다음을 통해 공유


앱 보호 정책을 만들고 할당하는 방법

조직의 사용자를 위해 Microsoft Intune 앱 보호 정책(APP)을 만들고 할당하는 방법을 알아봅니다. 이 문서에서는 기존 정책을 변경하는 방법도 설명합니다.

시작하기 전에

앱 보호 정책은 Intune에서 관리되거나 관리되지 않을 수 있는 디바이스에서 실행되는 앱에 적용할 수 있습니다. 앱 보호 정책의 작동 방식 및 Intune 앱 보호 정책에서 지원하는 시나리오에 대한 자세한 설명은 앱 보호 정책 개요를 참조하세요.

앱 보호 정책(APP)에서 사용할 수 있는 선택 항목을 통해 조직에서는 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 일부 경우에는 완전한 시나리오를 구현하는 데 어떤 정책 설정이 필요한지 명확하지 않을 수 있습니다. 조직에서 모바일 클라이언트 엔드포인트 강화의 우선 순위를 지정하는 데 도움을 주기 위해 Microsoft는 iOS 및 Android 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 대한 분류를 도입했습니다.

APP 데이터 보호 프레임워크는 다음과 같은 세 가지 구성 수준으로 구성되며 각 수준은 이전 수준을 기반으로 합니다.

  • 엔터프라이즈 기본 데이터 보호(레벨 1)는 앱이 PIN 및 암호화로 보호되고 선택적 초기화 작업을 수행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. Exchange Online 사서함 정책에서 유사한 데이터 보호 제어 기능을 제공하고 IT 및 사용자 인구를 APP에 도입하는 엔트리 레벨 구성입니다.
  • 엔터프라이즈 강화된 데이터 보호(레벨 2)는 APP 데이터 누출 방지 메커니즘과 최소 OS 요구 사항을 도입합니다. 이 구성은 직장 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
  • 엔터프라이즈 고급 데이터 보호(레벨 3)는 고급 데이터 보호 메커니즘, 향상된 PIN 구성 및 APP 모바일 위협 방어를 도입합니다. 이 구성은 위험 수준이 높은 데이터에 액세스하는 사용자에게 적합합니다.

각 구성 레벨 및 보호해야 하는 최소 앱에 대한 구체적인 권장 사항을 보려면 앱 보호 정책을 사용하는 데이터 보호 프레임워크를 검토하세요.

Intune SDK를 통합한 앱 목록을 찾으려면 Microsoft Intune 보호 앱을 참조하세요.

앱 보호 정책을 준비하기 위해 조직의 LOB(기간 업무) 앱을 Microsoft Intune에 추가하는 방법에 대한 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.

iOS/iPadOS 및 Android 앱에 대한 앱 보호 정책

iOS/iPadOS 및 Android 앱에 대한 앱 보호 정책을 만들 때 새 앱 보호 정책을 만드는 최신 Intune 프로세스 흐름을 따릅니다. Windows 앱에 대한 앱 보호 정책을 만드는 방법에 대한 자세한 내용은 Windows 용 앱 보호 정책 설정을 참조하세요.

iOS/iPadOS 또는 Android 앱 보호 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. >앱 보호 정책을 선택합니다. 그러면 새 정책을 만들고 기존 정책을 편집하는 앱 보호 정책 세부 정보가 열립니다.
  3. 정책 만들기를 선택하고 iOS/iPadOS 또는 Android를 선택합니다. 정책 만들기 창이 표시됩니다.
  4. 기본 사항 페이지에서 다음 값을 추가합니다.
설명
이름 이 앱 보호 정책의 이름입니다.
설명 [선택 사항] 이 앱 보호 정책에 대한 설명입니다.

정책 만들기 창의 기본 사항 페이지 스크린샷

  1. 다음을 클릭하여 페이지를 표시합니다.
    페이지에서는 이 정책의 대상이 될 앱을 선택할 수 있습니다. 하나 이상의 앱을 추가해야 합니다.

    값/옵션 설명
    대상 정책 대상 정책 드롭다운 상자에서 앱 보호 정책을 모든 앱, Microsoft 앱 또는 핵심 Microsoft 앱으로 대상으로 지정하도록 선택합니다.

    • 모든 앱 에는 Intune SDK를 통합한 모든 Microsoft 및 파트너 앱이 포함됩니다.
    • Microsoft 앱 에는 Intune SDK를 통합한 모든 Microsoft 앱이 포함되어 있습니다.
    • 핵심 Microsoft 앱 에는 Microsoft Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, 할 일 및 Word 앱이 포함됩니다.

    다음으로 , 대상으로 지정할 앱 목록 보기를 선택하여 이 정책의 영향을 받는 앱 목록을 볼 수 있습니다.
    퍼블릭 앱 미리 정의된 앱 그룹 중 하나를 선택하지 않으려면 대상 정책 드롭다운 상자에서 선택한 앱을 선택하여 개별 앱을 대상으로 지정할 수 있습니다. 공용 앱 선택을 클릭하여 대상으로 지정할 퍼블릭 앱을 선택합니다.
    사용자 지정 앱 미리 정의된 앱 그룹 중 하나를 선택하지 않으려면 대상 정책 드롭다운 상자에서 선택한 앱을 선택하여 개별 앱을 대상으로 지정할 수 있습니다. 사용자 지정 앱 선택을 클릭하여 번들 ID에 따라 대상으로 지정할 사용자 지정 앱을 선택합니다. 동일한 정책의 모든 퍼블릭 앱을 대상으로 하는 경우 사용자 지정 앱을 선택할 수 없습니다.

    선택한 앱이 퍼블릭 및 사용자 지정 앱 목록에 표시됩니다.

    참고

    공용 앱 이 지원되는 앱은 Microsoft 및 Microsoft Intune에서 일반적으로 사용되는 파트너의 앱입니다. 이러한 Intune 보호 앱은 모바일 애플리케이션 보호 정책에 대한 다양한 지원 집합으로 사용하도록 설정됩니다. 자세한 내용은 Microsoft Intune 보호 앱을 참조하세요. 사용자 지정 앱은 Intune SDK와 통합되었거나 Intune 앱 래핑 도구에 의해 래핑된 LOB 앱입니다. 자세한 내용은 Microsoft Intune 앱 SDK 개요앱 보호 정책에 대한 기간 업무 앱 준비를 참조하세요.

  2. 다음을 클릭하여 데이터 보호 페이지를 표시합니다.
    이 페이지에서는 잘라내기, 복사, 붙여넣기 및 다른으로 저장 제한을 비롯한 DLP(데이터 손실 방지) 컨트롤에 대한 설정을 제공합니다. 이러한 설정은 사용자가 이 앱 보호 정책이 적용되는 앱의 데이터와 상호 작용하는 방법을 결정합니다.

    데이터 보호 설정:

  3. 다음을 클릭하여 액세스 요구 사항 페이지를 표시합니다.
    이 페이지에서는 사용자가 작업 컨텍스트의 앱에 액세스하기 위해 충족해야 하는 PIN 및 자격 증명 요구 사항을 구성할 수 있는 설정을 제공합니다.

    액세스 요구 사항 설정:

  4. 다음을 클릭하여 조건부 시작 페이지를 표시합니다.
    이 페이지에서는 앱 보호 정책에 대한 로그인 보안 요구 사항을 설정하는 설정을 제공합니다. 설정을 선택하고 사용자가 회사 앱에 로그인하기 위해 충족해야 하는 을 입력합니다. 그런 다음 사용자가 요구 사항을 충족하지 않는 경우 수행할 작업을 선택합니다. 경우에 따라 단일 설정에 대해 여러 작업을 구성할 수 있습니다.

    조건부 시작 설정:

  5. 다음을 클릭하여 할당 페이지를 표시합니다.
    할당 페이지에서 사용자 그룹에 앱 보호 정책을 할당할 수 있습니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다.

  6. 다음: 검토 + 만들기를 클릭하여 이 앱 보호 정책에 대해 입력한 값과 설정을 검토합니다.

  7. 완료되면 만들기 를 클릭하여 Intune에서 앱 보호 정책을 만듭니다.

    이러한 정책 설정은 작업 컨텍스트에서 앱을 사용하는 경우에만 적용됩니다. 최종 사용자가 앱을 사용하여 개인 작업을 수행하는 경우 이러한 정책의 영향을 받지 않습니다. 새 파일을 만들 때 개인 파일로 간주됩니다.

    중요

    앱 보호 정책이 기존 디바이스에 적용되는 데 시간이 걸릴 수 있습니다. 앱 보호 정책이 적용될 때 최종 사용자에게 디바이스에 알림이 표시됩니다. 동시 액세스 규칙을 적용하기 전에 디바이스에 앱 보호 정책을 적용합니다.

최종 사용자는 앱 스토어 또는 Google Play에서 앱을 다운로드할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

기존 정책 변경

기존 정책을 편집하고 대상 사용자에게 적용할 수 있습니다. 정책 배달 타이밍에 대한 자세한 내용은 앱 보호 정책 배달 타이밍 이해를 참조하세요.

정책과 연결된 앱 목록을 변경하려면

  1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

  2. Intune 앱 보호 창에서속성을 선택합니다.

  3. 섹션 옆에 있는 편집을 선택합니다.

  4. 페이지에서는 이 정책의 대상이 될 앱을 선택할 수 있습니다. 하나 이상의 앱을 추가해야 합니다.

    값/옵션 설명
    퍼블릭 앱 대상 정책 드롭다운 상자에서 앱 보호 정책을 모든 퍼블릭 앱, Microsoft 앱 또는 핵심 Microsoft 앱으로 대상으로 지정하도록 선택합니다. 다음으로 , 대상으로 지정할 앱 목록 보기를 선택하여 이 정책의 영향을 받는 앱 목록을 볼 수 있습니다.

    필요한 경우 퍼블릭 앱 선택을 클릭하여 개별 앱을 대상으로 지정할 수 있습니다.

    사용자 지정 앱 사용자 지정 앱 선택을 클릭하여 번들 ID에 따라 대상으로 지정할 사용자 지정 앱을 선택합니다.

    선택한 앱이 퍼블릭 및 사용자 지정 앱 목록에 표시됩니다.

  5. 검토 + 만들기를 클릭하여 이 정책에 대해 선택한 앱을 검토합니다.

  6. 완료되면 저장 을 클릭하여 앱 보호 정책을 업데이트합니다.

사용자 그룹 목록을 변경하려면

  1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

  2. Intune 앱 보호 창에서속성을 선택합니다.

  3. 할당 섹션 옆에 있는 편집 선택합니다.

  4. 정책에 새 사용자 그룹을 추가하려면 포함 탭에서 포함할 그룹 선택을 선택하고 사용자 그룹을 선택합니다. 선택을 선택하여 그룹을 추가합니다.

  5. 사용자 그룹을 제외하려면 제외 탭에서 제외할 그룹 선택을 선택하고 사용자 그룹을 선택합니다. 선택을 선택하여 사용자 그룹을 제거합니다.

  6. 이전에 추가된 그룹을 삭제하려면 포함 또는 제외 탭에서 줄임표(...)를 선택하고 삭제를 선택합니다.

  7. 검토 + 만들기를 클릭하여 이 정책에 대해 선택한 사용자 그룹을 검토합니다.

  8. 할당 변경이 준비되면 저장 을 선택하여 구성을 저장하고 새 사용자 집합에 정책을 배포합니다. 구성을 저장하기 전에 취소 를 선택하면 포함제외 탭에 적용한 모든 변경 내용을 삭제합니다.

정책 설정을 변경하려면

  1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

  2. Intune 앱 보호 창에서속성을 선택합니다.

  3. 변경하려는 설정에 해당하는 섹션 옆에 있는 편집을 선택합니다. 그런 다음 설정을 새 값으로 변경합니다.

  4. 검토 + 만들기를 클릭하여 이 정책에 대한 업데이트된 설정을 검토합니다.

  5. 저장을 선택하여 변경 내용을 저장합니다. 모든 변경 내용이 완료될 때까지 프로세스를 반복하여 설정 영역을 선택하고 수정한 다음 변경 내용을 저장합니다. 그런 다음 Intune 앱 보호 - 속성 창을 닫을 수 있습니다.

디바이스 관리 상태에 따라 앱 보호 정책 대상 지정

대부분의 조직에서는 최종 사용자가 회사 소유 디바이스와 같은 Intune MDM(모바일 디바이스 관리) 관리 디바이스와 Intune 앱 보호 정책으로만 보호되는 관리되지 않는 디바이스를 모두 사용하도록 허용하는 것이 일반적입니다. 관리되지 않는 디바이스는 BYOD(Bring Your Own Devices)라고도 합니다.

Intune 앱 보호 정책은 사용자의 ID를 대상으로 하기 때문에 사용자의 보호 설정은 등록된(MDM 관리) 및 등록되지 않은 디바이스(MDM 없음) 모두에 적용할 수 있습니다. 따라서 필터를 사용하여 Intune 앱 보호 정책을 Intune 등록 또는 등록 취소된 iOS/iPadOS 및 Android 디바이스로 대상으로 지정할 수 있습니다. 필터를 만드는 방법에 대한 자세한 내용은 정책을 할당할 때 필터 사용을 참조하세요 . 엄격한 DLP(데이터 손실 방지) 컨트롤이 있는 관리되지 않는 디바이스에 대한 하나의 보호 정책과 DLP 컨트롤이 좀 더 완화될 수 있는 MDM 관리 디바이스에 대한 별도의 보호 정책을 사용할 수 있습니다. 개인 Android Enterprise 디바이스에서 작동하는 방법에 대한 자세한 내용은 앱 보호 정책 및 회사 프로필을 참조하세요.

정책을 할당할 때 이러한 필터를 사용하려면 Intune 관리 센터에서 >앱 보호 정책을 찾은 다음 정책 만들기를 선택합니다. 기존 앱 보호 정책을 편집할 수도 있습니다. 할당 페이지로 이동하고 필터 편집 선택하여 할당된 그룹에 대한 필터를 포함하거나 제외합니다.

디바이스 관리 유형

중요

Microsoft Intune은 2024년 12월 31일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune에서 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.

  • 비관리형: iOS/iPadOS 디바이스의 경우 관리되지 않는 디바이스는 Intune MDM 관리 또는 타사 MDM/EMM 솔루션이 키를 전달 IntuneMAMUPN 하지 않는 모든 디바이스입니다. Android 디바이스의 경우 관리되지 않는 디바이스는 Intune MDM 관리가 검색되지 않은 디바이스입니다. 여기에는 타사 MDM 공급업체에서 관리하는 디바이스가 포함됩니다.
  • Intune 관리 디바이스: 관리되는 디바이스는 Intune MDM에서 관리됩니다.
  • Android 디바이스 관리자: Android 디바이스 관리 API를 사용하는 Intune 관리 디바이스.
  • Android Enterprise: Android Enterprise 회사 프로필 또는 Android Enterprise 전체 디바이스 관리를 사용하는 Intune 관리 디바이스.
  • Microsoft Entra 공유 디바이스 모드가 있는 Android Enterprise 회사 소유 전용 디바이스: 공유 디바이스 모드가 있는 Android Enterprise 전용 디바이스를 사용하는 Intune 관리 디바이스.
  • Android(AOSP) 사용자 관련 디바이스: AOSP 사용자 관련 관리를 사용하는 Intune 관리 디바이스.
  • Android(AOSP) 사용자 없는 디바이스: AOSP 사용자 없는 디바이스를 사용하는 Intune 관리 디바이스. 이러한 디바이스는 Microsoft Entra 공유 디바이스 모드도 활용합니다.

Android에서 Android 디바이스는 선택한 디바이스 관리 유형에 관계없이 Intune 회사 포털 앱을 설치하라는 메시지를 표시합니다. 예를 들어 'Android Enterprise'를 선택하면 관리되지 않는 Android 디바이스를 사용하는 사용자에게 여전히 메시지가 표시됩니다.

iOS/iPadOS의 경우 디바이스 관리 유형을 Intune 관리 디바이스에 적용하려면 추가 앱 구성 설정이 필요합니다. 이러한 설정은 앱이 관리됨을 나타내기 위해 APP(앱 보호 정책) 서비스와 통신합니다. 따라서 앱 구성 정책을 배포할 때까지는 APP 설정이 적용되지 않습니다. 앱 구성 설정은 다음과 같습니다.

정책 설정

iOS/iPadOS 및 Android에 대한 정책 설정의 전체 목록을 보려면 다음 링크 중 하나를 선택합니다.

다음 단계

규정 준수 및 사용자 상태 모니터링

참고 항목