다음을 통해 공유

최전방 작업자를 위한 공유 디바이스 관리

  • 아티클
  • 적용 대상:
    Microsoft Teams, Microsoft 365 for frontline workers

개요

많은 최전방 직원은 공유 모바일 디바이스를 사용하여 작업을 수행합니다. 공유 디바이스는 여러 작업, 교대 근무 또는 위치에서 직원 간에 공유되는 회사 소유 디바이스입니다.

일반적인 시나리오의 예는 다음과 같습니다. 조직에는 모든 직원 간에 공유되는 크래들을 충전하는 디바이스 풀이 있습니다. 교대 근무가 시작되면 직원이 풀에서 장치를 집어 들고 Microsoft Teams 및 역할에 필수적인 기타 비즈니스 앱에 로그인합니다. 교대 근무가 끝나면 로그아웃하고 디바이스를 풀로 반환합니다. 동일한 교대 근무 내에서도 직원은 작업을 마치거나 점심을 먹을 때 디바이스를 반환한 다음, 다시 돌아올 때 다른 디바이스를 선택할 수 있습니다.

공유 디바이스에는 독특한 보안 문제가 있습니다. 예를 들어 직원은 동일한 디바이스의 다른 사용자가 사용할 수 없는 회사 또는 고객 데이터에 액세스할 수 있습니다. 공유 디바이스를 배포하는 조직은 로그인 및 로그아웃 환경을 정의하고 직원 간에 디바이스가 전달될 때 앱 및 데이터에 대한 무단 또는 의도하지 않은 액세스를 방지하기 위한 제어를 구현해야 합니다.

이 문서에서는 작업을 완료하는 데 필요한 디바이스로 최전방 인력의 역량을 강화하기 위해 공유 디바이스를 배포하고 관리하기 위한 기능 및 고려 사항을 다룹니다. 이 지침을 사용하여 최전방 배포를 계획하고 관리할 수 있습니다.

공유 디바이스 모드

가능하면 최전방 작업자 공유 디바이스에 공유 디바이스 모드 를 사용하는 것이 좋습니다.

공유 디바이스 모드는 조직에서 Android, iOS 또는 iPadOS 디바이스를 구성하여 여러 직원이 쉽게 공유할 수 있도록 하는 Microsoft Entra ID 기능입니다. 직원은 다른 직원의 데이터에 액세스하지 않고도 한 번 로그인하고 지원되는 모든 앱에서 데이터에 액세스할 수 있습니다. 교대 근무 또는 작업을 마치면 한 번 로그아웃하고 디바이스 및 지원되는 모든 앱에서 로그아웃하여 다음 직원이 사용할 수 있도록 디바이스를 준비합니다.

디바이스에서 공유 디바이스 모드를 사용하도록 설정하면 주요 이점

  • Single Sign-On: 사용자가 공유 디바이스 모드를 지원하는 하나의 앱에 한 번 로그인하고 자격 증명을 다시 입력하지 않고도 공유 디바이스 모드를 지원하는 다른 모든 앱에 원활한 인증을 받을 수 있도록 허용합니다. 공유 디바이스의 첫 실행 환경 화면에서 사용자를 제외합니다.
  • Single Sign-Out: 사용자가 공유 디바이스 모드를 지원하는 각 앱에서 개별적으로 로그아웃할 필요 없이 디바이스에서 쉽게 로그아웃할 수 있도록 허용합니다. 앱이 캐시된 사용자 데이터 및 앱 보호 정책을 정리하도록 보장한다는 점을 감안할 때 해당 데이터가 후속 사용자에게 부적절하게 표시되지 않는다는 사용자의 보증을 제공합니다.
  • 조건부 액세스 정책을 사용하여 보안 요구 사항 적용 지원: 관리자는 공유 디바이스에서 특정 조건부 액세스 정책을 대상으로 지정할 수 있는 기능을 제공하여 공유 디바이스가 내부 규정 준수 표준을 충족하는 경우에만 직원이 회사 데이터에 액세스할 수 있도록 합니다.

공유 디바이스 모드 시작

제로 터치 프로비저닝을 사용하여 수동으로 또는 MDM(모바일 디바이스 관리) 솔루션을 통해 공유 디바이스 모드용 디바이스를 설정할 수 있습니다. 자세한 내용은 공유 디바이스 모드 개요를 참조하세요.

개발자는 MSAL(Microsoft 인증 라이브러리)을 사용하여 앱에 공유 디바이스 모드에 대한 지원을 추가할 수 있습니다. 공유 디바이스 모드와 앱을 통합하는 방법에 대한 자세한 내용은 다음을 참조하세요.

다단계 인증

Microsoft Entra MFA(다단계 인증) 는 사용자가 로그인할 때만 암호를 사용하여 보안을 추가합니다. MFA는 암호를 기억해야 하는 것 외에도 추가 보안 계층을 사용하는 일부 사용자의 로그인 환경에 마찰을 더할 수 있지만 보안을 강화하는 좋은 방법입니다.

변경 관리 및 준비 작업을 준비할 수 있도록 출시 전에 사용자 환경의 유효성을 검사하는 것이 중요합니다.

조직에서 MFA를 사용할 수 없는 경우 보안 위험을 줄이기 위해 강력한 조건부 액세스 정책을 구현할 계획입니다. 공유 디바이스에서 MFA를 사용하지 않을 때 적용할 몇 가지 일반적인 조건부 액세스 정책은 다음과 같습니다.

  • 장치 준수
  • 신뢰할 수 있는 네트워크 위치
  • 디바이스가 관리됩니다.

적용하려는 조건부 액세스 정책 및 앱 보호 정책을 평가하여 조직의 요구 사항을 충족하는지 확인해야 합니다.

도메인 없는 로그인

공유 및 관리 디바이스의 사용자에 대한 로그인 화면에서 도메인 이름을 미리 입력하여 iOS 및 Android용 Teams에서 로그인 환경을 간소화할 수 있습니다.

사용자는 UPN(사용자 계정 이름)의 첫 번째 부분만 입력하여 로그인합니다. 예를 들어 사용자 이름이 123456@contoso.com 또는 alexw@contoso.com인 경우 사용자는 각각 "123456" 또는 "alexw"와 해당 암호를 사용하여 로그인할 수 있습니다. Teams에 로그인하는 것은 특히 정기적으로 로그인 및 로그아웃하는 공유 디바이스의 최전방 작업자에게 더 빠르고 쉽습니다.

사용자 지정 LOB(기간 업무) 앱에 도메인이 없는 로그인을 사용하도록 설정할 수도 있습니다.

도메인 없는 로그인에 대해 자세히 알아봅니다.

조건부 액세스

조건부 액세스 정책을 사용하여 조직을 안전하게 유지하는 데 필요한 경우 올바른 컨트롤을 적용합니다. 다음을 포함하는 ID 기반 신호에 따라 액세스를 제한하는 규칙을 만들 수 있습니다.

  • 사용자 또는 그룹 멤버십
  • IP 위치 정보
  • 디바이스(디바이스가 Microsoft Entra ID에 등록된 경우에만 사용 가능)
  • 실시간 및 계산된 위험 감지 기능

예를 들어 조건부 액세스 정책을 사용하여 규격으로 표시된 공유 디바이스만 조직의 앱 및 서비스에 액세스할 수 있도록 액세스를 제한할 수 있습니다. 시작하는 데 도움이 되는 몇 가지 리소스는 다음과 같습니다.

앱 보호 정책

Intune의 MAM(모바일 애플리케이션 관리)을 사용하면 앱 보호 정책을 사용하여 공유 디바이스 모드를 지원하지 않는 앱으로 데이터가 누출되지 않도록 할 수 있습니다. 데이터 손실을 방지하려면 공유 디바이스에서 다음 앱 보호 정책을 사용하도록 설정합니다.

  • 공유되지 않는 디바이스 모드 사용 앱에 복사/붙여넣기를 사용하지 않도록 설정합니다.
  • 로컬 파일 저장을 사용하지 않도록 설정합니다.
  • 비 공유 디바이스 모드 사용 앱에 대한 데이터 전송 기능을 사용하지 않도록 설정합니다.

공유 디바이스에서는 사용자가 처음으로 앱에 액세스할 때 팝업할 수 있는 불필요한 화면을 제거하는 것이 중요합니다. 이러한 화면에는 마이크 또는 카메라와 같은 디바이스 기능 또는 액세스 위치를 사용할 수 있는 권한을 앱에 부여하는 프롬프트가 포함될 수 있습니다. Android 공유 디바이스 의 Intune에서 앱 구성 정책을 사용하여 디바이스 기능에 액세스하기 위한 앱 권한을 미리 구성할 수 있습니다.

타사 MDM 솔루션을 사용하는 경우 디바이스 기능에 액세스하기 위해 앱에 자동으로 동의를 부여하는 데 사용할 수 있는 옵션은 설명서를 확인하세요.