Microsoft Intune Android 엔터프라이즈 디바이스를 구성하기 위한 엔드투엔드 가이드

이 가이드는 관리자가 Microsoft Intune 환경에서 Android 엔터프라이즈 디바이스를 구성하고 문제를 해결하는 방법을 이해하는 데 도움이 됩니다. 다음과 같은 일반적인 시나리오를 다룹니다.

  • Google에 온보딩
  • 애플리케이션 배포
  • 회사 프로필 등록 사용
  • 조건부 액세스 구성
  • 회사 프로필 등록 최종 사용자 환경
  • 회사 프로필 암호 재설정 발급

조직에 가장 적합한 관리 기능을 결정하고 Android 엔터프라이즈에 대한 FAQ를 제공하는 데 도움이 됩니다.

요구 사항 평가

Intune Android 엔터프라이즈 디바이스를 사용하도록 설정하기 전에 해당 디바이스를 개인 디바이스(Bring Your Own Device) 또는 BYOD로 등록할지 아니면 회사 디바이스로 등록할지 결정해야 합니다.

BYOD 디바이스

BYOD 디바이스는 Android Enterprise 회사 프로필을 갖도록 설정됩니다. 이 기능은 Android 5.1 이상 버전에 기본 제공됩니다. 이 기능을 사용하면 회사 앱 및 데이터를 디바이스의 별도의 자체 포함 회사 관리 공간에 저장할 수 있습니다. 개인 앱과 데이터는 사용자의 개인 프로필 내의 디바이스에 남아 있기 때문에 직원들은 평소처럼 디바이스를 계속 사용할 수 있습니다.

회사 디바이스

회사 소유 디바이스에는 두 가지 옵션이 있으며 각 디바이스는 고유한 사용 사례를 제공합니다.

  • 전용 디바이스 (이전의 COSU 또는 회사 소유의 일회용).

    참고

    이 가이드에 사용된 예제는 BYOD 시나리오에 중점을 둡니다. COSU(전용 디바이스) 시나리오에 대한 자세한 내용은 QR 코드 등록 방법을 사용하는 COSU 구성 및 등록을 참조하세요.

    전용 디바이스는 일반적으로 단일 앱 또는 앱 집합(키오스크 모드라고도 함)에 잠겨 있습니다. 관리자가 상태 표시줄, 키보드 레이아웃, 잠금 화면 및 디바이스의 다른 설정과 같은 항목을 제어할 수 있습니다. 사용자가 다른 앱을 사용하도록 설정하거나 전용 디바이스에서 특정 설정을 변경할 수 없습니다.

    참고

    이러한 방식으로 관리하는 디바이스는 사용자 계정 없이 Intune 등록되며 최종 사용자와 연결되지 않습니다. Outlook 또는 Gmail과 같은 사용자별 계정 데이터에 대한 강력한 요구 사항이 있는 개인용 애플리케이션 또는 앱을 위한 것이 아닙니다.

  • 완전 관리형 디바이스 (이전의 COBO 또는 회사 소유 비즈니스 전용).

    참고

    완전 관리형 디바이스에 대한 자세한 내용은 Android Enterprise 완전 관리형 디바이스의 Intune 등록 설정을 참조하세요.

    완전 관리형 디바이스는 보다 사용자 중심적인 시나리오에 적합합니다. 관리자는 여러 사용자가 제어할 수 있는 회사 프로필 시나리오와는 달리 디바이스에 대한 모든 권한을 유지하는 동안 단일 사용자가 디바이스와 연결됩니다.

디바이스를 등록하는 방법을 결정할 때는 두 방법 모두에서 모든 기능을 사용할 수 있는 것은 아닙니다. 다음 표에서는 몇 가지 주요 차이점을 보여 줍니다.

기능 집합 회사 프로필(BYOD) 전용(키오스크) 완전 관리형
관리되는 전자 메일 프로필 ×
관리되는 Wi-Fi 프로필
관리형 VPN 프로필 ×
SCEP 인증서 프로필
PKCS 인증서 프로필 ×
신뢰할 수 있는 인증서 프로필
사용자 지정 프로필 × X
공장 초기화 방지 ×
카메라 & 화면 캡처 차단
블록 볼륨 단추 ×
복사 및 붙여넣기/데이터 공유 차단
관리 암호
관리되는 애플리케이션(필수)
관리되는 애플리케이션(사용 가능) ×
컨테이너화된 프로필 × X
키오스크 수준 장치 관리 × X
개인 장치 관리 × X
NFC-Based 등록 ×
Token-Based 등록 ×
QR Code-Based 등록 ×
Zero Touch ×
규정 준수/조건부 액세스 ×

자세한 내용은 Microsoft Intune 계획 구현을 참조하세요.

Android 엔터프라이즈 계정에 Intune 계정 연결

사용자 환경에서 Android 엔터프라이즈를 구성하는 첫 번째 단계는 Intune 테넌트 계정을 Android 엔터프라이즈 계정에 연결하는 것입니다.

  1. Google 서비스 계정(@gmail.com)을 만듭니다.

    참고

    이 계정은 테넌트에 대한 모든 Android 엔터프라이즈 관리 작업과 연결됩니다. 회사의 IT 관리자가 Google Play 콘솔에서 앱을 관리하고 게시하기 위해 공유하는 것은 Google 계정입니다. 기존 Google 계정을 사용하거나 새 계정을 만들 수 있습니다. 사용하는 계정은 G-Suite 도메인과 연결되어서는 안 됩니다.

  2. Intune 라이선스가 부여된 전역 관리자 계정을 사용하여 Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  3. 디바이스 > Android Android > 등록 > 관리형 Google Play 로 이동하여 동의 를 선택한 다음 Google 시작을 선택하여 지금 연결하여 관리되는 Google Play 웹 사이트를 엽니다.

    Google을 시작하여 연결할 수 있는 관리형 Google Play 페이지의 스크린샷.

  4. Google 계정에 로그인한 다음 시작을 선택합니다.

    시작 페이지를 선택합니다.

  5. 비즈니스 이름을 입력하고 다음 을 선택합니다.

    비즈니스 이름 페이지를 입력합니다.

  6. 약관에 동의한 다음 확인을 선택합니다.

  7. 등록 완료 를 선택합니다.

    등록 완료 페이지를 선택합니다.

자세한 내용은 관리되는 Google Play 계정에 Intune 계정 연결을 참조하세요.

응용 프로그램 배포

Intune 계정이 Android 엔터프라이즈 계정에 연결되면 다음 단계에 따라 일부 애플리케이션을 배포할 수 있습니다.

  1. Intune 라이선스가 부여된 전역 관리자 계정을 사용하여 Microsoft Endpoint Manager 관리 센터에 로그인합니다.

  2. 앱****모든 앱 > > 추가 로 이동합니다.

  3. 앱 유형 선택 창에서 사용 가능한 스토어 앱 유형을 찾은 다음 관리형 Google Play 앱을 선택합니다.

  4. 선택을 선택합니다. 관리형 Google Play 앱 스토어가 표시됩니다.

    관리되는 Google Play 앱 스토어.

  5. 앱을 검색하여 앱 세부 정보를 확인합니다. 예: Intune 회사 포털 앱.

  6. 앱을 표시하는 페이지에서 승인을 선택합니다. 앱 창이 열리고 앱이 다양한 작업을 수행할 수 있는 권한을 부여하라는 메시지가 표시됩니다.

    예제 Intune 회사 포털 승인을 선택합니다.

  7. 다시 승인을 선택하여 앱 사용 권한을 수락합니다.

    다시 승인을 선택하여 앱 사용 권한을 수락합니다.

  8. 승인 설정 탭에서 앱이 새 권한을 요청할 때 승인된 상태로 유지를 선택한 다음 저장 을 선택합니다.

    앱이 승인 설정 탭에서 새 권한을 요청할 때 승인된 상태로 유지를 선택합니다.

  9. [선택]을 클릭하여 앱을 선택합니다.

  10. 맨 위에서 동기화 를 선택하여 관리형 Google Play 서비스와 앱을 동기화합니다.

  11. 새로 고침 을 선택하여 앱 목록을 업데이트하고 새로 추가된 앱을 표시합니다.

    참고

    Intune 관리되는 Google Play 스토어 간의 앱 동기화는 수동입니다. 따라서 새 앱을 승인할 때마다 동기화 단추를 선택해야 합니다.

  12. 앱이 Microsoft Intune 추가되면 사용자 및 디바이스에 앱을 할당할 수 있습니다. Microsoft Endpoint Manager 관리 센터에서 > 모두 앱 으로 이동합니다. 관리 아래에서 목록에 표시된 앱을 확인합니다.

    Microsoft Endpoint Manager 관리 센터의 모든 앱 페이지입니다.

  13. 그룹에 앱을 할당하려면 할당할 앱을 선택합니다. 메뉴의 관리 섹션에서 속성을 선택한 다음 할당 옆에 있는 편집 을 선택하여 그룹 추가 창을 엽니다.

    속성을 선택한 다음 할당을 선택합니다.

  14. 할당 탭의 필수 에서 그룹 추가 를 선택하고 포함할 그룹을 선택한 다음 선택을 선택합니다.

    필요에 따라 그룹 추가를 선택합니다.

  15. 할당 창에서 검토 + 저장 을 선택하여 포함된 그룹 선택을 완료합니다.

  16. 할당 창에서 저장****을 선택하여 변경 내용을 저장합니다.

  17. 앱 속성 보기로 돌아가서 할당에서 앱을 확인 합니다.

    앱 할당을 확인합니다.

앱 배포에 대한 자세한 내용은 Microsoft Intune Android Enterprise 시스템 앱 추가를 참조하세요.

Android 엔터프라이즈 회사 프로필 등록 사용

  1. Intune 포털에서 디바이스 등록 등록 > 제한으로 이동한 다음 디바이스 유형 제한 에서 기본값 을 선택합니다.

    디바이스 유형 제한 화면입니다.

  2. 속성 > 플랫폼 선택, Android차단 선택, Android 회사 프로필 허용, 확인을 차례로 선택한 다음 저장 을 선택하여 변경 내용을 저장합니다.

    등록 속성 화면입니다.

    참고

    기본 제한은 우선 순위가 가장 낮으며 모든 사용자에게 적용되며 편집할 수 없습니다. 추가 사용자 지정 제한을 만들 때 이 구성과 충돌을 일으키지 않도록 할당된 그룹에 유의해야 합니다.

자세한 내용은 Android Enterprise 회사 프로필 디바이스 등록 설정을 참조하세요.

조건부 액세스 구성

  1. Gmail 앱 또는 Nine Work 앱을 필수로 배포 합니다.

  2. 다음 단계에 따라 앱에 대한 이메일 프로필을 만듭니다.

    1. Intune Azure Portal 디바이스 구성 > 프로필 > 만들기 프로필을 선택한 다음 전자 메일 프로필의 이름설명을 입력합니다.

    2. 플랫폼 드롭다운 목록에서 Android 엔터프라이즈 를 선택합니다.

    3. 프로필 유형 > 회사 프로필만 에서 전자 메일 을 선택합니다.

    4. 메일 프로필 설정을 구성합니다.

      이메일 프로필 설정을 구성합니다.

      이러한 설정에 대한 자세한 내용은 android 디바이스 설정을 참조하여 Intune 전자 메일, 인증 및 동기화를 구성합니다.

  3. 메일 프로필을 만든 후에 그룹에 할당합니다.

    할당 화면.

  4. 디바이스 기반 조건부 액세스를 구성합니다.

자세한 내용은 Android 회사 프로필 디바이스에 대한 조건부 액세스 설정을 참조하세요.

Android 엔터프라이즈 디바이스 등록

  1. 회사 계정으로 로그인한 다음 지금 등록 을 탭합니다.

    지금 등록 화면

  2. 액세스 설정 화면에서 계속 을 탭합니다.

    액세스 설정 화면.

  3. 개인정보처리방침 화면에서 계속 을 탭합니다.

    개인정보처리방침 화면.

  4. 다음 기능 화면에서 다음 을 탭 합니다.

    다음 화면은 무엇인가요?

  5. 회사 프로필 설정 화면에서 수락을 탭 합니다.

    회사 프로필 화면을 설정합니다.

  6. 회사 프로필 활성화 화면에서 계속 을 탭합니다.

    회사 프로필 활성화 화면

    참고

    맨 위에 배지 아이콘이 표시되어 이제 회사 프로필 안에 있습니다.

  7. 모두 설정된 화면에서 완료를 탭 합니다.

    모든 화면이 설정되었습니다.

  8. 이제 Gmail에 로그인할 수 있습니다. 보안 설정을 업데이트하라는 메시지가 표시되면 지금 업데이트를 탭합니다.

    보안 업데이트 화면.

  9. 활성화 를 탭하여 Gmail을 디바이스 관리자로 활성화합니다.

    디바이스 관리자 화면.

자세한 내용은 Android 디바이스 등록을 참조하세요.

Android 회사 프로필 암호 다시 설정

  1. 다음 단계에 따라 회사 프로필 암호를 요구하는 디바이스 프로필을 만듭니다.

    1. Intune Azure Portal 디바이스 구성 > 프로필 > 만들기 프로필을 선택하고 프로필이름설명을 입력합니다.

    2. 플랫폼 드롭다운 목록에서 Android 엔터프라이즈 를 선택합니다.

    3. 프로필 유형 > 회사 프로필만 에서 디바이스 제한을 선택합니다.

    4. 회사 프로필 설정 에서 회사 프로필 암호 필요 에서 필요 를 선택합니다.

      회사 프로필 속성 페이지입니다.

  2. Android 엔터프라이즈 디바이스에서 회사 프로필 암호를 설정하지 않은 경우 회사 프로필 암호를 설정하라는 메시지가 표시됩니다.

  3. 회사 프로필 보안 - 회사 지원에서 회사 프로필 암호를 원격으로 재설정할 수 있는 권한을 부여 하라는 두 번째 메시지가 표시될 때까지 기다립니다. 암호를 입력하여 재설정 권한을 부여합니다. Intune 이 작업을 성공적으로 수행하는 데 필요한 암호 재설정 토큰을 활성화합니다.

    회사 프로필 화면의 보안을 설정합니다.

    참고

    이러한 단계를 건너뛰면 다음과 같은 오류 메시지가 표시됩니다.
    암호 재설정 시작 실패

  4. 암호 재설정 을 선택합니다.

    암호 화면을 다시 설정합니다.

  5. 재설정이 완료되면 임시 암호가 표시됩니다.

    암호 완료 화면을 다시 설정합니다.

  6. 디바이스에 이 임시 암호를 입력합니다.

  7. 새 PIN을 설정해야 하는 경우 이 임시 암호를 다시 입력한 다음 새 PIN을 입력해야 합니다.

암호 재설정에 대한 자세한 내용은 Android 회사 프로필 암호 재설정을 참조하세요.

자주 묻는 질문

  • 질문: Google Play for Work 스토어에서 승인되지 않은 앱이 Intune 관리 Portal의 Mobile Apps 페이지에서 제거되지 않는 이유는 무엇인가요?

    답변: 이 동작이 필요합니다.

  • 질문: 관리되는 Google Play 앱이 Intune 포털의 검색된 앱 에서 보고되지 않는 이유는 무엇인가요?

    답변: 이 동작이 필요합니다.

  • 질문: 관리되는 Google Play 앱이 회사 프로필에 표시되는 Intune 통해 배포되지 않는 이유는 무엇인가요?

    답변: 회사 프로필을 만들 때 디바이스 OEM에서 회사 프로필에서 시스템 앱을 사용하도록 설정할 수 있습니다. MDM 공급자가 제어하지 않습니다.

    문제를 해결하려면 다음 단계를 수행합니다.

    1. 회사 포털 로그를 수집합니다.
    2. 회사 프로필에 예기치 않게 표시되는 모든 앱을 확인합니다.
    3. Intune 디바이스 등록을 취소하고 회사 포털 제거합니다.
    4. 테스트를 위해 EMM 없이 회사 프로필을 만들 수 있는 테스트 DPC 앱을 설치합니다.
    5. 테스트 DPC의 지침에 따라 디바이스에서 회사 프로필을 만듭니다.
    6. 회사 프로필에 표시되는 앱을 검토합니다.
    7. 동일한 애플리케이션이 테스트 DPC 앱에 표시되는 경우 해당 디바이스에 대해 OEM에서 앱을 예상합니다.
  • 질문: 내 회사 프로필 등록 디바이스에 초기화(공장 초기화) 옵션을 사용할 수 없는 이유는 무엇인가요?

    답변: 이 동작이 필요합니다. 회사 프로필 시나리오에서 MDM 공급자는 디바이스를 완전히 제어할 수 없습니다. 사용 가능한 유일한 옵션은 전체 회사 프로필 및 모든 내용을 제거하는 사용 중지(회사 데이터 제거)입니다.

  • 질문: 내 회사 프로필 등록 디바이스에서 파일 경로 내부 스토리지/Android/Data.com.microsoft.windowsintune.companyportal/files를 찾을 수 없어 회사 포털 로그를 수동으로 수집할 수 없는 이유는 무엇인가요?

    답변: 이 동작이 필요합니다. 이 경로는 디바이스 관리(레거시 Android 등록) 시나리오에 대해서만 만들어집니다.

    로그를 수집하려면 다음 단계를 수행합니다.

    1. 배지가 있는 회사 포털 앱에서 메뉴 > 도움말 > 전자 메일 지원을 탭한 다음 전자 메일 보내기 & 로그 업로드를 탭합니다.
    2. 도움말 보내기 요청 메시지가 표시되면 전자 메일 앱 중 하나를 선택합니다.
    3. Microsoft 제품 지원에 제공할 수 있는 인시던트 ID를 사용하여 IT 관리자에게 이메일이 생성됩니다.
  • 질문: 관리되는 Google Play 마지막 동기화 시간을 확인했는데 며칠 만에 업데이트되지 않았습니다. 이유

    답변: 이 동작이 필요합니다. 동기화는 수동으로 수행할 때만 트리거됩니다.

  • 질문: 웹 애플리케이션이 회사 프로필 등록 디바이스에 대해 지원되는가요?

    대답: 예. 웹앱(또는 웹 링크)은 모든 Android Enterprise 시나리오에서 지원됩니다.

  • 질문: 디바이스 암호 재설정이 지원되는가요?

    답변: 회사 프로필 등록 디바이스의 경우 회사 프로필 암호가 관리되고 사용자가 다시 설정할 수 있는 경우 Android 8.0 이상을 실행하는 디바이스에서만 회사 프로필 암호를 다시 설정할 수 있습니다. 전용 및 완전 관리형 디바이스의 경우 디바이스 암호 재설정이 지원됩니다.

  • 질문: 등록 시 디바이스를 암호화해야 합니다. 암호화를 해제하는 옵션이 있나요?

    대답: 아니요. 회사 프로필에는 Google에서 암호화가 필요합니다.

  • 질문: Samsung 디바이스가 SwiftKey와 같은 타사 키보드 사용을 차단하는 이유는 무엇인가요?

    답변 : 삼성은 안드로이드 8.0 + 장치에서 이를 적용하기 시작했습니다. Microsoft는 현재 이 문제에 대해 삼성과 협력하고 있으며 사용 가능한 경우 새 정보를 게시할 예정입니다.