Microsoft 제로 트러스트 보안 모델을 지원하기 위해 이 문서에서는 Android Enterprise 완전 관리형 모바일 사용자에 대한 디바이스 준수 정책 및 디바이스 제한 정책을 모두 구성하기 위해 Microsoft Intune과 함께 사용할 수 있는 예제 구성을 제공합니다. 이러한 예제에는 제로 트러스트 원칙에 부합하는 디바이스 보안 구성 수준이 포함됩니다.
이러한 예제를 사용하는 경우 보안 팀과 협력하여 위협 환경, 위험 욕구 및 다양한 수준 및 구성이 유용성에 미칠 수 있는 영향을 평가합니다. organization 요구 사항에 맞게 예제를 검토하고 조정한 후 초기 테스트에 대한 링 배포 접근 방식과 프로덕션 사용을 구현합니다.
각 정책 설정에 대한 자세한 내용은 다음을 참조하세요.
- Intune을 사용하여 디바이스를 규격 또는 비준수로 표시하는 Android Enterprise 설정
- Intune을 사용하여 개인 소유 디바이스에서 기능을 허용하거나 제한하는 Android Enterprise 디바이스 설정
완전 관리형 기본 보안(수준 1)
수준 1은 조직이 소유한 모바일 디바이스에 권장되는 최소 보안 구성입니다.
수준 1의 정책은 다음을 통해 적절한 데이터 액세스 수준을 적용하고 사용자에 대한 영향을 최소화합니다.
- 암호 정책 적용
- 최소 OS 시스템 버전 필요
- 특정 디바이스 기능 사용 안 함(예: USB 파일 전송)
다음 섹션의 표에는 이러한 예제에 포함된 설정만 나열되어 있습니다. 테이블에 나열되지 않은 설정은 구성되지 않습니다.
디바이스 준수(수준 1)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 장치 상태 | 무결성 평결 재생 | 기본 무결성 확인 | 이 설정을 사용하려면 디바이스가 Google의 Play 무결성 API의 기본 무결성 검사 전달해야 합니다. 디바이스가 합리적으로 안전한 상태인지 확인합니다. 즉, 디바이스가 루팅되거나 사용자 지정 ROM을 실행하지 않습니다. |
| 디바이스 속성 | 최소 OS 버전 | 형식: Major.Minor 예: 9.0 |
Microsoft에서는 Microsoft 앱에 대해 지원되는 Android 버전과 일치하는 최소 Android 주 버전을 구성할 것을 권장합니다. Android Enterprise 권장 요구 사항을 준수하는 OEM 및 디바이스는 현재 배송 릴리스 + 1글자 업그레이드를 지원해야 합니다. 현재, Android에서는 지식 근로자에게 Android 9.0 이상을 권장합니다. Android의 최신 권장 사항은 Android Enterprise 권장 요구 사항을 참조하세요. |
| 디바이스 속성 | 최소 보안 패치 수준 | 구성되지 않음 | Android 디바이스가 월간 보안 패치를 받을 수 있지만 릴리스는 OEM 및/또는 이동 통신 사업자에 따라 달라집니다. 조직에서는 배포된 Android 디바이스가 이 설정을 구현하기 전에 보안 업데이트를 받을 수 있도록 해야 합니다. 최신 패치 릴리스는 Android 보안 게시판을 참조하세요. |
| 시스템 보안 | 모바일 디바이스의 잠금을 해제하는 데 암호 필요 | 필수 | |
| 시스템 보안 | 필수 암호 유형 | 복합 숫자 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 시스템 보안 | 최소 암호 길이 | 6 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 시스템 보안 | 암호를 요구하기 전까지 최대 비활성 시간(분) | 5 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 시스템 보안 | 디바이스에서 데이터 스토리지 암호화 필요 | 필수 | |
| 시스템 보안 | Intune 앱 런타임 무결성 | 필수 | |
| 비준수에 대한 작업 | 디바이스를 비준수로 표시 | 즉시 | 기본적으로 정책은 디바이스를 비준수로 표시하도록 구성됩니다. 추가 작업을 사용할 수 있습니다. 자세한 내용은 Intune에서 비준수 디바이스에 대한 작업 구성을 참조하세요. |
디바이스 제한(수준 1)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 일반 | 기본 권한 정책(회사 프로필 수준) | 디바이스 기본값 | |
| 일반 | USB 파일 전송 | 차단 | |
| 일반 | 외부 미디어 | 차단 | |
| 일반 | 공장 기본 설정 | 차단 | |
| 일반 | 회사 프로필과 개인 프로필 간 데이터 공유 | 디바이스 기본값 | |
| 시스템 보안 | 앱에서 위협 검색 | 필수 | |
| 디바이스 환경 | 등록 프로필 유형 | 완전 관리형 | |
| 디바이스 환경 | 디바이스 환경 유형 | 구성되지 않음 | 조직은 완전 관리형 디바이스에서 일관된 홈 화면 환경을 보장하기 위해 Microsoft Launcher를 구현하도록 선택할 수 있습니다. 자세한 내용은 Intune을 사용하여 Android Enterprise 완전 관리형 디바이스에서 Microsoft Launcher를 설정하는 방법을 참조하세요. |
| 디바이스 암호 | 필수 암호 유형 | 복합 숫자 | |
| 디바이스 암호 | 최소 암호 길이 | 6 | |
| 디바이스 암호 | 디바이스를 초기화하기 전까지 허용되는 로그인 반복 오류 횟수 | 10 | |
| 전원 설정 | 잠금 화면 시간(회사 프로필 수준) | 5분 | |
| 사용자 및 계정 | 사용자가 자격 증명을 구성할 수 있습니다(회사 프로필 수준) | 차단 | |
| 응용 프로그램 | 앱 자동 업데이트(회사 프로필 수준) | Wi-Fi 전용 | 조직에서는 셀룰러 네트워크를 통해 앱 업데이트가 발생할 경우 데이터 요금제 요금이 발생할 수 있으므로 필요에 따라 이 설정을 조정해야 합니다. |
| 응용 프로그램 | Google Play 스토어의 모든 앱에 액세스 허용 | 구성되지 않음 | 기본적으로 사용자는 완전 관리형 디바이스에 Google Play 스토어에서 개인 앱을 설치할 수 없습니다. 조직이 완전 관리형 디바이스를 개인용으로 사용하는 것을 허용하고 싶다면 이 설정을 변경하는 것이 좋습니다. |
| 회사 프로필 암호 | 필수 암호 유형 | 복합 숫자 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 회사 프로필 암호 | 최소 암호 길이 | 6 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 회사 프로필 암호 | 디바이스를 초기화하기 전까지 허용되는 로그인 반복 오류 횟수 | 10 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
완전 관리형 향상된 보안(수준 2)
수준 2는 사용자가 더 중요한 정보에 액세스하는 회사 소유 디바이스에 권장되는 구성입니다. 이러한 디바이스는 오늘날 엔터프라이즈의 자연스러운 대상입니다. 이러한 설정은 고도로 숙련된 많은 보안 직원을 가정하지 않습니다. 따라서 대부분의 엔터프라이즈 조직에서 액세스할 수 있어야 합니다. 이 구성은 더 강력한 암호 정책을 제정하고 사용자/계정 기능을 사용하지 않도록 설정하여 수준 1의 구성을 확장합니다.
수준 2 설정은 수준 1에 권장되는 모든 정책 설정을 포함합니다. 그러나 다음 섹션에 나열된 설정에는 추가되거나 변경된 설정만 포함됩니다. 이러한 설정은 사용자 또는 애플리케이션에 약간 더 큰 영향을 미칠 수 있습니다. 이러한 설정은 모바일 디바이스에서 중요한 정보에 액세스하는 사용자가 직면하는 위험에 보다 적합한 수준의 보안을 적용합니다.
디바이스 준수(수준 2)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 시스템 보안 | 암호가 만료되기 전까지의 기간(일) | 365 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 시스템 보안 | 사용자가 암호를 다시 사용할 수 있게 되기 전까지 필요한 암호 수 | 5 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 장치 상태 | 무결성 평결 재생 | 디바이스 무결성 & 기본 무결성 확인 | 디바이스가 Play의 기본 무결성 검사 및 디바이스 무결성 검사 전달하도록 요구합니다. |
| 장치 상태 | 하드웨어 기반 보안 기능을 사용하여 강력한 무결성 확인 | 강력한 무결성 확인 | 디바이스가 Play의 강력한 무결성 검사 전달하도록 요구합니다. 모든 디바이스가 이러한 유형의 검사 지원하지는 않습니다. Intune은 이러한 디바이스를 비준수로 표시합니다. |
디바이스 제한(수준 2)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 일반 | 초기화 보호 메일 | Google 계정 이메일 주소 | |
| 일반 | 이메일 주소 목록(Google 계정 이메일 주소 옵션만) | example@gmail.com | 이 정책을 수동으로 업데이트하여 디바이스를 초기화한 후 디바이스 잠금을 해제할 수 있는 디바이스 관리자의 Google 전자 메일 주소를 지정합니다. |
| 디바이스 암호 | 암호가 만료되기 전까지의 기간(일) | 365 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 디바이스 암호 | 사용자가 암호를 다시 사용할 수 있게 되기 전까지 필요한 암호 수 | 5 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
| 디바이스 암호 | 디바이스를 초기화하기 전까지 허용되는 로그인 반복 오류 횟수 | 5 | |
| 사용자 및 계정 | 새 사용자 추가 | 차단 | |
| 사용자 및 계정 | 사용자 제거 | 차단 | |
| 사용자 및 계정 | 개인 Google 계정 | 차단 | |
| 회사 프로필 암호 | 사용자가 암호를 다시 사용할 수 있게 되기 전까지 필요한 암호 수 | 5 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |
완전 관리형 높은 보안(수준 3)
수준 3은 다음 두 가지 경우에 모두 권장되는 구성입니다.
- 크고 정교한 보안 조직이 있는 조직.
- 악의적 사용자가 고유하게 대상으로 하는 특정 사용자 및 그룹.
이러한 조직은 일반적으로 자금이 풍부하고 정교한 악의적 사용자의 표적이 됩니다.
이 구성은 다음을 통해 수준 2를 확장합니다.
- 가장 안전한 엔드포인트용 Microsoft Defender 또는 모바일 위협 방어 수준을 적용하여 디바이스가 규정을 준수하는지 확인합니다.
- 최소 운영 체제 버전 증가.
- 추가 디바이스 제한 적용(예: 잠금 화면에서 수정되지 않은 알림 사용 안 됨)
- 앱이 항상 최신 상태여야 합니다.
수준 3 설정에는 수준 2에 권장되는 모든 정책 설정이 포함됩니다. 그러나 다음 섹션에 나열된 설정에는 추가되거나 변경된 설정만 포함됩니다. 이러한 설정은 사용자 또는 애플리케이션에 상당한 영향을 미칠 수 있습니다. 이러한 설정은 대상이 된 조직이 직면하는 위험에 보다 적합한 수준의 보안을 적용합니다.
디바이스 준수(수준 3)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 엔드포인트용 Microsoft Defender | 디바이스를 머신 위험 점수 이하로 유지 | 지우기 | 이 설정에는 엔드포인트용 Microsoft Defender가 필요합니다. 자세한 내용은 Intune에서 조건부 액세스로 엔드포인트용 Microsoft Defender에 대한 규정 준수 적용을 참조하세요. 고객은 엔드포인트용 Microsoft Defender 또는 모바일 위협 방어 솔루션을 구현하는 것을 고려해야 합니다. 둘 다 배포할 필요는 없습니다. |
| 장치 상태 | 디바이스를 디바이스 위협 수준 이하로 유지 | 보안됨 | 이 설정에는 Mobile Threat Defense 제품이 필요합니다. 자세한 내용은 등록된 디바이스를 위한 Mobile Threat Defense를 참조하세요. 고객은 엔드포인트용 Microsoft Defender 또는 모바일 위협 방어 솔루션을 구현하는 것을 고려해야 합니다. 둘 다 배포할 필요는 없습니다. |
| 디바이스 속성 | 최소 OS 버전 | 형식: Major.Minor 예: 11.0 |
Microsoft에서는 Microsoft 앱에 대해 지원되는 Android 버전과 일치하는 최소 Android 주 버전을 구성할 것을 권장합니다. Android Enterprise 권장 요구 사항을 준수하는 OEM 및 디바이스는 현재 배송 릴리스 + 1글자 업그레이드를 지원해야 합니다. 현재, Android에서는 지식 근로자에게 Android 9.0 이상을 권장합니다. Android의 최신 권장 사항은 Android Enterprise 권장 요구 사항을 참조하세요. |
디바이스 제한(수준 3)
| 섹션 | 설정 | 값 | 참고 |
|---|---|---|---|
| 일반 | 날짜 및 시간 변경 | 차단 | |
| 일반 | 핫스팟에 대한 테더링 및 액세스 | 차단 | |
| 일반 | NFC를 사용하는 빔 데이터(회사 프로필 수준) | 차단 | |
| 일반 | 회사 연락처 검색 및 개인 프로필에 회사 연락처 발신자 ID 표시 | 차단 | |
| 디바이스 암호 | 사용할 수 없는 잠금 화면 기능 | - 수정되지 않은 알림 - 트러스트 에이전트(회사 프로필 수준) |
|
| 응용 프로그램 | 앱 자동 업데이트(회사 프로필 수준) | 항상 | 조직에서는 셀룰러 네트워크를 통해 앱 업데이트가 발생할 경우 데이터 요금제 요금이 발생할 수 있으므로 필요에 따라 이 설정을 조정해야 합니다. |
| 회사 프로필 암호 | 디바이스를 초기화하기 전까지 허용되는 로그인 반복 오류 횟수 | 5 | 조직은 암호 정책과 일치하도록 이 설정을 업데이트해야 할 수 있습니다. |