Microsoft Intune Windows Information Protection 정책 만들기

  • 아티클

참고

2022년 7월부터 Microsoft는 WIP(Windows Information Protection)를 더 이상 사용하지 않습니다. Microsoft는 지원되는 Windows 버전에서 WIP를 계속 지원합니다. 새 버전의 Windows에는 WIP에 대한 새로운 기능이 포함되지 않으며 이후 버전의 Windows에서는 지원되지 않습니다. 자세한 내용은 Windows Information Protection 일몰 발표를 참조하세요.

데이터 보호 요구 사항에 따라 Microsoft Purview Information ProtectionMicrosoft Purview 데이터 손실 방지 사용하는 것이 좋습니다. Purview는 구성 설정을 간소화하고 고급 기능 집합을 제공합니다.

적용 대상:

  • Windows 10
  • Windows 11

Microsoft Intune WIP(Windows Information Protection) 정책을 쉽게 만들고 배포할 수 있습니다. 보호할 앱, 보호 수준 및 네트워크에서 엔터프라이즈 데이터를 찾는 방법을 선택할 수 있습니다. 디바이스는 MDM(모바일 장치 관리)에서 완전히 관리하거나 MAM(모바일 애플리케이션 관리)에서 관리할 수 있습니다. 여기서 Intune 사용자의 개인 디바이스에서 앱만 관리합니다.

WIP용 MDM과 MAM의 차이점

MDM에 대한 디바이스 등록을 사용하거나 MAM에 대한 디바이스 등록 없이 Intune 앱 보호 정책을 만들 수 있습니다. 두 정책 중 하나를 만드는 프로세스는 비슷하지만 중요한 차이점이 있습니다.

  • MAM에는 비즈니스용 Windows Hello 대한 액세스 설정이 더 있습니다.
  • MAM은 사용자의 개인 디바이스에서 회사 데이터를 선택적으로 초기화 할 수 있습니다.
  • MAM에는 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다.
  • WIP 자동 복구에도 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. 여기서 디바이스는 보호된 데이터에 다시 등록하고 액세스 권한을 다시 얻을 수 있습니다. WIP 자동 복구는 암호화 키를 백업하기 위한 Microsoft Entra 등록에 따라 달라지며, 이를 위해서는 MDM을 사용하여 디바이스 자동 등록이 필요합니다.
  • MAM은 디바이스당 하나의 사용자만 지원합니다.
  • MAM 은 인식된 앱만 관리할 수 있습니다.
  • MDM만 BitLocker CSP 정책을 사용할 수 있습니다.
  • 동일한 사용자와 디바이스가 MDM 및 MAM을 대상으로 하는 경우 MDM 정책은 Microsoft Entra ID 조인된 디바이스에 적용됩니다. 작업 공간에 조인된 개인 디바이스(즉, 설정>Email & 계정회사 또는 학교 계정> 추가를 사용하여 추가됨)의 경우 MAM 전용 정책이 선호되지만 설정에서 디바이스 관리를 MDM으로 업그레이드할 수 있습니다. Windows Home Edition은 MAM 전용 WIP만 지원합니다. Home Edition에서 MDM 정책으로 업그레이드하면 WIP로 보호되는 데이터 액세스가 취소됩니다.

필수 구성 요소

Intune 사용하여 WIP 정책을 만들려면 Microsoft Entra ID MDM 또는 MAM 공급자를 구성해야 합니다. MAM에는 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. WIP 자동 복구에도 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. 여기서 디바이스는 보호된 데이터에 다시 등록하고 액세스 권한을 다시 얻을 수 있습니다. WIP 자동 복구는 Microsoft Entra 등록을 사용하여 암호화 키를 백업합니다. 이를 위해서는 MDM을 사용하여 디바이스 자동 등록이 필요합니다.

MDM 또는 MAM 공급자 구성

  1. Azure Portal 로그인합니다.

  2. Microsoft Entra ID>모바일리티(MDM 및 MAM)>Microsoft Intune 선택합니다.

  3. 기본 URL 복원을 선택하거나 MDM 또는 MAM 사용자 scope 대한 설정을 입력하고 저장을 선택합니다.

    MDM 또는 MAM 공급자를 구성합니다.

WIP 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. Microsoft Intune 열고 >앱 보호 정책>정책 만들기를 선택합니다.

    클라이언트 앱을 엽니다.

  3. 앱 정책 화면에서 정책 추가를 선택한 다음 필드를 채웁니다.

    • 이름. 새 정책의 이름(필수)을 입력합니다.

    • 설명. 원하는 설명을 입력합니다.

    • 플랫폼. Windows 10 선택합니다.

    • 등록 상태. MAM에 대한 등록 없이 또는 MDM 에 대한 등록 사용을 선택합니다.

    모바일 앱 정책을 추가합니다.

  4. 보호된 앱을 선택한 다음, 앱 추가를 선택합니다.

    보호된 앱을 추가합니다.

    다음 유형의 앱을 추가할 수 있습니다.

참고

애플리케이션은 보호된 앱 목록에서 제거한 후 액세스 거부 오류를 반환할 수 있습니다. 목록에서 제거하지 않고 애플리케이션을 제거하고 다시 설치하거나 WIP 정책에서 제외합니다.

권장 앱을 선택하고 엔터프라이즈 데이터에 액세스하려는 각 앱을 선택하거나 모두 선택하고 확인을 선택합니다.

Microsoft Intune 관리 콘솔: 권장 앱.

스토어 앱 추가

스토어 앱을 선택하고, 앱 제품 이름 및 게시자를 입력하고, 확인을 선택합니다. 예를 들어 스토어에서 Power BI Mobile 앱을 추가하려면 다음을 입력합니다.

  • 이름: Microsoft Power BI
  • 게시자: CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
  • 제품 이름: Microsoft.MicrosoftPowerBIForWindows

스토어 앱을 추가합니다.

여러 Store 앱을 추가하려면 줄임표 를 선택합니다.

스토어 앱 게시자 또는 제품 이름을 모르는 경우 다음 단계에 따라 찾을 수 있습니다.

  1. 비즈니스용 Microsoft Store 웹 사이트로 이동하여 앱을 찾습니다. 예를 들어 Power BI Mobile 앱입니다.

  2. 앱 URL에서 ID 값을 복사합니다. 예를 들어 Power BI Mobile 앱 ID URL은 이며 https://www.microsoft.com/store/p/microsoft-power-bi/9nblgggzlxn1ID 값 9nblgggzlxn1을 복사합니다.

  3. 브라우저에서 비즈니스용 Store 포털 웹 API를 실행하여 판매자 및 제품 이름 값을 포함하는 JSON(JavaScript Object Notation) 파일을 반환합니다. 예를 들어 를 실행 https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9nblgggzlxn1/applockerdata합니다. 여기서 9nblgggzlxn1 는 ID 값으로 바뀝니다.

    API가 실행되고 앱 세부 정보가 있는 텍스트 편집기가 열립니다.

     {
 	"packageIdentityName": "Microsoft.MicrosoftPowerBIForWindows",
 	"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
 }

  4. publisherCertificateName 값을 게시자 상자에 복사하고 packageIdentityName 값을 Intune의 이름 상자에 복사합니다.

    중요

    JSON 파일은 게시자 이름제품 이름 상자의 windowsPhoneLegacyId 값을 모두 반환할 수도 있습니다. 즉, XAP 패키지를 사용하는 앱이 있고 제품 이름을windowsPhoneLegacyId설정하고 게시자 이름을 다음과 windowsPhoneLegacyId같이 CN= 설정해야 합니다.

    예시:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

데스크톱 앱 추가

데스크톱 앱을 추가하려면 반환하려는 결과에 따라 다음 필드를 완료합니다.

필드 관리
로 표시된 모든 필드 * 게시자가 서명한 모든 파일 (권장되지 않으며 작동하지 않을 수 있음)
게시자만 이 필드만 작성하면 명명된 게시자가 서명한 모든 파일이 표시됩니다. 회사가 내부 LOB(기간 업무) 앱의 게시자이고 서명자인 경우 이 옵션이 유용할 수 있습니다.
게시자 및 이름만 이러한 필드만 작성하면 명명된 게시자가 서명한 지정된 제품에 대한 모든 파일이 표시됩니다.
게시자, 이름 및 파일만 이러한 필드만 작성하면 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 모든 버전을 받게 됩니다.
게시자, 이름, 파일 및 최소 버전만 이러한 필드만 작성하면 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전 또는 최신 릴리스가 표시됩니다. 이 옵션은 이전에 인식되지 않은 인식 앱의 경우 권장됩니다.
게시자, 이름, 파일 및 최대 버전만 이러한 필드만 작성하면 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전 또는 이전 릴리스가 표시됩니다.
모든 필드 완료 모든 필드를 채우면 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전을 받게 됩니다.

다른 데스크톱 앱을 추가하려면 줄임표 를 선택합니다. 필드에 정보를 입력한 후 확인을 선택합니다.

Microsoft Intune 관리 콘솔: 데스크톱 앱 정보 추가

게시자에 포함할 내용을 잘 모르는 경우 다음 PowerShell 명령을 실행할 수 있습니다.

Get-AppLockerFileInformation -Path "<path_of_the_exe>"

여기서 "<path_of_the_exe>"는 장치의 앱 위치로 이동합니다. 예시:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\wordpad.exe"

이 예제에서는 다음 정보를 얻었습니다.

Path                   Publisher
----                   ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\WORDPAD.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

여기서 O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US게시자 이름이며 WORDPAD.EXE파일 이름입니다.

추가하려는 앱의 제품 이름을 가져오는 방법에 대해 Windows 지원 팀에 문의하여 지침을 요청하세요.

앱 목록 가져오기

이 섹션에서는 AppLocker XML 파일을 보호된 앱 목록에 사용하는 두 가지 예제를 설명합니다. 동시에 여러 앱을 추가하려는 경우 이 옵션을 사용합니다.

AppLocker에 대한 자세한 내용은 AppLocker 콘텐츠를 참조하세요.

스토어 앱에 대한 패키지된 앱 규칙 만들기

  1. 로컬 보안 정책 스냅인(SecPol.msc)을 엽니다.

  2. 애플리케이션 제어 정책을 확장하고 AppLocker를 확장한 다음 패키지된 앱 규칙을 선택합니다.

    패키지된 앱 규칙을 보여 주는 로컬 보안 스냅인입니다.

  3. 오른쪽을 마우스 오른쪽 단추로 클릭한 다음 새 규칙 만들기를 선택합니다.

    패키지된 앱 규칙 만들기 마법사가 나타납니다.

  4. 시작하기 전에 페이지에서 다음을 선택합니다.

    시작하기 전 탭의 스크린샷

  5. 사용 권한 페이지에서 작업이허용으로 설정되어 있고 사용자 또는 그룹이모두로 설정되어 있는지 확인한 다음, 다음을 선택합니다.

  6. 게시자 페이지에서 설치된 패키지된 앱을 참조 영역으로 사용 영역에서 선택을 선택합니다.

  7. 애플리케이션 선택 상자에서 규칙에 대한 참조로 사용할 앱을 선택한 다음 확인을 선택합니다. 이 예제에서는 Microsoft Dynamics 365 사용하고 있습니다.

    애플리케이션 선택 목록의 스크린샷.

  8. 업데이트된 게시자 페이지에서 만들기를 선택합니다.

    게시자 탭의 스크린샷

  9. 표시되는 대화 상자에서 아니요 를 선택하여 기본 규칙을 만들 것인지 묻습니다. WIP 정책에 대한 기본 규칙을 만들지 마세요.

    AppLocker 경고의 스크린샷.

  10. 규칙이 올바른지 로컬 보안 정책 스냅인을 검토합니다.

    새 규칙을 보여 주는 로컬 보안 스냅인입니다.

  11. 왼쪽에서 AppLocker를 마우스 오른쪽 단추로 클릭한 다음 정책 내보내기를 선택합니다.

    정책 내보내기 상자가 열려 새 정책을 XML로 내보내고 저장할 수 있습니다.

    정책 내보내기 옵션을 보여 주는 로컬 보안 스냅인입니다.

  12. 정책 내보내기 상자에서 정책을 저장해야 하는 위치로 이동하고 정책 이름을 지정한 다음 저장을 선택합니다.

    정책이 저장되고 정책에서 하나의 규칙을 내보냈다는 메시지가 표시됩니다.

    XML 파일 예제
    다음은 Microsoft Dynamics 365에 대해 AppLocker에서 만든 XML 파일입니다.

    <?xml version="1.0"?>
<AppLockerPolicy Version="1">
    <RuleCollection EnforcementMode="NotConfigured" Type="Appx">
        <FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description="" Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version 3.2.0.0 and above, from Microsoft Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
            <Conditions>
                <FilePublisherCondition BinaryName="*" ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
                    <BinaryVersionRange HighSection="*" LowSection="3.2.0.0"/>
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
    <RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
    <RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

  13. XML 파일을 만든 후에는 Microsoft Intune 사용하여 가져와야 합니다.

서명되지 않은 앱에 대한 실행 파일 규칙 만들기

실행 규칙은 서명되지 않은 앱에 서명하는 AppLocker 규칙을 만드는 데 도움이 됩니다. WIP 정책을 적용하는 데 필요한 파일의 디지털 서명에 포함된 파일 경로 또는 앱 게시자를 추가할 수 있습니다.

  1. 로컬 보안 정책 스냅인(SecPol.msc)을 엽니다.

  2. 왼쪽 창에서 애플리케이션 제어 정책>AppLocker>실행 파일 규칙을 선택합니다.

  3. 실행 파일 규칙 새 규칙> 만들기를 마우스 오른쪽 단추 클릭합니다.

    실행 파일 규칙을 보여 주는 로컬 보안 스냅인입니다.

  4. 시작하기 전에 페이지에서 다음을 선택합니다.

  5. 사용 권한 페이지에서 작업이허용으로 설정되어 있고 사용자 또는 그룹이모두로 설정되어 있는지 확인한 다음, 다음을 선택합니다.

  6. 조건 페이지에서 경로를 선택한 다음, 다음을 선택합니다.

    실행 파일 규칙 만들기 마법사에서 경로 조건이 선택된 스크린샷

  7. 폴더 찾아보기를 선택하고 서명되지 않은 앱의 경로를 선택합니다. 이 예제에서는 "C:\Program Files"를 사용합니다.

    실행 파일 규칙 만들기 마법사의 경로 필드 스크린샷

  8. 예외 페이지에서 예외를 추가한 다음, 다음을 선택합니다.

  9. 이름 페이지에서 규칙의 이름과 설명을 입력한 다음 만들기를 선택합니다.

  10. 왼쪽 창에서 AppLocker내보내기 정책을 마우스 오른쪽 단추로 > 클릭합니다.

  11. 정책 내보내기 상자에서 정책을 저장해야 하는 위치로 이동하고 정책 이름을 지정한 다음 저장을 선택합니다.

    정책이 저장되고 정책에서 하나의 규칙을 내보냈다는 메시지가 표시됩니다.

  12. XML 파일을 만든 후에는 Microsoft Intune 사용하여 가져와야 합니다.

Microsoft Intune 사용하여 보호된 앱 목록을 가져오려면

  1. 보호된 앱에서 앱 가져오기를 선택합니다.

    보호된 앱을 가져옵니다.

    그런 다음 파일을 가져옵니다.

    Microsoft Intune Intune 사용하여 AppLocker 정책 파일을 가져옵니다.

  2. 내보낸 AppLocker 정책 파일로 이동한 다음 열기를 선택합니다.

    파일이 가져오고 앱이 보호된 앱 목록에 추가됩니다.

WIP 정책에서 앱 제외

앱이 WIP와 호환되지 않지만 엔터프라이즈 데이터와 함께 사용해야 하는 경우 WIP 제한에서 앱을 제외할 수 있습니다. 즉, 앱에 자동 암호화 또는 태그가 포함되지 않으며, 네트워크 제한 사항이 앱에 적용되지 않습니다. 제외된 앱의 경우 누수가 발생할 수 있음을 의미하기도 합니다.

  1. 클라이언트 앱 - 정책 앱 보호앱 제외를 선택합니다.

    앱 제외.

  2. 앱 제외에서 앱 추가를 선택합니다.

    앱을 제외하면 WIP 제한을 무시하고 회사 데이터에 액세스할 수 있습니다.

  3. 추가하는 앱 유형에 따라 나머지 앱 정보를 입력합니다.

  4. 확인을 선택합니다.

엔터프라이즈 데이터에 대한 WIP 보호 모드 관리

WIP로 보호할 앱을 추가한 후 관리 및 보호 모드를 적용해야 합니다.

보호된 앱 목록에 적절한 앱이 있음을 작은 그룹에서 확인할 때 자동 또는 재정의 허용 모드로 시작하는 것이 좋습니다. 완료되면 최종 적용 정책인 차단으로 변경할 수 있습니다.

  1. 앱 보호 정책에서 정책 이름을 선택한 다음 필수 설정을 선택합니다.

    Microsoft Intune 필수 설정은 Windows Information Protection 모드를 표시합니다.

    모드 설명
    차단 WIP에서 부적절한 데이터 공유 사례를 찾아 직원이 작업을 완료할 수 없도록 중지합니다. 여기에는 엔터프라이즈 외부에서 다른 사용자와 장치 간 엔터프라이즈 데이터 공유 이외에 엔터프라이즈에서 보호되지 않는 앱 간 정보 공유가 포함될 수 있습니다.
    재정의 허용 WIP에서 부적절한 데이터 공유를 찾아 직원이 잠재적으로 안전하지 않은 것으로 간주되는 행위를 하는 경우 해당 직원에게 경고합니다. 그러나 이 관리 모드에서는 직원이 정책을 재정의하고 데이터를 공유하여 감사 로그에 작업을 로깅할 수 있습니다. 감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법)을 참조하세요.
    자동 WIP는 재정의 허용 모드에서 직원 상호 작용을 요청하는 메시지를 표시하지 않고 부적절한 데이터 공유를 기록하여 자동으로 실행됩니다. 네트워크 리소스 또는 WIP로 보호된 데이터에 부적절하게 액세스하려는 앱과 같이 허용되지 않는 작업은 계속 중지됩니다.
    꺼짐 WIP가 꺼져 있으며 데이터를 보호하거나 감사할 수 없습니다.

    WIP를 끄면 로컬에 연결된 드라이브에서 WIP 태그가 지정된 파일의 암호를 해독하는 작업이 시도됩니다. WIP 보호를 다시 켜도 이전 암호 해독 및 정책 정보가 자동으로 다시 적용되지는 않습니다. 자세한 내용은 Windows Information Protection 사용하지 않도록 설정하는 방법을 참조하세요.

  2. 저장을 선택합니다.

엔터프라이즈 관리 회사 ID 정의

일반적으로 기본 인터넷 도메인(예: contoso.com)으로 표현되는 회사 ID는 WIP로 보호된 것으로 표시된 앱에서 회사 데이터를 식별하고 태그를 지정하는 데 도움이 됩니다. 예를 들어 contoso.com을 사용하는 메일은 회사로 식별되며 Windows Information Protection에 의해 제한됩니다.

Windows 10 버전 1703부터는 Intune이 자동으로 회사 ID를 확인하여 회사 ID 필드에 이를 추가합니다.

회사 ID를 변경하려면

  1. 앱 정책에서 정책 이름을 선택한 다음 필수 설정을 선택합니다.

  2. 자동 정의 ID가 올바르지 않으면 회사 ID 필드에서 정보를 변경할 수 있습니다.

    Microsoft Intune organization 회사 ID를 설정합니다.

  3. 전자 메일 도메인 이름과 같은 도메인을 추가하려면 고급 설정> 구성네트워크 경계 추가를 선택하고 보호된 도메인을 선택합니다.

    보호된 도메인을 추가합니다.

앱이 엔터프라이즈 데이터에 액세스할 수 있는 위치 선택

앱에 보호 모드를 추가한 후에는 앱이 네트워크에서 엔터프라이즈 데이터에 액세스할 수 있는 위치를 결정해야 합니다. 모든 WIP 정책에는 엔터프라이즈 네트워크 위치가 포함되어야 합니다.

WIP에 포함된 기본 위치는 없습니다. 각 네트워크 위치를 추가해야 합니다. 이 영역은 엔터프라이즈 범위에서 IP 주소를 가져오고 SMB 공유를 비롯한 엔터프라이즈 도메인 중 하나에 바인딩된 모든 네트워크 엔드포인트 디바이스에 적용됩니다. 로컬 파일 시스템 위치에서는 암호화를 유지해야 합니다(예: 로컬 NTFS, FAT, ExFAT)

네트워크 경계를 정의하려면 앱 정책> 정책의 > 이름 고급 설정>네트워크 경계 추가를 선택합니다.

Microsoft Intune 앱이 네트워크의 엔터프라이즈 데이터에 액세스할 수 있는 위치를 설정합니다.

경계 유형 상자에서 추가할 네트워크 경계 유형을 선택합니다. 이름 상자에 경계 이름을 입력하고 다음 하위 섹션에서 다루는 옵션에 따라 상자에 값을 추가한 다음 확인을 선택합니다.

클라우드 리소스

회사로 간주되고 WIP에서 보호되도록 클라우드 리소스를 지정합니다. 각 클라우드 리소스에 대해서도 해당 클라우드 리소스의 트래픽을 라우트하도록 선택적으로 내부 프록시 서버 목록에서 프록시 서버를 지정할 수 있습니다. 내부 프록시 서버를 통해 라우팅되는 모든 트래픽은 엔터프라이즈로 간주됩니다.

여러 리소스를 "|" 구분 기호로 구분합니다. 예시:

URL <,proxy>|URL <,proxy>

개인 애플리케이션은 URL의 후행 점과 같이 빈 공간 또는 잘못된 문자가 있는 클라우드 리소스에 액세스할 수 있습니다.

클라우드 리소스에 대한 하위 도메인을 추가하려면 별표(*) 대신 마침표(.)를 사용합니다. 예를 들어 Office.com 내에 모든 하위 도메인을 추가하려면 따옴표 없이 ".office.com"를 사용합니다.

앱이 IP 주소를 통해 클라우드 리소스에 직접 연결하는 경우와 같은 경우에 Windows는 엔터프라이즈 클라우드 리소스 또는 개인 사이트에 연결하려고 하는지 여부를 알 수 없습니다. 이 경우 Windows는 기본적으로 연결을 차단합니다. Windows가 이러한 연결을 자동으로 차단하지 않도록 하려면 /*AppCompat*/ 문자열을 설정에 추가합니다. 예시:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

이 문자열을 사용하는 경우 조건부 액세스로 보호되는 엔터프라이즈 클라우드 리소스에 앱이 액세스하지 못하도록 차단하는 도메인 가입 또는 준수 옵션으로 표시된 Microsoft Entra 조건부 액세스를 설정하는 것이 좋습니다.

프록시가 있는 값 형식:

contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

프록시가 없는 값 형식:

contoso.sharepoint.com|contoso.visualstudio.com|contoso.onedrive.com,

보호된 도메인

사용자 환경의 ID에 사용되는 도메인을 지정합니다. 이 목록에 표시되는 정규화된 도메인에 대한 모든 트래픽은 보호됩니다. "|" 구분 기호를 사용하여 여러 도메인을 구분합니다.

exchange.contoso.com|contoso.com|region.contoso.com

네트워크 도메인

작업 환경에서 사용되는 DNS 접미사를 지정합니다. 이 목록에 표시되는 정규화된 도메인에 대한 모든 트래픽은 보호됩니다. 여러 리소스를 "" 구분 기호로 구분합니다.

corp.contoso.com,region.contoso.com

프록시 서버

클라우드 리소스 연결을 위해 장치에서 통과하는 프록시 서버를 지정합니다. 이 서버 유형을 사용하면 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다.

이 목록에는 내부 프록시 서버 목록에 나열된 서버가 포함되어서는 안 됩니다. 프록시 서버는 WIP로 보호되지 않는(비-엔터프라이즈) 트래픽에만 사용되어야 합니다. 여러 리소스를 ";" 구분 기호로 구분합니다.

proxy.contoso.com:80;proxy2.contoso.com:443

내부 프록시 서버

클라우드 리소스 연결을 위해 장치에서 통과하는 내부 프록시 서버를 지정합니다. 이 서버 유형을 사용하면 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다.

이 목록에는 프록시 서버 목록에 나열된 서버가 포함되어서는 안 됩니다. 내부 프록시 서버는 WIP로 보호되는(엔터프라이즈) 트래픽에만 사용되어야 합니다. 여러 리소스를 ";" 구분 기호로 구분합니다.

contoso.internalproxy1.com;contoso.internalproxy2.com

IPv4 범위

인트라넷 내에서 유효한 IPv4 값 범위에 대한 주소를 지정합니다. 네트워크 도메인 이름과 함께 사용되는 이러한 주소가 회사 네트워크 경계를 정의합니다. CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다.

여러 범위를 "" 구분 기호로 구분합니다.

시작 IPv4 주소: 3.4.0.1
마지막 IPv4 주소: 3.4.255.254
사용자 지정 URI: 3.4.0.1-3.4.255.254,
10.0.0.1-10.255.255.254

IPv6 범위

Windows 10, 버전 1703부터 이 필드는 선택 사항입니다.

인트라넷 내에서 유효한 IPv6 값 범위에 대한 주소를 지정합니다. 네트워크 도메인 이름과 함께 사용되는 이러한 주소는 회사 네트워크 경계를 정의합니다. CIDR(클래스리스 Inter-Domain 라우팅) 표기법은 지원되지 않습니다.

여러 범위를 "" 구분 기호로 구분합니다.

IPv6 주소 시작:2a01:110::
IPv6 주소 종료:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
사용자 지정 URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,'<br>'fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

중립 리소스

회사에 대한 인증 리디렉션 끝점을 지정합니다. 이러한 위치는 리디렉션하기 전에 연결 컨텍스트에 따라 엔터프라이즈 또는 개인으로 간주됩니다. 여러 리소스를 "" 구분 기호로 구분합니다.

sts.contoso.com,sts.contoso2.com

Windows에서 더 많은 네트워크 설정을 찾을지 여부를 결정합니다.

  • 엔터프라이즈 프록시 서버 목록을 신뢰할 수 있음(자동 검색 안 함) Windows에서 네트워크 경계 정의에 지정한 프록시 서버를 네트워크에서 사용할 수 있는 프록시 서버의 전체 목록으로 처리하도록 하려면 을 켭니다. 이 기능을 해제하면 Windows에서 직접 네트워크에서 더 많은 프록시 서버를 검색합니다.

  • 엔터프라이즈 IP 범위 목록을 신뢰할 수 있음(자동 검색 안 함) Windows에서 네트워크 경계 정의에 지정한 IP 범위를 네트워크에서 사용할 수 있는 IP 범위의 전체 목록으로 처리하려면 켭니다. 이 기능을 해제하면 Windows는 네트워크에 연결된 모든 도메인 가입 디바이스에서 더 많은 IP 범위를 검색합니다.

Microsoft Intune Windows에서 엔터프라이즈에서 더 많은 프록시 서버 또는 IP 범위를 검색할 것인지 선택합니다.

DRA(데이터 복구 에이전트) 인증서 업로드

WIP 정책을 만들고 직원에게 배포한 후 Windows는 직원의 로컬 디바이스 드라이브에서 회사 데이터를 암호화하기 시작합니다. 어떻게든 직원의 로컬 암호화 키가 손실되거나 해지되면 암호화된 데이터를 복구할 수 없게 될 수 있습니다. 이 문제가 발생하지 않도록 DRA(데이터 복구 에이전트) 인증서를 사용하면 데이터의 암호를 해제할 수 있는 개인 키를 유지 관리하면서도 Windows가 포함된 공개 키를 사용하여 로컬 데이터를 암호화할 수 있습니다.

중요

DRA 인증서를 사용하는 것은 필수가 아닙니다. 하지만 강력히 권장합니다. 데이터 복구 인증서를 찾아 내보내는 방법에 대한 자세한 내용은 데이터 복구 및 EFS(파일 시스템 암호화)를 참조하세요. EFS DRA 인증서를 만들고 확인하는 방법에 대한 자세한 내용은 EFS(파일 시스템 암호화) DRA(데이터 복구 에이전트) 인증서 만들기 및 확인을 참조하세요.

DRA 인증서를 업로드하려면

  1. 앱 정책에서 정책 이름을 선택한 다음, 표시되는 메뉴에서 고급 설정을 선택합니다.

    고급 설정 이 표시됩니다.

  2. 암호화된 데이터 복구를 허용하도록 DRA(데이터 복구 에이전트) 인증서 업로드 상자에서 찾아보기를 선택하여 정책에 대한 데이터 복구 인증서를 추가합니다.

    Microsoft Intune DRA(Data Recovery Agent) 인증서를 업로드합니다.

보호된 앱이 네트워크의 엔터프라이즈 데이터에 액세스할 수 있는 위치를 결정한 후 선택적 설정을 선택할 수 있습니다.

고급 선택적 설정입니다.

등록 취소 시 암호화 키 취소. Windows Information Protection 등록을 취소할 때 디바이스에서 사용자의 로컬 암호화 키를 취소할지 여부를 결정합니다. 암호화 키가 해지되면 사용자는 더 이상 암호화된 회사 데이터에 액세스할 수 없습니다. 옵션은 다음과 같습니다.

  • 켜기 또는 구성되지 않음(권장). 등록을 해제하는 동안 장치에서 로컬 암호화 키를 해지합니다.

  • 끄기. 등록을 해제하는 동안 장치에서 로컬 암호화 키를 해지하지 못합니다. 예를 들어 MDM(모바일 장치 관리) 솔루션 간에 마이그레이션하는 경우입니다.

엔터프라이즈 데이터 보호 아이콘을 표시합니다. 다른 이름으로 저장 및 파일 탐색기 보기에서 회사 파일에 Windows Information Protection 아이콘 오버레이를 표시할지 결정합니다. 옵션은 다음과 같습니다.

  • 켜기. 다른 이름으로 저장 및 파일 탐색기 보기에서 회사 파일에 Windows Information Protection 아이콘 오버레이를 표시하도록 허용합니다. 또한 비인식이지만 보호된 앱의 경우 아이콘 오버레이도 앱 타일에 표시되고 시작 메뉴의 앱 이름에 관리되는 텍스트가 표시됩니다.

  • 끄기 또는 구성되지 않음(권장). Windows Information Protection 아이콘 오버레이가 회사 파일 또는 비인증되었지만 보호된 앱에 표시되지 않도록 합니다. 구성되지 않음이 기본 옵션입니다.

WIP에 대해 Azure RMS 사용. WIP가 Microsoft Azure Rights Management를 사용하여 Windows 10 USB 또는 다른 이동식 드라이브로 복사된 파일에 EFS 암호화를 적용하여 직원과 안전하게 공유할 수 있는지 여부를 결정합니다. 즉, WIP는 Azure Rights Management "기계"를 사용하여 이동식 드라이브에 복사할 때 파일에 EFS 암호화를 적용합니다. Azure Rights Management가 이미 설정되어 있어야 합니다. EFS 파일 암호화 키는 RMS 템플릿의 라이선스로 보호됩니다. 해당 템플릿에 대한 권한이 있는 사용자만 이동식 드라이브에서 읽을 수 있습니다. WIP는 EnterpriseDataProtection CSPAllowAzureRMSForEDPRMSTemplateIDForEDP MDM 설정을 사용하여 Azure RMS와 통합할 수도 있습니다.

  • 켜기. 이동식 드라이브에 복사되는 파일을 보호합니다. TemplateID GUID를 입력하여 Azure Rights Management 보호된 파일에 액세스할 수 있는 사용자와 기간을 지정할 수 있습니다. RMS 템플릿은 이동식 미디어의 파일에만 적용되며 액세스 제어에만 사용됩니다. 실제로 파일에 Azure Information Protection 적용하지 않습니다.

    RMS 템플릿을 지정하지 않으면 모든 사용자가 액세스할 수 있는 기본 RMS 템플릿을 사용하는 일반 EFS 파일입니다.

  • 끄기 또는 구성되지 않음. WIP가 이동식 드라이브에 복사된 Azure Rights Management 파일 암호화를 중지합니다.

    참고

    이 설정에 관계없이 이동된 알려진 폴더를 포함하여 비즈니스용 OneDrive 모든 파일이 암호화됩니다.

Windows Search 인덱서가 암호화된 파일을 검색하도록 허용합니다. Windows Search 인덱서가 WIP 보호 파일과 같이 암호화된 항목을 인덱싱하도록 허용할지 여부를 결정합니다.

  • 켜기. Windows Search 인덱서에서 암호화된 파일을 인덱싱하기 시작합니다.

  • 끄기 또는 구성되지 않음. Windows Search 인덱서가 암호화된 파일의 인덱싱을 중지합니다.

암호화된 파일 확장자

엔터프라이즈 네트워크 위치 내의 SMB 공유에서 다운로드할 때 WIP로 보호되는 파일을 제한할 수 있습니다. 이 설정이 구성된 경우 목록에 확장이 있는 파일만 암호화됩니다. 이 설정을 지정하지 않으면 기존 자동 암호화 동작이 적용됩니다.

WIP 암호화된 파일 확장명.