다음을 통해 공유

Intune에서 앱 보호 정책 배포 문제 해결

  • 아티클

이 문서는 MICROSOFT Intune에서 APP(앱 보호 정책)을 적용할 때 IT 관리자가 문제를 이해하고 해결하는 데 도움이 됩니다. 상황에 적용되는 섹션의 지침을 따릅니다. 앱 보호 정책 사용자 문제 해결 및 앱 간 데이터 전송 문제 해결과 같은 추가 앱 관련 문제 해결 지침에 대한 가이드를 찾아봅니다.

시작하기 전에

문제 해결을 시작하기 전에 문제를 더 잘 이해하고 해결 방법을 찾는 시간을 줄일 수 있도록 몇 가지 기본 정보를 수집합니다.

다음 백그라운드 정보를 수집합니다.

  • 어떤 정책 설정이 적용되었거나 적용되지 않나요? 정책이 적용되어 있나요?
  • 사용자 환경이란? 사용자가 대상 앱을 설치하고 시작했나요?
  • 문제가 언제 시작되었나요? 앱 보호가 작동했나요?
  • 어떤 플랫폼(Android 또는 iOS)에 문제가 있나요?
  • 영향을 받은 사용자는 몇 명인가요? 모든 사용자 또는 일부 사용자만 영향을 받나요?
  • 영향을 받는 디바이스는 몇 개인가요? 모든 디바이스 또는 일부 디바이스만 영향을 받나요?
  • Intune 앱 보호 정책에는 MDM(모바일 디바이스 관리) 서비스가 필요하지 않지만 Intune 또는 타사 MDM 솔루션을 사용하는 사용자에게 영향을 주나요?
  • 모든 관리되는 앱 또는 특정 앱만 영향을 받나요? 예를 들어 Intune 앱 SDK를 사용하여 빌드된 LOB(기간 업무) 앱은 영향을 받지만 스토어 앱은 영향을 받지 않나요?
  • Intune 이외의 관리 서비스가 디바이스에서 사용되고 있나요?

위의 정보를 사용하여 문제 해결을 시작할 수 있습니다.

성공적인 앱 보호 정책 배포는 설정 및 기타 종속성의 적절한 구성에 의존합니다. Intune APP의 일반적인 문제를 조사하는 데 권장되는 흐름은 다음과 같습니다. 이 문서에서 자세히 검토합니다.

  1. 앱 보호 정책을 배포하기 위한 필수 구성 요소를 충족했는지 확인합니다.
  2. 앱 보호 정책 상태를 확인하고 대상 지정을 확인합니다.
  3. 사용자가 대상으로 지정되었는지 확인합니다.
  4. 관리되는 앱이 대상으로 지정되었는지 확인합니다.
  5. 사용자가 대상 회사 계정을 사용하여 영향을 받는 애플리케이션에 로그인했는지 확인합니다.
  6. 디바이스 데이터를 수집합니다.

1단계: 앱 보호 정책 필수 구성 요소 확인

문제 해결의 첫 번째 단계는 모든 필수 구성 요소가 충족되는지 확인하는 것입니다. MDM 솔루션과 독립적으로 Intune APP을 사용할 수 있지만 다음 필수 조건을 충족해야 합니다.

  • 사용자에게 Intune 라이선스가 할당되어 있어야 합니다.

  • 사용자는 앱 보호 정책의 대상이 되는 보안 그룹에 속해야 합니다. 동일한 앱 보호 정책은 사용되는 특정 앱을 대상으로 해야 합니다.

  • Android 디바이스의 경우 앱 보호 정책을 수신하려면 회사 포털 앱이 필요합니다.

  • Word, Excel 또는 PowerPoint 앱을 사용하는 경우 다음 추가 요구 사항을 충족해야 합니다.

    • 사용자에게 사용자의 Microsoft Entra 계정에 연결된 비즈니스용 Microsoft 365 앱 또는 엔터프라이즈에 대한 라이선스가 있어야 합니다. 구독은 모바일 디바이스의 Office 앱 포함해야 하며 비즈니스용 OneDrive 있는 클라우드 스토리지 계정을 포함할 수 있습니다. Microsoft 365 라이선스는 다음 지침에 따라 Microsoft 365 관리 센터 할당할 수 있습니다.
    • 사용자에게 세분화된 저장 기능을 사용하여 구성된 관리되는 위치가 있어야 합니다. 이 명령은 조직 데이터 애플리케이션 보호 정책 설정의 복사본 저장 아래에 있습니다. 예를 들어 관리되는 위치가 OneDrive경우 사용자의 Word, Excel 또는 PowerPoint 앱에서 OneDrive 앱을 구성해야 합니다.
    • 관리되는 위치가 OneDrive인 경우 앱은 사용자에게 배포된 앱 보호 정책의 대상이 되어야 합니다.

    참고 항목

    Office 모바일 앱은 현재 SharePoint 온-프레미스가 아닌 SharePoint Online만 지원합니다.

  • 온-프레미스 리소스(Microsoft 비즈니스용 Skype 및 Microsoft Exchange Server)와 함께 Intune 앱 보호 정책을 사용하는 경우 비즈니스용 Skype 및 Exchange에 하이브리드 최신 인증을 사용하도록 설정해야 합니다.

2단계: 앱 보호 정책 상태 확인

앱 보호 정책의 상태를 이해하려면 다음 세부 정보를 검토합니다.

  • 영향을 받는 디바이스에서 사용자 체크 인이 있었나요?
  • 문제 시나리오에 대한 애플리케이션은 대상 정책을 통해 관리합니까?
  • 정책 배달 시기가 예상된 동작 내에 있는지 확인합니다. 자세한 내용은 앱 보호 정책 배달 타이밍 이해를 참조하세요.

다음 단계를 사용하여 자세한 정보를 가져옵니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. >모니터>앱 보호 상태를 선택한 다음 할당된 사용자 타일을 선택합니다.
  3. 앱 보고 페이지에서 사용자 선택을 선택하여 사용자 및 그룹 목록을 표시합니다.
  4. 목록에서 영향을 받는 사용자 중 하나를 검색하여 선택한 다음, 사용자 선택을 선택합니다. 앱 보고 페이지의 맨 위에서 사용자가 앱 보호에 대한 라이선스가 있고 Microsoft 365에 대한 라이선스가 있는지 확인할 수 있습니다. 모든 사용자의 디바이스에 대한 앱 상태를 볼 수도 있습니다.
  5. 대상 앱, 디바이스 유형, 정책, 디바이스 체크 인 상태 및 마지막 동기화 시간과 같은 중요한 정보를 기록해 둡니다.

참고 항목

앱 보호 정책은 앱이 작업 컨텍스트에서 사용되는 경우에만 적용됩니다. 예를 들어 사용자가 회사 계정을 사용하여 앱에 액세스하는 경우입니다.

자세한 내용은 Microsoft Intune에서 앱 보호 정책 설정의 유효성을 검사하는 방법을 참조하세요.

3단계: 사용자가 대상으로 지정되었는지 확인

Intune 앱 보호 정책은 사용자를 대상으로 해야 합니다. 사용자 또는 사용자 그룹에 앱 보호 정책을 할당하지 않으면 정책이 적용되지 않습니다.

정책이 대상 사용자에게 적용되는지 확인하려면 다음 단계를 수행합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. >모니터>앱 보호 상태를 선택한 다음, 디바이스 OS 플랫폼에 따라 사용자 상태 타일을 선택합니다. 열리는 앱 보고 창에서 사용자를 검색할 사용자 선택을 선택합니다.
  3. 목록에서 사용자를 선택합니다. 해당 사용자의 세부 정보를 볼 수 있습니다. 새로 대상으로 지정된 사용자가 보고서에 표시되는 데 최대 24시간이 걸릴 수 있습니다.

사용자 그룹에 정책을 할당할 때 사용자가 사용자 그룹에 있는지 확인합니다. 이렇게 하려면 다음 단계를 수행하세요.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. 모든 그룹 그룹을 >선택한 다음 앱 보호 정책 할당에 사용되는 그룹을 검색하여 선택합니다.
  3. 관리 섹션에서 구성원을 선택합니다.
  4. 영향을 받는 사용자가 목록에 없으면 Microsoft Entra 그룹 및 그룹 멤버 자격 규칙을 사용하여 앱 및 리소스 액세스 관리를 검토합니다. 영향을 받는 사용자가 그룹에 포함되어 있는지 확인합니다.
  5. 영향을 받는 사용자가 정책에 대해 제외된 그룹에 있지 않은지 확인합니다.

Important

  • Intune 앱 보호 정책은 디바이스 그룹이 아닌 사용자 그룹에 할당되어야 합니다.
  • 영향을 받는 디바이스에서 Android Enterprise를 사용하는 경우 개인 소유 회사 프로필만 앱 보호 정책을 지원합니다.
  • 영향을 받는 디바이스에서 Apple의 ADE(자동 디바이스 등록)를 사용하는 경우 사용자 선호도가 사용하도록 설정되어 있는지 확인합니다. 사용자 선호도는 ADE에서 사용자 인증이 필요한 모든 앱에 필요합니다. iOS/iPadOS ADE 등록에 대한 자세한 내용은 iOS/iPadOS 디바이스 자동 등록을 참조 하세요.

4단계: 관리되는 앱이 대상으로 지정되었는지 확인

Intune 앱 보호 정책을 구성할 때 대상 앱은 Intune 앱 SDK를 사용해야 합니다. 그렇지 않으면 앱 보호 정책이 제대로 작동하지 않을 수 있습니다.

대상 앱이 Microsoft Intune 보호 앱에 나열되어 있는지 확인합니다. LOB 또는 사용자 지정 앱의 경우 앱이 최신 버전의 Intune 앱 SDK를 사용하는지 확인합니다.

iOS의 경우 각 버전에 이러한 정책이 적용되는 방식과 작동 방식에 영향을 주는 수정 사항이 포함되어 있기 때문에 이 방법이 중요합니다. 자세한 내용은 Intune 앱 SDK iOS 릴리스를 참조하세요. 앱이 정책 브로커 에이전트로 작동하기 때문에 Android 사용자에게 최신 버전의 회사 포털 앱이 설치되어 있어야 합니다.

5단계: 사용자가 대상 회사 계정을 사용하여 영향을 받는 애플리케이션에 로그인했는지 확인

일부 앱은 사용자 로그인 없이 사용할 수 있지만 Intune APP을 사용하여 앱을 성공적으로 관리하려면 사용자가 회사 자격 증명을 사용하여 앱에 로그인해야 합니다. Intune 앱 보호 정책을 사용하려면 사용자의 ID가 앱과 Intune 앱 SDK 간에 일관되어야 합니다. 영향을 받는 사용자가 회사 계정으로 앱에 성공적으로 로그인했는지 확인합니다.

대부분의 시나리오에서 사용자는 UPN(사용자 계정 이름)을 사용하여 계정에 로그인합니다. 그러나 일부 환경(예: 온-프레미스 시나리오)에서는 사용자가 다른 형태의 로그인 자격 증명을 사용할 수 있습니다. 이러한 경우 앱에서 사용되는 UPN이 Microsoft Entra ID의 UPN 개체와 일치하지 않는 것을 확인할 수 있습니다. 이 문제가 발생하면 앱 보호 정책이 예상대로 적용되지 않습니다.

Microsoft의 권장 모범 사례는 UPN을 기본 SMTP 주소와 일치하도록 하는 것입니다. 이 방법을 통해 사용자는 일관된 ID를 사용하여 관리되는 앱, Intune 앱 보호 및 기타 Microsoft Entra 리소스에 로그인할 수 있습니다. 자세한 내용은 Microsoft Entra UserPrincipalName 채우기를 참조 하세요.

이 일관성을 보장하는 유일한 방법은 최신 인증을 사용하는 것입니다. 최신 인증 없이 온-프레미스 구성에서 앱이 작동할 수 있는 시나리오가 있습니다. 그러나 결과는 일관되거나 보장되지 않습니다.

사용자 환경에 대체 로그인 방법이 필요한 경우 대체 로그인 ID, 특히 대체 ID를 사용한 하이브리드 최신 인증 구성을 참조하세요.

6단계: Microsoft Edge를 사용하여 디바이스 데이터 수집

사용자와 협력하여 수행하려는 세부 정보 및 수행하는 단계를 수집합니다. 사용자에게 동작의 스크린샷 또는 비디오 녹화를 수집하도록 요청합니다. 이렇게 하면 수행 중인 명시적 디바이스 작업을 명확히 할 수 있습니다. 그런 다음 디바이스에서 Microsoft Edge를 통해 관리되는 앱 로그를 수집합니다.

iOS 또는 Android 디바이스에 Microsoft Edge가 설치된 사용자는 모든 Microsoft 게시된 앱의 관리 상태를 볼 수 있습니다. 다음 단계를 사용하여 문제 해결에 도움이 되는 로그를 보낼 수 있습니다.

  1. 디바이스에서 iOS 및 Android용 Microsoft Edge를 엽니다.
  2. 주소 표시줄에 about:intunehelp을 입력합니다.
  3. iOS 및 Android용 Microsoft Edge가 문제 해결 모드에서 시작됩니다.

이 화면에서는 디바이스에 대한 두 가지 옵션과 데이터가 표시됩니다.

공유 디바이스 정보를 보여 주는 스크린샷.

앱 목록을 보려면 Intune 앱 상태 보기를 선택합니다. 특정 앱을 선택하면 디바이스에서 현재 활성 상태인 해당 앱과 연결된 APP 설정이 표시됩니다.

앱에 대한 정보를 보여 주는 스크린샷

특정 앱에 대해 표시되는 정보가 앱 버전으로 제한되고 정책 체크 인 타임스탬프가 있는 번들인 경우 디바이스의 해당 앱에 현재 정책이 적용되지 않음을 의미합니다.

시작 옵션을 사용하면 APP 사용 애플리케이션에 대한 로그를 수집할 수 있습니다. 앱 보호 정책을 위해 Microsoft에서 지원 티켓을 여는 경우 가능한 경우 항상 영향을 받는 디바이스에서 이러한 로그를 제공해야 합니다. Android 관련 지침은 업로드 및 전자 메일 로그를 참조 하세요.

로그를 공유하는 옵션을 보여 주는 스크린샷

Intune 진단(APP) 로그에 저장된 설정 목록은 클라이언트 앱 보호 로그 검토를 참조 하세요.

추가 문제 해결 시나리오

APP 문제를 해결할 때 다음과 같은 일반적인 시나리오를 검토합니다. 일반적인 데이터 전송 문제의 시나리오를 검토할 수도 있습니다.

시나리오: 정책 변경 내용이 적용되지 않음

Intune 앱 SDK정기적으로 정책 변경을 확인합니다. 그러나 이 프로세스는 다음과 같은 이유로 인해 지연될 수 있습니다.

  • 앱이 서비스로 체크 인되지 않았습니다.
  • 회사 포털 앱이 디바이스에서 제거되었습니다.

Intune 앱 보호 정책은 사용자 ID를 사용합니다. 따라서 앱에 회사 또는 학교 계정을 사용하는 유효한 로그인과 서비스에 대한 일관된 연결이 필요합니다. 사용자가 앱에 로그인하지 않았거나 회사 포털 앱이 디바이스에서 제거된 경우 정책 업데이트가 적용되지 않습니다.

Important

Intune 앱 SDK선택적 초기화에 대해 30분마다 확인합니다. 그러나 이미 로그인한 사용자의 기존 정책 변경 내용은 최대 8시간 동안 표시되지 않을 수 있습니다. 이 프로세스를 가속화하려면 사용자가 앱에서 로그아웃한 다음 다시 로그인하거나 디바이스를 다시 시작하도록 합니다.

앱 보호 상태를 확인하려면 다음 단계를 수행합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.
  2. >모니터>앱 보호 상태를 선택한 다음 할당된 사용자 타일을 선택합니다.
  3. 앱 보고 페이지에서 사용자 선택을 선택하여 사용자 및 그룹 목록을 엽니다.
  4. 목록에서 영향을 받는 사용자 중 하나를 검색하여 선택한 다음, 사용자 선택을 선택합니다.
  5. 상태 및 마지막 동기화 시간을 포함하여 현재 적용된 정책을 검토합니다.
  6. 상태가 체크 인되지 않았거나 디스플레이에 최근 동기화가 없음을 나타내는 경우 사용자에게 일관된 네트워크 연결이 있는지 확인합니다. Android 사용자의 경우 최신 버전의 회사 포털 앱이 설치되어 있는지 확인합니다.

Intune 앱 보호 정책에는 다중 ID 지원이 포함됩니다. Intune은 앱에 로그인한 회사 또는 학교 계정에만 앱 보호 정책을 적용할 수 있습니다. 그러나 디바이스당 하나의 회사 또는 학교 계정만 지원됩니다.

시나리오: Intune에 등록된 iOS 디바이스에는 추가 구성이 필요합니다.

앱 보호 정책을 만들 때 모든 앱 유형 또는 다음 앱 유형을 대상으로 지정할 수 있습니다.

  • 관리되지 않는 디바이스의 앱
  • Intune 관리 디바이스의 앱
  • Android 개인 소유 회사 프로필의 앱

참고 항목

앱 유형을 지정하려면 대상을 모든 앱 형식으로 아니요로 설정한 다음 앱 유형 목록에서 선택합니다.

iOS Intune 관리 디바이스만 대상으로 지정하는 경우 앱 보호 정책과 함께 다음과 같은 추가 앱 구성 설정을 대상으로 지정해야 합니다.

  • IntuneMAMUPNIntuneMAMOID 는 모든 MDM(Intune 또는 타사 EMM) 관리형 애플리케이션에 대해 구성되어야 합니다. 자세한 내용은 Microsoft Intune 또는 타사 EMM에 대한 사용자 UPN 설정 구성을 참조하세요.
  • IntuneMAMDeviceID 는 모든 타사 및 LOB MDM 관리형 애플리케이션에 대해 구성되어야 합니다.
  • IntuneMAMDeviceID 는 디바이스 ID 토큰으로 구성해야 합니다. 예를 들어 key=IntuneMAMDeviceID, value={{deviceID}}입니다. 자세한 내용은 관리되는 iOS 디바이스에 대한 앱 구성 정책 추가를 참조 하세요.
  • IntuneMAMDeviceID 값만 구성된 경우 Intune APP은 디바이스를 관리되지 않는 것으로 간주합니다.

다음 단계