Microsoft Intune 서비스 릴리스 2606의 두 번째 업데이트 물결이 출시되고 있으며, 여기에는 초기 2606 분석에서 다루지 못했던 추가 업데이트가 포함되어 있습니다. 이번 업데이트는 AI 거버넌스, 라이선스 변화, Android 보안 강화, Linux 서버 관리에 걸쳐 있으며, Intune이 MDM/MAM 도구에서 전략적 보안 및 운영 플랫폼으로 발전하고 있음을 종합적으로 보여줍니다.

이번 주에 주목해야 할 2606의 7가지 업데이트를 소개합니다.

1. ChatGPT가 Intune 보호 앱으로 지정

ChatGPT 모바일 앱이 이제 Microsoft Intune의 보호 앱으로 공식 등록되었습니다. 이는 기기 등록 없이 Intune 앱 보호 정책(MAM)을 ChatGPT에 직접 적용할 수 있음을 의미합니다.

제어 가능한 항목:

  • ChatGPT에서 비관리 앱으로의 복사/붙여넣기 및 “다른 이름으로 저장” 제한
  • 업무 계정으로 ChatGPT 사용 시 기기 규정 준수(탈옥/루트 없음) 요구
  • 앱 PIN 또는 생체 인식 인증 강제
  • 사용자가 퇴사하거나 기기를 분실한 경우 ChatGPT에서 조직 데이터 선택적 초기화

중요성: 이것은 엔터프라이즈 AI 거버넌스에서 획기적인 전환점입니다. ChatGPT를 전면 차단하는 대신, 조직은 이제 엄격한 데이터 유실 방지 제어와 함께 ChatGPT를 허용할 수 있습니다. OS를 관리할 수 없는 BYOD 기기에서도 기업 데이터가 ChatGPT로 유입 및 유출되는 방식을 제어할 수 있습니다. 이는 논의의 방향을 “ChatGPT를 허용해야 하는가?“에서 “ChatGPT를 어떻게 거버넌스할 것인가?“로 전환시킵니다.

관리자 조치: 기존 앱 보호 정책의 대상 앱 목록에 ChatGPT를 추가하세요. 엄격한 DLP 설정을 적용하고, 조건부 실행을 요구하며, 지원 팀이 ChatGPT 제어 방식을 이해하도록 AI 거버넌스 문서를 업데이트하세요.

2. Intune Suite 기능이 Microsoft 365 E3 및 E5에 번들 포함

이것은 수년간 Intune에 있어 가장 중요한 라이선스 변화로 볼 수 있습니다. Microsoft가 여러 Intune Suite 기능을 M365 E3 및 E5 라이선스에 직접 추가하여 별도의 추가 기능 구매 필요성을 제거했습니다.

M365 E3(EMS E3 통해)에 이제 포함:

  • Remote Help
  • Advanced Analytics
  • Intune Plan 2(Microsoft Tunnel for MAM, 전용 기기 관리, FOTA 업데이트)

M365 E5는 E3의 모든 기능에 추가하여:

  • Endpoint Privilege Management(EPM)
  • Enterprise Application Management(EAM)
  • Microsoft Cloud PKI

중요성: M365 E3/E5를 보유한 많은 조직이 별도 라이선스가 필요했기 때문에 이러한 고급 기능을 도입하지 않았습니다. 이제 자격을 갖춘 테넌트에 대해 Microsoft 365 관리 센터에서 30일 알림과 함께 자동 프로비저닝되고 있습니다. 이는 전체 E3/E5 생태계의 보안 기준선을 높이고, IT 팀에게 최소 권한 권한 상승, 엔터프라이즈 앱 수명 주기 자동화, 클라우드 기반 PKI에 대한 접근 권한을 추가 구매 없이 제공합니다.

관리자 조치: 라이선스 관리자와 협력하여 새로운 자격을 확인하세요. 출시 우선순위: Remote Help → EPM → Tunnel for MAM → EAM 자동 업데이트 → Cloud PKI. 잠재적인 통합 및 비용 절감을 위해 중복되는 서드파티 도구를 재평가하세요.

3. 새로운 Android Enterprise 설정: AI 에이전트 차단 및 연결성 강화

Android Enterprise용 Intune 설정 카탈로그가 세 가지 범주에 걸쳐 15개 이상의 새로운 설정과 함께 대대적인 업데이트를 받았습니다.

애플리케이션:

  • 앱의 앱 기능 노출 차단 — 관리 앱이 다른 앱 및 기기 내 AI 에이전트가 호출할 수 있는 프로그래밍 방식의 작업을 노출할 수 있는지 제어합니다. 이는 모바일 기기에서 AI 기반 앱 오케스트레이션을 제어하려는 Microsoft의 첫 번째 실질적 조치입니다.
  • 업무 프로필 앱의 위젯 차단 — 홈 화면에서 위젯 표시 여부 제어

연결성(11개 새 설정):

  • 비행기 모드, 셀룰러 2G, VPN 구성, SMS, 발신 전화, 초광대역 차단
  • 최소 Wi-Fi 보안 수준(Open → Personal → Enterprise → Enterprise 192비트)
  • 셀 브로드캐스트, 모바일 네트워크 구성, 네트워크 재설정 차단
  • 5G 엔터프라이즈 슬라이스를 위한 우선 네트워크 서비스

일반:

  • 인쇄, 사용자 아이콘 변경, 배경화면 변경, eSIM 프로필 추가 차단

중요성: AI 에이전트 차단 설정은 특히 중요합니다 — AI 에이전트가 사용자의 명시적 의도 없이 앱 작업을 오케스트레이션하는 새로운 위협을 직접적으로 다룹니다. 연결성 측면에서 2G 차단은 잘 알려진 다운그레이드 및 가로채기 위험을 완화하고, Wi-Fi 보안 최소 기준은 기업 플릿 전체에 현대적인 암호화 표준을 강제합니다.

관리자 조치: 기업 Android 기기용 기준 정책을 생성하거나 업데이트하세요. 가능한 곳에서 2G를 비활성화하고, Wi-Fi 보안 최소 기준을 강제하며, 민감한 사용자 그룹에 대해 앱 기능 노출 차단 여부를 평가하세요.

4. Trustd Mobile, Mobile Threat Defense 파트너로 합류

Trustd Mobile이 이제 Intune의 지원되는 Mobile Threat Defense(MTD) 파트너가 되었으며, Android 9.0+ 및 iOS/iPadOS 15.0+를 지원합니다.

의미: Trustd Mobile의 위협 신호가 Intune 규정 준수 및 조건부 액세스에 직접 통합됩니다. 심각도가 높은 위협으로 플래그된 기기는 자동으로 비준수로 표시되어 기업 리소스에 대한 액세스가 차단될 수 있습니다.

Intune은 또한 관리 센터에 새로운 Mobile Threat Defense 역할 범주를 도입하여, 광범위한 Intune 권한 없이 MTD 관리를 위임할 수 있게 합니다.

관리자 조치: MTD 솔루션을 평가 중이라면 Trustd Mobile을 후보 목록에 추가하세요. 커넥터를 구성하고, 위험 수준을 규정 준수 작업에 매핑하며, 일부 사용자로 파일럿을 진행하세요.

5. Azure Virtual Desktop에서 Remote Help의 RemoteApp 지원

Remote Help가 이제 Azure Virtual Desktop에서 전체 데스크톱 세션뿐만 아니라 RemoteApp 세션도 지원합니다. 지원팀 직원이 RemoteApp 세션 내에서 개별적으로 게시된 앱을 안전하게 보고 제어할 수 있습니다.

중요성: 앱 전용 게시를 사용하는 잠긴 AVD 환경을 운영하는 조직은 이제 물리적 PC 및 전체 AVD 데스크톱과 동일한 Remote Help 도구를 지원에 사용할 수 있습니다. 이는 지원 운영을 통합하고 레거시 원격 지원 도구보다 더 나은 감사 및 RBAC를 제공합니다.

관리자 조치: 지원 직원이 최신 Remote Help 클라이언트를 사용하는지 확인하세요. RemoteApp 문제 해결 워크플로를 포함하도록 지원 런북을 업데이트하세요. M365 E3 번들로 Remote Help를 새로 이용하게 된 경우, 기존 원격 지원 도구 통합을 고려하세요.

6. Microsoft Tunnel, RHEL 9.7 지원 추가

Microsoft Tunnel Gateway가 이제 서버 배포판으로 Red Hat Enterprise Linux 9.7을 지원하며, 컨테이너 엔진으로 Podman 5.8.2가 필요합니다.

마이그레이션 고려사항:

  • Podman v3 컨테이너는 Podman 5.8.2와 호환되지 않습니다 — 컨테이너를 재생성하고 Microsoft Tunnel을 재설치해야 합니다
  • RHEL 9.x는 ip_tables 모듈을 자동으로 로드하지 않습니다 — 설치 전 수동 로드가 필요합니다
  • 새 환경에 맞게 SELinux 및 방화벽 구성을 계획하세요

관리자 조치: 이전 RHEL 버전에서 Tunnel 게이트웨이를 실행 중인 경우, 9.7로의 마이그레이션을 계획하세요. 자동화 스크립트를 레거시 컨테이너 엔진 대신 Podman을 사용하도록 업데이트하세요.

7. Linux Server용 Defender Antivirus 새 설정

Linux Server의 Microsoft Defender Antivirus용 엔드포인트 보안 안티바이러스 정책에 두 가지 새 설정이 추가되었습니다:

  • 오프라인 보안 인텔리전스 업데이트 — Defender가 Linux Server 기기에서 서명을 최신 상태로 유지하는 방법을 관리하며, 오프라인 상태에서의 업데이트를 포함합니다. 직접적인 인터넷 접근이 제한된 격리 또는 고보안 네트워크(DMZ, OT, 규제 환경)의 서버에 중요합니다.
  • 예약된 검사 — Defender가 Linux 기기에서 예약된 검사를 실행하는 시점을 관리하여, 예측 가능하고 감사 가능한 맬웨어 검사 측면에서 Linux를 Windows에 더 가깝게 만듭니다.

이러한 설정은 Intune에 등록된 Linux Server 기기와 Microsoft Defender for Endpoint 보안 설정 관리를 통해 관리되는 Linux 기기 모두에서 작동합니다.

중요성: 이것은 Linux 안티바이러스 관리를 위한 임시 스크립트나 수동 cron 작업의 필요성을 제거합니다. Microsoft의 더 넓은 Controlled Configuration 이니셔티브와 결합하여, 조직이 Windows와 Linux에 걸친 통합 엔드포인트 보호 전략을 향해 나아가도록 돕습니다.

관리자 조치: Intune에서 Linux AV 기준선을 정의하세요. 유지 보수 기간 동안 예약된 검사를 구성하고, 내부 업데이트 서버를 통한 오프라인 서명 배포를 위한 정책을 설정하세요.


더 큰 그림

서비스 릴리스 2606의 두 번째 업데이트 물결은 Intune의 세 가지 전략적 방향을 강화합니다:

  1. AI 인식 관리 — ChatGPT 보호부터 Android AI 에이전트 차단까지, Intune은 엔터프라이즈 AI 거버넌스를 위한 제어 평면이 되고 있습니다
  2. 라이선스 민주화 — Suite 기능을 E3/E5에 번들하여 많은 조직에서 고급 보안 기능을 사용하지 못하게 했던 구매 장애물을 제거합니다
  3. 플랫폼 통합 — Linux 서버 관리, Android 엔터프라이즈 강화, AVD 지원이 단일 관리 평면 아래로 통합됩니다

IT 관리자에게 메시지는 명확합니다: Intune은 더 이상 단순한 MDM 도구가 아닙니다. 전체 기기 플릿에 걸친 엔드포인트 보안, AI 거버넌스, 운영 효율성을 위한 전략적 플랫폼이 되고 있습니다.

첫 번째 2606 포스트에서 이미 다룬 내용: EAM for GCC High/DoD, EAM 자동 업데이트, macOS PKG 자동 업데이트, iOS용 WPA3-Personal, M365 Apps 보안 기준선 v2512. Windows 25H2 기준선의 IE11 COM 자동화 차단은 별도로 다루어졌습니다.