사용자 등록 및 MDM
사용자 등록은 BYOD(개인 기기 사용) 배포, 즉 조직이 아닌 사용자가 기기를 소유하는 환경을 대상으로 설계되었습니다. 사용자 등록은 신원 제공자(IdP), Google Workspace 또는 Microsoft Entra ID나 Apple School Manager 또는 Apple Business Manager 및 타사 MDM 솔루션에서 동작합니다. Apple Business Essential의 기기 관리에서도 사용할 수 있습니다.
MDM에 사용자를 등록하는 네 가지 단계는 다음과 같습니다.
서비스 발견: 기기가 자신을 MDM 솔루션에 알립니다.
사용자 등록: 사용자는 신원 제공자(IdP)에 자격 증명을 제공하여 MDM 솔루션에 등록할 수 있는 권한을 부여받습니다.
세션 토큰: 진행 중인 인증을 허용하도록 기기에 세션 토큰이 발행됩니다.
MDM 등록: MDM 관리자가 구성한 페이로드를 포함한 등록 프로필이 기기로 전송됩니다.
사용자 등록 및 관리형 Apple 계정
사용자 등록에는 관리형 Apple 계정이 필요합니다. 이 계정은 조직이 소유하고 관리하며 직원이 특정 Apple 서비스에 접근하도록 허용합니다. 또한 관리형 Apple 계정은 다음과 같은 상태여야 합니다.
수동으로 생성되거나 연합 인증을 통해 자동으로 생성된 상태
학생 정보 시스템(SIS)과 연결되어 있거나 .csv 파일을 업로드(Apple School Manager만 해당) 중인 상태
Apple School Manager, Apple Business Manager 또는 Apple Business Essential 내 할당된 역할로 로그인하는 용도로도 사용할 수 있는 상태
사용자가 등록 프로필을 제거하면, 해당 등록 프로필을 기반으로 하는 모든 구성 프로필, 해당 설정 및 관리형 앱이 함께 제거됩니다.
사용자 등록은 관리형 Apple 계정과 통합되어 해당 기기에서 사용자의 신원을 확보합니다. 등록을 완료하려면 사용자는 성공적으로 인증을 마쳐야 합니다. 관리형 Apple 계정은 사용자가 이미 로그인하는 데에 사용한 개인 Apple 계정과 함께 사용할 수 있으며, 이 둘은 상호작용을 하지 않습니다.
사용자 등록 및 연합 인증
관리형 Apple 계정을 수동으로 생성할 수 있지만 조직은 IdP, Google Workspace 또는 Microsoft Entra ID 동기화 및 사용자 등록을 활용할 수 있습니다. 이렇게 하려면 조직에서는 다음을 먼저 수행해야 합니다.
IdP, Google Workspace 또는 Microsoft Entra ID로 사용자 자격 증명 관리
Active Directory가 온프레미스 버전인 경우, 연합 인증 준비에 추가적인 구성이 반드시 필요합니다.
Apple School Manager, Apple Business Manager 또는 Apple Business Essential 앱에 조직 로그인
Apple School Manager, Apple Business Manager 또는 Apple Business Essential 앱에 연합 인증 설정
MDM 솔루션을 구성하고 Apple School Manager, Apple Business Manager 또는 Apple Business Essential에 연결하거나 Apple Business Essential에 내장된 기기 관리 사용
관리형 Apple 계정 생성하기(선택 사항)
사용자 등록 및 관리형 앱(macOS)
사용자 등록이 macOS에 관리형 앱을 추가했습니다(이는 기기 등록 및 자동 기기 등록을 통해 이미 제공되는 기능입니다). CloudKit를 사용하는 관리형 앱은 MDM 등록에 연결된 관리형 Apple 계정을 사용합니다. MDM 관리자는 InstallAsManaged 키를 InstallApplication 명령에 추가해야 합니다. iOS 및 iPadOS 앱과 같이, 이러한 앱은 사용자가 MDM에서 등록 해제할 때 자동으로 제거될 수 있습니다.
사용자 등록 및 앱별 네트워크
iOS 16, iPadOS 16.1 및 visionOS 1.1 이상의 앱별 네트워크는 사용자 등록에 등록된 기기에 대한 VPN(앱별 VPN이라고 함), DNS 프록시 및 웹 콘텐츠 필터에 사용할 수 있습니다. 즉, 관리형 앱에서 시작한 네트워크 트래픽만 DNS 프록시, 웹 콘텐츠 필터 또는 둘 다를 통해 전달됩니다. 사용자의 개인 트래픽은 분리된 상태로 유지되며 조직에서 필터링하거나 프록시하지 않습니다. 이 동작은 다음 페이로드에 대한 새로운 키 값 쌍을 사용하여 수행됩니다:
사용자가 개인 기기를 등록하는 방법
iOS 15, iPadOS 15, macOS 14 및 visionOS 1.1 이상의 환경에서, 조직은 설정 앱에 있는 간소화된 사용자 등록 프로세스를 사용하여 사용자가 개인 기기를 더 쉽게 등록하도록 할 수 있습니다.
다음을 수행하십시오.
iPhone, iPad 및 Apple Vision Pro에서 사용자가 이 작업을 수행하려면 설정 > 일반 > VPN 및 기기 관리로 이동한 다음 ‘직장 또는 학교 계정에 로그인’ 버튼을 선택하십시오.
Mac에서 설정 > 개인정보 보호 및 보안 > 프로필로 이동한 다음 ‘직장 또는 학교 계정에 로그인’ 버튼을 선택하십시오.
사용자가 관리형 Apple 계정을 입력하면 서비스 발견에서 MDM 솔루션의 등록 URL을 식별합니다.
그런 다음, 조직의 사용자 이름 및 암호를 입력하십시오. 조직 인증이 성공적으로 완료되면 등록 프로필이 기기로 전송됩니다. 진행 중인 인증을 허용하도록 기기에도 세션 토큰이 발행됩니다. 그런 다음 기기가 등록 프로세스를 시작하고 사용자에게 관리형 Apple 계정으로 로그인하라는 메시지가 표시됩니다. 반복되는 인증 메시지를 줄이기 위해 등록 단일 로그인을 사용하여 iPhone, iPad 및 Apple Vision Pro의 인증 프로세스를 간소화할 수 있습니다.
등록이 완료되면 사용자가 로그인하면 설정 앱(iPhone, iPad 및 Apple Vision Pro) 및 시스템 설정(Mac) 내에서 새로운 관리형 계정이 강조되어 표시됩니다. 이렇게 하면 사용자들은 개인 Apple 계정으로 생성한 iCloud Drive에서 파일에 계속 접근할 수 있습니다. 조직용 iCloud Drive(사용자의 관리형 Apple 계정에 연결됨)는 파일 앱에서 별도로 표시됩니다.
iPhone, iPad 및 Apple Vision Pro에서 관리형 앱 및 웹 기반 문서는 모두 조직의 iCloud Drive에 접근할 수 있지만, MDM 관리자는 특정 제한 사항을 통해 특정 개인 문서와 조직 문서를 분리하여 보관할 수 있습니다. 자세한 정보는 관리형 앱 제한사항 및 기능을 참조하십시오.
사용자는 개인 기기에서 관리되는 항목과 조직에서 제공하는 iCloud 저장 공간 크기에 대한 세부사항을 볼 수 있습니다. 사용자가 기기를 소유하기 때문에, 사용자 등록을 통해 기기에 적용할 수 있는 페이로드와 제한 사항에는 제한이 있습니다. 자세한 정보는 사용자 등록 MDM 정보를 참조하십시오.
Apple이 사용자 데이터를 조직 데이터와 분리하는 방법
사용자 등록이 완료되면 기기에 분리된 암호화 키가 자동으로 생성됩니다. MDM을 사용하여 직접 또는 원격으로 기기를 등록 해제하는 경우, 이 암호화 키는 안전하게 삭제됩니다. 이 키는 아래 나열된 관리 데이터를 암호화하여 분리하는 데 사용됩니다.
앱 데이터 컨테이너: iPhone, iPad, Mac 및 Apple Vision Pro
캘린더: iPhone, iPad, Mac 및 Apple Vision Pro
기기는 iOS 16, iPadOS 16.1, macOS 13 및 visionOS 1.1 이상을 실행하고 있어야 합니다.
키체인 항목: iPhone, iPad, Mac 및 Apple Vision Pro
참고: 타사 Mac 앱은 데이터 보호 키체인 API를 사용해야 합니다. 추가 정보를 보려면 Apple Developer 문서 kSecUseDataProtectionKeychain을 참조하십시오.
이메일 첨부 파일 및 이메일 메시지 본문: iPhone, iPad, Mac 및 Apple Vision Pro
메모: iPhone, iPad, Mac 및 Apple Vision Pro
미리 알림: iPhone, iPad, Mac 및 Apple Vision Pro
기기는 iOS 17, iPadOS 17, macOS 14 및 visionOS 1.1 이상을 실행하고 있어야 합니다.
사용자가 개인 Apple 계정 및 관리형 Apple 계정으로 로그인한 경우, ‘Apple로 로그인’은 관리형 앱의 관리형 Apple 계정과 비관리형 앱의 개인 Apple 계정을 자동으로 사용합니다. 관리형 앱 내의 Safari 또는 SafariWebView에서 로그인 흐름을 사용할 때 사용자는 관리형 Apple 계정을 선택하고 입력하여 로그인을 작업 계정과 연결할 수 있습니다.
시스템 관리자는 MDM으로 권한 설정된 조직의 계정, 설정 및 정보만 관리할 수 있으며 사용자의 개인 계정은 절대 관리할 수 없습니다. 사실은 조직 소유 관리형 앱 내의 데이터를 안전하게 보호하는 것과 똑같은 기능이 기업 데이터 스트림에 사용자의 개인 콘텐츠가 들어가지 않도록 보호합니다.
MDM으로 가능한 작업 | MDM으로 가능하지 않은 작업 |
|---|---|
계정 구성 | 개인정보, 사용 데이터 또는 로그 확인 |
관리형 앱의 인벤토리 확인 | 개인용 앱의 인벤토리 확인 |
관리형 데이터만 제거 | 개인 데이터 제거 |
앱 설치 및 구성 | 개인 앱 관리 인계 |
암호 필요 | 복잡한 암호 필요 |
특정 제한 사항 강제 적용 | 기기 위치 확인 |
앱별 VPN 구성 | 고유 기기 식별자 확인 |
| 원격으로 전체 기기 삭제 |
| 활성화 잠금 관리 |
| 로밍 상태 확인 |
| 분실 모드 켜기 |
참고: iPhone 및 iPad에서 관리자는 최소 6자의 암호를 요구할 수 있고 사용자가 간단한 암호(예: ‘123456’ 또는 ‘abcdef’)를 사용하지 못하도록 할 수는 있지만 복잡한 문자나 암호를 요구할 수는 없습니다.