Intune Android Enterprise 디바이스의 모바일 애플리케이션 관리 및 개인 소유 회사 프로필

많은 조직에서 관리자는 다양한 디바이스에서 리소스 및 데이터를 보호해야 합니다. 한 가지 과제는 BYOD(Bring-your-own-device)라고도 하는 개인 Android Enterprise 디바이스를 사용하여 사용자를 위한 리소스를 보호하는 것입니다. Microsoft Intune BYOD(Bring-your-own-device)에 대한 두 가지 Android 배포 시나리오를 지원합니다.

• MAM(모바일 응용 프로그램 관리)
• Android Enterprise 개인 소유 회사 프로필

MAM 및 Android Enterprise 개인 소유 회사 프로필 배포 시나리오에는 BYOD 환경에 중요한 다음과 같은 주요 기능이 포함됩니다.

• organization 관리되는 데이터의 보호 및 분리: 두 솔루션 모두 organization 관리되는 데이터에 DLP(데이터 손실 방지) 컨트롤을 적용하여 organization 데이터를 보호합니다. 이러한 보호는 최종 사용자가 실수로 개인 앱 또는 계정에 공유하는 것과 같이 보호된 데이터가 실수로 누출되는 것을 방지합니다. 또한 데이터에 액세스하는 디바이스가 정상이며 손상되지 않도록 하는 역할을 합니다.

• 최종 사용자 개인 정보: MAM은 관리되는 애플리케이션의 최종 사용자 및 organization 콘텐츠를 구분하고 Android Enterprise 개인 소유 회사 프로필은 디바이스의 최종 사용자 콘텐츠와 MDM(모바일 디바이스 관리) 관리자가 관리하는 데이터를 구분합니다. 두 시나리오 모두에서 IT 관리자는 organization 관리되는 앱 또는 ID에 대한 PIN 전용 인증과 같은 정책을 적용합니다. IT 관리자는 최종 사용자가 소유하거나 제어하는 데이터를 읽거나 액세스하거나 지울 수 없습니다.

BYOD 배포를 위해 MAM 또는 Android Enterprise 개인 소유 회사 프로필을 선택하는지 여부는 요구 사항 및 비즈니스 요구 사항에 따라 달라집니다. 이 문서의 목표는 결정하는 데 도움이 되는 지침을 제공하는 것입니다. 관리형 Android 디바이스와 관련된 자세한 내용은 Intune 사용하여 Android 개인 소유/회사 소유 회사 프로필 디바이스 관리를 참조하세요.

Intune 앱 보호 정책 정보

Intune 앱 보호 정책(APP)은 사용자를 대상으로 하는 데이터 보호 정책입니다. 정책은 애플리케이션 수준에서 데이터 손실 보호를 적용합니다. Intune 앱 개발자는 앱 개발자가 만든 앱에서 APP 기능을 사용하도록 설정해야 합니다.

개별 Android 앱은 몇 가지 방법으로 APP에 대해 사용하도록 설정됩니다.

1. Microsoft 자사 앱에 기본적으로 통합됨: Android용 Microsoft 365(Office) 앱 및 기타 Microsoft 앱은 Intune APP 기본 제공과 함께 제공됩니다. Word, OneDrive, Outlook 등과 같은 이러한 Office 앱은 정책을 적용하기 위해 더 이상 사용자 지정이 필요하지 않습니다. 이러한 앱은 최종 사용자가 Google Play 스토어에서 직접 설치할 수 있습니다.

2. Intune SDK를 사용하는 개발자가 앱 빌드에 통합: 앱 개발자는 Intune SDK를 소스 코드에 통합하고 앱을 다시 컴파일하여 Intune APP 정책 기능을 지원할 수 있습니다.

3. Intune 앱 래핑 도구를 사용하여 래핑: 일부 고객은 Android 앱()을 컴파일합니다. APK 파일) 소스 코드에 액세스할 수 없습니다. 소스 코드가 없으면 개발자는 Intune SDK와 통합할 수 없습니다. SDK가 없으면 앱 정책을 사용하도록 설정할 수 없습니다. 개발자는 앱 정책을 지원하도록 앱을 수정하거나 다시 코딩해야 합니다.

   이를 돕기 위해 Intune 기존 ANDROID 앱(APK)에 대한 App Wrapping Tool 도구를 포함하고 APP 정책을 인식하는 앱을 만듭니다.

   이 도구에 대한 자세한 내용은 앱 보호 정책에 대한 기간 업무 앱 준비를 참조하세요.

APP에서 사용하도록 설정된 앱 목록을 보려면 다양한 모바일 애플리케이션 보호 정책 집합이 있는 관리되는 앱을 참조하세요.

배포 시나리오

이 섹션에서는 MAM 및 Android Enterprise 개인 소유 회사 프로필 배포 시나리오의 중요한 특징을 설명합니다.

MAM

MAM 배포는 디바이스가 아닌 앱에 대한 정책을 정의합니다. BYOD의 경우 MAM은 등록되지 않은 디바이스에서 자주 사용됩니다. 관리자는 앱을 보호하고 조직 데이터에 액세스하기 위해 APP 관리가 가능한 앱을 사용하고 이러한 앱에 데이터 보호 정책을 적용합니다.

이 기능은 다음에 적용됩니다.

• Android 4.4 이상

팁

자세한 내용은 앱 보호 정책이란?을 참조하세요.

Android Enterprise 개인 소유 회사 프로필

Android Enterprise 개인 소유 회사 프로필은 핵심 Android Enterprise 배포 시나리오입니다. Android Enterprise 개인 소유 회사 프로필은 Intune 관리할 수 있는 Android OS 수준에서 만든 별도의 파티션입니다.

Android Enterprise 개인 소유 회사 프로필에는 다음 기능이 포함되어 있습니다.

• 기존 MDM 기능: 관리형 Google Play를 사용하는 앱 수명 주기 관리와 같은 주요 MDM 기능은 모든 Android Enterprise 시나리오에서 사용할 수 있습니다. 관리형 Google Play는 사용자의 개입 없이 앱을 설치하고 업데이트하는 강력한 환경을 제공합니다. IT는 앱 구성 설정을 조직 앱에 푸시할 수도 있습니다. 또한 최종 사용자가 알 수 없는 원본에서 설치를 허용할 필요가 없습니다. 인증서 배포, WiFi/VPN 구성 및 디바이스 암호 설정과 같은 기타 일반적인 MDM 작업은 Android Enterprise 개인 소유 회사 프로필에서 사용할 수 있습니다.

• Android Enterprise 개인 소유 회사 프로필 경계의 DLP: Android Enterprise 개인 소유 회사 프로필을 사용하면 DLP 정책이 앱 수준이 아닌 회사 프로필 수준에서 적용됩니다. 예를 들어 복사/붙여넣기 보호는 앱에 적용되거나 회사 프로필에 의해 적용되는 APP 설정에 의해 적용됩니다. 앱이 회사 프로필에 배포되면 관리자는 APP 수준에서 이 정책을 해제하여 회사 프로필에 대한 복사/붙여넣기 보호를 일시 중지할 수 있습니다.

회사 프로필 환경을 최적화하기 위한 팁

Android Enterprise 개인 소유 회사 프로필로 작업할 때 APP 및 다중 ID를 사용하는 방법을 고려해야 합니다.

Android Enterprise 개인 소유 회사 프로필 내에서 APP을 사용하는 경우

Intune APP 및 Android Enterprise 개인 소유 회사 프로필은 함께 또는 별도로 사용할 수 있는 보완적인 기술입니다. 아키텍처적으로 두 솔루션 모두 개별 앱 계층의 APP 및 프로필 계층의 회사 프로필 등 서로 다른 계층에서 정책을 적용합니다. 앱 정책을 사용하여 관리되는 앱을 회사 프로필의 앱에 배포하는 것은 유효하고 지원되는 시나리오입니다. APP, 회사 프로필 또는 조합을 사용하려면 DLP 요구 사항에 따라 달라집니다.

Android Enterprise 개인 소유 회사 프로필 및 APP은 한 프로필이 organization 데이터 보호 요구 사항을 충족하지 않는 경우 추가 적용 범위를 제공하여 서로의 설정을 보완합니다. 예를 들어 회사 프로필은 앱이 신뢰할 수 없는 클라우드 스토리지 위치에 저장되지 않도록 제한하는 컨트롤을 기본적으로 제공하지 않습니다. APP에는 이 기능이 포함되어 있습니다. 회사 프로필에서만 제공하는 DLP가 충분하다고 판단하고 APP을 사용하지 않도록 선택할 수 있습니다. 또는 둘의 조합에서 보호를 요구할 수 있습니다.

Android Enterprise 개인 소유 회사 프로필에 대한 APP 정책 표시 안 함

여러 디바이스가 있는 개별 사용자(MAM 관리형 애플리케이션이 있는 등록되지 않은 디바이스 및 Android Enterprise 개인 소유 회사 프로필을 사용하는 관리 디바이스)를 지원해야 할 수 있습니다.

예를 들어 최종 사용자가 작업 앱을 열 때 PIN을 입력해야 합니다. 디바이스에 따라 PIN 기능은 APP 또는 회사 프로필에서 처리됩니다. MAM 관리형 애플리케이션의 경우 PIN-시작 동작을 포함한 액세스 제어가 APP에 의해 적용됩니다. 등록된 디바이스의 경우 디바이스 PIN과 APP PIN이 모두 필요하지 않도록 APP PIN을 사용하지 않도록 설정할 수 있습니다. ( Android에 대한 APP PIN 설정입니다. 회사 프로필 디바이스의 경우 OS에서 적용하는 디바이스 또는 회사 프로필 PIN을 사용할 수 있습니다. 이 시나리오를 수행하려면 앱이 회사 프로필에 배포될 때 적용되지 않도록 APP 설정을 구성합니다. 이러한 방식으로 구성하지 않으면 최종 사용자에게 디바이스에서 PIN을 입력하라는 메시지가 표시되고 APP 계층에서 다시 표시됩니다.

Android Enterprise 개인 소유 회사 프로필에서 다중 ID 동작 제어

Outlook 및 OneDrive와 같은 Office 애플리케이션에는 "다중 ID" 동작이 있습니다. 애플리케이션의 한 instance 내에서 최종 사용자는 여러 고유 계정 또는 클라우드 스토리지 위치에 연결을 추가할 수 있습니다. 애플리케이션 내에서 이러한 위치에서 검색된 데이터는 분리되거나 병합될 수 있습니다. 또한 사용자는 개인 ID()와 organization ID(user@outlook.comuser@contoso.com) 간에 컨텍스트 전환을 수행할 수 있습니다.

Android Enterprise 개인 소유 회사 프로필을 사용하는 경우 이 다중 ID 동작을 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정하면 회사 프로필에 있는 앱의 배지 인스턴스는 organization ID로만 구성할 수 있습니다. Office Android 앱을 지원하도록 허용된 계정 앱 구성 설정을 사용합니다.

자세한 내용은 iOS/iPadOS용 Outlook 배포 및 Android 앱 구성 설정을 참조하세요.

Intune APP을 사용하는 경우

Intune APP을 사용하는 것이 가장 좋은 몇 가지 엔터프라이즈 이동성 시나리오가 있습니다.

MDM 없음, 등록 없음, Google 서비스를 사용할 수 없음

일부 고객은 다양한 이유로 Android Enterprise 개인 소유 회사 프로필 관리를 비롯한 어떠한 형태의 디바이스 관리도 원하지 않습니다.

• 법적 및 책임 이유
• 사용자 환경의 일관성을 위해
• Android 디바이스 환경은 매우 다른 유형입니다.
• 회사 프로필 관리에 필요한 Google 서비스에 대한 연결은 없습니다.

예를 들어 중국 내 또는 사용자가 있는 고객은 Google 서비스가 차단되므로 Android 디바이스 관리를 사용할 수 없습니다. 이 경우 Intune APP for DLP를 사용합니다.

요약

Intune 사용하면 Android BYOD 프로그램에서 MAM 및 Android Enterprise 개인 소유 회사 프로필을 모두 사용할 수 있습니다. 비즈니스 및 사용 요구 사항에 따라 MAM 및/또는 회사 프로필을 사용하도록 선택할 수 있습니다. 요약하자면, 인증서 배포, 앱 푸시 등과 같은 관리 디바이스에서 MDM 작업이 필요한 경우 Android Enterprise 개인 소유 회사 프로필을 사용합니다. 애플리케이션 내에서 조직 데이터를 보호하려면 MAM을 사용합니다.

다음 단계

앱 보호 정책 사용을 시작하거나 디바이스를 등록합니다.