개인 기기에 대한 기업 액세스 보안

비즈니스 문제

회사에서 개인 기기에 보안 액세스를 제공하는 것은 쉽지 않습니다.

휴대기기 사용의 급증은 업무 처리 방식의 변화를 가져왔습니다. 직원들은 직장이나 공항을 오가는 길 등 어디서나 비즈니스 앱에 액세스하기를 원합니다.

회사에서 회사 소유의 휴대기기를 제공하는 경우에도 많은 직원이 개인 및 업무 활동에 사용이 편한 기기를 사용하고 싶어 합니다. 이러한 기기는 일반적으로 개인 기기입니다.

회사에서 이렇게 상충하는 요구사항을 수용할 모바일 작업 환경을 제공하는 것에는 어려움이 따릅니다.

  • 직원들에게 편안하고 생산적인 환경
  • 비즈니스 앱 및 회사 데이터에 대한 보안 액세스

회사에서는 개인 휴대기기에서 회사 액세스를 허용하는 새로운 정책을 도입하게 되었습니다. 직원은 선별 및 승인된 앱을 통해서만 회사 정보에 액세스할 수 있습니다.

솔루션

고급 휴대기기 관리를 사용하면 직원이 개인 기기에 필요로 하는 비즈니스 앱을 제공하는 동시에 회사 데이터를 안전하게 보호하는 정책을 구현할 여러 방식을 제공합니다.

승인된 앱의 허용 목록 만들기

허용 목록에는 선별 및 승인된 앱이 포함됩니다.

앱 허용 목록의 목표는 잠재적으로 유해한 앱으로부터 회사 리소스를 보호하는 것입니다. 앱 허용 목록에는 IT 부서에서 선별하여 비즈니스용으로 승인된 앱이 포함됩니다.

업무용 앱 허용 목록을 사용하면 개인 휴대기기에서 업무용 앱을 관리하고 개인 앱을 사용자 제어에 활용할 수 있습니다. Google 그룹스의 특정 조직 또는 그룹에 있는 사용자에게 앱을 배포합니다.

Android 기기용 Managed Google Play 스토어 및 iOS 기기용 Apple App Store 에서 앱을 선택한 다음 허용 목록에 추가합니다. 사용자의 기기에 허용된 앱의 카탈로그가 표시됩니다. 사용자가 허용된 앱을 설치하면 해당 앱은 조직에서 관리합니다. 기기를 분실하거나 도난당한 경우 원격으로 기기를 삭제하여 관리 앱을 삭제할 수 있습니다.

Android 기기에서 직장 프로필 적용

Android 기기의 직장 프로필은 개인 데이터와 업무 데이터를 구분합니다.

개인 Android 5.0 이상 기기의 직장 프로필은 개인 앱, 계정, 데이터와 별도로 관리됩니다. 기업에서 비즈니스 앱과 데이터를 관리합니다. 사용자는 기기의 다른 모든 기능을 제어합니다. 관리 앱(Android 앱 허용 목록에서 승인된 비즈니스 앱)은 Managed Google Play 스토어에서 제공됩니다.

회사의 Android 기기에서 Android 앱 관리를 사용 설정하면 직원이 액세스하도록 선택하거나 직원이 직장 프로필을 사용하도록 요구할 수 있습니다. 직장 프로필이 필요하고 사용자가 직장 프로필이 없는 기기에서 회사 리소스에 액세스하려고 하면 사용자에게 프로필을 만들라는 메시지가 표시됩니다.

iOS 기기에 관리 앱 요구

iOS 기기의 관리 앱을 사용하면 관리 앱과 비관리 앱 간의 파일 공유를 차단합니다.

iOS 앱 허용 목록에 앱을 추가하면 해당 앱을 관리 앱으로 설정할 수 있습니다. 앱을 '관리'로 지정하면 회사에서 관리 iOS 앱 및 개인 iOS 기기에서 데이터를 더 세밀하게 관리할 수 있습니다. 예를 들어 사용자에게 개인 Gmail 계정이 있고 Gmail을 관리 앱으로 지정하면 사용자는 Gmail의 관리 버전을 통해서만 회사 이메일에 액세스할 수 있습니다.

관리 앱과 비관리 앱 간에 파일을 공유할 수는 없습니다. 예를 들어 사용자는 관리 비즈니스 앱의 데이터를 iCloud 또는 iTunes와 같은 외부 항목에 백업할 수 없습니다. 사용자가 비즈니스용 관리 앱에서 PDF 파일을 만드는 경우 개인용 비관리 앱에서는 이 파일을 열 수 없습니다.

사용자가 기기에 관리되지 않는 관리 비즈니스 앱 버전을 이미 보유하고 있는 경우 조직에서 앱을 관리하도록 요청하는 알림이 사용자에게 전송됩니다. 동의하지 않는 경우에도 비관리 개인 앱을 계속 사용할 수 있지만 회사 계정 및 해당 기기에서 관리되는 모든 앱에 액세스할 수 없게 됩니다.

Android 기기에서 관리 구성 설정

일부 Android 앱에는 관리 구성으로 저장할 수 있는 설정이 있습니다. 관리 구성을 사용하면 사용자를 위해 앱을 사전 구성할 수 있습니다. 또한 동일한 앱에 대해 관리 구성을 여러 개 만들어 다양한 그룹 또는 조직에 서로 다른 구성을 적용할 수도 있습니다.

관리자는 VPN 앱과 같은 복잡한 설정으로 앱을 쉽게 배포할 수 있습니다. 직원들은 앱을 구성할 필요가 없습니다. 이렇게 하면 잘못된 구성으로 인해 문제가 발생할 경우 헬프 데스크에서 연락이 오지 않습니다.

승인된 앱을 Android 기기로 자동 푸시

허용 목록을 설정할 때 Android 기기에 핵심 비즈니스 앱을 자동으로 설치하고 특정 조직에 적절한 앱을 할당할 수 있습니다. 사용자는 Google Play에서 앱을 수동으로 다운로드하지 않고도 필요한 앱을 이용할 수 있습니다.

권장사항

고급 휴대기기 관리에서는 개인 휴대기기에서 회사 액세스를 보호할 수 있는 강력한 옵션을 제공합니다. 고급 휴대기기 관리를 사용하려면 Cloud ID Premium에 가입해야 합니다.

승인된 비즈니스 앱의 허용 목록을 만들고 Android 기기에 직장 프로필을 적용하고 iOS 기기에 관리 앱을 요청하는 것이 좋습니다.

앱에서 지원하는 경우 관리 구성을 설정하고 승인된 앱을 Android 기기로 자동으로 푸시하면 관리자와 사용자 모두의 시간을 크게 절약할 수 있습니다. 선택사항이지만 권장됩니다.

타사 제공업체

타사 EMM 제공업체

Cloud ID에서 고급 휴대기기 관리 기능을 사용하려면 Google이 엔터프라이즈 모바일 관리(EMM) 제공업체여야 합니다.

타사 IdP

타사 ID 공급업체(IdP)를 이용하더라도 고급 휴대기기 관리를 사용할 수 있습니다. 이 경우에는 대부분의 사용자 인증이 타사 IdP에서 발생합니다(기기 등록 제외). 사용자는 타사 IdP 사용자 인증 정보를 사용하거나 Cloud ID 계정에서 비밀번호를 사용하여 로그인합니다.

고급 휴대기기 관리를 사용하여 휴대기기에서 업무용 앱에 대한 액세스를 관리하려면 다음 단계를 따르세요.

  • 사용자의 Cloud ID 계정을 만듭니다.
  • 사용자가 관리를 위해 기기를 등록할 때 타사 IdP 사용자 인증 정보가 아닌 Cloud ID 사용자 인증 정보를 입력해야 합니다.

예시

회사는 고급 휴대기기 관리를 사용하여 개인 기기에서 회사 데이터를 보호할 수 있습니다.

회사 A는 직원 중 40% 이상이 휴대기기를 사용해 회사 리소스에 액세스하는 것으로 추정합니다. 이 회사에서는 직원이 회사 소유 및 제어된 기기를 사용하지 않도록 결정했습니다. 비용이 많이 들고 직원들이 개인적 업무와 업무 활동 모두에 개인용 기기를 사용하는 것을 선호하기 때문입니다.

사용자 친화적인 업무 환경을 증진하기 위해, 회사 A에서는 직원이 개인 기기를 업무용으로 사용할 수 있도록 합니다. 회사의 보안을 희생하고 싶지는 않습니다. 회사 A는 고급 휴대기기 관리를 사용하여 개인 데이터와 회사 데이터를 안전하게 보호하는 모바일 정책을 구현할 계획입니다.

회사 A가 모바일 환경을 설정하는 방법은 다음과 같습니다.

Cloud ID Premium에 가입

Google 모바일 관리의 고급 휴대기기 관리 기능은 Cloud ID Premium 버전에서만 사용할 수 있으므로, 회사 A는 Cloud ID Premium에 가입합니다.

사용자 계정을 만들고 조직에 앱 할당

IT팀에서 사용자를 Cloud ID에 추가할 때 각 사용자를 특정 조직의 구성원으로도 지정합니다. IT팀은 다음과 같이 특정 조직에 적절한 앱을 할당합니다.

  • 상위 조직에 메시징, HR, 공동작업 앱 할당(모든 직원이 사용 가능)
  • 영업 조직에 고객 관계 관리(CRM) 할당
  • 지원 조직에 고객지원 앱 할당

특정 조직 단위에 적절한 앱을 할당합니다.

고급 휴대기기 관리 설정

IT팀에서 고급 관리 기능을 사용 설정하고 Android 사용자를 위한 Android 앱 관리를 사용 설정한 후 iOS 사용자를 위한 iOS 푸시 인증서를 설정합니다.

기기 승인 설정은 선택사항이지만 회사 A는 이를 구현하기로 결정합니다. 사용자는 휴대기기에서 최신 운영체제 버전을 실행하지 않았을 때 비즈니스 앱 관련 문제를 보고했습니다. IT팀에서는 모든 휴대기기가 최신 상태인지 확인하려고 합니다.

IT팀은 기기 승인을 사용하여 모델 또는 운영체제와 같은 기기 특성을 확인하고 직원이 사용할 수 있는 기기를 정의합니다. API를 사용하여 수동이나 또는 프로그래매틱 방식으로, 또는 규칙을 사용해 특성을 확인할 수 있습니다. 규칙은 API처럼 세밀하게 세분화를 제공하지는 않지만 더욱 쉽게 배포할 수 있습니다. IT팀은 규칙을 사용하여 최신 버전의 운영체제를 실행하는 기기만 승인합니다. 회사 리소스에 액세스하려면 기기가 규정을 준수하도록 합니다.

허용된 업무용 앱 시행

IT팀에서 직원이 메시지, 공동작업, 회의 앱과 같은 비즈니스 앱을 사용하도록 허용 목록에 추가합니다. 이때 Google Play 스토어와 App Store에서 앱을 선택하고 허용 목록에 앱을 추가합니다(Android용 및 iOS 기기용 앱).

회사 A는 사용자에게 비즈니스 앱을 추천하는 것 그 이상을 하고자 합니다. 바로 직원이 회사 리소스에 액세스할 때 승인된 비즈니스 앱만 사용하도록 요구하는 것입니다. IT 부서는 Android 기기에서 직장 프로필을 시행하기로 선택합니다. 사용자가 직장 프로필을 허용하지 않고 이를 선택 해제할 수 없는 이상 회사 데이터는 동기화할 수 없습니다. 직장 프로필이 없는 Android 기기가 이미 관리를 위해 등록된 경우 사용자에게 프로필을 만들라는 메시지가 표시됩니다.

IT 부서는 iOS 기기에 관리 앱을 설치해야 합니다. 고급 휴대기기 관리 기능이 휴대기기에 비관리 버전의 앱이 있으면 감지합니다. 회사 리소스에 액세스하려면 사용자가 앱 관리를 사용 설정해야 합니다.

Android 기기용 복잡한 앱 사전 구성

VPN 구성에서 발생하는 지원 호출을 방지하기 위해 A 회사에서는 Android 기기에서 관리 구성을 지원하는 VPN 앱으로 이전을 결정합니다. IT 부서는 관리자가 자신의 앱에서 관리 구성으로 저장할 수 있는 설정을 갖도록 다른 앱 공급업체와 협력할 계획입니다.

승인된 앱을 Android 기기로 푸시

사용자의 편의를 위해 IT팀은 각 조직의 승인된 비즈니스 앱을 해당 조직의 사용자에게 푸시합니다. 또한 사용자가 앱을 찾고 다운로드할 때 잠재적인 지원 호출을 하지 않아도 IT 관련 시간을 절약할 수 있습니다.

사용자에게 알리기

IT팀은 직원이 휴대기기를 관리한다는 사실을 알리고 클라우드 ID 사용자 인증 정보를 사용해 고급 관리에 기기를 등록하라는 메시지를 확인할 수 있습니다.

등록하려면 Android 기기를 사용하는 사용자가 Google Apps Device Policy 앱과 직장 프로필을 설치합니다. iOS 기기 사용자는 Google Device Policy 앱과 기기 정책 프로필을 설치합니다. 앱 및 프로필은 기기가 IT에서 설정한 정책을 준수하는지 확인합니다. 회사 데이터를 동기화할 수 있는 기기만 등록할 수 있습니다.