최전방 작업자를 위한 디바이스 관리

• 적용 대상:

  Microsoft Teams, Microsoft 365 for frontline workers

모든 업계에서 최전방 인력은 직원의 큰 부분을 구성합니다. 최전방 인력 역할에는 소매 직원, 공장 작업자, 현장 및 서비스 기술자, 의료 담당자 등이 포함됩니다.

개요

직원은 대부분 이동이 많고 종종 교대 근무를 기반으로 하므로 최전방 인력이 사용하는 디바이스를 관리하는 것은 핵심적인 기본 사항입니다. 이때 고려할 몇 가지 질문은 다음과 같습니다.

• 직원은 회사 소유의 디바이스를 사용하나요, 아니면 자신의 개인 디바이스를 사용하나요?
• 회사 소유의 디바이스는 직원 간에 공유되나요, 아니면 개인에게 할당되나요?
• 작업자는 디바이스를 집으로 가져가나요, 아니면 직장에 두나요?

공유 디바이스든 작업자의 디바이스이든 관계없이 직원의 디바이스를 관리하기 위해 안전하고 규정을 준수하는 기준을 설정하는 것이 중요합니다. 이 문서에서는 회사 데이터를 보호하면서 직원의 역량을 강화하는 데 도움이 되는 일반적인 최전방 인력 디바이스 시나리오 및 관리 기능에 대한 개요를 제공합니다.

디바이스 유형

공유, 사용자 고유의 디바이스 및 키오스크 디바이스는 최전방 작업자가 사용하는 가장 일반적인 디바이스 유형입니다.

장치 유형	설명	사용해야 하는 이유	배포 고려 사항
공유 디바이스:	디바이스는 organization 소유하고 관리합니다. 직원이 근무하는 동안 디바이스에 액세스합니다.	작업자 생산성과 고객 환경이 최우선 순위입니다. 작업자는 organization 리소스에 액세스할 수 없습니다. 현지 법률에 따라 개인 디바이스가 비즈니스 목적으로 사용되지 않을 수 있습니다.	로그인/로그아웃은 작업자 환경에 마찰을 더할 수 있습니다. 중요한 데이터를 실수로 공유할 수 있습니다.
BYOD(Bring Your Own Devices)	개인 디바이스는 사용자가 소유하고 organization 관리합니다.	기존 MDM(모바일 디바이스 관리) 솔루션을 사용하면 organization 공유 디바이스 모델을 채택할 수 없습니다. 공유 디바이스 또는 전용 디바이스는 비용 또는 비즈니스 준비 관점에서 비실용적일 수 있습니다.	지원 복잡성은 필드 위치에서 불가능할 수 있습니다. 개인 디바이스는 OS, 스토리지 및 연결에 따라 다릅니다. 일부 작업자는 개인 모바일 디바이스에 대한 신뢰할 수 있는 액세스 권한이 없을 수 있습니다. 근로자가 시계를 사용하지 않는 동안 자원에 액세스하는 경우 임금에 대한 잠재적 책임이 발생할 수 있습니다. 개인 디바이스 사용은 노조 규칙 또는 정부 규정에 위배될 수 있습니다.
키오스크 디바이스	디바이스는 organization 소유하고 관리합니다. 사용자는 로그인하거나 로그아웃할 필요가 없습니다.	디바이스에는 전용 용도가 있습니다. 사용 사례에는 사용자 인증이 필요하지 않습니다.	협업, 통신, 작업 및 워크플로 애플리케이션이 작동하려면 사용자 ID가 필요합니다. 사용자 활동을 감사할 수 없습니다. 다단계 인증을 비롯한 일부 보안 기능을 사용할 수 없습니다.

공유 디바이스 및 BYOD는 일반적으로 최전방 배포에서 채택됩니다. 이 문서의 후속 섹션에서 설명하는 기능을 사용하면 사용자 환경, 데이터에 대한 무단 작업자 액세스, 리소스 및 대규모 디바이스 배포 및 관리 기능에 대한 organization 문제를 resolve 완화할 수 있습니다.

참고

키오스크 디바이스 배포는 사용자 감사 및 다단계 인증과 같은 사용자 기반 보안 기능을 허용하지 않으므로 권장되지 않습니다. 키오스크 디바이스에 대해 자세히 알아보세요.

공유 디바이스:

많은 최전방 직원은 공유 모바일 디바이스를 사용하여 작업을 수행합니다. 공유 디바이스는 여러 작업, 교대 근무 또는 위치에서 직원 간에 공유되는 회사 소유 디바이스입니다.

일반적인 시나리오의 예는 다음과 같습니다. 조직에는 모든 직원 간에 공유되는 크래들을 충전하는 디바이스 풀이 있습니다. 교대 근무가 시작되면 직원은 풀에서 디바이스를 집어 들고 자신의 역할에 필수적인 Teams 및 기타 비즈니스 앱에 로그인합니다. 교대 근무가 끝나면 로그아웃하고 디바이스를 풀로 반환합니다. 동일한 교대 근무 내에서도 직원은 작업을 마치거나 점심을 먹을 때 디바이스를 반환한 다음, 다시 돌아올 때 다른 디바이스를 선택할 수 있습니다.

공유 디바이스에는 독특한 보안 문제가 있습니다. 예를 들어 직원은 동일한 디바이스에서 다른 사용자가 사용할 수 없는 회사 또는 고객 데이터에 액세스할 수 있습니다.

개인 디바이스(BYOD)

일부 조직에서는 최전방 직원이 자신의 모바일 디바이스를 사용하여 Teams 및 기타 비즈니스 앱에 액세스하는 BYOD(Bring Your Own Device) 모델을 사용합니다. 개인 디바이스에서 액세스 및 규정 준수를 관리하는 몇 가지 방법에 대한 개요는 다음과 같습니다.

디바이스 운영 체제

선택한 배포 모델은 지원하는 디바이스 운영 체제를 부분적으로 결정합니다. 예를 들어 BYOD 모델을 구현하는 경우 Android 및 iOS 디바이스를 모두 지원해야 합니다. 공유 디바이스 모델을 구현하는 경우 선택한 디바이스 OS가 사용 가능한 기능을 결정합니다. 예를 들어 Windows 디바이스는 기본적으로 Windows Hello 사용하여 자동화된 로그온 및 간편한 인증을 위해 여러 사용자 프로필을 저장하는 기능을 지원합니다. Android 및 iOS를 사용하면 더 많은 단계와 필수 구성 요소가 적용됩니다.

장치 OS	고려 사항
Windows	디바이스에 여러 사용자 프로필을 저장하기 위한 기본 지원입니다. 암호 없는 인증에 대한 Windows Hello 지원합니다. Microsoft Intune 사용하는 경우 간소화된 배포 및 관리 기능입니다.
Android	디바이스에 여러 사용자 프로필을 저장하기 위한 제한된 네이티브 기능입니다. Android 디바이스를 공유 디바이스 모드로 등록하여 Single Sign-On 및 로그아웃을 자동화할 수 있습니다. 컨트롤 및 API를 강력하게 관리합니다. 최전방 사용을 위해 빌드된 디바이스의 기존 에코시스템.
iOS 및 iPadOS	iOS 디바이스를 공유 디바이스 모드로 등록하여 Single Sign-On 및 로그아웃을 자동화할 수 있습니다. 비즈니스용 공유 iPad를 사용하여 iPadOS 디바이스에 여러 사용자 프로필을 저장할 수 있습니다. Apple에서 사용자 프로필을 분할하는 방식 때문에 비즈니스용 공유 iPad에서는 조건부 액세스를 사용할 수 없습니다.

공유 디바이스 배포에서 사용자 로그온을 간소화하기 위해 디바이스에 여러 사용자 프로필을 저장하는 기능과 이전 사용자(Single Sign out)의 앱 데이터를 지우는 기능은 최전방 배포를 위한 실질적인 요구 사항입니다. 이러한 기능은 비즈니스용 공유 iPad를 사용하는 Windows 장치 및 iPad에서 기본 제공됩니다.

사용자 ID

일선 작업자용 Microsoft 365는 모든 애플리케이션 및 리소스를 제공하고 보호하기 위해 기본 ID 서비스로 Microsoft Entra ID를 사용합니다. Microsoft 365 클라우드 애플리케이션에 액세스하려면 사용자에게 Microsoft Entra ID에 있는 ID가 있어야 합니다.

Active Directory Domain Services(AD DS) 또는 타사 ID 공급자를 사용하여 최전방 사용자 ID를 관리하도록 선택하는 경우 이러한 ID를 Microsoft Entra ID에 페더레이션해야 합니다. 타사 서비스를 Microsoft Entra ID와 통합하는 방법을 알아봅니다.

최전방 ID를 관리하기 위한 가능한 구현 패턴은 다음과 같습니다.

• 독립 실행형 Microsoft Entra: organization 최전방 워크로드에 대한 독립 실행형 ID 솔루션으로 Microsoft Entra ID에서 사용자, 디바이스 및 애플리케이션 ID를 만들고 관리합니다. 이 구현 패턴은 최전방 배포 아키텍처를 간소화하고 사용자 로그온 중에 성능을 최대화하기 때문에 권장됩니다.
• Microsoft Entra ID와 AD DS(Active Directory Domain Services) 통합: Microsoft는 Microsoft Entra Connect를 제공하여 이러한 두 환경을 조인합니다. Microsoft Entra Connect는 AD 사용자 계정을 Microsoft Entra ID에 복제하여 사용자가 로컬 및 클라우드 기반 리소스에 모두 액세스할 수 있는 단일 ID를 가질 수 있도록 합니다. AD DS와 Microsoft Entra ID는 모두 독립 디렉터리 환경으로 존재할 수 있지만 하이브리드 디렉터리를 만들도록 선택할 수 있습니다.
• Microsoft Entra ID와 타사 ID 솔루션 동기화: Microsoft Entra ID는 페더레이션을 통해 Okta 및 Ping Identity와 같은 타사 ID 공급자와의 통합을 지원합니다. 타사 ID 공급자 사용에 대해 자세히 알아봅니다.

HR 기반 사용자 프로비저닝

사용자 프로비저닝 자동화는 일선 직원이 첫날 애플리케이션 및 리소스에 액세스할 수 있기를 원하는 조직이 실제로 필요합니다. 보안 관점에서 볼 때 이전 직원이 회사 리소스에 대한 액세스를 유지하지 않도록 직원 오프보딩 중에 프로비전 해제를 자동화하는 것도 중요합니다.

Microsoft Entra 사용자 프로비저닝 서비스는 클라우드 기반 및 온-프레미스 HR 애플리케이션(예: Workday 및 SAP SuccessFactors)과 통합됩니다. HR 시스템에서 직원을 만들거나 사용하지 않도록 설정할 때 사용자 프로비저닝 및 프로비전 해제를 자동화하도록 서비스를 구성할 수 있습니다.

내 직원

Microsoft Entra ID의 내 직원 기능을 사용하면 내 직원 포털을 통해 최전방 관리자에게 일반적인 사용자 관리 작업을 위임할 수 있습니다. 최전방 관리자는 기술 지원팀, 운영 또는 IT 담당자에게 요청을 라우팅하지 않고도 매장 또는 공장 현장에서 직접 암호를 재설정하거나 최전방 직원의 전화번호를 관리할 수 있습니다.

또한 내 직원을 사용하여 최전방 관리자는 SMS 로그인을 위해 팀 구성원의 전화번호를 등록할 수 있습니다. 조직에서 SMS 기반 인증을 사용하는 경우 최전방 직원은 전화번호와 SMS를 통해 전송된 일회용 암호만 사용하여 Teams 및 기타 앱에 로그인할 수 있습니다. 이렇게 하면 최전방 직원의 로그인이 간단하고 안전하며 빨라집니다.

모바일 장치 관리

MDM(모바일 디바이스 관리) 솔루션은 디바이스의 배포, 관리 및 모니터링을 간소화할 수 있습니다. Microsoft Intune 기본적으로 최전방 작업자에게 공유 디바이스를 배포하는 데 중요한 기능을 지원합니다. 해당 기능은 다음과 같습니다.

• 제로 터치 프로비저닝: IT 관리자는 디바이스의 물리적 보관 없이 모바일 디바이스를 등록하고 미리 구성할 수 있습니다(수동 구성용). 이 기능은 디바이스를 자동화된 구성 및 프로비저닝 단계를 원격으로 완료할 수 있는 의도된 최전방 위치로 직접 배송할 수 있으므로 대규모로 공유 디바이스를 필드 위치에 배포할 때 유용합니다.
• Single Sign-Out: 백그라운드 프로세스를 중지하고 새 사용자가 로그인할 때 이전 사용자에게 할당된 모든 애플리케이션 및 리소스에서 사용자 로그아웃을 자동화합니다. Single Sign out을 사용하려면 Android 및 iOS 디바이스를 공유 디바이스 모드로 등록해야 합니다.
• 조건부 액세스 Microsoft Entra: IT 관리자는 ID 기반 신호를 통해 클라우드 기반 애플리케이션 및 리소스에 대한 자동화된 액세스 제어 결정을 구현할 수 있습니다. 예를 들어 최신 보안 업데이트가 설치되지 않은 공유 또는 BYOD 디바이스의 액세스를 방지할 수 있습니다. 배포를 보호하는 방법에 대해 자세히 알아봅니다.

VMware의 작업 영역 ONE 또는 SOTI MobiControl과 같은 공유 디바이스 배포에 타사 MDM 솔루션을 사용하는 경우 관련 기능, 제한 사항 및 사용 가능한 해결 방법을 이해하는 것이 중요합니다.

일부 타사 MDM은 Android 디바이스에서 전역 로그아웃이 발생할 때 앱 데이터를 지울 수 있습니다. 그러나 앱 데이터 지우기는 공유 위치에 저장된 데이터를 놓치거나, 앱 설정을 삭제하거나, 첫 실행 환경이 다시 나타날 수 있습니다. 공유 디바이스 모드에 등록된 Android 디바이스는 디바이스 검사 또는 새 사용자가 디바이스에 로그인하는 동안 필요한 애플리케이션 데이터를 선택적으로 지울 수 있습니다. 공유 디바이스 모드의 인증에 대해 자세히 알아봅니다.

iOS 및 Android 디바이스용 타사 MDM 솔루션에서 공유 디바이스 모드를 수동으로 구성할 수 있지만 수동 구성 단계에서는 디바이스를 Microsoft Entra ID로 표시하지 않으므로 이 시나리오에서는 조건부 액세스가 지원되지 않습니다. 공유 디바이스 모드에서 디바이스를 수동으로 구성하도록 선택하는 경우 디바이스에서 Authenticator를 제거하고 다시 설치하여 타사 MDM 지원을 사용할 수 있는 경우 조건부 액세스 지원을 받으려면 제로 터치 프로비저닝을 사용하여 공유 디바이스 모드에서 Android 디바이스를 다시 등록하는 추가 단계를 수행해야 합니다.

디바이스는 하나의 MDM 솔루션에만 등록할 수 있지만 여러 MDM 솔루션을 사용하여 별도의 디바이스 풀을 관리할 수 있습니다. 예를 들어 공유 디바이스에 작업 영역 ONE을 사용하고 BYOD에 Intune을 사용할 수 있습니다. 여러 MDM 솔루션을 사용하는 경우 조건부 액세스 정책의 불일치로 인해 일부 사용자가 공유 디바이스에 액세스하지 못할 수 있습니다.

MDM 솔루션	Single Sign out	제로 터치 프로비저닝	조건부 액세스 Microsoft Entra
Intune(Microsoft)	공유 디바이스 모드에 등록된 Android 및 iOS 디바이스에 대해 지원됨	공유 디바이스 모드에 등록된 Android 및 iOS 디바이스에 대해 지원됨	공유 디바이스 모드에 등록된 Android 및 iOS 디바이스에 대해 지원됨
작업 영역 ONE(VMware)	Android 앱 데이터 지우기 기능에서 지원합니다. iOS에서 사용할 수 없음	현재 Android 및 iOS에서 사용할 수 없습니다.	현재 Android 및 iOS에서 사용할 수 없습니다.
MobiControl(SOTI)	초기화 프로그램 데이터 기능에서 지원됩니다. iOS에서 사용할 수 없습니다.	현재 Android 및 iOS에서 사용할 수 없습니다.	현재 Android 및 iOS에서 사용할 수 없습니다.

Intune에 등록된 Windows 디바이스는 Single Sign out, 제로 터치 프로비저닝 및 Microsoft Entra 조건부 액세스를 지원합니다. Windows 디바이스에서 공유 디바이스 모드를 구성할 필요가 없습니다.

Intune은 디바이스 유형에서 최상의 지원 및 기능을 제공하기 때문에 BYOD 시나리오에 권장됩니다.

Android 및 iOS 개인 디바이스 등록

회사 소유 디바이스 외에도 사용자의 개인 소유 디바이스를 Intune 관리에 등록할 수 있습니다. BYOD 등록의 경우 Microsoft Intune 관리 센터에 디바이스 사용자를 추가하고, 등록 환경을 구성하고, Intune 정책을 설정합니다. 사용자는 자신의 디바이스에 설치된 Intune 회사 포털 앱에서 등록을 완료합니다.

경우에 따라 사용자는 개인 디바이스를 관리에 등록하는 것을 꺼릴 수 있습니다. 디바이스 등록이 옵션이 아닌 경우 MAM(모바일 애플리케이션 관리) 접근 방식을 선택하고 앱 보호 정책을 사용하여 회사 데이터를 포함하는 앱을 관리할 수 있습니다. 예를 들어 Teams 및 Office 모바일 앱에 앱 보호 정책을 적용하여 회사 데이터가 디바이스의 개인 앱에 복사되지 않도록 할 수 있습니다.

자세한 내용은 Intune 계획 가이드의 “개인 디바이스 대 조직 소유 디바이스” 및 배포 지침: Microsoft Intune에 디바이스 등록을 참조하세요.

인증

인증 기능은 계정을 사용하여 애플리케이션, 데이터 및 리소스에 액세스할 수 있는 사용자 또는 사용자를 제어합니다. 최전방 작업자에게 공유 디바이스를 배포하는 조직에는 인증된 사용자 간에 디바이스를 전송할 때 애플리케이션 및 데이터에 대한 무단 또는 의도하지 않은 액세스를 방지하면서 작업자 생산성을 저해하지 않는 인증 제어가 필요합니다.

Microsoft의 최전방 솔루션은 클라우드에서 제공되며 microsoft 365 애플리케이션 및 리소스를 보호하기 위한 기본 ID 서비스로 Microsoft Entra ID를 활용합니다. Microsoft Entra ID의 이러한 인증 기능은 자동 Single Sign-On, Single Sign-Out 및 기타 강력한 인증 방법 등 공유 디바이스 배포에 대한 고유한 고려 사항을 해결합니다.

공유 디바이스 모드

공유 디바이스 모드는 직원이 공유할 디바이스를 구성할 수 있는 Microsoft Entra ID의 기능입니다. 이 기능을 사용하면 Microsoft Teams 및 공유 디바이스 모드를 지원하는 다른 모든 앱에 대해 SSO(Single Sign-On) 및 디바이스 전체 로그아웃이 가능합니다. MSAL(Microsoft 인증 라이브러리)을 사용하여 LOB(기간 업무) 앱에 이 기능을 통합할 수 있습니다. 디바이스가 공유 디바이스 모드에 있으면 MSAL(Microsoft 인증 라이브러리)을 활용하는 애플리케이션은 공유 디바이스에서 실행 중임을 감지하고 현재 활성 사용자가 누구인지 확인할 수 있습니다. 이 정보를 사용하면 애플리케이션에서 다음 인증 제어를 수행할 수 있습니다.

• 자동 Single Sign-On: 사용자가 이미 다른 MSAL 애플리케이션에 로그인한 경우 사용자는 공유 디바이스 모드와 호환되는 모든 애플리케이션에 로그인됩니다. 이는 사용자가 이전에 로그인한 계정을 선택할 필요가 없도록 하여 첫 번째 애플리케이션에 로그인한 후 애플리케이션에 액세스하는 데 걸리는 시간을 더 줄여주므로 이전 Single Sign-On 환경이 개선되었습니다.
• Single Sign-Out: 사용자가 MSAL을 사용하여 앱에서 로그아웃하면 공유 디바이스 모드와 통합된 다른 모든 애플리케이션은 백그라운드 프로세스를 중지하고 로그아웃 데이터 지우기 프로세스를 시작하여 다음 사용자가 무단 또는 의도하지 않은 액세스를 방지할 수 있습니다.

다음은 Teams를 예로 든 공유 디바이스 모드의 작동 방식입니다. 직원이 교대 근무를 시작할 때 Teams에 로그인하면 디바이스에서 공유 디바이스 모드를 지원하는 다른 모든 앱에 자동으로 로그인됩니다. 교대 근무가 끝날 때 Teams에서 로그아웃하면 공유 디바이스 모드를 지원하는 다른 모든 앱에서 전역적으로 로그아웃됩니다. 로그아웃한 후 Teams 및 공유 디바이스 모드를 지원하는 다른 모든 앱에서 직원의 데이터 및 회사 데이터에 더 이상 액세스할 수 없습니다. 디바이스는 다음 직원을 위해 준비되었으며 안전하게 전달될 수 있습니다.

공유 디바이스 모드는 애플리케이션 개발자가 앱 설정 또는 캐시된 데이터에 영향을 주지 않고 개인 사용자 데이터를 선택적으로 지울 수 있기 때문에 Android용 앱 데이터 지우기 기능이 향상되었습니다. 공유 디바이스 모드를 사용하면 애플리케이션에서 첫 번째 실행 환경이 표시되는지 기억할 수 있는 플래그가 삭제되지 않으므로 사용자가 로그온할 때마다 첫 번째 실행 환경이 표시되지 않습니다.

공유 디바이스 모드를 사용하면 모든 사용자에 대해 디바이스를 Microsoft Entra ID에 한 번 등록할 수 있으므로 공유 디바이스에서 앱 및 데이터 사용을 보호하는 프로필을 쉽게 만들 수 있습니다. 이렇게 하면 새 사용자가 디바이스에 인증할 때마다 디바이스를 다시 등록하지 않고도 조건부 액세스를 지원할 수 있습니다.

Microsoft Intune 또는 Microsoft Configuration Manager 같은 MDM(모바일 디바이스 관리) 솔루션을 사용하여 Microsoft Authenticator 앱을 설치하고 공유 모드를 켜서 공유할 디바이스를 준비합니다. Teams 및 공유 디바이스 모드를 지원하는 다른 모든 앱은 공유 모드 설정을 사용하여 디바이스에서 사용자를 관리합니다. 또한 사용하는 MDM 솔루션은 로그아웃이 발생할 때 디바이스 정리를 수행해야 합니다.

참고

공유 디바이스 모드는 전체 데이터 손실 방지 솔루션이 아닙니다. 공유 디바이스 모드는 공유 디바이스 모드(예: 로컬 파일 스토리지)를 활용하지 않는 디바이스 영역으로 데이터가 누출되지 않도록 MAM(Microsoft Application Manager) 정책과 함께 사용해야 합니다.

필수 구성 요소 및 고려 사항

공유 디바이스 모드를 사용하려면 다음 필수 조건을 충족해야 합니다.

• 디바이스에 먼저 Microsoft Authenticator가 설치되어 있어야 합니다.
• 디바이스를 공유 디바이스 모드로 등록해야 합니다.
• 이러한 이점이 필요한 모든 애플리케이션은 MSAL의 공유 디바이스 모드 API와 통합해야 합니다.

데이터가 공유 디바이스 모드 사용 애플리케이션에서 공유되지 않는 디바이스 모드 사용 애플리케이션으로 이동하지 않도록 하려면 MAM 정책이 필요합니다.

현재 공유 디바이스 모드의 제로 터치 프로비저닝은 Intune에서만 사용할 수 있습니다. 타사 MDM 솔루션을 사용하는 경우 수동 구성 단계를 사용하여 디바이스를 공유 디바이스 모드로 등록해야 합니다.

참고

조건부 액세스는 수동으로 구성된 디바이스에 대해 완전히 지원되지 않습니다.

일부 Microsoft 365 애플리케이션은 현재 공유 디바이스 모드를 지원하지 않습니다. 아래 표에는 사용 가능한 내용이 요약되어 있습니다. 필요한 애플리케이션에 공유 디바이스 모드 통합이 부족한 경우 Microsoft Teams 또는 Microsoft Edge에서 웹 기반 버전의 애플리케이션을 실행하여 공유 디바이스 모드의 이점을 얻는 것이 좋습니다.

공유 디바이스 모드는 현재 Android 디바이스에서 지원됩니다. 다음은 시작하는데 도움이 되는 몇 가지 리소스입니다.

Android 디바이스를 공유 디바이스 모드로 등록

Intune을 사용하여 Android 디바이스를 관리하고 공유 디바이스 모드로 등록하려면 디바이스가 Android OS 버전 8.0 이상을 실행하고 GMS(Google Mobile Services) 연결이 있어야 합니다. 자세한 내용은 다음을 참조하세요.

• Android 엔터프라이즈 전용 디바이스의 Intune 등록 설정
• Microsoft Entra 공유 디바이스 모드에 Android Enterprise 전용 디바이스 등록

Microsoft Managed Home Screen 앱을 배포하여 Intune에 등록된 Android 전용 디바이스의 사용자 환경을 조정할 수도 있습니다. Managed Home Screen은 다른 승인된 앱을 실행하기 위한 시작 관리자 역할을 하며, 이를 사용하여 디바이스를 사용자 지정하고 직원이 액세스할 수 있는 항목을 제한할 수 있습니다. 예를 들어 홈 화면에 앱이 표시되는 방식을 정의하고, 회사 로고를 추가하고, 사용자 지정 배경 화면을 설정하고, 직원이 세션 PIN을 설정하도록 허용할 수 있습니다. 지정된 비활성 기간 후에 자동으로 수행되도록 로그아웃을 구성할 수도 있습니다. 자세한 내용은 다음을 참조하세요.

• Android Enterprise용 Microsoft Managed Home Screen 앱 구성
• 다중 앱 키오스크 모드의 전용 디바이스에서 Microsoft Managed Home Screen을 설정하는 방법

공유 디바이스 모드용 앱을 만드는 개발자용

개발자인 경우 공유 디바이스 모드와 앱을 통합하는 방법에 대한 자세한 내용은 다음 리소스를 참조하세요.

• Android 디바이스용 공유 디바이스 모드
• iOS 디바이스용 공유 디바이스 모드

다단계 인증

Microsoft Entra ID는 Authenticator 앱, FIDO2 키, SMS, 음성 통화 등을 사용하여 여러 가지 형태의 다단계 인증을 지원합니다.

높은 비용 및 법적 제한으로 인해 가장 안전한 인증 방법은 많은 조직에서 실용적이지 않을 수 있습니다. 예를 들어 FIDO2 보안 키는 일반적으로 너무 비싼 것으로 간주되며, Windows Hello 같은 생체 인식 도구는 기존 규정 또는 노조 규칙에 따라 실행될 수 있으며, 최전방 작업자가 개인 장치를 작동하도록 허용되지 않는 경우 SMS 로그인이 불가능할 수 있습니다.

다단계 인증은 애플리케이션 및 데이터에 대한 높은 수준의 보안을 제공하지만 사용자 로그온에 지속적인 마찰을 추가합니다. BYOD 배포를 선택하는 조직의 경우 다단계 인증이 실용적인 옵션일 수도 있으며 그렇지 않을 수도 있습니다. 비즈니스 및 기술 팀은 변경 관리 및 준비 작업에서 사용자 영향을 적절하게 고려할 수 있도록 광범위한 출시 전에 다단계 인증을 사용하여 사용자 환경의 유효성을 검사하는 것이 좋습니다.

organization 또는 배포 모델에 다단계 인증을 사용할 수 없는 경우 강력한 조건부 액세스 정책을 활용하여 보안 위험을 줄일 계획입니다.

암호 없는 인증

최전방 인력에 대한 액세스를 더욱 간소화하기 위해 암호 없는 인증 방법을 활용하여 작업자가 암호를 기억하거나 입력할 필요가 없도록 할 수 있습니다. 암호 없는 인증 방법도 일반적으로 더 안전하며, 필요한 경우 많은 사람들이 MFA 요구 사항을 충족할 수 있습니다.

암호 없는 인증 방법을 계속 진행하기 전에 기존 환경에서 작동할 수 있는지 확인해야 합니다. 비용, OS 지원, 개인 디바이스 요구 사항 및 MFA 지원과 같은 고려 사항은 인증 방법이 요구 사항에 맞는지 여부에 영향을 줄 수 있습니다. 예를 들어 FIDO2 보안 키는 현재 너무 비싼 것으로 간주되며 최전방 작업자가 개인 디바이스를 작동하도록 허용되지 않는 경우 SMS 및 Authenticator 로그인이 불가능할 수 있습니다.

최전방 시나리오에 대한 암호 없는 인증 방법을 평가하려면 표를 참조하세요.

메서드	OS 지원	개인 디바이스 필요	다단계 인증 지원
SMS 로그인	Android 및 iOS	예	아니요
Windows Hello	Windows	아니요	예
Microsoft Authenticator	전체	예	예
FIDO2 키	Windows	아니요	예

공유 디바이스를 사용하여 배포하는 중이고 이전 암호 없는 옵션을 사용할 수 없는 경우 사용자가 관리되는 디바이스에 로그인하는 동안 더 간단한 암호를 제공할 수 있도록 강력한 암호 요구 사항을 사용하지 않도록 선택할 수 있습니다. 강력한 암호 요구 사항을 사용하지 않도록 선택하는 경우 구현 계획에 이러한 전략을 추가하는 것이 좋습니다.

• 공유 디바이스 사용자에 대해서만 강력한 암호 요구 사항을 사용하지 않도록 설정합니다.
• 이러한 사용자가 신뢰할 수 없는 네트워크에서 공유되지 않는 디바이스에 로그인하지 못하도록 하는 조건부 액세스 정책을 만듭니다.

권한 부여

권한 부여 기능은 인증된 사용자가 수행하거나 액세스할 수 있는 작업을 제어합니다. Microsoft 365에서는 Microsoft Entra 조건부 액세스 정책과 애플리케이션 보호 정책의 조합을 통해 이 작업을 수행합니다.

강력한 권한 부여 제어 구현은 특히 비용 또는 실용성을 위해 MFA(다단계 인증)와 같은 강력한 인증 방법을 구현할 수 없는 경우 최전방 공유 디바이스 배포를 보호하는 데 중요한 구성 요소입니다.

조건부 액세스 Microsoft Entra

조건부 액세스를 사용하면 다음 신호에 따라 액세스를 제한하는 규칙을 만들 수 있습니다.

• 사용자 또는 그룹 멤버 자격
• IP 위치 정보
• 디바이스(디바이스가 Microsoft Entra ID에 등록된 경우에만 사용 가능)
• 응용 프로그램
• 실시간 및 계산된 위험 검색

조건부 액세스 정책은 사용자가 비준수 디바이스에 있거나 신뢰할 수 없는 네트워크에 있는 동안 액세스를 차단하는 데 사용할 수 있습니다. 예를 들어 조건부 액세스를 사용하여 사용자가 회사 네트워크에 없거나 organization 관련 법률 분석에 따라 관리되지 않는 디바이스를 사용할 때 인벤토리 애플리케이션에 액세스하지 못하도록 할 수 있습니다.

HR 관련 정보 또는 비사업 관련 애플리케이션과 같이 업무 외 데이터에 액세스하는 것이 타당한 BYOD 시나리오의 경우 다단계 인증과 같은 강력한 인증 방법과 함께 더 허용 가능한 조건부 액세스 정책을 구현하도록 선택할 수 있습니다.

조건부 액세스는 다음을 지원합니다.

• Intune에서 관리되는 공유 Windows 디바이스.
• 제로 터치 프로비저닝을 사용하여 공유 디바이스 모드에 등록된 공유 Android 및 iOS 디바이스
• Windows, Android 및 iOS용 BYOD는 Intune 또는 타사 MDM 솔루션으로 관리됩니다.

조건부 액세스는 다음에서 지원 되지 않습니다 .

• 타사 MDM 솔루션으로 관리되는 Android 및 iOS 디바이스를 포함하여 공유 디바이스 모드로 수동으로 구성된 디바이스
• 비즈니스용 공유 iPad를 사용하는 iPad 디바이스.

참고

일부 타사 MDM 솔루션으로 관리되는 Android 디바이스에 대한 조건부 액세스가 곧 제공될 예정입니다.

조건부 액세스에 대한 자세한 내용은 Microsoft Entra 조건부 액세스 설명서를 참조하세요.

앱 보호 정책

Intune의 MAM을 사용하면 Intune의 APP SDK와 통합된 애플리케이션에서 APP(앱 보호 정책)을 사용할 수 있습니다. 이렇게 하면 애플리케이션 내에서 organization 데이터를 추가로 보호할 수 있습니다.

앱 보호 정책을 사용하면 다음과 같은 액세스 제어 보호 기능을 추가할 수 있습니다.

• 업무용으로 앱을 열려면 PIN이 필요합니다.
• 애플리케이션 간의 데이터 공유 제어
• 업무용 앱 데이터를 개인 스토리지 위치에 저장하지 못하게 합니다.
• 디바이스의 운영 체제가 최신 상태인지 확인

APP를 사용하여 공유 디바이스 모드를 지원하지 않는 애플리케이션에 데이터가 누출되지 않도록 할 수도 있습니다. 데이터 손실을 방지하려면 공유 디바이스에서 다음 APP를 사용하도록 설정해야 합니다.

• 공유되지 않는 디바이스 모드 사용 애플리케이션에 복사/붙여넣기를 사용하지 않도록 설정합니다.
• 로컬 파일 저장을 사용하지 않도록 설정합니다.
• 비 공유 디바이스 모드 사용 애플리케이션에 대한 데이터 전송 기능을 사용하지 않도록 설정합니다.

APP는 전체 디바이스를 관리할 필요 없이 앱 수준에서 데이터를 보호할 수 있으므로 BYOD 시나리오에서 유용합니다. 이는 직원이 다른 테넌트(예: 대학 또는 다른 고용주)에서 관리하는 디바이스를 가질 수 있고 다른 회사에서 관리할 수 없는 시나리오에서 중요합니다.

응용 프로그램 관리

배포 계획에는 최전방 작업자가 작업을 수행해야 하는 애플리케이션의 인벤토리 및 평가가 포함되어야 합니다. 이 섹션에서는 사용자가 필요한 애플리케이션에 액세스할 수 있고 최전방 구현의 컨텍스트에서 환경이 최적화되도록 하기 위한 고려 사항 및 필요한 단계를 설명합니다.

이 평가를 위해 애플리케이션은 다음 세 그룹으로 분류됩니다.

• Microsoft 애플리케이션은 Microsoft에서 빌드 및 지원됩니다. Microsoft 애플리케이션은 Microsoft Entra ID를 지원하고 Intune의 APP SDK와 통합합니다. 그러나 모든 Microsoft 애플리케이션이 공유 디바이스 모드에서 지원되는 것은 아닙니다. [지원되는 애플리케이션 및 가용성 목록을 참조하세요.] (인증 책갈피)
• 타사 애플리케이션은 타사 공급자가 빌드하고 상업적으로 판매합니다. 일부 애플리케이션은 Microsoft Entra ID, Intune의 APP SDK 또는 공유 디바이스 모드를 지원하지 않습니다. 애플리케이션 공급자 및 Microsoft 계정 팀과 협력하여 사용자 환경이 무엇인지 확인합니다.
• 사용자 지정 기간 업무 애플리케이션은 내부 비즈니스 요구 사항을 해결하기 위해 organization 의해 개발됩니다. Power Apps를 사용하여 애플리케이션을 빌드하는 경우 Microsoft Entra ID, Intune 및 공유 디바이스 모드로 앱이 자동으로 사용하도록 설정됩니다.

최전방 사용자가 액세스하는 애플리케이션은 전역 Single-In 및 Single Sign-Out을 사용하도록 설정하기 위해 이러한 요구 사항을 충족합니다(해당하는 경우).

• MSAL과 사용자 지정 및 타사 애플리케이션 통합: 사용자는 Microsoft Entra ID를 사용하여 애플리케이션에 인증하고, SSO를 사용하도록 설정하고, 조건부 액세스 정책을 적용할 수 있습니다.
• 공유 디바이스 모드와 애플리케이션 통합(Android 또는 iOS 공유 디바이스에만 적용됨): 애플리케이션은 MSAL에서 필요한 공유 디바이스 모드 API를 사용하여 자동 Single Sign-On 및 Single Sign-Out을 수행할 수 있습니다. 이러한 API를 적절하게 사용하면 공유 디바이스 모드와 통합할 수 있습니다. Teams, Microsoft Edge 또는 PowerApps에서 애플리케이션을 실행하는 경우에는 필요하지 않습니다.
• Intune의 APP SDK와 통합(Android 또는 iOS 공유 디바이스에만 적용됨): 의도하지 않은 데이터 또는 무단 데이터 노출을 방지하기 위해 Intune에서 애플리케이션을 관리할 수 있습니다. MDM이 디바이스 검사 흐름(Single Sign out) 중에 중요한 데이터를 지우는 앱 데이터를 지우는 경우 필요하지 않습니다.

애플리케이션의 유효성을 성공적으로 검사한 후에는 MDM 솔루션을 사용하여 관리 디바이스에 배포할 수 있습니다. 이렇게 하면 사용자가 첫날에 필요한 모든 것을 갖도록 디바이스 등록 중에 필요한 모든 애플리케이션을 사전 설치할 수 있습니다.

Android 디바이스용 앱 시작 관리자

Android 디바이스에서 직원이 디바이스를 여는 즉시 집중 환경을 제공하는 가장 좋은 방법은 사용자 지정된 시작 화면을 제공하는 것입니다. 사용자 지정된 시작 화면을 사용하면 직원이 사용해야 하는 관련 애플리케이션과 주요 정보를 강조 표시하는 위젯만 표시할 수 있습니다.

대부분의 MDM 솔루션은 사용할 수 있는 자체 앱 시작 관리자를 제공합니다. 예를 들어 Microsoft는 Managed Home Screen 제공합니다. 공유 디바이스에 대한 사용자 지정 앱 시작 관리자를 빌드하려면 디바이스에서 Single Sign-On 및 Single Sign-Out이 작동하도록 공유 디바이스 모드와 통합해야 합니다. 다음 표에서는 Microsoft 및 타사 개발자가 현재 사용할 수 있는 가장 일반적인 앱 시작 관리자 중 일부를 강조 표시합니다.

앱 시작 관리자	기능
Managed Home Screen	최종 사용자가 Intune에 등록된 전용 디바이스의 특정 애플리케이션 집합에 액세스할 수 있도록 하려면 Managed Home Screen 사용합니다. Managed Home Screen 디바이스에서 기본 홈 화면으로 자동으로 시작되고 최종 사용자에게 유일한 홈 화면으로 표시되므로 잠긴 환경이 필요한 경우 공유 디바이스 시나리오에서 유용합니다.
Microsoft Launcher	Microsoft Launcher를 사용하면 사용자가 휴대폰을 개인 설정하고, 이동 중에도 체계적으로 정리하고, 휴대폰에서 PC로 작업을 전송할 수 있습니다. Microsoft Launcher는 최종 사용자가 표준 홈 화면에 액세스할 수 있으므로 Managed Home Screen 다릅니다. 따라서 Microsoft Launcher는 BYOD 시나리오에서 유용합니다.
VMware 작업 영역 ONE 시작 관리자	VMware를 사용하는 고객의 경우 작업 영역 ONE Launcher는 최전방 직원이 액세스해야 하는 애플리케이션 집합을 큐레이팅하는 가장 좋은 도구입니다. 이 시작 관리자의 로그아웃 옵션은 VMware 디바이스에서 Single Sign out을 위해 Android App Data Clear를 사용하도록 설정하는 기능이기도 합니다. VMware 작업 영역 ONE 시작 관리자에서는 현재 공유 디바이스 모드를 지원하지 않습니다.
사용자 지정 앱 시작 관리자	완전히 사용자 지정된 환경을 원하는 경우 고유한 사용자 지정 앱 시작 관리자를 빌드할 수 있습니다. 사용자가 로그인하고 한 번만 로그아웃하면 되도록 시작 관리자를 공유 디바이스 모드와 통합할 수 있습니다.

관련 문서

• 최전방 직원 관리