MAM(앱 보호 정책)을 사용하여 엔드포인트용 Microsoft Defender 위험 신호 구성

  • 아티클
  • 읽는 데 7분 걸림

적용 대상:

이미 MDM(모바일 장치 관리) 시나리오에서 엔터프라이즈 사용자를 보호하는 Android의 엔드포인트용 Microsoft Defender 이제 MDM(모바일 디바이스 관리)을 사용하여 등록되지 않은 디바이스에 대한 MAM(Mobile App Management)Intune 으로 지원을 확장합니다. 또한 MAM(모바일 애플리케이션 관리)에 Intune 사용하면서 다른 엔터프라이즈 모바일 관리 솔루션을 사용하는 고객에게도 이 지원을 확장합니다. 이 기능을 사용하면 애플리케이션 내에서 조직의 데이터를 관리하고 보호할 수 있습니다.

Android 위협 정보에 대한 엔드포인트용 Microsoft Defender Intune 앱 보호 정책에 의해 적용되어 이러한 앱을 보호합니다. 앱 보호 정책(APP)은 관리되는 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 관리되는 애플리케이션에는 앱 보호 정책이 적용되어 있으며 Intune 관리할 수 있습니다.

Android의 엔드포인트용 Microsoft Defender MAM의 구성을 모두 지원합니다.

  • Intune MDM + MAM: IT 관리자는 INTUNE MDM(모바일 디바이스 관리)에 등록된 디바이스에서 앱 보호 정책을 사용하여 앱만 관리할 수 있습니다.
  • 디바이스 등록이 없는 MAM: 디바이스 등록이 없는 MAM 또는 MAM-WE를 사용하면 IT 관리자가 Intune MDM에 등록되지 않은 디바이스에서 앱 보호 정책을 사용하여 앱을 관리할 수 있습니다. 이 프로비전은 타사 EMM 공급자에 등록된 디바이스에서 Intune 앱을 관리할 수 있음을 의미합니다. 이러한 두 구성에서 앱을 관리하려면 고객은 Microsoft Endpoint Manager 관리 센터에서 Intune 사용해야 합니다.

이 기능을 사용하려면 관리자가 엔드포인트용 Microsoft Defender 및 Intune 간의 연결을 구성하고, 앱 보호 정책을 만들고, 대상 디바이스 및 애플리케이션에 정책을 적용해야 합니다.

또한 최종 사용자는 디바이스에 엔드포인트용 Microsoft Defender 설치하고 온보딩 흐름을 활성화하는 단계를 수행해야 합니다.

관리 필수 구성 요소

  • Microsoft Defender for Endpoint-Intune 커넥터가 사용하도록 설정되어 있는지 확인합니다.

    a. security.microsoft.com 이동합니다.

    b. 고급 기능 > Microsoft Intune 연결이 켜져> 엔드포인트에 > 설정을 선택합니다.

    c. 연결이 켜지지 않은 경우 토글을 선택하여 켜고 기본 설정 저장 을 선택합니다.

    Microsoft 365 Defender 포털의 고급 기능 섹션

    d. Microsoft Endpoint Manager(Intune) 로 이동하여 microsoft Defender for Endpoint-Intune 커넥터를 사용할 수 있는지 확인합니다.

    Microsoft 365 Defender 포털의 intune 커넥터 상태 창

  • App(앱 보호 정책)용 Android 커넥터에서 엔드포인트용 Microsoft Defender 사용

    앱 보호 정책에 Intune Microsoft Endpoint Manager 커넥터를 구성합니다.

    a. 테넌트 관리 > 커넥터 및 토큰 > 엔드포인트용 Microsoft Defender 이동합니다.

    b. 다음 스크린샷과 같이 Android용 앱 보호 정책에 대한 토글을 켭니다.

    c. 저장 을 선택합니다.

    Microsoft 365 Defender 포털의 애플리케이션 설정 창

  • 앱 보호 정책 만들기

앱 보호 정책을 만들어 엔드포인트용 Microsoft Defender 위험 신호를 기반으로 관리되는 앱의 액세스를 차단하거나 데이터를 초기화합니다. 앱 보호 정책(APP, MAM이라고도 함)에 사용할 위협 신호를 보내도록 엔드포인트용 Microsoft Defender 구성할 수 있습니다. 이 기능을 사용하면 엔드포인트용 Microsoft Defender 사용하여 관리되는 앱을 보호할 수 있습니다.

  1. 정책 만들기
    앱 보호 정책(APP)은 관리되는 앱에서 조직의 데이터를 안전하게 보호하거나 유지되도록 하는 규칙입니다. 정책은 사용자가 "회사" 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙이거나, 사용자가 앱 내에 있을 때 금지되거나 모니터링되는 일련의 작업일 수 있습니다.

Microsoft 365 Defender 포털의 앱 보호 정책 페이지의 정책 만들기 탭

  1. 앱 추가
    a. 다른 디바이스의 앱에 이 정책을 적용하는 방법을 선택합니다. 그런 다음 하나 이상의 앱을 추가합니다.
    이 정책을 관리되지 않는 디바이스에 적용할지 여부를 지정하려면 이 옵션을 사용합니다. Android에서 Android Enterprise, Device 관리 또는 관리되지 않는 디바이스에 적용되는 정책을 지정할 수 있습니다. 또한 모든 관리 상태의 디바이스에서 앱에 정책을 대상으로 지정할 수도 있습니다. 모바일 앱 관리에는 디바이스 관리가 필요하지 않으므로 관리되는 디바이스와 관리되지 않는 디바이스 둘 다에서 회사 데이터를 보호할 수 있습니다. 관리는 사용자 ID를 중심으로 하며 디바이스 관리에 대한 요구 사항이 제거됩니다. 회사는 MDM을 사용하거나 사용하지 않고 앱 보호 정책을 동시에 사용할 수 있습니다. 예를 들어, 회사에서 지급한 휴대폰과 개인 태블릿을 모두 사용하는 직원을 생각해 보세요. 회사 휴대폰은 MDM에 등록되고 앱 보호 정책으로 보호되고 개인 태블릿은 앱 보호 정책으로만 보호됩니다.

    b. 앱 선택
    관리 앱은 앱 보호 정책이 적용되어 있으며 Intune을 통해 관리할 수 있는 앱입니다. Intune SDK와 통합되었거나 Intune App Wrapping Tool 래핑된 모든 앱은 Intune 앱 보호 정책을 사용하여 관리할 수 있습니다. 이러한 도구를 사용하여 작성되었으며 공용으로 사용할 수 있는 Microsoft Intune 보호 앱의 공식 목록을 참조하세요.

    예: 관리되는 앱으로 Outlook

Microsoft 365 Defender 포털의 공용 앱 창

  1. 보호 정책에 대한 로그인 보안 요구 사항을 설정합니다.
    디바이스 조건에서 허용되는 최대 디바이스 위협 수준 > 설정을 선택하고 값을 입력합니다. 그런 다음 작업: "액세스 차단" 을 선택합니다. Android의 엔드포인트용 Microsoft Defender 이 디바이스 위협 수준을 공유합니다.

Microsoft 365 Defender 포털의 디바이스 조건 창

  • 정책을 적용해야 하는 사용자 그룹을 할당합니다.
    포함된 그룹을 선택합니다. 그런 다음 관련 그룹을 추가합니다.

    Microsoft 365 Defender 포털의 포함된 그룹 창

최종 사용자 필수 구성 요소

  • broker 앱을 설치해야 합니다.

    • Intune 회사 포털

  • 사용자에게 관리되는 앱에 필요한 라이선스가 있고 앱이 설치되어 있습니다.

최종 사용자 온보딩

  1. 관리되는 애플리케이션(예: Outlook)에 로그인합니다. 디바이스가 등록되고 애플리케이션 보호 정책이 디바이스에 동기화됩니다. 애플리케이션 보호 정책은 디바이스의 상태를 인식합니다.

  2. 계속 을 선택합니다. Android 앱에서 엔드포인트용 Microsoft Defender 다운로드하고 설정하는 것이 좋습니다.

  3. 다운로드 를 선택합니다. 앱 스토어로 리디렉션됩니다(Google Play).

  4. 엔드포인트용 Microsoft Defender(모바일) 앱을 설치하고 관리되는 앱 온보딩 화면을 다시 시작합니다.

MDE를 다운로드하고 앱 온보딩 화면을 다시 시작하는 절차를 포함하는 설명 페이지

  1. 계속 > 시작을 클릭합니다. 엔드포인트용 Microsoft Defender 앱 온보딩/활성화 흐름이 시작됩니다. 단계에 따라 온보딩을 완료합니다. 이제 디바이스가 정상임을 나타내는 관리되는 앱 온보딩 화면으로 자동으로 리디렉션됩니다.

  2. 계속 을 선택하여 관리되는 애플리케이션에 로그인합니다.

개인 정보 컨트롤 구성

관리자는 다음 단계를 사용하여 개인 정보를 사용하도록 설정하고 해당 위협에 대한 경고 보고서의 일부로 도메인 이름, 앱 세부 정보 및 네트워크 정보를 수집하지 않을 수 있습니다.

  1. Microsoft Endpoint Manager 관리 센터에서 앱 > 앱 구성 정책 > > 관리되는 앱 추가 로 이동합니다.

  2. 정책에 이름 을 지정하세요.

  3. 공용 앱 선택에서 대상 앱으로 엔드포인트용 Microsoft Defender 선택합니다.

  4. 설정 페이지의 일반 구성 설정에서 DefenderExcludeURLInReport, DefenderExcludeAppInReport 를 키 및 값으로 true로 추가합니다.

  5. 사용자에게 이 정책을 할당합니다. 기본적으로 이 값은 false로 설정됩니다.

  6. 정책을 검토하고 만듭니다.

선택적 권한

Android의 엔드포인트용 Microsoft Defender 온보딩 흐름에서 선택적 권한을 사용하도록 설정합니다. 현재 MDE에 필요한 권한은 온보딩 흐름에서 필수입니다. 이 기능을 사용하면 관리자는 온보딩 중에 필수 VPN 및 접근성 권한을 적용하지 않고도 MAM 정책을 사용하여 Android 디바이스에 MDE를 배포할 수 있습니다. 최종 사용자는 필수 권한 없이 앱을 온보딩할 수 있으며 나중에 이러한 권한을 검토할 수 있습니다.

선택적 권한 구성

다음 단계를 사용하여 디바이스에 대한 선택적 권한을 사용하도록 설정합니다.

  1. Microsoft Endpoint Manager 관리 센터에서 앱 > 앱 구성 정책 > > 관리되는 앱 추가 로 이동합니다.

  2. 정책에 이름 을 지정하세요.

  3. 공용 앱에서 엔드포인트용 Microsoft Defender*를 선택합니다.

  4. 설정 페이지에서 구성 디자이너 사용을 선택하고 DefenderOptionalVPN 또는 DefenderOptionalAccessibility 또는 둘 다 키 및 값 형식을 부울로 추가합니다.

  5. 선택적 권한을 사용하도록 설정하려면 값을 true 로 입력하고 이 정책을 사용자에게 할당합니다. 기본적으로 이 값은 false로 설정됩니다. 키가 true로 설정된 사용자의 경우 사용자는 이러한 권한을 부여하지 않고도 앱을 온보딩할 수 있습니다.

  6. 다음 을 선택하고 대상 디바이스/사용자에게 이 프로필을 할당합니다.

사용자 흐름

사용자는 앱을 설치하고 열어 온보딩 프로세스를 시작할 수 있습니다.

  1. 관리자에게 선택적 사용 권한이 있는 경우 사용자는 VPN 또는 접근성 권한 또는 둘 다를 건너뛰고 온보딩을 완료하도록 선택할 수 있습니다.
  2. 사용자가 이러한 권한을 건너뛴 경우에도 디바이스는 온보딩할 수 있으며 하트비트는 전송됩니다.
  3. 사용 권한을 사용하지 않도록 설정하면 웹 보호가 활성화되지 않습니다. 사용 권한 중 하나가 지정된 경우 부분적으로 활성화됩니다.
  4. 나중에 사용자는 앱 내에서 웹 보호를 사용하도록 설정할 수 있습니다. 그러면 디바이스에 VPN 구성이 설치됩니다.

참고

선택적 권한 설정은 웹 보호 사용 안 함 설정과 다릅니다. 선택적 권한은 온보딩 중에 사용 권한을 건너뛰는 데만 도움이 되지만 웹 보호를 사용하지 않도록 설정하면 사용자가 웹 보호 없이 엔드포인트용 Microsoft Defender 앱을 온보딩할 수 있는 동안 최종 사용자가 나중에 검토하고 사용하도록 설정할 수 있습니다. 나중에 사용하도록 설정할 수 없습니다.