Microsoft Intune의 Android 앱 보호 정책 설정
이 문서에서는 Android 디바이스에 대한 앱 보호 정책 설정을 설명합니다. 설명된 정책 설정은 포털의 설정 창에서 앱 보호 정책에 대해 구성할 수 있습니다. 정책 설정에는 데이터 보호 설정, 액세스 요구 사항 및 조건부 시작의 세 가지 범주가 있습니다. 이 문서에서 정책 관리형 앱이라는 용어는 앱 보호 정책으로 구성된 앱을 나타냅니다.
중요
Android 디바이스에 대한 앱 보호 정책을 받으려면 디바이스에서 Intune 회사 포털 필요합니다.
Intune Managed Browser가 사용 중지되었습니다. 보호된 Intune 브라우저 환경에 Microsoft Edge를 사용하세요.
데이터 보호
데이터 전송
설정 | 사용 방법 | 기본값 |
---|---|---|
Android 백업 서비스에 조직 데이터 백업 |
차단을 선택하여 이 앱이 Android Backup 서비스에 회사 또는 학교 데이터를 백업하지 못하도록 합니다. 허용을 선택하여 이 앱이 회사 또는 학교 데이터를 백업할 수 있도록 허용합니다. |
허용 |
다른 앱으로 조직 데이터 보내기 | 이 앱에서 데이터를 받을 수 있는 앱을 지정합니다.
Intune에서 기본적으로 데이터를 전송할 수 있는 몇 가지 예외적인 앱 및 서비스가 있습니다. 또한 데이터가 Intune APP를 지원하지 않는 앱으로 전송되도록 허용해야 하는 경우 고유한 예외를 만들 수 있습니다. 자세한 내용은 데이터 전송 예외를 참조하세요. 이 정책은 Android 앱 링크에도 적용될 수 있습니다. 일반 웹 링크는 Open app links in Intune Managed Browser(Intune Managed Browser에서 앱 링크 열기) 정책 설정을 통해 관리됩니다. 참고 Intune 현재 Android Instant Apps 기능을 지원하지 않습니다. Intune 앱과의 데이터 연결을 차단합니다. 자세한 내용은 Android 개발자 설명서의 Android Instant Apps 를 참조하세요. 다른 앱으로 조직 데이터 보내기가 모든 앱으로 구성된 경우에도 OS 공유를 통해 텍스트 데이터를 클립보드로 전송할 수 있습니다. |
모든 앱 |
|
이 옵션은 이전 옵션에 대해 정책 관리형 앱을 선택한 경우 사용할 수 있습니다. | |
|
이 앱에서 다른 이름으로 저장 옵션을 사용할 수 없도록 설정하려면 차단을 선택합니다.
다른 이름으로 저장을 사용할 수 있도록 하려면 허용을 선택합니다.
차단으로 설정하면 선택한 서비스에 사용자가 복사본을 저장하도록 허용 설정을 구성할 수 있습니다. 참고:
|
허용 |
|
사용자는 선택한 서비스(비즈니스용 OneDrive, SharePoint, 사진 라이브러리, 상자 및 로컬 스토리지)에 저장할 수 있습니다. 다른 모든 서비스는 차단됩니다. | 0개 선택됨 |
|
일반적으로 사용자가 앱에서 하이퍼링크된 전화 번호를 선택하면 전화 번호가 미리 채워지고 전화를 걸 준비가 된 전화 걸기 앱이 열립니다. 이 설정의 경우 정책 관리 앱에서 시작될 때 이러한 유형의 콘텐츠 전송을 처리하는 방법을 선택합니다.
|
모든 전화 걸기 앱 |
|
특정 전화 걸기 앱을 선택한 경우 앱 패키지 ID를 제공해야 합니다. | Blank |
|
특정 전화 걸기 앱을 선택한 경우 전화 걸기 앱의 이름을 제공해야 합니다. | Blank |
|
일반적으로 사용자가 앱에서 하이퍼링크된 전화 번호를 선택하면 전화 번호가 미리 채워지고 전화를 걸 준비가 된 전화 걸기 앱이 열립니다. 이 설정의 경우 정책 관리 앱에서 시작될 때 이러한 유형의 콘텐츠 전송을 처리하는 방법을 선택합니다. 이 설정의 경우 정책 관리 앱에서 시작될 때 이러한 유형의 콘텐츠 전송을 처리하는 방법을 선택합니다.
|
모든 메시징 앱 |
|
특정 메시징 앱을 선택한 경우 앱 패키지 ID를 제공해야 합니다. | Blank |
|
특정 메시징 앱을 선택한 경우 메시징 앱의 이름을 제공해야 합니다. | Blank |
다른 앱의 데이터 받기 | 이 앱에 데이터를 전송할 수 있는 앱을 지정합니다.
Intune 데이터 전송을 허용할 수 있는 몇 가지 예외 앱 및 서비스가 있습니다. 앱 및 서비스의 전체 목록은 데이터 전송 예외 를 참조하세요. |
모든 앱 |
|
차단을 선택하여 이 앱의 계정 간에 데이터를 공유하는 열기 옵션 또는 기타 옵션을 사용하지 않도록 설정합니다.
열기를 사용할 수 있도록 설정하려면 허용을 선택합니다. 차단으로 설정하면 사용자가 선택한 서비스에서 데이터를 열도록 허용을 조직 데이터 위치에 허용되는 특정 서비스로 구성할 수 있습니다. 참고:
|
허용 |
|
사용자가 데이터를 열 수 있는 애플리케이션 스토리지 서비스를 선택합니다. 다른 모든 서비스는 차단됩니다. 서비스를 선택하지 않으면 사용자가 데이터를 열 수 없습니다. 지원되는 서비스:
|
모두 선택됨 |
다른 앱 간에 잘라내기, 복사하기 및 붙여넣기 제한 | 이 앱에서 잘라내기, 복사 및 붙여넣기 동작을 사용할 수 있는 경우를 지정합니다. 다음 중에서 선택합니다.
|
모든 앱 |
|
조직 데이터 및 계정에서 잘라내거나 복사할 수 있는 문자 수를 지정합니다. 이렇게 하면 "다른 앱으로 잘라내기, 복사 및 붙여넣기 제한" 설정에 의해 차단될 때 지정된 수의 문자를 공유할 수 있습니다. 기본값 = 0 참고: Intune 회사 포털 버전 5.0.4364.0 이상이 필요합니다. |
0 |
화면 캡처 및 Google Assistant |
차단을 선택하여 화면 캡처를 차단하고, 검색할 원을 차단하고, 이 앱을 사용할 때 디바이스의 조직 데이터에 액세스하는 Google Assistant를 차단합니다.
차단을 선택하면 회사 또는 학교 계정으로 이 앱을 사용할 때 앱 전환기 미리 보기 이미지도 흐리게 표시됩니다. 참고: 조직 데이터에 액세스하지 않는 시나리오의 경우 사용자가 Google Assistant에 액세스할 수 있습니다. |
차단 |
승인된 키보드 |
필요를 선택한 다음, 이 정책에 대해 승인된 키보드 목록을 지정합니다. 승인된 키보드를 사용하지 않는 사용자는 보호된 앱을 사용하기 전에 승인된 키보드를 다운로드하고 설치하라는 메시지가 표시됩니다. 이 설정을 사용하려면 앱에 Android용 Intune SDK 버전 6.2.0 이상이 있어야 합니다. |
필요하지 않음 |
|
이 옵션은 이전 옵션에 대해 필요 를 선택할 때 사용할 수 있습니다.
선택을 선택하여 이 정책으로 보호되는 앱에서 사용할 수 있는 키보드 및 입력 방법 목록을 관리합니다. 목록에 키보드를 추가하고 기본 옵션을 제거할 수 있습니다. 설정을 저장하려면 승인된 키보드가 하나 이상 있어야 합니다. 시간이 지남에 따라 Microsoft는 새 앱 보호 정책에 대한 목록에 키보드를 추가할 수 있습니다. 그러면 관리자가 필요에 따라 기존 정책을 검토하고 업데이트해야 합니다. 키보드를 추가하려면 다음을 지정합니다.
메모: 여러 앱 보호 정책이 할당된 사용자는 모든 정책에 공통적으로 승인된 키보드만 사용할 수 있습니다. |
암호화
설정 | 사용 방법 | 기본값 |
---|---|---|
조직 데이터 암호화 |
필요를 선택하여 이 앱에서 회사 또는 학교 데이터의 암호화를 사용하도록 설정합니다. Intune Android Keystore 시스템과 함께 wolfSSL, 256비트 AES 암호화 체계를 사용하여 앱 데이터를 안전하게 암호화합니다. 데이터는 파일 I/O 작업 중에 동기적으로 암호화됩니다. 디바이스 스토리지의 콘텐츠는 항상 암호화되며 Intune 앱 보호 정책을 지원하고 정책이 할당된 앱에서만 열 수 있습니다. 새 파일은 256비트 키로 암호화됩니다. 기존 128비트 암호화된 파일은 256비트 키로 마이그레이션을 시도하지만 프로세스가 보장되지는 않습니다. 128비트 키로 암호화된 파일은 계속 읽을 수 있습니다. 암호화 방법은 FIPS 140-2의 유효성을 검사합니다. 자세한 내용은 wolfCrypt FIPS 140-2 및 FIPS 140-3을 참조하세요. |
필요 |
|
필요를 선택하여 모든 디바이스에서 Intune 앱 계층 암호화를 사용하여 조직 데이터를 암호화합니다. 등록된 디바이스에서 Intune 앱 계층 암호화를 사용하여 조직 데이터를 암호화하지 않려면 필요하지 않음을 선택합니다. | 필요 |
기능
설정 | 사용 방법 | 기본값 |
---|---|---|
네이티브 앱 또는 추가 기능과 정책 관리 앱 데이터 동기화 | 차단을 선택하여 정책 관리 앱이 디바이스의 네이티브 앱(연락처, 일정 및 위젯)에 데이터를 저장하지 못하도록 하고 정책 관리 앱 내에서 추가 기능을 사용하지 못하도록 합니다. 애플리케이션에서 지원되지 않는 경우 네이티브 앱에 데이터를 저장하고 추가 기능을 사용할 수 있습니다. 허용을 선택하면 정책 관리 앱은 기본 앱에 데이터를 저장하거나 추가 기능을 사용할 수 있습니다(해당 기능이 정책 관리 앱 내에서 지원되고 활성화된 경우). 애플리케이션은 특정 네이티브 앱에 대한 데이터 동기화 동작을 사용자 지정하거나 이 컨트롤을 적용하지 않는 추가 컨트롤을 제공할 수 있습니다. 참고: 선택적 초기화를 수행하여 작업 또는 학교 데이터를 앱에서 제거하면 정책 관리 앱에서 네이티브 앱으로 직접 동기화된 데이터가 제거됩니다. 네이티브 앱에서 다른 외부 원본으로 동기화된 데이터는 초기화되지 않습니다. 참고: 다음 앱은 이 기능을 지원합니다.
|
허용 |
조직 데이터 인쇄 | 차단을 선택하여 앱이 회사 또는 학교 데이터를 인쇄하지 못하도록 합니다. 이 설정에서 허용을 기본값으로 두면 사용자가 모든 조직 데이터를 내보내고 인쇄할 수 있습니다. | 허용 |
다른 앱을 사용한 웹 콘텐츠 전송 제한 | 정책 관리형 애플리케이션에서 웹 콘텐츠(http/https 링크)를 여는 방법을 지정합니다. 다음 중에서 선택합니다.
정책 관리 브라우저 Android에서 최종 사용자는 Intune Managed Browser 또는 Microsoft Edge가 설치되지 않은 경우 http/https 링크를 지원하는 다른 정책 관리 앱 중에서 선택할 수 있습니다. 정책 관리형 브라우저가 필요하지만 설치되지 않은 경우 최종 사용자에게 Microsoft Edge를 설치하라는 메시지가 표시됩니다. 정책 관리 브라우저가 필요한 경우 Android 앱 링크는 앱이 다른 앱으로 데이터를 전송하도록 허용 정책 설정에 의해 관리됩니다.
Intune 디바이스 등록
정책 관리형 Microsoft Edge |
구성되지 않음 |
|
단일 브라우저에 대한 애플리케이션 ID를 입력합니다. 정책 관리 애플리케이션의 웹 콘텐츠(http/https 링크)가 지정된 브라우저에서 열립니다. 웹 콘텐츠가 대상 브라우저에서 관리되지 않습니다. | Blank |
|
관리되지 않는 브라우저 ID와 연결된 브라우저의 애플리케이션 이름을 입력합니다. 지정된 브라우저가 설치되지 않은 경우 이 이름이 사용자에게 표시됩니다. | Blank |
조직 데이터 알림 | 조직 계정에 대한 OS 알림을 통해 공유되는 조직 데이터의 양을 지정합니다. 이 정책 설정은 로컬 디바이스 및 연결된 디바이스(예: 착용식 및 스마트 스피커)에 영향을 줍니다. 앱은 알림 동작을 사용자 지정하는 추가 컨트롤을 제공하거나 일부 값만 적용하도록 선택할 수 있습니다. 다음 중에서 선택합니다.
참고: 이 설정에는 앱 지원이 필요합니다.
|
허용 |
데이터 전송 예외
앱 보호 정책을 Intune 데이터 전송을 허용하는 몇 가지 예외 앱 및 플랫폼 서비스가 있습니다. 예를 들어 Android의 모든 Intune 관리되는 앱은 Google 텍스트 음성 변환으로 데이터를 전송할 수 있어야 모바일 디바이스 화면의 텍스트를 소리내어 읽을 수 있습니다. 이 목록은 변경될 수 있으며 생산성 보장에 유용한 서비스 및 앱을 나타냅니다.
전체 예외
이러한 앱 및 서비스는 Intune 관리되는 앱으로의 데이터 전송을 완벽하게 허용합니다.
앱/서비스 이름 | 설명 |
---|---|
com.android.phone | 네이티브 전화 앱 |
com.android.vending | Google Play 스토어 |
com.google.android.webview | WebView- Outlook을 비롯한 많은 앱에 필요합니다. |
com.android.webview | Webview- Outlook을 비롯한 많은 앱에 필요합니다. |
com.google.android.tts | Google 텍스트 음성 변환 |
com.android.providers.settings | Android 시스템 설정 |
com.android.settings | Android 시스템 설정 |
com.azure.authenticator | Azure Authenticator 앱- 많은 시나리오에서 성공적인 인증에 필요합니다. |
com.microsoft.windowsintune.companyportal | Intune 회사 포털 |
com.android.providers.contacts | 네이티브 연락처 앱 |
조건부 예외
이러한 앱 및 서비스는 특정 조건에서 Intune 관리되는 앱으로의 데이터 전송에만 허용됩니다.
앱/서비스 이름 | 설명 | 예외 조건 |
---|---|---|
com.android.chrome | Google Chrome 브라우저 | Chrome은 Android 7.0 이상의 일부 WebView 구성 요소에 사용되며 보기에서 숨겨지지 않습니다. 그러나 앱에서 오가는 데이터 흐름은 항상 제한됩니다. |
com.skype.raider | Skype | Skype 앱은 전화 통화를 유발하는 특정 작업에만 허용됩니다. |
com.android.providers.media | Android 미디어 콘텐츠 공급자 | 미디어 콘텐츠 공급자는 벨소리 선택 작업에만 허용됩니다. |
com.google.android.gms; com.google.android.gsf | Google Play 서비스 패키지 | 이러한 패키지는 푸시 알림과 같은 Google 클라우드 메시징 작업에 허용됩니다. |
com.google.android.apps.maps | Google Maps | 주소는 탐색할 수 있습니다. |
com.android.documentsui | Android 문서 선택기 | 파일을 열거나 만들 때 허용됩니다. |
com.google.android.documentsui | Android 문서 선택기(Android 10 이상) | 파일을 열거나 만들 때 허용됩니다. |
자세한 내용은 앱에 대한 데이터 전송 정책 예외를 참조하세요.
액세스 요구 사항
설정 | 사용 방법 |
---|---|
액세스용 PIN | 이 앱을 사용하는 데 PIN을 요구하려면 필요를 선택합니다. 회사 또는 학교 컨텍스트에서 앱을 처음으로 실행할 때 이 PIN을 설정하라는 메시지가 표시됩니다. 기본값 = 필요 액세스에 PIN 사용 섹션에서 제공되는 설정을 사용하여 PIN 강도를 구성할 수 있습니다. 메모: 앱에 액세스할 수 있는 최종 사용자는 앱 PIN을 다시 설정할 수 있습니다. Android 디바이스에서는 이 설정이 표시되지 않을 수 있습니다. Android 디바이스에는 최대 4개의 사용 가능한 바로 가기가 제한됩니다. 최대값에 도달하면 최종 사용자는 개인 설정된 바로 가기를 제거하거나 다른 관리되는 앱 보기에서 바로 가기에 액세스하여 앱 PIN 바로 가기 재설정을 확인해야 합니다. 또는 최종 사용자가 바로 가기를 홈페이지에 고정할 수 있습니다. |
PIN 형식 |
앱 보호 정책이 적용된 앱에 액세스하기 전에 숫자 또는 암호 유형 PIN의 요구 사항을 설정합니다. 숫자 요구 사항에는 숫자만 포함되고, 암호는 1자 이상의 알파벳 문자 또는 1자 이상의 특수 문자로 정의할 수 있습니다. 기본값 = 숫자 메모: 허용되는 특수 문자에는 Android 영어 키보드의 특수 문자와 기호가 포함됩니다. |
|
허용을 선택하여 사용자가 1234, 1111, abcd 또는 aaaa와 같은 간단한 PIN 시퀀스를 사용할 수 있도록 허용합니다.
블록을 선택하여 간단한 시퀀스를 사용하지 못하도록 합니다. 단순한 시퀀스는 3자 슬라이딩 윈도우로 확인됩니다.
차단이 구성된 경우 1235 또는 1112는 최종 사용자가 설정한 PIN으로 허용되지 않지만 1122는 허용됩니다. 기본값 = 허용 메모: 암호 유형 PIN이 구성되고 단순 PIN이 허용으로 설정된 경우 PIN에 하나 이상의 문자 또는 하나 이상의 특수 문자가 필요합니다. 암호 유형 PIN이 구성되고 단순 PIN이 차단으로 설정된 경우 사용자는 PIN에 하나 이상의 숫자 와 하나의 문자 와 하나 이상의 특수 문자가 필요합니다. |
|
PIN 시퀀스의 최소 자릿수를 지정합니다. 기본값 = 4 |
|
허용을 선택하여 사용자가 생체 인식을 사용하여 Android 디바이스에서 사용자를 인증할 수 있도록 허용합니다. 허용되는 경우 생체 인식은 Android 10 이상 디바이스에서 앱에 액세스하는 데 사용됩니다. |
|
이 설정을 사용하려면 필요를 선택한 다음, 비활성 시간 제한을 구성합니다. 기본값 = 필요 |
|
암호 또는 숫자(구성된 대로) PIN이 생체 인식 사용을 재정의하는 시간(분)을 지정합니다. 이 제한 시간 값은 ‘비활성인 시간(분)이 지난 후에 액세스 요구 사항 다시 확인’에 지정된 값보다 커야 합니다. 기본값 = 30 |
|
필수를 선택하여 사용자에게 클래스 3 생체 인식으로 로그인하도록 요구합니다. 클래스 3 생체 인식에 대한 자세한 내용은 Google 설명서의 생체 인식을 참조하세요. |
|
생체 인식 변경이 감지되면 PIN으로 생체 인식 사용을 재정의하려면 필요 를 선택합니다.
참고: |
|
지정한 기간(일 단위)이 지난 후 사용자에게 앱 PIN을 변경하도록 요구하려면 예를 선택합니다. 예로 설정하면 PIN 재설정을 요구하기 전 경과 일수를 구성할 수 있습니다. 기본값 = 아니요 |
|
PIN 재설정이 필요하기까지의 일 수를 구성합니다. 기본값 = 90 |
|
이 설정은 Intune 유지할 이전 PIN 수를 지정합니다. 새 PIN은 Intune 유지 관리 중인 PIN과 달라야 합니다. 기본값 = 0 |
|
회사 포털 구성된 등록된 디바이스에서 디바이스 잠금이 검색되면 앱 PIN을 사용하지 않도록 설정하려면 필요하지 않음을 선택합니다. 기본값 = Require. |
액세스를 위한 회사 또는 학교 계정 자격 증명 | 앱 액세스를 위해 PIN을 입력하는 대신 사용자가 회사 또는 학교 계정으로 로그인하도록 요구하려면 필요 를 선택합니다.
필요로 설정하고 PIN 또는 생체 인식 프롬프트가 켜져 있으면 회사 자격 증명과 PIN 또는 생체 인식 프롬프트가 모두 표시됩니다. 기본값 = 필요하지 않음 |
비활성인 시간(분)이 지난 후에 액세스 요구 사항 다시 확인 | 다음 설정을 구성합니다.
|
참고
Access 섹션에서 동일한 앱 및 사용자 집합에 대해 구성된 여러 Intune 앱 보호 설정이 Android에서 작동하는 방식에 대한 자세한 내용은 Intune MAM 질문과 Intune 앱 보호 정책 액세스 작업을 사용하여 선택적으로 데이터 지우기를 참조하세요.
조건부 실행
앱 보호 정책에 대한 로그인 보안 요구 사항을 설정하도록 조건부 시작 설정을 구성합니다.
기본적으로 미리 구성된 값과 작업이 포함된 몇 가지 설정이 제공됩니다. 최소 OS 버전과 같은 일부 설정을 삭제할 수 있습니다. 또한 항목 선택 드롭다운에서 설정을 추가로 선택할 수도 있습니다.
앱 조건
설정 | 사용 방법 |
---|---|
최대 PIN 시도 횟수 | 구성된 작업을 수행하기 전에 사용자가 PIN을 성공적으로 입력해야 하는 시도 횟수를 지정합니다. 최대 PIN 시도 후 사용자가 PIN을 성공적으로 입력하지 못한 경우 사용자는 계정에 성공적으로 로그인하고 필요한 경우 MFA(Multi-Factor Authentication) 챌린지를 완료한 후 핀을 다시 설정해야 합니다. 이 정책 설정 형식은 양의 정수를 지원합니다.
작업은 다음과 같습니다.
|
오프라인 유예 기간 | 관리되는 앱이 오프라인으로 실행할 수 있는 시간(분)입니다. 앱에 대한 액세스 요구 사항을 다시 확인하기 전의 시간(분)을 지정합니다.
작업은 다음과 같습니다.
|
최소 앱 버전 | 최소 애플리케이션 버전 값의 값을 지정합니다.
작업은 다음과 같습니다.
이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다. 이 정책 설정 형식은 major.minor, major.minor.build, major.minor.build.revision을 지원합니다. 또한 최종 사용자가 LOB(기간 업무) 앱의 업데이트된 버전을 다운로드할 수 있는 위치를 구성할 수 있습니다. 최종 사용자는 최소 앱 버전 조건부 시작 대화 상자에서 이 기능을 사용할 수 있습니다. 이 대화 상자는 최종 사용자에게 최소 버전의 LOB 앱으로 업데이트할지 묻는 메시지를 표시합니다. Android에서 이 기능은 회사 포털 사용합니다. 최종 사용자가 LOB 앱을 업데이트하는 방법을 구성하려면 앱에 관리형 앱 구성 정책과 com.microsoft.intune.myappstore 키가 함께 전송되어야 합니다. 전송된 값은 최종 사용자가 앱을 다운로드할 스토어를 정의합니다. 회사 포털을 통해 앱을 배포한 경우 값은 CompanyPortal 이어야 합니다. 다른 스토어의 경우에는 전체 URL을 입력해야 합니다. |
사용하지 않는 계정 | 이 설정에는 값을 설정할 필요가 없습니다.
작업은 다음과 같습니다.
|
비근무 시간 | 이 설정에는 값을 설정할 필요가 없습니다.
작업은 다음과 같습니다.
다음 앱은 v5.0.5849.0 이상을 회사 포털 이 기능을 지원합니다.
|
디바이스 조건
설정 | 사용 방법 |
---|---|
탈옥/루팅된 디바이스 | 디바이스에 대한 액세스를 차단할지 아니면 탈옥/루팅된 디바이스에 대한 디바이스 데이터를 초기화할지 여부를 지정합니다.
작업은 다음과 같습니다.
|
최소 OS 버전 | 이 앱을 사용하는 데 필요한 최소 Android 운영 체제를 지정합니다. 지정된 최소 OS 버전 아래의 OS 버전 이 작업을 트리거합니다.
작업은 다음과 같습니다.
|
최대 OS 버전 | 이 앱을 사용하는 데 필요한 최대 Android 운영 체제를 지정합니다. 지정된 최대 OS 버전 아래의 OS 버전은 작업을 트리거합니다.
작업은 다음과 같습니다.
|
최소 패치 버전 | 디바이스에 Google에서 릴리스한 최소 Android 보안 패치가 있어야 합니다.
|
디바이스 제조업체 | 세미콜론으로 구분된 제조업체 목록을 지정합니다. 이러한 값은 대/소문자를 구분하지 않습니다.
작업은 다음과 같습니다.
|
무결성 평결 재생 | 앱 보호 정책은 일부 Google Play 무결성 API를 지원합니다. 특히 이 설정은 최종 사용자 디바이스에서 Google의 Play 무결성 검사 구성하여 해당 디바이스의 무결성을 확인합니다.
기본 무결성 또는 기본 무결성 및 디바이스 무결성을 지정합니다. 기본 무결성 은 디바이스의 일반적인 무결성에 대해 알려줍니다. 변조 흔적이 있는 루팅된 디바이스, 에뮬레이터, 가상 디바이스 및 디바이스는 기본 무결성을 실패합니다. 인증된 디바이스에 & 기본 무결성 은 Google 서비스와 디바이스의 호환성에 대해 알려줍니다. Google의 인증을 받은 수정되지 않은 디바이스만이 이 검사를 통과할 수 있습니다. 조건부 시작에 필요한 대로 무결성 평가 재생을 선택하는 경우 강력한 무결성 검사 평가 유형으로 사용되도록 지정할 수 있습니다. 평가 유형으로 강력한 무결성이 검사 있으면 디바이스의 무결성이 높아집니다. 강력한 무결성 검사를 지원하지 않는 디바이스는 이 설정의 대상이 되는 경우 MAM 정책에 의해 차단됩니다. 강력한 무결성 검사 소프트웨어 전용 솔루션에서 항상 안정적으로 검색할 수 없는 최신 유형의 루팅 도구 및 메서드에 대한 응답으로 보다 강력한 루트 검색을 제공합니다. APP 내에서 하드웨어 증명은 무결성 평가 평가 재생이 구성되면 무결성 평가 재생 유형을강력한 무결성 확인으로 설정하고, 디바이스무결성 검사 구성되면 필수 SafetyNet 평가 유형을강력한 무결성 검사 설정하여 사용하도록 설정됩니다. 하드웨어 지원 증명은 Android 8.1 이상과 함께 설치된 디바이스와 함께 제공되는 하드웨어 기반 구성 요소를 활용합니다. 이전 버전의 Android에서 Android 8.1로 업그레이드된 디바이스에는 하드웨어 지원 증명에 필요한 하드웨어 기반 구성 요소가 거의 없습니다. 이 설정은 Android 8.1이 설치되어 출시되는 디바이스부터 광범위하게 지원되어야 하지만, 이 정책 설정을 광범위하게 사용하려면 먼저 디바이스를 개별적으로 테스트하는 것이 좋습니다. 중요하다: 이 평가 유형을 지원하지 않는 디바이스는 디바이스 무결성 검사 작업에 따라 차단되거나 초기화됩니다. 이 기능을 사용하려는 조직은 사용자가 지원되는 디바이스를 갖도록 해야 합니다. Google의 권장 디바이스에 대한 자세한 내용은 Android Enterprise 권장 요구 사항을 참조하세요.
작업은 다음과 같습니다.
|
앱에서 위협 검사 필요 | 앱 보호 정책은 Google Play Protect의 API 중 일부를 지원합니다. 이 설정은 특히 최종 사용자 디바이스에 대해 Google의 앱 확인 검사가 켜져 있는지 확인합니다. 이 설정을 구성하면 최종 사용자가 자신의 Android 디바이스에서 Google의 앱 검사를 켤 때까지 액세스가 차단됩니다.
작업은 다음과 같습니다.
|
필수 SafetyNet 평가 유형 | 하드웨어 지원 증명은 기존 SafetyNet 증명 서비스 검사 향상시킵니다. SafteyNet 디바이스 증명을 설정한 후 하드웨어 기반 키로 값을 설정할 수 있습니다. |
디바이스 잠금 필요 | 이 설정은 Android 디바이스에 최소 암호 요구 사항을 충족하는 디바이스 PIN이 있는지 여부를 결정합니다. 디바이스 잠금이 최소 암호 요구 사항을 충족하지 않는 경우 앱 보호 정책이 조치를 취할 수 있습니다.
값 은 다음과 같습니다.
이 복잡성 값은 Android 12 이상을 대상으로 합니다. Android 11 이하에서 작동하는 디바이스의 경우 복잡성 값을 낮음, 중간 또는 높음으로 설정하면 기본적으로 낮은 복잡성에 대한 예상 동작이 설정됩니다. 자세한 내용은 Google의 개발자 설명서 getPasswordComplexity, PASSWORD_COMPLEXITY_LOW, PASSWORD_COMPLEXITY_MEDIUM 및 PASSWORD_COMPLEXITY_HIGH 참조 하세요.
작업은 다음과 같습니다.
|
최소 회사 포털 버전 | 최소 회사 포털 버전을 사용하여 최종 사용자 디바이스에 적용되는 특정 최소 정의 버전의 회사 포털 지정할 수 있습니다. 이 조건부 시작 설정을 사용하면 각 값이 충족되지 않을 때 액세스 차단, 데이터 초기화및 경고를 가능한 작업으로 설정할 수 있습니다. 이 값에 사용할 수 있는 형식은 [주] 패턴을 따릅니다.[ Minor], [Major].[ Minor]. [빌드], 또는 [주].[ Minor]. [빌드]. [수정 버전]. 일부 최종 사용자가 해당 지점에서 앱의 강제 업데이트를 선호하지 않을 수 있으므로 이 설정을 구성할 때 '경고' 옵션이 이상적일 수 있습니다. Google Play 스토어는 앱 업데이트에 대한 델타 바이트만 보내는 작업을 잘 수행하지만, 업데이트 당시 데이터에 있는 경우 사용자가 활용하지 않으려는 많은 양의 데이터일 수 있습니다. 업데이트를 강제로 적용하여 업데이트된 앱을 다운로드하면 업데이트 시 예기치 않은 데이터 요금이 발생할 수 있습니다. 자세한 내용은 Android 정책 설정을 참조하세요. |
최대 회사 포털 버전 사용 기간(일) | Android 디바이스에 대한 회사 포털(CP) 버전의 기간으로 최대 일 수를 설정할 수 있습니다. 이 설정은 최종 사용자가 특정 범위의 CP 릴리스(일) 내에 있는지 확인합니다. 값은 0일에서 365일 사이여야 합니다. 디바이스에 대한 설정이 충족되지 않으면 이 설정에 대한 작업이 트리거됩니다. 작업에는 액세스 차단, 데이터 초기화 또는 경고가 포함됩니다. 관련 정보는 Android 정책 설정을 참조하세요. 메모: 회사 포털 빌드의 기간은 최종 사용자 디바이스의 Google Play에 의해 결정됩니다. |
Samsung Knox 디바이스 증명 | Samsung Knox 디바이스 증명 검사 필요한지 지정합니다. 삼성에서 확인한 수정되지 않은 디바이스만 이 검사 전달할 수 있습니다. 지원되는 디바이스 목록은 samsungknox.com 참조하세요. 이 설정을 사용하면 Microsoft Intune 회사 포털 Intune 서비스로의 통신이 정상 디바이스에서 전송되었는지도 확인합니다. 작업은 다음과 같습니다.
메모: 디바이스 증명 검사 수행하려면 먼저 사용자가 Samsung Knox 약관에 동의해야 합니다. 사용자가 Samsung Knox 약관을 수락하지 않으면 지정된 작업이 발생합니다. 메모: 이 설정은 대상으로 지정된 모든 디바이스에 적용됩니다. 이 설정을 Samsung 디바이스에만 적용하려면 "관리되는 앱" 할당 필터를 사용할 수 있습니다. 할당 필터에 대한 자세한 내용은 Microsoft Intune 앱, 정책 및 프로필을 할당할 때 필터 사용을 참조하세요. |
허용된 최대 디바이스 위협 수준 | 앱 보호 정책은 Intune-MTD 커넥터를 활용할 수 있습니다. 이 앱을 사용하기 위해 허용되는 최대 위협 수준을 지정합니다. 위협은 최종 사용자 디바이스에서 선택한 MTD(Mobile Threat Defense) 공급업체 앱에 따라 결정됩니다. ‘보안됨’, ‘낮음’, ‘보통’ 또는 ‘높음’을 지정합니다. ‘보안됨’의 경우 디바이스에 위협이 없어야 하며 구성할 수 있는 가장 제한적인 값이지만, ‘높음’의 경우 기본적으로 활성 Intune-MTD 연결이 필요합니다.
작업은 다음과 같습니다.
|
기본 MTD 서비스 | 여러 Intune-MTD 커넥터를 구성한 경우 최종 사용자 디바이스에서 사용해야 하는 기본 MTD 공급업체 앱을 지정합니다.
값 은 다음과 같습니다.
이 설정을 사용하려면 "허용되는 최대 디바이스 위협 수준" 설정을 구성해야 합니다. 이 설정에 대한 작업이 없습니다. |