Android용 모바일 애플리케이션 관리를 위한 Microsoft Tunnel

  • 아티클

참고

이 기능은 Intune 추가 기능으로 사용할 수 있습니다. 자세한 내용은 Intune Suite 추가 기능 사용을 참조하세요.

테넌트에서 MAM(모바일 애플리케이션 관리용 Microsoft Tunnel)을 추가하는 경우 등록되지 않은 Android 디바이스와 함께 Microsoft Tunnel VPN Gateway 사용하여 MAM 시나리오를 지원할 수 있습니다. MAM을 지원하면 등록되지 않은 디바이스는 Tunnel을 사용하여 사용자와 앱이 조직 데이터에 안전하게 액세스할 수 있도록 organization 안전하게 연결할 수 있습니다.

적용 대상:

  • Android Enterprise

MAM을 지원하도록 기존 Microsoft Tunnel 구성을 확장하려면 등록되지 않은 디바이스에서 이 지원을 구성하는 세 가지 프로필을 만들고 배포합니다.

  • Microsoft Defender 대한 앱 구성 정책입니다. 이 정책은 디바이스의 엔드포인트용 Microsoft Defender VPN 터널 클라이언트 앱으로 구성합니다.
  • Microsoft Edge에 대한 앱 구성 정책입니다. 이 정책은 Microsoft Edge에서 Microsoft "회사 또는 학교" 계정에서 Microsoft "개인 계정"로 전환할 때 VPN 터널을 자동으로 연결하고 연결을 끊는 ID 스위치를 지원하도록 Microsoft Edge를 구성합니다.
  • 디바이스에서 MAM 사용 앱이 회사 리소스에 액세스할 때 Microsoft Tunnel에 대한 연결을 자동으로 시작하는 정책을 앱 보호.

이러한 정책을 적용하면 Tunnel에 대한 기존 사이트 및 서버 구성은 Intune 등록되지 않은 디바이스의 액세스를 지원합니다. 또한 MDM 터널 구성을 사용하는 대신 MAM Tunnel에 대한 구성을 등록된 디바이스에 배포하도록 선택할 수 있습니다. 그러나 등록된 디바이스는 MDM 터널 구성 또는 MAM 터널 구성만 사용해야 하지만 둘 다 사용하지는 않아야 합니다. 예를 들어 등록된 디바이스에는 MAM 터널 구성을 사용하는 Microsoft Edge와 같은 앱이 있을 수 없으며 다른 앱은 MDM 터널 구성을 사용합니다.

대화형 데모를 사용해 보세요.
Android용 모바일 애플리케이션 관리용 Microsoft Tunnel 대화형 데모에서는 MAM용 Tunnel이 Microsoft Tunnel VPN Gateway 확장하여 Intune 등록되지 않은 Android 디바이스를 지원하는 방법을 보여 줍니다.

필수 구성 요소

인프라 및 테넌트:

MAM용 터널에는 등록된 디바이스에 Tunnel을 사용하는 것과 동일한 고려 사항 및 필수 구성 요소가 필요합니다. 자세한 내용은 터널 필수 구성 요소를 참조하세요.

Microsoft Tunnel을 구성한 후에는 등록되지 않은 디바이스에서 Tunnel을 사용할 수 있도록 하는 두 가지 앱 구성 정책과앱 보호 정책을 추가할 준비가 됩니다. 이러한 정책의 구성은 다음 섹션에 자세히 설명되어 있습니다.

디바이스:

Intune 등록되지 않은 디바이스의 사용자는 MAM용 터널 시나리오를 사용하려면 Android 디바이스에 다음 앱을 설치해야 합니다. 이러한 앱은 모두 Google Play 스토어에서 수동으로 설치할 수 있습니다.

  1. Microsoft DefenderMicrosoft Defender - Google Play의 앱에서 가져옵니다. Microsoft Defender 디바이스가 Microsoft Tunnel에 연결하는 데 사용하는 터널 클라이언트 앱을 포함합니다. MAM용 Tunnel을 지원하려면 엔드포인트용 Microsoft Defender 버전 1.0.4722.0101 이상이어야 합니다.

  2. Microsoft EdgeMicrosoft Edge에서 다운로드: 웹 브라우저 - Google Play의 앱.

  3. 회사 포털Intune 회사 포털 - Google Play의 앱에서 다운로드합니다. 사용자가 앱에 로그인하거나 Intune 디바이스를 등록할 필요가 없더라도 디바이스는 회사 포털 앱을 설치해야 합니다.

기간 업무 앱:

LOB(기간 업무) 앱의 경우 MAM SDK와 통합합니다. 나중에 MAM Tunnel에 대한 앱 보호 정책 및 앱 구성 정책에 LOB 앱을 추가할 수 있습니다. Android용 MAM 시작을 참조하세요.

참고

Android LOB 애플리케이션이 MDM 및 MAM 모두에 대해 직접 프록시 또는 PAC(프록시 자동 구성)를 지원하는지 확인합니다.

MAM SDK 버전:

9.5.0 이상의 MAM SDK 버전이 필요한 MAM용 Microsoft Tunnel Android 신뢰할 수 있는 루트 기능을 사용하려면 github.com 릴리스 버전 9.5.0 · msintuneappsdk/ms-intune-app-sdk-android로 이동합니다.

MAM용 Microsoft Tunnel 지원하도록 정책 구성

MAM용 Tunnel 사용을 지원하려면 다음 섹션에 자세히 설명된 세 가지 프로필을 만들고 배포합니다. 이러한 정책은 순서대로 만들 수 있습니다.

세 가지가 모두 구성되고 동일한 그룹에 배포되면 앱 보호 정책은 Microsoft Edge가 시작될 때마다 자동으로 Tunnel을 트리거하여 VPN에 연결합니다.

또한 온-프레미스 리소스에 연결해야 하고 온-프레미스 또는 CA(프라이빗 인증 기관)에서 발급한 SSL/TLS 인증서로 보호되는 경우 Microsoft Edge 및 기간 업무 앱에서 사용할 신뢰할 수 있는 인증서 프로필을 구성할 수도 있습니다. 기본적으로 Microsoft Edge는 신뢰할 수 있는 루트 인증서를 지원합니다. LOB 앱 의 경우 MAM SDK를 사용하여 신뢰할 수 있는 루트 인증서에 대한 지원을 추가합니다.

Microsoft Defender 대한 앱 구성 정책

디바이스에서 터널 클라이언트 앱으로 사용할 엔드포인트용 Microsoft Defender 구성하는 앱 구성 정책을 만듭니다.

참고

단일 Defender 앱 구성 정책만 등록되지 않은 디바이스를 대상으로 지정하는지 확인합니다. 엔드포인트용 Defender에 대해 서로 다른 터널 설정을 사용하여 1개 이상의 앱 구성 정책을 대상으로 지정하면 디바이스에서 터널 연결 문제가 생성됩니다.

  1. Microsoft Intune 관리 센터에 로그인하고 App Configuration 정책>관리되는 앱>추가>로 이동합니다.

  2. 기본 탭에서 다음을 수행합니다.

    1. 이 정책의 이름과설명(선택 사항)을 입력합니다.
    2. 공용 앱 선택을 클릭하고 AndroidMicrosoft Defender 엔드포인트를 선택한 다음 선택을 클릭합니다.

    Microsoft Defender 엔드포인트가 퍼블릭 앱에 대해 나열되면 다음을 선택합니다.

    Microsoft Defender 엔드포인트를 공용 앱으로 사용하여 앱 구성 정책을 구성하는 스크린샷

  3. 설정 탭에서 이 정책에 사용되지 않는 일반 구성 설정 범주를 건너뜁니다. Microsoft Tunnel 설정 범주의 경우 다음 구성을 수행합니다.

    • Microsoft Tunnel VPN 사용을예로 설정합니다.
    • 연결 이름에 VPN의 연결 이름을 지정합니다.

    다음으로 사이트 선택을 클릭합니다.

    • 사이트 이름에서 사용 가능한 사이트를 선택한 다음 확인을 클릭합니다.

    • 앱별 VPN(Android에만 해당) 은 선택적 설정입니다. 공용 또는 사용자 지정 앱을 선택하여 터널 VPN 연결 사용을 지정된 앱으로 제한합니다.

      중요

      Microsoft Edge 내에서 원활한 ID 전환과 정확한 터널 알림을 보장하려면 앱별 VPN 목록에 Edge를 포함해야 합니다.

      Microsoft Edge가 추가된 앱별 구성 구성의 스크린샷

      중요

      Android용 MAM 터널은 Always-On VPN 사용을 지원하지 않습니다. Always-On VPN사용으로 설정하면 Tunnel이 성공적으로 연결되지 않고 디바이스 사용자에게 연결 실패 알림을 보냅니다.

    • 프록시 는 선택적 설정입니다. 온-프레미스 네트워크 요구 사항을 충족하도록 프록시 설정을 구성합니다.

      참고

      프록시 서버 구성은 버전 10 이전의 Android 버전에서 지원되지 않습니다. 자세한 내용은 해당 Android 개발자 설명서의 VpnService.Builder 를 참조하세요.

    준비가 되면 다음을 선택하여 계속합니다.

    앱 구성 정책 설정 구성의 스크린샷.

  4. 할당 탭에서 그룹 추가를 선택한 다음 Microsoft Edge 앱 구성 프로필을 배포한 것과 동일한 Microsoft Entra 그룹을 선택한 다음, 다음을 선택합니다.

  5. 검토 + 만들기 탭에서 만들기를 선택하여 정책 만들기를 완료하고 할당된 그룹에 정책을 배포합니다.

새 정책이 앱 구성 정책 목록에 표시됩니다.

Microsoft Edge에 대한 앱 구성 정책

Microsoft Edge에 대한 앱 구성 정책을 만듭니다. 이 정책은 ID 전환을 지원하도록 Microsoft Edge를 구성하여 로그인하거나 Microsoft "회사 또는 학교" 계정으로 전환할 때 VPN Tunnel을 자동으로 연결하고 Microsoft 개인 계정 전환할 때 VPN 터널의 연결을 자동으로 끊는 기능을 제공합니다.

  1. Microsoft Intune 관리 센터에 로그인하고 App Configuration 정책>관리되는 앱>추가>로 이동합니다.

  2. 기본 탭에서 다음을 수행합니다.

    1. 정책의 이름과설명(선택 사항)을 입력합니다.
    2. 공용 앱 선택을 클릭하고 AndroidMicrosoft Edge를 선택한 다음 선택을 클릭합니다.

    공용 앱에 대해 Microsoft Edge가 나열되면 다음을 선택합니다.

    Microsoft Edge를 공용 앱으로 사용하여 앱 구성 정책을 구성하는 스크린샷

  3. 설정 탭의 일반 구성 설정 범주에서 다음과 같이 이름 쌍을 구성합니다.

    이름 설명
    com.microsoft.intune.mam.managedbrowser.StrictTunnelMode

    : True    		 로 설정하면 Edge에 True엄격한 터널 모드 지원을 제공합니다. 사용자가 organization 계정으로 Edge에 로그인할 때 VPN이 연결되지 않은 경우 엄격한 터널 모드는 인터넷 트래픽을 차단합니다.

    VPN이 다시 연결되면 인터넷 검색을 다시 사용할 수 있습니다.
    com.microsoft.intune.mam.managedbrowser.TunnelAvailable.IntuneMAMOnly

    : True    		 True설정하면 Edge에 대한 ID 스위치 지원을 제공합니다.

    사용자가 회사 계정 또는 학교 계정으로 로그인하면 Edge가 VPN에 자동으로 연결됩니다. 사용자가 비공개 브라우징을 사용하도록 설정하면 Edge가 개인 계정 으로 전환되고 VPN의 연결이 끊어집니다.

    다음 이미지는 Microsoft Edge에 Identity switch 대한 앱 구성 정책의 설정을 보여줍니다.

    Microsoft Intune 관리되지 않는 Android 디바이스의 MAM Tunnel에 대한 ID 스위치 구성 키 및 값을 보여 주는 이미지.

    참고

    일반 구성 설정의 끝에 후행 공백이 없는지 확인합니다.

    이 동일한 정책을 사용하여 Microsoft Edge 구성 설정 범주에서 다른 Microsoft Edge 구성 을 구성할 수 있습니다. Microsoft Edge에 대한 추가 구성이 준비되면 다음을 선택합니다.

  4. 할당 탭에서 그룹 추가를 선택한 다음, 이 정책을 받을 하나 이상의 Microsoft Entra 그룹을 선택합니다. 그룹을 구성한 후 다음을 선택합니다.

  5. 검토 + 만들기 탭에서 만들기를 선택하여 정책 만들기를 완료하고 할당된 그룹에 정책을 배포합니다.

새 정책이 앱 구성 정책 목록에 표시됩니다.

Microsoft Edge에 대한 앱 보호 정책

앱이 시작될 때 Microsoft Tunnel VPN 연결을 자동으로 시작하는 앱 보호 정책을 만듭니다.

참고

앱이 시작되면 터널 VPN 연결이 시작되고 시작되면 디바이스는 Microsoft Tunnel Gateway를 통해 사용할 수 있는 온-프레미스 네트워크 경로에 액세스할 수 있습니다. 터널 네트워크 액세스를 특정 앱으로 제한하려면 "앱별 VPN(Android 전용) 설정을 구성합니다.

  1. Microsoft Intune 관리 센터에 로그인하고 >앱 보호 정책>만들기 정책>Android로 이동합니다.

  2. 기본 탭에서 이 정책의 이름과설명(선택 사항)을 입력하고 다음을 선택합니다.

  3. 탭에서 공용 앱 선택을 클릭하고 Microsoft Edge를 선택한 다음 선택을 클릭합니다.

    공용 앱에 대해 Microsoft Edge가 나열되면 다음을 선택합니다.

    Microsoft Edge를 공용 앱으로 사용하여 앱 보호 정책을 구성하는 스크린샷

  4. 데이터 보호 탭에서 아래쪽으로 스크롤하고 앱 시작 시 Microsoft Tunnel 연결 시작을예로 설정한 다음, 다음을 선택합니다.

    앱 시작 시 Tunnel을 사용하기 위한 앱 보호 정책 설정을 구성하는 스크린샷.

  5. 액세스 요구 사항조건부 시작 탭을 계속 진행합니다.

  6. 할당 탭에서 그룹 추가를 선택한 다음, 두 앱 구성 프로필을 배포한 것과 동일한 Microsoft Entra 그룹을 선택한 다음, 다음을 선택합니다.

  7. 검토 + 만들기 탭에서 만들기를 선택하여 정책 만들기를 완료하고 할당된 그룹에 정책을 배포합니다.

새 정책이 앱 구성 정책 목록에 표시됩니다.

기간 업무 애플리케이션 구성

LOB 앱을 MAM SDK와 통합한 경우 이전에 만든 세 가지 MAM 터널 정책에 사용자 지정 앱으로 추가하여 Microsoft Tunnel과 함께 사용할 수 있습니다.

정책에 사용자 지정 앱을 추가하는 방법에 대한 자세한 내용은 두 정책 유형에 대한 다음 문서를 참조하세요.

등록되지 않은 디바이스에서 LOB 앱을 지원하려면 앱이 Microsoft Intune 관리 센터 내에서 사용 가능한 앱으로 배포해야 합니다. Intune 사용하여 등록되지 않은 디바이스에 필요한 앱으로 앱을 배포할 수 없습니다.

신뢰할 수 있는 인증서 프로필 사용

Android에서 MAM 터널을 사용하는 LOB 앱은 Intune 앱 SDK와 통합해야 하며, 새 Tunnel for MAM 트러스트 관리자를 사용하여 LOB 앱에 대해 신뢰할 수 있는 루트 인증서 지원을 활용해야 합니다. 신뢰할 수 있는 루트 인증서를 지원하려면 이 문서의 필수 구성 요소 섹션에 설명된 대로 최소 SDK 버전 이상을 사용해야 합니다.

신뢰할 수 있는 루트 인증서 관리:

애플리케이션에서 내부 웹 사이트 및 애플리케이션에 대한 보안 액세스를 제공하기 위해 온-프레미스 또는 프라이빗 인증 기관에서 발급한 SSL/TLS 인증서가 필요한 경우 Intune 앱 SDK는 API 클래스 MAMTrustedRootCertsManagerMAMCertTrustWebViewClient를 사용하여 인증서 신뢰 관리에 대한 지원을 추가했습니다.

요구 사항:

  • MAM Android용 Tunnel에서 지원하는 인증서 형식:

    • DER 인코딩된 이진 X.509
    • Pem

  • MAMCertTrustWebViewClient 는 다음을 지원합니다.

    • Android 10 이상

  • MAMTrustedRootCertsManager 는 다음을 지원합니다.

    • SSLContext
    • SSLSocketFactory
    • TrustManager
    • Webview

MAM용 Tunnel을 사용하는 앱에 대한 앱 구성 프로필을 구성하는 동안 사용할 인증서 프로필을 선택합니다.

  1. 앱 구성 프로필의 설정 탭에서 모바일 애플리케이션 관리 설정을 위한 Microsoft Tunnel을 확장합니다. 앱 구성 정책의 터널 설정 보기

  2. 다음 옵션을 구성합니다.

    1. MAM용 Microsoft Tunnel 사용을예로 설정합니다.
    2. 연결 이름mam-tunnel-vpn과 같은 이 연결의 사용자 연결 이름을 지정합니다.
    3. 다음으로 사이트 선택을 선택하고 Microsoft Tunnel Gateway 사이트 중 하나를 선택합니다. Tunnel Gateway 사이트를 구성하지 않은 경우 Microsoft Tunnel 구성을 참조하세요.
    4. 앱에 신뢰할 수 있는 인증서가 필요한 경우 루트 인증서 를 선택하여 루트 인증서 선택 창을 연 다음 사용할 신뢰할 수 있는 인증서 프로필을 선택합니다.

    루트 인증서 선택 창의 보기입니다.

    루트 인증서 프로필을 구성하는 방법에 대한 자세한 내용은 Microsoft Intune 대한 신뢰할 수 있는 루트 인증서 프로필을 참조하세요.

  3. 터널 MAM 설정을 구성한 후 다음 을 선택하여 할당 탭을 엽니다.

알려진 문제

다음은 Android용 MAM Tunnel의 알려진 문제 또는 제한 사항입니다.

모바일 애플리케이션 관리를 위한 터널은 개인 프로필 모드에서 Microsoft Defender 지원하지 않습니다.

개인 프로필 모드의 Microsoft Defender 대한 자세한 내용은 BYOD 모드에서 Android Enterprise의 개인 프로필 Microsoft Defender 참조하세요.

해결 방법: 없음.

MDM 터널을 사용할 때 MAM 터널이 지원되지 않음

MDM 터널 구성을 사용하는 대신 등록된 디바이스에서 MAM 터널을 사용하도록 선택할 수 있습니다. 그러나 등록된 디바이스는 MDM 터널 구성 또는 MAM 터널 구성만 사용해야 하지만 둘 다 사용하지는 않아야 합니다. 예를 들어 등록된 디바이스에는 MAM 터널 구성을 사용하는 Microsoft Edge와 같은 앱이 있을 수 없으며 다른 앱은 MDM 터널 구성을 사용합니다.

해결 방법: 없음.

신뢰할 수 있는 루트 지원을 위해 WebView 및 Intune SDK를 사용하는 기간 업무 애플리케이션, 내부 엔드포인트는 렌더링할 수 없습니다.

해결 방법: 터널의 WebView에서 LOB 앱을 사용하는 등록되지 않은 Android 디바이스에 신뢰할 수 있는 루트 인증서를 수동으로 배포하고 설치합니다.

프라이빗 인증 기관을 사용할 때 Android에서 인증서 체인을 빌드하지 못함

MAM에서 MAMCertTrustWebViewClient와 함께 WebView를 사용하여 인증서의 유효성을 검사하는 경우 MAM은 Android에 위임하여 관리자와 서버에서 제공하는 인증서에서 인증서 체인을 빌드합니다. 프라이빗 인증서를 사용하는 서버가 연결 WebView에 전체 체인을 제공하지만 관리자가 루트 인증서만 배포하는 경우 Android는 인증서 체인을 빌드하지 못하고 서버 트러스트를 확인할 때 실패할 수 있습니다. 이 동작은 Android에서 체인을 허용 가능한 수준으로 빌드하기 위해 중간 인증서가 필요하기 때문에 발생합니다.

해결 방법: 적절한 인증서 유효성 검사를 보장하려면 관리자는 루트 인증서와 모든 중간 인증서를 Intune 배포해야 합니다. 모든 중간 인증서와 함께 루트 인증서가 배포되지 않은 경우 Android는 인증서 체인을 빌드하지 못하고 서버를 신뢰하지 못할 수 있습니다.

프라이빗 인증 기관에서 TLS/SSL 인증서를 사용하는 경우 엔드포인트용 Defender 인증서 오류

Microsoft Tunnel Gateway 서버가 프라이빗(온-프레미스) CA에서 발급한 TLS/SSL 인증서를 사용하는 경우 엔드포인트용 Microsoft Defender 연결을 시도할 때 인증서 오류를 생성합니다.

해결 방법: Android 디바이스에 프라이빗 인증 기관의 신뢰할 수 있는 해당 루트 인증서를 수동으로 설치합니다. 엔드포인트용 Defender 앱의 향후 업데이트는 지원을 제공하고 신뢰할 수 있는 루트 인증서를 수동으로 설치할 필요가 없습니다.

Microsoft Edge가 시작된 후 잠시 동안 내부 리소스에 연결할 수 없습니다.

Microsoft Edge가 열린 직후 브라우저는 터널에 성공적으로 연결하기 전에 내부 리소스에 연결하려고 시도합니다. 이 동작으로 인해 브라우저에서 리소스 또는 대상 URL을 사용할 수 없다고 보고합니다.

해결 방법: 디바이스에서 브라우저 연결을 새로 고칩니다. 터널에 대한 연결이 설정된 후 리소스를 사용할 수 있게 됩니다.

등록되지 않은 디바이스에 대한 Tunnel을 지원하는 데 필요한 세 가지 앱은 디바이스의 회사 포털 앱에 표시되지 않습니다.

Microsoft Edge, 엔드포인트용 Microsoft Defender 및 회사 포털 등록 여부에 관계없이 사용 가능한 디바이스에 할당된 후 대상 사용자는 회사 포털 또는 portal.manage.microsoft.com 앱을 찾을 수 없습니다.

해결 방법: Google Play 스토어에서 세 가지 앱을 모두 수동으로 설치합니다. 이 문서 필수 구성 요소 섹션에서 Google Play의 세 가지 앱 모두에 대한 링크를 찾을 수 있습니다.

오류: "MSTunnel VPN을 시작하지 못했습니다. IT 관리자에게 도움을 요청하세요."

이 오류 메시지는 터널이 연결된 경우에도 발생할 수 있습니다.

해결 방법: 이 메시지를 무시할 수 있습니다.

오류: 라이선스가 잘못되었습니다. 관리자에게 문의하세요.

이 오류는 엔드포인트용 Microsoft Defender 버전이 Tunnel을 지원하지 않는 경우에 발생합니다.

해결 방법: Google Play의 Microsoft Defender - 앱에서 지원되는 버전의 엔드포인트용 Defender를 설치합니다.

Defender에 대해 여러 정책을 사용하여 다른 앱에 대한 다른 터널 사이트를 구성하는 것은 지원되지 않습니다.

서로 다른 터널 사이트를 지정하는 Microsoft Defender 두 개 이상의 앱 구성 정책을 사용하는 것은 지원되지 않으며 터널의 성공적인 사용을 방지하는 경합 조건이 발생할 수 있습니다.

해결 방법: Microsoft Defender 대한 단일 앱 구성 정책을 사용하여 각 디바이스를 대상으로 지정하여 등록되지 않은 각 디바이스가 하나의 사이트만 사용하도록 구성되어 있는지 확인합니다.

GCC High 및 FIPS 지원

MAM용 Microsoft Tunnel GCC High 환경에서 지원되지 MAM용 Microsoft Tunnel FIPS(Federal Information Processing Standard)를 지원하지 않습니다. MAM용 Microsoft Tunnel 페어팩스 환경에서 지원되지 않습니다.

다음 단계

참고: