MAM(앱 보호 정책)을 사용하여 Android 위험 신호에서 엔드포인트용 Microsoft Defender 구성
적용 대상:
MDM(모바일 디바이스 관리) 시나리오에서 엔터프라이즈 사용자를 이미 보호하는 Android의 엔드포인트용 Microsoft Defender는 이제 Intune MDM(모바일 디바이스 관리)을 사용하여 등록되지 않은 디바이스의 경우 MAM(모바일 앱 관리)으로 지원을 확장합니다. 또한 MAM(모바일 애플리케이션 관리)을 위해 Intune을 사용하면서 다른 엔터프라이즈 모바일 관리 솔루션을 사용하는 고객에게도 이 지원을 확장합니다. 이 기능을 사용하면 애플리케이션 내에서 조직의 데이터를 관리하고 보호할 수 있습니다.
Android의 엔드포인트용 Microsoft Defender 위협 정보는 이러한 앱을 보호하기 위해 Intune 앱 보호 정책에 의해 적용됩니다. 앱 보호 정책(APP)은 관리되는 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 관리되는 애플리케이션에는 앱 보호 정책이 적용되어 있으며 Intune에서 관리할 수 있습니다.
Android의 엔드포인트용 Microsoft Defender는 MAM의 두 구성을 모두 지원합니다.
- Intune MDM + MAM: IT 관리자는 Intune MDM(모바일 디바이스 관리)에 등록된 디바이스에서 앱 보호 정책을 사용하여 앱만 관리할 수 있습니다.
- 디바이스 등록이 없는 MAM: 디바이스 등록이 없는 MAM 또는 MAM-WE를 사용하면 IT 관리자가 Intune MDM에 등록되지 않은 디바이스에서 앱 보호 정책을 사용하여 앱을 관리할 수 있습니다. 이 프로비전은 타사 EMM 공급자에 등록된 디바이스에서 Intune에서 앱을 관리할 수 있음을 의미합니다. 이러한 두 구성에서 앱을 관리하려면 고객은 Microsoft Intune 관리 센터에서 Intune을 사용해야 합니다.
이 기능을 사용하려면 관리자가 엔드포인트용 Microsoft Defender와 Intune 간의 연결을 구성하고, 앱 보호 정책을 만들고, 대상 디바이스 및 애플리케이션에 정책을 적용해야 합니다.
또한 최종 사용자는 디바이스에 엔드포인트용 Microsoft Defender를 설치하고 온보딩 흐름을 활성화하는 단계를 수행해야 합니다.
관리자 필수 구성 요소
microsoft Defender for Endpoint-Intune 커넥터가 사용하도록 설정되어 있는지 확인합니다.
App(App Protection 정책)용 Android 커넥터에서 엔드포인트용 Microsoft Defender를 사용하도록 설정합니다.
앱 보호 정책을 위해 Microsoft Intune에서 커넥터를 구성합니다.
앱 보호 정책을 만듭니다.
앱 보호 정책을 만들어 엔드포인트용 Microsoft Defender 위험 신호를 기반으로 관리되는 앱의 액세스를 차단하거나 데이터를 초기화합니다.
앱 보호 정책(앱, MAM이라고도 함)에 사용할 위협 신호를 보내도록 엔드포인트용 Microsoft Defender를 구성할 수 있습니다. 이 기능을 사용하면 엔드포인트용 Microsoft Defender를 사용하여 관리되는 앱을 보호할 수 있습니다.
정책을 만듭니다.
앱 보호 정책(APP)은 관리되는 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙이거나, 사용자가 앱 내에 있을 때 금지되거나 모니터링되는 일련의 작업일 수 있습니다.
앱을 추가합니다.
다른 디바이스의 앱에 이 정책을 적용하는 방법을 선택합니다. 그런 다음 하나 이상의 앱을 추가합니다.
이 옵션을 사용하여 이 정책이 관리되지 않는 디바이스에 적용되는지 여부를 지정합니다. Android에서는 Android Enterprise, 디바이스 관리자 또는 관리되지 않는 디바이스에 적용되는 정책을 지정할 수 있습니다. 또한 모든 관리 상태의 디바이스에서 앱에 대한 정책을 대상으로 지정할 수도 있습니다.
모바일 앱 관리에는 디바이스 관리가 필요하지 않으므로 관리되는 디바이스와 관리되지 않는 디바이스 둘 다에서 회사 데이터를 보호할 수 있습니다. 관리는 사용자 ID를 중심으로 하며 디바이스 관리에 대한 요구 사항이 제거됩니다. 회사는 MDM 유무에 관계없이 동시에 앱 보호 정책을 사용할 수 있습니다. 예를 들어, 회사에서 지급한 휴대폰과 개인 태블릿을 모두 사용하는 직원을 생각해 보세요. 회사 휴대폰은 MDM에 등록되고 앱 보호 정책으로 보호되고 개인 태블릿은 앱 보호 정책으로만 보호됩니다.
앱을 선택합니다:
관리 앱은 앱 보호 정책이 적용되어 있으며 Intune을 통해 관리할 수 있는 앱입니다. Intune SDK와 통합되었거나 Intune 앱 래핑 도구에 의해 래핑된 모든 앱은 Intune 앱 보호 정책을 사용하여 관리할 수 있습니다. 이러한 도구를 사용하여 작성되었으며 공용으로 사용할 수 있는 Microsoft Intune 보호 앱의 공식 목록을 참조하세요.
예: 관리되는 앱으로 Outlook
보호 정책에 대한 로그인 보안 요구 사항을 설정합니다.
디바이스 조건에서허용되는 최대 디바이스 위협 수준 설정을 > 선택하고 값을 입력합니다. 그런 다음 작업: "액세스 차단"을 선택합니다. Android의 엔드포인트용 Microsoft Defender는 이 디바이스 위협 수준을 공유합니다.
정책을 적용해야 하는 사용자 그룹을 할당합니다.
포함된 그룹을 선택합니다. 그런 다음 관련 그룹을 추가합니다.
참고
구성 정책이 MAM(등록되지 않은 디바이스)을 대상으로 하는 경우 관리 디바이스를 사용하는 대신 Managed Apps에 일반 앱 구성 설정을 배포하는 것이 좋습니다.
디바이스에 앱 구성 정책을 배포할 때 여러 정책이 동일한 구성 키에 대해 서로 다른 값을 가지며 동일한 앱 및 사용자를 대상으로 하는 경우 문제가 발생할 수 있습니다. 이러한 문제는 서로 다른 값을 해결하기 위한 충돌 해결 메커니즘이 없기 때문입니다. 디바이스에 대한 단일 앱 구성 정책만 정의되고 동일한 앱 및 사용자를 대상으로 지정하도록 하여 이러한 문제를 방지할 수 있습니다.
최종 사용자 필수 구성 요소
broker 앱을 설치해야 합니다.
- Intune 회사 포털
사용자에게 관리되는 앱에 필요한 라이선스가 있고 앱이 설치되어 있습니다.
최종 사용자 온보딩
관리되는 애플리케이션(예: Outlook)에 로그인합니다. 디바이스가 등록되고 애플리케이션 보호 정책이 디바이스에 동기화됩니다. 애플리케이션 보호 정책은 디바이스의 상태를 인식합니다.
계속을 선택합니다. Microsoft Defender: 바이러스 백신(모바일) 앱의 다운로드 및 설정을 권장하는 화면이 표시됩니다.
다운로드를 선택합니다. 앱 스토어로 리디렉션됩니다(Google play).
Microsoft Defender: 바이러스 백신(모바일) 앱을 설치하고 관리되는 앱 온보딩 화면으로 돌아갑니다.
계속 > 시작을 클릭합니다. 엔드포인트용 Microsoft Defender 앱 온보딩/활성화 흐름이 시작됩니다. 단계에 따라 온보딩을 완료합니다. 이제 디바이스가 정상 상태임을 나타내는 관리형 앱 온보딩 화면으로 자동으로 다시 리디렉션됩니다.
계속을 선택하여 관리되는 애플리케이션에 로그인합니다.
웹 보호 구성
Android의 엔드포인트용 Defender를 사용하면 IT 관리자가 웹 보호를 구성할 수 있습니다. 웹 보호는 Microsoft Intune 관리 센터 내에서 사용할 수 있습니다.
웹 보호는 웹 위협으로부터 디바이스를 보호하고 피싱 공격으로부터 사용자를 보호하는 데 도움이 됩니다. 피싱 방지 및 사용자 지정 표시기(URL 및 IP 주소)는 웹 보호의 일부로 지원됩니다. 웹 콘텐츠 필터링은 현재 모바일 플랫폼에서 지원되지 않습니다.
Microsoft Intune 관리 센터에서 앱 앱 구성 정책 > 관리되는 앱 > 추가>로 이동합니다.
정책에 이름을 지정하세요.
퍼블릭 앱 선택에서 엔드포인트용 Microsoft Defender를 대상 앱으로 선택합니다.
설정 페이지의 일반 구성 설정에서 다음 키를 추가하고 필요에 따라 해당 값을 설정합니다.
- 암호화 방지
- vpn
웹 보호를 사용하지 않도록 설정하려면 암호화 방지 및 VPN 값에 대해 0을 입력합니다.
웹 보호에 의한 VPN 사용만 사용하지 않도록 설정하려면 다음 값을 입력합니다.
- vpn의 경우 0
- 안티피싱용 1
DefenderMAMConfigs 키를 추가하고 값을 1로 설정합니다.
사용자에게 이 정책을 할당합니다. 기본적으로 이 값은 false로 설정됩니다.
정책을 검토하고 만듭니다.
네트워크 보호 구성
Microsoft Intune 관리 센터에서 앱 앱>구성 정책으로 이동합니다. 새 앱 구성 정책을 만듭니다. 관리되는 앱을 클릭합니다.
정책을 고유하게 식별하는 이름과 설명을 제공합니다. 정책을 '선택한 앱' 으로 대상으로 지정하고 'Android용 Microsoft Defender 엔드포인트'를 검색합니다. 항목을 클릭한 다음 선택 , 다음을 차례로 클릭합니다.
다음 표의 키와 값을 추가합니다. Managed Apps 경로를 사용하여 만드는 모든 정책에 "DefenderMAMConfigs" 키가 있는지 확인합니다. 관리 디바이스 경로의 경우 이 키가 없어야 합니다. 완료되면 다음을 클릭합니다.
키 값 형식 기본값(1-enable, 0-disable) 설명 DefenderNetworkProtectionEnable
정수 1 1 - 사용, 0 - 사용 안 함; 이 설정은 IT 관리자가 Defender 앱에서 네트워크 보호 기능을 사용하거나 사용하지 않도록 설정하는 데 사용됩니다. DefenderAllowlistedCACertificates
String 없음 None-Disable; 이 설정은 IT 관리자가 루트 CA 및 자체 서명된 인증서에 대한 신뢰를 설정하는 데 사용됩니다. DefenderCertificateDetection
정수 0 2-사용, 1 - 감사 모드, 0 - 사용 안 함; 값이 2인 이 기능을 사용하도록 설정하면 Defender에서 잘못된 인증서를 검색하면 최종 사용자 알림이 사용자에게 전송됩니다. 경고도 SOC 관리자에게 전송됩니다. 감사 모드(1)에서는 알림 경고가 SOC 관리자에게 전송되지만 Defender에서 잘못된 인증서를 검색하면 최종 사용자 알림이 사용자에게 표시되지 않습니다. 관리자는 0을 값으로 사용하여 이 검색을 사용하지 않도록 설정하고 2를 값으로 설정하여 전체 기능 기능을 사용하도록 설정할 수 있습니다. DefenderOpenNetworkDetection
정수 2 2-사용, 1 - 감사 모드, 0 - 사용 안 함; 이 설정은 IT 관리자가 열린 네트워크 검색을 사용하거나 사용하지 않도록 설정하는 데 사용됩니다. 값이 1인 감사 모드로 전환하면 알림 경고가 SOC 관리자에게 전송되지만 Defender가 열린 네트워크를 검색하면 최종 사용자 알림이 사용자에게 표시되지 않습니다. 값 2를 사용하도록 설정하면 최종 사용자 알림이 표시되고 SOC 관리자에게도 경고가 전송됩니다. DefenderEndUserTrustFlowEnable
정수 0 1 - 사용, 0 - 사용 안 함; 이 설정은 IT 관리자가 비보안 및 의심스러운 네트워크를 신뢰하고 신뢰할 수 없도록 최종 사용자 앱 내 환경을 사용하거나 사용하지 않도록 설정하는 데 사용됩니다. DefenderNetworkProtectionAutoRemediation
정수 1 1 - 사용, 0 - 사용 안 함; 이 설정은 IT 관리자가 사용자가 더 안전한 Wi-Fi 액세스 지점으로 전환하거나 Defender에서 검색한 의심스러운 인증서를 삭제하는 등의 수정 작업을 수행할 때 전송되는 수정 경고를 사용하거나 사용하지 않도록 설정하는 데 사용됩니다. DefenderNetworkProtectionPrivacy
정수 1 1 - 사용, 0 - 사용 안 함; 이 설정은 IT 관리자가 네트워크 보호에서 개인 정보를 사용하거나 사용하지 않도록 설정하는 데 사용됩니다. 값 0으로 개인 정보를 사용하지 않도록 설정하면 악의적인 wifi 또는 인증서 데이터를 공유하는 사용자 동의가 표시됩니다. 값이 1인 사용 상태인 경우 사용자 동의가 표시되지 않고 앱 데이터가 수집되지 않습니다. 정책을 적용할 그룹을 포함하거나 제외합니다. 정책을 검토하고 제출합니다.
참고
- 네트워크 보호의 다른 구성 키는 부모 키 'DefenderNetworkProtectionEnable'이 사용하도록 설정된 경우에만 작동합니다.
- 사용자는 위치 권한(선택적 권한)을 사용하도록 설정해야 하며 앱이 적극적으로 사용되지 않는 경우에도 Wi-Fi 위협 방지를 보장하기 위해 "모든 시간 허용" 권한을 부여해야 합니다. 사용자가 위치 권한을 거부하면 엔드포인트용 Defender는 네트워크 위협으로부터 제한된 보호만 제공할 수 있으며 악의적인 인증서로부터만 사용자를 보호합니다.
개인 정보 제어 구성
관리자는 다음 단계를 사용하여 개인 정보를 사용하도록 설정하고 해당 위협에 대한 경고 보고서의 일부로 도메인 이름, 앱 세부 정보 및 네트워크 정보를 수집하지 않을 수 있습니다.
- Microsoft Intune 관리 센터에서 앱 앱 구성 정책 > 관리되는 앱 > 추가>로 이동합니다.
- 정책에 이름을 지정하세요.
- 퍼블릭 앱 선택에서 엔드포인트용 Microsoft Defender를 대상 앱으로 선택합니다.
- 설정 페이지의 일반 구성 설정에서 DefenderExcludeURLInReport 및 DefenderExcludeAppInReport 를 키 및 값으로 1로 추가합니다.
- DefenderMAMConfigs 키를 추가하고 값을 1로 설정합니다.
- 사용자에게 이 정책을 할당합니다. 기본적으로 이 값은 0으로 설정됩니다.
- 설정 페이지의 일반 구성 설정에서 DefenderExcludeURLInReport, DefenderExcludeAppInReport 를 키 및 값으로 true로 추가합니다.
- DefenderMAMConfigs 키를 추가하고 값을 1로 설정합니다.
- 사용자에게 이 정책을 할당합니다. 기본적으로 이 값은 false로 설정됩니다.
- 정책을 검토하고 만듭니다.
선택적 권한
Android의 엔드포인트용 Microsoft Defender는 온보딩 흐름에서 선택적 권한을 사용하도록 설정합니다. 현재 MDE에 필요한 권한은 온보딩 흐름에서 필수입니다. 이 기능을 사용하면 관리자는 온보딩하는 동안 필수 VPN 및 접근성 권한을 적용하지 않고 MAM 정책을 사용하여 Android 디바이스에 MDE를 배포할 수 있습니다. 최종 사용자는 필수 권한 없이 앱을 온보딩할 수 있으며 나중에 이러한 권한을 검토할 수 있습니다.
선택적 권한 구성
다음 단계를 사용하여 디바이스에 대한 선택적 권한을 사용하도록 설정합니다.
Microsoft Intune 관리 센터에서 앱 앱 구성 정책 > 관리되는 앱 > 추가>로 이동합니다.
정책에 이름을 지정하세요.
퍼블릭 앱에서 엔드포인트용 Microsoft Defender 를 선택합니다.
설정 페이지에서 구성 디자이너 및 DefenderOptionalVPN 또는 DefenderOptionalAccessibility 또는 둘 다 키로 사용을 선택합니다.
DefenderMAMConfigs 키를 추가하고 값을 1로 설정합니다.
선택적 권한을 사용하도록 설정하려면 값을 1 로 입력하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 0으로 설정됩니다.
키가 1로 설정된 사용자의 경우 이러한 권한을 부여하지 않고도 앱을 온보딩할 수 있습니다.
설정 페이지에서 구성 디자이너 및 DefenderOptionalVPN 또는 DefenderOptionalAccessibility사용을 선택 하거나 키 및 값 형식을 부울로 선택합니다.
DefenderMAMConfigs 키를 추가하고 값을 1로 설정합니다.
선택적 권한을 사용하도록 설정하려면 true로 값을 입력하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 false로 설정됩니다.
키가 true로 설정된 사용자의 경우 사용자는 이러한 권한을 부여하지 않고도 앱을 온보딩할 수 있습니다.
다음을 선택하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.
사용자 흐름
사용자는 앱을 설치하고 열어 온보딩 프로세스를 시작할 수 있습니다.
관리자에게 선택적 사용 권한이 있는 경우 사용자는 VPN 또는 접근성 권한 또는 둘 다를 건너뛰고 온보딩을 완료하도록 선택할 수 있습니다.
사용자가 이러한 권한을 건너뛴 경우에도 디바이스는 온보딩할 수 있으며 하트비트가 전송됩니다.
사용 권한을 사용할 수 없으므로 웹 보호가 활성화되지 않습니다. 사용 권한 중 하나가 지정된 경우 부분적으로 활성화됩니다.
나중에 사용자는 앱 내에서 웹 보호를 사용하도록 설정할 수 있습니다. 그러면 디바이스에 VPN 구성이 설치됩니다.
참고
선택적 권한 설정은 웹 보호 사용 안 함 설정과 다릅니다. 선택적 권한은 온보딩 중에 사용 권한을 건너뛰는 데만 도움이 되지만 웹 보호를 사용하지 않도록 설정하면 사용자가 웹 보호 없이 엔드포인트용 Microsoft Defender 앱을 온보딩할 수 있는 동안 최종 사용자가 나중에 검토하고 사용하도록 설정할 수 있습니다. 나중에 사용하도록 설정할 수 없습니다.
로그아웃 사용 안 함
엔드포인트용 Defender를 사용하면 앱을 배포하고 로그아웃 단추를 비활성화할 수 있습니다. 로그아웃 단추를 숨기면 사용자가 Defender 앱에서 로그아웃할 수 없습니다. 이 작업은 엔드포인트용 Defender가 실행되고 있지 않을 때 디바이스 변조를 방지하는 데 도움이 됩니다.
다음 단계를 사용하여 로그아웃 사용 안 함을 구성합니다.
Microsoft Intune 관리 센터에서 앱 앱 구성 정책 > 관리되는 앱 > 추가>로 이동합니다.
정책에 이름을 입력합니다.
퍼블릭 앱 선택에서 엔드포인트용 Microsoft Defender를 대상 앱으로 선택합니다.
설정 페이지의 일반 구성 설정에서 DisableSignOut을 키로 추가하고 값을 1로 설정합니다.
- 기본적으로 로그아웃 사용 안 함 = 0.
- 관리자는 앱에서 로그아웃 단추를 사용하지 않도록 설정하려면 로그아웃 사용 안 함 = 1을 설정해야 합니다. 정책이 디바이스에 푸시되면 사용자에게 로그아웃 단추가 표시되지 않습니다.
다음을 선택하고 대상 디바이스 및 사용자에게 이 프로필을 할당합니다.
디바이스 태그 지정
Android의 엔드포인트용 Defender를 사용하면 관리자가 Intune을 통해 태그를 설정할 수 있도록 하여 온보딩하는 동안 모바일 디바이스에 대량 태그를 지정할 수 있습니다. 관리자는 구성 정책을 통해 Intune을 통해 디바이스 태그를 구성하고 사용자의 디바이스에 푸시할 수 있습니다. 사용자가 Defender를 설치하고 활성화하면 클라이언트 앱이 디바이스 태그를 보안 포털에 전달합니다. 디바이스 태그는 디바이스 인벤토리의 디바이스에 대해 표시됩니다.
다음 단계를 사용하여 디바이스 태그를 구성합니다.
Microsoft Intune 관리 센터에서 앱 앱 구성 정책 > 관리되는 앱 > 추가>로 이동합니다.
정책에 이름을 입력합니다.
퍼블릭 앱 선택에서 엔드포인트용 Microsoft Defender를 대상 앱으로 선택합니다.
설정 페이지에서 구성 디자이너 사용을 선택하고 DefenderDeviceTag를 키 및 값 형식으로 String으로 추가합니다.
- 관리자는 키 DefenderDeviceTag 를 추가하고 디바이스 태그에 대한 값을 설정하여 새 태그를 할당할 수 있습니다.
- 관리자는 키 DefenderDeviceTag의 값을 수정하여 기존 태그를 편집할 수 있습니다.
- 관리자는 DefenderDeviceTag 키를 제거하여 기존 태그를 삭제할 수 있습니다.
다음을 클릭하고 대상 디바이스 및 사용자에게 이 정책을 할당합니다.
참고
태그를 Intune과 동기화하고 보안 포털에 전달하려면 Defender 앱을 열어야 합니다. 태그가 포털에 반영되려면 최대 18시간이 걸릴 수 있습니다.
관련 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.