기기 관리자 지원 중단

요약

Android는 원래 Android 2.2의 휴대기기 관리를 위한 지원을 도입했습니다. 그 이후로 기업의 니즈가 변화했습니다. 기기에서 점점 더 많은 기밀 리소스에 액세스하고 Android의 원래 기기 관리 API 설계 대상보다 더 다양한 사용 사례에 사용되고 있습니다. 사용 사례는 다음과 같습니다.

  • 혼용 또는 BYOD(Bring Your Own Device) 배포 시 개인 데이터와 업무 데이터 분리
  • Google Play를 통한 비즈니스 애플리케이션 배포 및 데이터 관리, 여기에 필요한 Google 계정 관리
  • 기기를 키오스크에 고정하여 특정 애플리케이션 용도에 맞게 조정합니다.
  • PKI 보안 리소스에 대한 액세스를 허용하는 인증서 관리
  • 개인 정보를 보호하면서 원격 엔터프라이즈 애플리케이션을 지원하기 위한 앱별 및 프로필별 VPN 설정

동시에 기업에서는 기기 관리자가 지원하도록 설계된 것보다 더 높은 신뢰 관계를 요구했습니다. 기기 관리자는 사용자가 승인한 모든 애플리케이션에서 사용 설정할 수 있으므로 다음과 같은 일부 엔터프라이즈 사용 사례는 지원되지 않습니다.

  • 기기를 계속 관리하고 직원이 퇴사해도 기기를 복구할 수 있도록 초기화 보호 (FRP) 설정
  • 암호화된 기기에서 기기 비밀번호를 안전하게 재설정합니다.
  • 기기 관리자를 삭제하지 못하게 합니다 (보안상의 이유로 Nougat에서 삭제됨).
  • 사용자가 기기에 액세스할 수 없도록 관리자가 정의한 비밀번호 설정(보안상의 이유로 Android 7.0 Nougat에서 삭제됨)

기기 관리자는 Android의 관리 기기 (기기 소유자) 및 직장 프로필 (프로필 소유자) 모드가 Android 5.0에 도입된 이후 레거시 관리 방식으로 간주되었습니다. 기기 관리자는 오늘날의 기업 요구사항을 지원하기에 적합하지 않으므로 고객과 파트너는 관리 기기 및 직장 프로필 모드를 채택하여 지금부터 기기를 관리하는 것이 좋습니다. 이러한 전환을 지원하고 리소스를 Android의 현재 관리 기능에 집중하기 위해 Google은 Android 9.0 버전에서 엔터프라이즈용 기기 관리를 지원 중단했으며 Android 10.0 버전에서는 이러한 기능을 삭제할 예정입니다.

지원 중단된 정책

Android 9.0이 출시되면 기기 관리자가 호출할 때 다음 정책이 지원 중단된 것으로 표시되지만, 그렇지 않은 경우에는 API가 계속 작동합니다.

Android 10.0 버전부터 API 수준 29를 타겟팅하는 앱에서 기기 관리자가 호출할 때 위에 언급된 정책에서 SecurityException이 발생합니다.

Android 11.0 출시에서는 기기 관리자가 호출할 때 USES_POLICY_RESET_PASSWORD가 지원 중단된 것으로 표시되고 작동이 중지됩니다. API 수준 24 이상을 타겟팅하는 앱에서 SecurityException이 발생합니다.

일부 애플리케이션은 소비자 기기 관리(예: 분실 기기 잠금 및 완전 삭제)에 기기 관리자를 사용합니다. 이 기능을 사용 설정하기 위해 다음 정책은 계속 사용할 수 있습니다.

구현 업데이트

위 섹션에서 지원 중단된 것으로 표시된 키가드 및 비밀번호 정책을 대체하려면 Exchange ActiveSync 배포를 관리하는 앱을 비롯한 앱이 화면 잠금 품질 검사에 설명된 방법을 사용해야 합니다.

일정

Android 9.0: 문서 업데이트를 통해 기기 관리자는 엔터프라이즈용으로 지원 중단된 것으로 표시됩니다. 기존 기능은 API 수준 28을 타겟팅하는 애플리케이션에서 계속 작동하지만 이 기능을 사용하지 않는 것이 좋습니다. 모든 파트너와 고객은 Android 10.0 출시 전에 직장 프로필 또는 완전 관리형 기기로 이전해야 합니다.

Android 10.0: API 수준 29를 타겟팅하는 DPC에서 더 이상 위의 정책을 사용할 수 없습니다.

IT 관리자에게 미치는 영향

파트너와 고객은 이러한 변화에 미리 대비하는 것이 좋습니다. 기기 관리를 활성화할 때 화면 (예는 그림 1 참고)으로 기기 관리자 사용 여부를 식별할 수 있습니다.

기기 관리자 활성화 예
그림 1. 기기 관리자가 활성화되면 시스템에서 이러한 활동을 표시합니다.

현재 기기 관리자를 사용하여 기기를 관리하고 있다면 두 가지 전략을 사용하여 Android의 현재 관리 API로 이전할 수 있습니다. 관리를 위해 기기를 등록하려면 Android의 직장 프로필 (프로필 소유자) 또는 관리 기기 (기기 소유자) 모드를 지원하는 엔터프라이즈 모바일 관리 (EMM) 제공업체가 필요합니다. 고객은 배포에 가장 적합한 관리 모드를 선택해야 합니다. 경우에 따라, 두 전략을 동시에 사용할 수 있습니다.

호환되는 제품의 목록은 여기에서 확인할 수 있습니다. EMM 소프트웨어 제공업체에서 제공하는 제품에 관한 구체적인 지침을 제공할 수 있습니다.

개인용 (Bring Your Own Device) 기기 관리

개인 기기에서는 Android의 직장 프로필 모드가 지원됩니다. 직장 프로필은 사용자의 업무 및 개인 애플리케이션과 기기의 데이터를 분리하는 OS 수준 컨테이너를 제공하기 위해 EMM에 의해 배포됩니다. 조직은 관리 Google Play를 사용하여 애플리케이션을 배포할 수 있는 기능과 함께 데이터가 실수로 또는 승인되지 않은 애플리케이션에 의도적으로 공유되지 않도록 할 수 있는 이점을 더 많이 누릴 수 있습니다. IT 관리자는 사용자가 조직을 떠나는 경우 사용자의 자체 파일과 별도로 엔터프라이즈 데이터를 선택적으로 초기화할 수 있습니다.

회사 소유 기기 관리

회사 소유 Android 기기는 관리 기기 모드로 기기를 배포하여 지원됩니다. 관리 기기가 Android 기기 및 데이터의 전체 수명 주기 관리를 제공할 수 있는 EMM을 사용하여 등록되었습니다. 여기에는 하드웨어 기능 잠금, 초기화 및 등록 해제 방지, 전체 기기의 관리 원격 초기화 및 재설정, 키오스크 또는 단일 애플리케이션 배포 지원을 포함한 애플리케이션 맞춤설정이 포함됩니다. 일반적으로 관리형 기기 모드를 사용하는 조직은 세 가지 배포 유형 중 하나 이상을 관리하지만 조직의 요구사항에 따라 조직의 Fleet 전반에서 이러한 유형을 조합할 수 있습니다.

  • 작업 전용: 일반적으로 작업 전용 배포는 기기를 다양한 애플리케이션에 사용하는 작업자를 대상으로 합니다. 이 방법은 개인적인 용도로 사용할 수 없습니다.
  • 개인 사용 설정: 일반적으로 개인적으로 사용 설정된 배포는 고용주가 제공한 기기를 가지고 있지만 기기에서 개인 애플리케이션을 사용할 수 있는 유연성을 원하는 직원을 대상으로 합니다. 관리 기기에 직장 프로필을 배포하면 직원이 회사 데이터를 손상시키지 않으면서 개인 애플리케이션과 함께 업무 애플리케이션을 실행할 수 있습니다.
  • 전용 기기: 일반적으로 전용 기기 배포에는 '기업 소유, 일회용' 또는 'COSU'라고도 하는 관리 기기가 포함됩니다. 이 기기는 직원이 실행해야 하는 특정 업무 기능에 맞게 기기를 잠그기 위해 하드웨어와 애플리케이션을 잠급니다.

회사 소유 기기는 전체 기기 완전 삭제 및 초기화 보호 정책을 포함한 전체 기기 수명 주기를 관리할 수 있으므로 관리 기기로 배포하는 것이 좋습니다.

고객을 위한 마이그레이션 안내

BYOD: 직장 프로필 배포에 대한 기기 관리자

직장 프로필은 모든 개인 소유 기기에 사용하는 것이 좋습니다. 기존 기기 관리자에서 직장 프로필로 이전하는 작업은 중단을 최소화하면서 처리할 수 있습니다. 이는 개인 기기를 푸시하여 직장 프로필을 설치하거나 기존 기기가 단계적으로 제외되므로 새 기기를 직장 프로필로 등록하여 처리할 수 있습니다.

회사 소유 기기: 관리 기기의 기기 관리자

회사 소유 기기는 완전 관리형 기기로 설정하는 것이 좋습니다. 기기 관리자에서 관리 기기로 기기를 이전하려면 기기를 초기화해야 합니다. 이는 사용자에게 더 방해가 되므로 새 기기는 완전 관리형 기기로 등록되지만 기존 기기는 기기 관리자에 그대로 유지되는 단계별 도입을 권장합니다.

마이그레이션 유형

일부 일반적인 마이그레이션 전략은 간단히 다음과 같이 정의됩니다.

  • 빅뱅: 대규모의 기존 사용자는 하나 이상의 대규모 업그레이드를 통해 관리 기기 또는 직장 프로필로 업그레이드하라는 요청을 받습니다.

  • 단계적 채택: 신규 사용자 및 기기가 등록되면 새로운 관리 모드로 구성됩니다. 오래된 기기 관리 기기는 자연스러운 감소를 통해 기기에서 노화됩니다.

FAQ

구형 기기는 어떨까요?

Android 10.0이 출시되면 이 기능을 실행하는 모든 기기가 관리 기기 또는 직장 프로필 모드를 지원할 것으로 예상됩니다. 오래된 기기는 교체될 때까지 앞서 설명한 대로 이전하거나 기기 관리를 사용하여 관리할 수 있습니다.

EMM에서 제공하지 않으며 기기 관리자를 사용하는 앱이 있는 경우 어떻게 해야 하나요?

이메일 애플리케이션과 같은 애플리케이션이 이메일 서버에 시행되는 엔터프라이즈 정책에 대한 응답으로 기기 관리자가 되는 경우가 있습니다. 이러한 애플리케이션은 Android 10.0 출시와 동일한 제한사항이 적용됩니다. 즉, 기기 관리자가 될 수 있지만 비밀번호 정책이나 하드웨어 제한사항을 시행할 수는 없습니다. 사용 사례에 따라 이러한 애플리케이션은 다음과 같이 될 수 있습니다.

  • 직장 프로필 자체를 확장합니다 (DPC가 됨).
  • 사용자에게 (필요한 경우 다른 DPC에서 제어) 다른 EMM으로 애플리케이션을 설정하라는 메시지를 표시합니다.
  • 자체 (인앱) 비밀번호 제한을 구현하도록 선택합니다.

이러한 앱에는 기기가 EMM에서 관리되는지 감지하고 관리를 위해 EMM 공급자에 적용되는 메커니즘이 있는 것이 좋습니다. 이러한 감지는 모바일 구성 관리 (MCM)를 통한 토큰 교환을 통해 달성할 수 있습니다.

Android 10.0이 출시되면 어떻게 되나요?

지원 중단된 동작은 작동을 중지하고 Android 10.0을 실행하고 해당 API 수준을 타겟팅하는 앱의 보안 예외를 반환합니다.