iOS용 Intune 앱 SDK - 다중 ID

5단계: 다중 ID(선택 사항)

기본적으로 SDK는 앱 전체에 정책을 적용합니다. 다중 ID는 ID별 수준에서 정책을 적용하도록 설정할 수 있는 MAM 기능입니다. 이렇게 하려면 다른 MAM 기능보다 더 많은 앱 참여가 필요합니다.

앱은 활성 ID를 변경하려는 경우 앱 SDK에 알려야 합니다. 또한 SDK는 ID 변경이 필요할 때 앱에 알 수 있습니다. 현재 하나의 관리 ID만 지원됩니다. 사용자가 디바이스 또는 앱을 등록한 후 SDK는 이 ID를 사용하고 이를 기본 관리 ID로 간주합니다. 앱의 다른 사용자는 무제한 정책 설정으로 관리되지 않는 것으로 처리됩니다.

ID는 단순히 문자열로 정의됩니다. ID는 대/소문자를 구분하지 않습니다. ID에 대한 SDK 요청은 ID가 설정되었을 때 원래 사용된 것과 동일한 대/소문자를 반환하지 않을 수 있습니다.

스테이지 목표

• 애플리케이션에 다중 ID 지원이 필요한지 확인합니다.
• Intune 앱 SDK가 ID를 인식하는 방법을 이해합니다.
• ID 인식을 위해 애플리케이션을 리팩터링합니다.
• 애플리케이션 전체에서 활성 및 변경 ID를 SDK에 알리는 코드를 추가합니다.
• 관리 ID와 비관리 ID 모두에 대한 앱 보호 정책 적용을 철저히 테스트합니다.

ID 개요

ID는 단순히 계정의 사용자 이름(예: user@contoso.com)입니다. 개발자는 다음 수준에서 앱의 ID를 설정할 수 있습니다.

• 프로세스 ID: 프로세스 전체 ID를 설정하며 주로 단일 ID 애플리케이션에 사용됩니다. 이 ID는 모든 작업, 파일 및 UI에 영향을 줍니다.

• UI ID: 잘라내기/복사/붙여넣기, PIN, 인증 및 데이터 공유와 같은 주 스레드의 UI 작업에 적용되는 정책을 결정합니다. UI ID는 암호화 및 백업과 같은 파일 작업에 영향을 주지 않습니다.

• 스레드 ID: 현재 스레드에 적용되는 정책에 영향을 줍니다. 이 ID는 모든 작업, 파일 및 UI에 영향을 줍니다.

앱은 사용자가 관리되는지 여부에 관계없이 ID를 적절하게 설정해야 합니다.

언제든지 모든 스레드에는 UI 작업 및 파일 작업에 대한 효과적인 ID가 있습니다. 적용해야 하는 정책(있는 경우)을 확인하는 데 사용되는 ID입니다. ID가 "ID 없음"이거나 사용자가 관리되지 않는 경우 정책이 적용되지 않습니다. 아래 다이어그램은 유효 ID가 결정되는 방법을 보여 줍니다.

스레드 큐

앱은 종종 비동기 및 동기 작업을 스레드 큐로 디스패치합니다. SDK는 GCD(Grand Central Dispatch) 호출을 가로채 현재 스레드 ID를 디스패치된 태스크와 연결합니다. 작업이 완료되면 SDK는 일시적으로 스레드 ID를 태스크와 연결된 ID로 변경하고 작업을 완료한 다음 원래 스레드 ID를 복원합니다.

NSOperationQueue 는 GCD NSOperations 를 기반으로 빌드되므로 태스크가 에 추가NSOperationQueue될 때 스레드의 ID에서 실행됩니다. NSOperations 또는 GCD를 통해 직접 디스패치된 함수는 실행 중인 현재 스레드 ID를 변경할 수도 있습니다. 이 ID는 디스패치 스레드에서 상속된 ID를 재정의합니다.

SDK가 에 대한 DispatchWorkItemID를 전파하는 방법의 결과로 인해 신속하게 와 DispatchWorkItem 연결된 ID는 항목을 디스패치하는 스레드가 아닌 항목을 만든 스레드의 ID입니다.

파일 소유자

SDK는 로컬 파일 소유자의 ID를 추적하고 그에 따라 정책을 적용합니다. 파일 소유자는 파일을 만들 때 또는 잘림 모드에서 파일을 열 때 설정됩니다. 소유자는 작업을 수행하는 스레드의 유효 파일 작업 ID로 설정됩니다.

또는 을 사용하여 IntuneMAMFilePolicyManager앱에서 파일 소유자 ID를 명시적으로 설정할 수 있습니다. 앱은 를 사용하여 IntuneMAMFilePolicyManager 파일 소유자를 검색하고 파일 콘텐츠를 표시하기 전에 UI ID를 설정할 수 있습니다.

공유 데이터

앱이 관리되는 사용자와 관리되지 않는 사용자 모두의 데이터가 있는 파일을 만드는 경우 앱은 관리되는 사용자의 데이터를 암호화해야 합니다. 의 및 unprotect API를 사용하여 데이터를 암호화할 protect 수 있습니다IntuneMAMDataProtectionManager.

메서드는 protect 관리되거나 관리되지 않는 사용자일 수 있는 ID를 허용합니다. 사용자가 관리되는 경우 데이터가 암호화됩니다. 사용자가 관리되지 않는 경우 ID를 인코딩하는 데이터에 헤더가 추가되지만 데이터는 암호화되지 않습니다. 메서드를 protectionInfo 사용하여 데이터의 소유자를 검색할 수 있습니다.

확장 공유

앱에 공유 확장이 있는 경우 공유되는 항목의 소유자는 의 메서드IntuneMAMDataProtectionManager를 protectionInfoForItemProvider 통해 검색할 수 있습니다. 공유 항목이 파일인 경우 SDK는 파일 소유자 설정을 처리합니다. 공유 항목이 데이터인 경우 앱은 이 데이터가 파일에 유지되는 경우 파일 소유자를 설정하고 UI에 이 데이터를 표시하기 전에 API를 호출 setUIPolicyAccountId 해야 합니다.

다중 ID 켜기

기본적으로 앱은 단일 ID로 간주됩니다. SDK는 프로세스 ID를 등록된 사용자로 설정합니다. 다중 ID 지원을 사용하도록 설정하려면 이름 MultiIdentity 및 값이 YES인 부울 설정을 앱의 Info.plist 파일의 IntuneMAMSettings 사전에 추가합니다.

ID 전환

• 앱 시작 ID 스위치:

  시작 시 다중 ID 앱은 알 수 없는 관리되지 않는 계정으로 실행되는 것으로 간주됩니다. 조건부 시작 UI는 실행되지 않으며 앱에 정책이 적용되지 않습니다. 앱은 ID를 변경해야 할 때마다 SDK에 알릴 책임이 있습니다. 일반적으로 앱이 특정 사용자 계정에 대한 데이터를 표시하려고 할 때마다 발생합니다.

  예를 들어 사용자가 전자 필기장에서 문서, 사서함 또는 탭을 열려고 할 때입니다. 파일, 사서함 또는 탭이 실제로 열리기 전에 앱이 SDK에 알려야 합니다. 이 작업은 의 API를 setUIPolicyAccountId 통해 수행됩니다 IntuneMAMPolicyManager. 이 API는 사용자가 관리되는지 여부에 관계없이 호출되어야 합니다. 사용자가 관리되는 경우 SDK는 탈옥 검색, PIN 및 인증과 같은 조건부 시작 검사를 수행합니다.

  ID 스위치의 결과는 완료 처리기를 통해 비동기적으로 앱에 반환됩니다. 앱은 성공 결과 코드가 반환될 때까지 문서, 사서함 또는 탭 열기를 연기해야 합니다. ID 전환에 실패한 경우 앱은 작업을 취소해야 합니다.

  다중 ID 앱은 ID를 설정하는 방법으로 사용하지 setProcessAccountId 않아야 합니다. UIScenes를 사용하는 앱은 API를 setUIPolicyAccountId:forWindow 사용하여 ID를 설정해야 합니다.

  앱은 및 setCurrentThreadIdentity:forScope:을 사용하여 setCurrentThreadIdentity: 현재 스레드의 ID를 설정할 수도 있습니다. 예를 들어 앱은 백그라운드 스레드를 생성하고, ID를 관리 ID로 설정한 다음, 관리되는 파일에서 파일 작업을 수행할 수 있습니다. 앱이 를 사용하는 setCurrentThreadAccountId:경우 앱은 완료되면 원래 ID를 복원할 수 있도록 를 사용해야 getCurrentThreadAccountId 합니다. 그러나 앱이 를 사용하는 setCurrentThreadAccountId:forScope: 경우 이전 ID 복원이 자동으로 발생합니다. 를 사용하는 setCurrentThreadAccountId:forScope:것이 좋습니다.

  비동기/대기 [IntuneMAMPolicyManager setCurrentThreadAccountId:][IntuneMAMPolicyManager setCurrentThreadAccountId:forScope:] 로 인해 빠른 속도로 사용할 수 없습니다. 대신 현재 ID를 설정하려면 를 사용합니다 IntuneMAMSwiftContextManager.setAccountId(_, forScope:). 전달될 비동기, throw 및 비동기 throw 클로저에 대한 이 API의 변형이 있습니다.

• SDK 시작 ID 스위치:

  경우에 따라 SDK는 앱에 특정 ID로 전환하도록 요청해야 합니다. 다중 ID 앱은 이 요청을 처리하려면 에서 identitySwitchRequiredForAccountIdIntuneMAMPolicyDelegate 메서드를 구현해야 합니다.

  이 메서드가 호출될 때 앱이 지정된 ID로 전환하기 위한 요청을 처리할 수 있는 경우 완료 처리기에 전달 IntuneMAMAddIdentityResultSuccess 되어야 합니다. ID 전환을 처리할 수 없는 경우 앱이 완료 처리기에 전달 IntuneMAMAddIdentityResultFailed 되어야 합니다.

  앱은 이 호출에 대한 응답으로 를 호출 setUIPolicyAccountId 할 필요가 없습니다. SDK에서 앱이 관리되지 않는 사용자 계정으로 전환해야 하는 경우 빈 문자열이 호출에 identitySwitchRequiredForAccountId 전달됩니다.

• SDK 시작 ID 자동 등록:

  SDK가 작업을 수행하기 위해 앱에서 사용자를 자동으로 등록해야 하는 경우 앱은 에서 IntuneMAMPolicyDelegate메서드를 addIdentity:completionHandler: 구현해야 합니다. 앱이 ID를 추가할 수 있는 경우 애플리케이션은 완료 처리기를 호출하고 IntuneMAMAddIdentityResultSuccess를 전달해야 합니다. 그렇지 않으면 IntuneMAMAddIdentityResultFailed를 추가할 수 있습니다.

• 선택적 초기화:

  앱이 선택적으로 초기화되면 SDK는 에서 IntuneMAMPolicyDelegate메서드를 wipeDataForAccountId 호출합니다. 앱은 지정된 사용자의 계정 및 연결된 모든 데이터를 제거할 책임이 있습니다. SDK는 사용자가 소유한 모든 파일을 제거할 수 있으며 앱이 호출에서 wipeDataForAccountId FALSE를 반환하는 경우 제거됩니다.

  이 메서드는 백그라운드 스레드에서 호출됩니다. 앱이 사용자의 모든 데이터가 제거될 때까지(앱이 FALSE를 반환하는 경우 파일 제외) 값을 반환하면 안 됩니다.

종료 조건

앱의 다중 ID 통합 유효성을 검사하는 데 상당한 시간을 할애할 계획입니다. 테스트를 시작하기 전에 다음을 수행합니다.

• 앱 보호 정책을 만들고 계정에 할당합니다. 테스트 관리 계정입니다.
• 다른 계정을 만들지만 앱 보호 정책을 할당하지 마세요. 이 계정은 관리되지 않는 테스트 계정이 됩니다. 또는 앱이 Microsoft Entra 계정 이외의 여러 계정 유형을 지원하는 경우 기존 비 AAD 계정을 관리되지 않는 테스트 계정으로 사용할 수 있습니다.
• 앱 내에서 정책을 적용하는 방법을 다시 알아보세요. 다중 ID 테스트를 사용하려면 앱이 정책을 적용하여 작동되지 않는 시점을 쉽게 구분해야 합니다. 스크린샷을 차단하는 앱 보호 정책 설정은 정책 적용을 신속하게 테스트하는 데 효과적입니다.
• 앱에서 제공하는 전체 UI 집합을 고려합니다. 계정 데이터가 표시되는 화면을 열거합니다. 앱이 한 번에 단일 계정의 데이터만 표시하나요, 아니면 여러 계정에 속하는 데이터를 동시에 표시할 수 있나요?
• 앱에서 만드는 파일의 전체 집합을 고려합니다. 이러한 파일 중 시스템 수준 데이터가 아닌 계정에 속한 데이터가 포함된 파일을 열거합니다.
  • 이러한 각 파일에서 암호화의 유효성을 검사하는 방법을 결정합니다.
• 앱이 다른 앱과 상호 작용할 수 있는 방법의 전체 집합을 고려합니다. 모든 수신 및 송신 지점을 열거합니다. 앱에서 수집할 수 있는 데이터 형식은 무엇인가요? 어떤 의도를 브로드캐스트하나요? 어떤 콘텐츠 공급자가 구현하나요?
  • 이러한 각 데이터 공유 기능을 연습하는 방법을 결정합니다.
  • 앱과 상호 작용할 수 있는 관리되는 앱과 관리되지 않는 앱이 모두 있는 테스트 디바이스를 준비합니다.
• 앱에서 최종 사용자가 로그인한 모든 계정과 상호 작용할 수 있도록 하는 방법을 고려합니다. 사용자가 해당 계정의 데이터가 표시되기 전에 수동으로 계정으로 전환해야 합니까?

앱의 현재 동작을 철저히 평가한 후에는 다음 테스트 집합을 실행하여 다중 ID 통합의 유효성을 검사합니다. 이 목록은 포괄적인 목록이 아니며 앱의 다중 ID 구현이 버그가 없다고 보장하지는 않습니다.

로그인 및 로그아웃 시나리오 유효성 검사

다중 ID 앱은 최대 1개의 관리되는 계정과 여러 개의 관리되지 않는 계정을 지원합니다. 이러한 테스트는 사용자가 로그인하거나 로그아웃할 때 다중 ID 통합이 보호를 부적절하게 변경하지 않도록 하는 데 도움이 됩니다.

이러한 테스트의 경우 테스트 디바이스에 앱을 설치합니다. 테스트를 시작하기 전에 로그인하지 마세요.

활성 ID 및 앱 수명 주기 유효성 검사

다중 ID 앱은 단일 계정의 데이터가 포함된 보기를 표시하고 사용자가 현재 사용 중인 계정을 명시적으로 변경할 수 있도록 할 수 있습니다. 여러 계정의 데이터가 있는 뷰를 동시에 표시할 수도 있습니다. 이러한 테스트는 다중 ID 통합이 전체 앱 수명 주기 동안 모든 페이지에서 활성 ID에 대한 올바른 보호를 제공하는 데 도움이 됩니다.

이러한 테스트의 경우 테스트 디바이스에 앱을 설치합니다. 테스트를 시작하기 전에 관리되는 계정과 관리되지 않는 계정으로 로그인합니다.

데이터 공유 시나리오 유효성 검사

다중 ID 앱은 다른 앱으로 데이터를 보내고 받을 수 있습니다. Intune의 앱 보호 정책에는 이 동작을 지시하는 설정이 있습니다. 이러한 테스트는 다중 ID 통합이 이러한 데이터 공유 설정을 준수하도록 하는 데 도움이 됩니다.

이러한 테스트의 경우 테스트 디바이스에 앱을 설치합니다. 테스트를 시작하기 전에 관리되는 계정과 관리되지 않는 계정으로 로그인합니다. 또한

• 관리되는 계정의 정책을 다음과 같이 설정합니다.
  • "조직 데이터를 다른 앱으로 보내기"를 "정책 관리 앱"으로 보냅니다.
  • "다른 앱에서 데이터 받기"에서 "정책 관리 앱"으로.
• 테스트 디바이스에 다른 앱을 설치합니다.
  • Microsoft Outlook과 같이 데이터를 보내고 받을 수 있는 앱과 동일한 정책을 대상으로 하는 관리형 앱입니다.
  • 데이터를 보내고 받을 수 있는 관리되지 않는 앱입니다.
• 관리되는 테스트 계정으로 다른 관리형 앱에 로그인합니다. 다른 관리형 앱이 다중 ID인 경우에도 관리되는 계정으로만 로그인합니다.

앱에 Microsoft Office에 문서 첨부 파일을 보내는 Microsoft Outlook과 같은 다른 앱으로 데이터를 보낼 수 있는 기능이 있는 경우:

앱은 Microsoft OneDrive에서 파일을 첨부하는 Microsoft Outlook과 같은 다른 앱에서 데이터를 적극적으로 가져올 수 있습니다. 앱은 Microsoft Outlook 첨부 파일에서 문서를 여는 Microsoft Office와 같은 다른 앱에서 데이터를 수동적으로 받을 수도 있습니다. 수신 앱 보호 정책 설정은 두 시나리오를 모두 다룹니다.

앱에 다른 앱에서 데이터를 적극적으로 가져올 수 있는 기능이 있는 경우:

앱에 다른 앱에서 데이터를 수동적으로 수신할 수 있는 기능이 있는 경우:

이러한 테스트의 실패는 앱이 데이터를 보내거나 받으려고 할 때 올바른 활성 ID 집합이 없음을 나타낼 수 있습니다. 전송/수신 시점에 SDK의 ID 가져오기 API를 활용하여 활성 ID가 제대로 설정되었는지 확인하여 이를 조사할 수 있습니다.

다음 단계

위의 모든 종료 기준을 완료한 후 앱이 다중 ID로 성공적으로 통합되고 ID별로 앱 보호 정책을 적용할 수 있습니다. 다음 섹션인 6단계: 앱 보호 조건부 액세스 지원 및 7단계: 웹 보기 기능은 앱의 원하는 앱 보호 정책 지원에 따라 필요하거나 필요하지 않을 수 있습니다.