앱 제어

  • 아티클

참고

앱 컨트롤 기능은 선택 사항입니다. 앱 컨트롤을 켜려면 요청을 제출 해야 합니다.

앱 제어는 클라이언트 장치에서 코드 실행을 제한하는 Microsoft Managed Desktop의 선택적 보안 방법입니다.

이 제어는 맬웨어 또는 악성 스크립트의 위험을 완화합니다. 컨트롤을 사용하려면 고객이 승인한 게시자 목록에 의해 서명된 코드만 실행할 수 있어야 합니다. 이 제어에는 많은 보안 이점이 있지만 주로 클라이언트 기반 악용으로부터 데이터와 ID를 보호하는 것을 목표로 합니다.

Microsoft Managed Desktop은 핵심 생산성 시나리오를 가능하게 하는 기본 정책을 만들어 앱 제어 정책 관리를 간소화합니다. 사용자 환경의 앱 및 스크립트와 관련된 다른 서명자에게 신뢰를 확장할 수 있습니다.

모든 보안 기술에는 사용자 경험, 보안 및 비용 간의 균형이 필요합니다. 앱 제어는 환경에서 악성 소프트웨어의 위협을 줄이지만 사용자에게 영향을 미치고 IT 관리자에게 추가 조치가 필요합니다.

추가 보안 및 책임 설명
추가 보안 앱 제어 정책에서 신뢰하지 않는 앱 또는 스크립트는 기기에서 실행되지 않도록 차단됩니다.
사용자의 추가 책임
  • 사용자는 앱을 테스트하여 애플리케이션 제어 정책에 의해 차단되는지 여부를 식별할 책임이 있습니다.
  • 앱이 차단되거나 차단될 경우 필요한 서명자 세부 정보를 식별할 책임이 있습니다. 관리 센터를 통해 변경 사항을 요청해야 합니다.
Microsoft Managed Desktop 책임
  • Microsoft Managed Desktop은 Microsoft 365 앱, Windows, Teams, OneDrive 등과 같은 핵심 Microsoft 제품을 활성화하는 기본 정책을 유지 관리합니다.
  • Microsoft Managed Desktop은 신뢰할 수 있는 서명자를 삽입하고 업데이트된 정책을 장치에 배포합니다.

애플리케이션에 대한 신뢰 관리

Microsoft Managed Desktop은 Microsoft 기술의 핵심 구성 요소를 신뢰하는 기본 정책을 관리합니다. 그런 다음 이미 신뢰하는 앱과 스크립트를 Microsoft Managed Desktop에 알려 자체 애플리케이션과 스크립트에 대한 신뢰를 추가합니다.

기본 정책

Microsoft Managed Desktop은 Microsoft 사이버 보안 전문가와 협력하여 표준 정책을 만들고 유지 관리합니다. 이 표준 정책:

  • Microsoft Intune을 통해 배포된 대부분의 앱을 활성화합니다.
  • 코드 컴파일 또는 신뢰할 수 없는 파일 실행과 같은 위험한 활동을 차단합니다.

기본 정책은 소프트웨어 실행을 제한하기 위해 다음과 같은 접근 방식을 취합니다.

  • 관리자가 실행하는 파일은 실행이 허용됩니다.
  • 사용자가 쓸 수 있는 디렉터리에 없는 위치에 있는 파일은 실행이 허용됩니다.
  • 파일은 신뢰할 수 있는 서명자가 서명합니다.
  • Microsoft에서 서명한 대부분의 파일은 실행되지만 일부는 코드 컴파일과 같은 고위험 작업을 방지하기 위해 차단됩니다.

관리자가 아닌 사용자가 장치에 앱이나 스크립트를 추가할 수 있는 경우(즉, 사용자가 쓸 수 있는 디렉터리에 있음), 실행을 허용하지 않습니다. 관리자가 이미 앱 또는 스크립트를 허용한 경우 실행을 허용합니다.

Google 정책은 다음 시나리오에서 앱 실행을 중지합니다.

  • 사용자가 맬웨어 설치를 시도하도록 속인 경우.
  • 사용자가 실행하는 앱의 취약점이 악성코드 설치를 시도하는 경우.
  • 사용자가 의도적으로 승인되지 않은 앱 또는 스크립트를 실행하려고 시도하는 경우.

서명자 요청

서명자 요청을 제출하여 귀하가 신뢰하는 소프트웨어 게시자가 제공하는 앱을 당사에 알립니다. 이 작업을 수행할 경우, Microsoft는 다음을 수행합니다.

  • 해당 신뢰 정보를 기준 애플리케이션 제어 정책에 추가합니다.
  • 해당 게시자의 인증서로 서명된 모든 소프트웨어가 기기에서 실행되도록 허용합니다.

감사 및 적용된 정책

Microsoft Managed Desktop은 Microsoft Intune 정책을 사용하여 앱 제어를 제공합니다.

감사 정책

이 정책은 앱 또는 스크립트가 적용된 정책에 의해 차단되는지 여부를 기록하는 로그를 생성합니다.

감사 정책은 앱 제어 규칙을 적용하지 않습니다. 애플리케이션에 게시자 면제가 필요한지 여부를 식별하기 위한 테스트 목적을 위한 것입니다. 지정된 앱이나 스크립트의 실행이나 설치를 차단하는 대신 이벤트 뷰어에 경고(8003 또는 8006 이벤트)를 기록합니다.

적용된 정책

이 정책은 신뢰할 수 없는 앱 및 스크립트의 실행을 차단하고 앱 또는 스크립트가 차단될 때마다 로그를 생성합니다. 적용된 정책은 표준 사용자가 사용자가 쓸 수 있는 디렉터리에 저장된 앱이나 스크립트를 실행하지 못하도록 합니다.

테스트 그룹의 장치에는 응용 프로그램이 문제를 일으킬지 여부를 확인하기 위해 적용된 감사 정책이 있습니다. 다른 모든 그룹(First, Fast 및 Broad)은 적용된 정책을 사용합니다. 해당 그룹의 사용자는 신뢰할 수 없는 앱이나 스크립트를 실행할 수 없습니다.