Microsoft Intune 연동

요약

Device Trust Microsoft Intune 연동을 통해 Intune에서 관리되는 디바이스를 Teleport에 자동으로 동기화할 수 있습니다. Teleport Intune 연동은 Microsoft Intune에서 주기적으로 관리 디바이스 인벤토리를 읽어 Teleport에 동기화합니다.

Device Trust Microsoft Intune 연동을 통해 Intune에서 관리되는 디바이스를 Teleport에 자동으로 동기화할 수 있습니다. 이 가이드는 연동 설정 방법을 설명합니다.

작동 방식#

Teleport Intune 연동은 Microsoft Intune에서 주기적으로 관리 디바이스 인벤토리를 읽어 Teleport에 동기화합니다. 증분("부분") 동기화와 전체 동기화를 모두 수행하며, Intune에서 디바이스가 제거되면 Teleport에서도 제거합니다.

Intune에서 디바이스를 동기화하는 것은 인벤토리 관리 단계로, 해당하는 tctl devices add 명령을 자동으로 실행하는 것과 동일합니다.

기본적인 Device Trust 개념과 동작에 대해서는 Device Trust 가이드를 참조하세요.

Note

Microsoft Intune 연동은 Teleport 웹 UI를 통해 호스팅 플러그인으로만 제공됩니다. 독립형 서비스로 실행하는 것은 현재 지원되지 않습니다.

사전 요구 사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

To enroll a macOS device, you need:
- A signed and notarized tsh binary. Download the macOS tsh installer.
To enroll a Windows device, you need:
- A device with TPM 2.0.
- A user with administrator privileges. This is only required during enrollment.
- The tsh client. Download the Windows tsh installer.
To enroll a Linux device, you need:
- A device with TPM 2.0.
- A user with permissions to use the /dev/tpmrm0 device (typically done by assigning the tss group to the user).
- The tsh client. Install tsh for Linux.
  
  WSL users should use the Windows binary instead. Download the Windows tsh installer.
To authenticate a Web UI session you need Teleport Connect
Correct end-user IP propagation to your Teleport deployment: X-Forwarded-For header (L7 load balancer) or PROXY protocol (L4 load balancer)

글로벌 관리자 또는 애플리케이션 관리자 권한이 있는 Microsoft Entra ID 액세스.
관리 디바이스가 있는 활성 Microsoft Intune 구독.

1/3단계. Microsoft Entra ID에 애플리케이션 등록#

Teleport가 Intune 데이터에 액세스하는 데 사용할 애플리케이션을 Microsoft Entra ID에 생성하고 구성합니다:

글로벌 관리자 또는 애플리케이션 관리자 권한이 있는 계정으로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID > 앱 등록으로 이동하여 새 등록을 선택합니다.
애플리케이션을 구성합니다:
- 이름: 설명이 포함된 이름을 입력합니다(예: "Teleport Intune Integration").
- 지원되는 계정 유형: "이 조직 디렉터리의 계정만"을 선택합니다.
- 리디렉션 URI: 비워두고 "등록"을 클릭합니다.
생성 후 개요 페이지에서 애플리케이션(클라이언트) ID를 복사합니다. Teleport에서 연동을 구성할 때 필요합니다.

위 지침에 문제가 있는 경우 애플리케이션 등록에 관한 공식 문서를 참조하세요.

2/3단계. API 권한 구성 및 클라이언트 시크릿 생성#

애플리케이션에 Intune 관리 디바이스 읽기 권한을 부여합니다:

등록된 애플리케이션에서 API 권한 > 권한 추가로 이동합니다.
Microsoft Graph > 애플리케이션 권한을 선택합니다.
DeviceManagementManagedDevices.Read.All 권한을 검색하여 추가합니다.
조직에 대한 "관리자 동의 허용"을 클릭하고 확인합니다.

위 지침에 문제가 있는 경우 애플리케이션 권한 부여에 관한 공식 문서를 참조하세요.

Note

동의는 글로벌 관리자 또는 권한 있는 역할 관리자가 부여해야 합니다. 이 권한을 부여하지 않으면 Graph API에서 오류가 발생합니다.

클라이언트 시크릿을 생성하려면:

등록된 애플리케이션에서 인증서 및 시크릿 > 클라이언트 시크릿으로 이동합니다.
새 클라이언트 시크릿을 클릭합니다.
설명을 추가하고 만료 기간을 선택합니다(시크릿 만료 전 교체 알림을 설정하는 것을 권장합니다).
"추가"를 클릭하고 값(시크릿 ID가 아님)을 복사합니다.

위 지침에 문제가 있는 경우 클라이언트 시크릿 추가에 관한 공식 문서를 참조하세요.

3/3단계. Teleport에서 Intune 연동 구성#

테넌트 식별자를 찾으려면 공식 문서를 따르세요(예: contoso.onmicrosoft.com 또는 테넌트 GUID).
웹 UI에서 새로 추가 > 연동으로 이동하여 "Microsoft Intune"을 선택합니다.
필요한 정보를 입력합니다:
- 기본 도메인 또는 Microsoft Entra 테넌트 ID: 테넌트 식별자를 입력합니다.
- 애플리케이션(클라이언트) ID: 1단계에서 복사한 애플리케이션 ID를 붙여넣습니다.
- 클라이언트 시크릿 값: 2단계에서 복사한 클라이언트 시크릿 값을 붙여넣습니다.
"Microsoft Intune 연결"을 클릭하여 설정을 완료합니다.

연동은 2분 내에 Intune 인벤토리에서 디바이스 동기화를 시작합니다. 인벤토리 크기에 따라 초기 동기화가 완료되는 데 몇 분이 걸릴 수 있습니다.

동기화 방식#

동기화 일정#

Intune 연동은 연동이 설치, 업데이트되거나 Auth Service가 재시작될 때 시작되는 다음의 고정 일정을 사용합니다:

전체 동기화: 24시간마다 – Intune에서 모든 디바이스를 가져와 전체 인벤토리를 조정하고 누락된 디바이스를 제거합니다.
부분 동기화: 전체 동기화 사이에 6시간마다 – 마지막 동기화 이후 Intune에서 수정된 디바이스만 가져옵니다.

연동은 부분 동기화 중에 변경된 디바이스만 가져오기 위해 Intune의 마지막 동기화 시간을 추적합니다.

디바이스 요구 사항#

디바이스가 동기화되려면 일련 번호가 있어야 하고, 디바이스 등록 상태가 "등록됨"으로 설정되어 있어야 하며, 운영 체제가 macOS, Windows 또는 Linux여야 합니다.

디바이스 소유권 및 제거#

인벤토리를 동기화할 때 Intune 연동은 동기화된 모든 디바이스의 소유권을 주장합니다. 디바이스의 source 필드를 검사하여 확인할 수 있습니다:

# tctl get device/mydevice
kind: device
metadata:
  name: 20ec6373-9e8e-46e0-8f1c-47ad6b06a768
spec:
  asset_tag: mydevice
  os_type: macos
  # ...
  source:
    name: intune
    origin: intune
  update_time: "2023-06-21T19:44:40.40601Z"
version: v1

전체 동기화 중에, Intune에 더 이상 존재하지 않거나 속성이 일치하지 않는 디바이스(같은 Intune 디바이스 ID에 대해 일련 번호 또는 OS 유형이 다름)는 Teleport 인벤토리에서 자동으로 제거됩니다.

Note

Intune으로 동기화된 디바이스만 자동 삭제 대상이 됩니다. tctl devices add를 통해 수동으로 추가하거나 다른 소스에서 동기화된 디바이스는 Intune 연동에 의해 삭제되지 않습니다.

원하지 않는 디바이스를 즉시 제거하려면 먼저 Teleport에서 디바이스를 잠근 다음 Intune에서 제거하세요:

$ tctl devices lock --asset-tag=SERIAL_NUMBER --message='reason for locking'
Created a lock with name "a2f1491c-4a3e-4daf-9c83-2fe931668076".

tctl devices rm을 통한 수동 제거가 가능하지만, 디바이스가 여전히 Intune 인벤토리에 있는 경우 다음 동기화 중에 다시 생성됩니다.

연동 모니터링#

구성 후 웹 UI에서 연동 상태를 모니터링할 수 있습니다. Zero Trust Access > Integrations로 이동하세요. 연동 상태에 오류가 표시되면 Intune 연동의 오류에 대한 Auth Service 로그를 확인하세요.

명령줄을 사용하여 동기화된 디바이스를 확인할 수도 있습니다:

$ tctl devices ls
Asset Tag    OS      Source Enroll Status Owner Device ID
------------ ------- ------ ------------- ----- ------------------------------------
CXXXXXXXXX17 macOS   Intune not enrolled        20ec6373-9e8e-46e0-8f1c-47ad6b06a768
CXXXXXXXXX2T macOS   Intune not enrolled        79755778-7cbe-4e2c-83ec-7eaa3d4d7e36
CXXXXXXXXX3T Windows Intune not enrolled        665e59d5-393a-4894-841d-edad06329717
CXXXXXXXXX4T macOS   Intune not enrolled        dd032e90-bfb0-47d5-bce5-e57545f6788f
CXXXXXXXXX5T Windows Intune not enrolled        bf189863-a94a-40dc-9013-d96f8dada2f1
(...)

다음 단계#

자동 등록을 사용하여 사용자 로그인 시 동기화된 디바이스를 자동으로 등록하세요.

Microsoft Intune 연동

원문 보기

번역일: 2026-04-04

요약

작동 방식#

Intune에서 디바이스를 동기화하는 것은 인벤토리 관리 단계로, 해당하는 tctl devices add 명령을 자동으로 실행하는 것과 동일합니다.

기본적인 Device Trust 개념과 동작에 대해서는 Device Trust 가이드를 참조하세요.

Note

Microsoft Intune 연동은 Teleport 웹 UI를 통해 호스팅 플러그인으로만 제공됩니다. 독립형 서비스로 실행하는 것은 현재 지원되지 않습니다.

사전 요구 사항#

A running Teleport Enterprise cluster. If you want to get started with Teleport, sign up for a free trial or set up a demo environment.
The tctl and tsh clients.
Installing `tctl` and `tsh` clients
1. Determine the version of your Teleport cluster. The tctl and tsh clients must be at most one major version behind your Teleport cluster version. Send a GET request to the Proxy Service at /v1/webapi/find and use a JSON query tool to obtain your cluster version. Replace with the web address of your Teleport Proxy Service:
```
$ TELEPORT_DOMAIN=
$ TELEPORT_VERSION="$(curl -s https://$TELEPORT_DOMAIN/v1/webapi/find | jq -r '.server_version')"
```
2. Follow the instructions for your platform to install tctl and tsh clients:

To enroll a macOS device, you need:
- A signed and notarized tsh binary. Download the macOS tsh installer.
To enroll a Windows device, you need:
- A device with TPM 2.0.
- A user with administrator privileges. This is only required during enrollment.
- The tsh client. Download the Windows tsh installer.
To enroll a Linux device, you need:
- A device with TPM 2.0.
- A user with permissions to use the /dev/tpmrm0 device (typically done by assigning the tss group to the user).
- The tsh client. Install tsh for Linux.
  
  WSL users should use the Windows binary instead. Download the Windows tsh installer.
To authenticate a Web UI session you need Teleport Connect
Correct end-user IP propagation to your Teleport deployment: X-Forwarded-For header (L7 load balancer) or PROXY protocol (L4 load balancer)

글로벌 관리자 또는 애플리케이션 관리자 권한이 있는 Microsoft Entra ID 액세스.
관리 디바이스가 있는 활성 Microsoft Intune 구독.

1/3단계. Microsoft Entra ID에 애플리케이션 등록#

Teleport가 Intune 데이터에 액세스하는 데 사용할 애플리케이션을 Microsoft Entra ID에 생성하고 구성합니다:

글로벌 관리자 또는 애플리케이션 관리자 권한이 있는 계정으로 Microsoft Entra 관리 센터에 로그인합니다.
Entra ID > 앱 등록으로 이동하여 새 등록을 선택합니다.
애플리케이션을 구성합니다:
- 이름: 설명이 포함된 이름을 입력합니다(예: "Teleport Intune Integration").
- 지원되는 계정 유형: "이 조직 디렉터리의 계정만"을 선택합니다.
- 리디렉션 URI: 비워두고 "등록"을 클릭합니다.
생성 후 개요 페이지에서 애플리케이션(클라이언트) ID를 복사합니다. Teleport에서 연동을 구성할 때 필요합니다.

위 지침에 문제가 있는 경우 애플리케이션 등록에 관한 공식 문서를 참조하세요.

2/3단계. API 권한 구성 및 클라이언트 시크릿 생성#

애플리케이션에 Intune 관리 디바이스 읽기 권한을 부여합니다:

등록된 애플리케이션에서 API 권한 > 권한 추가로 이동합니다.
Microsoft Graph > 애플리케이션 권한을 선택합니다.
DeviceManagementManagedDevices.Read.All 권한을 검색하여 추가합니다.
조직에 대한 "관리자 동의 허용"을 클릭하고 확인합니다.

위 지침에 문제가 있는 경우 애플리케이션 권한 부여에 관한 공식 문서를 참조하세요.

Note

동의는 글로벌 관리자 또는 권한 있는 역할 관리자가 부여해야 합니다. 이 권한을 부여하지 않으면 Graph API에서 오류가 발생합니다.

클라이언트 시크릿을 생성하려면:

등록된 애플리케이션에서 인증서 및 시크릿 > 클라이언트 시크릿으로 이동합니다.
새 클라이언트 시크릿을 클릭합니다.
설명을 추가하고 만료 기간을 선택합니다(시크릿 만료 전 교체 알림을 설정하는 것을 권장합니다).
"추가"를 클릭하고 값(시크릿 ID가 아님)을 복사합니다.

위 지침에 문제가 있는 경우 클라이언트 시크릿 추가에 관한 공식 문서를 참조하세요.

3/3단계. Teleport에서 Intune 연동 구성#

테넌트 식별자를 찾으려면 공식 문서를 따르세요(예: contoso.onmicrosoft.com 또는 테넌트 GUID).
웹 UI에서 새로 추가 > 연동으로 이동하여 "Microsoft Intune"을 선택합니다.
필요한 정보를 입력합니다:
- 기본 도메인 또는 Microsoft Entra 테넌트 ID: 테넌트 식별자를 입력합니다.
- 애플리케이션(클라이언트) ID: 1단계에서 복사한 애플리케이션 ID를 붙여넣습니다.
- 클라이언트 시크릿 값: 2단계에서 복사한 클라이언트 시크릿 값을 붙여넣습니다.
"Microsoft Intune 연결"을 클릭하여 설정을 완료합니다.

연동은 2분 내에 Intune 인벤토리에서 디바이스 동기화를 시작합니다. 인벤토리 크기에 따라 초기 동기화가 완료되는 데 몇 분이 걸릴 수 있습니다.

동기화 방식#

동기화 일정#

Intune 연동은 연동이 설치, 업데이트되거나 Auth Service가 재시작될 때 시작되는 다음의 고정 일정을 사용합니다:

전체 동기화: 24시간마다 – Intune에서 모든 디바이스를 가져와 전체 인벤토리를 조정하고 누락된 디바이스를 제거합니다.
부분 동기화: 전체 동기화 사이에 6시간마다 – 마지막 동기화 이후 Intune에서 수정된 디바이스만 가져옵니다.

연동은 부분 동기화 중에 변경된 디바이스만 가져오기 위해 Intune의 마지막 동기화 시간을 추적합니다.

디바이스 요구 사항#

디바이스 소유권 및 제거#

인벤토리를 동기화할 때 Intune 연동은 동기화된 모든 디바이스의 소유권을 주장합니다. 디바이스의 source 필드를 검사하여 확인할 수 있습니다:

# tctl get device/mydevice
kind: device
metadata:
  name: 20ec6373-9e8e-46e0-8f1c-47ad6b06a768
spec:
  asset_tag: mydevice
  os_type: macos
  # ...
  source:
    name: intune
    origin: intune
  update_time: "2023-06-21T19:44:40.40601Z"
version: v1

Note

원하지 않는 디바이스를 즉시 제거하려면 먼저 Teleport에서 디바이스를 잠근 다음 Intune에서 제거하세요:

$ tctl devices lock --asset-tag=SERIAL_NUMBER --message='reason for locking'
Created a lock with name "a2f1491c-4a3e-4daf-9c83-2fe931668076".

tctl devices rm을 통한 수동 제거가 가능하지만, 디바이스가 여전히 Intune 인벤토리에 있는 경우 다음 동기화 중에 다시 생성됩니다.

연동 모니터링#

명령줄을 사용하여 동기화된 디바이스를 확인할 수도 있습니다:

$ tctl devices ls
Asset Tag    OS      Source Enroll Status Owner Device ID
------------ ------- ------ ------------- ----- ------------------------------------
CXXXXXXXXX17 macOS   Intune not enrolled        20ec6373-9e8e-46e0-8f1c-47ad6b06a768
CXXXXXXXXX2T macOS   Intune not enrolled        79755778-7cbe-4e2c-83ec-7eaa3d4d7e36
CXXXXXXXXX3T Windows Intune not enrolled        665e59d5-393a-4894-841d-edad06329717
CXXXXXXXXX4T macOS   Intune not enrolled        dd032e90-bfb0-47d5-bce5-e57545f6788f
CXXXXXXXXX5T Windows Intune not enrolled        bf189863-a94a-40dc-9013-d96f8dada2f1
(...)

다음 단계#

자동 등록을 사용하여 사용자 로그인 시 동기화된 디바이스를 자동으로 등록하세요.