공유 디바이스 모드 개요
공유 디바이스 모드는 공유 Android 및 iOS 디바이스가 필요한 최전방 작업자 및 교육 시나리오를 지원하는 애플리케이션을 빌드하고 배포할 수 있는 Microsoft Entra ID의 기능입니다.
단일 사용자용으로 설계된 디바이스에서 여러 사용자 지원
iOS 또는 Android를 실행하는 모바일 디바이스는 단일 사용자용으로 설계되었기 때문에 대부분의 애플리케이션은 단일 사용자가 사용하는 환경을 최적화합니다. 이러한 최적화된 환경의 일부는 전체 애플리케이션에서 SSO(Single Sign-On)를 사용하고 사용자가 디바이스에 로그인된 상태를 유지하는 것입니다. 사용자가 애플리케이션에서 계정을 제거하는 경우 일반적으로 앱은 보안 관련 이벤트를 고려하지 않습니다. 많은 앱이 빠른 로그인을 위해 사용자의 자격 증명을 유지합니다. 모바일 디바이스에서 애플리케이션을 삭제한 다음 다시 설치했을 때 로그인한 것을 발견하기 위해 직접 이 문제가 발생한 것일 수 있습니다.
자동 Single Sign-In 및 Single Sign-Out
조직의 직원이 직원들이 공유하는 디바이스 풀에서 앱을 사용할 수 있도록 하려면 개발자는 이와 반대되는 환경을 구현해야 합니다. 직원은 풀에서 디바이스를 선택하고, 단일 제스처를 수행하여 교대 근무 시간 동안 "자신의 디바이스로 만들 수 있어야 합니다". 근무 시간이 끝나면 다른 제스처를 수행하여 디바이스 전체에서 로그아웃하고 모든 개인 및 회사 정보가 제거된 상태로 디바이스를 풀로 돌려보낼 수 있습니다. 또한 직원이 로그아웃하는 것을 잊은 경우에는 해당 디바이스는 근무 시간 끝이나 일정 시간 비활성 후에 자동으로 로그아웃됩니다.
Microsoft Entra ID는 공유 디바이스 모드라는 기능을 사용하여 이러한 시나리오를 가능하게 합니다.
공유 디바이스 모드 소개
앞서 언급했듯이 공유 디바이스 모드는 다음 작업을 지원하는 Microsoft Entra ID의 기능입니다.
- 최전방 직원을 지원하는 애플리케이션을 빌드합니다.
- 공유 디바이스 모드를 지원하는 앱을 사용하여 최전방 작업자에게 디바이스를 배포합니다.
최전방 직원을 지원하는 애플리케이션 빌드
MSAL(Microsoft 인증 라이브러리) 및 Microsoft Authenticator 앱을 사용하여 '공유 디바이스 모드'라는 디바이스 상태를 설정하여 애플리케이션에서 최전방 직원을 지원할 수 있습니다. 디바이스가 공유 디바이스 모드에 있는 경우 Microsoft는 디바이스에서 사용자의 상태에 따라 해당 동작을 수정하여 사용자 데이터를 보호할 수 있는 정보를 애플리케이션에 제공합니다.
지원되는 기능:
- 지원되는 애플리케이션을 통해 사용자 디바이스 전체에 로그인합니다.
- 지원되는 애플리케이션을 통해 사용자 디바이스 전체에 로그아웃합니다.
- 디바이스의 상태를 쿼리하여 애플리케이션이 공유 디바이스 모드인지 확인합니다.
- 디바이스에서 사용자의 상태를 쿼리하여 애플리케이션을 마지막으로 사용한 이후 변경 내용이 있는지 확인합니다.
공유 디바이스 모드 지원은 애플리케이션의 기능 업그레이드로 간주되어야 하며, 여러 사용자가 동일한 디바이스를 사용하는 환경에서 도입을 향상시킬 수 있습니다.
한 사용자의 데이터가 다른 사용자에게 유출되지 않도록 하는 것은 개발자인 여러분에게 달렸습니다. 공유 디바이스 모드는 애플리케이션에 관리해야 하는 변경 내용이 발생했음을 나타내는 데 유용한 신호를 제공합니다. 여러분의 애플리케이션은 앱이 사용될 때마다 디바이스에서 사용자의 상태를 확인하여 이전 사용자의 데이터를 지우는 역할을 담당합니다. 이는 멀티태스킹 중 백그라운드에서 다시 로드되는 경우를 포함합니다. 사용자가 바뀌는 경우 이전 사용자의 데이터를 모두 지우고 애플리케이션에 표시되는 캐시된 데이터가 모두 제거되었는지 확인해야 합니다.
모든 데이터 손실 방지 시나리오를 지원하려면 Intune App SDK와 통합하는 것이 좋습니다. Intune App SDK를 사용하여 애플리케이션이 Intune 앱 보호 정책을 지원하도록 허용할 수 있습니다. 특히 로그아웃하는 동안 Intune 선택적 초기화 기능과 통합하고 iOS에서 사용자를 등록 취소하는 것이 좋습니다.
마지막으로 앱에 공유 디바이스 모드 기능을 추가한 후에는 항상 철저한 보안 검토 프로세스를 수행하는 것이 좋습니다.
공유 디바이스 모드를 지원하도록 애플리케이션을 수정하는 방법에 대한 자세한 내용은 이 문서의 끝에 있는 관련 콘텐츠 섹션을 참조하세요.
최전방 직원에게 디바이스 배포 및 공유 디바이스 모드 설정
애플리케이션에서 공유 디바이스 모드를 지원하고 필요한 데이터 및 보안 변경 내용을 포함한 후에는 최전방 직원이 사용할 수 있는 것으로 알릴 수 있습니다.
조직의 디바이스 관리자는 Microsoft Intune와 같은 MDM(모바일 디바이스 관리) 솔루션을 통해 디바이스와 애플리케이션을 저장소 및 작업 영역에 배포할 수 있습니다. 프로비전 프로세스의 일부로 디바이스를 '공유 디바이스'로 표시하고 있습니다. 관리자는 Microsoft Authenticator 앱을 배포하고 구성 매개 변수를 통해 공유 디바이스 모드를 설정하여 공유 디바이스 모드를 구성합니다. 이러한 단계를 완료하면 공유 디바이스 모드를 지원하는 모든 애플리케이션은 Microsoft Authenticator 애플리케이션을 사용하여 사용자 상태를 관리하고 디바이스 및 조직에 대한 보안 기능을 제공합니다.
앱 보호 정책을 사용하여 사용자 간에 데이터 손실 방지를 제공합니다.
공유 디바이스 모드와 함께 데이터 보호 기능을 제공하기 위해 Android 및 iOS의 Microsoft 365 애플리케이션용으로 지원되는 Microsoft의 데이터 보호 솔루션은 Microsoft Intune 애플리케이션 보호 정책입니다. 정책에 대한 자세한 내용은 앱 보호 정책 개요 - Microsoft Intune | Microsoft Learn을 참조하세요.
공유 디바이스에 대한 앱 보호 정책을 설정할 때 수준 2 엔터프라이즈 향상된 데이터 보호를 사용하는 것이 좋습니다. 수준 2 데이터 보호를 사용하면 공유 디바이스 모드로 지워지지 않은 디바이스의 일부로 데이터를 이동할 수 있는 데이터 전송 시나리오를 제한할 수 있습니다.
관련 콘텐츠
공유 디바이스 모드에서 iOS 및 Android 플랫폼을 지원합니다. 자세한 내용은 다음을 참조하세요.