Windows에 대한 앱 보호 정책 설정

  • 아티클

이 문서에서는 Windows에 대한 앱 보호 정책(APP) 설정에 대해 설명합니다. 설명된 정책 설정은 새 정책을 만들 때 Intune 관리 센터의 설정 창에서 앱 보호 정책에 대해 구성할 수 있습니다.

개인 Windows 디바이스에서 Microsoft Edge를 통해 조직 데이터에 대한 보호된 MAM 액세스를 사용하도록 설정할 수 있습니다. 이 기능을 Windows MAM이라고 하며 Intune ACP(애플리케이션 구성 정책), INtune APP(애플리케이션 보호 정책), Windows 보안 Center 클라이언트 위협 방어 및 애플리케이션 보호 조건부 액세스를 사용하는 기능을 제공합니다. Windows MAM에 대한 자세한 내용은 Windows MAM용 데이터 보호, Windows용MTD 앱 보호 정책 만들기Intune을 사용하여 Windows용 Microsoft Edge 구성을 참조하세요.

Windows에 대한 앱 보호 정책 설정에는 두 가지 범주가 있습니다.

중요

Windows의 Intune MAM은 관리되지 않는 디바이스를 지원합니다. 디바이스가 이미 관리되는 경우 Intune MAM 등록이 차단되고 APP 설정이 적용되지 않습니다. MAM 등록 후에 디바이스가 관리되면 APP 설정이 더 이상 적용되지 않습니다.

데이터 보호

데이터 보호 설정은 조직 데이터 및 컨텍스트에 영향을 미칩니다. 관리자는 조직 보호 컨텍스트의 내부 및 외부 데이터 이동을 제어할 수 있습니다. 조직 컨텍스트는 지정된 조직 계정에서 액세스하는 문서, 서비스 및 사이트에 의해 정의됩니다. 다음 정책 설정은 조직 컨텍스트로 수신된 외부 데이터와 조직 컨텍스트에서 전송된 조직 데이터를 제어하는 데 도움이 될 수 있습니다.

데이터 전송

설정 사용 방법 기본값
에서 데이터 받기 다음 옵션 중 하나를 선택하여 조직 사용자가 데이터를 받을 수 있는 원본을 지정합니다.
  • 모든 원본: 조직 사용자는 모든 계정, 문서, 위치 또는 애플리케이션에서 조직 컨텍스트로 데이터를 열 수 있습니다.
  • 원본 없음: 조직 사용자는 외부 계정, 문서, 위치 또는 애플리케이션의 데이터를 조직 컨텍스트로 열 수 없습니다. 참고: Microsoft Edge의 경우 소스가 끌어서 놓기 또는 파일 열기 대화 상자를 통해 파일 업로드 동작을 제어 하지 않습니다 . 사이트/탭 간에 로컬 파일 보기 및 공유 파일이 차단됩니다.


 모든 원본
조직 데이터를 다음으로 보내기 다음 옵션 중 하나를 선택하여 조직 사용자가 데이터를 보낼 수 있는 대상을 지정합니다.
  • 모든 대상: 조직 사용자는 모든 계정, 문서, 위치 또는 애플리케이션에 조직 데이터를 보낼 수 있습니다.
  • 대상 없음: 조직 사용자는 조직 컨텍스트에서 외부 계정, 문서, 위치 또는 애플리케이션으로 조직 데이터를 보낼 수 없습니다. 참고: Microsoft Edge의 경우 파일 다운로드를 차단하는 대상은 없습니다 . 즉, 사이트/탭 간에 파일 공유가 차단됩니다.


 모든 대상
에 대한 잘라내기, 복사 및 붙여넣기 허용 조직 사용자가 조직 데이터를 잘라내거나 복사하거나 붙여넣을 수 있는 원본 및 대상을 지정하려면 다음 옵션 중 하나를 선택합니다.
  • 모든 대상 및 원본: 조직 사용자는 에서 데이터를 붙여넣고 모든 계정, 문서, 위치 또는 애플리케이션에 데이터를 잘라내거나 복사할 수 있습니다.
  • 대상 또는 원본 없음: 조직 사용자는 외부 계정, 문서, 위치 또는 애플리케이션의 데이터를 조직 컨텍스트에서 또는 조직 컨텍스트로 잘라내거나 복사하거나 붙여넣을 수 없습니다. 참고: Microsoft Edge의 경우 웹 콘텐츠 내에서만 대상 또는 소스 블록 잘라내기, 복사 및 붙여넣기 동작이 없습니다. 잘라내기, 복사 및 붙여넣기 기능은 주소 표시줄을 비롯한 애플리케이션 컨트롤이 아닌 모든 웹 콘텐츠에서 사용할 수 없습니다.


 모든 대상 및 원본

기능

설정 사용 방법 기본값
조직 데이터 인쇄 차단을 선택하여 조직 데이터 인쇄를 방지합니다. 허용을 선택하여 조직 데이터 인쇄를 허용합니다. 개인 또는 비관리형 데이터는 영향을 받지 않습니다. 허용

상태 검사

앱 보호 정책에 대한 상태 검사 조건을 설정합니다. 설정을 선택하고 조직 데이터에 액세스하기 위해 사용자가 충족해야 하는 값을 입력합니다. 그런 다음 사용자가 조건을 충족하지 않는 경우 수행할 작업을 선택합니다. 경우에 따라 단일 설정에 대해 여러 작업을 구성할 수 있습니다. 자세한 내용은 상태 검사 작업을 참조하세요.

앱 조건

조직 계정 및 데이터에 대한 액세스를 허용하기 전에 애플리케이션 구성을 확인하도록 다음 상태 검사 설정을 구성합니다.

참고

정책 관리 앱이라는 용어는 앱 보호 정책으로 구성된 앱을 나타냅니다.

설정 사용 방법 기본값
오프라인 유예 기간 정책 관리 앱이 오프라인으로 실행할 수 있는 시간(분)입니다. 앱에 대한 액세스 요구 사항을 다시 확인하기 전의 시간(분)을 지정합니다.

작업은 다음과 같습니다.

  • 액세스 차단(분) : 정책 관리형 앱이 오프라인으로 실행할 수 있는 시간(분)입니다. 앱에 대한 액세스 요구 사항을 다시 확인하기 전의 시간(분)을 지정합니다. 구성된 기간이 만료되면 네트워크에 액세스할 수 있을 때까지 앱이 회사 또는 학교 데이터에 대한 액세스를 차단합니다. 데이터 액세스를 차단하기 위한 오프라인 유예 기간 타이머는 Intune 서비스의 마지막 검사 기반으로 계산됩니다. 이 정책 설정 형식은 양의 정수를 지원합니다.
  • 데이터 초기화(일): 오프라인으로 실행되는 이 며칠(관리자가 정의)한 후 앱은 사용자가 네트워크에 연결하고 다시 인증해야 합니다. 성공적으로 인증하고 나면 데이터에 계속 액세스할 수 있으며 오프라인 간격이 재설정됩니다. 사용자가 인증에 실패하면 앱에서 사용자 계정과 데이터가 선택적으로 초기화됩니다. 선택적 초기화로 제거되는 데이터에 대한 자세한 내용은 Intune 관리 앱에서 회사 데이터만 초기화하는 방법을 참조하세요. 데이터를 초기화하기 위한 오프라인 유예 기간 타이머는 Intune 서비스와의 마지막 검사 기반으로 앱에서 계산됩니다. 이 정책 설정 형식은 양의 정수를 지원합니다.
이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다.

 액세스 차단(분): 720 분(12시간)

데이터 초기화(일): 90
최소 앱 버전 최소 애플리케이션 버전 값의 값을 지정합니다.

작업은 다음과 같습니다.

  • 경고 - 디바이스의 앱 버전이 요구 사항을 충족하지 않으면 사용자에게 알림이 표시됩니다. 이 알림은 무시할 수 있습니다.
  • 액세스 차단 - 디바이스의 앱 버전이 요구 사항을 충족하지 않으면 사용자 액세스가 차단됩니다.
  • 데이터 초기화 - 애플리케이션과 연결된 사용자 계정이 디바이스에서 초기화됩니다.
앱 간에 고유한 버전 관리 체계가 있는 경우가 많으므로 하나의 앱을 대상으로 하는 하나의 최소 앱 버전으로 정책을 만듭니다.

이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다.

이 정책 설정은 일치하는 Windows 앱 번들 버전 형식(major.minor 또는 major.minor.patch)을 지원합니다.		 기본값 없음
최소 SDK 버전 Intune SDK 버전의 최솟값을 지정합니다.

작업은 다음과 같습니다.

  • 액세스 차단 - 앱의 Intune 앱 보호 정책 SDK 버전이 요구 사항을 충족하지 않으면 사용자 액세스가 차단됩니다.
  • 데이터 초기화 - 애플리케이션과 연결된 사용자 계정이 디바이스에서 초기화됩니다.
이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다.		 기본값 없음
사용하지 않는 계정 사용자에 대한 Microsoft Entra 계정을 사용하지 않도록 설정한 경우 자동화된 작업을 지정합니다. 관리 하나의 작업만 지정할 수 있습니다. 이 설정에는 값을 설정할 필요가 없습니다. 작업은 다음과 같습니다.
  • 액세스 차단 - 사용자가 Microsoft Entra ID에서 비활성화된 것을 확인하면 앱은 회사 또는 학교 데이터에 대한 액세스를 차단합니다.
  • 데이터 초기화 - 사용자가 Microsoft Entra ID에서 비활성화된 것을 확인하면 앱은 사용자의 계정 및 데이터를 선택적으로 초기화합니다.
참고: 연결, 인증 또는 기타 이유로 인해 사용자 상태 확인할 수 없는 경우 이러한 작업(액세스 차단데이터 초기화)이 적용되지 않습니다.		 기본값 없음

디바이스 조건

조직 계정 및 데이터에 대한 액세스를 허용하기 전에 디바이스 구성을 확인하도록 다음 상태 검사 설정을 구성합니다. 등록된 디바이스에 대해 유사한 디바이스 기반 설정을 구성할 수 있습니다. 등록된 디바이스에 대한 디바이스 준수 설정 구성에 대해 자세히 알아봅니다.

설정 사용 방법 기본값
최소 OS 버전 이 앱을 사용할 최소 Windows 운영 체제를 지정합니다.

작업은 다음과 같습니다.

  • 경고 - 디바이스의 Windows 버전이 요구 사항을 충족하지 않으면 사용자에게 알림이 표시됩니다. 이 알림은 무시할 수 있습니다.
  • 액세스 차단 - 디바이스의 Windows 버전이 이 요구 사항을 충족하지 않으면 사용자가 액세스가 차단됩니다.
  • 데이터 초기화 - 애플리케이션과 연결된 사용자 계정이 디바이스에서 초기화됩니다.
이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다.

이 정책 설정 형식은 major.minor, major.minor.build, major.minor.build.revision을 지원합니다.
최대 OS 버전 이 앱을 사용할 최대 Windows 운영 체제를 지정합니다.

작업은 다음과 같습니다.

  • 경고 - 디바이스의 Windows 버전이 요구 사항을 충족하지 않으면 사용자에게 알림이 표시됩니다. 이 알림은 무시할 수 있습니다.
  • 액세스 차단 - 디바이스의 Windows 버전이 이 요구 사항을 충족하지 않으면 사용자가 액세스가 차단됩니다.
  • 데이터 초기화 - 애플리케이션과 연결된 사용자 계정이 디바이스에서 초기화됩니다.

이 항목은 여러 번 나타날 수 있으며, 각 인스턴스에서 다른 작업을 지원합니다.

이 정책 설정 형식은 major.minor, major.minor.build, major.minor.build.revision을 지원합니다.
허용된 최대 디바이스 위협 수준 앱 보호 정책은 Intune-MTD 커넥터를 활용할 수 있습니다. 이 앱을 사용하기 위해 허용되는 최대 위협 수준을 지정합니다. 위협은 최종 사용자 디바이스에서 선택한 MTD(Mobile Threat Defense) 공급업체 앱에 따라 결정됩니다. ‘보안됨’, ‘낮음’, ‘보통’ 또는 ‘높음’을 지정합니다. ‘보안됨’의 경우 디바이스에 위협이 없어야 하며 구성할 수 있는 가장 제한적인 값이지만, ‘높음’의 경우 기본적으로 활성 Intune-MTD 연결이 필요합니다.

작업은 다음과 같습니다.

  • 액세스 차단 - 최종 사용자 디바이스에서 선택한 MTD(Mobile Threat Defense) 공급업체 앱에 따라 결정된 위협 수준이 이 요구 사항을 충족하지 않을 경우 사용자 액세스가 차단됩니다.
  • 데이터 초기화 - 애플리케이션과 연결된 사용자 계정이 디바이스에서 초기화됩니다.

이 설정을 사용하는 방법에 대한 자세한 내용은 등록되지 않은 디바이스에 MTD 사용을 참조하세요.

추가 정보

Windows 디바이스용 APP에 대한 자세한 내용은 다음 리소스를 참조하세요.