Intune에서 Mac 원격 접속(화면 공유) 차단 정책 생성 방법

감사에서 Mac은 거의 최악이라고 할 수 있다.

직접적으로 통제가 불능하거나 통제가 되다가도 잘 안될 때도 있다.

이번에 맥에 원격 접속을 차단하라는 정책이 내려왔다. 

맥에서는 화면 공유라는 기능이 있다.

이 기능을 켤 경우, 네트워크에 있는 다른 PC에서 Mac을 접속할 수 있다.

화면을 보고 파일을 열고 앱을 열수도 있다.

원격 접속이랑 거의 동일한 기능을 제공한다. 

이 기능이 켜진경우 VNC Viewer를 이용하여 접속할 수도 있다. 

Mac 화면 공유. 출처 : Apple

그렇다면 Intune에서 어떻게 하면 맥의 화면 공유를 관리할 수 있을까?

테스트하고 성공한 과정을 적어본다. 

전제 조건은 관리하는 PC가 인터넷이 가능한 상태여야 한다.

그리고 Intune에 접속할 때 필요한 관리자 계정이 있어야 한다.

 

 

 

 

Intune에서 맥의 화면 공유 차단 방법

Microsoft Intune admin center에 관리자 계정으로 접속한 상태에서 진행한다.

 

 

1. Devices > Configuration profiles로 이동

Device에서 Configuration profiles에 접근한다.

 

 

 

 

 

 

 

2. Create profiles를 클릭

Create profile 클릭

 

 

 

 

 

 

3. Platform은 macOS, Profile type은 Templates, Device restrictions를 선택 후 생성

Platform은 macOS, Profile type은 Templates, Device restrictions를 선택 후 생성

 

4. 프로필 이름을 입력하고 다음으로 넘어간다.

프로필 이름을 입력하고 다음으로 넘어간다.

 

 

 

 

 

 

 

5. Add settings를 클릭

Add settings를 클릭

 

 

 

 

 

 

 

6. General 탭에서 Screen sharing 옵션을 Disable 하는 정책에 Yes로 체크한다.

General 탭에서 Screen sharing 옵션을 Disable 하는 정책에 Yes로 체크

 

7. Restricted Apps에서 Microsoft Remote Desktop 앱을 추가한다.(선택 사항)

선택으로 표시한 이유는 Intune에서는 App Store에서 다운로드한 앱을 삭제 명령할 수 없다.

Intune에서 배포한 앱에 대해서만 삭제 명령이 가능하다.

이 기능을 체크하는 이유는, 이 앱이 설치된 장치를 Intune에서 확인할 수 있기 때문이다.

확인 후 수동으로 삭제는 가능하다.

Restricted Apps에서 Microsoft Remote Desktop 앱을 추가

 

 

 

 

 

 

8. 설정값을 최종 확인하고 Create 또는 Save를 클릭한다.

최종 설정 확인 후 Save 또는 Create

 

 

 

 

 

 

9. 생성한 정책에서 Add groups를 통해 정책을 배포할 그룹을 추가하면 된다.

생성한 정책에서 Add groups를 통해 정책을 배포할 그룹을 추가

 

 

 

 

 

테스트 결과

정책이 배포된 맥에서 화면 공유 상태를 확인했다.

화면 공유가 관리되고 있습니다 라는 메시지와 함께 화면 공유를 사용자가 제어할 수 없다.

화면 공유를 사용자가 설정할 수 없다.

 

 

 

 

 

VNC Viewer로 정책이 설정된 맥을 접속해 보았다.

당연한 결과겠지만, 화면 공유가 설정되지 않았기 때문에 거절당한다.

정책이 설정된 맥에는 원격 접속이 불가능하다.