앱 보호 정책을 사용하는 데이터 보호 프레임워크
더 많은 조직이 회사 또는 학교 데이터에 액세스하기 위한 모바일 디바이스 전략을 구현함에 따라 데이터 유출로부터 보호하는 것이 가장 중요합니다. 데이터 유출로부터 보호하기 위한 Intune 모바일 애플리케이션 관리 솔루션은 APP(앱 보호 정책)입니다. APP은 디바이스가 등록되었는지 여부에 관계없이 organization 데이터가 안전하게 유지되거나 관리되는 앱에 포함되도록 하는 규칙입니다. 자세한 내용은 앱 보호 정책 개요를 참조하세요.
앱 보호 정책을 구성할 때 다양한 설정 및 옵션의 수를 통해 조직은 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 이러한 유연성으로 인해 전체 시나리오를 구현하는 데 필요한 정책 설정의 순열이 명확하지 않을 수 있습니다. 조직이 클라이언트 엔드포인트 강화 노력의 우선 순위를 지정할 수 있도록 Microsoft는 Windows 10 보안 구성에 대한 새로운 분류를 도입했으며, Intune 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 유사한 분류를 활용하고 있습니다.
APP 데이터 보호 구성 프레임워크는 세 가지 고유한 구성 시나리오로 구성됩니다.
수준 1 엔터프라이즈 기본 데이터 보호 – 엔터프라이즈 디바이스에 대한 최소 데이터 보호 구성으로 이 구성을 권장합니다.
수준 2 엔터프라이즈 향상된 데이터 보호 – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다. 일부 컨트롤은 사용자 경험에 영향을 줄 수 있습니다.
수준 3 엔터프라이즈 높은 데이터 보호 – 더 크거나 더 정교한 보안 팀이 있는 organization 또는 고유하게 위험이 높은 특정 사용자 또는 그룹(무단 공개로 인해 organization 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자)에 대해 이 구성을 권장합니다. 자금이 잘 조달되고 정교한 적의 표적이 될 가능성이 있는 organization 이 구성을 열망해야 합니다.
APP Data Protection Framework 배포 방법론
새 소프트웨어, 기능 또는 설정 배포와 마찬가지로 Microsoft는 APP 데이터 보호 프레임워크를 배포하기 전에 유효성 검사를 테스트하기 위한 링 방법론에 투자하는 것이 좋습니다. 배포 링을 정의하는 것은 일반적으로 일회성 이벤트(또는 최소한 드물게 발생함)이지만 IT는 이러한 그룹을 다시 검토하여 시퀀싱이 여전히 올바른지 확인해야 합니다.
Microsoft는 APP 데이터 보호 프레임워크에 대해 다음과 같은 배포 링 방법을 권장합니다.
배포 링 | 테넌트 | 평가 팀 | 출력 | 시간 표시 막대 |
---|---|---|---|---|
품질 보증 | 사전 프로덕션 테넌트 | 모바일 기능 소유자, 보안, 위험 평가, 개인 정보, UX | 함수 시나리오 유효성 검사, 초안 설명서 | 0~30일 |
Preview | 프로덕션 테넌트 | 모바일 기능 소유자, UX | 최종 사용자 시나리오 유효성 검사, 사용자 측 설명서 | 7~14일, 품질 보증 게시 |
프로덕션 | 프로덕션 테넌트 | 모바일 기능 소유자, IT 지원 센터 | 해당 없음 | 7일~몇 주, 미리 보기 게시 |
위의 표에서 알 수 있듯이 앱 보호 정책에 대한 모든 변경 내용은 먼저 사전 프로덕션 환경에서 수행되어 정책 설정의 의미를 이해해야 합니다. 테스트가 완료되면 변경 내용을 프로덕션으로 이동하고 프로덕션 사용자( 일반적으로 IT 부서 및 기타 적용 가능한 그룹)의 하위 집합에 적용할 수 있습니다. 마지막으로, 모바일 사용자 커뮤니티의 나머지 부분에 롤아웃을 완료할 수 있습니다. 프로덕션으로 롤아웃하는 데는 변경과 관련된 영향 규모에 따라 시간이 더 오래 걸릴 수 있습니다. 사용자에게 영향을 주지 않는 경우 변경 내용이 신속하게 롤아웃되는 반면, 변경으로 인해 사용자에게 영향을 미치는 경우 변경 내용을 사용자 모집단에 전달해야 하므로 롤아웃이 더 느려져야 할 수 있습니다.
앱의 변경 내용을 테스트할 때 배달 타이밍에 유의하세요. 지정된 사용자에 대한 APP 배달 상태 모니터링할 수 있습니다. 자세한 내용은 앱 보호 정책을 모니터링하는 방법을 참조하세요.
각 앱에 대한 개별 앱 설정은 Microsoft Edge 및 INtunehelp에 대한 URL을 사용하여 디바이스에서 유효성을 검사할 수 있습니다. 자세한 내용은 클라이언트 앱 보호 로그 검토 및 iOS 및 Android용 Microsoft Edge를 사용하여 관리되는 앱 로그에 액세스를 참조하세요.
APP Data Protection Framework 설정
적용 가능한 앱에 대해 다음 앱 보호 정책 설정을 사용하도록 설정하고 모든 모바일 사용자에게 할당해야 합니다. 각 정책 설정에 대한 자세한 내용은 iOS 앱 보호 정책 설정 및 Android 앱 보호 정책 설정을 참조하세요.
사용 시나리오를 검토하고 분류한 다음, 해당 수준에 대한 규범적 지침을 사용하여 사용자를 구성하는 것이 좋습니다. 모든 프레임워크와 마찬가지로 데이터 보호가 위협 환경, 위험 욕구 및 유용성에 미치는 영향을 평가해야 하므로 해당 수준 내의 설정을 organization 요구 사항에 따라 조정해야 할 수 있습니다.
관리자는 Intune PowerShell 스크립트를 사용하여 샘플 Intune App Protection 정책 구성 프레임워크 JSON 템플릿을 가져와서 테스트 및 프로덕션 사용을 위해 링 배포 방법론 내에 아래 구성 수준을 통합할 수 있습니다.
참고
Windows용 MAM을 사용하는 경우 Windows에 대한 앱 보호 정책 설정을 참조하세요.
조건부 액세스 정책
App Protection Poliies를 지원하는 앱만 회사 또는 학교 계정 데이터에 액세스하도록 하려면 Microsoft Entra 조건부 액세스 정책이 필요합니다. 이러한 정책은 조건부 액세스: 승인된 클라이언트 앱 또는 앱 보호 정책 필요에서 설명합니다.
특정 정책을 구현하는 단계는 조건부 액세스에서 모바일 디바이스를 사용하여 승인된 클라이언트앱 또는 앱 보호 정책 필요: 승인된 클라이언트 앱 또는 앱 보호 정책 필요 를 참조하세요. 마지막으로 레거시 인증 차단 의 단계를 구현하여 레거시 인증이 가능한 iOS 및 Android 앱을 차단합니다.
참고
이러한 정책은 승인 된 클라이언트 앱 필요 및 앱 보호 정책 필요 권한 부여 컨트롤을 활용합니다.
앱 보호 정책에 포함할 앱
각 앱 보호 정책에 대해 핵심 Microsoft Apps 그룹이 대상으로 지정되며, 여기에는 다음 앱이 포함됩니다.
- Microsoft Edge
- Excel
- Office
- OneDrive
- OneNote
- Outlook
- PowerPoint
- SharePoint
- Teams
- To Do
- Word
정책에는 비즈니스 요구 사항에 따라 다른 Microsoft 앱, organization 내에서 사용되는 Intune SDK를 통합한 추가 타사 퍼블릭 앱, Intune SDK를 통합했거나 래핑된 기간 업무 앱이 포함되어야 합니다.
수준 1 엔터프라이즈 기본 데이터 보호
수준 1은 엔터프라이즈 모바일 디바이스에 대한 최소 데이터 보호 구성입니다. 이 구성은 PIN이 회사 또는 학교 데이터에 액세스하도록 요구하고, 회사 또는 학교 계정 데이터를 암호화하고, 학교 또는 회사 데이터를 선택적으로 초기화할 수 있는 기능을 제공하여 기본 Exchange Online 디바이스 액세스 정책의 필요성을 대체합니다. 그러나 Exchange Online 디바이스 액세스 정책과 달리 아래 앱 보호 정책 설정은 정책에서 선택한 모든 앱에 적용되므로 모바일 메시징 시나리오 외에 데이터 액세스가 보호됩니다.
수준 1의 정책은 사용자에게 미치는 영향을 최소화하면서 합리적인 데이터 액세스 수준을 적용하고 Microsoft Intune 내에서 앱 보호 정책을 만들 때 기본 데이터 보호 및 액세스 요구 사항 설정을 미러.
데이터 보호
설정 | 설정 설명 | 값 | 플랫폼 |
---|---|---|---|
데이터 전송 | 조직 데이터를 백업하는 중... | 허용 | iOS/iPadOS, Android |
데이터 전송 | 다른 앱으로 조직 데이터 보내기 | 모든 앱 | iOS/iPadOS, Android |
데이터 전송 | 조직 데이터를 다음으로 보내기 | 모든 대상 | Windows |
데이터 전송 | 다른 앱의 데이터 받기 | 모든 앱 | iOS/iPadOS, Android |
데이터 전송 | 에서 데이터 받기 | 모든 원본 | Windows |
데이터 전송 | 앱 간 잘라내기, 복사 및 붙여넣기 제한 | 모든 앱 | iOS/iPadOS, Android |
데이터 전송 | 에 대한 잘라내기, 복사 및 붙여넣기 허용 | 모든 대상 및 원본 | Windows |
데이터 전송 | 타사 키보드 | 허용 | iOS/iPadOS |
데이터 전송 | 승인된 키보드 | 필요하지 않음 | Android |
데이터 전송 | 화면 캡처 및 Google Assistant | 허용 | Android |
암호화 | 조직 데이터 암호화 | 필수 | iOS/iPadOS, Android |
암호화 | 등록된 디바이스에서 조직 데이터 암호화 | 필수 | Android |
기능 | 네이티브 연락처 앱과 앱 동기화 | 허용 | iOS/iPadOS, Android |
기능 | 조직 데이터 인쇄 | 허용 | iOS/iPadOS, Android, Windows |
기능 | 다른 앱을 사용한 웹 콘텐츠 전송 제한 | 모든 앱 | iOS/iPadOS, Android |
기능 | 조직 데이터 알림 | 허용 | iOS/iPadOS, Android |
액세스 요구 사항
설정 | 값 | 플랫폼 | 참고 |
---|---|---|---|
액세스용 PIN | 필수 | iOS/iPadOS, Android | |
PIN 형식 | 숫자 | iOS/iPadOS, Android | |
단순 PIN | 허용 | iOS/iPadOS, Android | |
최소 PIN 길이 선택 | 4 | iOS/iPadOS, Android | |
액세스용 PIN 대신 터치 ID(iOS 8+/iPadOS) | 허용 | iOS/iPadOS | |
시간 제한 후 PIN을 사용하여 생체 인식 재정의 | 필수 | iOS/iPadOS, Android | |
시간 제한(작업 시간(분) | 1440 | iOS/iPadOS, Android | |
액세스용 PIN 대신 Face ID(iOS 11+/iPadOS) | 허용 | iOS/iPadOS | |
액세스를 위한 PIN 대신 생체 인식 | 허용 | iOS/iPadOS, Android | |
지정 일 수가 지나면 PIN 다시 설정 | 아니오 | iOS/iPadOS, Android | |
유지 관리할 이전 PIN 값 수 선택 | 0 | Android | |
디바이스 PIN이 설정된 경우 앱 PIN | 필수 | iOS/iPadOS, Android | 디바이스가 Intune 등록된 경우 관리자는 디바이스 준수 정책을 통해 강력한 디바이스 PIN을 적용하는 경우 이를 "필수 아님"으로 설정하는 것을 고려할 수 있습니다. |
액세스를 위한 회사 또는 학교 계정 자격 증명 | 필요하지 않음 | iOS/iPadOS, Android | |
비활성인 시간(분)이 지난 후에 액세스 요구 사항 다시 확인 | 30 | iOS/iPadOS, Android |
조건부 실행
설정 | 설정 설명 | 값/작업 | 플랫폼 | 참고 |
---|---|---|---|---|
앱 조건 | 최대 PIN 시도 횟수 | 5/ PIN 다시 설정 | iOS/iPadOS, Android | |
앱 조건 | 오프라인 유예 기간 | 10080/액세스 차단(분) | iOS/iPadOS, Android, Windows | |
앱 조건 | 오프라인 유예 기간 | 90/데이터 초기화(일) | iOS/iPadOS, Android, Windows | |
디바이스 조건 | 탈옥/루팅된 디바이스 | 해당/A/액세스 차단 | iOS/iPadOS, Android | |
디바이스 조건 | SafetyNet 디바이스 증명 | 기본 무결성 및 인증된 디바이스/액세스 차단 | Android | 이 설정은 최종 사용자 디바이스에서 Google Play의 디바이스 무결성 검사 구성합니다. 기본 무결성으로 디바이스의 무결성을 검증합니다. 변조 흔적이 있는 루팅된 디바이스, 에뮬레이터, 가상 디바이스 및 디바이스는 기본 무결성을 실패합니다. 기본 무결성 및 인증된 디바이스는 Google 서비스로 디바이스의 호환성을 검증합니다. Google의 인증을 받은 수정되지 않은 디바이스만이 이 검사를 통과할 수 있습니다. |
디바이스 조건 | 앱에서 위협 검사 필요 | 해당/A/액세스 차단 | Android | 이 설정은 최종 사용자 디바이스에 Google의 앱 확인 검사를 사용하도록 합니다. 구성된 경우 최종 사용자는 Android 디바이스에서 Google의 앱 검사를 켤 때까지 액세스가 차단됩니다. |
디바이스 조건 | 허용된 최대 디바이스 위협 수준 | 낮은 액세스/차단 | Windows | |
디바이스 조건 | 디바이스 잠금 필요 | 낮음/경고 | Android | 이 설정은 Android 디바이스에 최소 암호 요구 사항을 충족하는 디바이스 암호를 갖도록 합니다. |
참고
Windows 조건부 시작 설정은 상태 검사로 레이블이 지정됩니다.
수준 2 엔터프라이즈 향상된 데이터 보호
수준 2는 사용자가 더 중요한 정보에 액세스하는 디바이스의 표준으로 권장되는 데이터 보호 구성입니다. 이러한 디바이스는 오늘날 엔터프라이즈의 자연스러운 대상입니다. 이러한 권장 사항은 고도로 숙련된 보안 실무자의 대규모 직원을 가정하지 않으므로 대부분의 엔터프라이즈 조직에서 액세스할 수 있어야 합니다. 이 구성은 데이터 전송 시나리오를 제한하고 최소 운영 체제 버전을 요구하여 수준 1의 구성을 확장합니다.
중요
수준 2에 적용되는 정책 설정에는 수준 1에 권장되는 모든 정책 설정이 포함됩니다. 그러나 수준 2에는 수준 1보다 더 많은 컨트롤과 보다 정교한 구성을 구현하기 위해 추가되거나 변경된 설정만 나열됩니다. 이러한 설정은 사용자 또는 애플리케이션에 약간 더 큰 영향을 미칠 수 있지만 모바일 디바이스에서 중요한 정보에 액세스할 수 있는 사용자가 직면한 위험에 더 상응하는 수준의 데이터 보호를 적용합니다.
데이터 보호
설정 | 설정 설명 | 값 | 플랫폼 | 참고 |
---|---|---|---|---|
데이터 전송 | 조직 데이터를 백업하는 중... | 차단 | iOS/iPadOS, Android | |
데이터 전송 | 다른 앱으로 조직 데이터 보내기 | 정책 관리 앱 | iOS/iPadOS, Android | 관리자는 iOS/iPadOS를 사용하여 이 값을 "정책 관리 앱", "OS 공유를 사용하는 정책 관리 앱" 또는 "Open-In/Share 필터링을 사용하는 정책 관리 앱"으로 구성할 수 있습니다. OS 공유가 있는 정책 관리형 앱은 디바이스가 Intune 등록될 때 사용할 수 있습니다. 이 설정을 사용하면 다른 정책 관리 앱으로 데이터를 전송하고 Intune 관리되는 다른 앱으로 파일을 전송할 수 있습니다. Open-In/Share 필터링을 사용하는 정책 관리 앱은 OS 열기/공유 대화 상자를 필터링하여 정책 관리 앱만 표시합니다. 자세한 내용은 iOS 앱 보호 정책 설정을 참조하세요. |
데이터 전송 | 전송 또는 데이터 | 대상 없음 | Windows | |
데이터 전송 | 에서 데이터 받기 | 원본 없음 | Windows | |
데이터 전송 | 제외할 앱 선택 | 기본/skype; 앱 설정; calshow; itms; itmss; itms-apps; itms-appss; itms-services; | iOS/iPadOS | |
데이터 전송 | 조직 데이터 복사본 저장 | 차단 | iOS/iPadOS, Android | |
데이터 전송 | 사용자가 선택한 서비스에 복사본을 저장할 수 있도록 허용 | 비즈니스용 OneDrive, SharePoint Online, 사진 라이브러리 | iOS/iPadOS, Android | |
데이터 전송 | 전자 통신 데이터 전송 | 모든 전화 걸기 앱 | iOS/iPadOS, Android | |
데이터 전송 | 앱 간 잘라내기, 복사 및 붙여넣기 제한 | 붙여넣기를 사용하여 정책 관리 앱 | iOS/iPadOS, Android | |
데이터 전송 | 에 대한 잘라내기, 복사 및 붙여넣기 허용 | 대상 또는 원본 없음 | Windows | |
데이터 전송 | 화면 캡처 및 Google Assistant | 차단 | Android | |
기능 | 다른 앱을 사용한 웹 콘텐츠 전송 제한 | Microsoft Edge | iOS/iPadOS, Android | |
기능 | 조직 데이터 알림 | 조직 데이터 차단 | iOS/iPadOS, Android | 이 설정을 지원하는 앱 목록은 iOS 앱 보호 정책 설정 및 Android 앱 보호 정책 설정을 참조하세요. |
조건부 실행
설정 | 설정 설명 | 값/작업 | 플랫폼 | 참고 |
---|---|---|---|---|
앱 조건 | 사용하지 않는 계정 | 해당/A/액세스 차단 | iOS/iPadOS, Android, Windows | |
디바이스 조건 | 최소 OS 버전 |
형식: Major.Minor.Build 예: 14.8 / 액세스 차단 |
iOS/iPadOS | Microsoft에서는 Microsoft 앱에 대해 지원되는 iOS 버전과 일치하는 최소 iOS 주요 버전을 구성할 것을 권장합니다. Microsoft 앱은 N이 현재 iOS 주 릴리스 버전인 N-1 접근 방식을 지원합니다. 보조 및 빌드 버전 값의 경우, Microsoft에서는 각각의 보안 업데이트를 통해 디바이스를 최신 상태로 유지할 것을 권장합니다. Apple의 최신 권장 사항은 Apple 보안 업데이트를 참조하세요. |
디바이스 조건 | 최소 OS 버전 |
형식: Major.Minor 예: 9.0 / 액세스 차단 |
Android | Microsoft에서는 Microsoft 앱에 대해 지원되는 Android 버전과 일치하는 최소 Android 주 버전을 구성할 것을 권장합니다. Android Enterprise 권장 요구 사항을 준수하는 OEM 및 디바이스는 현재 배송 릴리스 + 1글자 업그레이드를 지원해야 합니다. 현재, Android에서는 지식 근로자에게 Android 9.0 이상을 권장합니다. Android의 최신 권장 사항에 대한 Android Enterprise 권장 요구 사항을 참조하세요. |
디바이스 조건 | 최소 OS 버전 |
형식: 빌드 예: 10.0.22621.2506 / 액세스 차단 |
Windows | Microsoft는 Microsoft 앱에 대해 지원되는 Windows 버전과 일치하도록 최소 Windows 빌드를 구성하는 것이 좋습니다. 현재 Microsoft는 다음을 권장합니다.
|
디바이스 조건 | 최소 패치 버전 |
형식: YYYY-MM-DD 예: 2020-01-01 / 액세스 차단 |
Android | Android 디바이스가 월간 보안 패치를 받을 수 있지만 릴리스는 OEM 및/또는 이동 통신 사업자에 따라 달라집니다. 조직에서는 배포된 Android 디바이스가 이 설정을 구현하기 전에 보안 업데이트를 받을 수 있도록 해야 합니다. 최신 패치 릴리스 는 Android 보안 게시판 을 참조하세요. |
디바이스 조건 | 필요한 SafetyNet 평가 형식 | 하드웨어 지원 키 | Android | 하드웨어 지원 증명은 하드웨어 지원이라는 새로운 평가 유형을 적용하여 기존 Google의 Play 무결성 서비스 검사 향상시켜 소프트웨어 전용 솔루션에서 항상 안정적으로 검색할 수 없는 최신 유형의 루팅 도구 및 메서드에 대한 응답으로 보다 강력한 루트 검색을 제공합니다. 이름에서 알 수 있듯이 하드웨어 지원 증명은 Android 8.1 이상과 함께 설치된 디바이스와 함께 제공되는 하드웨어 기반 구성 요소를 사용합니다. 이전 버전의 Android에서 Android 8.1로 업그레이드된 디바이스에는 하드웨어 지원 증명에 필요한 하드웨어 기반 구성 요소가 거의 없습니다. 이 설정은 Android 8.1이 설치되어 출시되는 디바이스부터 광범위하게 지원되어야 하지만, 이 정책 설정을 광범위하게 사용하려면 먼저 디바이스를 개별적으로 테스트하는 것이 좋습니다. |
디바이스 조건 | 디바이스 잠금 필요 | 중간/차단 액세스 | Android | 이 설정은 Android 디바이스에 최소 암호 요구 사항을 충족하는 디바이스 암호를 갖도록 합니다. |
디바이스 조건 | Samsung Knox 디바이스 증명 | 액세스 차단 | Android | 디바이스가 Samsung의 Knox 하드웨어 기반 디바이스 상태 확인을 충족하지 않는 경우 사용자 계정의 액세스가 차단되도록 Samsung Knox 디바이스 증명 설정을 액세스 차단 으로 구성하는 것이 좋습니다. 이 설정은 Intune 서비스에 대한 모든 Intune MAM 클라이언트 응답이 정상 디바이스에서 전송되었는지 확인합니다. 이 설정은 대상으로 지정된 모든 디바이스에 적용됩니다. 이 설정을 Samsung 디바이스에만 적용하려면 "관리되는 앱" 할당 필터를 사용할 수 있습니다. 할당 필터에 대한 자세한 내용은 Microsoft Intune 앱, 정책 및 프로필을 할당할 때 필터 사용을 참조하세요. |
앱 조건 | 오프라인 유예 기간 | 30/데이터 초기화(일) | iOS/iPadOS, Android, Windows |
참고
Windows 조건부 시작 설정은 상태 검사로 레이블이 지정됩니다.
수준 3 엔터프라이즈 높은 데이터 보호
수준 3은 크고 정교한 보안 조직이 있는 조직 또는 악의적 사용자가 고유하게 대상으로 지정할 특정 사용자 및 그룹의 표준으로 권장되는 데이터 보호 구성입니다. 이러한 조직은 일반적으로 자금이 잘 조달되고 정교한 악의적 사용자의 표적이 되며, 따라서 설명된 추가 제약 조건 및 제어가 장점이 있습니다. 이 구성은 추가 데이터 전송 시나리오를 제한하고, PIN 구성의 복잡성을 증가시키고, 모바일 위협 탐지를 추가하여 수준 2의 구성을 확장합니다.
중요
수준 3에 적용되는 정책 설정에는 수준 2에 권장되는 모든 정책 설정이 포함되지만 수준 2보다 더 많은 컨트롤과 보다 정교한 구성을 구현하기 위해 추가되거나 변경된 아래 설정만 나열됩니다. 이러한 정책 설정은 사용자 또는 애플리케이션에 잠재적으로 상당한 영향을 미칠 수 있으며, 대상 조직이 직면한 위험에 상응하는 수준의 보안을 적용할 수 있습니다.
데이터 보호
설정 | 설정 설명 | 값 | 플랫폼 | 참고 |
---|---|---|---|---|
데이터 전송 | 전자 통신 데이터 전송 | 모든 정책 관리 전화 걸기 앱 | Android | 관리자는 특정 전화 걸 기 앱을 선택하고 Dialer 앱 패키지 ID 및 전화 걸기 앱 이름 값을 제공하여 앱 보호 정책을 지원하지 않는 다이얼러 앱을 사용하도록 이 설정을 구성할 수도 있습니다. |
데이터 전송 | 전자 통신 데이터 전송 | 특정 전화 걸기 앱 | iOS/iPadOS | |
데이터 전송 | 전화 걸기 앱 URL 구성표 | replace_with_dialer_app_url_scheme | iOS/iPadOS | iOS/iPadOS에서 이 값은 사용 중인 사용자 지정 전화 걸기 앱의 URL 구성표로 바꿔야 합니다. URL 체계를 알 수 없는 경우 앱 개발자에게 문의하여 자세한 내용을 확인하세요. URL 체계에 대한 자세한 내용은 앱에 대한 사용자 지정 URL 체계 정의를 참조하세요. |
데이터 전송 | 다른 앱의 데이터 받기 | 정책 관리 앱 | iOS/iPadOS, Android | |
데이터 전송 | 조직 문서에 데이터 열기 | 차단 | iOS/iPadOS, Android | |
데이터 전송 | 사용자가 선택한 서비스에서 데이터를 열 수 있도록 허용 | 비즈니스용 OneDrive, SharePoint, 카메라, 사진 라이브러리 | iOS/iPadOS, Android | 관련 정보는 Android 앱 보호 정책 설정 및 iOS 앱 보호 정책 설정을 참조하세요. |
데이터 전송 | 타사 키보드 | 차단 | iOS/iPadOS | iOS/iPadOS에서는 모든 타사 키보드가 앱 내에서 작동하지 않도록 차단합니다. |
데이터 전송 | 승인된 키보드 | 필수 | Android | |
데이터 전송 | 승인할 키보드 선택 | 키보드 추가/제거 | Android | Android에서는 배포된 Android 디바이스를 기반으로 키보드를 선택해야 합니다. |
기능 | 조직 데이터 인쇄 | 차단 | iOS/iPadOS, Android, Windows |
액세스 요구 사항
설정 | 값 | 플랫폼 |
---|---|---|
단순 PIN | 차단 | iOS/iPadOS, Android |
최소 PIN 길이 선택 | 6 | iOS/iPadOS, Android |
지정 일 수가 지나면 PIN 다시 설정 | 예 | iOS/iPadOS, Android |
일 수 | 365 | iOS/iPadOS, Android |
클래스 3 생체 인식(Android 9.0 이상) | 필수 | Android |
생체 인식 업데이트 후 PIN을 사용하여 생체 인식 재정의 | 필수 | Android |
조건부 실행
설정 | 설정 설명 | 값/작업 | 플랫폼 | 참고 |
---|---|---|---|---|
디바이스 조건 | 디바이스 잠금 필요 | 높음/차단 액세스 | Android | 이 설정은 Android 디바이스에 최소 암호 요구 사항을 충족하는 디바이스 암호를 갖도록 합니다. |
디바이스 조건 | 허용된 최대 디바이스 위협 수준 | 보안/액세스 차단 | Windows | |
디바이스 조건 | 탈옥/루팅된 디바이스 | N/A/데이터 초기화 | iOS/iPadOS, Android | |
디바이스 조건 | 허용되는 최대 위협 수준 | 보안/액세스 차단 | iOS/iPadOS, Android | 등록되지 않은 디바이스는 Mobile Threat Defense를 사용하여 위협을 검사할 수 있습니다. 자세한 내용은 등록되지 않은 디바이스에 대한 Mobile Threat Defense를 참조하세요. 디바이스가 등록된 경우 등록된 디바이스에 대해 Mobile Threat Defense를 배포하기 위해 이 설정을 건너뛸 수 있습니다. 자세한 내용은 등록된 디바이스를 위한 Mobile Threat Defense를 참조하세요. |
디바이스 조건 | 최대 OS 버전 |
형식: Major.Minor 예: 11.0 /액세스 차단 |
Android | Microsoft는 운영 체제의 베타 또는 지원되지 않는 버전이 사용되지 않도록 최대 Android 주 버전을 구성하는 것이 좋습니다. Android의 최신 권장 사항에 대한 Android Enterprise 권장 요구 사항을 참조하세요. |
디바이스 조건 | 최대 OS 버전 |
형식: Major.Minor.Build 예: 15.0 / 액세스 차단 |
iOS/iPadOS | Microsoft는 베타 또는 지원되지 않는 버전의 운영 체제가 사용되지 않도록 최대 iOS/iPadOS 주 버전을 구성하는 것이 좋습니다. Apple의 최신 권장 사항은 Apple 보안 업데이트를 참조하세요. |
디바이스 조건 | 최대 OS 버전 |
형식: Major.Minor 예: 22631. / 액세스 차단 |
Windows | Microsoft는 운영 체제의 베타 또는 지원되지 않는 버전이 사용되지 않도록 최대 Windows 주 버전을 구성하는 것이 좋습니다. |
디바이스 조건 | Samsung Knox 디바이스 증명 | 데이터 초기화 | Android | 디바이스가 Samsung의 Knox 하드웨어 기반 디바이스 상태 확인을 충족하지 않는 경우 조직 데이터가 제거되도록 Samsung Knox 디바이스 증명 설정을 데이터 초기 화로 구성하는 것이 좋습니다. 이 설정은 Intune 서비스에 대한 모든 Intune MAM 클라이언트 응답이 정상 디바이스에서 전송되었는지 확인합니다. 이 설정은 대상으로 지정된 모든 디바이스에 적용됩니다. 이 설정을 Samsung 디바이스에만 적용하려면 "관리되는 앱" 할당 필터를 사용할 수 있습니다. 할당 필터에 대한 자세한 내용은 Microsoft Intune 앱, 정책 및 프로필을 할당할 때 필터 사용을 참조하세요. |
앱 조건 | 오프라인 유예 기간 | 30/액세스 차단(일) | iOS/iPadOS, Android, Windows |
다음 단계
관리자는 Intune PowerShell 스크립트를 사용하여 샘플 Intune App Protection 정책 구성 프레임워크 JSON 템플릿을 가져와 테스트 및 프로덕션 사용을 위해 링 배포 방법론 내에 위의 구성 수준을 통합할 수 있습니다.