Product Documentation

Windows Information Protection 장치 정책

이전의 EDP(엔터프라이즈 데이터 보호)인 WIP(Windows Information Protection)는 엔터프라이즈 데이터의 잠재적 유출을 차단하는 Windows 기술입니다. 데이터 유출은 엔터프라이즈에서 보호되지 않는 앱, 앱 간 또는 조직 네트워크 외부로 엔터프라이즈 데이터를 공유하는 과정에서 발생할 수 있습니다. 자세한 내용은 Microsoft TechNet에서 Protect your enterprise data using Windows Information Protection (WIP)(WIP(Windows Information Protection)를 사용하여 엔터프라이즈 데이터 보호)를 참조하십시오.

XenMobile에서 장치 정책을 생성하여 설정한 적용 수준의 Windows Information Protection이 필요한 앱을 지정할 수 있습니다. Windows Information Protection 정책은 Windows 10 버전 1607 이상의 감독되는 휴대폰, 태블릿 및 데스크톱을 위한 것입니다.

XenMobile에는 자주 사용되는 앱 몇 가지가 포함되어 있으며 다른 앱도 추가할 수 있습니다. 사용자 환경에 영향을 미치는 정책 적용 수준을 지정할 수 있습니다. 예를 들어 다음을 수행할 수 있습니다.

  • 부적절한 데이터 공유 차단

  • 부적절한 데이터 공유에 대해 경고하고 사용자가 정책을 재정의할 수 있도록 허용

  • 부적절한 데이터 공유를 로깅하고 허용하는 동안 WIP를 자동으로 실행

Windows Information Protection에서 앱을 제외하려면 Microsoft AppLocker XML 파일에서 앱을 정의한 다음 이 파일을 XenMobile로 가져옵니다.

이 정책을 추가하거나 구성하려면 구성 > 장치 정책으로 이동합니다. 자세한 내용은 장치 정책을 참조하십시오.

Windows 10 설정

장치 정책 구성 화면 이미지

  • 데스크톱 앱(Windows 10 태블릿), 스토어 앱(Windows 10 Phone 및 태블릿): XenMobile에는 위의 샘플처럼 몇 가지 자주 사용되는 앱이 포함되어 있습니다. 필요에 따라 이러한 앱을 편집하거나 제거할 수 있습니다.

    다른 앱을 추가하려면: 데스크톱 앱 또는 스토어 앱 테이블에서 추가를 클릭하고 앱 정보를 제공합니다.

    허용되는 앱은 엔터프라이즈 데이터를 읽고, 만들고, 업데이트할 수 있습니다. 거부되는 앱은 엔터프라이즈 데이터에 액세스할 수 없습니다. 예외 앱은 엔터프라이즈 데이터를 읽을 수 있지만 데이터를 만들거나 수정할 수는 없습니다.

    • AppLocker XML: Microsoft는 WIP와 호환성 문제가 있는 것으로 알려진 Microsoft 앱의 목록을 제공합니다. 이러한 앱을 WIP에서 제외하려면 찾아보기를 클릭하고 목록을 업로드합니다. XenMobile은 업로드된 AppLocker XML과 구성된 데스크톱 및 스토어 앱을 장치로 전송된 정책에서 결합합니다. 자세한 내용은 Recommended deny list for Windows Information Protection(Windows Information Protection에 대한 권장 거부 목록)을 참조하십시오.

    • 적용 수준: Windows Information Protection이 데이터 공유를 보호하고 관리할 방식을 지정하는 옵션을 선택합니다. 기본값은 꺼짐입니다.

      • 0-꺼짐: WIP가 꺼지며 데이터를 보호 또는 감사하지 않습니다.

      • 1-무음: WIP가 자동으로 실행되면서 부적절한 데이터 공유를 기록하고 아무것도 차단하지 않습니다. 보고 CSP를 통해 로그에 액세스할 수 있습니다.

      • 2-재정의: WIP가 잠재적으로 안전하지 않은 데이터 공유에 대해 사용자에게 경고합니다. 사용자는 경고를 재정의하고 데이터를 공유할 수 있습니다. 이 모드는 사용자 재정의를 포함한 작업을 감사 로그에 기록합니다.

      • 3-차단: WIP는 사용자가 안전하지 않을 수 있는 데이터 공유를 수행하는 것을 차단합니다.

    • 보호되는 도메인 이름: 엔터프라이즈가 사용자 ID에 사용하는 도메인입니다. 관리되는 ID 도메인의 이 목록은 기본 도메인과 함께 관리 엔터프라이즈의 ID를 구성합니다. 목록에서 첫 번째 도메인은 Windows UI에 사용되는 기본 회사 ID입니다. “|“를 사용하여 목록 항목을 구분합니다. 예: domain1.com | domain2.com

    • 데이터 복구 인증서: 찾아보기를 클릭한 다음 암호화된 파일의 데이터 복구에 사용할 복구 인증서를 선택합니다. 이 인증서는 그룹 정책이 아니라 MDM을 통해 배달된다는 점 이외에는 EFS(암호화 파일 시스템)에 대한 DRA(데이터 복구 에이전트)와 동일합니다. 복구 인증서를 사용할 수 없는 경우 새로 만듭니다. 자세한 내용은 이 섹션의 “데이터 복구 인증서 만들기”를 참조하십시오.

    • 네트워크 도메인 이름: 엔터프라이즈의 경계를 구성하는 도메인의 목록입니다. WIP는 목록의 정규화된 도메인에 대한 모든 트래픽을 보호합니다. 이 설정은 IP 범위 설정과 함께 사용되어 네트워크 끝점이 엔터프라이즈인지 아니면 사설망의 개인인지를 감지합니다. 쉼표를 사용하여 목록 항목을 구분합니다. 예: corp.example.com,region.example.com

    • IP 범위: 엔터프라이즈 네트워크의 컴퓨터를 정의하는 엔터프라이즈 IPv4 및 IPv6 범위의 목록입니다. WIP는 이러한 위치를 엔터프라이즈 데이터를 공유해도 안전한 대상으로 고려합니다. 쉼표를 사용하여 목록 항목을 구분합니다. 예:

      10.0.0.0-10.255.255.255,2001:4898::-2001:4898:7fff:ffff:ffff:ffff:ffff:ffff

    • IP 범위 목록을 신뢰할 수 있음: Windows에 의한 IP 범위의 자동 감지를 방지하려면 이 설정을 켜짐으로 변경합니다. 기본값은 꺼짐입니다.

    • 프록시 서버: 엔터프라이즈가 회사 리소스에 사용할 수 있는 프록시 서버의 목록입니다. 네트워크에서 프록시를 사용하는 경우 이 설정이 필요합니다. 프록시 서버가 없으면 프록시 뒤에 있는 클라이언트가 엔터프라이즈 리소스를 사용하지 못할 수 있습니다. 예를 들어 호텔 및 식당의 특정 WiFi 핫스폿에서 리소스를 사용하지 못할 수 있습니다. 쉼표를 사용하여 목록 항목을 구분합니다. 예:

      proxy.example.com:80;157.54.11.118:443

    • 내부 프록시 서버: 장치가 클라우드 리소스에 연결하기 위해 통과하는 프록시 서버의 목록입니다. 이 서버 유형을 사용하면, 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다. 이 목록에 WIP 비보호 트래픽에 사용되는 프록시 서버 설정의 서버를 포함하지 마십시오. 쉼표를 사용하여 목록 항목을 구분합니다. 예:

      example.internalproxy1.com;10.147.80.50

    • 클라우드 리소스: WIP로 보호되는 클라우드 리소스의 목록입니다. 원하는 경우 각 클라우드 리소스에 대해, 이 클라우드 리소스에 대한 트래픽을 라우팅할 프록시 서버 목록의 프록시 서버를 지정할 수도 있습니다. 프록시 서버를 통해 라우팅되는 모든 트래픽은 엔터프라이즈 트래픽으로 취급됩니다. 쉼표를 사용하여 목록 항목을 구분합니다. 예:

      domain1.com:InternalProxy.domain1.com,domain2.com:InternalProxy.domain2.com

    • 잠금 시 보호 필요 설정: Windows 10 Phone 전용입니다. 켜짐인 경우 암호 장치 정책도 필요합니다. 그렇지 않으면 Windows Information Protection 정책 배포가 실패합니다. 또한 정책이 켜짐이면 잠금을 통한 보호 필요 설정이 나타납니다. 기본값은 꺼짐입니다.

    • 잠금을 통한 보호 필요: Windows 10 Phone 전용입니다. 잠긴 장치에서 직원 PIN으로 보호되는 키를 사용하여 엔터프라이즈 데이터를 암호화할지 여부를 지정합니다. 앱은 잠긴 장치의 회사 데이터를 읽을 수 없습니다. 기본값은 켜짐입니다.

    • 등록 취소할 때 WIP 인증서 해지: Windows Information Protection에서 등록 취소될 때 사용자 장치에서 로컬 암호화 키를 해지할지 여부를 지정합니다. 암호화 키가 해지되면 사용자는 암호화된 회사 데이터에 액세스할 수 없습니다. 꺼짐인 경우 키가 해지되지 않으며 사용자는 등록 취소 후에도 보호된 파일에 계속 액세스할 수 있습니다. 기본값은 켜짐입니다.

    • 오버레이 아이콘 표시: 탐색기의 회사 파일 및 시작 메뉴의 엔터프라이즈 전용 앱 타일에 Windows Information Protection 아이콘 오버레이를 포함할지 여부를 지정합니다. 기본값은 꺼짐입니다.

데이터 복구 인증서 만들기

Windows Information Protection 정책을 사용하도록 설정하려면 데이터 복구 인증서가 필요합니다.

  1. XenMobile Server에서 명령 프롬프트를 열고 인증서를 만들려는 폴더(Windows\System32 이외의 폴더)로 이동합니다.

  2. 다음 명령을 실행합니다.

    cipher /r:ESFDRA

  3. 메시지가 나타나면 개인 키 파일을 보호하기 위한 암호를 입력합니다.

    암호화 명령은 .cer 및 .pfx 파일을 생성합니다.

  4. XenMobile 콘솔에서 설정 > 인증서로 이동하고 Windows 10 태블릿과 휴대폰 모두에 적용되는 .cer 파일을 가져옵니다.

사용자 환경

Windows Information Protection이 적용될 때는 앱과 파일에 다음 아이콘이 포함됩니다.

Windows Information Protection 아이콘의 예

Windows Information Protection 아이콘의 예

사용자가 보호되는 파일을 보호되지 않는 위치로 복사하거나 저장할 경우 구성된 적용 수준에 따라 다음 알림이 나타납니다.

알림의 예

Windows Information Protection 장치 정책