다음을 통해 공유


Windows MAM에 대한 데이터 보호

개인 Windows 디바이스에서 조직 데이터에 대한 보호된 MAM(모바일 애플리케이션 관리) 액세스를 사용하도록 설정할 수 있습니다. 이 기능은 다음 기능을 사용합니다.

  • ACP(애플리케이션 구성 정책)를 Intune 조직 사용자 환경을 사용자 지정합니다.
  • 조직 데이터를 보호하고 클라이언트 디바이스가 정상인지 확인하기 위해 APP(애플리케이션 보호 정책)을 Intune
  • Windows 보안 Center 클라이언트 위협 방어는 Intune APP과 통합되어 개인 Windows 디바이스에서 로컬 상태 위협을 감지합니다.
  • Microsoft Entra ID 통해 보호된 서비스 액세스 권한을 부여하기 전에 디바이스가 보호되고 정상 상태인지 확인하기 위한 애플리케이션 보호 조건부 액세스

참고

windows용 Intune MAM(모바일 애플리케이션 관리)은 Windows 10, 빌드 19045.3636, KB5031445 이상 및 Windows 11, 빌드 10.0.22621.2506, KB5031455(22H2) 이상에서 사용할 수 있습니다. 여기에는 Microsoft Intune(2309 릴리스), Microsoft Edge(Windows 11 및 v118.0.2088.71 이상에서는 v118.0.2088.71 이상) 및 Windows 11 Windows 보안 센터(v 1.0.2310.2002 이상)에 대한 지원 변경 내용이 포함됩니다. 앱 보호 조건부 액세스는 일반적으로 사용할 수 있습니다.

Windows MAM은 정부 클라우드 환경에서 지원됩니다. 관련 정보는 GCC High 및 DoD 환경에서 Intune 사용하여 앱 배포를 참조하세요.

MAM에 대한 자세한 내용은 MAM(모바일 애플리케이션 관리) 기본 사항을 참조하세요.

참고

WSC(Windows 보안 Center) 구성 요소용 MTD(Mobile Threat Defense) 커넥터는 Windows 11 버전 22631(23H2) 이상에서만 지원됩니다.

최종 사용자와 조직 모두 개인 디바이스로부터 조직 액세스를 보호해야 합니다. 조직은 개인, 관리되지 않는 디바이스에서 회사 데이터를 보호해야 합니다. Intune 관리자는 organization 멤버(최종 사용자)가 관리되지 않는 디바이스에서 보호된 방식으로 회사 리소스에 액세스하는 방법을 결정할 책임이 있습니다. 조직 데이터에 액세스할 때, 관리되지 않는 디바이스가 정상이고, 애플리케이션이 organization 데이터의 보호 정책을 준수하며, 디바이스에서 최종 사용자의 관리되지 않는 자산이 organization 정책의 영향을 받지 않도록 해야 합니다.

Intune 관리자는 다음과 같은 앱 관리 기능이 있어야 합니다.

  • 다음을 포함하여 Intune APP SDK로 보호되는 앱/사용자에게 앱 보호 정책을 배포하는 기능:
    • 데이터 보호 설정
    • 상태 검사(조건부 시작) 설정
  • 조건부 액세스를 통해 앱 보호 정책을 요구하는 기능
  • 다음을 수행하여 Windows 보안 센터를 통해 추가 클라이언트 상태 확인을 수행할 수 있습니다.
    • 최종 사용자가 회사 리소스에 액세스할 수 있도록 Windows 보안 센터 위험 수준 지정
    • Windows 보안 Center에 대한 Microsoft Intune 테넌트 기반 커넥터 설정
  • 보호된 애플리케이션에 선택적 초기화 명령을 배포하는 기능

organization 구성원(최종 사용자)은 계정에 대해 다음과 같은 기능을 사용할 것으로 예상합니다.

  • 조건부 액세스로 보호되는 사이트에 액세스하기 위해 Microsoft Entra ID 로그인하는 기능
  • 디바이스가 비정상으로 간주되는 경우 클라이언트 디바이스의 상태 상태 확인하는 기능
  • 디바이스가 비정상 상태일 때 리소스에 대한 액세스 권한을 취소하는 기능
  • 관리자 정책에 의해 액세스가 제어되는 경우 명확한 수정 단계를 통해 정보를 제공하는 기능

조건부 액세스 규정 준수

데이터 손실 방지는 조직 데이터 보호의 일부입니다. DLP(데이터 손실 방지)는 보호되지 않는 시스템 또는 디바이스에서 조직 데이터에 액세스할 수 없는 경우에만 효과적입니다. App Protection 조건부 액세스는 CA(조건부 액세스)를 사용하여 보호된 리소스(예: 조직 데이터)에 대한 액세스를 허용하기 전에 APP(App Protection 정책)이 클라이언트 애플리케이션에서 지원되고 적용되도록 합니다. APP CA를 사용하면 개인 Windows 디바이스를 사용하는 최종 사용자가 Microsoft Edge를 비롯한 APP 관리형 애플리케이션을 사용하여 개인 디바이스를 완전히 관리하지 않고도 Microsoft Entra 리소스에 액세스할 수 있습니다.

이 MAM 서비스는 사용자별, 앱별 및 디바이스당 준수 상태를 Microsoft Entra CA 서비스에 동기화합니다. 여기에는 Windows 보안 Center부터 MTD(Mobile Threat Defense) 공급업체에서 받은 위협 정보가 포함됩니다.

참고

이 MAM 서비스는 iOS 및 Android 디바이스에서 Microsoft Edge를 관리하는 데 사용되는 것과 동일한 조건부 액세스 규정 준수 워크플로를 사용합니다.

변경 내용이 감지되면 MAM 서비스는 디바이스 준수 상태를 즉시 업데이트합니다. 서비스에는 규정 준수 상태의 일부로 MTD 상태도 포함됩니다.

참고

MAM 서비스는 서비스의 MTD 상태를 평가합니다. 이 작업은 MAM 클라이언트 및 클라이언트 플랫폼과 독립적으로 수행됩니다.

MAM 클라이언트는 검사 때 클라이언트 히스 상태(또는 상태 메타데이터)를 MAM 서비스에 전달합니다. 상태에는 차단 또는 초기화 조건에 대한 APP Health 검사 실패가 포함됩니다. 또한 Microsoft Entra ID 최종 사용자가 차단된 CA 리소스에 액세스하려고 할 때 수정 단계를 안내합니다.

조건부 액세스 규정 준수

조직은 Microsoft Entra 조건부 액세스 정책을 사용하여 사용자가 Windows에서 정책 관리형 애플리케이션을 사용하여 회사 또는 학교 콘텐츠에만 액세스할 수 있도록 할 수 있습니다. 이렇게 하려면 모든 잠재적 사용자를 대상으로 하는 조건부 액세스 정책이 필요합니다. Windows 디바이스에서 앱 보호 정책 필요의 단계에 따라 Windows용 Microsoft Edge를 허용하지만 다른 웹 브라우저가 Microsoft 365 엔드포인트에 연결하지 못하도록 차단합니다.

조건부 액세스를 사용하면 Microsoft Entra 애플리케이션 프록시를 통해 외부 사용자에게 노출한 온-프레미스 사이트를 대상으로 지정할 수도 있습니다.

위협 방어 상태

조직 데이터에 대한 액세스를 허용하기 전에 개인 소유 디바이스의 상태 상태 확인됩니다. MAM 위협 탐지는 Windows 보안 Center와 연결할 수 있습니다. Windows 보안 Center는 서비스 대 서비스 커넥터를 통해 APP을 Intune 클라이언트 디바이스 상태 평가를 제공합니다. 이 평가는 개인 비관리 디바이스의 조직 데이터에 대한 흐름 및 액세스의 게이팅을 지원합니다.

상태에는 다음 세부 정보가 포함됩니다.

  • 사용자, 앱 및 디바이스 식별자
  • 미리 정의된 상태
  • 마지막 상태 업데이트 시간

상태는 MAM에 등록된 사용자에 대해서만 전송됩니다. 최종 사용자는 보호된 애플리케이션에서 조직 계정에서 로그아웃하여 데이터 전송을 중지할 수 있습니다. 관리자는 Microsoft Intune Windows 보안 커넥터를 제거하여 데이터 전송을 중지할 수 있습니다.

관련 정보는 Windows용 MTD 앱 보호 정책 만들기를 참조하세요.

Intune 앱 보호 정책 만들기

APP(앱 보호 정책)는 허용되는 앱과 조직 데이터로 수행할 수 있는 작업을 정의합니다. APP에서 사용할 수 있는 선택 항목을 통해 조직에서는 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 일부 경우에는 완전한 시나리오를 구현하는 데 어떤 정책 설정이 필요한지 명확하지 않을 수 있습니다.

관리자는 APP을 통해 데이터를 보호하는 방법을 구성할 수 있습니다. 이 구성은 데이터와의 네이티브 Windows 애플리케이션 상호 작용에 적용됩니다. APP 설정은 다음 세 가지 범주로 분할됩니다.

  • 데이터 보호 - 이러한 설정은 사용자의 조직 컨텍스트(계정, 문서, 위치, 서비스)로 데이터를 이동하는 방법을 제어합니다.
  • 상태 검사 (조건부 시작) - 이러한 설정은 조직 데이터에 액세스하는 데 필요한 디바이스 조건과 조건이 충족되지 않는 경우 수정 작업을 제어합니다.

조직이 클라이언트 엔드포인트 강화의 우선 순위를 지정할 수 있도록 Microsoft는 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 대한 분류를 도입했습니다.

각 구성 레벨 및 보호해야 하는 최소 앱에 대한 구체적인 권장 사항을 보려면 앱 보호 정책을 사용하는 데이터 보호 프레임워크를 검토하세요.

사용 가능한 설정에 대한 자세한 내용은 Windows 앱 보호 정책 설정을 참조하세요.

다음 단계