2단계 - Intune을 사용하여 앱 추가, 구성 및 보호

Intune을 배포할 때 다음 단계는 organization 데이터에 액세스하는 앱을 추가하고 보호하는 것입니다.

organization 디바이스에서 애플리케이션을 관리하는 것은 안전하고 생산적인 엔터프라이즈 에코시스템의 핵심 부분입니다. Microsoft Intune 사용하여 회사의 인력이 사용하는 앱을 관리할 수 있습니다. 앱을 관리하면 회사에서 사용하는 앱과 앱의 구성 및 보호를 제어할 수 있습니다. 이 기능을 MAM(모바일 애플리케이션 관리)이라고 합니다. Intune의 MAM은 사용자 지정 앱 및 스토어 앱을 포함하여 애플리케이션 수준에서 organization 데이터를 보호하도록 설계되었습니다. 앱 관리는 조직 소유 디바이스 및 개인 디바이스에서 사용할 수 있습니다. 개인 디바이스에서 사용되는 경우 organization 관련 액세스 및 데이터만 관리됩니다. 이러한 유형의 앱 관리를 등록 없이 MAM(MAM-WE)이라고 하거나 최종 사용자 관점에서 BYOD(Bring Your Own Device)라고 합니다.

MAM 구성

앱을 제한 없이 사용하는 경우 회사 및 개인 데이터가 혼합될 수 있습니다. 업무용 데이터가 개인 스토리지와 같은 곳에 저장되거나 관리 범위를 벗어난 앱에 전송되어 손실될 수 있습니다. 디바이스 등록 없이 MAM을 사용하거나 Intune MDM + MAM을 사용하는 주된 이유 중 하나는 organization 데이터를 보호하는 것입니다.

Microsoft Intune 두 가지 MAM 구성을 지원합니다.

• 디바이스 관리가 없는 MAM
• 디바이스 관리가 포함된 MAM

디바이스 관리가 없는 MAM

이 구성을 사용하면 organization 앱을 Intune에서 관리할 수 있지만 Intune에서 관리할 디바이스는 등록하지 않습니다. 이 구성은 일반적으로 디바이스 등록이 없는 MAM 또는 MAM-WE라고 합니다. IT 관리자는 Intune MDM(모바일 디바이스 관리)에 등록되지 않은 디바이스에서 Intune 구성 및 보호 정책을 사용하여 MAM을 사용하여 앱을 관리할 수 있습니다.

참고

이 구성에는 타사 EMM(Enterprise Mobility Management) 공급자에 등록된 디바이스에서 Intune을 사용하여 앱을 관리하는 것이 포함됩니다. MDM 솔루션과 독립적으로 Intune 앱 보호 정책을 사용할 수 있습니다. 이 독립성 덕분에 장치 관리 솔루션에서 장치를 등록 혹은 등록하지 않고도 회사의 데이터를 보호하는 데 도움이 됩니다. 앱 수준의 정책을 구현하면 회사 리소스에 대한 액세스를 제한하고 IT 부서의 권한 내에서 데이터를 계속 관리하도록 할 수 있습니다.

MAM(모바일 애플리케이션 관리)은 개인 및 업무 작업 모두에 organization 멤버가 사용하는 모바일 디바이스에서 organization 데이터를 보호하는 데 적합합니다. organization 구성원이 생산성을 높일 수 있도록 하면서 의도적이고 의도하지 않은 데이터 손실을 방지하려고 합니다. 또한 사용자가 관리하지 않는 디바이스에서 액세스하는 회사 데이터를 보호하려고 합니다. MAM을 사용하면 애플리케이션 내에서 조직의 데이터를 관리하고 보호할 수 있습니다.

팁

Microsoft Office 앱과 같은 여러 생산성 개선 앱은 Intune MAM을 통해 관리할 수 있습니다. 공개적으로 사용 가능한 공식적인 Microsoft Intune 보호 앱 목록을 참조하세요.

MDM 솔루션에 등록되지 않은 BYOD 디바이스의 경우 앱 보호 정책은 앱 수준에서 회사 데이터를 보호하는 데 도움이 될 수 있습니다. 그러나 다음과 같은 몇 가지 제한 사항에 유의해야 합니다.

• 디바이스에 앱을 배포할 수 없습니다. 최종 사용자가 스토어에서 앱을 다운로드해야 합니다.
• 해당 디바이스에서 인증서 프로필을 프로비전할 수 없습니다.
• 이러한 디바이스에서 회사 Wi-Fi 및 VPN 설정을 프로비전할 수 없습니다.

Intune의 앱 보호에 대한 자세한 내용은 앱 보호 정책 개요를 참조하세요.

디바이스 관리가 포함된 MAM

이 구성을 사용하면 organization 앱 및 디바이스를 관리할 수 있습니다. 이 구성을 일반적으로 MAM + MDM이라고 합니다. IT 관리자는 Intune MDM에 등록된 디바이스에서 MAM을 사용하여 앱을 관리할 수 있습니다.

MDM은 MAM과 함께 디바이스가 보호되도록 합니다. 예를 들어 디바이스 액세스 시 PIN을 요구하거나, 관리되는 앱을 디바이스에 배포할 수 있습니다. 앱 관리를 보다 강력하게 제어하기 위해 MDM 솔루션을 통해 디바이스에 앱을 배포할 수도 있습니다.

앱 보호 정책과 함께 MDM을 사용하면 추가 이점이 있으며 회사는 MDM이 있거나 없는 앱 보호 정책을 동시에 사용할 수 있습니다. 예를 들어 organization 구성원은 회사에서 발급한 휴대폰과 자신의 개인 태블릿을 모두 가질 수 있습니다. 회사 전화는 MDM에 등록하고 앱 보호 정책에 의해 보호될 수 있지만 개인 디바이스는 앱 보호 정책으로만 보호됩니다.

MDM 서비스를 사용하는 등록된 디바이스에서 앱 보호 정책은 추가 보호 계층을 추가할 수 있습니다. 예를 들어 사용자가 조직 자격 증명을 사용하여 디바이스에 로그인합니다. 해당 조직 데이터가 사용되면 앱 보호 정책에서 데이터가 저장 및 공유되는 방법을 제어합니다. 사용자가 개인 ID로 로그인하면 동일한 보호(액세스 및 제한)가 적용되지 않습니다. 이러한 방식으로 IT는 조직 데이터를 제어하는 반면 최종 사용자는 개인 데이터에 대한 제어 및 개인 정보 취급 방침을 유지 관리합니다.

MDM 솔루션은 다음을 제공하여 가치를 추가합니다.

• 디바이스 등록
• 디바이스에 앱 배포
• 지속적인 디바이스 규정 준수 및 관리 제공

앱 보호 정책은 다음을 제공하여 가치를 추가합니다.

• 회사 데이터가 소비자 앱과 서비스에 누출되지 않도록 보호
• 다른 이름으로 저장, 클립보드 또는 PIN과 같은 제한 사항을 클라이언트 앱에 적용
• 디바이스에서 해당 앱을 제거하지 않고 필요할 때 앱에서 회사 데이터 초기화

Intune을 사용하여 MAM의 이점

Intune에서 앱을 관리하는 경우 관리자는 다음을 수행할 수 있습니다.

• 앱 수준에서 회사 데이터를 보호합니다. 사용자 그룹 및 디바이스에 모바일 앱을 추가하고 할당할 수 있습니다. 이렇게 하면 회사 데이터를 앱 수준에서 보호할 수 있습니다. 모바일 앱 관리에는 디바이스 관리가 필요하지 않으므로 관리되는 디바이스와 관리되지 않는 디바이스 모두에서 회사 데이터를 보호할 수 있습니다. 관리는 사용자 ID를 중심으로 하며 디바이스 관리에 대한 요구 사항이 제거됩니다.
• 특정 설정을 사용하도록 설정하여 시작하거나 실행하도록 앱을 구성합니다. 또한 디바이스에 이미 있는 기존 앱을 업데이트할 수 있습니다.
• 액세스를 제한하고 organization 외부에서 데이터가 사용되지 않도록 정책을 할당합니다. organization 요구 사항에 따라 이러한 정책에 대한 설정을 선택합니다. 예를 들어, 다음을 수행할 수 있습니다.
  • 업무용으로 앱을 열려면 PIN이 필요합니다.
  • 무단 해제되거나 루팅된 장치에서 관리되는 앱이 실행되지 않도록 차단
  • 앱 간의 데이터 공유를 제어합니다.
  • 조직 데이터의 복사본 저장, 잘라내기, 복사 및 붙여넣기 제한과 같은 데이터 재배치 정책을 사용하여 회사 앱 데이터를 개인 스토리지 위치에 저장하지 않도록 방지합니다.
• 다양한 플랫폼 및 운영 체제에서 앱을 지원합니다. 플랫폼마다 다릅니다. Intune은 지원되는 각 플랫폼에 대해 특별히 사용 가능한 설정을 제공합니다.
• 사용되는 앱에 대한 보고서를 보고 사용 현황을 추적합니다. 또한 Intune은 문제를 평가하고 resolve 데 도움이 되는 엔드포인트 분석을 제공합니다.
• 앱에서 조직 데이터만 제거하여 선택적 초기화를 수행합니다.
• 개인 데이터가 관리되는 데이터와 별도로 유지되는지 확인합니다. 최종 사용자 생산성은 영향을 받지 않으며, 개인 컨텍스트에서 앱을 사용하는 경우 정책이 적용되지 않습니다. 회사 컨텍스트에서만 정책이 적용되므로 개인 데이터를 변경하지 않고도 회사 데이터를 보호할 수 있습니다.

Intune에 앱 추가

organization 앱을 제공할 때 첫 번째 단계는 Intune에서 디바이스 또는 사용자에게 할당하기 전에 앱을 Intune에 추가하는 것입니다. 다양한 앱 유형으로 작업할 수 있지만 기본 절차는 동일합니다. Intune을 사용하면 사내에서 작성된 앱(기간 업무), 스토어의 앱, 기본 제공 앱 및 웹용 앱을 비롯한 다양한 앱 유형을 추가할 수 있습니다.

회사의 앱 및 디바이스 사용자(회사의 직원)에게 여러 가지 앱 요구 사항이 있을 수도 있습니다. Intune에 앱을 추가하고 직원이 사용할 수 있기 전에 앱의 몇 가지 기본 항목을 평가하고 이해하는 것이 도움이 될 수 있습니다. Intune에서 사용할 수 있는 다양한 유형의 앱이 있습니다. 회사의 사용자에게 필요한 앱 요구 사항(예: 직원에게 필요한 플랫폼 및 기능)을 결정해야 합니다. Intune을 사용하여 디바이스(앱 포함)를 관리할지, 아니면 intune에서 디바이스를 관리하지 않고 앱을 관리할지 결정해야 합니다. 또한 직원에게 필요한 앱 및 기능과 필요한 사람을 결정해야 합니다. 이 문서의 정보는 시작하는 데 도움이 됩니다.

Intune에 앱을 추가하기 전에 지원 앱 유형을 검토하고 앱 요구 사항을 평가하는 것이 좋습니다. 자세한 내용은 Microsoft Intune에 앱 추가를 참조하세요.

팁

Intune에 대한 앱 유형, 앱 구매 및 앱 라이선스를 더 잘 이해하려면 솔루션 Microsoft Intune 대한 앱 구매 및 추가를 참조하세요. 또한 이 솔루션 콘텐츠는 앱 요구 사항을 평가하고, 앱 범주를 만들고, 앱을 구매하고, 앱을 추가하는 권장 단계를 제공합니다. 또한 이 솔루션 콘텐츠는 앱 및 앱 라이선스를 관리하는 방법을 설명합니다.

Microsoft 앱 추가

Intune에는 Intune에 사용하는 Microsoft 라이선스를 기반으로 하는 여러 Microsoft 앱이 포함되어 있습니다. Intune을 포함하는 사용 가능한 다양한 Microsoft 엔터프라이즈 라이선스에 대한 자세한 내용은 Microsoft Intune 라이선스를 참조하세요. Microsoft 365에서 사용할 수 있는 다양한 Microsoft 앱을 비교하려면 Microsoft 365에서 사용할 수 있는 라이선스 옵션을 참조하세요. 각 계획에 대한 모든 옵션(사용 가능한 Microsoft 앱 포함)을 보려면 전체 Microsoft 구독 비교 테이블을 다운로드하고 Microsoft Intune 포함하는 계획을 찾습니다.

사용 가능한 앱 유형 중 하나는 Windows 10 디바이스용 Microsoft 365 앱입니다. Intune에서 이 앱 유형을 선택하면 Windows 10 실행하는 관리하는 디바이스에 Microsoft 365 앱을 할당하고 설치할 수 있습니다. 라이선스를 소유한 경우 Microsoft Project Online 데스크톱 클라이언트 및 Microsoft Visio Online 플랜 2용 앱을 할당하고 설치할 수도 있습니다. 사용 가능한 Microsoft 365 앱은 Azure 내의 Intune 콘솔에 있는 앱 목록에 단일 항목으로 표시됩니다.

Intune에 다음 핵심 Microsoft 앱을 추가합니다.

• Microsoft Edge
• Microsoft Excel
• Microsoft Office
• Microsoft OneDrive
• Microsoft OneNote
• Microsoft Outlook
• Microsoft PowerPoint
• Microsoft SharePoint
• Microsoft Teams
• Microsoft To Do
• Microsoft Word

Intune에 Microsoft 앱을 추가하는 방법에 대한 자세한 내용은 다음 topics.

• Microsoft Intune에 앱 추가
• Microsoft Intune Windows 10/11 디바이스에 Microsoft 365 앱 추가

스토어 앱 추가(선택 사항)

Intune 콘솔 내에 표시되는 대부분의 표준 스토어 앱은 organization 멤버를 추가하고 배포할 수 있습니다. 또한 각 디바이스 플랫폼에 대한 스토어 앱을 구입할 수 있습니다.

다음 표에서는 스토어 앱에 사용할 수 있는 다양한 범주를 제공합니다.

스토어 앱 범주	설명
무료 스토어 앱	이러한 앱을 Intune에 자유롭게 추가하고 organization 멤버에게 배포할 수 있습니다. 이러한 앱에는 추가 비용이 필요하지 않습니다.
구매한 앱	Intune에 추가하기 전에 이러한 앱에 대한 라이선스를 구매해야 합니다. 각 디바이스 플랫폼(Windows, iOS, Android)은 이러한 앱에 대한 라이선스를 구매하는 표준 방법을 제공합니다. Intune은 각 최종 사용자에 대한 앱 라이선스를 관리하는 메서드를 제공합니다.
앱 개발자의 계정, 구독 또는 라이선스가 필요한 앱	Intune에서 이러한 앱을 자유롭게 추가하고 배포할 수 있지만 앱에 앱 공급업체의 계정, 구독 또는 라이선스가 필요할 수 있습니다. Intune 관리 기능을 지원하는 앱 목록은 파트너 생산성 앱 및 파트너 UEM 앱을 참조하세요. 참고: 계정, 구독 또는 라이선스가 필요할 수 있는 앱의 경우 앱 공급업체에 특정 앱 세부 정보를 문의해야 합니다.
Intune 라이선스에 포함된 앱	Microsoft Intune 사용하는 라이선스에는 필요한 앱 라이선스가 포함될 수 있습니다.

참고

앱 라이선스를 구매하는 것 외에도 최종 사용자가 디바이스에 개인 계정을 추가하여 관리되지 않는 앱을 구매할 수 있도록 하는 Intune 정책을 만들 수 있습니다.

Intune에 Microsoft 앱을 추가하는 방법에 대한 자세한 내용은 다음 topics.

• Microsoft Store 앱을 Microsoft Intune 추가
• Microsoft Intune에 iOS 스토어 앱 추가
• android 스토어 앱을 Microsoft Intune 추가

Intune을 사용하여 앱 구성

앱 구성 정책은 정책에 대한 구성 설정을 선택하도록 하여 앱 설정 문제를 제거하는 데 도움이 될 수 있습니다. 그런 다음 특정 앱을 실행하기 전에 최종 사용자에게 해당 정책이 할당됩니다. 그런 다음 최종 사용자의 디바이스에서 앱이 구성되면 설정이 자동으로 제공됩니다. 최종 사용자는 조치를 취할 필요가 없습니다. 각 앱마다 구성 설정이 다릅니다.

앱 구성 정책을 만들고 사용하여 iOS/iPadOS 또는 Android 앱 모두에 대한 구성 설정을 제공할 수 있습니다. 이러한 구성 설정을 사용하면 앱 구성 및 관리를 사용하여 앱을 사용자 지정할 수 있습니다. 구성 정책 설정은 앱이 이러한 설정을 확인하는 경우 일반적으로 앱을 처음 실행할 때 사용됩니다.

예를 들어 앱 구성 설정을 사용하려면 다음 세부 정보를 지정해야 할 수 있습니다.

• 사용자 지정 포트 번호
• 언어 설정
• 보안 설정
• 회사 로고와 같은 브랜딩 설정

최종 사용자가 이러한 설정을 대신 입력하는 경우 이 작업을 잘못 수행할 수 있습니다. 앱 구성 정책은 엔터프라이즈 전체에서 일관성을 제공하고 설정을 직접 구성하려는 최종 사용자의 기술 지원팀 호출을 줄이는 데 도움이 될 수 있습니다. 앱 구성 정책을 사용하면 새 앱을 더 쉽고 빠르게 채택할 수 있습니다.

사용 가능한 구성 매개 변수는 궁극적으로 앱 개발자가 결정합니다. 애플리케이션 공급업체의 설명서를 검토하여 앱이 구성을 지원하는지, 어떤 구성을 사용할 수 있는지 확인해야 합니다. 일부 애플리케이션의 경우 Intune은 사용 가능한 구성 설정을 채웁니다.

앱 구성에 대한 자세한 내용은 다음 topics.

• Microsoft Intune에 대한 앱 구성 정책
• 관리되는 iOS/iPadOS 디바이스에 대한 앱 구성 정책 추가
• 관리형 Android Enterprise 디바이스에 대한 앱 구성 정책 추가

Microsoft Outlook 구성

iOS 및 Android용 Outlook 앱은 전자 메일, 일정, 연락처 및 기타 파일을 결합하여 organization 사용자가 모바일 장치에서 더 많은 작업을 수행할 수 있도록 설계되었습니다.

Microsoft 365 데이터에 대한 가장 풍부하고 광범위한 보호 기능은 조건부 액세스와 같은 Microsoft Intune 및 Microsoft Entra ID P1 또는 P2 기능을 포함하는 Enterprise Mobility + Security 제품군을 구독할 때 사용할 수 있습니다. 최소한 모바일 디바이스에서 iOS 및 Android용 Outlook에 연결할 수 있는 조건부 액세스 정책과 공동 작업 환경을 보호하는 Intune 앱 보호 정책을 배포하려고 합니다.

Microsoft Outlook 구성에 대한 자세한 내용은 다음 항목을 참조하세요.

• Microsoft Intune iOS 및 Android용 Outlook을 사용하여 메시징 공동 작업 액세스 관리

Microsoft Edge 구성

iOS 및 Android용 Edge는 사용자가 웹을 검색할 수 있도록 설계되었으며 다중 ID를 지원합니다. 사용자는 검색을 위해 회사 계정과 개인 계정을 추가할 수 있습니다. 다른 Microsoft 모바일 앱에서 제공되는 것과 같은 두 ID가 완전히 분리되어 있습니다.

Microsoft Edge 구성에 대한 자세한 내용은 다음 항목을 참조하세요.

• Intune을 사용하여 iOS 및 Android에서 Microsoft Edge 관리

VPN 구성

VPN(가상 사설망)을 사용하면 사용자가 집, 호텔, 카페 등을 포함하여 원격으로 organization 리소스에 액세스할 수 있습니다. Microsoft Intune 앱 구성 정책을 사용하여 Android Enterprise 디바이스에서 VPN 클라이언트 앱을 구성할 수 있습니다. 그런 다음 VPN 구성을 사용하여 이 정책을 organization 디바이스에 배포합니다.

특정 앱에서 사용하는 VPN 정책을 만들 수도 있습니다. 이 기능을 앱별 VPN이라고 합니다. 앱이 활성화되면 VPN에 연결하고 VPN을 통해 리소스에 액세스할 수 있습니다. 앱이 활성화되지 않으면 VPN이 사용되지 않습니다.

전자 메일 구성에 대한 자세한 내용은 다음 항목을 참조하세요.

• Microsoft Intune Android Enterprise 디바이스에서 VPN 및 앱별 VPN 정책 사용

Intune을 사용하여 앱 보호

앱 보호 정책(APP)은 관리되는 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙이거나, 사용자가 앱 내에 있을 때 금지되거나 모니터링되는 일련의 작업일 수 있습니다. 관리 앱은 앱 보호 정책이 적용되어 있으며 Intune을 통해 관리할 수 있는 앱입니다.

MAM(모바일 애플리케이션 관리) 앱 보호 정책을 사용하면 애플리케이션 내에서 조직의 데이터를 관리하고 보호할 수 있습니다. Microsoft Office 앱과 같은 여러 생산성 개선 앱은 Intune MAM을 통해 관리할 수 있습니다. 공개적으로 사용 가능한 공식적인 Microsoft Intune 보호 앱 목록을 참조하세요.

Intune에서 모바일 앱 보안을 제공하는 기본 방법 중 하나는 정책을 사용하는 것입니다. 앱 보호 정책을 사용하면 다음 작업을 수행할 수 있습니다.

• Microsoft Entra ID를 사용하여 organization 데이터를 개인 데이터로부터 격리합니다. 따라서 개인 정보는 조직의 IT 인식에서 격리됩니다. 조직 자격 증명을 사용하여 액세스하는 데이터에는 추가 보안 보호가 제공됩니다.
• 복사 및 붙여넣기, 저장 및 보기와 같은 조직 데이터로 사용자가 수행할 수 있는 작업을 제한하여 개인 디바이스에 대한 액세스를 보호합니다.
• Intune에 등록되거나 다른 MDM(모바일 디바이스 관리) 서비스에 등록되거나 MDM 서비스에 등록되지 않은 디바이스에서 만들고 배포합니다.

참고

앱 보호 정책은 모든 Office 모바일 앱에 정책을 적용하는 등 앱 그룹에 균일하게 적용하도록 설계되었습니다.

조직은 MDM의 유무에 관계없이 동시에 앱 보호 정책을 사용할 수 있습니다. 예를 들어 회사에서 발급한 태블릿과 개인 휴대폰을 모두 사용하는 직원을 생각해 보세요. 회사 태블릿은 MDM에 등록되고 앱 보호 정책으로 보호되지만 개인 휴대폰은 앱 보호 정책에 의해서만 보호됩니다.

Intune의 앱 보호에 대한 자세한 내용은 다음 topics.

• 앱 보호 정책 개요
• 앱 보호 정책을 만들고 할당하는 방법입니다.

앱 보호 수준

더 많은 조직이 회사 또는 학교 데이터에 액세스하기 위한 모바일 디바이스 전략을 구현함에 따라 데이터 유출로부터 보호하는 것이 가장 중요합니다. 데이터 유출로부터 보호하기 위한 Intune의 모바일 애플리케이션 관리 솔루션은 APP(앱 보호 정책)입니다. APP은 디바이스가 등록되었는지 여부에 관계없이 organization 데이터가 안전하게 유지되거나 관리되는 앱에 포함되도록 하는 규칙입니다.

앱 보호 정책을 구성할 때 사용 가능한 다양한 설정 및 옵션을 통해 조직은 특정 요구 사항에 맞게 보호를 사용자 지정할 수 있습니다. 이러한 유연성으로 인해 전체 시나리오를 구현하는 데 필요한 정책 설정의 순열이 명확하지 않을 수 있습니다. 조직이 클라이언트 엔드포인트 강화 노력의 우선 순위를 지정할 수 있도록 Microsoft는 Windows 10 보안 구성에 대한 새로운 분류를 도입했으며, Intune은 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 유사한 분류를 활용하고 있습니다.

APP 데이터 보호 구성 프레임워크는 세 가지 고유한 구성 시나리오로 구성됩니다.

• 수준 1 엔터프라이즈 기본 데이터 보호 – 엔터프라이즈 디바이스에 대한 최소 데이터 보호 구성으로 이 구성을 권장합니다.

• 수준 2 엔터프라이즈 향상된 데이터 보호 – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다. 일부 컨트롤은 사용자 경험에 영향을 줄 수 있습니다.

• 수준 3 엔터프라이즈 높은 데이터 보호 – 더 크거나 더 정교한 보안 팀이 있는 organization 또는 고유하게 위험이 높은 특정 사용자 또는 그룹(무단 공개로 인해 organization 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자)에 대해 이 구성을 권장합니다. 자금이 잘 조달되고 정교한 적의 표적이 될 가능성이 있는 organization 이 구성을 열망해야 합니다.

기본 앱 보호(수준 1)

Intune(수준 1)의 기본 앱 보호는 엔터프라이즈 모바일 디바이스에 대한 최소 데이터 보호 구성입니다. 이 구성은 PIN이 회사 또는 학교 데이터에 액세스하도록 요구하고, 회사 또는 학교 계정 데이터를 암호화하고, 학교 또는 회사 데이터를 선택적으로 초기화할 수 있는 기능을 제공하여 기본 Exchange Online 디바이스 액세스 정책의 필요성을 대체합니다. 그러나 Exchange Online 디바이스 액세스 정책과 달리 아래 앱 보호 정책 설정은 정책에서 선택한 모든 앱에 적용되므로 모바일 메시징 시나리오 외에 데이터 액세스가 보호됩니다.

수준 1의 정책은 사용자에게 미치는 영향을 최소화하면서 합리적인 데이터 액세스 수준을 적용하고 Microsoft Intune 내에서 앱 보호 정책을 만들 때 기본 데이터 보호 및 액세스 요구 사항 설정을 미러.

특정 데이터 보호, 액세스 요구 사항 및 기본 앱 보호를 위한 조건부 시작 설정은 다음 항목으로 이동합니다.

• 수준 1 엔터프라이즈 기본 데이터 보호.

향상된 앱 보호(수준 2)

Intune(수준 2)의 향상된 앱 보호는 사용자가 더 중요한 정보에 액세스하는 디바이스의 표준으로 권장되는 데이터 보호 구성입니다. 이러한 디바이스는 오늘날 엔터프라이즈의 자연스러운 대상입니다. 이러한 권장 사항은 고도로 숙련된 보안 실무자의 대규모 직원을 가정하지 않으므로 대부분의 엔터프라이즈 조직에서 액세스할 수 있어야 합니다. 이 구성은 데이터 전송 시나리오를 제한하고 최소 운영 체제 버전을 요구하여 수준 1의 구성을 확장합니다.

수준 2에 적용되는 정책 설정에는 수준 1에 권장되는 모든 정책 설정이 포함되지만 수준 1보다 더 많은 컨트롤과 보다 정교한 구성을 구현하기 위해 추가되거나 변경된 아래 설정만 나열됩니다. 이러한 설정은 사용자 또는 애플리케이션에 약간 더 큰 영향을 미칠 수 있지만 모바일 디바이스에서 중요한 정보에 액세스할 수 있는 사용자가 직면한 위험에 더 상응하는 수준의 데이터 보호를 적용합니다.

향상된 앱 보호를 위한 특정 데이터 보호 및 조건부 시작 설정은 다음 항목으로 이동합니다.

• 수준 2 엔터프라이즈 향상된 데이터 보호.

높은 앱 보호(수준 3)

Intune(수준 3)에 대한 높은 앱 보호는 크고 정교한 보안 조직이 있는 조직 또는 악의적 사용자가 고유하게 대상으로 지정할 특정 사용자 및 그룹에 대한 표준으로 권장되는 데이터 보호 구성입니다. 이러한 조직은 일반적으로 자금이 잘 조달되고 정교한 악의적 사용자의 표적이 되며, 따라서 설명된 추가 제약 조건 및 제어가 장점이 있습니다. 이 구성은 추가 데이터 전송 시나리오를 제한하고, PIN 구성의 복잡성을 증가시키고, 모바일 위협 탐지를 추가하여 수준 2의 구성을 확장합니다.

수준 3에 적용되는 정책 설정에는 수준 2에 권장되는 모든 정책 설정이 포함되지만 수준 2보다 더 많은 컨트롤과 보다 정교한 구성을 구현하기 위해 추가되거나 변경된 아래 설정만 나열됩니다. 이러한 정책 설정은 사용자 또는 애플리케이션에 잠재적으로 상당한 영향을 미칠 수 있으며, 대상 조직이 직면한 위험에 상응하는 수준의 보안을 적용할 수 있습니다.

특정 데이터 보호, 액세스 요구 사항 및 기본 앱 보호를 위한 조건부 시작 설정은 다음 항목으로 이동합니다.

• 수준 3 엔터프라이즈 높은 데이터 보호.

관리되는 장치에서 Exchange Online 전자 메일 보호

조건부 액세스에서 디바이스 준수 정책을 사용하여 organization 디바이스가 Intune에서 관리되고 승인된 전자 메일 앱을 사용하는 경우에만 Exchange Online 메일에 액세스할 수 있는지 확인할 수 있습니다. Intune 디바이스 준수 정책을 만들어 디바이스가 준수로 간주되도록 충족해야 하는 조건을 설정할 수 있습니다. 디바이스가 Intune에 등록하고, Intune 정책을 준수하고, 승인된 Outlook 모바일 앱을 사용하여 Exchange Online 전자 메일에 액세스하도록 요구하는 Microsoft Entra 조건부 액세스 정책을 만들 수도 있습니다.

Exchange Online 보호하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.

• 자습서: 관리 디바이스에서 Exchange Online 이메일 보호

앱 보호 정책을 사용하기 위한 최종 사용자 요구 사항

다음 목록에서는 Intune에서 관리하는 앱에서 앱 보호 정책을 사용하기 위한 최종 사용자 요구 사항을 제공합니다.

• 최종 사용자에게는 Microsoft Entra 계정이 있어야 합니다. Microsoft Entra ID에서 Intune 사용자를 만드는 방법을 알아보려면 사용자 추가 및 Intune에 관리 권한 부여를 참조하세요.
• 최종 사용자에게는 Microsoft Entra 계정에 할당된 Microsoft Intune 대한 라이선스가 있어야 합니다. 최종 사용자에게 Intune 라이선스를 할당하는 방법을 알아보려면 Intune 라이선스 관리를 참조하세요.
• 최종 사용자는 앱 보호 정책의 대상인 보안 그룹에 속해 있어야 합니다. 사용 중인 특정 앱을 대상으로 동일 앱 보호 정책이 적용되어야 합니다. Microsoft Intune 관리 센터에서 앱 보호 정책을 만들고 배포할 수 있습니다. 보안 그룹은 현재 Microsoft 365 관리 센터에서 만들 수 있습니다.
• 최종 사용자는 Microsoft Entra 계정을 사용하여 앱에 로그인해야 합니다.

권장되는 최소 기준 정책을 따릅니다.

1. Microsoft Intune 설정
2. 🡺 앱 추가, 구성 및 보호 (여기 있음)
3. 규정 준수 정책 계획
4. 디바이스 기능 구성
5. 장치 등록