앱 보호 정책을 만들고 할당하는 방법

조직의 사용자에 대한 Microsoft Intune 앱 보호 정책(APP)을 만들고 할당하는 방법을 알아봅니다. 이 항목에서는 기존 정책을 변경하는 방법도 설명합니다.

시작하기 전에

앱 보호 정책은 Intune 관리되거나 관리되지 않을 수 있는 디바이스에서 실행되는 앱에 적용할 수 있습니다. 앱 보호 정책의 작동 방식 및 Intune 앱 보호 정책에서 지원하는 시나리오에 대한 자세한 설명은 앱 보호 정책 개요를 참조하세요.

앱 보호 정책(APP)에서 사용할 수 있는 선택 항목을 통해 조직에서는 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 일부 경우에는 완전한 시나리오를 구현하는 데 어떤 정책 설정이 필요한지 명확하지 않을 수 있습니다. 조직에서 모바일 클라이언트 엔드포인트 강화의 우선 순위를 지정하는 데 도움을 주기 위해 Microsoft는 iOS 및 Android 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 대한 분류를 도입했습니다.

APP 데이터 보호 프레임워크는 다음과 같은 세 가지 구성 수준으로 구성되며 각 수준은 이전 수준을 기반으로 합니다.

• 엔터프라이즈 기본 데이터 보호(레벨 1)는 앱이 PIN 및 암호화로 보호되고 선택적 초기화 작업을 수행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. Exchange Online 사서함 정책에서 유사한 데이터 보호 제어 기능을 제공하고 IT 및 사용자 인구를 APP에 도입하는 엔트리 레벨 구성입니다.
• 엔터프라이즈 강화된 데이터 보호(레벨 2)는 APP 데이터 누출 방지 메커니즘과 최소 OS 요구 사항을 도입합니다. 이 구성은 직장 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
• 엔터프라이즈 고급 데이터 보호(레벨 3)는 고급 데이터 보호 메커니즘, 향상된 PIN 구성 및 APP 모바일 위협 방어를 도입합니다. 이 구성은 위험 수준이 높은 데이터에 액세스하는 사용자에게 적합합니다.

각 구성 레벨 및 보호해야 하는 최소 앱에 대한 구체적인 권장 사항을 보려면 앱 보호 정책을 사용하는 데이터 보호 프레임워크를 검토하세요.

Intune SDK를 통합한 앱 목록을 찾으려면 보호된 앱 Microsoft Intune 참조하세요.

앱 보호 정책을 준비하기 위해 Microsoft Intune 조직의 LOB(기간 업무) 앱을 추가하는 방법에 대한 자세한 내용은 Microsoft Intune 앱 추가를 참조하세요.

iOS/iPadOS 및 Android 앱에 대한 앱 보호 정책

iOS/iPadOS 및 Android 앱에 대한 앱 보호 정책을 만들 때 새 앱 보호 정책을 만드는 최신 Intune 프로세스 흐름을 따릅니다. Windows 앱에 대한 앱 보호 정책을 만드는 방법에 대한 자세한 내용은 Intune 사용하여 WIP(Windows Information Protection) 정책 만들기 및 배포를 참조하세요.

iOS/iPadOS 또는 Android 앱 보호 정책 만들기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 앱>앱 보호 정책을 선택합니다. 이렇게 선택하면 새 정책을 만들고 기존 정책을 편집하는 앱 보호 정책 세부 정보가 열립니다.

3. 정책 만들기를 선택하고 iOS/iPadOS 또는 Android를 선택합니다. 정책 만들기 창이 표시됩니다.

4. 기본 사항 페이지에서 다음 값을 추가합니다.

   값	설명
   이름	이 앱 보호 정책의 이름입니다.
   설명	[선택 사항] 이 앱 보호 정책에 대한 설명입니다.

   플랫폼 값은 위의 선택에 따라 설정됩니다.

   

5. 다음을 클릭하여 앱 페이지를 표시합니다.
   앱 페이지에서는 여러 장치에서 이 정책을 앱에 적용하는 방법을 선택할 수 있습니다. 하나 이상의 앱을 추가해야 합니다.

   값/옵션	설명
   모든 디바이스 유형의 앱 대상 지정	이 옵션을 사용하여 모든 관리 상태의 디바이스에서 앱을 대상으로 정책을 지정합니다. 아니요를 선택하여 특정 디바이스 유형에서 앱을 대상으로 지정합니다. 자세한 내용은 디바이스 관리 상태에 따라 앱 보호 정책 대상을 참조하세요.
   디바이스 유형	이 옵션을 사용하여 이 정책이 MDM 관리 디바이스 또는 관리되지 않는 디바이스에 적용되는지 여부를 지정합니다. iOS/iPadOS APP 정책의 경우 관리되지 않는 디바이스 및 관리 형 디바이스에서 선택합니다. Android APP 정책의 경우 비관리형, Android 디바이스 관리자 및 Android Enterprise에서 선택합니다.
   대상 정책	대상 정책 드롭다운 상자에서 앱 보호 정책을 모든 앱, Microsoft Apps 또는 핵심 Microsoft Apps 대상으로 지정하도록 선택합니다. 모든 앱에는 Intune SDK를 통합한 모든 Microsoft 및 파트너 앱이 포함됩니다. Microsoft Apps Intune SDK를 통합한 모든 Microsoft 앱을 포함합니다. 핵심 Microsoft Apps Edge, Excel, Office, OneDrive, OneNote, Outlook, PowerPoint, SharePoint, Teams, To Do 및 Word 앱을 포함합니다. 다음으로 , 대상으로 지정할 앱 목록 보기를 선택하여 이 정책의 영향을 받는 앱 목록을 볼 수 있습니다.
   퍼블릭 앱	미리 정의된 앱 그룹 중 하나를 선택하지 않으려면 대상 정책 드롭다운 상자에서 선택한 앱을 선택하여 개별 앱을 대상으로 지정할 수 있습니다. 공용 앱 선택을 클릭하여 대상으로 지정할 퍼블릭 앱을 선택합니다.
   사용자 지정 앱	미리 정의된 앱 그룹 중 하나를 선택하지 않으려면 대상 정책 드롭다운 상자에서 선택한 앱을 선택하여 개별 앱을 대상으로 지정할 수 있습니다. 사용자 지정 앱 선택을 클릭하여 번들 ID에 따라 대상으로 지정할 사용자 지정 앱을 선택합니다. 동일한 정책의 모든 퍼블릭 앱을 대상으로 하는 경우 사용자 지정 앱을 선택할 수 없습니다.

   선택한 앱이 퍼블릭 및 사용자 지정 앱 목록에 표시됩니다.

   참고

   공용 앱이 지원되는 앱은 Microsoft Intune 일반적으로 사용되는 Microsoft 및 파트너의 앱입니다. 이러한 Intune 보호된 앱은 모바일 애플리케이션 보호 정책에 대한 다양한 지원 집합으로 사용하도록 설정됩니다. 자세한 내용은 보호된 앱 Microsoft Intune 참조하세요. 사용자 지정 앱은 Intune SDK와 통합되었거나 Intune App Wrapping Tool 래핑된 LOB 앱입니다. 자세한 내용은 Microsoft Intune 앱 SDK 개요 및 앱 보호 정책에 대한 기간 업무 앱 준비를 참조하세요.

6. 다음을 클릭하여 데이터 보호 페이지를 표시합니다.
   이 페이지에서는 잘라내기, 복사, 붙여넣기 및 다른으로 저장 제한을 비롯한 DLP(데이터 손실 방지) 컨트롤에 대한 설정을 제공합니다. 이러한 설정은 사용자가 이 앱 보호 정책이 적용되는 앱의 데이터와 상호 작용하는 방법을 결정합니다.

   데이터 보호 설정:

   • iOS/iPadOS 데이터 보호 - 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 데이터 보호를 참조하세요.
   • Android 데이터 보호 - 자세한 내용은 Android 앱 보호 정책 설정 - 데이터 보호를 참조하세요.

7. 다음을 클릭하여 액세스 요구 사항 페이지를 표시합니다.
   이 페이지에서는 사용자가 작업 컨텍스트의 앱에 액세스하기 위해 충족해야 하는 PIN 및 자격 증명 요구 사항을 구성할 수 있는 설정을 제공합니다.

   액세스 요구 사항 설정:

   • iOS/iPadOS 액세스 요구 사항 - 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 액세스 요구 사항을 참조하세요.
   • Android 액세스 요구 사항 - 자세한 내용은 Android 앱 보호 정책 설정 - 액세스 요구 사항을 참조하세요.

8. 다음을 클릭하여 조건부 시작 페이지를 표시합니다.
   이 페이지에서는 앱 보호 정책에 대한 로그인 보안 요구 사항을 설정하는 설정을 제공합니다. 설정을 선택하고 사용자가 회사 앱에 로그인하기 위해 충족해야 하는 값을 입력합니다. 그런 다음 사용자가 요구 사항을 충족하지 않을 경우 수행하려는 작업을 선택합니다. 경우에 따라 단일 설정에 대해 여러 작업을 구성할 수 있습니다.

   조건부 시작 설정:

   • iOS/iPadOS 조건부 시작 - 자세한 내용은 iOS/iPadOS 앱 보호 정책 설정 - 조건부 시작을 참조하세요.
   • Android 조건부 시작 - 자세한 내용은 Android 앱 보호 정책 설정 - 조건부 시작을 참조하세요.

9. 다음을 클릭하여 할당 페이지를 표시합니다.
   할당 페이지에서 사용자 그룹에 앱 보호 정책을 할당할 수 있습니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다.

10. 다음: 검토 + 만들기를 클릭하여 이 앱 보호 정책에 대해 입력한 값과 설정을 검토합니다.

11. 완료되면 만들기를 클릭하여 Intune 앱 보호 정책을 만듭니다.

    팁

    이러한 정책 설정은 작업 컨텍스트에서 앱을 사용하는 경우에만 적용됩니다. 최종 사용자가 앱을 사용하여 개인 작업을 수행하는 경우 이러한 정책의 영향을 받지 않습니다. 새 파일을 만들 때 개인 파일로 간주됩니다.

    중요

    앱 보호 정책이 기존 디바이스에 적용되는 데 시간이 걸릴 수 있습니다. 앱 보호 정책이 적용될 때 최종 사용자에게 디바이스에 알림이 표시됩니다. 동시 액세스 규칙을 적용하기 전에 디바이스에 앱 보호 정책을 적용합니다.

최종 사용자는 앱 스토어 또는 Google Play에서 앱을 다운로드할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.

• iOS/iPadOS용 회사 또는 학교 앱을 찾을 수 있는 위치
• Android용 회사 또는 학교 앱을 찾을 수 있는 위치

기존 정책 변경

기존 정책을 편집하고 대상 사용자에게 적용할 수 있습니다. 그러나 기존 정책을 변경하면 앱에 이미 로그인한 사용자에게는 8시간 동안 변경 내용이 표시되지 않습니다.

변경 내용의 효과를 즉시 확인하려면 최종 사용자가 앱에서 로그아웃한 다음 다시 로그인해야 합니다.

정책과 연결된 앱 목록을 변경하려면

1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

2. Intune 앱 보호 창에서 속성을 선택합니다.

3. 앱 섹션 옆에 있는 편집을 선택합니다.

4. 앱 페이지에서는 여러 장치에서 이 정책을 앱에 적용하는 방법을 선택할 수 있습니다. 하나 이상의 앱을 추가해야 합니다.

   값/옵션	설명
   모든 디바이스 유형의 앱 대상 지정	이 옵션을 사용하여 모든 관리 상태의 디바이스에서 앱을 대상으로 정책을 지정합니다. 아니요를 선택하여 특정 디바이스 유형에서 앱을 대상으로 지정합니다. 이 설정에는 추가 앱 구성이 필요할 수 있습니다. 자세한 내용은 디바이스 관리 상태에 따라 앱 보호 정책 대상을 참조하세요.
   디바이스 유형	이 옵션을 사용하여 이 정책이 MDM 관리 디바이스 또는 관리되지 않는 디바이스에 적용되는지 여부를 지정합니다. iOS/iPadOS APP 정책의 경우 관리되지 않는 디바이스 및 관리 형 디바이스에서 선택합니다. Android APP 정책의 경우 비관리형, Android 디바이스 관리자 및 Android Enterprise에서 선택합니다.
   퍼블릭 앱	대상 정책 드롭다운 상자에서 앱 보호 정책을 모든 퍼블릭 앱, Microsoft Apps 또는 Core Microsoft Apps 대상으로 지정하도록 선택합니다. 다음으로 , 대상으로 지정할 앱 목록 보기를 선택하여 이 정책의 영향을 받는 앱 목록을 볼 수 있습니다. 필요한 경우 퍼블릭 앱 선택을 클릭하여 개별 앱을 대상으로 지정할 수 있습니다.
   사용자 지정 앱	사용자 지정 앱 선택을 클릭하여 번들 ID에 따라 대상으로 지정할 사용자 지정 앱을 선택합니다.

   선택한 앱이 퍼블릭 및 사용자 지정 앱 목록에 표시됩니다.

5. 검토 + 만들기를 클릭하여 이 정책에 대해 선택한 앱을 검토합니다.

6. 완료되면 저장 을 클릭하여 앱 보호 정책을 업데이트합니다.

사용자 그룹 목록을 변경하려면

1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

2. Intune 앱 보호 창에서 속성을 선택합니다.

3. 할당 섹션 옆에 있는 편집을 선택합니다.

4. 정책에 새 사용자 그룹을 추가하려면 포함 탭에서 포함할 그룹 선택을 선택하고 사용자 그룹을 선택합니다. 선택을 선택하여 그룹을 추가합니다.

5. 사용자 그룹을 제외하려면 제외 탭에서 제외할 그룹 선택을 선택하고 사용자 그룹을 선택합니다. 선택을 선택하여 사용자 그룹을 제거합니다.

6. 이전에 추가된 그룹을 삭제하려면 포함 또는 제외 탭에서 줄임표(...)를 선택하고 삭제를 선택합니다.

7. 검토 + 만들기를 클릭하여 이 정책에 대해 선택한 사용자 그룹을 검토합니다.

8. 할당 변경이 준비되면 저장 을 선택하여 구성을 저장하고 새 사용자 집합에 정책을 배포합니다. 구성을 저장하기 전에 취소 를 선택하면 포함 및 제외 탭에 적용한 모든 변경 내용이 삭제됩니다.

정책 설정을 변경하려면

1. 앱 보호 정책 창에서 변경할 정책을 선택합니다.

2. Intune 앱 보호 창에서 속성을 선택합니다.

3. 변경하려는 설정에 해당하는 섹션 옆에 있는 편집을 선택합니다. 그런 다음 설정을 새 값으로 변경합니다.

4. 검토 + 만들기를 클릭하여 이 정책에 대한 업데이트된 설정을 검토합니다.

5. 저장을 선택하여 변경 내용을 저장합니다. 모든 변경 내용이 완료될 때까지 프로세스를 반복하여 설정 영역을 선택하고 수정한 다음 변경 내용을 저장합니다. 그런 다음 Intune App Protection - 속성 창을 닫을 수 있습니다.

디바이스 관리 상태에 따라 앱 보호 정책 대상 지정

대부분의 조직에서는 최종 사용자가 회사 소유 디바이스와 같은 Intune MDM(모바일 장치 관리) 관리 디바이스와 Intune 앱 보호 정책으로만 보호되는 관리되지 않는 디바이스를 모두 사용할 수 있도록 허용하는 것이 일반적입니다. 관리되지 않는 디바이스는 BYOD(Bring Your Own Devices)라고도 합니다.

Intune 앱 보호 정책은 사용자의 ID를 대상으로 하므로 사용자의 보호 설정은 등록된 디바이스(MDM 관리) 및 등록되지 않은 디바이스(MDM 없음)에 모두 적용할 수 있습니다. 따라서 등록되거나 등록되지 않은 iOS/iPadOS 및 Android 디바이스를 Intune Intune 앱 보호 정책을 대상으로 지정할 수 있습니다. 엄격한 DLP(데이터 손실 방지) 컨트롤이 있는 관리되지 않는 디바이스에 대한 하나의 보호 정책과 DLP 컨트롤이 좀 더 완화될 수 있는 MDM 관리 디바이스에 대한 별도의 보호 정책을 사용할 수 있습니다. 개인 Android Enterprise 디바이스에서 작동하는 방법에 대한 자세한 내용은 앱 보호 정책 및 회사 프로필을 참조하세요.

이러한 정책을 만들려면 Intune 관리 센터에서 앱>앱 보호 정책으로 이동한 다음 정책 만들기를 선택합니다. 기존 앱 보호 정책을 편집할 수도 있습니다. 앱 보호 정책이 관리되는 디바이스와 관리되지 않는 디바이스 모두에 적용되도록 하려면 앱 페이지로 이동하여 모든 디바이스 유형의 앱에 대한 대상이 기본값인 예로 설정되어 있는지 확인합니다. 관리 상태에 따라 세분화하여 할당하려면 대상을 모든 디바이스 유형의 앱으로아니요로 설정합니다.

디바이스 유형

• 비관리형: iOS/iPadOS 디바이스의 경우 관리되지 않는 디바이스는 Intune MDM 관리 또는 타사 MDM/EMM 솔루션이 키를 전달 IntuneMAMUPN 하지 않는 모든 디바이스입니다. Android 디바이스의 경우 관리되지 않는 디바이스는 Intune MDM 관리가 검색되지 않은 디바이스입니다. 여기에는 타사 MDM 공급업체에서 관리하는 디바이스가 포함됩니다.
• 관리 디바이스 Intune: 관리되는 디바이스는 Intune MDM에서 관리됩니다.
• Android 디바이스 관리자: Android 디바이스 관리 API를 사용하여 관리되는 디바이스를 Intune.
• Android Enterprise: Android Enterprise 회사 프로필 또는 Android Enterprise 전체 장치 관리 사용하여 관리되는 디바이스를 Intune.
• Azure AD 공유 디바이스 모드가 있는 Android Enterprise 회사 소유 전용 디바이스: 공유 디바이스 모드가 있는 Android Enterprise 전용 디바이스를 사용하는 Intune 관리형 디바이스입니다.
• Android(AOSP) 사용자 관련 디바이스: AOSP 사용자 관련 관리를 사용하는 Intune 관리 디바이스입니다.
• Android(AOSP) 사용자 없는 디바이스: AOSP 사용자 없는 디바이스를 사용하는 Intune 관리되는 디바이스입니다. 또한 이러한 디바이스는 Azure AD 공유 디바이스 모드를 활용합니다.

Android에서 Android 디바이스는 선택한 디바이스 유형에 관계없이 Intune 회사 포털 앱을 설치하라는 메시지를 표시합니다. 예를 들어 'Android Enterprise'를 선택하면 관리되지 않는 Android 디바이스를 사용하는 사용자에게 여전히 메시지가 표시됩니다.

iOS/iPadOS의 경우 Intune 관리되는 디바이스에 '디바이스 유형' 선택을 적용하려면 추가 앱 구성 설정이 필요합니다. 이러한 구성은 특정 앱이 관리되고 APP 설정이 적용되지 않는다는 것을 APP 서비스에 전달합니다.

• 모든 MDM 관리형 애플리케이션에 대해 IntuneMAMUPN을 구성해야 합니다. 자세한 내용은 Microsoft Intune iOS/iPadOS 앱 간의 데이터 전송을 관리하는 방법을 참조하세요.
• IntuneMAMDeviceID 는 모든 타사 및 LOB(기간 업무) MDM 관리형 애플리케이션에 대해 구성되어야 합니다. IntuneMAMDeviceID를 디바이스 ID 토큰으로 구성해야 합니다. 예를 들면 key=IntuneMAMDeviceID, value={{deviceID}}와 같습니다. 자세한 내용은 관리형 iOS/iPadOS 디바이스에 대한 앱 구성 정책 추가를 참조하세요.
• IntuneMAMDeviceID만 구성된 경우 Intune APP은 디바이스를 관리되지 않는 것으로 간주합니다.

참고

디바이스 관리 상태를 기반으로 하는 앱 보호 정책에 대한 특정 iOS/iPadOS 지원 정보는 관리 상태에 따라 대상으로 지정된 MAM 보호 정책을 참조하세요.

정책 설정

iOS/iPadOS 및 Android에 대한 정책 설정의 전체 목록을 보려면 다음 링크 중 하나를 선택합니다.

• iOS/iPadOS 정책
• Android 정책

다음 단계

규정 준수 및 사용자 상태 모니터링

참고 항목

• Android용 회사 또는 학교 앱을 찾을 수 있는 위치(사용자 도움말)

• iOS/iPadOS용 회사 또는 학교 앱을 찾을 수 있는 위치(사용자 도움말)