최전방 작업자를 위한 디바이스 관리 개요
개요
모든 업계에서 최전방 인력은 직원의 큰 부분을 구성합니다. 최전방 인력 역할에는 소매 직원, 공장 작업자, 현장 및 서비스 기술자, 의료 담당자 등이 포함됩니다.
직원은 대부분 이동이 많고 종종 교대 근무를 기반으로 하므로 최전방 인력이 사용하는 디바이스를 관리하는 것은 핵심적인 기본 사항입니다. 이때 고려할 몇 가지 질문은 다음과 같습니다.
- 직원은 회사 소유의 디바이스를 사용하나요, 아니면 자신의 개인 디바이스를 사용하나요?
- 회사 소유의 디바이스는 직원 간에 공유되나요, 아니면 개인에게 할당되나요?
- 작업자는 디바이스를 집으로 가져가나요, 아니면 직장에 두나요?
공유 디바이스든 작업자의 디바이스이든 관계없이 직원의 디바이스를 관리하기 위해 안전하고 규정을 준수하는 기준을 설정하는 것이 중요합니다.
이 문서에서는 회사 데이터를 보호하면서 직원의 역량을 강화하는 데 도움이 되는 일반적인 최전방 인력 디바이스 시나리오 및 관리 기능에 대한 개요를 제공합니다. 정보와 고려 사항을 사용하여 최전방 디바이스 배포를 계획할 수 있습니다.
디바이스 배포
계획의 주요 단계는 모바일 디바이스를 최전방에 배포하는 방법과 지원할 운영 체제를 결정하는 것입니다. 이러한 요소를 염두에 두고 구현 계획 및 IT 인프라의 타당성을 평가할 수 있도록 이러한 결정을 미리 수행합니다.
배포 모델
공유 디바이스 및 BYOD(bring-your-own-device)는 최전방 조직에서 가장 일반적으로 채택되는 디바이스 유형입니다. 다음 표에는 이러한 배포 모델과 기타 및 관련 고려 사항이 나와 있습니다.
| 장치 유형 | 설명 | 사용 이유 | 배포 고려 사항 |
|---|---|---|---|
| 공유 디바이스: | organization 소유하고 관리하는 디바이스. 직원이 근무하는 동안 디바이스에 액세스합니다. |
작업자 생산성과 고객 환경이 최우선 순위입니다. 작업자는 직장에 없을 때 조직 리소스에 액세스할 수 없습니다. 현지 법률에 따라 개인 디바이스가 비즈니스 목적으로 사용되지 않을 수 있습니다. |
디바이스에서 최전방 로그인 및 로그아웃 방법을 정의합니다. MFA(다단계 인증)가 옵션이 아닌 경우 Microsoft Entra 조건부 액세스 정책을 사용하여 공유 디바이스를 보호하는 것이 좋습니다. |
| BYOD(Bring-Your-Own Device) | 사용자가 소유하고 organization 관리하는 개인 디바이스입니다. | 직원에게 교대 근무 일정을 검사, 교대 근무 교환에 대해 동료와 채팅하거나, 급여 명세서와 같은 HR 리소스에 액세스할 수 있는 편리한 방법을 제공하려고 합니다. 공유 디바이스 또는 전용 디바이스는 비용 또는 비즈니스 준비 관점에서 비실용적일 수 있습니다. |
개인 디바이스는 운영 체제, 스토리지 및 연결에 따라 다릅니다. 개인 디바이스 사용은 노조 규칙 또는 정부 규정에 위배될 수 있습니다. 일부 작업자는 개인 모바일 장치에 대한 신뢰할 수 있는 액세스 권한이 없을 수 있습니다. |
| 전용 디바이스1 | organization 소유하고 관리하며 단일 사용자에게 발급된 디바이스입니다. | 작업자는 전화와 문자를 받으려면 전용 전화 번호가 필요합니다. 조직은 디바이스 및 직원이 디바이스를 사용하는 방법을 완전히 제어해야 합니다. |
전용 하드웨어 비용. 롤아웃 및 지원 복잡성에 대한 추가된 노력은 필드 위치에서는 불가능할 수 있습니다. |
| 키오스크 디바이스2 | organization 소유하고 관리하는 디바이스. 사용자는 로그인하거나 로그아웃할 필요가 없습니다. | 디바이스에는 전용 용도가 있습니다. 사용 사례에는 사용자 인증이 필요하지 않습니다. |
협업, 통신, 작업 및 워크플로 앱이 작동하려면 사용자 ID가 필요합니다. 사용자 활동을 감사할 수 없습니다. MFA를 비롯한 일부 보안 기능을 사용할 수 없습니다. |
1전용 디바이스는 주로 높은 비용과 높은 직원 이직률의 컨텍스트에서 관리하려는 노력으로 인해 최전방 배포에서 일반적이지 않습니다.
2키오스크 디바이스 배포는 사용자 감사 및 다단계 인증과 같은 사용자 기반 보안 기능을 허용하지 않으므로 권장되지 않습니다.
키오스크 디바이스에 대해 자세히 알아보세요.
이 문서에서는 대부분의 최전방 배포의 실제 요구 사항에 맞는 배포 모델이므로 공유 디바이스 및 BYOD에 중점을 줍니다. 계획 고려 사항 및 관리 기능에 대한 개요를 읽어보세요.
디바이스 운영 체제
선택한 배포 모델은 부분적으로 지원하는 디바이스 운영 체제를 결정합니다. 예시:
- 공유 디바이스 모델을 구현하는 경우 선택한 디바이스 운영 체제가 사용 가능한 기능을 결정합니다. 예를 들어 Windows 디바이스는 기본적으로 자동화된 로그인을 위해 여러 사용자 프로필을 저장하고 Windows Hello 쉽게 인증하는 기능을 지원합니다. Android 및 iOS를 사용하면 더 많은 단계와 필수 구성 요소가 적용됩니다.
- BYOD 모델을 구현하는 경우 Android 및 iOS 디바이스를 모두 지원해야 합니다.
| 장치 OS | 고려 사항 |
|---|---|
| Android | 디바이스에 여러 사용자 프로필을 저장하기 위한 제한된 네이티브 기능입니다. Android 디바이스를 공유 디바이스 모드로 등록하여 Single Sign-On 및 로그아웃을 자동화하고 조건부 액세스 정책을 대상으로 할 수 있습니다. 컨트롤 및 API를 강력하게 관리합니다. 최전방 사용을 위해 빌드된 디바이스의 기존 에코시스템. |
| iOS 및 iPadOS | iOS 디바이스를 공유 디바이스 모드로 등록하여 Single Sign-On 및 로그아웃을 자동화할 수 있습니다. 비즈니스용 공유 iPad를 사용하여 iPadOS 디바이스에 여러 사용자 프로필을 저장할 수 있습니다. |
| Windows | 디바이스에 여러 사용자 프로필을 저장하기 위한 기본 지원입니다. 암호 없는 인증에 대한 Windows Hello 지원합니다. Microsoft Intune 사용하는 경우 간소화된 배포 및 관리 기능입니다. |
디바이스 가로
디바이스 배포를 계획할 때 여러 표면 영역에서 고려 사항이 있습니다. 이 섹션에서는 익숙한 풍경과 용어에 대해 설명합니다.
모바일 장치 관리
mdM(모바일 디바이스 관리) 솔루션(예: Microsoft Intune, 배포, 관리 및 디바이스 모니터링 간소화)
디바이스는 하나의 MDM 솔루션에만 등록할 수 있지만 여러 MDM 솔루션을 사용하여 별도의 디바이스 풀을 관리할 수 있습니다. 예를 들어 공유 디바이스에 Omnissa 작업 영역 ONE 또는 SOTI MobiControl을 사용하고 BYOD에 대한 Intune 사용할 수 있습니다. 여러 MDM 솔루션을 사용하는 경우 조건부 액세스 정책 또는 MAM(모바일 애플리케이션 관리) 정책의 불일치로 인해 일부 사용자가 공유 디바이스에 액세스하지 못할 수 있습니다.
타사 MDM 솔루션을 사용하는 경우 Intune 파트너 규정 준수와 통합하여 타사 MDM 솔루션에서 관리하는 디바이스에 대한 조건부 액세스를 활용할 수 있습니다.
Android 디바이스용 앱 시작 관리자
앱 시작 관리자는 앱, 배경 화면 및 아이콘 위치와 같은 사용자 지정된 시작 화면으로 최전방에 초점을 맞춘 환경을 제공할 수 있는 앱입니다. 최전방 작업자가 사용해야 하는 관련 앱과 주요 정보를 강조 표시하는 위젯만 표시할 수 있습니다.
대부분의 MDM 솔루션은 자체 앱 시작 관리자를 제공합니다. 예를 들어 Microsoft Intune Microsoft Managed Home Screen 앱을 제공합니다. 사용자 지정 시작 관리자를 직접 빌드할 수도 있습니다.
다음 표에는 Microsoft 및 타사 개발자가 Android 디바이스에 사용할 수 있는 가장 일반적인 앱 시작 관리자가 나와 있습니다.
| 앱 시작 관리자 | 기능 |
|---|---|
| Microsoft Managed Home Screen | 사용자가 Intune 등록된 전용 디바이스의 특정 앱 집합에 액세스할 수 있도록 하려면 Managed Home Screen 사용합니다. Managed Home Screen 디바이스에서 기본 홈 화면으로 자동으로 시작되고 사용자에게 유일한 홈 화면으로 표시되므로 잠긴 환경이 필요한 경우 공유 디바이스 시나리오에서 유용합니다. 자세히 알아보기. |
| Omnissa 작업 영역 ONE 시작 관리자 | Omnissa를 사용하는 경우 작업 영역 ONE 시작 관리자가 최전방에서 액세스해야 하는 앱 집합을 큐레이팅하는 도구입니다. Omnissa 작업 영역 ONE 시작 관리자가 현재 공유 디바이스 모드를 지원하지 않습니다. 자세히 알아보기. |
| SOTI | SOTI를 사용하는 경우 SOTI 앱 시작 관리자가 최전방에서 액세스해야 하는 앱 집합을 큐레이팅하는 데 가장 적합한 도구입니다. SOTI 앱 시작 관리자가 현재 공유 디바이스 모드를 지원합니다. |
| BlueFletch | BlueFletch Launcher는 MDM 솔루션에 관계없이 디바이스에서 사용할 수 있습니다. BlueFletch는 현재 공유 디바이스 모드를 지원합니다. 자세히 알아보기. |
| 사용자 지정 앱 시작 관리자 | 완전히 사용자 지정된 환경을 원하는 경우 고유한 사용자 지정 앱 시작 관리자를 빌드할 수 있습니다. 사용자가 로그인하고 한 번만 로그아웃하면 되도록 시작 관리자를 공유 디바이스 모드와 통합할 수 있습니다. |
ID 관리
일선 작업자용 Microsoft 365는 모든 앱과 리소스를 제공하고 보호하기 위한 기본 ID 서비스로 Microsoft Entra ID 사용합니다. Microsoft 365 앱에 액세스하려면 사용자에게 Microsoft Entra ID 있는 ID가 있어야 합니다.
Active Directory Domain Services(AD DS) 또는 타사 ID 공급자를 사용하여 최전방 사용자 ID를 관리하도록 선택하는 경우 이러한 ID를 페더레이션하여 Microsoft Entra ID 합니다. 타사 서비스를 Microsoft Entra ID 통합하는 방법을 알아봅니다.
최전방 ID를 관리하기 위한 가능한 구현 패턴은 다음과 같습니다.
- 독립 실행형 Microsoft Entra: organization 최전방 워크로드에 대한 독립 실행형 ID 솔루션으로 Microsoft Entra ID 사용자, 디바이스 및 앱 ID를 만들고 관리합니다. 이 구현 패턴은 최전방 배포 아키텍처를 간소화하고 사용자 로그인 중에 성능을 최대화하기 때문에 권장됩니다.
- Microsoft Entra ID Active Directory Domain Services(AD DS) 통합: Microsoft는 Microsoft Entra Connect를 제공하여 이러한 두 환경에 조인합니다. Microsoft Entra Connect는 Active Directory 사용자 계정을 Microsoft Entra ID 복제하여 사용자가 로컬 및 클라우드 기반 리소스에 모두 액세스할 수 있는 단일 ID를 가질 수 있도록 합니다. AD DS와 Microsoft Entra ID 모두 독립 디렉터리 환경으로 존재할 수 있지만 하이브리드 디렉터리를 만들도록 선택할 수 있습니다.
- Microsoft Entra ID 타사 ID 솔루션 동기화: Microsoft Entra ID 페더레이션을 통해 Okta 및 Ping Identity와 같은 타사 ID 공급자와의 통합을 지원합니다. 타사 ID 공급자 사용에 대해 자세히 알아봅니다.
HR 기반 사용자 프로비저닝
사용자 프로비저닝 자동화는 일선 직원이 첫날에 앱과 리소스에 액세스할 수 있기를 원하는 조직이 실제로 필요합니다. 보안 관점에서 볼 때 이전 직원이 회사 리소스에 대한 액세스를 유지하지 않도록 직원 오프보딩 중에 프로비전 해제를 자동화하는 것도 중요합니다.
Microsoft Entra 사용자 프로비저닝 서비스는 클라우드 기반 및 온-프레미스 HR 앱(예: Workday 및 SAP SuccessFactors)과 통합됩니다. HR 시스템에서 직원을 만들거나 사용하지 않도록 설정할 때 사용자 프로비저닝 및 프로비전 해제를 자동화하도록 서비스를 구성할 수 있습니다.
자세한 내용은 다음을 참조하세요.
내 직원을 사용하여 사용자 관리 위임
Microsoft Entra ID 내 직원 기능을 사용하면 내 직원 포털을 통해 최전방 관리자에게 일반적인 사용자 관리 작업을 위임할 수 있습니다. 최전방 관리자는 기술 지원팀, 운영 또는 IT 담당자에게 요청을 라우팅하지 않고도 매장 또는 공장 현장에서 직접 암호를 재설정하거나 최전방 직원의 전화번호를 관리할 수 있습니다.
또한 내 직원을 사용하여 최전방 관리자는 SMS 로그인을 위해 팀 구성원의 전화번호를 등록할 수 있습니다. 조직에서 SMS 기반 인증을 사용하는 경우 최전방 직원은 전화번호와 SMS를 통해 전송된 일회용 암호만 사용하여 Teams 및 기타 앱에 로그인할 수 있습니다. 이렇게 하면 최전방 근로자를 위한 로그인이 간단하고 빠릅니다.
공유 디바이스 모드
Microsoft Entra ID 공유 디바이스 모드 기능을 사용하여 직원이 공유할 디바이스를 구성할 수 있습니다. 이 기능을 사용하면 Teams 및 공유 디바이스 모드를 지원하는 다른 모든 앱에 대해 SSO(Single Sign-On) 및 디바이스 전체 로그아웃이 가능합니다.
다음은 Teams를 예로 든 공유 디바이스 모드의 작동 방식입니다. 직원이 교대 근무를 시작할 때 Teams에 로그인하면 디바이스에서 공유 디바이스 모드를 지원하는 다른 모든 앱에 자동으로 로그인됩니다. 교대 근무가 끝나면 Teams에서 로그아웃하면 공유 디바이스 모드를 지원하는 다른 모든 앱에서 로그아웃됩니다. 로그아웃한 후 Teams 및 공유 디바이스 모드를 지원하는 다른 모든 앱에서 직원의 데이터 및 회사 데이터에 더 이상 액세스할 수 없습니다. 디바이스는 다음 직원이 사용할 준비가 된 것입니다.
MSAL(Microsoft 인증 라이브러리)을 사용하여 LOB(기간 업무) 앱에 이 기능을 통합할 수 있습니다.
인증
인증 기능은 계정을 사용하여 애플리케이션, 데이터 및 리소스에 액세스할 수 있는 사용자 또는 사용자를 제어합니다.
앞서 언급했듯이 최전방 작업자용 Microsoft 365는 microsoft 365 앱 및 리소스를 보호하기 위한 기본 ID 서비스로 Microsoft Entra ID 사용합니다. Microsoft Entra ID 인증에 대한 자세한 내용은 Microsoft Entra 인증이란? 및 Microsoft Entra ID사용할 수 있는 인증 및 확인 방법을 참조하세요.
다단계 인증
Microsoft Entra MFA(다단계 인증)는 로그인 시 다음 인증 방법 중 두 개 이상을 요구하여 작동합니다.
- 사용자가 알고 있는 것은 일반적으로 암호입니다.
- 휴대폰 또는 하드웨어 키와 같이 쉽게 복제되지 않는 신뢰할 수 있는 디바이스와 같이 사용자가 가지고 있는 항목입니다.
- 지문 또는 얼굴 스캔과 같은 생체 인식입니다.
MFA는 Microsoft Authenticator 앱, FIDO2 키, SMS 및 음성 통화를 비롯한 여러 가지 형태의 확인 방법을 지원합니다.
MFA는 앱 및 데이터에 대한 높은 수준의 보안을 제공하지만 사용자 로그인에 마찰을 추가합니다. BYOD 배포를 선택하는 조직의 경우 MFA가 실용적인 옵션일 수도 있고 그렇지 않을 수도 있습니다. 비즈니스 및 기술 팀은 변경 관리 및 준비 작업에서 사용자 영향을 적절하게 고려할 수 있도록 광범위한 출시 전에 MFA를 사용하여 사용자 환경의 유효성을 검사하는 것이 좋습니다.
MFA가 organization 또는 배포 모델에 적합하지 않은 경우 강력한 조건부 액세스 정책을 사용하여 보안 위험을 줄일 계획입니다.
암호 없는 인증
최전방 인력에 대한 액세스를 더욱 간소화하기 위해 암호 없는 인증 방법을 사용하여 작업자가 암호를 기억하거나 입력할 필요가 없도록 할 수 있습니다. 암호 없는 인증 방법은 로그인 시 암호 사용을 제거하고 다음으로 바꿉니다.
- 사용자가 가지고 있는 것(예: 전화 또는 보안 키).
- 생체 인식 또는 PIN과 같이 사용자가 알고 있거나 알고 있는 항목입니다.
암호 없는 인증 방법도 일반적으로 더 안전하며, 필요한 경우 많은 사람들이 MFA 요구 사항을 충족할 수 있습니다.
암호 없는 인증 방법을 계속 진행하기 전에 기존 환경에서 작동할 수 있는지 여부를 결정합니다. 비용, OS 지원, 개인 디바이스 요구 사항 및 MFA 지원과 같은 고려 사항은 인증 방법이 요구 사항에 맞는지 여부에 영향을 줄 수 있습니다.
최전방 시나리오에 대한 암호 없는 인증 방법을 평가하려면 다음 표를 참조하세요.
| 메서드 | OS 지원 | 개인 디바이스 필요 | MFA 지원 |
|---|---|---|---|
| Microsoft Authenticator | 전체 | 예 | 예 |
| SMS 로그인 | Android 및 iOS | 예 | 아니요 |
| Windows Hello | Windows | 아니요 | 예 |
| FIDO2 키 | Windows | 아니요 | 예 |
자세한 내용은 Microsoft Entra ID 대한 암호 없는 인증 옵션 및 Microsoft Entra ID사용하여 SMS 기반 인증에 대한 사용자 구성 및 사용을 참조하세요.
권한 부여
권한 부여 기능은 인증된 사용자가 수행하거나 액세스할 수 있는 작업을 제어합니다. Microsoft 365에서는 Microsoft Entra 조건부 액세스 정책과 앱 보호 정책을 조합하여 이 작업을 수행합니다.
강력한 권한 부여 제어 구현은 특히 비용 또는 실용성상의 이유로 MFA와 같은 강력한 인증 방법을 구현할 수 없는 경우 최전방 공유 디바이스 배포를 보호하는 중요한 구성 요소입니다.
조건부 액세스 Microsoft Entra
조건부 액세스를 사용하면 다음 신호에 따라 액세스를 제한하는 규칙을 만들 수 있습니다.
- 사용자 또는 그룹 멤버십
- IP 위치 정보
- 디바이스(디바이스가 Microsoft Entra ID 등록된 경우에만 사용 가능)
- 앱
- 실시간 및 계산된 위험 감지 기능
조건부 액세스 정책은 사용자가 비준수 디바이스에 있거나 신뢰할 수 없는 네트워크에 있는 동안 액세스를 차단하는 데 사용할 수 있습니다. 예를 들어 조건부 액세스를 사용하여 사용자가 회사 네트워크에 있지 않거나 관리되지 않는 디바이스를 사용하는 경우 해당 법률에 대한 organization 분석에 따라 사용자가 인벤토리 앱에 액세스하지 못하도록 방지할 수 있습니다.
HR 관련 정보, 교대 근무 관리, 교대 근무 교환에 대한 채팅 또는 비비지니스 관련 앱과 같이 업무 외 데이터에 액세스하는 것이 타당한 BYOD 시나리오의 경우 MFA와 같은 강력한 인증 방법과 함께 더 관대한 조건부 액세스 정책을 구현하도록 선택할 수 있습니다.
자세한 내용은 조건부 액세스 Microsoft Entra 설명서를 참조하세요.
앱 보호 정책
Intune MAM(모바일 애플리케이션 관리)을 사용하면 Intune 앱 SDK와 통합된 앱에서 앱 보호 정책을 사용할 수 있습니다. 이렇게 하면 앱 내에서 organization 데이터를 추가로 보호할 수 있습니다.
앱 보호 정책을 사용하면 다음과 같은 액세스 제어 보호 기능을 추가할 수 있습니다.
- 앱 간의 데이터 공유를 제어합니다.
- 업무용 앱 데이터를 개인 스토리지 위치에 저장하지 못하게 합니다.
- 디바이스의 운영 체제가 최신 상태인지 확인합니다.
공유 디바이스 배포에서 앱 보호 정책을 사용하여 공유 디바이스 모드를 지원하지 않는 앱에 데이터가 누출되지 않도록 할 수 있습니다. BYOD 시나리오에서 앱 보호 정책은 전체 디바이스를 관리할 필요 없이 앱 수준에서 데이터를 보호할 수 있기 때문에 유용합니다.
최전방 직원이 근무하지 않는 경우 Teams에 대한 액세스 제한
작업 시간 기능을 사용하면 앱 보호 정책을 사용하여 BYOD 또는 회사 소유 전용 디바이스에서 교대 근무자를 위한 Teams에 대한 액세스를 제한할 수 있습니다. 이 기능을 사용하면 최전방 직원이 근무하지 않는 동안 Teams에 액세스할 때 액세스를 차단하거나 경고 메시지를 표시할 수 있습니다.
자세한 내용은 최전방 직원이 근무하지 않는 경우 Teams에 대한 액세스 제한을 참조하세요.