Windows Information Protection(WIP)
참고 WIP(Windows Information Protection) 정책은 Windows 10, 버전 1607 이상에 적용할 수 있습니다.
WIP는 조직에서 정의한 정책을 적용하여 조직에 속한 데이터를 보호합니다. 앱이 해당 정책에 포함된 경우 앱에서 생성된 모든 데이터는 정책 제한의 적용을 받습니다. 이 토픽은 사용자의 개인 데이터에 영향을 주지 않고 이러한 정책을 더 적절하게 적용하는 앱을 빌드하는 데 도움이 됩니다.
먼저 WIP란 무엇인가요?
WIP는 조직의 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리) 시스템을 지원하는 데스크톱, 노트북, 태블릿 및 휴대폰의 기능 집합입니다.
WIP를 MDM과 함께 사용하면 조직이 관리하는 디바이스에서 데이터가 처리되는 방식을 조직에서 보다 강력하게 제어할 수 있습니다. 경우에 따라 사용자는 작업을 위해 디바이스를 가져오고 조직의 MDM에 등록하지 않는 경우가 있습니다. 이러한 경우 조직은 MAM을 사용하여 사용자가 디바이스에 설치하는 특정 비즈니스 앱에서 데이터가 처리되는 방식을 더욱 효과적으로 제어할 수 있습니다.
관리자는 MDM 또는 MAM을 사용하여 조직에 속한 파일에 액세스할 수 있는 앱과 사용자가 해당 파일에서 데이터를 복사한 다음 해당 데이터를 개인 문서에 붙여넣을 수 있는지 여부를 식별할 수 있습니다.
작동 방식은 다음과 같습니다. 사용자는 조직의 MDM(모바일 디바이스 관리) 시스템에 디바이스를 등록합니다. 관리 조직의 관리자는 Microsoft Intune 또는 SCCM(System Center Configuration Manager)을 사용하여 정책을 정의한 다음 등록된 디바이스에 배포합니다.
사용자가 디바이스를 등록할 필요가 없는 경우 관리자는 MAM 시스템을 사용하여 특정 앱에 적용되는 정책을 정의하고 배포합니다. 사용자가 해당 앱을 설치하면 관련 정책을 받게 됩니다.
해당 정책은 엔터프라이즈 데이터에 액세스할 수 있는 앱을 식별합니다(정책의 허용된 목록이라고 함). 이러한 앱은 클립보드 또는 공유 계약을 통해 엔터프라이즈 보호 파일, VPN(가상 사설망) 및 엔터프라이즈 데이터에 액세스할 수 있습니다. 또한 이 정책은 데이터를 관리하는 규칙을 정의합니다. 예를 들어 엔터프라이즈 소유 파일에서 데이터를 복사한 다음 엔터프라이즈 소유가 아닌 파일에 붙여넣을 수 있는지 여부입니다.
사용자가 조직의 MDM 시스템에서 디바이스 등록을 취소하거나 조직 MAM 시스템에서 식별된 앱을 제거하는 경우 관리자는 디바이스에서 엔터프라이즈 데이터를 원격으로 초기화할 수 있습니다.
WIP에 대해 자세히 알아보기
앱이 허용 목록에 있는 경우 앱에서 생성된 모든 데이터에 정책 제한이 적용됩니다. 즉, 관리자가 엔터프라이즈 데이터에 대한 사용자의 액세스 권한을 취소하면 해당 사용자는 앱에서 생성한 모든 데이터에 액세스할 수 없게 됩니다.
앱이 엔터프라이즈용으로만 설계된 경우에는 괜찮습니다. 그러나 앱에서 사용자가 개인으로 간주하는 데이터를 만드는 경우, 엔터프라이즈 데이터와 개인 데이터를 지능적으로 구분하도록 앱을 인식해야 합니다. 이러한 유형의 앱은 사용자의 개인 데이터의 무결성을 유지하면서 엔터프라이즈 정책을 정상적으로 적용할 수 있기 때문에 엔터프라이즈 인식 앱이라고 합니다.
엔터프라이즈 인식 앱 만들기
WIP API를 사용하여 앱을 인식한 다음, 앱을 엔터프라이즈 인식 앱으로 선언합니다.
조직 및 개인용으로 모두 앱을 사용할 경우 앱을 인식합니다.
정책 요소의 적용을 정상적으로 처리하려는 경우 앱을 인식합니다.
예를 들어 정책에서 엔터프라이즈 데이터를 개인 문서에 붙여넣을 수 있는 경우 사용자가 데이터를 붙여넣기 전에 동의 대화 상자에 응답할 필요가 없도록 할 수 있습니다. 마찬가지로 이러한 종류의 이벤트에 대한 응답으로 사용자 지정 정보 대화 상자를 표시할 수 있습니다.
앱을 인식할 준비가 되면 다음 가이드 중 하나를 참조하세요.
C#을 사용하여 빌드하는 UWP(유니버설 Windows 플랫폼) 앱의 경우
WIP(Windows Information Protection) 개발자 가이드
C++를 사용하여 빌드하는 데스크톱 앱의 경우
WIP(Windows Information Protection) 개발자 가이드(C++)
비인식 엔터프라이즈 앱 만들기
개인적인 용도가 아닌 LOB(기간 업무) 앱을 만드는 경우 인식할 필요가 없을 수 있습니다.
Windows 데스크톱 앱
Windows 데스크톱 앱을 인식할 필요는 없지만 정책에 따라 제대로 작동하는지 확인하기 위해 앱을 테스트해야 합니다. 예를 들어 앱을 시작하고, 사용한 다음, MDM에서 디바이스 등록을 취소합니다. 그런 다음 앱이 다시 시작할 수 있는지 확인합니다. 앱 작업에 중요한 파일이 암호화된 경우 앱이 시작되지 않을 수 있습니다. 또한 앱이 상호 작용하는 파일을 검토하여 사용자에게 개인적인 파일을 앱이 실수로 암호화하지 않도록 합니다. 여기에는 메타데이터 파일, 이미지 및 기타 항목이 포함될 수 있습니다.
앱을 테스트한 후 리소스 파일 또는 프로젝트에 이 플래그를 추가한 다음, 앱을 다시 컴파일합니다.
MICROSOFTEDPAUTOPROTECTIONALLOWEDAPPINFO EDPAUTOPROTECTIONALLOWEDAPPINFOID
BEGIN
0x0001
END
MDM 정책에는 플래그가 필요하지 않지만 MAM 정책은 플래그를 필요로 합니다.
UWP 앱
앱이 MAM 정책에 포함될 것으로 예상되는 경우 이를 인식해야 합니다. MDM에서 디바이스에 배포된 정책에는 필요하지 않지만, 조직 소비자에게 앱을 배포하는 경우 사용할 정책 관리 시스템의 유형을 결정하는 것이 불가능하지는 않지만 어렵습니다. 앱이 두 가지 유형의 정책 관리 시스템(MDM 및 MAM)에서 작동하도록 하려면 앱을 인식해야 합니다.