참고
비즈니스용 App Control의 일부 기능은 특정 Windows 버전에서만 사용할 수 있습니다. App Control 기능 가용성에 대해 자세히 알아보세요.
비즈니스용 앱 제어를 사용하면 조직에서 관리되는 Windows 디바이스에서 실행할 수 있는 애플리케이션을 제어할 수 있습니다. 성공적인 배포에는 정책 수명 주기 관리, 이벤트 모니터링 및 운영 워크플로에 대한 계획이 필요합니다. 이 문서에서는 요람에서 무덤까지 App Control 정책을 관리할 준비를 할 때 고려해야 할 주요 요소를 간략하게 설명합니다.
정책 수명 주기 관리
organization 실행되는 앱도 시간이 지남에 따라 변경되므로 비즈니스용 앱 제어 정책도 변경해야 합니다. Microsoft는 정책이 정확하고 organization "신뢰의 원"에 부합하도록 반복 가능한 수명 주기 프로세스를 설정하는 것이 좋습니다.
일반적인 App Control 정책 수명 주기 단계
- "신뢰 원"을 정의(또는 구체화) 하고 감사 모드 정책을 빌드합니다.
- 너무 광범위하게 배포하기 전에 문제를 감지하고 대응하는 데 도움이 되는 단계적 롤아웃을 사용하여 대상 디바이스에 감사 모드 정책을 배포합니다.
- 감사 이벤트를 모니터링하고 규칙을 조정하여 대상 디바이스에서 들어오는 예기치 않거나 원치 않는 블록을 해결합니다.
- 나머지 감사 이벤트가 예상과 일치할 때까지 반복합니다.
- 적용된 정책을 생성합니다.
- 적용 모드 정책을 배포합니다. 다시 한 번 단계적 롤아웃을 사용하는 것이 좋습니다.
- 신뢰 경계 또는 애플리케이션 요구 사항이 변경 될 때마다 이러한 수명 주기 단계를 반복합니다.
각 고유 정책에 대한 고유 정책 식별자 설정
Set-CIPolicyIDInfo 및 Set-CIPolicyVersion cmdlet을 사용하여 설명이 포함된 이름, 고유 정책 ID 및 버전 메타데이터를 각 정책에 할당합니다. 이 메타데이터는 XML을 보거나 비즈니스용 App Control 이벤트 데이터를 검토할 때 정책을 식별하는 데 도움이 됩니다. -ResetPolicyId 스위치를 사용하여 시스템이 PolicyID를 자동으로 생성하도록 하거나 GUID여야 하는 사용자 지정 값을 설정할 수 있습니다.
참고
PolicyID는 Windows Server 2016 또는 Windows Server 2019를 실행하는 컴퓨터 또는 이전 버전의 Windows 클라이언트에 대한 정책에는 적용되지 않습니다. 이전 버전의 Windows에서 만든 정책을 업데이트하거나 이후 버전의 운영 체제에서 사용할 Windows Server 업데이트하려면 -ResetPolicyId를 사용합니다.
PolicyID는 정책당 한 번만 설정해야 하며 정책 수명 동안 사용해야 합니다. 정책의 감사 및 적용 모드 버전에 다른 PolicyID를 사용하는 것이 일반적입니다.
중앙 리포지토리에 정책 저장
앱 제어 정책은 정책 관리를 담당하는 모든 관리자가 액세스할 수 있는 버전 제어 리포지토리에 저장되어야 합니다. 일반적인 옵션은 다음과 같습니다.
- GitHub
- Azure Repos
- SharePoint Online
이러한 리포지토리 중 하나에 정책을 저장하면 정책을 더 잘 관리하는 데 사용할 수 있는 버전 제어 및 기타 메타데이터가 제공됩니다.
정책 규칙 업데이트
앱이 올바르게 실행되도록 하려면 새 앱을 배포하거나 기존 앱이 소프트웨어 게시자로부터 업데이트를 받을 때 정책을 수정해야 할 수 있습니다. 정책 규칙 업데이트가 필요한지 여부는 정책에 포함된 규칙 유형에 따라 달라집니다. 게시자가 서명한 파일의 경우 게시자의 코드 서명 인증서를 기반으로 하는 규칙은 앱 변경에 대해 가장 복원력을 제공합니다. 반면에 파일 특성 또는 해시만을 기반으로 하는 규칙은 앱이 변경되면 업데이트가 필요한 경우가 많습니다. App Control 관리형 설치 관리자 를 사용하여 모든 앱 및 해당 업데이트를 배포하는 것은 정책을 업데이트할 필요성을 최소화하는 또 다른 방법입니다.
App Control 이벤트 관리
앱 제어 이벤트 모니터링은 정책 효과를 이해하고, 예기치 않은 블록을 식별하고, 신뢰 결정을 구체화하는 데 필수적입니다. 발생할 수 있는 이벤트 유형에 대한 자세한 내용은 App Control 이벤트 이해를 참조하세요.
이벤트 컬렉션 옵션
조직은 이벤트를 심사하고, 새 신뢰 요청을 승인하고, 정책을 업데이트하는 프로세스를 정의해야 합니다. 대부분의 고객은 관리되는 디바이스에서 App Control 이벤트를 수집하고 이러한 목적을 위해 중앙 위치에 저장합니다.
최종 사용자 지원
App Control은 디바이스에서 실행되는 것을 제한하고 다른 모든 코드는 차단됩니다. 경우에 따라 정책이 약간 변경되거나 앱이 더 일반적으로 변경되면 예기치 않은 문제가 발생할 수 있습니다. 발생하는 특정 효과는 선택한 규칙의 유형과 시간이 지남에 따라 앱에 적용 가능성을 포함하여 여러 요인에 따라 달라집니다. 필연적으로 일부 사용자는 정책에서 다루지 않는 코드가 실행될 것으로 예상하는 앱이 발생할 때 마찰이 증가합니다. 정책 롤아웃이 진행됨에 따라 사용자 지원 요구 증가에 대비해야 합니다. 다음은 준비하기 위해 수행해야 하는 몇 가지 실용적인 단계입니다.
- 정책을 매일, 매주 수신하는 사용자 수를 고려합니다. App Control은 사용하도록 설정하는 중요한 보안 기능이지만 책임감 있고 신중하게 수행해야 합니다. 많은 수의 사용자에게 영향을 미치기 전에 문제를 감지하고 대응할 수 있도록 천천히 신중하게 진행하세요.
- 최종 사용자에게 App Control, 비즈니스에 중요한 이유 및 일상적인 환경에 미치는 영향에 대해 교육합니다. 그리고 앱 예외를 정책에 요청하는 방법을 알려줍니다.
- App Control에 대해 기술 지원팀 직원을 교육합니다. 앱 오작동에 대한 지원 호출에 표준 도구 또는 절차를 사용하는 경우 해당 절차의 일부로 App Control 상태 및 이벤트를 확인하는 단계를 포함합니다.
- 정책 예외를 결정할 때 사용할 요소를 결정합니다. 정책에서 제외해야 하는 사용자 또는 디바이스 그룹은 무엇인가요? 잘 정의된 객관적인 기준을 사용하면 사용자가 내리는 기술 및 정책 적용 결정을 쉽게 수락할 수 있습니다.
다음으로
이제 App Control 관리의 일반적인 환경에 대해 잘 알고 있으므로 Microsoft의 자사 제품이든 Microsoft 파트너 솔루션이든, 둘 다 혼합되어 있든 관계없이 App Control 배포를 관리할 도구를 선택할 수 있습니다.
또는 정책 디자인 옵션의 일부를 계속 살펴보고 살펴보세요.