Microsoft Intune에서 애플리케이션 보호(APP) 정책 구성

Microsoft Intune에서 애플리케이션 보호(APP) 정책 구성

2024년 6월 14일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Intune에서 로그인이 필요 없는 MAM(모바일 응용 프로그램 관리)이라고도 하는 APP(응용 프로그램 보호 정책)을 구성하고 구현하는 방법을 안내하기 위한 것입니다. 앱은 Intune에서 관리하든(MDM) 관리하지 않든(BYOD(Bring Your Own Device)) 모바일 장치에서 기업 데이터를 보호하여 조직의 데이터를 안전하게 유지하고 개인 데이터와 격리시키는 데 중요합니다[1].

소개

이동성이 필수적이고 업무 목적으로 개인 장치를 사용하는 경우(BYOD)가 점점 일반화되는 상황에서 기업 데이터를 보호하는 것은 중요한 과제가 됩니다. Microsoft Intune 앱 보호 정책(APP)은 이 문제에 대한 강력한 솔루션을 제공하여 조직이 전체 장치를 관리할 필요 없이 특정 모바일 애플리케이션 내에서 회사 데이터에 액세스하고, 사용하고, 공유하는 방법을 제어할 수 있도록 합니다. 즉, MDM에 등록되지 않은 장치에서도 Outlook, Word, Excel, SharePoint 및 Intune에서 관리하는 기타 앱과 같은 앱의 데이터를 보호할 수 있습니다[2].

이 실용적인 가이드에서는 액세스 제어, 데이터 보호 및 규정 준수 요구 사항 정의를 포함하여 iOS/iPadOS 및 Android용 앱 정책 생성 및 구성을 다룹니다. 독자가 효과적인 데이터 보호 전략을 구현하고 민감한 정보를 보호하며 모바일 장치에서 규정 준수를 보장할 수 있도록 단계별 지침, 구성 예 및 검증 방법이 제공됩니다.

애플리케이션 보호 정책(APP)이 중요한 이유는 무엇인가요?

  • 엔터프라이즈 데이터 보호: 관리형 애플리케이션에서 복사, 붙여넣기, 다른 이름으로 저장, 화면 인쇄 등의 작업을 제어하여 데이터 손실(DLP)을 방지합니다.
  • BYOD 지원: 사용자가 개인 정보를 침해하지 않고 회사 데이터를 보호하면서 개인 장치를 업무에 사용할 수 있습니다.
  • 유연한 액세스 제어: 관리되는 애플리케이션에 액세스하려면 PIN, 생체 인식 또는 회사 자격 증명이 필요하므로 승인된 사용자만 회사 데이터에 액세스할 수 있습니다.
  • 데이터 격리: 회사 데이터가 관리되지 않는 개인 애플리케이션이나 스토리지로 이동할 수 없도록 보장합니다.
  • 규정 준수: 모바일 장치에서 데이터 보호를 요구하는 규제 요구 사항을 충족하는 데 도움이 됩니다.
  • 향상된 사용자 경험: 엔터프라이즈 애플리케이션 전반에 걸쳐 일관되고 안전한 사용자 경험을 제공합니다.

전제조건

Microsoft Intune에서 APP(애플리케이션 보호 정책)를 구현하려면 다음 항목이 필요합니다.

  1. 라이선스: Microsoft Intune(예: Microsoft 365 E3, E5, F3, Business Premium, Enterprise Mobility + Security E3, E5)을 포함하는 라이선스입니다[3].
  2. 관리 액세스: Microsoft Intune 관리 센터('https://endpoint.microsoft.com')에서 'Intune 관리자', 'Intune 애플리케이션 관리자' 또는 '전역 관리자' 권한이 있는 계정입니다.
  3. Intune 관리 앱: 보호하려는 앱은 Microsoft 365 앱(Outlook, Word, Excel, PowerPoint, OneDrive, SharePoint, Teams) 및 Intune 앱 보호 SDK[4]와 통합된 기타 LOB(기간 업무) 앱과 같이 "MAM 인식"(MAM 호환)이어야 합니다.
  4. 테스트 장치: 정책을 테스트할 iOS/iPadOS 및 Android 장치입니다.

단계별: 애플리케이션 보호 정책(APP) 구성

Microsoft 365 앱에서 회사 데이터를 보호하기 위해 iOS/iPadOS 및 Android용 앱 정책을 만들어 보겠습니다.

1. Microsoft Intune 관리 센터에 액세스

  1. 브라우저를 열고 https://endpoint.microsoft.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.

2. 새로운 애플리케이션 보호 정책 생성

  1. 왼쪽 탐색 창에서 애플리케이션 > 애플리케이션 보호 정책을 선택합니다.
  2. 정책 생성을 클릭하고 원하는 플랫폼(예: iOS/iPadOS)을 선택합니다. 우리는 이 과정을 반복할 것입니다안드로이드용.

1단계: 기본 정보

  1. 이름: APP - iOS - 기업 데이터 보호(또는 APP - Android - 기업 데이터 보호).
  2. 설명: 'iOS/iPadOS 장치의 Microsoft 365 앱에서 회사 데이터를 보호하기 위한 정책'
  3. 다음을 클릭합니다.

2단계: 애플리케이션

여기에서 이 정책의 대상이 될 애플리케이션을 선택합니다.

  1. 대상 앱: '모든 Microsoft 앱'(모든 Microsoft 365 앱 및 APP를 지원하는 기타 Microsoft 앱을 보호하려면) 또는 '사용자 지정 앱 선택'(특정 앱을 선택하려면)을 선택하세요.
  2. 이 예에서는 모든 Microsoft 앱을 선택합니다.
  3. 다음을 클릭합니다.

3단계: 데이터 보호

이 섹션에서는 애플리케이션 내에서 회사 데이터를 보호하는 방법을 정의합니다.

데이터 전송:

  1. 조직 데이터를 다른 앱으로 보내기: '모든 앱' 또는 '앱 없음'을 선택합니다.
    • : 보안을 극대화하기 위해 '앱 없음'을 선택하면 회사 데이터가 개인 앱으로 이동되는 것을 방지할 수 있습니다. 관리되지 않는 LOB(기간 업무) 응용 프로그램과의 상호 운용성이 필요한 경우 추가 제한 사항이 있는 '모든 응용 프로그램'을 고려하세요.
  2. 다른 앱에서 데이터 수신: '모든 앱' 또는 '앱 없음'을 선택합니다.
  3. 사용자가 조직 데이터 사본을 저장하도록 허용: '애플리케이션 없음'을 선택합니다.
  4. 사용자가 선택한 클라우드 서비스에 조직 데이터의 복사본을 저장하도록 허용: 특정 클라우드 서비스(예: 비즈니스용 OneDrive, SharePoint)에 저장하도록 허용해야 하는 경우 여기에서 구성합니다.

암호화:

  1. 조직 데이터 암호화: '예'를 선택합니다.

특징:

  1. 잘라내기, 복사, 붙여넣기 기능 제한: '정책 앱에만 해당'(관리 앱 간 복사/붙여넣기 허용, 개인 앱 제외) 또는 '차단'(완전히 금지)을 선택합니다.
  2. 스크린샷 및 화면 녹화 방지: '예'를 선택합니다.
  3. 기본 앱과 연락처 동기화: '차단'을 선택합니다.

  4. 조직 데이터 인쇄: '차단'을 선택하세요.

  5. 다음을 클릭합니다.

4단계: 액세스 요구 사항

이 섹션에서는 사용자가 관리되는 애플리케이션에 액세스하기 위해 충족해야 하는 조건을 정의합니다.

  1. 액세스용 PIN: 'PIN 필요'를 선택합니다.
    • PIN 유형: 숫자 또는 복소수.
    • 최소 PIN 길이: '4'(보안 정책에 따라 그 이상).
    • PIN 대신 지문 허용: '예'(편의상).
  2. 접속을 위한 회사 자격 증명: '회사 자격 증명 필요'를 선택합니다(주기적인 재인증을 위해).

  3. 장치/애플리케이션 상태 점검: '예'를 선택합니다.

    • 허용되는 최대 위협 수준: '낮음' 또는 '보통'(iOS/Android용 엔드포인트용 Microsoft Defender와 통합).

  4. 다음을 클릭합니다.

5단계: 조건부 실행

이 섹션에서는 장치나 앱이 정책 요구 사항을 충족하지 않는 경우 어떻게 되는지 정의합니다.

  1. 액세스 PIN: '최대 PIN 시도 횟수'(예: '5')를 구성합니다. 조치: 'PIN 재설정' 또는 '데이터 지우기'.
  2. 오프라인 자격 증명: '오프라인 유예 기간'(예: '720'분)을 구성합니다. 조치: 액세스 차단 또는 데이터 지우기.

  3. 장치 위협 수준: '허용되는 최대 위협 수준'(예: '중간')을 구성합니다. 조치: 액세스 차단 또는 데이터 지우기.

  4. 다음을 클릭합니다.

6단계: 과제

관리되는 응용 프로그램을 사용할 사용자 또는 그룹에 정책을 할당합니다.

  1. 포함: '그룹 선택'을 선택하고 이 정책을 수신해야 하는 사용자 그룹(예: '모든 사용자' 또는 특정 기업 사용자 그룹)을 추가합니다.

  2. 삭제: (선택 사항) 필요한 경우 특정 그룹을 삭제합니다.

  3. 다음을 클릭합니다.

7단계: 검토 및 생성

  1. 모든 정책 설정을 검토합니다.
  2. 만들기를 클릭합니다.

3. 다른 플랫폼(Android)에 대해 반복

섹션 2의 단계를 반복하여 Android 플랫폼에 대한 정책을 만들고 필요한 경우 정책 이름과 설명을 조정합니다. 데이터 보호 설정, 액세스 요구 사항 및 조건부 릴리스는 유사하지만 소규모일 수 있습니다.플랫폼별 변형이 있습니다.

검증 및 테스트

APP 정책을 검증하는 것은 정책이 예상대로 작동하는지 확인하고 기업 데이터를 보호하는 데 중요합니다.

1. 관리되는 장치와 관리되지 않는 장치에서 테스트

  1. BYOD(관리되지 않는 장치): Intune(MDM)에 등록되지 않은 개인 장치에 관리형 앱(예: Outlook)을 설치합니다. APP 정책 범위에 해당하는 기업 계정으로 로그인하세요.
    • 애플리케이션이 접근 PIN이나 생체인식을 요구하는지 확인하세요.
    • 회사 데이터를 개인 애플리케이션(예: 메모장)에 복사해 보세요. 작업을 차단해야 합니다.
    • 관리되는 애플리케이션 내에서 스크린샷을 찍어보세요. 해당 작업을 차단해야 합니다. 그렇지 않으면 스크린샷이 공백으로 나타나야 합니다.
  2. 관리 장치(MDM): Intune 등록 장치(MDM)에서 동일한 작업을 테스트하여 APP 정책이 MDM 정책과 함께 올바르게 적용되는지 확인합니다.

2. Intune 진단 로그 확인

Intune 진단 로그는 APP 정책 적용에 대한 정보를 제공할 수 있습니다.

  1. Microsoft Intune 관리 센터에서 문제 해결 + 지원으로 이동합니다.
  2. 테스트 사용자를 검색합니다.
  3. 애플리케이션 섹션에서는 사용자와 애플리케이션에 적용된 애플리케이션 보호 정책의 상태를 확인할 수 있습니다.

3. 앱 보호 정책 상태 보고서 확인

  1. Microsoft Intune 관리 센터에서 > 모니터 > 앱 보호 상태로 이동합니다.
  2. 이 보고서는 이를 수신한 사용자 및 애플리케이션과 오류를 포함하여 APP 정책 상태에 대한 개요를 제공합니다.

보안 팁 및 모범 사례

  • 감사로 시작: 새로운 구현의 경우 덜 제한적인 정책으로 시작하거나 감사 모드(사용 가능한 경우)로 시작하여 전체 블록을 적용하기 전에 영향을 이해합니다.
  • 명확한 커뮤니케이션: 앱 정책, 혜택, 기기 사용에 미치는 영향에 대해 사용자에게 명확하게 전달합니다. 이는 저항을 줄이고 순응도를 높이는 데 도움이 됩니다.
  • 플랫폼 간 일관성: 통합된 사용자 환경과 응집력 있는 보안 상태를 위해 iOS/iPadOS 및 Android 전반에서 앱 정책을 일관되게 유지합니다.
  • 조건부 액세스와의 통합: APP 정책을 Azure AD 조건부 액세스와 결합하여 회사 리소스에 대한 액세스 권한을 부여하기 전에 애플리케이션이 APP로 보호되도록 요구합니다[5].
  • 정기 검토: 변화하는 비즈니스 요구 사항, 위협 환경 및 애플리케이션 업데이트에 적응하기 위해 정기적으로 APP 정책을 검토하고 조정합니다.
  • 민감한 애플리케이션 우선 순위 지정: 가장 민감한 데이터가 포함되어 있거나 기업 목적으로 가장 많이 사용되는 애플리케이션에 APP 정책을 적용하는 것부터 시작하세요.
  • PIN 및 생체 인식: 특히 공유 장치에서 추가 보안 계층을 위해 관리되는 앱에 액세스하려면 PIN 또는 생체 인식이 필요합니다.

일반적인 문제 해결

  • APP 정책이 적용되지 않음: 사용자가 정책 포함 그룹에 있는지 확인하세요. 앱이 Intune 관리 앱이고 대상 앱 목록에 있는지 확인하세요. Intune 진단 로그를 확인하세요.
  • 사용자가 예기치 않게 차단됨: 정책의 '조건부 실행' 설정을 확인하세요. 기기나 앱이 조건을 위반하고 있을 수 있습니다(예: 잘못된 PIN, 루팅/탈옥된 기기).
  • 기업 데이터 유출: '데이터 보호' 설정, 특히 '조직 데이터를 다른 애플리케이션으로 보내기' 및 '사용자가 조직 데이터 사본을 저장할 수 있도록 허용' 제한 사항을 검토하세요.
  • 앱이 관리되는 앱으로 표시되지 않습니다: 앱이 Intune 관리 앱으로 배포되었는지 또는 사용자가 앱에서 회사 계정으로 로그인했는지 확인하세요.
  • 애플리케이션 성능 문제: 경우에 따라 매우 제한적인 앱 정책이 애플리케이션 성능에 영향을 미칠 수 있습니다. 사용자 피드백을 모니터링하고 필요한 경우 정책을 조정합니다.
  • 다른 정책과 충돌: 동일한 기기에 MDM 및 APP 정책이 적용되는 경우 충돌이 없는지 확인하세요. APP 생성 정책이러한 정책은 앱 내의 데이터에만 적용되는 반면, MDM 정책은 기기 전체에 적용됩니다.

결론

Microsoft Intune의 APP(애플리케이션 보호 정책)는 모바일 장치에서 기업 데이터를 보호하고 BYOD 환경에 유연성과 보안을 제공하는 데 필수적인 도구입니다. 관리되는 애플리케이션 내에서 데이터에 액세스하고, 사용하고, 공유하는 방법에 대한 세부적인 제어를 구현함으로써 조직은 데이터 손실 위험을 크게 완화하고 규정 준수를 보장할 수 있습니다. 엄격한 테스트 및 사용자 교육과 결합된 신중한 APP 구성을 통해 IT 및 보안 팀은 기존 경계를 넘어 데이터 보호를 확장할 수 있으며, 사용되는 장치에 관계없이 회사의 가장 중요한 정보를 안전하게 유지할 수 있습니다. 이 가이드를 통해 보안 전문가는 점점 더 연결되는 세상에서 모바일 보안을 강화하고 정보 자산을 보호할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. 애플리케이션 보호 정책 개요. 사용 가능: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policy [2] 마이크로소프트 런. 애플리케이션 보호 정책을 생성하고 배포합니다. 사용 가능: https://learn.microsoft.com/pt-br/intune/intune-service/apps/app-protection-policies [3] 마이크로소프트 런. Microsoft Intune 라이선스 요구 사항. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/fundamentals/licenses [4] 마이크로소프트 런. Microsoft Intune으로 보호되는 애플리케이션. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/apps/apps-supported-intune-apps [5] 마이크로소프트 런. Intune 앱 보호를 통한 조건부 액세스. 사용 가능: https://learn.microsoft.com/pt-br/mem/intune/apps/app-protection-conditional-access