핵심 요약
- Windows 365 Cloud PC가 이제 프로비저닝 중에 Intune 규정 준수 정책을 평가 — 사용자가 로그인하기 전에 장치가 규정을 준수합니다.
- 첫 부팅 시 사용자를 차단하던 “Not Evaluated” 규정 준수 격차가 제거되었습니다.
- 갤러리 이미지에는 이미 업데이트가 포함되어 있으며, 사용자 정의 이미지에는 KB5070311 이상이 필요합니다.
- 조직은 이전 동작을 보완하던 Conditional Access 우회 수단을 감사하고 제거해야 합니다.
- Windows 365 Frontline 및 공유 Cloud PC 시나리오가 이 변경으로 가장 큰 혜택을 받습니다.
Windows 365가 Cloud PC 프로비저닝의 중요한 규정 준수 격차를 해소
Microsoft가 최근 기억할 만한 가장 실용적인 Windows 365 개선 사항 중 하나를 출시했습니다. Cloud PC가 이제 프로비저닝 중에 Intune 규정 준수 정책을 평가하며, MDM 등록과 동시에 진행되고 사용자 로그인이 필요 없습니다.
Windows 365 환경을 관리한다면, 이런 좌절감을 겪었을 것입니다. Cloud PC 프로비저닝이 완료되고, 사용자가 로그인을 시도하면, 장치가 “Not Evaluated” 규정 준수 상태에 있기 때문에 Conditional Access가 즉시 차단합니다. 장치는 올바르게 구성되어 있습니다 — 아직 체크인하지 않았을 뿐입니다. 이제 그 격차가 닫혔습니다.
프로비저닝 중 규정 준수 정책의 작동 방식
변경 사항은 프로비저닝 오케스트레이션 단계 중 Intune 관리 에이전트 동작에 포함되어 있습니다. 업데이트된 흐름은 다음과 같습니다:
- 프로비저닝 정책이 트리거되고 Windows 365가 Cloud PC 설정을 시작합니다.
- 프로비저닝의 일부로 MDM 등록이 발생합니다.
- 할당된 규정 준수 정책이 등록 단계 중 동시에 평가 — 사용자 로그인 불필요.
- 프로비저닝이 완료되기 전에 Cloud PC가 Entra ID에서 규정 준수 상태를 달성합니다.
- 사용자가 Conditional Access가 이미 규정 준수로 인식하는 장치에 로그인합니다.
기술적 기반: KB5070311
이 기능은 Windows 11 버전 25H2 및 24H2(OS 빌드 26200.7309 및 26100.7309)에 대한 비보안 업데이트인 KB5070311을 통해 제공됩니다. Microsoft의 갤러리 이미지에는 이미 이 업데이트가 포함되어 있습니다. 조직에서 사용자 정의 이미지를 사용하는 경우, KB5070311 또는 이후 누적 업데이트를 포함하도록 새로 고쳐야 합니다 — 그렇지 않으면 사용자 정의 이미지 Cloud PC가 이전 동작으로 되돌아갑니다.
Cloud PC 보안 및 Zero Trust에 중요한 이유
우회 없는 Conditional Access
장치 규정 준수를 요구하는 Conditional Access 정책을 적용하는 조직은 불편한 절충안을 강요받아 왔습니다:
- 유예 창 동안 규정 준수 필요 CA 정책에서 Cloud PC 그룹 제외
- 비준수 표시를 지연하기 위해 규정 준수 유예 기간 연장
- 새로 프로비저닝된 장치에 대한 브레이크 글래스 예외 생성
이러한 우회 수단은 각각 보안 위험을 도입했습니다. 그들은 Zero Trust 아키텍처가 방지하도록 설계된 바로 그 종류의 격차를 만들었습니다. 프로비저닝 중 규정 준수 평가를 통해 이러한 우회 수단은 어느 것도 필요 없습니다. 장치는 접근 가능해지기 전에 검증됩니다 — 끝.
Zero Trust 정렬
Zero Trust는 모든 접근 지점에서 지속적 검증을 요구합니다. 장치를 미평가 상태로 남겨두는 프로비저닝 흐름은 해당 모델의 격차였습니다. 이 업데이트는 Windows 365 프로비저닝과 Zero Trust 원칙 간의 정렬을 강화하여, 모든 Cloud PC가 사용자가 상호 작용하기 전에 검증되도록 합니다.
Windows 365 Frontline 및 공유 Cloud PC 시나리오
Windows 365 Frontline 또는 공유 Cloud PC를 사용하는 조직의 경우, 이 개선은 특히 중요합니다. Frontline 근로자는 빡빡한 일정에 따라 Cloud PC에 접근합니다 — 첫 부팅 시 Conditional Access로 차단되는 것은 불편이 아니라 생산성 차단입니다. 프로비저닝 중 규정 준수 평가를 통해 근로자는 지연이나 헬프데스크 문의 없이 즉시 로그인하고 작업을 시작합니다.
IT 관리자가 지금 해야 할 일
1. Conditional Access 우회 수단 감사 및 제거
새로 프로비저닝된 Cloud PC에 대해 CA 정책 제외, 유예 기간 연장 또는 브레이크 글래스 예외를 구현한 경우, 지금 검토하고 제거하세요. 이들은 이전 동작으로 인해 필요했던 보안 타협입니다. 방치하면 불필요한 위험이 도입됩니다.
2. 보안 그룹 할당 검증
규정 준수 정책 할당에 사용되는 보안 그룹이 Cloud PC 프로비저닝 중에 생성된 장치 개체를 포함하는지 확인하세요. 정책 타겟팅에 동적 그룹을 사용하는 경우, 멤버십 규칙이 프로비저닝 창 이후가 아닌 프로비저닝 중에 새로 프로비저닝된 Cloud PC를 캡처하는지 검증하세요.
3. 사용자 정의 이미지 업데이트
갤러리 이미지는 이미 최신입니다. 조직에서 사용자 정의 이미지를 사용하는 경우, KB5070311 이상을 포함하도록 새로 고치세요. 이것이 대부분 환경의 유일한 필수 실행 항목입니다.
4. 단계적 롤아웃 실행
복잡한 규정 준수 및 Conditional Access 구성의 경우, 단계적 접근이 위험을 줄입니다:
- 파일럿 그룹: 소규모 사용자 그룹에 테스트 프로비저닝 정책을 할당하고 프로비저닝 중에 규정 준수 평가가 완료되는지 검증.
- 모니터: 사용자가 로그인하기 전에 파일럿 Cloud PC가 Intune에서 “Compliant"로 표시되는지 확인.
- CA 동작 검증: 사용자가 첫 부팅 Conditional Access 차단 없이 Cloud PC에 접근하는지 확인.
- 확장: 프로덕션에 업데이트된 프로비저닝 정책 롤아웃.
5. 데이터 상주 및 규정 준수 정책 타이밍 검토
유예 기간 또는 “Mark device noncompliant” 타이밍 지연이 있는 규정 준수 정책은 여전히 적용됩니다. 장치는 프로비저닝 중에는 규정 준수일 수 있지만, 유예 기간 내에 수정이 완료되지 않으면 비준수로 전환될 수 있습니다. 예상치 못한 상황을 피하기 위해 새 프로비저닝 동작과 규정 준수 정책 설정을 정렬하세요.
추가 컨텍스트: Windows 11 25H2 설정 카탈로그
Windows 11 25H2 릴리스는 Windows Backup, Windows Recall AI 기능, Settings Agent, 주변 시선 감지, 에너지 절약 모드에 대한 제어를 포함하여 Intune Settings Catalog에 36개의 새 설정도 가져왔습니다. 25H2를 배포하는 조직은 이 프로비저닝 개선과 함께 규정 준수 및 구성 정책에 관련 설정을 통합해야 합니다.
조직에 미치는 의미
이것은 화려한 기능 발표가 아닙니다 — 실제 운영 격차를 닫는 실용적 개선입니다. Conditional Access와 규정 준수 요구 사항과 함께 Windows 365를 운영 중인 경우(그래야 합니다), 이 업데이트는 헬프데스크 티켓을 생성하고 보안 타협을 강요했던 부류의 첫 부팅 실패를 제거합니다.
갤러리 이미지 사용자에게 혜택은 자동입니다. 사용자 정의 이미지 사용자에게 실행 항목은 간단합니다. 어느 쪽이든, 진정한 가치는 기존 우회 수단을 검토하고 더 이상 필요 없는 보안 예외를 제거하는 데서 옵니다.
더 강화된 Zero Trust 정렬, 개선된 Frontline 근로자 경험, 그리고 감소된 운영 오버헤드의 조합은 모든 규모의 Windows 365 배포에 의미 있는 진전입니다.
Windows 365 프로비저닝 정책 최적화나 Conditional Access 구성 강화에 도움이 필요하신가요? Windows 365 배포 지원을 위해 Big Hat Group에 연락하세요 — 당사는 모든 규모 조직을 위한 Cloud PC 전략, 규정 준수 아키텍처 및 엔드포인트 관리를 전문으로 합니다.