기기 관리자 지원 중단

요약

Android는 원래 Android 2.2에서 휴대기기 관리를 지원했습니다. 이후 기업의 니즈도 변화했습니다. 기기는 점점 더 많은 기밀 리소스에 액세스하고 있으며 Android의 기존 기기 관리 API보다 더 다양한 사용 사례에 사용되고 있습니다. 사용 사례는 다음과 같습니다.

• 혼합 사용 또는 BYOD 배포의 개인 데이터와 업무 데이터의 분리
• Google Play를 통해 비즈니스 애플리케이션을 배포하고 데이터를 관리하고 이를 위해 필요한 Google 계정을 관리합니다.
• 특정 애플리케이션 용도에 맞게 기기를 키오스크에 고정
• PKI 보안 리소스에 대한 액세스를 허용하는 인증서 관리
• 개인 정보를 보호하면서 원격 엔터프라이즈 애플리케이션을 지원하기 위한 앱별 및 프로필별 VPN 설정

동시에 기업은 기기 관리자가 지원하도록 설계된 것보다 더 높은 신뢰 관계를 요구했습니다. 기기 관리자는 사용자가 승인한 모든 애플리케이션에서 사용 설정할 수 있으므로 다음과 같은 여러 엔터프라이즈 사용 사례를 지원하지 않습니다.

• 초기화 관리 (FRP)를 설정하여 기기를 관리 상태로 유지하고 직원이 퇴사할 때 기기를 복구할 수 있습니다.
• 암호화된 기기에서 기기 비밀번호를 안전하게 재설정합니다.
• 기기 관리자 삭제 방지 (보안상의 이유로 Nougat에서 삭제됨)
• 사용자가 기기를 잠그지 않도록 관리자가 정의한 비밀번호를 설정합니다(보안상의 이유로 Android 7.0 Nougat에서 삭제됨).

Android 5.0에 Android의 관리 기기 (기기 소유자)와 직장 프로필 (프로필 소유자) 모드가 도입된 이후 기기 관리자는 기존 관리 접근 방식으로 간주되었습니다. 기기 관리자는 오늘날의 엔터프라이즈 요구사항을 지원하는 데 적합하지 않으므로, 앞으로는 고객과 파트너에게 관리 기기 및 직장 프로필 모드를 도입하여 기기를 관리하는 것이 좋습니다. 이 전환을 지원하고 Android의 현재 관리 기능에 리소스를 집중하기 위해 Google은 Android 9.0 버전에서 엔터프라이즈용 기기 관리자 지원을 중단했으며 Android 10.0 버전에서 이러한 기능을 삭제할 예정입니다.

지원 중단된 정책

Android 9.0 출시에서는 기기 관리자가 호출할 때 다음 정책이 지원 중단된 것으로 표시되지만 API는 계속 작동합니다.

• USES_POLICY_DISABLE_CAMERA
• USES_POLICY_DISABLE_KEYGUARD_FEATURES
• USES_POLICY_EXPIRE_PASSWORD
• USES_POLICY_LIMIT_PASSWORD

Android 10.0 출시부터 기기 관리자가 API 수준 29를 타겟팅하는 앱에서 위에 언급된 정책을 호출하면 SecurityException이 발생합니다.

Android 11.0 출시부터 USES_POLICY_RESET_PASSWORD는 기기 관리자가 호출할 때 지원 중단된 것으로 표시되고 작동이 중지됩니다. API 수준 24 이상을 타겟팅하는 앱에서 SecurityException이 발생합니다.

일부 기기는 소비자 기기 관리에 기기 관리자를 사용합니다(예: 분실 기기 잠금 및 완전 삭제). 이 기능을 사용 설정하기 위해 다음 정책을 계속 사용할 수 있습니다.

• USES_POLICY_WIPE_DATA
• USES_POLICY_FORCE_LOCK

구현 업데이트

위 섹션에서 지원 중단된 것으로 표시된 키가드 및 비밀번호 정책을 바꾸려면 Exchange ActiveSync 배포를 관리하는 앱을 포함하여 앱이 화면 잠금 품질 확인에 설명된 방법을 사용해야 합니다.

타임라인

Android 9.0: 기기 업데이트를 문서 업데이트를 통해 엔터프라이즈용으로 지원 중단된 것으로 표시합니다. API 수준 28을 타겟팅하는 애플리케이션에서는 기존 기능을 계속 사용할 수 있지만 사용을 피하는 것이 좋습니다. 모든 파트너와 고객은 Android 10.0 출시 전에 직장 프로필 또는 완전 관리형 기기로 이전해야 합니다.

Android 10.0: 위 정책은 API 수준 29를 타겟팅하는 DPC에서 더 이상 사용할 수 없습니다.

IT 관리자에게 미치는 영향

파트너와 고객은 지금 바로 이 변경사항에 대비하는 것이 좋습니다. 기기 관리를 활성화할 때 기기 관리 사용은 화면 (예: 그림 1 참고)에서 식별할 수 있습니다.

현재 기기 관리자를 사용하여 기기를 관리하는 경우 두 가지 전략을 사용하여 Android의 현재 관리 API로 이동할 수 있습니다. 관리를 위해 기기를 등록하려면 Android의 직장 프로필 (프로필 소유자) 또는 관리 기기 (기기 소유자) 모드를 지원하는 엔터프라이즈 모바일 관리 (EMM) 공급자가 필요합니다. 고객은 배포에 가장 적합한 관리 모드를 선택해야 합니다. 경우에 따라 두 전략을 동시에 사용할 수 있습니다.

호환되는 제품 목록은 여기에서 확인할 수 있습니다. EMM 소프트웨어 제공업체는 자사 제품에 대한 구체적인 안내를 제공할 수 있습니다.

개인 기기 (직접 구매) 관리

개인 기기는 Android의 직장 프로필 모드에서 지원됩니다. EMM은 직장 프로필을 배포하여 사용자의 업무와 개인 애플리케이션, 기기 데이터를 분리하는 OS 수준 컨테이너를 제공합니다. 조직은 관리 Google Play를 사용하여 애플리케이션을 배포할 수 있는 기능과 함께 데이터가 실수로 또는 고의로 승인되지 않은 애플리케이션과 공유되지 않도록 보장합니다. IT 관리자는 사용자가 조직을 떠나는 경우 사용자의 파일과는 별도로 기업 데이터를 선택적으로 완전 삭제할 수 있습니다.

회사 소유 기기 관리

회사 소유 Android 기기는 관리 기기 모드에서 기기를 배포하여 지원됩니다. 관리 기기는 Android 기기 및 데이터에 대한 전체 수명 주기 관리를 제공할 수 있는 EMM을 사용하여 등록됩니다. 여기에는 하드웨어 기능 잠금, 초기화 및 등록 해제 방지, 전체 기기의 원격 원격 초기화 및 재설정, 키오스크 또는 단일 애플리케이션 배포 지원을 포함한 애플리케이션 조정이 포함됩니다. 일반적으로 관리 기기 모드를 사용하는 조직은 세 가지 배포 유형 중 하나 이상을 관리하지만, 요구사항에 따라 조직의 Fleet 전체에서 사용할 수 있습니다.

• 작업 전용: 작업 전용 배포는 일반적으로 다양한 애플리케이션에서 기기를 사용하는 작업자를 타겟팅합니다. 개인용으로는 이 방법을 사용할 수 없습니다.
• 개인 지원: 개인이 사용하는 배포는 일반적으로 고용주가 기기를 제공한 작업자를 대상으로 하지만, 기기에서 개인 애플리케이션을 유연하게 사용할 수 있기를 원합니다. 관리 기기에 직장 프로필을 배포하면 직원이 회사 데이터를 손상시키지 않으면서 개인 애플리케이션과 함께 직장 애플리케이션을 실행할 수 있습니다.
• 전용 기기: 전용 기기 배포는 일반적으로 '기업 소유, 일회용' 또는 'COSU'라고도 하는 관리 기기를 포함하며, 하드웨어와 애플리케이션을 잠가 직원이 기기를 사용해야 하는 특정 직무에 맞게 기기를 제한합니다.

회사 소유 기기는 전체 기기 초기화 및 초기화 보호 정책을 포함한 전체 기기 수명 주기를 관리할 수 있으므로 관리 기기로 배포하는 것이 좋습니다.

고객을 위한 이전 안내

BYOD: 기기 관리에서 직장 프로필 배포에 이르기까지

직장 프로필은 모든 개인 소유 기기에 사용하는 것이 좋습니다. 기존 기기 관리자에서 직장 프로필로의 마이그레이션을 최소한의 중단으로 처리할 수 있습니다. 이 문제는 개인 기기가 직장 프로필을 설치하도록 푸시하거나 기존 기기가 Fleet을 벗어나면서 새 기기를 직장 프로필에 등록하도록 하여 처리할 수 있습니다.

회사 소유 기기: 기기 관리 대상 기기

회사 소유 기기는 완전 관리형 기기로 설정하는 것이 좋습니다. 기기 관리자에서 관리 기기로 기기를 이전하려면 초기화해야 합니다. 이 경우 사용자에게 불편을 야기하므로 새로운 기기를 완전 관리형 기기로 등록하지만 기존 기기는 기기 관리자에 남겨 두는 단계별 도입을 권장합니다.

마이그레이션 유형

몇 가지 일반적인 마이그레이션 전략은 간단히 정의됩니다.

• 빅뱅: 기존 사용자 중 상당수가 하나 이상의 대규모 업그레이드에서 관리 기기 또는 직장 프로필로 업그레이드하라는 요청을 받습니다.

• 단계별 채택: 신규 사용자와 새 기기는 등록 시 새로운 관리 모드로 구성됩니다. 이전 기기 관리 기기는 자연스러운 사용 중단으로 인해 기기 상태가 오래되었습니다.

FAQ

이전 기기는 어떻게 되나요?

Android 10.0이 출시되면 Android 10을 실행하는 모든 기기는 관리 기기 또는 직장 프로필 모드를 지원해야 합니다. 이전 기기는 앞에서 설명한 대로 이전하거나 대체될 때까지 기기 관리자를 사용하여 관리할 수 있습니다.

EMM을 사용하지 않고 기기 관리 앱을 사용하는 앱이 있는 경우 어떻게 해야 하나요?

경우에 따라 이메일 애플리케이션과 같은 애플리케이션은 이메일 서버에 시행되는 엔터프라이즈 정책에 대응하여 기기 관리자가 될 수 있습니다. 이러한 애플리케이션에는 Android 10.0 출시와 동일한 제한사항이 적용됩니다. 기기 관리자가 될 수 있지만 비밀번호 정책 또는 하드웨어 제한사항을 시행할 수는 없습니다. 사용 사례에 따라 이러한 애플리케이션은 다음을 수행할 수 있습니다.

• 직장 프로필을 확장합니다 (DPC가 됨).
• 필요한 경우 다른 DPC가 제어하는 다른 EMM으로 애플리케이션을 설정하라는 메시지를 사용자에게 표시합니다.
• 자체 (비밀번호) 비밀번호 제한을 구현하도록 선택합니다.

이러한 앱에는 기기를 EMM에서 관리하는지 감지하고 관리를 위해 EMM 제공업체를 따르도록 하는 메커니즘이 있는 것이 좋습니다. 모바일 구성 관리 (MCM)를 통한 토큰 교환을 통해 이러한 감지를 수행할 수 있습니다.

Android 10.0이 출시되면 어떻게 되나요?

지원 중단된 동작은 작동을 멈추고 Android 10.0을 실행하고 해당 API 수준을 타겟팅하는 앱의 보안 예외를 반환합니다.