XenMobile® Server

Windows Information Protection 장치 정책

Windows Information Protection(WIP)은 이전에 엔터프라이즈 데이터 보호(EDP)로 알려졌던, 엔터프라이즈 데이터의 잠재적 유출을 방지하는 Windows 기술입니다. 데이터 유출은 엔터프라이즈 데이터를 엔터프라이즈 보호되지 않은 앱으로 공유하거나, 앱 간에 공유하거나, 조직 네트워크 외부로 공유할 때 발생할 수 있습니다. 자세한 내용은 Windows Information Protection(WIP)을 사용하여 엔터프라이즈 데이터 보호를 참조하십시오.

XenMobile®에서 장치 정책을 생성하여 설정한 적용 수준에서 Windows Information Protection이 필요한 앱을 지정할 수 있습니다. Windows Information Protection 정책은 Windows 10 또는 Windows 11을 실행하는 감독되는 태블릿 및 데스크톱용입니다.

XenMobile에는 몇 가지 일반적인 앱이 포함되어 있으며 다른 앱을 추가할 수 있습니다. 정책에 사용자 환경에 영향을 미치는 적용 수준을 지정합니다. 예를 들어 다음을 수행할 수 있습니다.

  • 부적절한 데이터 공유를 차단합니다.

  • 부적절한 데이터 공유에 대해 경고하고 사용자가 정책을 재정의하도록 허용합니다.

  • 부적절한 데이터 공유를 기록하고 허용하면서 WIP를 자동으로 실행합니다.

Windows Information Protection에서 앱을 제외하려면 Microsoft AppLocker XML 파일에서 앱을 정의한 다음 해당 파일을 XenMobile로 가져옵니다.

이 정책을 추가하거나 구성하려면 구성 > 장치 정책으로 이동합니다. 자세한 내용은 장치 정책을 참조하십시오.

Windows 10 및 Windows 11 설정

장치 정책 구성 화면 이미지

  • 데스크톱 앱(Windows 10 또는 Windows 11 데스크톱), 스토어 앱(Windows 10 또는 Windows 11 태블릿): XenMobile에는 이전 샘플에 표시된 대로 몇 가지 일반적인 앱이 포함되어 있습니다. 필요에 따라 해당 앱을 편집하거나 제거할 수 있습니다.

    다른 앱을 추가하려면: 데스크톱 앱 또는 스토어 앱 테이블에서 추가를 클릭하고 앱 정보를 제공합니다.

    허용된 앱은 엔터프라이즈 데이터를 읽고, 생성하고, 업데이트할 수 있습니다. 거부된 앱은 엔터프라이즈 데이터에 액세스할 수 없습니다. 제외된 앱은 엔터프라이즈 데이터를 읽을 수 있지만 데이터를 생성하거나 수정할 수는 없습니다.

    • AppLocker XML: Microsoft는 WIP와 호환성 문제가 있는 것으로 알려진 Microsoft 앱 목록을 제공합니다. 해당 앱을 WIP에서 제외하려면 찾아보기를 클릭하여 목록을 업로드합니다. XenMobile은 업로드된 AppLocker XML과 구성된 데스크톱 및 스토어 앱을 장치로 전송되는 정책에 결합합니다. 자세한 내용은 Windows Information Protection에 대한 권장 차단 목록을 참조하십시오.

    • 적용 수준: Windows Information Protection이 데이터 공유를 보호하고 관리하는 방법을 지정하는 옵션을 선택합니다. 기본값은 입니다.

      • 0-끔: WIP가 꺼져 있으며 데이터를 보호하거나 감사하지 않습니다.

      • 1-자동: WIP가 자동으로 실행되고, 부적절한 데이터 공유를 기록하며, 아무것도 차단하지 않습니다. Reporting CSP를 통해 로그에 액세스할 수 있습니다.

      • 2-재정의: WIP는 잠재적으로 안전하지 않은 데이터 공유에 대해 사용자에게 경고합니다. 사용자는 경고를 재정의하고 데이터를 공유할 수 있습니다. 이 모드는 사용자 재정의를 포함한 작업을 감사 로그에 기록합니다.

      • 3-차단: WIP는 사용자가 잠재적으로 안전하지 않은 데이터 공유를 완료하지 못하도록 방지합니다.

    • 보호된 도메인 이름: 엔터프라이즈에서 사용자 ID에 사용하는 도메인입니다. 관리되는 ID 도메인 목록은 기본 도메인과 함께 관리 엔터프라이즈의 ID를 구성합니다. 목록의 첫 번째 도메인은 Windows UI에서 사용되는 기본 회사 ID입니다. 목록 항목을 구분하려면 “ “를 사용합니다. 예: domain1.com | domain2.com
    • 데이터 복구 인증서: 찾아보기를 클릭한 다음 암호화된 파일의 데이터 복구에 사용할 복구 인증서를 선택합니다. 이 인증서는 EFS(암호화 파일 시스템)용 DRA(데이터 복구 에이전트) 인증서와 동일하며, 그룹 정책 대신 MDM을 통해 전달됩니다. 복구 인증서를 사용할 수 없는 경우 생성합니다. 자세한 내용은 이 섹션의 “데이터 복구 인증서 생성”을 참조하십시오.

    • 네트워크 도메인 이름: 엔터프라이즈의 경계를 구성하는 도메인 목록입니다. WIP는 이 목록에 있는 FQDN(정규화된 도메인)으로의 모든 트래픽을 보호합니다. 이 설정은 IP 범위 설정과 함께 개인 네트워크에서 네트워크 끝점이 엔터프라이즈인지 개인인지 감지합니다. 목록 항목을 구분하려면 쉼표를 사용합니다. 예: corp.example.com,region.example.com

    • IP 범위: 엔터프라이즈 네트워크의 컴퓨터를 정의하는 엔터프라이즈 IPv4 및 IPv6 범위 목록입니다. WIP는 이러한 위치를 엔터프라이즈 데이터 공유를 위한 안전한 대상으로 간주합니다. 목록 항목을 구분하려면 쉼표를 사용합니다. 예:

      10.0.0.0-10.255.255.255,2001:4898::-2001:4898:7fff:ffff:ffff:ffff:ffff:ffff

    • IP 범위 목록이 신뢰할 수 있음: Windows에서 IP 범위의 자동 감지를 방지하려면 이 설정을 켜기로 변경합니다. 기본값은 입니다.

    • 프록시 서버: 엔터프라이즈에서 회사 리소스에 사용할 수 있는 프록시 서버 목록입니다. 네트워크에서 프록시를 사용하는 경우 이 설정이 필요합니다. 프록시 서버가 없으면 클라이언트가 프록시 뒤에 있을 때 엔터프라이즈 리소스를 사용할 수 없을 수 있습니다. 예를 들어 호텔 및 레스토랑의 특정 Wi-Fi 핫스팟에서 리소스를 사용할 수 없을 수 있습니다. 목록 항목을 구분하려면 쉼표를 사용합니다. 예:

      proxy.example.com:80;157.54.11.113:443

    • 내부 프록시 서버: 장치가 클라우드 리소스에 도달하기 위해 통과하는 프록시 서버 목록입니다. 이 서버 유형을 사용하면 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다. 이 목록에 비WIP 보호 트래픽에 사용되는 프록시 서버 설정의 서버를 포함하지 마십시오. 목록 항목을 구분하려면 쉼표를 사용합니다. 예:

      example.internalproxy1.com;10.147.80.50

    • 클라우드 리소스: WIP로 보호되는 클라우드 리소스 목록입니다. 각 클라우드 리소스에 대해 이 클라우드 리소스에 대한 트래픽을 라우팅하도록 프록시 서버 목록에서 프록시 서버를 선택적으로 지정할 수도 있습니다. 프록시 서버를 통해 라우팅되는 모든 트래픽은 엔터프라이즈 트래픽으로 처리됩니다. 목록 항목을 구분하려면 쉼표를 사용합니다. 예:

      domain1.com:InternalProxy.domain1.com,domain2.com:InternalProxy.domain2.com

    • 등록 취소 시 WIP 인증서 해지: Windows Information Protection에서 등록 취소될 때 사용자 장치에서 로컬 암호화 키를 해지할지 여부를 지정합니다. 암호화 키가 해지되면 사용자는 암호화된 회사 데이터에 액세스할 수 없습니다. 으로 설정하면 키가 해지되지 않으며 사용자는 등록 취소 후에도 보호된 파일에 계속 액세스할 수 있습니다. 기본값은 켜기입니다.

    • 오버레이 아이콘 표시: 탐색기의 회사 파일 및 시작 메뉴의 엔터프라이즈 전용 앱 타일에 Windows Information Protection 아이콘 오버레이를 포함할지 여부를 지정합니다. 기본값은 입니다.

데이터 복구 인증서 생성

Windows Information Protection 정책을 사용하도록 설정하려면 데이터 복구 인증서가 필요합니다.

  1. XenMobile 콘솔이 실행 중인 컴퓨터에서 명령 프롬프트를 열고 인증서를 생성할 폴더(Windows\System32 제외)로 이동합니다.

  2. 다음 명령을 실행합니다:

    cipher /r:ESFDRA

  3. 메시지가 표시되면 개인 키 파일을 보호할 암호를 입력합니다.

    cipher 명령은 .cer 및 .pfx 파일을 생성합니다.

  4. XenMobile 콘솔에서 설정 > 인증서로 이동하여 .cer 파일을 가져옵니다. 이 파일은 Windows 10 및 Windows 11 태블릿에 적용됩니다.

사용자 환경

Windows Information Protection이 적용되면 앱 및 파일에 아이콘이 포함됩니다.

Windows Information Protection 아이콘 예시

Windows Information Protection 아이콘 예시

사용자가 보호된 파일을 보호되지 않은 위치로 복사하거나 저장하면 구성된 적용 수준에 따라 다음 알림이 나타납니다.

알림 예시

Windows Information Protection 장치 정책