앱 보호 정책 개요

Intune 앱 보호 정책은 organization 데이터가 안전하게 유지되거나 관리되는 앱에 포함되도록 합니다. 이러한 정책을 사용하면 모바일 디바이스의 앱에서 데이터에 액세스하고 공유하는 방법을 제어할 수 있습니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 규칙을 적용할 수 있습니다. 사용자가 앱 내에 있을 때 작업을 금지하거나 모니터링할 수도 있습니다. Intune의 관리되는 앱은 Intune이 앱 보호 정책을 적용하고 앱을 관리하는 보호된 앱입니다.

Intune 앱 보호 정책은 몇 가지 이점을 제공합니다. 이러한 이점에는 디바이스 등록을 요구하지 않고 모바일 디바이스에서 회사 데이터를 보호하고 모바일 디바이스의 앱에서 데이터에 액세스하고 공유하는 방법을 제어하는 것이 포함됩니다.

Microsoft Intune에서 앱 보호 정책을 사용하는 예제는 다음과 같습니다.

• 모바일 디바이스에서 회사 전자 메일에 액세스하려면 PIN 또는 지문 필요
• 사용자가 회사 데이터를 복사하여 개인 앱에 붙여넣지 못하도록 방지
• 회사 데이터에 대한 액세스를 승인된 앱으로만 제한

Intune MAM은 Microsoft 365(Office) 앱과 같은 많은 생산성 앱을 관리합니다. 공개적으로 사용 가능한 공식적인 Microsoft Intune 보호 앱 목록을 참조하세요.

앱 데이터를 보호하는 방법

직원들은 개인 및 회사 작업 모두에 모바일 장치를 사용합니다. 직원이 생산성을 높일 수 있도록 하면서 데이터 손실을 방지합니다. 여기에는 의도적인 데이터 손실과 의도하지 않은 데이터 손실이 모두 포함됩니다. 또한 사용자가 관리하지 않는 디바이스에서 액세스하는 회사 데이터를 보호합니다.

MDM(모바일 디바이스 관리) 솔루션에 관계없이 Intune 앱 보호 정책을 사용할 수 있습니다. 이 독립성 덕분에 장치 관리 솔루션에서 장치를 등록 혹은 등록하지 않고도 회사의 데이터를 보호하는 데 도움이 됩니다. 앱 수준 정책을 구현하여 회사 리소스에 대한 액세스를 제한하고 IT 부서의 관점 내에 데이터를 유지할 수 있습니다.

디바이스의 앱 보호 정책

다음과 같은 디바이스에서 실행되는 앱에 대한 앱 보호 정책을 구성합니다.

• Microsoft Intune에 등록됨: 이러한 디바이스는 일반적으로 회사에서 소유한 디바이스입니다.

• 비 Microsoft MDM(모바일 디바이스 관리) 솔루션에 등록됨: 이러한 디바이스는 일반적으로 회사 소유입니다.

  참고

  모바일 앱 관리 정책은 비 Microsoft 모바일 앱 관리 또는 보안 컨테이너 솔루션과 함께 사용하면 안 됩니다.

• 모바일 디바이스 관리 솔루션에 등록되지 않음: 이 디바이스는 일반적으로 직원이 소유한 디바이스로 Intune 또는 기타 MDM 솔루션에서 관리 또는 등록되지 않습니다.

앱 보호 정책 사용 시의 이점

앱 보호 정책을 사용할 때의 중요한 이점은 다음과 같습니다.

• 앱 수준에서 회사 정보를 보호합니다. 모바일 앱 관리에는 디바이스 관리가 필요하지 않으므로 관리되는 디바이스와 관리되지 않는 디바이스 모두에서 회사 데이터를 보호합니다. 관리는 사용자 ID를 중심으로 하며 디바이스 관리에 대한 요구 사항이 제거됩니다.

• 사용자 생산성은 영향을 받지 않으며 개인 컨텍스트에서 앱을 사용할 때 정책이 적용되지 않습니다. Intune은 회사 컨텍스트에서만 정책을 적용하므로 개인 데이터를 건드리지 않고도 회사 데이터를 보호할 수 있습니다.

• 앱 보호 정책은 앱 계층 보호가 마련되어 있는지 확인합니다. 예시:

  • 업무용으로 앱을 열려면 PIN이 필요합니다.
  • 앱 간의 데이터 공유를 제어합니다.
  • 업무용 앱 데이터를 개인 스토리지 위치에 저장하지 못하게 합니다.

• MAM이 있는 MDM은 디바이스가 보호되도록 합니다. 예를 들어 디바이스에 액세스하거나 디바이스에 관리되는 앱을 배포하려면 PIN이 필요합니다. 또한 MDM 솔루션을 통해 디바이스에 앱을 배포하여 앱 관리를 보다 세밀하게 제어할 수 있습니다.

앱 보호 정책과 함께 MDM을 사용하는 경우 더 많은 이점이 있으며, 회사에서는 MDM과 함께 또는 사용하지 않고 앱 보호 정책을 동시에 사용할 수 있습니다. 예를 들어 회사에서 발급한 전화와 개인 태블릿을 모두 사용하는 직원을 고려해 보세요. 회사 전화는 MDM에 등록되고 앱 보호 정책으로 보호됩니다. 개인 디바이스는 앱 보호 정책으로만 보호됩니다.

디바이스 상태를 설정하지 않고 사용자에게 MAM 정책을 적용하는 경우 사용자는 BYOD(Bring Your Own Device) 및 Intune 관리 디바이스 모두에서 MAM 정책을 가져옵니다. 또한 디바이스 관리 상태에 따라 MAM 정책을 적용합니다. 자세한 내용은 디바이스 관리 상태에 따라 앱 보호 정책 대상을 참조하세요. 앱 보호 정책을 만들 때 모든 앱 유형에 대한 대상 옆에 있는아니요를 선택합니다. 그런 다음, 다음 중 어느 것을 수행합니다.

• Intune 관리형 디바이스에 덜 엄격한 MAM 정책을 적용하고 MDM에 등록되지 않은 디바이스에 더 엄격한 MAM 정책을 적용합니다.
• 등록되지 않은 디바이스에만 MAM 정책을 적용합니다.

앱 보호 정책을 지원하는 플랫폼

Intune은 실행하려는 장치에서 필요한 앱을 받는 데 도움이 되는 다양한 기능을 제공합니다. 자세한 내용은 플랫폼별 앱 관리 기능을 참조하세요.

Intune 앱 보호 정책 플랫폼 지원은 Android 및 iOS/iPadOS 디바이스용 Office 모바일 애플리케이션 플랫폼 지원에 맞춰 조정됩니다. 자세한 내용은 Office 시스템 요구 사항의 모바일 앱 섹션을 참조하세요.

또한 Windows 디바이스에 대한 앱 보호 정책을 만듭니다. 자세한 내용은 Windows 디바이스에 대한 앱 보호 환경을 참조하세요.

앱 보호 정책 데이터 보호 프레임워크

앱 보호 정책에서 사용할 수 있는 선택을 통해 조직은 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 일부의 경우 전체 시나리오를 구현하는 데 필요한 정책 설정이 명확하지 않을 수 있습니다. 조직에서 모바일 클라이언트 엔드포인트 강화의 우선 순위를 지정할 수 있도록 Microsoft는 iOS 및 Android 모바일 앱 관리를 위한 앱 보호 정책 데이터 보호 프레임워크에 대한 분류를 도입합니다.

앱 보호 정책 데이터 보호 프레임워크는 세 가지 고유한 구성 수준으로 구성되며 각 수준은 이전 수준에서 빌드됩니다.

• 엔터프라이즈 기본 데이터 보호(레벨 1)는 앱이 PIN 및 암호화로 보호되고 선택적 초기화 작업을 수행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. 수준 1 구성은 Exchange Online 사서함 정책에서 유사한 데이터 보호 제어를 제공하고 IT 및 사용자 채우기를 APP에 도입하는 엔트리 레벨 구성입니다.
• 엔터프라이즈 향상된 데이터 보호 (수준 2)에는 앱 보호 정책 데이터 유출 방지 메커니즘 및 최소 OS 요구 사항이 도입되었습니다. 수준 2 구성은 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
• Enterprise High Data Protection (수준 3)에는 고급 데이터 보호 메커니즘, 향상된 PIN 구성 및 앱 보호 정책 Mobile Threat Defense가 도입되었습니다. 수준 3 구성은 고위험 데이터에 액세스하는 사용자에게 적합합니다.

각 구성 레벨 및 보호해야 하는 최소 앱에 대한 구체적인 권장 사항을 보려면 앱 보호 정책을 사용하는 데이터 보호 프레임워크를 검토하세요.

앱 보호 정책으로 앱 데이터를 보호하는 방법

앱 보호 정책을 사용하지 않는 앱

제한 없이 앱을 사용하는 경우 회사 및 개인 데이터가 섞일 수 있습니다. 업무용 데이터가 개인 스토리지와 같은 곳에 저장되거나 관리 범위를 벗어난 앱에 전송되어 손실될 수 있습니다. 다음 다이어그램에 있는 화살표는 회사와 및 개인 앱 간 및 스토리지 위치로의 무제한 데이터 이동을 표시합니다.

앱 보호 정책을 사용하여 데이터 보호

앱 보호 정책을 사용하여 회사 데이터가 디바이스의 로컬 스토리지에 저장되지 않도록 방지합니다(다음 이미지 참조). 또한 앱 보호 정책으로 보호되지 않는 다른 앱으로 데이터 이동을 제한합니다. 앱 보호 정책 설정은 다음과 같습니다.

• 조직 데이터의 복사본 저장, 잘라내기, 복사 및 붙여넣기 제한과 같은 데이터 재배치 정책
• 액세스용 단순 PIN 필요 및 관리되는 앱이 탈옥 또는 루팅 상태의 디바이스에서 실행되지 않도록 차단과 같은 액세스 정책 설정

MDM 솔루션에서 관리되는 디바이스에서 APP로 데이터 보호

다음 그림에서는 MDM과 앱 보호 정책이 함께 제공하는 보호 계층을 보여 줍니다.

MDM 솔루션은 다음을 제공하여 가치를 추가합니다.

• 디바이스 등록
• 디바이스에 앱 배포
• 지속적인 디바이스 규정 준수 및 관리 제공

앱 보호 정책은 다음을 제공하여 가치를 추가합니다.

• 회사 데이터가 소비자 앱과 서비스에 누출되지 않도록 보호
• 다른 이름으로 저장, 클립보드 또는 PIN과 같은 제한 사항을 클라이언트 앱에 적용
• 디바이스에서 해당 앱을 제거하지 않고 필요할 때 앱에서 회사 데이터 초기화

등록되지 않은 디바이스에 대해 APP으로 데이터 보호

다음 다이어그램은 MDM 없이 앱 수준에서 데이터 보호 정책이 작동하는 방식을 보여 줍니다.

MDM 솔루션에 등록되지 않은 BYOD 디바이스의 경우 앱 보호 정책을 통해 앱 수준에서 회사 데이터를 보호할 수 있습니다. 그러나 다음과 같은 몇 가지 제한 사항에 유의해야 합니다.

• 앱은 디바이스에 배포되지 않습니다. 사용자는 스토어에서 앱을 가져옵니다.
• 인증서 프로필은 이러한 디바이스에서 프로비전되지 않습니다.
• 회사 Wi-Fi 및 VPN 설정은 이러한 디바이스에서 프로비전되지 않습니다.

앱 보호 정책으로 관리할 수 있는 앱

Intune SDK와 통합되거나 Intune App Wrapping Tool 래핑하는 모든 앱은 Intune 앱 보호 정책을 사용하여 관리할 수 있습니다. 이러한 도구를 사용하고 공개적으로 사용할 수 있는 Microsoft Intune 보호 앱 의 공식 목록을 참조하세요.

Intune SDK 개발 팀은 네이티브 Android 및 iOS/iPadOS(Obj-C, Swift) 플랫폼을 사용하여 빌드된 앱에 대한 지원을 적극적으로 테스트하고 유지 관리합니다. 일부 고객은 React Native 및 NativeScript와 같은 다른 플랫폼과 Intune SDK 통합에 성공하지만 지원되는 플랫폼 이외의 다른 것을 사용하는 앱 개발자를 위해 명시적 지침 또는 플러그 인이 제공되지 않습니다.

앱 보호 정책을 사용하기 위한 사용자 요구 사항

다음 목록에서는 Intune 관리형 앱에서 앱 보호 정책을 사용하기 위한 사용자 요구 사항을 제공합니다.

• 사용자에게 Microsoft Entra 계정이 있어야 합니다. Microsoft Entra ID에서 Intune 사용자를 만드는 방법을 알아보려면 사용자 추가 및 Intune에 관리 권한 부여를 참조하세요.

• 사용자는 자신의 Microsoft Entra 계정에 할당된 Microsoft Intune에 대한 라이선스가 있어야 합니다. Intune 라이선스를 사용자에게 할당하는 방법을 알아보려면 Intune 라이선스 관리를 참조하세요.

• 사용자는 앱 보호 정책의 대상이 되는 보안 그룹에 속해야 합니다. 사용 중인 특정 앱을 대상으로 동일 앱 보호 정책이 적용되어야 합니다. 앱 보호 정책은 Microsoft Intune 관리 센터에서 만들고 배포할 수 있습니다. 보안 그룹은 현재 Microsoft 365 관리 센터에서 만들 수 있습니다.

• 사용자는 Microsoft Entra 계정을 사용하여 앱에 로그인해야 합니다.

Microsoft 365(Office) 앱에 대한 앱 보호 정책

Microsoft 365(Office) 앱에서 앱 보호 정책을 사용할 때 알아야 할 몇 가지 요구 사항이 있습니다.

Outlook 모바일 앱

Outlook 모바일 앱을 사용하기 위한 요구 사항은 다음과 같습니다.

• 사용자에게 Outlook 모바일 앱이 디바이스에 설치되어 있어야 합니다.

• 사용자에게 Microsoft 365 Exchange Online 사서함과 라이선스가 해당 Microsoft Entra 계정에 연결되어 있어야 합니다.

  참고

  Outlook 모바일 앱은 현재 하이브리드 최신 인증을 사용하는 Microsoft Exchange Online 및 Exchange Server 대한 Intune 앱 보호만 지원하며 Office 365 Dedicated에서 Exchange를 지원하지 않습니다.

Word, Excel 및 PowerPoint

Word, Excel 및 PowerPoint 앱을 사용하기 위한 요구 사항에는 다음이 포함됩니다.

• 사용자에게 Microsoft Entra 계정에 연결된 비즈니스용 Microsoft 365 앱 또는 엔터프라이즈에 대한 라이선스가 있어야 합니다. 구독에는 모바일 디바이스의 Microsoft 365 앱이 포함되어야 하며 Microsoft OneDrive가 포함된 클라우드 스토리지 계정을 포함할 수 있습니다. 다음 지침에 따라 Microsoft 365 관리 센터에서 Microsoft 365 라이선스를 할당받을 수 있습니다.

• 사용자는 "조직 데이터의 복사본 저장" 애플리케이션 보호 정책 설정에서 세분화된 저장 기능을 사용하여 관리되는 위치를 구성해야 합니다. 예를 들어 관리되는 위치가 OneDrive인 경우 사용자의 Word, Excel 또는 PowerPoint 앱에서 OneDrive 앱을 구성해야 합니다.

• 관리되는 위치가 OneDrive인 경우 앱은 사용자에게 배포된 앱 보호 정책의 대상이 되어야 합니다.

  참고

  Office 모바일 앱은 현재 SharePoint Online만 지원하고 SharePoint 온-프레미스는 지원하지 않습니다.

Office에 필요한 관리되는 위치

Office에 관리되는 위치(즉, OneDrive)가 필요합니다. Intune은 앱의 모든 데이터를 "회사" 또는 "개인"으로 표시합니다. 데이터는 비즈니스 위치에서 시작될 때 "회사"로 간주됩니다. Microsoft 365 앱의 경우 Intune은 전자 메일(Exchange) 또는 클라우드 스토리지(회사 또는 학교 계정용 OneDrive가 있는 OneDrive 앱)와 같은 비즈니스 위치로 간주합니다.

비즈니스용 Skype

비즈니스용 Skype 사용하기 위한 더 많은 요구 사항이 있습니다. 비즈니스용 Skype 라이선스 요구 사항을 참조하세요. SfB(비즈니스용 Skype) 하이브리드 및 온-프레미스 구성의 경우 SfB용 하이브리드 최신 인증 및 Exchange는 각각 Microsoft Entra ID가 있는 SfB 온-프레미스용 GA 및 최신 인증을 참조하세요.

앱 보호 글로벌 정책

OneDrive 관리자가 admin.onedrive.com을 탐색하고 디바이스 액세스를 선택하는 경우 OneDrive 및 SharePoint 클라이언트 앱에 모바일 애플리케이션 관리 제어를 설정할 수 있습니다.

OneDrive 관리 콘솔에서 사용할 수 있는 설정은 전역 정책이라는 특별한 Intune 앱 보호 정책을 구성합니다. 이 글로벌 정책은 테넌트의 모든 사용자에게 적용할 수 있으므로 정책 대상을 제어할 방법이 없습니다.

사용하도록 설정되면 iOS/iPadOS 및 Android용 OneDrive 및 SharePoint 앱은 기본적으로 선택한 설정을 통해 보호됩니다. IT 전문가는 Microsoft Intune 관리 센터에서 이 정책을 편집하여 더 많은 대상 앱을 추가하고 정책 설정을 수정할 수 있습니다.

기본적으로 테넌트당 한 개의 글로벌 정책만 있을 수 있습니다. 그러나 Intune Graph API를 사용하여 테넌트당 추가 글로벌 정책을 만들 수 있지만 권장되지는 않습니다. 이러한 정책 구현의 문제 해결이 복잡해질 수 있으므로 추가 글로벌 정책을 만드는 것은 권장되지 않습니다.

전역 정책은 테넌트 내의 모든 사용자에게 적용되지만 표준 Intune 앱 보호 정책은 이러한 설정을 재정의합니다.

앱 보호 기능

다중 ID

다중 ID 지원을 사용하면 앱에서 여러 대상을 지원할 수 있습니다. 이러한 대상은 "회사" 사용자 및 "개인" 사용자입니다. "기업" 대상 그룹은 회사 및 학교 계정을 사용하는 반면 Microsoft 365(Office) 사용자와 같은 소비자 대상 그룹은 개인 계정을 사용합니다. 다중 ID를 지원하는 앱은 공개적으로 해제할 수 있으며 앱 보호 정책은 앱이 회사 및 학교("회사") 컨텍스트에서 사용되는 경우에만 적용됩니다. 다중 ID 지원은 Intune SDK를 사용하여 앱에 로그인한 회사 또는 학교 계정에만 앱 보호 정책을 적용합니다. 개인 계정으로 앱에 로그인하면 이 데이터는 그대로 유지됩니다. 앱 보호 정책을 사용하여 회사 또는 학교 계정 데이터를 다중 ID 앱 내의 개인 계정, 다른 앱 내의 개인 계정 또는 개인 앱으로 전송하지 못하도록 차단할 수 있습니다.

"개인" 컨텍스트의 예는 Word 새 문서를 시작하는 사용자를 고려합니다. 이 컨텍스트는 개인 컨텍스트로 간주되므로 Intune App Protection 정책이 적용되지 않습니다. 문서가 "회사" OneDrive 계정에 저장되면 "회사" 컨텍스트로 간주되고 Intune 앱 보호 정책이 적용됩니다.

업무 또는 ‘회사’ 컨텍스트에 대한 다음 예를 생각해 보세요.

• 한 사용자가 회사 계정을 사용하여 OneDrive 앱을 시작합니다. 업무용에서는 파일을 개인 스토리지 위치로 이동할 수 없습니다. 나중에 사용자가 개인 계정으로 OneDrive를 사용하는 경우 개인 OneDrive에서 제한 없이 데이터를 복사 및 이동할 수 있습니다.
• 한 사용자가 Outlook 앱에서 이메일의 초안을 작성하기 시작합니다. 제목 또는 메시지 본문을 채운 뒤에는 앱 보호 정책에 의해 제목 및 메시지 본문이 보호되기 때문에 사용자가 보낸 사람 주소를 회사 컨텍스트에서 개인 컨텍스트로 전환할 수 없습니다.

Intune 앱 PIN

PIN(개인 식별 번호)은 올바른 사용자가 애플리케이션에서 조직의 데이터에 액세스하는지 확인하는 데 사용하는 암호입니다.

PIN 프롬프트
사용자가 “회사” 데이터에 액세스하려고 하면 Intune에서 사용자의 앱 PIN을 묻는 메시지가 표시됩니다. Word, Excel 또는 PowerPoint와 같은 다중 ID 앱에서는 사용자가 "회사" 문서나 파일을 열려고 할 때 PIN을 묻는 메시지가 표시됩니다. Intune App Wrapping Tool 사용하여 관리되는 기간 업무 앱과 같은 단일 ID 앱에서는 Intune SDK가 앱에서 사용자의 환경이 항상 "회사"라는 것을 알고 있기 때문에 시작 시 PIN이 표시됩니다.

PIN 프롬프트 또는 회사 자격 증명 프롬프트, 빈도
IT 관리자는 Intune 앱 보호 정책 설정을 정의할 수 있습니다. Microsoft Intune 관리 센터에서(분) 후에 액세스 요구 사항을 다시 확인합니다. 이 설정은 디바이스에서 액세스 요구 사항을 확인하고 애플리케이션 PIN 화면 또는 회사 자격 증명 프롬프트가 다시 표시되기까지의 시간을 지정합니다. 그러나 사용자에게 메시지가 표시되는 빈도에 영향을 주는 PIN에 대한 중요한 세부 정보는 다음과 같습니다.

• 유용성 향상을 위해 동일한 게시자의 앱 간에 PIN 공유:
  iOS/iPadOS에서는 동일한 앱 게시자의 모든 앱 간에 하나의 앱 PIN이 공유됩니다. 예를 들어 모든 Microsoft 앱은 동일한 PIN을 공유합니다. Android에서는 모든 앱 간에 하나의 앱 PIN이 공유됩니다.
• 디바이스 재부팅 후에 다음 시간(분) 후에 액세스 요구 사항 다시 확인 동작:
  타이머는 다음번에 Intune 앱 PIN 또는 회사 자격 증명 프롬프트를 표시할 시기를 결정하는 비활성 시간(분)을 추적합니다. iOS/iPadOS에서 타이머는 디바이스 재부팅에 영향을 받지 않습니다. 따라서 디바이스 다시 부팅은 Intune PIN(또는 회사 자격 증명) 정책을 대상으로 하는 iOS/iPadOS 앱에서 사용자가 비활성 상태로 유지되는 시간(분)에 영향을 주지 않습니다. Android에서는 타이머가 디바이스 재부팅 시 다시 설정됩니다. 따라서 Intune PIN(또는 회사 자격 증명) 정책이 있는 Android 앱은 디바이스를 다시 부팅한 후 '(분) 후 액세스 요구 사항 다시 확인' 설정 값에 관계없이 앱 PIN 또는 회사 자격 증명 프롬프트를 묻는 메시지를 표시할 수 있습니다.
• PIN과 관련된 타이머의 롤링 특성:
  앱(앱 A)에 액세스하기 위해 PIN을 입력하고 앱이 디바이스에서 전경(기본 입력 포커스)을 나가면, 타이머가 해당 PIN을 재설정합니다. 이 PIN을 공유하는 앱(앱 B)은 타이머가 다시 설정되었기 때문에 사용자에게 PIN 항목을 묻는 메시지를 표시하지 않습니다. '(분) 후 액세스 요구 사항 다시 확인' 값이 다시 충족되면 프롬프트가 다시 표시됩니다.

iOS/iPadOS 디바이스의 경우 PIN이 다른 게시자의 앱 간에 공유되더라도 기본 입력 포커스가 아닌 앱에 대해 (분) 후 액세스 요구 사항 다시 확인 값이 다시 충족되면 프롬프트가 다시 표시됩니다. 따라서 예를 들어 사용자에게 게시자 X의 앱 A와 게시자 Y의 앱 B가 있는 경우 이러한 두 앱은 동일한 PIN을 공유합니다. 사용자는 앱 A(전경)에 중점을 두고, 앱 B는 최소화됩니다. (분) 값이 충족되고 사용자가 앱 B로 전환한 후 액세스 요구 사항을 다시 확인하면 PIN이 필요합니다.

Outlook 및 OneDrive의 기본 제공 앱 PIN
Intune PIN은 비활성 기반 타이머(몇 분 후 액세스 요구 사항 다시 확인 값)를 기반으로 작동합니다. 따라서 Intune PIN 프롬프트는 기본적으로 앱 시작과 연결된 Outlook 및 OneDrive에 대한 기본 제공 앱 PIN 프롬프트와 독립적으로 표시됩니다. 사용자가 두 PIN 프롬프트를 동시에 수신하는 경우 예상되는 동작은 Intune PIN이 우선한다는 것입니다.

Intune PIN 보안
PIN을 사용하면 올바른 사용자만 앱에서 조직의 데이터에 액세스할 수 있습니다. 따라서 사용자는 Intune 앱 PIN을 설정하거나 다시 설정하기 전에 회사 또는 학교 계정으로 로그인해야 합니다. Microsoft Entra ID는 보안 토큰 교환을 통해 이 인증을 처리하며 Intune SDK는 이를 볼 수 없습니다. 보안의 관점에서 회사 또는 학교 데이터를 보호하는 가장 좋은 방법은 암호화하는 것입니다. 암호화는 앱 PIN과 관련이 없지만 자체 앱 보호 정책입니다.

무차별 암호 대입 공격으로부터의 보호 및 Intune PIN
앱 PIN 정책의 일환으로, IT 관리자는 앱을 잠그기 전에 사용자가 PIN 인증을 시도할 수 있는 최대 횟수를 설정할 수 있습니다. 시도 횟수가 충족되면 Intune SDK 는 앱에서 "회사" 데이터를 초기화할 수 있습니다.

Intune PIN 및 선택적 초기화
iOS/iPadOS에서 앱 수준의 PIN 정보는 앱과 동일 게시자 간에 공유되는 키 집합에 저장됩니다(예: 모든 제1 당사자 Microsoft 앱). 이 PIN 정보는 사용자 계정에도 연결됩니다. 한 앱의 선택적 초기화는 다른 앱에 영향을 주지 않습니다.

예를 들어 로그인한 사용자의 Outlook 설정 PIN은 공유된 키 집합에 저장됩니다. 사용자가 OneDrive(Microsoft에서 게시함)에 로그인하면 동일한 공유 키 집합을 사용하기 때문에 Outlook과 동일한 PIN이 표시됩니다. Outlook에서 로그아웃하거나 Outlook에서 사용자 데이터를 초기화할 때 OneDrive에서 해당 PIN을 계속 사용할 수 있으므로 Intune SDK는 해당 키 집합을 지우지 않습니다. 따라서 선택적 초기화는 PIN을 포함하여 공유 키 집합을 지우지 않습니다. 이러한 동작은 디바이스에 게시자의 앱이 하나만 존재할 때라도 동일하게 유지됩니다.

PIN은 동일한 게시자가 있는 앱 간에 공유되므로 초기화가 단일 앱으로 이동하면 Intune SDK는 동일한 게시자가 있는 디바이스에 다른 앱이 있는지 알 수 없습니다. 따라서 Intune SDK는 다른 앱에 여전히 사용될 수 있으므로 PIN을 지우지 않습니다. 최종적으로 일부 OS 정리의 일부로 해당 게시자의 마지막 앱이 제거되면 앱 PIN이 초기화됩니다.

일부 디바이스에서 PIN이 초기화되는 것을 관찰하는 경우 다음과 같은 동작이 발생할 수 있습니다. PIN이 ID에 연결되어 있기 때문에 사용자가 초기화 후 다른 계정으로 로그인하면 새 PIN을 입력하라는 메시지가 표시됩니다. 그러나 기존 계정으로 로그인하는 경우 키 집합에 저장된 PIN을 사용하여 로그인할 수 있습니다.

동일한 게시자의 앱에서 PIN을 두 번 설정하시겠습니까?
MAM(iOS/iPadOS)에서는 현재 iOS용 Intune SDK를 통합하기 위해 애플리케이션(즉, WXP, Outlook, Managed Browser, Viva Engage)의 참여가 필요한 영숫자 및 특수 문자('암호'라고 함)가 있는 애플리케이션 수준 PIN을 허용합니다. 이 설정이 없으면 대상 애플리케이션에 암호 설정이 제대로 적용되지 않습니다. iOS용 Intune SDK v. 7.1.12에서 릴리스된 기능입니다.

이 기능을 지원하고 이전 버전의 iOS/iPadOS용 Intune SDK와의 호환성을 보장하기 위해 7.1.12 이상의 모든 PIN(숫자 또는 암호)은 이전 버전의 SDK의 숫자 PIN과 별도로 처리됩니다. iOS용 Intune SDK v 14.6.0에서 14.6.0+의 모든 PIN이 이전 버전의 SDK의 모든 PIN과 별도로 처리되도록 하는 또 다른 변경 사항이 도입되었습니다.

따라서 디바이스에 동일한 게시자(또는 14.6.0 및 14.6.0 이전 버전)에서 7.1.12 이전 및 7.1.12 이전의 iOS 버전용 Intune SDK 애플리케이션이 있는 경우 두 개의 PIN을 설정해야 합니다. 두 PIN(각 앱의 경우)은 어떤 방식으로든 관련이 없습니다(즉, 앱에 적용되는 앱 보호 정책을 준수해야 합니다). 따라서 앱 A와 B가 PIN과 관련하여 동일한 정책을 적용한 경우 사용자는 동일한 PIN을 두 번 설정할 수 있습니다.

이 동작은 Intune 모바일 앱 관리에서 사용하도록 설정된 iOS/iPadOS 애플리케이션의 PIN과 관련이 있습니다. 시간이 지나 애플리케이션이 최신 버전의 iOS/iPadOS용 Intune SDK를 채택하면서 동일한 게시자의 앱에서 PIN을 두 번 설정해야 하는 문제는 완화됩니다.

앱 데이터 암호화

IT 관리자는 앱 데이터 암호화를 요구하는 앱 보호 정책을 배포할 수 있습니다. 이러한 정책의 일환으로, IT 관리자는 콘텐츠가 암호화되는 경우를 지정할 수도 있습니다.

Intune 데이터 암호화가 처리되는 방식
암호화 앱 보호 정책 설정에 대한 자세한 내용은 Android 앱 보호 정책 설정 및 iOS/iPadOS 앱 보호 정책 설정을 참조하세요.

암호화되는 데이터
IT 관리자의 앱 보호 정책에 따라 "회사"로 표시된 데이터만 암호화됩니다. 데이터는 비즈니스 위치에서 시작될 경우 "회사" 데이터로 간주됩니다. Microsoft 365 앱의 경우 Intune은 다음을 비즈니스 위치로 간주합니다.

• 이메일(Exchange)
• 클라우드 스토리지(회사 또는 학교 계정용 OneDrive가 있는 OneDrive 앱)

Intune App Wrapping Tool 관리되는 기간 업무 앱의 경우 모든 앱 데이터는 "회사"로 간주됩니다.

선택적 지우기

원격으로 데이터 초기화
Intune은 다음 세 가지 방법으로 앱 데이터를 초기화할 수 있습니다.

• 전체 디바이스 초기화
• MDM에 대한 선택적 초기화
• MAM 선택적 초기화

MDM의 원격 초기화에 대한 자세한 내용은 초기화 또는 사용 중지를 사용하여 디바이스 제거를 참조하세요. MAM을 사용하는 선택적 초기화에 대한 자세한 내용은 사용 중지 작업 및 앱에서 회사 데이터만 초기화하는 방법을 참조하세요.

전체 디바이스 초기화는 디바이스를 출하 시 기본 설정으로 복원하여 디바이스에서 모든 사용자 데이터 및 설정을 제거합니다. 디바이스가 Intune에서 제거됩니다.

MDM에 대한 선택적 초기화
회사 데이터를 제거하는 방법에 대한 자세한 내용은 디바이스 제거 -사용 중지를 참조하세요.

MAM에 대한 선택적 초기화
MAM에 대한 선택적 초기화는 앱에서 회사 앱 데이터를 제거합니다. 요청은 Intune을 사용하여 시작됩니다. 초기화 요청을 시작하는 방법을 알아보려면 앱에서 회사 데이터만 초기화하는 방법을 참조하세요.

선택적 초기화가 시작된 상태로 앱을 사용하면 Intune SDK는 Intune MAM 서비스에서 선택적 초기화 요청을 30분 간격으로 확인합니다. 또한 사용자가 앱을 처음 시작하고 회사 또는 학교 계정으로 로그인할 때에도 선택적 초기화를 확인합니다.

온-프레미스 서비스가 Intune 보호 앱에 작동하지 않을 때
Intune 앱 보호 기능은 애플리케이션과 Intune SDK 사이에서 일관되게 작동하기 위해 사용자의 ID에 의존합니다. 이를 보장하는 유일한 방법은 최신 인증뿐입니다. 앱이 온-프레미스 구성에서 작동할 수 있지만 일관되거나 보장되지 않는 시나리오가 있습니다.

관리되는 앱에서 웹 링크를 안전하게 여는 방법
IT 관리자는 Intune을 사용하여 쉽게 관리할 수 있는 웹 브라우저인 Microsoft Edge에 대한 앱 보호 정책을 배포 및 설정할 수 있습니다. IT 관리자는 Intune 관리 앱의 모든 웹 링크가 Managed Browser를 사용하여 열리도록 지정할 수 있습니다.

iOS 디바이스에 대한 앱 보호 환경

디바이스 지문 또는 얼굴 ID

Intune 앱 보호 정책을 사용하면 Intune의 사용이 허가된 사용자에 대해서만 앱 액세스를 제어할 수 있습니다. 앱에 대한 액세스를 제어하는 한 가지 방법으로, 지원되는 디바이스에서 Apple의 Touch ID 또는 Face ID를 요구하는 방법이 있습니다. Intune은 디바이스의 생체 인식 데이터베이스가 변경된 경우 Intune에서 다음 비활성 시간 제한 값이 충족되면 사용자에게 PIN을 묻는 동작을 구현합니다. 생체 인식 데이터의 변경 사항에는 지문 또는 얼굴의 추가나 제거가 포함됩니다. Intune 사용자에게 PIN 집합이 없는 경우 Intune PIN을 설정하도록 유도됩니다.

이 프로세스의 목적은 앱 내의 조직 데이터를 앱 수준에서 보호하고 계속 안전하게 유지하기 위한 것입니다. 이 기능은 iOS/iPadOS에만 제공되고 iOS/iPadOS용 Intune SDK, 버전 9.0.1 이상을 통합하는 애플리케이션의 참여가 필요합니다. 대상 애플리케이션에 동작이 적용될 수 있도록 SDK의 통합이 필요합니다. 이 통합은 롤링 기반으로 특정 애플리케이션 팀에서 수행합니다. 참여하는 일부 앱에는 WXP, Outlook, Managed Browser 및 Viva Engage 포함됩니다.

iOS 공유 확장

iOS/iPadOS 공유 확장을 사용하여 관리되는 앱만 또는 앱 없이 데이터 전송 정책을 설정하더라도 관리되지 않는 앱에서 회사 또는 학교 데이터를 엽니다. Intune 앱 보호 정책은 디바이스를 관리하지 않고 iOS/iPadOS 공유 확장을 제어할 수 없습니다. 따라서 Intune은 "회사" 데이터를 앱 외부에서 공유하기 전에 먼저 암호화합니다. 관리되는 앱 외부에서 "회사" 파일을 열어 이 암호화 동작의 유효성을 검사합니다. 파일이 암호화되어야 하며, 관리되는 앱 외부에서 파일을 열 수 없어야 합니다.

유니버설 링크 지원

기본적으로 Intune 앱 보호 정책은 권한 없는 애플리케이션 콘텐츠에 대한 액세스를 방지합니다. iOS/iPadOS에는 유니버설 링크를 사용하여 특정 콘텐츠 또는 애플리케이션을 여는 기능이 있습니다.

사용자는 Safari에서 해당 링크에 방문하고 새 탭에서 열기 또는 열기를 선택하여 앱의 유니버설 링크를 사용하지 않도록 설정할 수 있습니다. Intune 앱 보호 정책과 함께 유니버설 링크를 사용하려면 유니버설 링크를 다시 사용하도록 설정하는 것이 중요합니다. 사용자는 해당 링크를 길게 누른 후 Safari 에서<앱에서 열기 이름을> 수행해야 합니다. 이렇게 하면 보호된 앱에서 모든 유니버설 링크를 디바이스의 보호된 애플리케이션으로 라우팅하라는 메시지가 표시됩니다.

동일한 앱 및 사용자 집합에 대한 여러 Intune 앱 보호 액세스 설정

액세스에 대한 Intune 앱 보호 정책은 회사 계정에서 대상 앱에 액세스하려고 할 때 사용자 디바이스에서 특정 순서로 적용됩니다. 일반적으로 초기화가 우선 적용되고, 차단이 적용된 다음, 무시할 수 있는 경고가 적용됩니다. 예를 들어 특정 사용자/앱에 해당하는 경우 사용자가 액세스하지 못하도록 차단하는 최소 iOS/iPadOS 운영 체제 설정 이후에 iOS/iPadOS 버전을 업데이트하도록 사용자에게 경고하는 최소 iOS/iPadOS 운영 체제 설정이 적용됩니다. 따라서 IT 관리자가 최소 iOS 운영 체제를 11.0.0.0으로 구성하고 최소 iOS 운영 체제(경고만 해당)를 11.1.0.0으로 구성하는 시나리오에서는 앱에 액세스하려는 디바이스가 iOS 10에 있는 동안 액세스가 차단되는 최소 iOS 운영 체제 버전에 대한 보다 제한적인 설정에 따라 사용자가 차단됩니다.

다른 유형의 설정을 처리할 경우 Intune SDK 버전 요구 사항이 우선하고 이어 앱 버전 요구 사항, iOS/iPadOS 운영 체제 버전 요구 사항이 처리됩니다. 그런 다음, 동일한 순서로 설정의 모든 형식에 대한 모든 경고를 확인합니다. 필수 차단 시나리오에 대한 Intune 제품 팀의 지침에 따라 Intune SDK 버전 요구 사항을 구성합니다.

Android 디바이스에 대한 앱 보호 환경

Microsoft Teams Android 장치

Microsoft Teams Android 디바이스의 Teams 앱은 앱 보호 정책을 지원하지 않습니다(회사 포털 앱을 통해 정책을 수신하지 않음). 즉, 앱 보호 정책 설정은 Microsoft Teams Android 디바이스의 Teams에 적용되지 않습니다. 이러한 디바이스에 대해 앱 보호 정책을 구성한 경우 Teams 장치 사용자 그룹을 만들고 관련 앱 보호 정책에서 해당 그룹을 제외하는 것이 좋습니다. 또한 지원되는 설정을 포함하도록 Intune 등록 정책, 조건부 액세스 정책 및 Intune 규정 준수 정책을 수정하는 것이 좋습니다. 기존 정책을 변경할 수 없는 경우 디바이스 필터를 구성(제외)해야 합니다. 기존 조건부 액세스 구성 및 Intune 준수 정책에 대해 각 설정을 확인하여 지원되지 않는 설정을 포함하는지 확인합니다. 자세한 내용은 Microsoft Teams 룸 및 Teams Android 디바이스에 대해 지원되는 조건부 액세스 및 Intune 디바이스 준수 정책을 참조하세요. Microsoft Teams 룸과 관련된 자세한 내용은 Microsoft Teams 룸에 대한 조건부 액세스 및 Intune 규정 준수를 참조하세요.

디바이스 생체 인식 인증

생체 인식 인증을 지원하는 Android 디바이스의 경우 Android 디바이스가 지원하는 항목에 따라 사용자가 지문 또는 얼굴 잠금 해제를 사용할 수 있습니다. 지문 이외의 모든 생체 인식 유형을 인증하는 데 사용할 수 있는지 여부를 구성합니다. 지문 및 얼굴 잠금 해제는 이러한 생체 인식 유형을 지원하기 위해 제조된 디바이스에서만 사용할 수 있으며 올바른 버전의 Android를 실행하고 있습니다. 지문에는 Android 6 이상이 필요하며, 얼굴 잠금 해제에는 Android 10 이상이 필요합니다.

회사 포털 앱 및 Intune 앱 보호

많은 앱 보호 기능이 회사 포털 앱에 기본 제공됩니다. 회사 포털 앱이 항상 필요하더라도 디바이스 등록은 필요하지 않습니다*. MAM(모바일 애플리케이션 관리)의 경우 사용자는 디바이스에 회사 포털 앱을 설치해야 합니다.

동일한 앱 및 사용자 집합에 대한 여러 Intune 앱 보호 액세스 설정

액세스에 대한 Intune 앱 보호 정책은 회사 계정에서 대상 앱에 액세스하려고 할 때 사용자 디바이스에서 특정 순서로 적용됩니다. 일반적으로 블록이 우선적으로 적용된 다음 해제 가능한 경고가 적용됩니다. 예를 들어 특정 사용자/앱에 적용할 수 있는 경우 사용자에게 패치 업그레이드를 경고하는 최소 Android 패치 버전 설정은 사용자가 액세스하지 못하도록 차단하는 최소 Android 패치 버전 설정 후에 적용됩니다. 따라서 IT 관리자가 최소 Android 패치 버전을 2018-03-01 로 구성하고 최소 Android 패치 버전(경고만 해당) 2018-02-01을 로 구성하는 시나리오에서 앱에 액세스하려는 디바이스가 패치 버전 2018-01-01에 있는 동안 사용자는 액세스가 차단되는 최소 Android 패치 버전에 대한 보다 제한적인 설정에 따라 차단됩니다.

다양한 유형의 설정을 처리할 때 앱 버전 요구 사항이 우선적으로 적용되고 Android 운영 체제 버전 요구 사항 및 Android 패치 버전 요구 사항이 뒤따릅니다. 그런 다음 모든 경고가 모든 유형의 설정에 대해 동일한 순서로 검사됩니다.

Android 디바이스에 대한 Intune 앱 보호 정책 및 Google Play의 디바이스 무결성 검사

Intune 앱 보호 정책은 관리자가 Android 디바이스에 대해 Google Play의 디바이스 무결성 검사 전달하도록 사용자 디바이스를 요구하는 기능을 제공합니다. 새로운 Google Play 서비스 결정은 Intune 서비스에서 결정한 간격으로 IT 관리자에게 보고됩니다. 부하로 인해 서비스 호출이 수행되는 빈도가 제한되므로 이 값은 내부적으로 유지 관리되며 구성할 수 없습니다. Google 디바이스 무결성 설정에 대해 구성된 모든 IT 관리자는 조건부 시작 시 Intune 서비스에 마지막으로 보고된 결과를 기반으로 수행됩니다. 데이터가 없으면 다른 조건부 시작 검사 실패에 따라 액세스가 허용되며, 증명 결과를 확인하기 위한 Google Play 서비스 "왕복"은 백 엔드에서 시작되고 디바이스가 실패할 경우 사용자에게 비동기적으로 프롬프트를 표시합니다. 부실 데이터가 있는 경우 마지막으로 보고된 결과에 따라 액세스가 차단되거나 허용되며, 마찬가지로 증명 결과를 확인하기 위한 Google Play 서비스 "왕복"이 시작되고 디바이스가 실패하면 사용자에게 비동기적으로 프롬프트가 표시됩니다.

Android 디바이스에 대한 Intune 앱 보호 정책 및 Google의 앱 API 확인

Intune 앱 보호 정책은 관리자가 Android 디바이스용 Google의 앱 확인 API를 통해 사용자 디바이스에서 신호를 보내도록 요구하는 기능을 제공합니다. 이 작업을 수행하는 방법은 디바이스에 따라 조금씩 다릅니다. 일반적인 프로세스에는 Google Play 스토어로 이동하여 게임 & 내 앱을 선택하고 마지막 앱 검사 결과를 선택하여 보호 재생 메뉴로 이동합니다. 디바이스의 보안 위협 검사를 켭니다.

Google의 Play 무결성 API

Intune은 Google의 Play 무결성 API를 사용하여 등록되지 않은 디바이스에 대한 기존 루트 검색 검사에 추가합니다. Google은 루트 디바이스에서 앱을 실행하지 않으려는 경우 Android 앱이 채택할 수 있도록 이 API 집합을 개발하고 유지 관리합니다. 예를 들어 Android Pay 앱은 이를 통합합니다. Google은 발생하는 전체 루트 검색 검사를 공개적으로 공유하지는 않지만 이러한 API는 디바이스를 루트하는 사용자를 검색합니다. 이렇게 찾아낸 사용자의 액세스를 차단하거나, 정책이 적용되는 앱에서 이러한 사용자의 회사 계정을 초기화할 수 있습니다. 기본 무결성 검사는 디바이스의 일반 무결성에 대해 알려줍니다. 변조 흔적이 있는 루팅된 디바이스, 에뮬레이터, 가상 디바이스 및 디바이스는 기본 무결성을 실패합니다. 기본 무결성 및 인증된 디바이스 검사는 Google 서비스를 사용하는 디바이스의 호환성을 알려줍니다. Google에서 인증하는 수정되지 않은 디바이스만 이 검사 전달할 수 있습니다. 실패한 디바이스에는 다음이 포함됩니다.

• 기본 무결성에 실패하는 디바이스
• 부팅 로더의 잠금이 해제된 디바이스
• 사용자 지정 시스템 이미지/ROM을 사용하는 디바이스
• 제조업체가 Google 인증을 신청하거나 통과하지 않은 디바이스
• Android 오픈 소스 프로그램 원본 파일로 직접 빌드한 시스템 이미지를 사용하는 디바이스
• 베타/개발자 미리 보기 시스템 이미지를 사용하는 디바이스

기술 세부 정보는 Google의 Play 무결성 API 에 대한 Google 설명서를 참조하세요.

무결성 평결 설정 및 '탈옥/루팅된 디바이스' 설정 재생

플레이 무결성 평결을 사용하려면 적어도 증명 결과를 결정하기 위한 "왕복"이 실행되는 시간 동안 사용자가 온라인 상태여야 합니다. 사용자가 오프라인 상태인 경우에도 IT 관리자는 탈옥/루팅된 디바이스 설정에서 결과가 적용될 것으로 예상할 수 있습니다. 그러나 사용자가 오프라인으로 너무 오래 유지되면 오프라인 유예 기간 값이 실행되고 네트워크 액세스를 사용할 수 있게 될 때까지 해당 타이머 값에 도달하면 회사 또는 학교 데이터에 대한 모든 액세스가 차단됩니다. 두 설정을 모두 켜면 계층화된 접근 방식으로 사용자 디바이스를 정상 상태로 유지할 수 있으며, 이는 사용자가 모바일에서 회사 또는 학교 데이터에 액세스할 때 중요합니다.

Google Play 보호 API 및 Google Play 서비스

Google Play 보호 API를 사용하는 앱 보호 정책 설정은 Google Play 서비스가 작동해야 합니다. 플레이 무결성 평결과 앱 설정에 대한 위협 검색 모두 Google에서 결정한 버전의 Google Play Services가 올바르게 작동해야 합니다. 이러한 설정은 보안 영역에 속하므로 사용자가 이러한 설정을 대상으로 하고 적절한 버전의 Google Play Services를 충족하지 않거나 Google Play 서비스에 액세스할 수 없는 경우 차단됩니다.

Windows 디바이스에 대한 앱 보호 환경

정책 설정에는 데이터 보호 및 상태 검사의 두 가지 범주 가 있습니다. 정책 관리 앱이라는 용어는 앱 보호 정책으로 구성된 앱을 나타냅니다.

데이터 보호

데이터 보호 설정은 조직 데이터 및 컨텍스트에 영향을 미칩니다. 관리자는 조직 보호 컨텍스트의 내부 및 외부 데이터 이동을 제어할 수 있습니다. 조직 컨텍스트는 지정된 조직 계정에서 액세스하는 문서, 서비스 및 사이트에 의해 정의됩니다. 다음 정책 설정은 조직 컨텍스트로 수신된 외부 데이터와 조직 컨텍스트에서 전송된 조직 데이터를 제어하는 데 도움이 될 수 있습니다.

상태 검사

상태 검사를 사용하면 조건부 시작 기능을 구성할 수 있습니다. 이렇게 하려면 앱 보호 정책에 대한 상태 검사 조건을 설정해야 합니다. 설정을 선택하고 조직 데이터에 액세스하기 위해 사용자가 충족해야 하는 값을 입력합니다. 그런 다음 사용자가 조건을 충족하지 않는 경우 수행할 작업을 선택합니다. 경우에 따라 단일 설정에 대해 여러 작업을 구성할 수 있습니다.

다음 단계

Microsoft Intune으로 앱 보호 정책을 만들고 배포하는 방법

Microsoft Intune에서 사용 가능한 Android 앱 보호 정책 설정

Microsoft Intune에서 사용 가능한 iOS/iPadOS 앱 보호 정책 설정