할당된 액세스 정책 설정
할당된 액세스 구성이 디바이스에 적용되면 특정 정책 설정 및 AppLocker 규칙이 적용되어 디바이스에 액세스하는 사용자에게 영향을 미칩니다. 정책 설정은 CSP(구성 서비스 공급자) 및 GPO(그룹 정책) 설정의 조합을 사용합니다.
이 참조 문서에서는 할당된 액세스에서 적용되는 정책 설정 및 AppLocker 규칙을 나열합니다.
참고
할당된 액세스에서 다른 채널을 사용하여 다른 값에 적용하는 정책 설정을 구성하는 것은 권장되지 않습니다. 할당된 액세스는 잠긴 환경을 제공하도록 최적화됩니다.
디바이스 정책 설정
제한된 사용자 환경을 배포할 때 디바이스 수준에서 다음 정책 설정이 적용됩니다. 디바이스에 액세스하는 모든 사용자는 관리자 계정을 포함하여 정책 설정의 적용을 받습니다.
| Type | 경로 | 이름/설명 |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Cortana 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
문서 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
다운로드 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
파일 탐색기 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
홈 그룹 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
음악 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
네트워크 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
개인 폴더 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
그림 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
시작 설정 사용 안 함 아이콘 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
비디오 시작 아이콘 사용 안 함 |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
사용자 타일에 계정 설정 변경 이 표시되지 않도록 숨기기 |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
모든 업데이트 알림을 숨깁니다. |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
업데이트에 대한 자동 다시 시작 알림을 사용하지 않도록 설정 |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
잉크 작업 영역에 대한 액세스가 사용하지 않도록 설정됨 |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
로그온 화면과 "보안 옵션" UI에서 네트워크 UI 숨기기 |
사용자 정책 설정
제한된 사용자 환경을 배포할 때 다음 정책 설정이 비관리자 계정에 적용됩니다.
| Type | 경로 | 이름/설명 |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
시작 메뉴 앱에 대한 상황에 맞는 메뉴 사용 안 함 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
작업 표시줄에 사람 표시줄이 표시되지 않도록 숨기기 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
최근에 추가된 앱이 시작 메뉴에 표시되지 않도록 숨기기 |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
시작 메뉴/작업 표시줄에 최근 점프 목록이 표시되지 않도록 숨기기 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 종료 시 최근에 열었던 문서 기록 지우기 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 풍선 알림을 알림으로 표시하지 않음 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 점프 목록에 항목 고정을 허용하지 않음 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 작업 표시줄에 프로그램 고정시키기 허용하지 않음 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 원격 위치의 항목을 점프 목록에 표시하거나 추적 안 함 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 바탕 화면의 모든 항목 숨기기 및 사용 안 함 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 작업 보기 단추 숨기기 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 모든 작업 표시줄 설정 잠금 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 작업 표시줄 잠금 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 사용자가 도구 모음을 추가하거나 제거하지 못하게 방지 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 사용자가 시작 화면을 사용자 지정할 수 없음 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 사용자가 작업 표시줄을 다른 화면 도크 위치로 이동하지 못하도록 방지 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 사용자가 도구 모음을 다시 정렬하지 못하도록 방지 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 사용자의 작업 표시줄 크기 조정 방지 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 시작에서 응용 프로그램 제거 금지 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 작업 표시줄에 대한 컨텍스트 메뉴 액세스 권한 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 시작 메뉴에서 모든 프로그램 항목 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 제어 센터 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 시작 메뉴에서 자주 사용하는 프로그램 목록 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 알림 및 알림 센터 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 빠른 설정 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 시작 메뉴에서 실행 메뉴 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 보안 및 유지 관리 아이콘 제거 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 모든 풍선 알림 끄기 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄 | 기능 안내 풍선 알림 끄기 |
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄\알림 | 알림 메시지 끄기 |
| Gpo | 사용자 구성\관리 템플릿\시스템\Ctrl+Alt+Del 옵션 | 암호 변경 제거 |
| Gpo | 사용자 구성\관리 템플릿\시스템\Ctrl+Alt+Del 옵션 | 로그오프 제거 |
| Gpo | 사용자 구성\관리 템플릿\시스템\Ctrl+Alt+Del 옵션 | 작업 관리자 제거 |
| Gpo | 사용자 구성\관리 템플릿\Windows 구성 요소\파일 탐색기 | 네트워크 드라이브 맵 제거 및 네트워크 드라이브 연결 끊기 |
| Gpo | 사용자 구성\관리 템플릿\Windows 구성 요소\파일 탐색기 | 파일 탐색기 기본 상황에 맞는 메뉴 제거 |
다음 정책 설정은 Microsoft Edge를 사용하여 키오스크 환경을 구성할 때 키오스크 계정에 적용됩니다.
| Type | 경로 | 이름/설명 |
|---|---|---|
| Gpo | 사용자 구성\관리 템플릿\시작 메뉴 및 작업 표시줄\알림 | 지정된 Windows 애플리케이션만 실행 >msedge.exe |
| Gpo | 사용자 구성\관리 템플릿\시스템 | 알림 메시지 끄기 |
| Gpo | 사용자 구성\관리 템플릿\Windows 구성 요소\첨부 파일 관리자 | 파일 첨부 파일의 기본 위험 수준 위험 높음 > |
| Gpo | 사용자 구성\관리 템플릿\Windows 구성 요소\첨부 파일 관리자 | 낮은 파일 형식에 대한 포함 목록 >.pdf;.epub |
| Gpo | 사용자 구성\관리 템플릿\Windows 구성 요소\파일 탐색기 | 파일 탐색기 기본 상황에 맞는 메뉴 제거 |
AppLocker 규칙
할당된 액세스 제한 사용자 환경을 배포하면 구성에 나열된 앱을 허용하도록 AppLocker 규칙이 생성됩니다. 다음은 미리 정의된 할당된 액세스 AppLocker 규칙입니다.
UWP(유니버설 Windows 플랫폼) 앱 규칙
- 기본 규칙은 모든 사용자가 서명된 패키지된 앱을 시작할 수 있도록 하는 것입니다.
- 패키지된 앱 거부 목록은 할당된 액세스 사용자가 로그인할 때 런타임에 생성됩니다.
- 사용자 계정에 사용할 수 있는 설치된 앱에 따라 할당된 액세스는 거부 목록을 생성합니다. 이 목록은 시스템이 작동하는 데 중요한 기본 허용 받은 편지함 패키지 앱을 제외한 다음 할당된 액세스 구성에 정의된 허용된 패키지를 제외합니다.
- 동일한 패키지 내에 여러 앱이 있는 경우 모든 앱이 제외됩니다.
거부 목록은 사용자가 현재 사용자가 사용할 수 있지만 허용 목록에 없는 앱에 액세스하지 못하도록 하는 데 사용됩니다.
참고
MMC 스냅인의 제한된 사용자 환경에 의해 생성된 AppLocker 규칙은 관리할 수 없습니다. 할당된 액세스에서 생성된 AppLocker 규칙과 충돌하는 AppLocker 규칙을 만들지 않습니다.
할당된 액세스로 인해 organization 또는 사용자가 UWP 앱을 설치할 수 없습니다. 할당된 액세스 세션 중에 새 UWP 앱이 설치되면 앱이 거부 목록에 없습니다. 사용자가 로그아웃하고 다시 로그인하면 설치된 앱이 거부 목록에 포함됩니다. 허용하려는 중앙에 배포된 앱의 경우(예: biness 앱 줄) 할당된 액세스 구성을 업데이트하고 허용 앱 목록에 앱을 포함합니다.
데스크톱 앱 규칙
- 기본 규칙은 모든 사용자가 시스템이 부팅 및 작동하도록 Microsoft Certificate 로 서명된 데스크톱 프로그램을 시작할 수 있도록 하는 것입니다. 또한 이 규칙을 통해 관리자 사용자 그룹은 모든 데스크톱 프로그램을 시작할 수 있습니다.
- 할당된 액세스 사용자 계정에 대해 미리 정의된 받은 편지함 데스크톱 앱 거부 목록이 있습니다. 이 목록은 할당된 액세스 구성에서 정의한 데스크톱 앱 허용 목록을 기반으로 업데이트됩니다.
- 엔터프라이즈 정의 허용 데스크톱 앱이 AppLocker 허용 목록에 추가됨
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기