Microsoft Intune을 사용하여 Windows 앱 및 원격 데스크톱 앱에 대한 클라이언트 디바이스 리디렉션 설정 구성

클립보드, 카메라, 오디오와 같은 리소스와 주변 장치를 RDP(원격 데스크톱 프로토콜)를 통해 Azure Virtual Desktop이나 Windows 365에서 원격 세션으로 리디렉션하는 작업은 일반적으로 호스트 풀과 해당 세션 호스트의 중앙 구성에 따라 관리됩니다. 클라이언트 디바이스 리디렉션은 사용자 로컬 디바이스에서 Microsoft Intune 앱 구성 정책, 앱 보호 정책 및 Microsoft Entra 조건부 액세스의 조합을 사용하여 Windows 앱 및 원격 데스크톱 앱에 대해 구성됩니다.

이러한 기능을 사용하면 다음과 같은 시나리오를 달성할 수 있습니다.

• 지정한 기준에 따라 보다 세부적인 수준에서 리디렉션 설정을 적용합니다. 예를 들어, 사용자가 속한 보안 그룹, 사용 중인 디바이스의 운영 체제 또는 사용자가 회사 디바이스와 개인 디바이스를 모두 사용하여 원격 세션에 액세스하는지 여부에 따라 다르게 설정할 수 있습니다.

• 호스트 풀 또는 세션 호스트에서 잘못 구성된 리디렉션에 대한 추가 보호 계층을 제공합니다.

• PIN 요구, 타사 키보드 차단, 클라이언트 디바이스의 다른 앱 간 잘라내기, 복사 및 붙여넣기 작업 제한과 같은 추가 보안 설정을 Windows 앱 및 원격 데스크톱 앱에 적용합니다.

클라이언트 디바이스의 리디렉션 설정이 Azure Virtual Desktop 또는 Windows 365용 클라우드 PC의 호스트 풀 RDP 속성 및 세션 호스트와 충돌하는 경우 둘 사이의 더 제한적인 설정이 적용됩니다. 예를 들어, 세션 호스트가 드라이브 리디렉션을 허용하지 않고 클라이언트 디바이스가 드라이브 리디렉션을 허용하는 경우 드라이브 리디렉션이 허용되지 않습니다. 세션 호스트와 클라이언트 디바이스의 리디렉션 설정이 모두 동일한 경우 리디렉션 동작이 일관됩니다.

개략적으로 구성할 영역은 다음 세 가지입니다.

• Intune 앱 구성 정책: 클라이언트 디바이스의 Windows 앱 및 원격 데스크톱 앱에 대한 리디렉션 설정을 관리하는 데 사용됩니다. 앱 구성 정책에는 두 가지 형식이 있습니다. 관리 앱 정책은 클라이언트 디바이스의 등록 여부와 관계없이 애플리케이션에 대한 설정을 관리하는 데 사용되며, 관리 디바이스 정책은 등록된 디바이스의 설정을 관리하는 데도 사용됩니다. 특정 기준에 따라 사용자를 대상 지정하려면 필터를 사용합니다.

• Intune 앱 보호 정책: 애플리케이션과 클라이언트 디바이스가 충족해야 하는 보안 요구 사항을 지정하는 데 사용됩니다. 특정 기준에 따라 사용자를 대상 지정하려면 필터를 사용합니다.

• 조건부 액세스 정책: 앱 구성 정책 및 앱 보호 정책에 설정된 기준이 충족되는 경우에만 Azure Virtual Desktop 및 Windows 365에 대한 액세스를 제어하는 ​​데 사용됩니다.

지원되는 플랫폼 및 등록 형식

다음 표에는 디바이스 플랫폼 및 등록 형식에 따라 관리할 수 있는 애플리케이션이 나와 있습니다.

Windows 앱의 경우:

디바이스 플랫폼	관리되는 디바이스	관리되지 않는 디바이스
iOS와 아이패드OS

원격 데스크톱 앱의 경우:

디바이스 플랫폼	관리되는 디바이스	관리되지 않는 디바이스
iOS와 아이패드OS
Android

예제 시나리오

필터와 정책에 지정하는 값은 요구 사항에 따라 다르므로 조직에 가장 적합한 값을 결정해야 합니다. 이를 달성하기 위해 구성해야 하는 사항에 대한 몇 가지 시나리오 예는 다음과 같습니다.

시나리오 1

그룹의 사용자는 Windows 회사 디바이스에서 연결할 때 드라이브 리디렉션이 허용되지만 iOS/iPadOS 또는 Android 회사 디바이스에서는 드라이브 리디렉션이 허용되지 않습니다. 이 시나리오를 달성하려면 다음을 수행합니다.

1. 세션 호스트 또는 클라우드 PC와 호스트 풀 설정이 드라이브 리디렉션을 허용하도록 구성되어 있는지 확인합니다.

2. iOS 및 iPadOS용 관리 앱용 디바이스 필터와 Android용 별도 필터를 만듭니다.

3. iOS 및 iPadOS의 경우에만 관리 디바이스에 대한 앱 구성 정책을 만듭니다.

4. 드라이브 리디렉션이 사용하지 않도록 설정된 관리 앱에 대한 앱 구성 정책을 만듭니다. iOS/iPadOS 및 Android 모두에 대해 단일 정책을 만들거나 iOS/iPadOS 및 Android에 대해 별도의 정책을 만들 수 있습니다.

5. iOS/iPadOS 및 Android에 대해 각각 하나씩 두 개의 앱 보호 정책을 만듭니다.

시나리오 2

최신 버전의 Android를 실행하는 Android 디바이스가 있는 그룹의 사용자는 드라이브 리디렉션이 허용되지만, 이전 버전의 Android를 실행하는 디바이스의 동일한 사용자에게는 드라이브 리디렉션이 허용되지 않습니다. 이 시나리오를 달성하려면 다음을 수행합니다.

1. 세션 호스트 또는 클라우드 PC와 호스트 풀 설정이 드라이브 리디렉션을 허용하도록 구성되어 있는지 확인합니다.

2. 두 개의 디바이스 필터를 만듭니다.

   1. Android의 최신 버전 번호로 설정되는 Android용 관리 앱용 디바이스 필터입니다.

   2. 최신 Android 버전보다 오래된 버전 번호로 설정된 Android용 관리 앱에 대한 디바이스 필터입니다.

3. 두 가지 앱 구성 정책을 만듭니다.

   1. 드라이브 리디렉션이 사용하도록 설정된 관리 앱에 대한 앱 구성 정책입니다. Android의 최신 버전 번호에 대한 필터를 사용하여 하나 이상의 그룹을 할당합니다.

   2. 드라이브 리디렉션이 사용하지 않도록 설정된 관리 앱에 대한 앱 구성 정책입니다. 이전 버전의 Android에 대한 필터를 사용하여 하나 이상의 그룹을 할당합니다.

4. iOS/iPadOS 및 Android용으로 결합된 앱 보호 정책을 만듭니다.

시나리오 3

원격 세션에 연결하기 위해 관리되지 않는 iOS/iPadOS 디바이스를 사용하는 그룹의 사용자에게는 클립보드 리디렉션이 허용되지만, 관리되지 않는 Android 디바이스를 사용하는 동일한 사용자에게는 클립보드 리디렉션이 허용되지 않습니다. 이 시나리오를 달성하려면 다음을 수행합니다.

1. 세션 호스트 또는 클라우드 PC, 호스트 풀 설정이 클립보드 리디렉션을 허용하도록 구성되어 있는지 확인합니다.

2. 두 개의 디바이스 필터를 만듭니다.

   1. 관리되지 않는 디바이스 관리 형식의 iOS 및 iPadOS용 관리 앱에 대한 디바이스 필터입니다.

   2. 관리되지 않는 디바이스 관리 형식의 Android용 관리 앱에 대한 디바이스 필터입니다.

3. 두 가지 앱 구성 정책을 만듭니다.

   1. 클립보드 리디렉션이 사용하도록 설정된 관리 앱에 대한 앱 구성 정책입니다. 관리되지 않는 iOS 또는 iPadOS 디바이스에 대한 필터를 사용하여 하나 이상의 그룹을 할당합니다.

   2. 클립보드 리디렉션이 사용하지 않도록 설정된 관리 앱에 대한 앱 구성 정책입니다. 관리되지 않는 Android 디바이스에 대한 필터를 사용하여 하나 이상의 그룹을 할당합니다.

4. iOS/iPadOS 및 Android용으로 결합된 앱 보호 정책을 만듭니다.

권장 정책 설정

Intune 및 조건부 액세스와 함께 사용해야 하는 몇 가지 권장 정책 설정은 다음과 같습니다. 사용하는 설정은 요구 사항을 기반으로 해야 합니다.

• Intune:

  • 개인 디바이스에서 모든 리디렉션을 사용하지 않도록 설정합니다.
  • 앱에 대한 PIN 액세스가 필요합니다.
  • 타사 키보드를 차단합니다.
  • 최소 디바이스 운영 체제 버전을 지정합니다.
  • 최소 Windows 앱 및/또는 원격 데스크톱 앱 버전 번호를 지정합니다.
  • 탈옥/루팅된 디바이스를 차단합니다.
  • 위협이 검색되지 않는 디바이스에 MTD(모바일 위협 방어) 솔루션이 필요합니다.

• 조건부 액세스:

  • Intune 모바일 애플리케이션 관리 정책에 설정된 기준이 충족되지 않으면 액세스를 차단합니다.
  • 다음 옵션 중 하나 이상이 필요한 액세스 권한을 부여합니다.
    • 다단계 인증이 필요합니다.
    • Intune 앱 보호 정책이 필요합니다.

필수 조건

Microsoft Intune 및 조건부 액세스를 사용하여 클라이언트 디바이스에서 리디렉션 설정을 구성하려면 다음이 필요합니다.

• 세션 호스트 또는 클라우드 PC가 있는 기존 호스트 풀.

• 정책을 적용할 사용자가 포함된 보안 그룹이 하나 이상 있습니다.

• iOS 및 iPadOS에 등록된 디바이스에서 원격 데스크톱 앱을 사용하려면 App Store에서 Intune에 각 앱을 추가해야 합니다. 자세한 내용은 Microsoft Intune에 iOS 저장소 앱 추가를 참조하세요.

• 다음 버전의 Windows 앱 또는 원격 데스크톱 앱 중 하나를 실행하는 클라이언트 디바이스:

  • Windows 앱의 경우:

    • iOS 및 iPadOS: 10.5.2 이상.

  • 원격 데스크톱 앱:

    • iOS 및 iPadOS: 10.5.8 이상.
    • Android: 10.0.19.1279 이상

• 앱 구성 정책, 앱 보호 정책 및 조건부 액세스 정책을 구성하기 위한 더 많은 Intune 필수 구성 요소가 있습니다. 자세한 내용은 다음을 참조하세요.

  • Microsoft Intune용 앱 구성 정책.
  • 앱 보호 정책을 만들고 할당하는 방법.
  • Intune에서 앱 기반 조건부 액세스 정책 사용.

관리 앱 필터 만들기

관리 앱 필터를 만들면 필터에 설정된 기준이 일치하는 경우에만 리디렉션 설정을 적용할 수 있어 정책 할당 범위를 좁힐 수 있습니다. 필터를 구성하지 않으면 리디렉션 설정이 모든 사용자에게 적용됩니다. 필터에 지정하는 내용은 요구 사항에 따라 다릅니다.

필터 및 필터를 만드는 방법에 대해 알아보려면 Microsoft Intune에서 앱, 정책 및 프로필을 할당할 때 필터 사용 및 관리 앱 필터 속성을 참조하세요.

관리 디바이스에 대한 앱 구성 정책 만들기

등록만 된 iOS 및 iPadOS 디바이스의 경우 원격 데스크톱 앱에 대한 관리 디바이스에 대한 앱 구성 정책을 만들어야 합니다.

관리 디바이스에 대한 앱 구성 정책을 만들고 적용하려면 관리 iOS/iPadOS 디바이스에 대한 앱 구성 정책 추가 단계를 따르고 다음 설정을 사용합니다.

• 기본 사항 탭의 대상 앱 목록에서 원격 데스크톱 모바일 앱을 선택합니다. 이 목록에 앱을 표시하려면 App Store에서 Intune에 앱을 추가해야 합니다.

• 설정 탭의 구성 설정 형식 드롭다운 목록에서 구성 디자이너 사용을 선택한 후 표시된 대로 다음 설정을 정확하게 입력합니다.

  구성 키	값 유형	구성 값
  IntuneMAMUPN	문자열	{{userprincipalname}}
  IntuneMAMOID	문자열	{{userid}}
  IntuneMAMDeviceID	문자열	{{deviceID}}

• 할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책을 적용하려면 사용자 그룹에 정책을 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

관리 앱에 대한 앱 구성 정책 만들기

구성 설정을 제공할 수 있도록 Windows 앱 및 원격 데스크톱 앱용 관리 앱에 대한 앱 구성 정책을 만들어야 합니다.

관리 앱에 대한 앱 구성 정책을 만들고 적용하려면 Intune App SDK 관리 앱에 대한 앱 구성 정책의 단계를 따르고 다음 설정을 사용합니다.

• 기본 탭에서 공용 앱 선택을 선택한 다음 원격 데스크톱을 검색하여 선택합니다. 원격 데스크톱을 선택하면 Windows 앱과 원격 데스크톱 앱 모두에 적용됩니다.

• 설정 탭에서 일반 구성 설정을 확장한 후 표시된 대로 정확하게 구성하려는 각 리디렉션 설정에 대해 다음 이름 및 값 쌍을 입력합니다. 이러한 값은 지원되는 RDP 속성에 나열된 RDP 속성에 해당하지만 구문은 다릅니다.

  속성	설명	값
  audiocapturemode	오디오 입력 리디렉션이 사용되는지 여부를 나타냅니다.	0: 로컬 디바이스의 오디오 캡처가 사용하지 않도록 설정되었습니다. 1: 로컬 디바이스에서 오디오 캡처 및 원격 세션에서 오디오 애플리케이션으로 리디렉션이 사용하도록 설정됩니다.
  camerastoredirect	카메라 리디렉션이 사용하도록 설정되었는지 여부를 결정합니다.	0: 카메라 리디렉션이 사용하지 않도록 설정되었습니다. 1: 카메라 리디렉션이 사용하도록 설정되었습니다.
  drivestoredirect	디스크 드라이브 리디렉션이 사용하도록 설정되었는지 여부를 결정합니다.	0: 디스크 드라이브 리디렉션이 사용하지 않도록 설정되었습니다. 1: 디스크 드라이브 리디렉션이 사용하도록 설정되었습니다.
  redirectclipboard	클립보드 리디렉션이 사용되는지 여부를 결정합니다.	0: 원격 세션에서 로컬 디바이스의 클립보드 리디렉션이 사용하지 않도록 설정되었습니다. 1: 원격 세션에서 로컬 디바이스의 클립보드 리디렉션이 사용하도록 설정되었습니다.

  설정이 어떻게 표시되는지에 대한 예는 다음과 같습니다.

  

• 할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책을 적용하려면 사용자 그룹에 정책을 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

앱 보호 정책 만들기

Windows 앱 및 원격 데스크톱 앱에 대한 앱 보호 정책을 만들어야 합니다. 이를 통해 모바일 디바이스의 앱에서 데이터에 액세스하고 공유하는 방법을 제어할 수 있습니다.

앱 보호 정책을 만들고 적용하려면 앱 보호 정책을 만들고 할당하는 방법의 단계에 따라 다음 설정을 사용합니다. 대상으로 하려는 각 플랫폼에 대한 앱 보호 정책을 만들어야 합니다.

• 앱 탭에서 공용 앱 선택을 선택한 다음 원격 데스크톱을 검색하여 선택합니다. 원격 데스크톱을 선택하면 Windows 앱과 원격 데스크톱 앱 모두에 적용됩니다.

• 데이터 보호 탭에서 다음 설정만 Windows 앱 및 원격 데스크톱 앱과 관련이 있습니다. Windows 앱 및 원격 데스크톱 앱은 앱의 데이터가 아닌 세션 호스트와 상호 작용하므로 다른 설정은 적용되지 않습니다. 모바일 디바이스에서 승인되지 않은 키보드는 키 입력 로깅 및 도난의 원인이 됩니다.

  • iOS 및 iPadOS의 경우 다음 설정을 구성할 수 있습니다.

    • 다른 앱 간 잘라내기, 복사, 붙여넣기 제한
    • 타사 키보드

  • Android의 경우 다음 설정을 구성할 수 있습니다.

    • 다른 앱 간 잘라내기, 복사, 붙여넣기 제한
    • 화면 캡처 및 Google 도우미
    • 승인된 키보드

  팁

  앱 구성 정책에서 클립보드 리디렉션을 사용하지 않도록 설정하는 경우 다른 앱 간 잘라내기, 복사 및 붙여넣기 제한을 차단됨으로 설정해야 합니다.

• 조건부 시작 탭에서 다음 조건을 추가하는 것이 좋습니다.

  조건	조건 유형	값	작업
  최소 앱 버전	앱 조건	요구 사항에 따라.	액세스 차단
  최소 OS 버전	디바이스 조건	요구 사항에 따라.	액세스 차단
  기본 MTD 서비스	디바이스 조건	요구 사항에 따라. MTD 커넥터를 설정해야 합니다. 엔드포인트용 Microsoft Defender의 경우 Intune에서 엔드포인트용 Microsoft Defender를 구성합니다.	액세스 차단
  허용되는 최대 디바이스 위협 수준	디바이스 조건	보안됨	액세스 차단

  버전 세부 정보는 Windows 앱의 새로운 기능, iOS 및 iPadOS용 원격 데스크톱 클라이언트의 새로운 기능, Android 및 Chrome OS용 원격 데스크톱 클라이언트의 새로운 기능을 참조하세요.

  사용 가능한 설정에 대한 자세한 내용은 iOS 앱 보호 정책 설정의 조건부 시작 및 Android 앱 보호 정책 설정의 조건부 시작을 참조하세요.

• 할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책을 적용하려면 사용자 그룹에 정책을 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

조건부 액세스 정책 만들기

조건부 액세스 정책을 만들면 Windows 앱 및 원격 데스크톱 앱에 앱 보호 정책이 적용된 경우에만 원격 세션에 대한 액세스를 제한할 수 있습니다. 두 번째 조건부 액세스 정책을 만드는 경우 웹 브라우저를 사용하여 액세스를 차단할 수도 있습니다.

조건부 액세스 정책을 만들고 적용하려면 Intune을 사용하여 앱 기반 조건부 액세스 정책 설정의 단계를 따릅니다. 다음 설정은 예를 제공하지만 요구 사항에 따라 조정해야 합니다.

1. Windows 앱 및 원격 데스크톱 앱에 앱 보호 정책이 적용된 경우에만 원격 세션에 대한 액세스 권한을 부여하는 첫 번째 정책의 경우:

   • 할당에는 정책을 적용할 사용자가 포함된 보안 그룹을 포함합니다. 정책을 적용하려면 사용자 그룹에 정책을 적용해야 합니다.

   • 대상 리소스에서 클라우드 앱에 정책을 적용하도록 선택한 다음 포함에서 앱 선택을 선택합니다. Azure Virtual Desktop 및 Windows 365를 검색하여 선택합니다. Microsoft Entra 테넌트의 구독에 Microsoft.DesktopVirtualization 리소스 공급자를 등록한 경우에만 목록에 Azure Virtual Desktop이 있습니다.

   • 조건의 경우:

     • 디바이스 플랫폼을 선택한 다음 iOS 및 Android를 포함합니다.
     • 클라이언트 앱을 선택한 다음 모바일 앱 및 데스크톱 클라이언트를 포함합니다.

   • 액세스 제어에서 액세스 허용을 선택한 다음 앱 보호 정책 필요 확인란을 선택하고 선택한 모든 컨트롤 필요 라디오 단추를 선택합니다.

   • 정책 사용을 켜기로 설정합니다.

2. 웹 브라우저를 사용하여 원격 세션에 대한 액세스를 차단하는 두 번째 정책의 경우:

   • 할당에는 정책을 적용할 사용자가 포함된 보안 그룹을 포함합니다. 정책을 적용하려면 사용자 그룹에 정책을 적용해야 합니다.

   • 대상 리소스에서 클라우드 앱에 정책을 적용하도록 선택한 다음 포함에서 앱 선택을 선택합니다. Azure Virtual Desktop 및 Windows 365를 검색하여 선택합니다. Microsoft Entra 테넌트의 구독에 Microsoft.DesktopVirtualization 리소스 공급자를 등록한 경우에만 목록에 Azure Virtual Desktop이 있습니다. Windows 365용 클라우드 앱에는 Microsoft Dev Box도 포함됩니다.

   • 조건의 경우:

     • 디바이스 플랫폼을 선택한 다음 iOS 및 Android를 포함합니다.
     • 클라이언트 앱을 선택한 다음 브라우저를 포함합니다.

   • 액세스 제어에서 액세스 차단을 선택한 다음 선택한 모든 제어 필요 라디오 단추를 선택합니다.

   • 정책 사용을 켜기로 설정합니다.

구성 확인

이제 개인 디바이스에서 디바이스 리디렉션을 관리하도록 Intune을 구성했으므로 원격 세션에 연결하여 구성을 확인할 수 있습니다. 테스트해야 하는 항목은 등록되거나 등록되지 않은 디바이스에 적용할 정책을 구성했는지 여부, 플랫폼, 리디렉션 및 데이터 보호 설정에 따라 달라집니다. 수행할 수 있는 작업만 예상한 것과 일치하게 수행할 수 있는지 확인합니다.

알려진 문제

App Configuration 정책이나 앱 보호 정책을 만들 때 Windows 앱 대신 원격 데스크톱이 계속 표시됩니다. 곧 업데이트될 예정입니다.