Microsoft가 2026년 6월 15일 주 What’s New 업데이트를 게시했으며, 대부분 눈에 띄지 않은 세 가지 중요 발표가 있었습니다. Connected Cache를 통한 Win32 앱 전송의 HTTPS 강제, Apple ADE의 등록 시 그룹화 GA, 그리고 Android 개인 소유 워크 프로필의 AMAPI 마이그레이션이 라이브 된 것입니다.

어느 것도 화려하지 않지만, 각각 IT 팀에 실질적인 운영 영향을 미칩니다. 알아야 할 것은 다음과 같습니다.


관리형 Win32 앱, 이제 HTTPS 전송 필요 — Connected Cache 마감이 도래

변경된 것

2026년 6월 16일부터 Intune이 모든 관리형 Win32 앱 콘텐츠에 대해 HTTPS 전송을 강제합니다. Enterprise와 Education을 위해 Microsoft Connected Cache(MCC)를 운영 중이고 캐시 노드에 HTTPS를 구성하지 않았다면, 클라이언트는 Intune Win32 앱에 대해 CDN 전송으로 폴백됩니다.

콘텐츠 전송은 여전히 작동합니다 — 하지만 캐싱 없이는 MCC를 배포한 가치가 있었던 대역폭 절약, 프로비저닝 속도 향상, 지역화된 전송을 잃게 됩니다. Windows Autopilot을 대규모로 운영하는 조직에게 이는 더 느린 프로비저닝 시간과 증가된 인터넷 이그레스 비용을 의미합니다.

범위

이 변경에서 Intune Win32 앱만 HTTPS로 강제됩니다. 다른 콘텐츠 유형 — Windows 기능 및 품질 업데이트, Microsoft 365 Apps, Office Click-to-Run, Defender 정의 업데이트 — 은 MCC를 통해 HTTP로 계속 제공됩니다.

단, Microsoft Teams 콘텐츠는 이미 HTTPS가 필요하며 HTTP 전용 MCC 노드에는 캐시되지 않으므로 실제로 두 개의 영향받는 콘텐츠 패밀리가 있습니다.

요구 사항

각 MCC 노드는 유효한 TLS 인증서로 구성되어야 합니다. 주요 요구사항:

  • 소프트웨어 버전: 캐시 노드 소프트웨어가 2.0.0.2112 이상
  • 포트 443: 호스트에서 비어 있고 사용 가능해야 함
  • 인증서 형식: 암호화되지 않은 .crt 파일만 지원됩니다. 암호로 보호된 .pfx나 .p12 형식은 아직 가져올 수 없습니다
  • Subject/SAN: 클라이언트 기기가 노드에 도달하는 방식(FQDN 또는 IP)과 정확히 일치해야 함
  • TLS 검사: TLS 검사를 수행하는 네트워크는 MCC 트래픽을 면제해야 하며, 그렇지 않으면 클라이언트가 인증서를 거부합니다

설정 프로세스

  1. 제공된 스크립트를 사용하여 MCC 호스트에서 CSR 생성
  2. 내부 CA나 신뢰할 수 있는 인증 기관으로 서명
  3. importCert 스크립트를 사용하여 .crt 가져오기
  4. 먼저 MCC 서버 자체에서, 그다음 클라이언트 기기에서 검증

SCCM 통합 MCC(Configuration Manager 배포 지점과 Connected Cache)의 경우, 2026년 2월 업데이트가 HTTPS 지원을 추가했습니다. 이 프로세스는 IIS에서 TLS를 활성화하고, 업데이트된 DoincInstall.exe를 다운로드하고, MCC 체크박스를 끄고 다시 켜는 작업이 필요합니다.

IT 팀이 지금 해야 할 일

  • 인벤토리: 모든 MCC 노드 소프트웨어 버전 확인(≥ 2.0.0.2112이어야 함)
  • 우선순위 지정: MCC에 HTTPS를 구성하지 않았다면 이것을 앞당기세요. 없는 매일마다 Win32 앱과 Teams 콘텐츠에 대한 캐싱 손실을 의미합니다
  • 테스트: 프로덕션 노드에 롤아웃하기 전 비프로덕션 환경에서 검증하세요
  • 문서화: MCC 운영 절차와 헬프데스크 문서를 업데이트하세요
  • 모니터링: 구성 후 Win32 앱 콘텐츠에 대한 캐시 적중률이 복원되었는지 확인하세요

이미 MCC에 HTTPS를 구성했거나(또는 MCC를 전혀 사용하지 않는다면) 조치가 필요 없습니다.


Apple ADE의 등록 시 그룹화 — 이제 일반 공급

변경된 것

등록 시 그룹화가 iOS/iPadOS와 macOS의 Apple 자동 기기 등록(ADE)에 대해 일반 공급되었습니다. 이전에는 Windows Autopilot과 Android Enterprise에서만 사용 가능했던 이 기능은 관리자가 등록 정책에서 직접 기기의 Microsoft Entra ID 보안 그룹을 태그할 수 있게 합니다.

기기가 등록되면, 등록 프로세스 자체 동안 지정된 보안 그룹의 구성원이 됩니다 — 백그라운드 동기화가 완료되는 몇 분이나 몇 시간 후가 아닙니다. 즉, 해당 그룹을 대상으로 하는 앱, 구성 정책, 컴플라이언스 설정이 사용자가 홈 화면에 도달한 후가 아니라 Setup Assistant 동안 배포를 시작할 수 있습니다.

왜 중요한가

제로터치 배포 워크플로우에서 “기기 등록됨"과 “기기 완전 구성됨” 사이의 간극이 가장 큰 마찰점 중 하나였습니다. 등록 시 그룹화 없이는 동적이나 정적 그룹에 할당된 정책이 기기가 구성원 자격을 Entra ID에 동기화한 후에만 적용되었습니다. 이는 사용자를 좌절시키고 생산성을 지연시킬 수 있는 지연 창을 도입합니다.

이 GA로 이제 Apple 기기 배포는 Windows Autopilot과 Android Enterprise 배포가 누려온 것과 동일한 빠른 프로비저닝의 혜택을 받습니다.

설정 요구사항

  • 정적 Microsoft Entra 보안 그룹 생성
  • Intune Provisioning Client 서비스 주체를 소유자로 추가(AppId: f1346770-5b25-470b-88bd-d5744ab7952c)
  • Apple ADE 등록 정책에서 그룹 구성(기존 프로필은 영향 없음)
  • 등록 프로필당 하나의 정적 그룹만

IT 팀이 해야 할 일

  • 지금 보안 그룹을 생성하세요: 등록 프로필에 할당할 정적 그룹을 미리 만드세요
  • 서비스 주체를 확인하세요: Entra ID 테넌트에 Intune Provisioning Client가 존재하는지 확인하세요
  • 소규모 세트로 테스트하세요: 등록 시 그룹화가 포함된 새 ADE 등록 정책을 만들고 테스트 기기에서 검증하세요
  • 2606 릴리스를 대비하세요: Apple ADE 등록 정책이 예정된 2606 서비스 릴리스로 새 인프라로 이동합니다. 등록 시 그룹화는 이 더 넓은 현대화의 일부입니다 — 지금 익숙해지면 도움이 됩니다

Android 개인 소유 워크 프로필, AMAPI로 이동 — 웹 등록 라이브

변경된 것

세 가지 중 가장 큰 운영 변화입니다. Microsoft가 개인 소유 워크 프로필(BYOD Android) 관리를 기존 커스텀 DPC / Google Play EMM API 구현에서 Google의 **Android Management API(AMAPI)**로 전환하고 있습니다.

두 가지가 롤아웃 중입니다.

1. 웹 기반 등록 — 사용자가 더 이상 개인 Android 기기를 등록하기 위해 Company Portal 앱을 설치할 필요가 없습니다. 브라우저(Chrome 또는 Edge)에서 등록을 시작합니다.

  • 직접 URL: aka.ms/enrollmyandroid
  • Conditional Access가 등록을 요구할 때 생산성 앱(Teams, Outlook)에서 리다이렉트
  • Company Portal 앱을 통해서(여전히 진입점으로 작동)

등록되면 Intune 앱과 Android Device Policy 앱(숨김)이 자동으로 설치됩니다.

2. AMAPI 기반 정책 전송 — 개인 소유 워크 프로필 기기에 대한 정책 관리가 이제 기업 소유 기기(COPE, COBO, COSU)가 이미 사용하는 것과 동일한 최신 API를 사용합니다. 즉, 새 기능의 더 빠른 출시, Android Enterprise 관리 옵션 전반의 일관된 동작, 기존 커스텀 DPC에서는 사용할 수 없었던 기능 지원입니다.

활성화 방법

새 등록의 경우 — 현재 테넌트 수준에서 옵트인(현재는):

  • Devices > Android 탭 > Device onboarding > Enrollment > Personally owned devices with a work profile로 이동
  • Use web enrollment for all users enrolling into Android personally-owned work profile management 체크
  • ⚠️ 이 변경은 되돌릴 수 없습니다

기존에 등록된 기기의 경우 — “Move to Android Management API” 기기 구성 프로필 생성:

  • Devices > Manage devices > Configuration > Create > New policy
  • 플랫폼: Android Enterprise
  • 프로필 유형: Templates > Move to Android Management API
  • 단계적으로 마이그레이션하기 위해 기기 그룹에 할당

타임라인:

  • 현재(2026년 2/4분기 후반): 웹 등록과 마이그레이션 정책에 대한 옵트인 사용 가능
  • 2026년 후반: 나머지 모든 기기에 자동 마이그레이션

중요 주의사항

테넌트가 패스키를 유일하게 허용된 인증 방법으로 사용 중이라면, 아직 웹 등록을 활성화하지 마세요. 웹 등록에 대한 패스키 지원은 향후 업데이트에서 추가됩니다.

IT 팀이 해야 할 일

  • 먼저 테스트: 프로덕션 전에 테스트 테넌트에서 웹 등록을 활성화하세요
  • 마이그레이션을 단계화: AMAPI 구성 정책을 사용해 기존 등록 기기를 대상 웨이브로 마이그레이션하세요
  • 문서 업데이트: 사용자 등록 경험이 변경됩니다 — 등록 가이드와 헬프데스크 스크립트를 업데이트하세요
  • 사용자와 소통: BYOD Android 사용자에게 등록 과정이 더 단순해진다고(앱 다운로드 불필요) 알리세요
  • Conditional Access 검토: 등록을 요구하는 CA 정책이 웹 기반 흐름과 호환되는지 확인하세요

이는 Intune이 BYOD Android를 관리하는 방식의 근본적 변화입니다. Google의 기존 커스텀 DPC API 단종에 맞추어 다음 세대 Android 플랫폼 기능을 위한 HCL 관리를 위치시킵니다.


요약

변경영향 수준필요한 조치
Win32 앱 콘텐츠가 MCC에서 HTTPS 요구높음(MCC 사용 시)MCC 노드에 HTTPS 구성
Apple ADE 등록 시 그룹화 GA중간(Apple 환경)Entra 그룹 사전 생성, ADE 정책 업데이트
Android BYOD가 AMAPI로 이동높음(Android 환경)웹 등록 활성화, 단계적 마이그레이션 계획

어느 것도 breaking 변경은 아닙니다 — 하지만 MCC HTTPS 마감을 무시하거나, 등록 시 그룹화 도입을 건너뛰거나, AMAPI 마이그레이션을 지연시키면 몇 시간의 계획으로 피할 수 있었던 운영 마찰을 만들게 됩니다.

언제나 그렇듯, 먼저 비프로덕션에서 테스트하고, 문서를 업데이트하고, 헬프데스크에 브리핑하세요. 이 전환 중 어느 것이든 계획하는 데 도움이 필요하면 연락하세요 — 우리는 여러 조직에 걸쳐 이 마이그레이션을 여러 번 겪었고 함정이 어디에 숨는지 알고 있습니다.

— Kevin