 있습니다.

Deploy an endpoint detection and response (EDR) solution with Microsoft

Cloud-native architecture

 

이전에 작성했던 Autopilot (Hybrid Azure AD Join) 까지 고려하면, 기존 On-Premise 기반의 솔루션을 Cloud 기반으로 자연스럽게 넘기는 설계가 가능해집니다.

만약 이미 Hybrid Azure AD Join Autpilot 구성까지 완료되었다면, Intune Onboarding 80% 이미 진행된다고 있습니다.

2022.07.03 - [Microsoft 365/Intune] - M365. Hybrid Azure AD Autopilot

 

Intune Onboarding 설명하기 위해서는 Entra ID, Intune 개체가 등록되고 동기화 되는 개념에 대해 이해가 필요합니다.

대다수의 기업들은 AD 사용자/디바이스 개체를 Entra Connect (Azure AD Connect) 통해서 동기화 하여 운영합니다.

Entra ID Sync

 

동기화된 계정과 장치로 O365 / M365 서비스를 사용합니다.

Entra ID Connect & M365

 

아래는 사용자 계정 디바이스 동기화된 화면 예시입니다.

Entra ID / 사용자 계정
Entra hybrid joined

 

대부분의 서비스 영역이 Entra ID 개체 정보가 동기화 동일하게 사용되는 개념이지만, Intune 조금 다릅니다.

사용자 계정은 Entra ID Intune에도 동일하게 표시됩니다.

Entra ID -> Intune

 

Intune 관리 센터의 사용자 메뉴는 사실상 Entra ID 메뉴를 그대로 가져왔습니다.

Intune 관리센터 / 사용자

 

그러나 디바이스 개체는 Entra hybrid joined 상태라 하더라도 동기화되지 않는다는 것을 있습니다.

디바이스 개체 동기화

 

Intune 관리 센터의 디바이스 페이지는 Entra ID와는 다른 것을 있습니다.

Intune 관리센터 / 디바이스

 

참고로 dsregcmd /status 에서 Azure AD Joined: Yes라고 하더라도 Intune MDM 등록을 의미하는 것은 아닙니다.

dsregcmd

Entra 관리센터에서는 MDM 없음으로 표시됩니다.

Entra ID / 디바이스

반대로 Intune MDM 등록된 장치는 Entra ID 동기화 됩니다.

Intune -> Entra 디바이스 동기화

 

Microsoft Entra joined 디바이스 = Intune MDM Device 성립합니다. 그리고 아래의 그림과 같이 동일하게 개체가 등록된 것을 확인할 있습니다.

Entra 관리 센터 / MDM
Intune 관리센터 / Entra Joined

-> 부분은 사실 설명하기 나름일 있습니다. Entra Joined 되면서 Intune MDM 등록이 된다는 표현이 정확할 것입니다. 다만, 포스팅에서는 Entra hybrid joined -> Intune MDM (X) 먼저 설명하다 보니, Intune MDM -> Entra Joined (O) 방향으로 설명하고 있습니다. 기술적으로 양쪽에 동기화하는 것은 가능할 것입니다. 그런데 이렇게 디자인이 되었을까? 라고 의문점을 가질 있습니다. 저는 부분이 라이선스 때문이라고 생각합니다. Client OS Intune MDM 등록하려면 라이선스가 있어야만 사용할 있도록 설계 되었기 때문에, Entra Connect 진행한다고 Intune MDM 등록이 되는 것은 아니다. 라고 있습니다.

 

MDE 메인 기능 하나인 Antivirus (AV) 정책은 Intune에서 설정하는 것을 권장 드립니다.

Intune / AV Policy

-> 사실 Intune 기능 Windows 관련된 부분은 사실 AD GPO 대부분 동일하게 정책 설정이 가능합니다.

Intune 사용자 그룹과 디바이스 그룹을 기준으로 정책을 할당할 있습니다. AD 기본적으로 OU 기준으로 배정하는 것을 보았을 , 상대적으로 정책할당이 쉽습니다. 또한 IT 엔지니어들이 상대적으로 AD 정책을 설계할 있는 인력이 점점 없어지는 추세를 고려하면, Cloud에서 정책의 중심을 설계 하는 것이 좋을 같다고 생각하였습니다.

 

, 구성도 상에서 Intune 등록되어야 아래와 같이 다양한 정책들을 활용할 있습니다.

Intune Diagram

 

AD 장치들도 Intune MDM 등록이 가능하며, Diagram 아래와 같이 설계할 있습니다.

Intune Onboarding

 

이번 포스팅에서는 Intune 등록이 필요한지에 대해서 다뤘습니다.

다음 포스팅에서는 Intune Onboarding 대해서 작성하겠습니다.

2023.10.13 - [Microsoft 365/MDE] - Deploy Microsoft Defender for Endpoint (MDE). (2) Intune Onboarding (Windows Client OS)

반응형