Microsoft Intune 및 Microsoft Entra 조건부 액세스를 사용하여 Windows 앱에 대한 디바이스 보안 준수 필요

Microsoft Intune 및 Microsoft Entra 조건부 액세스를 조합하여 사용자의 디바이스가 Azure Virtual Desktop, Windows 365 및 Microsoft Dev Box에 연결하기 전에 특정 보안 요구 사항을 충족하도록 요구할 수 있습니다. 이 방법을 사용하면 다음 시나리오에서 Windows 앱에 대한 보안 요구 사항을 적용할 수 있습니다.

디바이스 플랫폼	Intune 디바이스 관리
iOS/iPadOS	관리되거나 관리되지 않음
Android android android	관리되거나 관리되지 않음
웹 브라우저(Windows의 Microsoft Edge만 해당)	관리되지 않는 경우에만

Chrome OS에 대한 지원은 포함하지 않습니다.

관리되는 디바이스 및 관리되지 않는 디바이스에서 앱 보호 정책을 사용하는 방법에 대한 자세한 내용은 디바이스 관리 상태에 따라 대상 앱 보호 정책을 참조하세요.

적용할 수 있는 정책 설정 중 일부에는 PIN, 특정 운영 체제 버전 요구, 타사 키보드 차단, 로컬 클라이언트 디바이스의 다른 앱 간 잘라내기, 복사 및 붙여넣기 작업 제한 등이 있습니다. 사용 가능한 설정의 전체 목록은 iOS 앱 보호 정책 설정의 조건부 시작 및 Android 앱 보호 정책 설정의 조건부 시작을 참조하세요.

보안 요구 사항을 설정하면 iOS/iPadOS 및 Android 디바이스에서 카메라, 마이크, 스토리지 및 클립보드와 같은 로컬 리소스가 원격 세션으로 리디렉션되는지 여부를 관리할 수도 있습니다. 로컬 디바이스 보안 준수를 요구하는 것은 로컬 디바이스 리디렉션 설정을 관리하기 위한 필수 구성 요소입니다. 로컬 디바이스 리디렉션 설정을 관리하는 방법에 대한 자세한 내용은 Microsoft Intune을 사용하여 로컬 디바이스 리디렉션 설정 관리를 참조하세요.

개략적으로 구성해야 할 두 가지 영역이 있습니다.

Intune 앱 보호 정책: 애플리케이션 및 로컬 클라이언트 디바이스가 충족해야 하는 보안 요구 사항을 지정하는 데 사용됩니다. 필터를 사용하여 특정 조건에 따라 사용자를 대상으로 지정할 수 있습니다.
조건부 액세스 정책: 앱 보호 정책에 설정된 조건이 충족되는 경우에만 Azure Virtual Desktop 및 Windows 365에 대한 액세스를 제어하는 데 사용됩니다.

필수 조건

Intune 및 조건부 액세스를 사용하여 로컬 클라이언트 디바이스 보안 준수를 요구하려면 다음이 필요합니다.

세션 호스트 또는 클라우드 PC가 있는 기존 호스트 풀.
정책을 적용할 사용자를 포함하는 Microsoft Entra ID 보안 그룹이 하나 이상 있습니다.
관리 디바이스의 경우에만 Intune에 사용하려는 다음 앱을 각각 추가해야 합니다.
- iOS/iPadOS의 Windows 앱은 Microsoft Intune에 iOS 스토어 앱 추가를 참조하세요.
- Windows의 Microsoft Edge는 Microsoft Intune에 Windows 10/11용 Microsoft Edge 추가를 참조하세요.
다음 버전의 Windows 앱 중 하나를 실행하거나 Microsoft Edge에서 Windows 앱을 사용하는 로컬 클라이언트 디바이스:
- Windows 앱:
  - iOS/iPadOS: 11.1.1 이상.
  - Android 1.0.0.161 이상.
- Windows의 Microsoft Edge: 134.0.3124.51 이상.
또한 로컬 클라이언트 디바이스에서 최신 버전의 다음이 필요합니다.
- iOS/iPadOS: Microsoft Authenticator 앱
- Android: 개인 디바이스용 Windows 앱과 동일한 프로필에 설치된 회사 포털 앱입니다. 두 앱 모두 각각 다른 프로필에 있는 것이 아니라, 동일하게 개인 프로필 또는 업무 프로필 중 하나에 있어야 합니다.
앱 보호 정책 및 조건부 액세스 정책을 구성하기 위한 더 많은 Intune 필수 구성 요소가 있습니다. 자세한 내용은 다음을 참조하세요.
- 앱 보호 정책을 만들고 할당하는 방법입니다.
- Intune에서 앱 기반 조건부 액세스 정책 사용.

필터 만들기

필터를 만들면 필터에 설정된 조건이 일치하는 경우에만 정책 설정을 적용하여 정책의 할당 범위를 좁힐 수 있습니다. Windows 앱을 사용하면 다음 필터를 사용할 수 있습니다.

iOS/iPadOS:
- 관리되지 않는 및 관리되는 디바이스에 대한 관리되는 앱 필터를 만듭니다.
- 관리되는 디바이스에 대한 관리되는 디바이스 필터를 만듭니다.
로봇:
- 관리되지 않는 및 관리되는 디바이스에 대한 관리되는 앱 필터를 만듭니다.
Windows: Windows의 Microsoft Edge에는 필터를 적용할 수 없습니다.

필터를 사용하여 정책의 할당 범위를 좁힐 수 있습니다. 필터 만들기는 선택 사항입니다. 필터를 구성하지 않으면 관리되는 디바이스에 있든 관리되지 않는 디바이스에 있든 관계없이 동일한 디바이스 보안 준수 및 디바이스 리디렉션 설정이 사용자에게 적용됩니다. 필터에 지정하는 내용은 요구 사항에 따라 다릅니다.

필터 및 필터를 만드는 방법에 대해 알아보려면 Microsoft Intune에서 앱, 정책 및 프로필을 할당할 때 필터 사용 및 관리 앱 필터 속성을 참조하세요.

앱 보호 정책 만들기

앱 보호 정책을 사용하면 앱과 디바이스가 데이터에 액세스하고 공유하는 방법을 제어할 수 있습니다. Windows에서 iOS/iPadOS, Android 및 Microsoft Edge에 대한 별도의 앱 보호 정책을 만들어야 합니다. 관리되는 디바이스와 관리되지 않는 디바이스를 기반으로 정책 대상 지정을 구성할 수 없으므로 동일한 앱 보호 정책에서 iOS/iPadOS와 Android를 모두 구성하지 마세요.

관련 탭을 선택합니다.

앱 보호 정책을 만들고 적용하려면 앱 보호 정책을 만들고 할당하는 방법 의 단계를 수행하고 다음 설정을 사용합니다.

iOS/iPadOS에 대한 앱 보호 정책을 만듭니다.
앱 탭에서 공용 앱 선택, Windows 앱 검색 및 선택, 선택 선택

데이터 보호 탭에서 다음 설정만 Windows 앱과 관련이 있습니다. Windows 앱이 앱의 데이터가 아닌 세션 호스트와 상호 작용하기 때문에 다른 설정은 적용되지 않습니다. 모바일 디바이스에서 승인되지 않은 키보드는 키 입력 로깅 및 도난의 원인이 됩니다.

다음과 같은 설정을 구성할 수 있습니다.

매개 변수	값/설명
데이터 전송
다른 앱으로 조직 데이터 보내기	화면 캡처 보호를 사용하도록 설정하려면 없음 으로 설정합니다. Azure Virtual Desktop의 화면 캡처 보호에 대한 자세한 내용은 Azure Virtual Desktop에서 화면 캡처 보호 사용을 참조하세요.
다른 앱 간 잘라내기, 복사, 붙여넣기 제한	Windows 앱과 로컬 디바이스 간의 클립보드 리디렉션을 사용하지 않도록 설정하려면 차단 됨으로 설정합니다. 앱 구성 정책에서 클립보드 리디렉션을 사용하지 않도록 설정하는 데 사용합니다.
타사 키보드	타사 키보드를 차단하도록 차단 됨으로 설정합니다.

조건부 시작 탭에서 다음 조건을 추가하는 것이 좋습니다.

조건	조건 유형	가치	조치
최소 앱 버전	앱 조건	요구 사항에 따라. iOS/iPadOS에서 Windows 앱의 버전 번호 입력	액세스 차단
최소 OS 버전	디바이스 조건	요구 사항에 따라.	액세스 차단
기본 MTD 서비스	디바이스 조건	요구 사항에 따라. MTD 커넥터를 설정해야 합니다. 엔드포인트용 Microsoft Defender의 경우 Intune에서 엔드포인트용 Microsoft Defender를 구성합니다.	액세스 차단
허용된 최대 디바이스 위협 수준	디바이스 조건	보안됨	액세스 차단

사용 가능한 설정에 대한 자세한 내용은 iOS 앱 보호 정책 설정의 조건부 시작을 참조하세요.

할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

앱 보호 정책을 만들고 적용하려면 앱 보호 정책을 만들고 할당하는 방법 의 단계를 수행하고 다음 설정을 사용합니다.

Android용 앱 보호 정책을 만듭니다.
앱 탭에서 공용 앱 선택, Windows 앱 검색 및 선택, 선택 선택

다음과 같은 설정을 구성할 수 있습니다.

매개 변수	값/설명
데이터 전송
다른 앱 간 잘라내기, 복사, 붙여넣기 제한	Windows 앱과 로컬 디바이스 간의 클립보드 리디렉션을 사용하지 않도록 설정하려면 차단 됨으로 설정합니다. 앱 구성 정책에서 클립보드 리디렉션을 사용하지 않도록 설정하는 데 사용합니다.
화면 캡처 및 Google Assistant	차단 으로 설정 하여 화면 캡처 보호 및 Google Assistant를 차단합니다. Azure Virtual Desktop의 화면 캡처 보호에 대한 자세한 내용은 Azure Virtual Desktop에서 화면 캡처 보호 사용을 참조하세요.
승인된 키보드	목록에서 승인하거나 사용자 지정 항목을 추가할 키보드를 설정합니다.

조건부 시작 탭에서 다음 조건을 추가하는 것이 좋습니다.

조건	조건 유형	가치	조치
최소 앱 버전	앱 조건	요구 사항에 따라. Android에서 Windows 앱의 버전 번호를 입력합니다.	액세스 차단
최소 OS 버전	디바이스 조건	요구 사항에 따라.	액세스 차단
기본 MTD 서비스	디바이스 조건	요구 사항에 따라. MTD 커넥터를 설정해야 합니다. 엔드포인트용 Microsoft Defender의 경우 Intune에서 엔드포인트용 Microsoft Defender를 구성합니다.	액세스 차단
허용된 최대 디바이스 위협 수준	디바이스 조건	보안됨	액세스 차단

사용 가능한 설정에 대한 자세한 내용은 Android 앱 보호 정책 설정의 조건부 시작을 참조하세요.

할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

Windows에서 Microsoft Edge에 대한 앱 보호 정책을 만들고 적용하려면 다음을 수행합니다.

Microsoft Intune 관리 센터에 로그인하세요.
앱을 선택한 다음, 앱 관리에서 보호를 선택합니다.
만들기를 선택한 다음, Windows를 선택합니다. 정책 만들기 창이 표시됩니다.
기본 탭에서 다음 작업을 완료합니다.

매개 변수 값/설명

이름 이 앱 보호 정책의 이름을 입력합니다.

설명 필요에 따라 설명을 입력합니다.

이 탭을 완료한 후 다음을 선택합니다.
앱 탭에서 앱 선택을 선택합니다. 열리는 창에서 Microsoft Edge를 검색하여 선택한 다음, 선택을 선택합니다. 선택한 앱 목록에 Microsoft Edge가 나열되면 다음을 선택합니다.

매개 변수	값/설명
이름	이 앱 보호 정책의 이름을 입력합니다.
설명	필요에 따라 설명을 입력합니다.

데이터 보호 탭에서 다음 설정을 구성할 수 있습니다.

매개 변수	값/설명
데이터 전송
에서 데이터 받기	Windows 앱에서 드라이브 리디렉션을 사용하지 않도록 설정하려면 원본 없음 으로 설정합니다. 조직 데이터 보내기도 구성해야 합니다.
조직 데이터를 다음으로 보내기	Windows 앱으로의 드라이브 리디렉션을 사용하지 않도록 설정하려면 대상 없음 으로 설정합니다. 데이터 수신 출처도 구성해야 합니다.
자르기, 복사, 붙여넣기를 허용합니다.	Windows 앱과 로컬 디바이스 간의 클립보드 리디렉션을 사용하지 않도록 설정하려면 대상 또는 원본 없음 으로 설정합니다.
기능
조직 데이터 인쇄	Windows 앱에서 인쇄할 수 없도록 차단 으로 설정합니다.

비고

이 시나리오는 기본적으로 설치된 Windows 앱 버전과는 다른 앱 보호 정책을 사용하여 Microsoft Edge를 사용하여 웹 브라우저의 Windows 앱을 대상으로 합니다.

드라이브 리디렉션 및 블록 인쇄를 허용할 수 없습니다. 웹 기반 원격 세션에서 인쇄하려면 데이터 전송 설정이 사용됩니다. 다른 방법을 사용하여 로컬 디바이스 대신 Azure Virtual Desktop 호스트 풀 설정 또는 세션 호스트 또는 클라우드 PC 구성과 같은 인쇄를 차단할 수 있습니다. 또는 기본적으로 설치된 Windows 앱 버전 중 하나를 사용합니다. 자세한 내용은 원격 데스크톱 프로토콜을 통해 프린터 리디렉션 구성을 참조하세요.
드라이브 리디렉션을 차단하고 인쇄를 허용할 수 있습니다.

상태 검사 탭에서 다음 조건을 추가하는 것이 좋습니다.

조건	조건 유형	가치	조치
최소 앱 버전	앱 조건	요구 사항에 따라. 지원되는 가장 빠른 버전으로 134.0.3124.51을 사용하여 Microsoft Edge의 버전 번호를 입력합니다.	액세스 차단
최소 OS 버전	디바이스 조건	요구 사항에 따라. Windows용 빌드 번호를 다음 형식 중 하나로 입력합니다( 예`major.minormajor.minor.build`: `major.minor.build.revision`10.0.26100.3476). Windows 릴리스 상태에서 Windows 빌드 번호를 찾고 각 운영 체제에 대한 릴리스 정보 링크를 선택할 수 있습니다.	액세스 차단
허용된 최대 디바이스 위협 수준	디바이스 조건	보안됨	액세스 차단

사용 가능한 설정에 대한 자세한 내용은 Windows용 앱 보호 정책 설정에서 상태 검사를 참조하세요.

할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.

조건부 액세스 정책 만들기

조건부 액세스 정책을 사용하면 사용자 연결 및 사용 중인 디바이스의 특정 기준에 따라 Azure Virtual Desktop, Windows 365 및 Microsoft Dev Box에 대한 액세스를 제어할 수 있습니다. 요구 사항에 따라 세분화된 시나리오를 달성하기 위해 여러 조건부 액세스 정책을 만드는 것이 좋습니다. 몇 가지 예제 정책은 다음 섹션에 있습니다.

중요합니다

사용자가 사용할 수 있도록 하려는 Windows 앱의 클라우드 서비스, 디바이스 및 버전 범위를 신중하게 고려합니다. 이러한 예제 조건부 액세스 정책은 모든 시나리오를 다루지 않으며 실수로 액세스를 차단하지 않도록 주의해야 합니다. 정책을 만들고 요구 사항에 따라 설정을 조정해야 합니다.

조건부 액세스 정책을 만들고 적용하려면 Intune을 사용하여 앱 기반 조건부 액세스 정책 설정 의 단계를 수행하고 다음 예제의 정보 및 설정을 사용합니다.

예제 1: Windows 앱에 앱 보호 정책이 적용되는 경우에만 액세스 허용

이 예제에서는 Windows 앱에 앱 보호 정책이 적용되는 경우에만 액세스를 허용합니다.

할당에서, 사용자 또는 워크로드 ID 아래에 있는 0명의 사용자 또는 워크로드 ID 선택됨을 선택한 다음, 정책을 적용할 사용자가 포함된 보안 그룹을 포함합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다.

대상 리소스에 정책을 적용하려면 리소스를 선택하고, 포함의 경우 리소스 선택을 선택합니다. 다음 리소스를 검색하여 선택합니다. 테넌트에 관련 서비스를 등록한 경우에만 이러한 리소스가 있습니다.

리소스 이름	애플리케이션 ID	비고
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	대신 Windows Virtual Desktop 이라고 할 수 있습니다. 애플리케이션 ID로 확인합니다.
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box에도 적용됩니다.
Windows 클라우드 로그인	270efc09-cd0d-444b-a71f-39af4910ec45	다른 서비스 중 하나가 등록되면 사용할 수 있습니다.

조건의 경우:
- 디바이스 플랫폼을 선택하고 구성을 예로 설정하고 나서, 포함 아래에서 디바이스 플랫폼 선택을 선택하고iOS 및 Android를 체크합니다.
- 클라이언트 앱을 선택하고 구성하려면 [예]를 선택한 다음, 브라우저 및 모바일 앱 및 데스크톱 클라이언트를 선택합니다.
액세스 제어에서 액세스 권한 부여 아래의 선택된 컨트롤 0개를 선택한 후, 앱 보호 정책 필요 확인란을 체크하고, 선택한 모든 컨트롤 필요의 라디오 버튼을 선택합니다.
정책 사용을 켜기로 설정합니다.

예제 2: Windows 디바이스에 대한 앱 보호 정책 필요

이 예제에서는 관리되지 않는 개인 Windows 디바이스가 Microsoft Edge를 사용하여 웹 브라우저에서만 Windows 앱을 사용하여 원격 세션에 액세스하도록 제한합니다. 이 시나리오에 대한 자세한 내용은 Windows 디바이스에 대한 앱 보호 정책 필요를 참조하세요.

할당에서, 사용자 또는 워크로드 ID 아래에 있는 0명의 사용자 또는 워크로드 ID 선택됨을 선택한 다음, 정책을 적용할 사용자가 포함된 보안 그룹을 포함합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다.

리소스 이름	애플리케이션 ID	비고
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	대신 Windows Virtual Desktop 이라고 할 수 있습니다. 애플리케이션 ID로 확인합니다.
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	Microsoft Dev Box에도 적용됩니다.
Windows 클라우드 로그인	270efc09-cd0d-444b-a71f-39af4910ec45	다른 서비스 중 하나가 등록되면 사용할 수 있습니다.

조건의 경우:
- 디바이스 플랫폼을 선택한 후에 구성에서 예를 선택하고, 포함에서 디바이스 플랫폼 선택을 선택하고 Windows를 확인합니다.
- 클라이언트 앱을 선택하고 구성하려면 [예]를 선택한 다음, 브라우저를 선택합니다.
Access 컨트롤의 경우 액세스 권한 부여를 선택한 다음 앱 보호 정책 필요 확인란을 선택하고 선택한 컨트롤 중 하나에 대한 라디오 단추를 선택합니다.
정책 사용을 켜기로 설정합니다.

구성 확인

개인 디바이스에서 디바이스 보안 준수를 요구하도록 Intune 및 조건부 액세스를 구성했으므로 이제 원격 세션에 연결하여 구성을 확인할 수 있습니다. 테스트해야 하는 것은 등록된 디바이스 또는 등록되지 않은 디바이스에 적용할 정책을 구성했는지 여부, 플랫폼 및 설정한 데이터 보호 설정에 따라 달라집니다. 수행할 수 있는 작업만 예상한 것과 일치하게 수행할 수 있는지 확인합니다.

Microsoft Intune을 사용하여 로컬 디바이스 리디렉션 설정 관리

피드백

이 페이지가 도움이 되었나요?

Last updated on 2025-04-16