Microsoft가 2026년 6월 15일 주 What’s New 업데이트를 게시했으며, 대부분 눈에 띄지 않은 세 가지 중요 발표가 있었습니다. Connected Cache를 통한 Win32 앱 전송의 HTTPS 강제, Apple ADE의 등록 시 그룹화 GA, 그리고 Android 개인 소유 워크 프로필의 AMAPI 마이그레이션이 라이브 된 것입니다.
어느 것도 화려하지 않지만, 각각 IT 팀에 실질적인 운영 영향을 미칩니다. 알아야 할 것은 다음과 같습니다.
관리형 Win32 앱, 이제 HTTPS 전송 필요 — Connected Cache 마감이 도래
변경된 것
2026년 6월 16일부터 Intune이 모든 관리형 Win32 앱 콘텐츠에 대해 HTTPS 전송을 강제합니다. Enterprise와 Education을 위해 Microsoft Connected Cache(MCC)를 운영 중이고 캐시 노드에 HTTPS를 구성하지 않았다면, 클라이언트는 Intune Win32 앱에 대해 CDN 전송으로 폴백됩니다.
콘텐츠 전송은 여전히 작동합니다 — 하지만 캐싱 없이는 MCC를 배포한 가치가 있었던 대역폭 절약, 프로비저닝 속도 향상, 지역화된 전송을 잃게 됩니다. Windows Autopilot을 대규모로 운영하는 조직에게 이는 더 느린 프로비저닝 시간과 증가된 인터넷 이그레스 비용을 의미합니다.
범위
이 변경에서 Intune Win32 앱만 HTTPS로 강제됩니다. 다른 콘텐츠 유형 — Windows 기능 및 품질 업데이트, Microsoft 365 Apps, Office Click-to-Run, Defender 정의 업데이트 — 은 MCC를 통해 HTTP로 계속 제공됩니다.
단, Microsoft Teams 콘텐츠는 이미 HTTPS가 필요하며 HTTP 전용 MCC 노드에는 캐시되지 않으므로 실제로 두 개의 영향받는 콘텐츠 패밀리가 있습니다.
요구 사항
각 MCC 노드는 유효한 TLS 인증서로 구성되어야 합니다. 주요 요구사항:
- 소프트웨어 버전: 캐시 노드 소프트웨어가 2.0.0.2112 이상
- 포트 443: 호스트에서 비어 있고 사용 가능해야 함
- 인증서 형식: 암호화되지 않은 .crt 파일만 지원됩니다. 암호로 보호된 .pfx나 .p12 형식은 아직 가져올 수 없습니다
- Subject/SAN: 클라이언트 기기가 노드에 도달하는 방식(FQDN 또는 IP)과 정확히 일치해야 함
- TLS 검사: TLS 검사를 수행하는 네트워크는 MCC 트래픽을 면제해야 하며, 그렇지 않으면 클라이언트가 인증서를 거부합니다
설정 프로세스
- 제공된 스크립트를 사용하여 MCC 호스트에서 CSR 생성
- 내부 CA나 신뢰할 수 있는 인증 기관으로 서명
importCert스크립트를 사용하여 .crt 가져오기- 먼저 MCC 서버 자체에서, 그다음 클라이언트 기기에서 검증
SCCM 통합 MCC(Configuration Manager 배포 지점과 Connected Cache)의 경우, 2026년 2월 업데이트가 HTTPS 지원을 추가했습니다. 이 프로세스는 IIS에서 TLS를 활성화하고, 업데이트된 DoincInstall.exe를 다운로드하고, MCC 체크박스를 끄고 다시 켜는 작업이 필요합니다.
IT 팀이 지금 해야 할 일
- 인벤토리: 모든 MCC 노드 소프트웨어 버전 확인(≥ 2.0.0.2112이어야 함)
- 우선순위 지정: MCC에 HTTPS를 구성하지 않았다면 이것을 앞당기세요. 없는 매일마다 Win32 앱과 Teams 콘텐츠에 대한 캐싱 손실을 의미합니다
- 테스트: 프로덕션 노드에 롤아웃하기 전 비프로덕션 환경에서 검증하세요
- 문서화: MCC 운영 절차와 헬프데스크 문서를 업데이트하세요
- 모니터링: 구성 후 Win32 앱 콘텐츠에 대한 캐시 적중률이 복원되었는지 확인하세요
이미 MCC에 HTTPS를 구성했거나(또는 MCC를 전혀 사용하지 않는다면) 조치가 필요 없습니다.
Apple ADE의 등록 시 그룹화 — 이제 일반 공급
변경된 것
등록 시 그룹화가 iOS/iPadOS와 macOS의 Apple 자동 기기 등록(ADE)에 대해 일반 공급되었습니다. 이전에는 Windows Autopilot과 Android Enterprise에서만 사용 가능했던 이 기능은 관리자가 등록 정책에서 직접 기기의 Microsoft Entra ID 보안 그룹을 태그할 수 있게 합니다.
기기가 등록되면, 등록 프로세스 자체 동안 지정된 보안 그룹의 구성원이 됩니다 — 백그라운드 동기화가 완료되는 몇 분이나 몇 시간 후가 아닙니다. 즉, 해당 그룹을 대상으로 하는 앱, 구성 정책, 컴플라이언스 설정이 사용자가 홈 화면에 도달한 후가 아니라 Setup Assistant 동안 배포를 시작할 수 있습니다.
왜 중요한가
제로터치 배포 워크플로우에서 “기기 등록됨"과 “기기 완전 구성됨” 사이의 간극이 가장 큰 마찰점 중 하나였습니다. 등록 시 그룹화 없이는 동적이나 정적 그룹에 할당된 정책이 기기가 구성원 자격을 Entra ID에 동기화한 후에만 적용되었습니다. 이는 사용자를 좌절시키고 생산성을 지연시킬 수 있는 지연 창을 도입합니다.
이 GA로 이제 Apple 기기 배포는 Windows Autopilot과 Android Enterprise 배포가 누려온 것과 동일한 빠른 프로비저닝의 혜택을 받습니다.
설정 요구사항
- 정적 Microsoft Entra 보안 그룹 생성
- Intune Provisioning Client 서비스 주체를 소유자로 추가(AppId:
f1346770-5b25-470b-88bd-d5744ab7952c) - 새 Apple ADE 등록 정책에서 그룹 구성(기존 프로필은 영향 없음)
- 등록 프로필당 하나의 정적 그룹만
IT 팀이 해야 할 일
- 지금 보안 그룹을 생성하세요: 등록 프로필에 할당할 정적 그룹을 미리 만드세요
- 서비스 주체를 확인하세요: Entra ID 테넌트에 Intune Provisioning Client가 존재하는지 확인하세요
- 소규모 세트로 테스트하세요: 등록 시 그룹화가 포함된 새 ADE 등록 정책을 만들고 테스트 기기에서 검증하세요
- 2606 릴리스를 대비하세요: Apple ADE 등록 정책이 예정된 2606 서비스 릴리스로 새 인프라로 이동합니다. 등록 시 그룹화는 이 더 넓은 현대화의 일부입니다 — 지금 익숙해지면 도움이 됩니다
Android 개인 소유 워크 프로필, AMAPI로 이동 — 웹 등록 라이브
변경된 것
세 가지 중 가장 큰 운영 변화입니다. Microsoft가 개인 소유 워크 프로필(BYOD Android) 관리를 기존 커스텀 DPC / Google Play EMM API 구현에서 Google의 **Android Management API(AMAPI)**로 전환하고 있습니다.
두 가지가 롤아웃 중입니다.
1. 웹 기반 등록 — 사용자가 더 이상 개인 Android 기기를 등록하기 위해 Company Portal 앱을 설치할 필요가 없습니다. 브라우저(Chrome 또는 Edge)에서 등록을 시작합니다.
- 직접 URL:
aka.ms/enrollmyandroid - Conditional Access가 등록을 요구할 때 생산성 앱(Teams, Outlook)에서 리다이렉트
- Company Portal 앱을 통해서(여전히 진입점으로 작동)
등록되면 Intune 앱과 Android Device Policy 앱(숨김)이 자동으로 설치됩니다.
2. AMAPI 기반 정책 전송 — 개인 소유 워크 프로필 기기에 대한 정책 관리가 이제 기업 소유 기기(COPE, COBO, COSU)가 이미 사용하는 것과 동일한 최신 API를 사용합니다. 즉, 새 기능의 더 빠른 출시, Android Enterprise 관리 옵션 전반의 일관된 동작, 기존 커스텀 DPC에서는 사용할 수 없었던 기능 지원입니다.
활성화 방법
새 등록의 경우 — 현재 테넌트 수준에서 옵트인(현재는):
- Devices > Android 탭 > Device onboarding > Enrollment > Personally owned devices with a work profile로 이동
- Use web enrollment for all users enrolling into Android personally-owned work profile management 체크
- ⚠️ 이 변경은 되돌릴 수 없습니다
기존에 등록된 기기의 경우 — “Move to Android Management API” 기기 구성 프로필 생성:
- Devices > Manage devices > Configuration > Create > New policy
- 플랫폼: Android Enterprise
- 프로필 유형: Templates > Move to Android Management API
- 단계적으로 마이그레이션하기 위해 기기 그룹에 할당
타임라인:
- 현재(2026년 2/4분기 후반): 웹 등록과 마이그레이션 정책에 대한 옵트인 사용 가능
- 2026년 후반: 나머지 모든 기기에 자동 마이그레이션
중요 주의사항
테넌트가 패스키를 유일하게 허용된 인증 방법으로 사용 중이라면, 아직 웹 등록을 활성화하지 마세요. 웹 등록에 대한 패스키 지원은 향후 업데이트에서 추가됩니다.
IT 팀이 해야 할 일
- 먼저 테스트: 프로덕션 전에 테스트 테넌트에서 웹 등록을 활성화하세요
- 마이그레이션을 단계화: AMAPI 구성 정책을 사용해 기존 등록 기기를 대상 웨이브로 마이그레이션하세요
- 문서 업데이트: 사용자 등록 경험이 변경됩니다 — 등록 가이드와 헬프데스크 스크립트를 업데이트하세요
- 사용자와 소통: BYOD Android 사용자에게 등록 과정이 더 단순해진다고(앱 다운로드 불필요) 알리세요
- Conditional Access 검토: 등록을 요구하는 CA 정책이 웹 기반 흐름과 호환되는지 확인하세요
이는 Intune이 BYOD Android를 관리하는 방식의 근본적 변화입니다. Google의 기존 커스텀 DPC API 단종에 맞추어 다음 세대 Android 플랫폼 기능을 위한 HCL 관리를 위치시킵니다.
요약
| 변경 | 영향 수준 | 필요한 조치 |
|---|---|---|
| Win32 앱 콘텐츠가 MCC에서 HTTPS 요구 | 높음(MCC 사용 시) | MCC 노드에 HTTPS 구성 |
| Apple ADE 등록 시 그룹화 GA | 중간(Apple 환경) | Entra 그룹 사전 생성, ADE 정책 업데이트 |
| Android BYOD가 AMAPI로 이동 | 높음(Android 환경) | 웹 등록 활성화, 단계적 마이그레이션 계획 |
어느 것도 breaking 변경은 아닙니다 — 하지만 MCC HTTPS 마감을 무시하거나, 등록 시 그룹화 도입을 건너뛰거나, AMAPI 마이그레이션을 지연시키면 몇 시간의 계획으로 피할 수 있었던 운영 마찰을 만들게 됩니다.
언제나 그렇듯, 먼저 비프로덕션에서 테스트하고, 문서를 업데이트하고, 헬프데스크에 브리핑하세요. 이 전환 중 어느 것이든 계획하는 데 도움이 필요하면 연락하세요 — 우리는 여러 조직에 걸쳐 이 마이그레이션을 여러 번 겪었고 함정이 어디에 숨는지 알고 있습니다.
— Kevin