카메라, 마이크, 스토리지 및 클립보드와 같은 로컬 리소스가 Azure Virtual Desktop, Windows 365 및 Microsoft Dev Box의 원격 세션으로 리디렉션되는지 여부를 관리할 수 있습니다. 이 작업을 수행하려면 로컬 디바이스 보안 준수를 요구하는 것이 로컬 디바이스 리디렉션 설정을 관리하기 위한 필수 구성 요소입니다. 자세한 내용은 Microsoft Intune 및 Microsoft Entra 조건부 액세스를 통한 로컬 클라이언트 디바이스 보안 준수 요구 사항을 참조하세요.
개요적으로, 클라이언트 디바이스에서 Windows 앱에 대한 리디렉션 설정을 Intune 앱 구성 정책을 사용하여 관리합니다. 이러한 정책은 로컬 클라이언트 디바이스 보안 준수를 요구할 때 이미 구성된 Intune 앱 보호정책 및 조건부 액세스 정책과 함께 작동합니다. 필터를 사용하여 특정 조건에 따라 사용자 및 디바이스를 대상으로 지정할 수 있습니다.
로컬 디바이스 보안 준수 요구와 결합하면 다음 시나리오를 달성할 수 있습니다.
지정한 기준에 따라 보다 세부적인 수준에서 리디렉션 설정을 적용합니다. 예를 들어, 사용자가 속한 보안 그룹, 사용 중인 디바이스의 운영 체제 또는 사용자가 회사 디바이스와 개인 디바이스를 모두 사용하여 원격 세션에 액세스하는지 여부에 따라 다르게 설정할 수 있습니다.
호스트 풀 또는 세션 호스트에서 잘못 구성된 리디렉션에 대한 추가 보호 계층을 제공합니다.
Windows 앱 및 원격 데스크톱 앱에 추가 보안 설정을 적용합니다.(예: PIN 필요, 타사 키보드 차단, 클라이언트 디바이스의 다른 앱 간에 잘라내기, 복사 및 붙여넣기 작업 제한)
클라이언트 디바이스의 리디렉션 설정이 Azure Virtual Desktop 또는 Windows 365용 클라우드 PC의 호스트 풀 RDP 속성 및 세션 호스트와 충돌하는 경우 둘 사이의 더 제한적인 설정이 적용됩니다. 예를 들어, 세션 호스트가 드라이브 리디렉션을 허용하지 않고 클라이언트 디바이스가 드라이브 리디렉션을 허용하는 경우 드라이브 리디렉션이 허용되지 않습니다. 세션 호스트와 클라이언트 디바이스의 리디렉션 설정이 모두 동일한 경우 리디렉션 동작이 일관됩니다.
중요합니다
클라이언트 디바이스에서 리디렉션 설정을 구성하는 것은 요구 사항에 따라 호스트 풀 및 세션 호스트를 올바르게 구성하는 것을 대체할 수 없습니다. Microsoft Intune을 사용하여 Windows 앱 및 원격 데스크톱 앱을 구성하는 것은 더 높은 수준의 보안이 필요한 워크로드에 적합하지 않을 수 있습니다.
보안 요구 사항이 더 높은 워크로드는 호스트 풀 또는 세션 호스트에서 계속해서 리디렉션을 설정해야 합니다. 여기서 호스트 풀의 모든 사용자는 동일한 리디렉션 구성을 갖게 됩니다. DLP(데이터 손실 보호) 솔루션이 권장되며, 데이터 손실 기회를 최소화하려면 가능하면 세션 호스트에서 리디렉션을 사용하지 않도록 설정해야 합니다.
예제 시나리오
다음은 그룹의 사용자가 Windows 회사 디바이스에서 연결할 때 드라이브 리디렉션이 허용되지만 iOS/iPadOS 또는 Android 회사 디바이스에서 드라이브 리디렉션이 허용되지 않는 예제 시나리오입니다.
필터와 정책에 지정하는 값은 요구 사항에 따라 다르므로 조직에 가장 적합한 값을 결정해야 합니다.
이 시나리오를 달성하려면 다음을 수행합니다.
세션 호스트 및 호스트 풀 설정, 클라우드 PC 또는 개발 상자가 드라이브 리디렉션을 허용하도록 구성되어 있는지 확인합니다.
다음 두 개의 필터를 만듭니다.
- 관리되는 iOS/iPadOS 디바이스를 위한 앱입니다.
- 관리되는 Android 디바이스용 관리형 앱용 1개.
iOS/iPadOS 및 Android에 대해 각각 하나씩 두 개의 앱 보호 정책을 만듭니다.
세 가지 앱 구성 정책을 만듭니다.
- iOS/iPadOS:
- 등록된 사용자 계정 및 디바이스 ID를 식별하는 하나의 관리 디바이스 정책입니다.
- 드라이브 리디렉션을 사용하지 않도록 설정된 관리되는 앱 정책 1개 2단계에서 만든 iOS/iPadOS에 대한 필터를 할당합니다.
- Android: 드라이브 리디렉션이 비활성화된 Android 디바이스용 관리형 앱용 앱입니다. 2단계에서 만든 Android에 대한 필터를 할당합니다.
- iOS/iPadOS:
필수 조건
Intune 및 조건부 액세스를 사용하여 로컬 클라이언트 디바이스에서 리디렉션 설정을 구성하려면 다음이 필요합니다.
Microsoft Intune 및 Microsoft Entra 조건부 액세스를 사용하여 로컬 클라이언트 디바이스 보안 준수 요구의 단계를 완료합니다. 이 문서의 모든 필수 구성 요소도 이 문서에 적용됩니다.
앱 보호 정책 및 조건부 액세스 정책을 구성하기 위한 더 많은 Intune 필수 구성 요소가 있습니다. 자세한 내용은 다음을 참조하세요.
iOS/iPadOS 관리 디바이스에 대한 앱 구성 정책 만들기
관리되는 iOS/iPadOS 디바이스의 경우 Windows 앱용 관리 디바이스에 대한 앱 구성 정책을 만들어야 합니다. Android에는 이 단계가 필요하지 않습니다.
중요합니다
iOS/iPadOS의 경우 디바이스 관리 유형을 Intune 관리 디바이스에 적용하려면 추가 앱 구성 설정이 필요합니다. 자세한 내용은 디바이스 관리 유형을 참조하세요.
Intune의 9월(2409) 서비스 릴리스부터 IntuneMAMUPN, IntuneMAMOID, 및 IntuneMAMDeviceID 앱 구성 값이 Windows 앱을 비롯한 특정 앱에 대해 Intune에 등록된 iOS/iPadOS 디바이스의 관리되는 애플리케이션에 자동으로 전송됩니다.
관리 디바이스에 대한 앱 구성 정책을 만들고 적용하려면 관리 iOS/iPadOS 디바이스에 대한 앱 구성 정책 추가 단계를 따르고 다음 설정을 사용합니다.
기본 탭의 대상 앱에 대해 목록에서 Windows App Mobile을 선택합니다. 이 목록에 표시 하려면 앱 스토어에서 Intune에 앱을 추가 해야 합니다.
설정 탭의 구성 설정 형식 드롭다운 목록에서 구성 디자이너 사용을 선택한 후 표시된 대로 다음 설정을 정확하게 입력합니다.
구성 키 값 형식 구성 값 IntuneMAMUPN문자열 {{userprincipalname}}IntuneMAMOID문자열 {{userid}}IntuneMAMDeviceID문자열 {{deviceID}}할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.
관리 앱에 대한 앱 구성 정책 만들기
앱 구성 정책 기능이 플랫폼 간에 시간이 지남에 따라 변경될 수 있으므로 iOS/iPadOS 및 Android용 관리되는 앱에 대해 별도의 앱 구성 정책을 만드는 것이 좋습니다.
디바이스 리디렉션 요구 사항이 사용자 그룹 간에 다른 경우 필요에 따라 추가 앱 구성 정책을 만듭니다. 예를 들어 재무 사용자에 대한 드라이브 리디렉션을 차단하고 마케팅 사용자에 대한 드라이브 및 클립보드 리디렉션을 차단합니다.
관리 앱에 대한 앱 구성 정책을 만들고 적용하려면 Intune App SDK 관리 앱에 대한 앱 구성 정책의 단계를 따르고 다음 설정을 사용합니다.
기본 사항 탭에서 공용 앱 선택, Windows 앱 검색 및 선택, 선택 선택 Android 전용으로 Windows 앱이 아직 표시되지 않는 경우 원격 데스크톱 을 대신 입력합니다. 이는 Intune 배포 타이밍 때문입니다. 두 앱 모두 동일한 패키지 ID
com.microsoft.rdc.androidx를 사용하므로 앱 구성 정책은 Intune 콘솔에 표시되는 앱 이름에 관계없이 두 앱에 모두 적용됩니다.설정 탭에서 일반 구성 설정을 확장한 후 표시된 대로 정확하게 구성하려는 각 리디렉션 설정에 대해 다음 이름 및 값 쌍을 입력합니다. 이러한 값은 지원되는 RDP 속성에 나열된 RDP 속성에 해당하지만 구문은 다릅니다.
이름 설명 가치 audiocapturemode오디오 입력 리디렉션이 사용되는지 여부를 나타냅니다. 0: 로컬 디바이스의 오디오 캡처가 사용하지 않도록 설정되었습니다.
1: 로컬 디바이스에서 오디오 캡처 및 원격 세션에서 오디오 애플리케이션으로 리디렉션이 사용하도록 설정됩니다.camerastoredirect카메라 리디렉션이 사용하도록 설정되었는지 여부를 결정합니다. 0: 카메라 리디렉션이 사용하지 않도록 설정되었습니다.
1: 카메라 리디렉션이 사용하도록 설정됨drivestoredirect디스크 드라이브 리디렉션이 사용하도록 설정되었는지 여부를 결정합니다. 0: 디스크 드라이브 리디렉션이 사용하지 않도록 설정되었습니다.
1: 디스크 드라이브 리디렉션이 사용하도록 설정되었습니다.redirectclipboard클립보드 리디렉션이 사용되는지 여부를 결정합니다. 0: 원격 세션에서 로컬 디바이스의 클립보드 리디렉션이 사용하지 않도록 설정되었습니다.
1: 원격 세션에서 로컬 디바이스의 클립보드 리디렉션이 사용하도록 설정되었습니다.설정이 어떻게 표시되는지에 대한 예는 다음과 같습니다.
할당 탭에서 정책을 적용할 사용자가 포함된 보안 그룹에 정책을 할당합니다. 정책이 활성화되도록 하려면 정책을 사용자 그룹에 적용해야 합니다. 각 그룹에 대해 필요에 따라 앱 구성 정책 대상 지정에서 더 구체적으로 필터를 선택할 수 있습니다.
구성 확인
이제 Windows 앱에 대한 디바이스 리디렉션을 관리하도록 Intune 및 조건부 액세스를 구성했으므로 원격 세션에 연결하여 리디렉션 구성이 예상대로 작동하는지 확인합니다. 구성한 정책에 따라 각 플랫폼에 대해 관리되는 디바이스 및/또는 관리되지 않는 디바이스를 모두 확인해야 합니다.