Microsoft Intune Android 엔터프라이즈 디바이스를 구성하기 위한 엔드 투 엔드 가이드
이 가이드는 관리자가 Microsoft Intune 환경에서 Android 엔터프라이즈 디바이스를 구성하고 문제를 해결하는 방법을 이해하는 데 도움이 됩니다. 다음과 같은 일반적인 시나리오를 다룹니다.
- Google에 온보딩
- 애플리케이션 배포
- 회사 프로필 등록 사용
- 조건부 액세스 구성
- 회사 프로필 등록 최종 사용자 환경
- 회사 프로필 암호 재설정 발급
이 기능은 organization 가장 적합한 관리 기능을 결정하고 Android 엔터프라이즈에 대한 FAQ를 제공하는 데 도움이 됩니다.
요구 사항 평가
Intune Android 엔터프라이즈 디바이스를 사용하도록 설정하기 전에 해당 디바이스를 개인 디바이스(Bring Your Own Device) 또는 BYOD로 등록할지 또는 회사 디바이스로 등록할지 결정해야 합니다.
BYOD 디바이스
BYOD 디바이스는 Android Enterprise 회사 프로필을 갖도록 설정됩니다. 이 기능은 Android 5.1 이상 버전에 기본 제공됩니다. 이 기능을 사용하면 회사 앱과 데이터를 디바이스의 별도의 자체 포함 회사 관리 공간에 저장할 수 있습니다. 개인 앱과 데이터는 사용자의 개인 프로필 내 디바이스에 남아 있기 때문에 직원들은 평소처럼 디바이스를 계속 사용할 수 있습니다.
회사 디바이스
회사 소유 디바이스에는 두 가지 옵션이 있으며 각 디바이스는 고유한 사용 사례를 제공합니다.
전용 디바이스 (이전의 COSU 또는 회사 소유 일회용).
참고
이 가이드에서 사용되는 예제는 BYOD 시나리오에 중점을 둡니다. COSU(전용 디바이스) 시나리오에 대한 자세한 내용은 QR 코드 등록 방법을 사용한 COSU 구성 및 등록을 참조하세요.
전용 디바이스는 일반적으로 단일 앱 또는 앱 집합(키오스크 모드라고도 함)에 잠깁니다. 관리자가 디바이스의 상태 막대, 키보드 레이아웃, 잠금 화면 및 기타 설정과 같은 항목을 제어할 수 있습니다. 사용자가 다른 앱을 사용하도록 설정하거나 전용 디바이스에서 특정 설정을 변경할 수 없습니다.
참고
이러한 방식으로 관리하는 디바이스는 사용자 계정 없이 Intune 등록되며 최종 사용자와 연결되지 않습니다. Outlook 또는 Gmail과 같은 사용자별 계정 데이터에 대한 강력한 요구 사항이 있는 개인용 애플리케이션 또는 앱을 위한 것이 아닙니다.
완전 관리형 디바이스 (이전의 COBO 또는 회사 소유 비즈니스 전용).
참고
완전 관리형 디바이스에 대한 자세한 내용은 Android Enterprise 완전 관리형 디바이스의 Intune 등록 설정을 참조하세요.
완전 관리형 디바이스는 사용자 중심 시나리오에 적합합니다. 관리자는 여러 사용자가 제어할 수 있는 회사 프로필 시나리오와는 달리 디바이스에 대한 모든 권한을 유지하는 동안 단일 사용자가 디바이스와 연결됩니다.
디바이스를 등록하는 방법을 결정할 때 모든 기능을 두 방법 모두에 사용할 수 있는 것은 아닙니다. 다음 표에서는 몇 가지 주요 차이점을 보여 줍니다.
| 기능 집합 | 회사 프로필(BYOD) | 전용(키오스크) | 완전 관리형 |
|---|---|---|---|
| 관리되는 Email 프로필 | ✓ | × | ✓ |
| 관리되는 Wi-Fi 프로필 | ✓ | ✓ | ✓ |
| 관리형 VPN 프로필 | ✓ | × | ✓ |
| SCEP 인증서 프로필 | ✓ | ✓ | ✓ |
| PKCS 인증서 프로필 | ✓ | × | ✓ |
| 신뢰할 수 있는 인증서 프로필 | ✓ | ✓ | ✓ |
| 사용자 지정 프로필 | ✓ | × | X |
| 공장 초기화 방지 | × | ✓ | ✓ |
| 카메라 & 화면 캡처 차단 | ✓ | ✓ | ✓ |
| 블록 볼륨 단추 | × | ✓ | ✓ |
| 복사 및 붙여넣기/데이터 공유 차단 | ✓ | ✓ | ✓ |
| 관리되는 암호 | ✓ | ✓ | ✓ |
| 관리되는 애플리케이션(필수) | ✓ | ✓ | ✓ |
| 관리되는 애플리케이션(사용 가능) | ✓ | × | ✓ |
| 컨테이너화된 프로필 | ✓ | × | X |
| 키오스크 수준 장치 관리 | × | ✓ | X |
| 개인 장치 관리 | ✓ | × | X |
| NFC-Based 등록 | × | ✓ | ✓ |
| Token-Based 등록 | × | ✓ | ✓ |
| QR Code-Based 등록 | × | ✓ | ✓ |
| Zero Touch | × | ✓ | ✓ |
| 규정 준수/조건부 액세스 | ✓ | × | ✓ |
자세한 내용은 Microsoft Intune 계획 구현을 참조하세요.
Android 엔터프라이즈 계정 Intune 계정 연결
사용자 환경에서 Android 엔터프라이즈를 구성하는 첫 번째 단계는 Intune 테넌트 계정을 Android 엔터프라이즈 계정 연결하는 것입니다.
Google 서비스 계정(@gmail.com)을 만듭니다.
참고
이 계정은 테넌트용 모든 Android 엔터프라이즈 관리 작업과 연결됩니다. 회사의 IT 관리자가 Google Play 콘솔에서 앱을 관리하고 게시하기 위해 공유하는 것은 Google 계정입니다. 기존 Google 계정을 사용하거나 새 계정을 만들 수 있습니다. 사용하는 계정은 G-Suite 도메인과 연결되어서는 안 됩니다.
Intune 라이선스가 부여된 전역 관리자 계정을 사용하여 Microsoft Intune 관리 센터에 로그인합니다.
디바이스>Android>Android 등록>관리형 Google Play로 이동하여 동의함, Google 시작을 차례로 선택하여 지금 연결하여 관리형 Google Play 웹 사이트를 엽니다.
Google 계정에 로그인한 다음 시작을 선택합니다.
비즈니스 이름을 입력한 다음, 다음을 선택합니다.
약관에 동의한 다음 확인을 선택합니다.
등록 완료를 선택합니다.
자세한 내용은 관리형 Google Play 계정에 Intune 계정 연결을 참조하세요.
응용 프로그램 배포
Intune 계정이 Android 엔터프라이즈 계정 연결되면 다음 단계에 따라 일부 애플리케이션을 배포할 수 있습니다.
Intune 라이선스가 부여된 전역 관리자 계정을 사용하여 Microsoft Intune 관리 센터에 로그인합니다.
앱>모든 앱>추가로 이동합니다.
앱 유형 선택 창에서 사용 가능한 스토어 앱 유형을 찾은 다음 관리형 Google Play 앱을 선택합니다.
선택을 선택합니다. 관리형 Google Play 앱 스토어가 표시됩니다.
앱 세부 정보를 보려면 앱을 검색합니다. 예: 앱 Intune 회사 포털.
앱을 표시하는 페이지에서 승인을 선택합니다. 앱 창이 열리고 앱이 다양한 작업을 수행할 수 있는 권한을 부여하라는 메시지가 표시됩니다.
승인을 다시 선택하여 앱 권한을 수락합니다.
승인 설정 탭에서 앱이 새 권한을 요청할 때 승인된 상태로 유지를 선택한 다음 저장을 선택합니다.
선택을 클릭하여 앱을 선택합니다.
위쪽에서 동기화 를 선택하여 관리되는 Google Play 서비스와 앱을 동기화합니다.
새로 고침을 선택하여 앱 목록을 업데이트하고 새로 추가된 앱을 표시합니다.
참고
Intune 관리되는 Google Play 스토어 간의 앱 동기화는 수동입니다. 따라서 새 앱을 승인할 때마다 동기화 단추를 선택해야 합니다.
앱이 Microsoft Intune 추가되면 사용자 및 디바이스에 앱을 할당할 수 있습니다. Microsoft Intune 관리 센터에서앱모든 앱>으로 이동합니다. 관리 아래에서 목록에 표시된 앱을 확인합니다.
그룹에 앱을 할당하려면 할당할 앱을 선택합니다. 메뉴의 관리 섹션에서 속성을 선택한 다음, 할당 옆에 있는 편집을 선택하여 그룹 추가 창을 엽니다.
할당 탭의 필수에서 그룹 추가를 선택하고 포함할 그룹을 선택한 다음 선택을 선택합니다.
할당 창에서 검토 + 저장을 선택하여 포함된 그룹 선택을 완료합니다.
할당 창에서 저장을 선택하여 변경 내용을 저장합니다.
앱 속성 보기로 돌아가 할당에서 앱을 확인합니다.
앱 배포에 대한 자세한 내용은 Microsoft Intune Android Enterprise 시스템 앱 추가를 참조하세요.
Android 엔터프라이즈 회사 프로필 등록 사용
Intune 포털에서 디바이스 등록 등록>제한으로 이동한 다음 디바이스 유형 제한에서 기본값을 선택합니다.
속성>플랫폼 선택을 선택하고, Android용 차단을 선택하고, Android 회사 프로필에 허용을 선택하고, 확인을 선택한 다음, 저장을 선택하여 변경 내용을 저장합니다.
참고
기본 제한은 우선 순위가 가장 낮으며 모든 사용자에게 적용되며 편집할 수 없습니다. 추가 사용자 지정 제한을 만들 때 이 구성과 충돌을 일으키지 않도록 할당된 그룹에 유의해야 합니다.
자세한 내용은 Android Enterprise 회사 프로필 디바이스 등록 설정을 참조하세요.
조건부 액세스 구성
Gmail 앱 또는 Nine Work 앱을 필수로 배포 합니다.
다음 단계에 따라 앱에 대한 이메일 프로필을 만듭니다.
Intune Azure Portal 디바이스 구성> 프로필프로필 만들기를> 선택한 다음 전자 메일 프로필의 이름 및 설명을 입력합니다.
플랫폼 드롭다운 목록에서 Android 엔터프라이즈를 선택합니다.
프로필 유형>회사 프로필만에서 Email 선택합니다.
메일 프로필 설정을 구성합니다.
이러한 설정에 대한 자세한 내용은 Intune 전자 메일, 인증 및 동기화를 구성하는 Android 디바이스 설정을 참조하세요.
메일 프로필을 만든 후에 그룹에 할당합니다.
디바이스 기반 조건부 액세스를 구성합니다.
자세한 내용은 Android 회사 프로필 디바이스에 대한 조건부 액세스 설정을 참조하세요.
Android 엔터프라이즈 디바이스 등록
회사 계정으로 로그인한 다음 지금 등록을 탭합니다.
액세스 설정 화면에서 계속을 탭합니다.
개인정보처리방침 화면에서 계속을 탭합니다.
다음 단계 화면에서 다음을 탭합니다.
회사 프로필 설정 화면에서 수락을 탭합니다.
회사 프로필 활성화 화면에서 계속을 탭합니다.
참고
맨 위에 배지 아이콘이 표시되어 이제 회사 프로필 내에 있습니다.
모든 설정 화면에서 완료를 탭합니다.
이제 Gmail에 로그인할 수 있습니다. 보안 설정을 업데이트하라는 메시지가 표시되면 지금 업데이트를 탭합니다.
활성화를 탭하여 Gmail을 디바이스 관리자로 활성화합니다.
자세한 내용은 Android 디바이스 등록을 참조하세요.
Android 회사 프로필 암호 다시 설정
다음 단계에 따라 회사 프로필 암호가 필요한 디바이스 프로필을 만듭니다.
Intune Azure Portal 디바이스 구성> 프로필프로필 만들기를> 선택하고 프로필의 이름 및 설명을 입력합니다.
플랫폼 드롭다운 목록에서 Android 엔터프라이즈를 선택합니다.
프로필 유형>회사 프로필만에서 디바이스 제한을 선택합니다.
회사 프로필 설정에서 회사 프로필 암호 필요에서 필요를 선택합니다.
Android 엔터프라이즈 디바이스에서 회사 프로필 암호를 설정하지 않은 경우 회사 프로필 암호를 설정하라는 메시지가 표시됩니다.
회사 프로필 보안 - 회사 지원에서 회사 프로필 암호를 원격으로 재설정할 수 있는 권한을 부여하라는 두 번째 프롬프트가 표시될 때까지 기다립니다. 암호를 입력하여 재설정 권한을 부여합니다. Intune 이 작업을 성공적으로 수행하는 데 필요한 암호 재설정 토큰을 활성화합니다.
참고
이러한 단계를 건너뛰면 다음 오류 메시지가 표시됩니다.
암호 재설정을 시작하지 못했습니다.암호 재설정을 선택합니다.
재설정이 완료되면 임시 암호가 표시됩니다.
디바이스에 이 임시 암호를 입력합니다.
새 PIN을 설정해야 하는 경우 이 임시 암호를 다시 입력한 다음 새 PIN을 입력해야 합니다.
암호 재설정에 대한 자세한 내용은 Android 회사 프로필 암호 재설정을 참조하세요.
질문과 대답
질문: Google Play for Work 스토어에서 승인되지 않은 앱이 Intune 관리 Portal의 Mobile Apps 페이지에서 제거되지 않는 이유는 무엇인가요?
답변: 이 동작이 필요합니다.
질문: 관리되는 Google Play 앱이 Intune 포털의 검색된 앱에서 보고되지 않는 이유는 무엇인가요?
답변: 이 동작이 필요합니다.
질문: 회사 프로필에 표시되는 Intune 통해 배포되지 않는 관리형 Google Play 앱이 있는 이유는 무엇인가요?
답변: 회사 프로필을 만들 때 디바이스 OEM에서 회사 프로필에서 시스템 앱을 사용하도록 설정할 수 있습니다. MDM 공급자가 제어하지 않습니다.
문제를 해결하려면 다음 단계를 수행합니다.
질문: 회사 프로필에 등록된 디바이스에 초기화(공장 초기화) 옵션을 사용할 수 없는 이유는 무엇인가요?
답변: 이 동작이 필요합니다. 회사 프로필 시나리오에서는 MDM 공급자가 디바이스를 완전히 제어할 수 없습니다. 사용 가능한 유일한 옵션은 전체 회사 프로필 및 모든 내용을 제거하는 사용 중지(회사 데이터 제거)입니다.
질문: 회사 프로필 등록 디바이스에서 내부 스토리지/Android/Data.com.microsoft.windowsintune.companyportal/파일 경로를 찾을 수 없는 이유는 회사 포털 로그를 수동으로 수집할 수 없는 이유는 무엇인가요?
답변: 이 동작이 필요합니다. 이 경로는 디바이스 관리(레거시 Android 등록) 시나리오에 대해서만 만들어집니다.
로그를 수집하려면 다음 단계를 수행합니다.
- 배지가 있는 회사 포털 앱에서 메뉴>도움말>Email 지원을 탭한 다음 로그 Email & 업로드 보내기를 탭합니다.
- 도움말 요청 보내기를 묻는 메시지가 표시되면 Email 앱 중 하나를 선택합니다.
- Microsoft 제품 지원에 제공할 수 있는 인시던트 ID를 사용하여 IT 관리자에게 이메일이 생성됩니다.
질문: 관리되는 Google Play 마지막 동기화 시간을 확인했는데 며칠 만에 업데이트되지 않았습니다. 이유
답변: 이 동작이 필요합니다. 동기화는 수동으로 수행할 때만 트리거됩니다.
질문: 웹 애플리케이션이 회사 프로필 등록 디바이스에 대해 지원되는가요?
답변: 예. 웹앱(또는 웹 링크)은 모든 Android Enterprise 시나리오에서 지원됩니다.
질문: 디바이스 암호 재설정이 지원되는가요?
답변: 회사 프로필 등록 디바이스의 경우 회사 프로필 암호가 관리되고 사용자가 다시 설정할 수 있는 경우 Android 8.0 이상을 실행하는 디바이스에서만 회사 프로필 암호를 다시 설정할 수 있습니다. 전용 및 완전 관리형 디바이스의 경우 디바이스 암호 재설정이 지원됩니다.
질문: 등록 시 디바이스를 암호화해야 합니다. 암호화를 해제하는 옵션이 있나요?
답변: 아니요. Google에서는 회사 프로필에 암호화가 필요합니다.
질문: Samsung 디바이스가 SwiftKey와 같은 타사 키보드 사용을 차단하는 이유는 무엇인가요?
답변: 삼성은 Android 8.0 이상 디바이스에서 이를 적용하기 시작했습니다. Microsoft는 현재 이 문제에 대해 삼성과 협력하고 있으며 사용 가능한 경우 새 정보를 게시합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기