Skip to main content

소비자 주도를 위한 Microsoft 기술

게시 날짜: 2011년 4월 19일

작업 환경은 변화하고 있으며 업무와 사생활의 경계가 점차 흐려지고 있습니다. 이제 더 이상 업무가 사무실에만 국한되지 않습니다. 집에서 밤 늦은 시간에 전자 메일을 확인하고 사무실에서 근무 시간에 자신의 소셜 미디어를 업데이트하는 모습을 쉽게 볼 수 있습니다. 또한 데스크톱 컴퓨터에서 벗어나서 이동식 컴퓨터, 슬레이트, 그리고 스마트폰 사용이 증가하는 추세입니다.

이러한 추세에 힘을 실어준 것 중 하나는 다양한 장치에서 컴퓨팅 파워가 크게 높아졌다는 것입니다. 이제 스마트폰과 미디어 태블릿과 같은 소비자 장치도 이전에 데스크톱 및 이동식 컴퓨터에서 실행하던 응용 프로그램을 충분히 실행할 수 있을 만큼 강력해졌습니다. 많은 작업자들에게 이러한 장치는 더 효과적으로 업무를 수행할 수 있도록 도와주는 미래의 컴퓨팅을 의미합니다.

IT(정보 기술) 인프라의 유연성이 떨어지는 것처럼 느껴지는 환경에서 작업자들은 자신이 사용할 수 있는 여러 소비자 장치를 선호하게 됩니다. IT에 있어 이것은 엔터프라이즈 및 데이터에 대한 위험을 최소화하면서 소비자 주도를 상황에 맞게 수용해야 하는 과제를 의미합니다. 소비자 장치 중에는 업무용으로 디자인되지 않은 것들이 많으므로 요구되는 관리 및 제어 수준을 구현하려면 IT가 세심하게 계획을 수행해야 합니다.

Microsoft는 업무 및 소비자 기술의 선두 기업으로서 엔터프라이즈에서 책임감 있게 소비자 주도를 수용하는 방법을 안내해야 하는 고유한 입장에 있습니다. 이전 백서 소비자 주도를 수용하기 위한 전략에서 최근의 수비자 주도를 수용하기 위한 구체적인 전략을 제시했습니다. 이 기사에서는 앞서 언급한 백서에서 해당하는 다양한 시나리오에 대해 권장했던 구체적인 기술을 설명합니다.

이 기사의 내용:


Windows 데스크톱 최적화

Windows 데스크톱 최적화는 비즈니스 및 IT의 구체적인 필요를 충족하면서 사용자 생산성을 향상시킬 수 있는 클라이언트 컴퓨팅의 선택을 제공합니다. Windows 데스크톱 최적화는 Windows 7 Enterprise 운영 체제에 기반을 두며, Microsoft System Center를 통해 관리되고, Microsoft Forefront Endpoint Protection에 의해 보호됩니다. 여기에는 가상 데스크톱 인프라를 비롯한 VM(가상 컴퓨터)과 실제 컴퓨터에 대한 통합된 관리를 제공하는 가상화 기술이 포함되어 있습니다. Microsoft Office 2010, Windows Internet Explorer 9 및 MDOP(Microsoft Desktop Optimization Pack)를 추가하여 작업 인력의 생산성, 관리성 및 보안성을 향상시키십시오.

이 섹션에서는 IT가 Windows 7을 실행하는 다기능 장치에서 소비자 주도를 수용하는 데 도움이 되는 Windows 데스크톱 최적화의 세부적인 기술을 집중적으로 다룹니다. 이러한 기술을 통해 소비자 주도 시나리오에서 응용 프로그램 및 사용자 데이터 관리, 데이터 보호, 네트워크 보호, 그리고 지적 재산 보호와 같은 과제를 해결할 수 있습니다.

응용 프로그램 관리

소비자 주도 시나리오에서 응용 프로그램 관리란 응용 프로그램을 프로비저닝하고 사용자가 자신의 컴퓨터에서 사용할 수 있는 응용 프로그램을 제어하는 것을 의미합니다. System Center Configuration Manager 2007 및 Microsoft App-V(Application Virtualization)는 핵심 배포 기술입니다. 부가적으로 AppLocker는 응용 프로그램에 대한 액세스를 제어하는 데 사용할 수 있는 Windows 7 Enterprise 기능입니다.

구성 관리자는 응용 프로그램 패키지를 작성, 수정, 그리고 엔터프라이즈 내의 컴퓨터에 배포하는 복잡한 작업을 관리하는 데 사용할 수 있는 풍부한 도구와 리소스 집합을 제공합니다. 기존 구성 관리자 인프라를 사용하여 응용 프로그램을 배포하는 작업은 매우 간단합니다. TechNet의 소프트웨어 배포를 위한 관리자 워크플로에는 이 프로세스가 자세하게 설명되어 있습니다.

  1. 응용 프로그램 설치 파일을 포함하는 소프트웨어 배포 패키지를 만듭니다.
  2. 패키지에 포함할 프로그램을 만듭니다. 다른 옵션 중에서도 프로그램은 응용 프로그램 패키지를 설치하는 데 필요한 명령을 정의합니다.
  3. 패키지를 배포 지점으로 배포합니다.
  4. 패키지를 조직의 컴퓨터에 광고합니다.

System Center Essentials를 사용하는 조직에서는 이를 사용하여 응용 프로그램을 배포할 수 있습니다. Essentials에 대한 자세한 내용은 System Center Essentials를 참조하십시오. 응용 프로그램 배포를 위한 기술 지침은 System Center Essentials 2010 운영 가이드에 있습니다.

Windows 7 Enterprise는 실제 또는 가상 응용 프로그램에 대한 액세스를 제어하기 위해 AppLocker를 제공합니다. AppLocker는 이전 Windows 버전의 소프트웨어 제한 정책 기능을 대체하는 새로운 기능입니다. 이 기능은 관리 오버헤드를 줄이고 프로그램 파일, 스크립트 및 Windows Installer 파일에 대한 사용자의 액세스를 제어하도록 지원할 수 있는 능력을 추가합니다. AppLocker를 사용하여 응용 프로그램에 대한 물리적인 액세스를 제어하면 라이선스 없는 응용 프로그램, 악성 응용 프로그램 및 무단 응용 프로그램이 실행되는 것을 방지할 수 있습니다.

AppLocker를 사용하려면 GPO(그룹 정책 개체)를 만들고 내부에 AppLocker 규칙을 정의하면 됩니다. 규칙에서 프로그램 파일, 스크립트 또는 Windows Installer 파일에 대한 특정 사용자 또는 그룹의 액세스를 허용 또는 거부할 수 있습니다. 파일은 디지털 서명에서 게시자, 제품 이름, 파일 이름 및 파일 버전을 비롯한 파일 특성을 바탕으로 식별합니다. 예를 들어 업데이트하더라도 유지되는 제품 이름 및 파일 버전 특성을 기준으로 규칙을 만들거나 특정 파일 버전을 대상으로 하는 규칙을 만들 수 있습니다. 파일에 대한 액세스 허용 또는 거부 외에도 예외를 정의할 수 있습니다. 예를 들어 레지스트리 편집기(regedit.exe)를 제외한 Windows 7에서 제공하는 모든 프로그램을 허용하는 규칙을 만들 수 있습니다.

AppLocker는 놀라울 정도로 구성 및 배포하기 쉽습니다. 제공되는 마법사를 통해 프로그램 파일, 스크립트 및 Windows Installer 설치 파일에 대한 규칙을 직관적으로 정의할 수 있습니다. 그러나 AppLocker는 사용자가 규칙에서 명시적으로 정의되지 않은 파일을 열거나 실행하는 것을 차단하므로 환경에서 사용 중인 응용 프로그램의 인벤토리를 살펴본 후에 AppLocker 배포를 계획해야 합니다. AppLocker에 대한 자세한 내용은 TechNet에서 AppLocker를 참조하십시오.

사용자 환경 가상화

소비자 주도를 수용하기 위한 구체적인 과제로 컴퓨터를 두 대 이상 업무에 사용하는 사용자에 대한 지원이 있습니다. 이 시나리오는 최종 사용자와 IT 전문가 모두에게 까다로울 수 있습니다. 사용자가 한 컴퓨터에서 다른 컴퓨터로 로밍할 때 사용자의 파일과 설정이 따라오지 않기 때문입니다. 예를 들어 사용자가 자신의 업무용 컴퓨터에서 문서를 만든 경우 슬레이트로 로그온하거나 Windows PC가 아닌 VM을 통해 로그온한 경우 만든 문서를 즉시 사용할 수 없습니다. IT에 있어서 파일 및 설정이 중앙에 저장되지 않은 경우 더 까다로운 과제가 될 수 있습니다. 파일을 백업하기 어렵고 보호하기도 어렵습니다. 그리고 여러 PC에 분산되어 있으므로 중요한 파일의 가용성을 관리하기도 어렵습니다.

이러한 과제를 해결하기 위한 방법으로 사용자 상태 가상화가 있습니다. 이 기술은 사용자 파일 및 설정을 중앙에 저장하여 백업 및 보호를 수월하게 합니다. 이를 통해 중요한 파일의 가용성을 관리할 수 있게 됩니다. 또한 사용자 상태 가상화를 통해 사용자 파일 및 설정을 사용자를 따라 PC에서 PC로, 심지어 VM으로 가져올 수 있습니다. Windows 7에는 사용자 상태 가상화를 위한 세 가지 기술이 있습니다.

  • 로밍 사용자 프로필은 사용자 프로필(레지스트리 하이브 파일을 포함하여 C:\Users\Username에 저장된 파일)을 네트워크 공유에 저장하는 기능을 제공합니다. Windows 7은 사용자가 컴퓨터에 로그온 및 로그오프할 때 로컬 및 원격 사용자 프로필을 동기화합니다. 자세한 내용은 폴더 리디렉션 및 사용자 프로필의 새로운 기능을 참조하십시오.
  • 폴더 리디렉션은 사용자 프로필의 문서, 사진 및 비디오와 같은 폴더를 네트워크 공유로 리디렉션합니다. 폴더를 리디렉션하여 로밍 사용자 프로필의 크기를 줄이고 로그온 및 로그오프 성능을 개선할 수 있습니다. 폴더 리디렉션은 그룹 정책을 사용하여 구성합니다. 로밍 사용자 프로필과 폴더 리디렉션 간의 중요한 차이점은 로밍 사용자 프로필은 주로 설정을 위해 사용되며, 폴더 리디렉션은 문서를 위해 사용된다는 것입니다. 자세한 내용은 폴더 리디렉션 및 사용자 프로필의 새로운 기능을 참조하십시오.
  • 오프라인 파일은 Windows 7에서 기본적으로 활성화된 기능으로서 네트워크 연결이 끊어졌을 때 로컬로 복사본을 캐싱하여 리디렉션된 폴더 및 다른 공유 폴더 콘텐츠로 작업할 수 있는 기능입니다. 오프라인 파일은 다음 연결되었을 때 변경 내용을 동기화합니다. 자세한 내용은 오프라인 파일의 새로운 기능을 참조하십시오.

Infrastructure Planning and Design: Windows 사용자 상태 가상화 가이드에서는 사용자 상태 가상화를 구현하는 데 도움이 되는 내용이 있습니다.

로컬 데이터 보안

BitLocker 드라이브 암호화는 고정 드라이브 및 운영 체제 드라이브에 저장된 데이터를 보호하도록 지원하는 Windows 7 Enterprise의 필수적인 보안 기능입니다. BitLocker는 설치된 운영 체제를 비활성화 또는 우회하거나 하드 드라이브를 물리적으로 제거하여 수행하는 공격인 오프라인 공격으로부터 보호해 줍니다. BitLocker는 사용자가 필요한 암호 또는 스마트 카드 자격 증명이 있거나 올바른 키가 있는 BitLocker로 보호되는 컴퓨터에서 데이터 드라이브를 사용하는 경우에만 드라이브의 데이터를 읽을 수 있고 드라이브로 데이터를 기록할 수 있도록 보장합니다.

BitLocker 보호 기능은 운영 체제 드라이브에서 TPM(Trusted Platform Module)과 함께 PIN(개인 인증 번호) 또는 시작 키를 사용하는 이중 인증이나 키를 USB 플래시 드라이브에 저장하거나 TPM만 사용하는 단일 인증을 지원합니다. BitLocker와 TPM을 사용하면 데이터 보호 수준을 높이고 초기 부팅 구성 요소 무결성을 보장할 수 있습니다. 이 옵션을 사용하려면 TPM 마이크로칩과 BIOS가 있어야 합니다.

  • 호환되는 TPM은 버전 1.2 TPM으로 정의됩니다.
  • 호환 BIOS는 Trusted Computing Group에서 정의한 대로 TPM 및 Static Root of Trust Measurement를 지원해야 합니다. TPM 사양에 대한 자세한 내용은 Trusted Computing Group 웹 사이트에서 TPM 사양 섹션을 참조하십시오.

TPM은 BitLocker 운영 체제 드라이브 보호와 상호 작용하여 시스템 시작 시 보호를 제공합니다. 이 과정은 사용자가 볼 수 없으며 사용자 로그온 환경은 달라지지 않습니다. 그러나 시작 정보가 변경되면 BitLocker가 복구 모드로 전환되며 사용자는 복구 암호 또는 복구 키를 사용하여 데이터에 다시 액세스해야 합니다.

Windows 7용 BitLocker 드라이브 암호화 배포 가이드에서는 BitLocker 배포를 위한 자세한 지침을 제공합니다. 또한 BitLocker를 관리하기 위한 다양한 그룹 정책 설정이 있습니다. 이에 대한 자세한 내용은 BitLocker 그룹 정책 참조에서 알아볼 수 있습니다. MDT(Microsoft Deployment Toolkit) 2010 또는 구성 관리자를 사용하여 배포 중에 BitLocker를 프로비전할 수 있습니다. 자세한 내용은 MDT 2010 설명서를 참조하십시오.

Windows 7 Home Premium 및 Windows 7 Professional에는 BitLocker가 포함되어 있지 않습니다. 직원들에게 이러한 운영 체제를 실행하는 장치를 사용하도록 허용하는 경우 EFS(파일 시스템 암호화)를 사용하여 이러한 컴퓨터에서 기업 데이터를 보호하도록 지원할 수 있습니다. 그러나 EFS는 BitLocker와 같은 전체 볼륨 암호화는 제공하지 않습니다. 대신 사용자가 암호화하려는 폴더 및 암호를 선택해야 합니다. Windows 7의 EFS에 대한 자세한 내용은 파일 시스템 암호화를 참조하십시오.

참고: Windows 7 Home Premium 또는 Windows 7 Professional을 실행하는 사용자는 언제든지 비용을 지불하고 Windows Anytime Upgrade를 사용하여 Windows 7 Ultimate로 업그레이드할 수 있습니다. 이 경우 BitLocker를 사용할 수 있게 됩니다. Windows Anytime Upgrade에 대한 자세한 내용은 Windows Anytime Upgrade를 참조하십시오.

이동식 저장소

Windows 7 Enterprise에서 BitLocker To Go를 사용하면 BitLocker 기능을 USB 플래시 드라이브와 같은 이동식 장치에서 사용할 수 있습니다. 사용자는 암호 또는 스마트 카드를 사용하여 이동식 드라이브를 암호화할 수 있습니다. 권한 있는 사용자는 Windows 7, Windows Vista 또는 Windows XP를 실행하는 PC에서 BitLocker To Go Reader를 사용하여 정보를 볼 수 있습니다. 또한 그룹 정책을 사용하여 모든 이동식 저장소 장치에 대한 쓰기 작업을 수행할 때 데이터 보호를 요구하고 보호되지 않는 저장소 장치는 읽기 전용 모드로 사용하도록 할 수 있습니다.

Windows 7 BitLocker 드라이브 암호화 배포 가이드에서 BitLocker To Go를 사용하는 데 대한 자세한 지침을 볼 수 있습니다. 또한 그룹 정책 설정을 사용하여 BitLocker To Go를 관리할 수 있으며 BitLocker 그룹 정책 참조에서 이에 대한 내용을 볼 수 있습니다.

백업

Windows 7 백업 및 복원 기능으로 사용자의 가장 중요한 개인 파일의 안전한 복사본을 만들 수 있습니다. 이 기능은 Windows가 백업할 항목을 선택하도록 하거나 사용자가 개별 폴더, 라이브러리 및 드라이브를 선택하고 가장 편리한 일정에 따라 백업하도록 할 수 있습니다. Windows에서는 다른 드라이브 또는 DVD로 백업하는 기능을 지원합니다. Windows 7 Professional, Windows 7 Ultimate 및 Windows 7 Enterprise는 네트워크 위치로 파일을 백업하는 기능도 지원합니다.

Windows 7은 사용자가 자신의 장치에서 사용할 수 있는 기본 제공 백업 기능을 제공하며, System Center DPM(Data Protection Manager) 2010을 활용하면 조직에서 대부분의 복구 요청이 집중되는 단기간 백업을 위해서는 디스크의 편리함과 신뢰성을 활용하고, 장기간 보관이 필요한 경우에는 테이프 및 다른 이동식 미디어의 보안을 활용하는 2계층 백업 솔루션을 구축할 수 있습니다. 이러한 2계층 시스템을 사용하면 테이프 백업 솔루션과 관련된 문제를 줄이고 동시에 오프사이트에 장기간 보관 파일을 유지 관리할 수 있습니다.

DPM 2010에는 소비자 주도 시나리오에서 중요한 기능인 네트워크에 항상 연결되지는 않는 랩톱 컴퓨터 및 슬레이트와 같은 클라이언트 컴퓨터를 보호하는 지원이 추가되었습니다. 또한 사용자가 백업 관리자를 기다리지 않고 자신의 데이터를 복구할 수 있습니다. DPM 2010에 대한 자세한 내용은 System Center Data Protection Manager 2010에서 볼 수 있습니다.

네트워크 액세스

Forefront UAG(Unified Access Gateway) 2010은 원격 클라이언트 끝점에 웹 사이트를 통해 기업 응용 프로그램, 네트워크 및 내부 리소스에 대한 액세스를 제공합니다. 클라이언트 끝점은 Windows를 실행하는 컴퓨터뿐만 아니라 Windows가 아닌 다른 장치도 포함됩니다. 다음 시나리오를 지원합니다.

  • Forefront UAG를 게시 서버로 사용. Forefront UAG를 구성하여 기업 응용 프로그램 및 리소스를 게시하고 원격 사용자가 광범위한 끝점 및 위치에서 체계적인 방법으로 이러한 응용 프로그램에 액세스하도록 허용할 수 있습니다.
  • Forefront UAG를 DirectAccess 서버로 사용. Forefront UAG를 DirectAccess 서버로 구성하고 DirectAccess를 혜택을 인프라로 확장하여 확장성을 높이고 배포 및 지속적인 관리를 간소화할 수 있습니다. Forefront UAG DirectAccess는 인터넷 액세스가 가능한 사용자에게 내부 네트워크에 대한 매끄러운 연결 환경을 제공합니다. 내부 리소스에 대한 요청은 VPN 연결을 요구하지 않고 안전하게 내부 네트워크로 전달됩니다.
  • 단일 및 다중 서버 배포. 단일 서버를 게시 서버 및 Forefront UAG DirectAccess 서버로 구성하거나 확장성과 고가용성을 위해 여러 서버를 배포할 수 있습니다.

TechNet의 인프라 계획 및 디자인: Forefront Unified Access Gateway에서 Forefront UAG 배포를 디자인하는 데 대한 지침을 볼 수 있습니다. 추가적인 자세한 기술 지침은 TechNet의 Forefront UAG(Unified Access Gateway)에서 볼 수 있습니다.

네트워크 보안

NAP(Network Access Protection)에는 네트워크에 연결하는 컴퓨터에 필요한 소프트웨어 및 시스템 구성을 정의하는 상태 요구 사항을 만들고 적용할 수 있는 클라이언트 및 서버 구성 요소가 포함되어 있습니다. NAP는 클라이언트 컴퓨터의 상태를 조사 및 평가하고 비준수 클라이언트 컴퓨터의 네트워크 액세스를 제한하며, 비준수 클라이언트 컴퓨터의 문제를 해결하여 제한 없는 네트워크 액세스를 제공함으로써 상태 요구 사항을 적용합니다. NAP는 네트워크에 연결하려는 클라이언트 컴퓨터에 상태 요구 사항을 적용합니다. NAP는 정책을 준수하는 클라이언트 컴퓨터가 네트워크에 연결되어 있는 동안 지속적으로 상태를 준수하도록 강제할 수도 있습니다.

NAP 적용은 클라이언트 컴퓨터가 RRAS(Routing and Remote Access)를 실행하는 VPN(가상 사설망) 서버와 같은 네트워크 액세스 서버를 통해 네트워크에 액세스하려고 시도하거나 클라이언트가 다른 네트워크 리소스와 통신하려고 시도할 때 수행됩니다. NAP가 적용되는 방법은 선택한 적용 방법에 따라 달라집니다. NAP는 다음 항목에 대해 상태 요구 사항을 적용합니다.

  • IPsec(인터넷 프로토콜 보안) 보호 통신
  • IEEE(Institute of Electrical and Electronics Engineers) 802.1X 인증 연결
  • VPN 연결
  • DHCP(Dynamic Host Configuration Protocol) 구성
  • TS 게이트웨이(터미널 서비스 게이트웨이) 연결

NAP 배포를 디자인하는 데 대한 자세한 내용은 NAP(Network Access Protection) 디자인 가이드에서 볼 수 있습니다. NAP(Network Access Protection) 배포 가이드에서 위에 나오는 시나리오에 대한 자세한 기술적 지침을 볼 수 있습니다.

NAP에서는 구성 관리자를 사용하여 시스템 상태 요구 사항에 소프트웨어 업데이트를 포함시킬 수 있습니다. 구성 관리자 NAP 정책은 포함할 소프트웨어 업데이트를 정의하며 구성 관리자 시스템 상태 검사기 점수는 클라이언트의 정책 준수 여부 상태를 NPS(네트워크 정책 서버)로 전달합니다. 그러면 NPS가 클라이언트에 전체 또는 제한된 네트워크 액세스를 제공할지, 그리고 비준수 클라이언트의 문제를 해결하여 준수 상태로 만들 것인지 여부를 결정합니다 구성 관리자의 NAP에 대한 자세한 내용은 구성 관리자의 NAP를 참조하십시오.

정보 보호

소비자 주도를 수용하는 경우 로컬 데이터 및 네트워크 액세스에 대한 보안 외에 지적 재산과 같은 비즈니스 정보에 대한 액세스 보호도 중요한 고려 사항입니다. 이 정보를 보호하는 데는 두 가지 기술을 사용할 수 있습니다.

  • RMS(Rights Management Services). AD RMS(Active Directory Rights Management Services) 및 AD RMS 클라이언트를 사용하여 정보를 어디로 이동하든지 정보와 함께 유지되는 지속적인 사용 정책으로 정보를 보호함으로써 조직의 보안 정책을 강화할 수 있습니다. AD RMS를 사용하여 재무 보고서, 제품 사양, 고객 데이터 및 기밀 전자 메일 메시지와 같은 중요한 정보가 의도적으로 또는 실수에 의해 유출되는 것을 방지할 수 있습니다. AD RMS와 통합할 수 있는 응용 프로그램의 예에는 Microsoft Exchange Server 2010 및 Microsoft Office SharePoint Server 2010이 있습니다. AD RMS에 대한 자세한 내용은 AD RMS(Active Directory Rights Management Services)에서 알아볼 수 있습니다.
  • 파일 분류 인프라. 이러한 유형의 데이터 관리와 관련된 비용 및 위험을 줄이기 위해 Windows Server 2008 R2의 파일 분류 인프라에서는 파일을 분류하고 이러한 분류에 따라 정책을 적용할 수 있는 플랫폼을 제공합니다. 저장소 레이아웃은 데이터 관리 요구 사항의 영향을 받지 않으므로 변화하는 비즈니스 및 규정 환경에 맞게 더 쉽게 적응할 수 있습니다. 파일은 다양한 방법으로 분류할 수 있습니다. 또한 파일 분류를 바탕으로 파일 관리 정책을 지정하고 비즈니스 가치를 바탕으로 데이터를 관리하기 위해 자동으로 기업 요구 사항을 적용할 수 있습니다. 손쉽게 정책을 수정하고 분류를 지원하는 도구를 사용하여 자신들의 파일을 관리할 수 있습니다. 예를 들어 기밀이라는 단어가 포함된 파일에 대한 권한을 자동으로 관리할 수 있습니다. 파일 분류 인프라에 대한 자세한 내용은 파일 분류 인프라 작업에서 알아볼 수 있습니다.

Windows 클라우드 서비스

Windows 데스크톱 최적화를 지원하기 위한 리소스 또는 인프라가 없는 조직에서는 Windows Intune을 사용하여 주요 관리 및 보안 기능을 제공할 수 있습니다. Windows 데스크톱 최적화를 배포한 조직에서는 관리되지 않는 컴퓨터(사용자가 직장으로 가져온 Windows를 실행하는 가정용-사무용 컴퓨터 및 소비자 장치)를 Windows Intune(그림 1)을 사용하여 관리할 수 있습니다.

Windows Intune 인터페이스

그림 1. Windows Intune

Windows Intune을 사용하면 Windows 클라우드 서비스 및 업그레이드 라이선스의 조합을 통해 환경에 있는 컴퓨터를 관리하고 보호할 수 있습니다. Windows Intune은 단일 웹 기반 관리 콘솔을 통해 클라우드 기반 관리 및 보안 기능을 제공합니다. Windows Intune을 사용하면 거의 어디에서든지 컴퓨터를 관리할 수 있으며, 이를 위해 각각의 관리되는 컴퓨터에 Windows Intune 클라이언트가 설치되어 있어야 하고 인터넷에 연결할 수 있어야 합니다. 또한 유효한 Windows Intune 구독을 보유하고 있는 경우 Windows 향후 버전으로 업그레이드할 수 있는 권한이 있으며 Windows에 대한 동일한 Microsoft Software Assurance 프로그램 혜택을 받을 수 있습니다.

Windows Intune 관리자 콘솔은 Microsoft Silverlight를 지원하는 거의 모든 브라우저에서 관리할 수 있도록 관리 작업을 다음과 같은 작업 영역으로 구성합니다.

  • 시스템 개요. 시스템 개요 작업 영역은 조직 전체에 걸쳐 컴퓨터의 전반적인 상태 평가, 문제 식별, 컴퓨터 그룹 작성 및 보고서 보기와 같은 기본적인 관리 작업을 수행하기 위한 시작 지점을 제공합니다.
  • 컴퓨터. 컴퓨터 작업 영역을 사용하면 용이하고 유연한 관리를 위해 컴퓨터 그룹을 만들고 관리할 수 있습니다. 조직의 필요(예: 지리적 위치, 부서 또는 하드웨어 특성)에 맞게 그룹을 구성하고 그룹 내에서 컴퓨터를 이동할 수 있습니다.
  • 업데이트. 업데이트 작업 영역을 사용하여 조직 내의 모든 관리되는 컴퓨터의 소프트웨어 업데이트 프로세스를 효과적으로 관리할 수 있습니다. Windows Intune 관리자 콘솔에서는 업데이트 관리를 위한 최선의 방법을 지원하고 권장하며 사용자의 환경과 수행해야 하는 작업에 집중할 수 있도록 지원합니다.
  • 끝점 보호. Windows Intune 끝점 보호는 잠재적인 위협에 대한 실시간 보호를 제공하고, 악성 소프트웨어 정의를 최신으로 유지하며, 자동으로 검사를 실행하여 조직에서 관리되는 컴퓨터의 보안을 개선하도록 지원합니다. Windows Intune 관리 콘솔에서는 관리되는 컴퓨터에서 악성 소프트웨어가 탐지되거나 컴퓨터가 보호되지 않는 경우 영향을 받는 컴퓨터를 신속하게 식별하고 적절한 작업을 수행할 수 있도록 상태 요약을 제공합니다.
  • 알림. 알림 작업 영역을 사용하여 조직에서 관리되는 컴퓨터의 전반적인 상태를 신속하게 평가할 수 있습니다. 알림에서는 잠재적인 문제 또는 현재 문제를 식별하고 적절한 조치를 수행하여 비즈니스 운영에 대한 부정적인 영향을 방지하거나 최소화합니다. 예를 들어 최근의 모든 알림을 보고 컴퓨터의 전반적인 상태를 파악할 수 있습니다. 또는 특정 컴퓨터 그룹의 구성원이나 끝점 보호와 같은 특정 작업 영역에서 발생하는 세부적인 문제를 조사하고 싶을 수 있습니다. 필터를 사용하면 특정 보안 수준의 모든 알림을 볼 수 있으며 활성화 또는 종료된 알림을 표시할 수 있습니다.
  • 소프트웨어. 소프트웨어 작업 영역에는 Windows Intune을 사용하여 관리하는 모든 클라이언트 컴퓨터에 설치된 프로그램이 나열되며, 여기에서 소프트웨어 게시자, 이름, 설치 횟수 또는 분류를 기준으로 인벤토리를 정렬할 수 있습니다. 목록에는 각 고유 소프트웨어 타이틀이 한 항목으로 나타납니다. 특정 소프트웨어를 검색할 수도 있습니다.
  • 라이선스. 라이선스 작업 영역에서는 Microsoft 소프트웨어 사용 조건 정보를 MVLS(Microsoft Volume Licensing Services)로 업로드하고 Microsoft 볼륨 라이선스 계약 집합에 해당하는 라이선스 자격을 확인할 수 있습니다.
  • 정책. 정책 작업 영역을 사용하여 컴퓨터에서 업데이트, Endpoint Protection, Windows 방화벽 및 Windows Intune Center의 설정을 관리하는 Windows Intune 정책을 구성할 수 있습니다. 템플릿을 기반으로 정책을 작성하고, 정책 설정을 구성한 다음, 컴퓨터 그룹으로 정책을 배포할 수 있습니다. 정책 템플릿에는 설정 설명 및 권장 값이 포함되어 있습니다. 또한 이름이나 설명을 기준으로 정책을 검색할 수 있습니다.
  • 보고서. Windows Intune 관리자 콘솔의 다른 작업 영역에서도 검색 및 필터링 기능을 제공하지만 보고서 작업 영역을 사용하면 더 자세한 보고서를 얻고 정보를 인쇄하거나 내보낼 수 있습니다. 보고서 작업 영역은 업데이트, 소프트웨어 및 라이선스에 대한 보고서를 제공합니다. 예를 들어 License Reconciliation(라이선스 조정) 보고서에는 소프트웨어와 라이선스를 비교한 세부적인 목록이 나옵니다.
  • 관리. 관리 작업 영역에서는 클라이언트 소프트웨어 최신 버전을 다운로드하고, Windows Intune 계정에 대한 자세한 내용(예: 계정 이름, 상태 및 활성 사용자 수)을 보며, 관리자를 계정으로 추가할 수 있습니다. 관리 작업 영역의 도구를 사용하여 조직의 관리되는 컴퓨터에 배포하려는 업데이트의 종류를 구성하고 특정한 알림이 생성되었을 때 조직의 다른 사람에게 전자 메일 통지를 전송할 수도 있습니다. 또한 환경에서 가장 중요한 알림에 집중하도록 특정한 유형의 알림을 활성화 및 비활성화할 수 있습니다.

원격 관리 알림은 관리되는 컴퓨터에서 발생하는 문제 해결을 위한 핵심적인 도구를 제공합니다. 관리되는 컴퓨터의 사용자는 원격 지원 요청을 시작할 수 있으며 이 경우 알림이 생성됩니다. Windows Intune 관리자 콘솔에 알림이 표시되면 요청을 수락할 수 있습니다. 요청을 수락하면 Microsoft Easy Assist 세션이 열리고 사용자의 시스템에서 원격 문제 해결을 수행할 수 있게 됩니다.

Windows Intune은 또한 Software Assurance가 포함된 Windows 7 Enterprise 업그레이드 권한을 제공합니다. Windows Intune에서 제공되는 업그레이드 권한으로 Windows Intune을 통해 관리되고 Windows 7 Enterprise에 대한 최소 Windows 7 시스템 요구 사항을 충족하는 모든 시스템을 업그레이드할 수 있습니다. 또한 Windows Intune에는 다음과 같은 Windows에 대한 Microsoft Software Assurance 프로그램의 모든 혜택이 포함되어 있습니다.

  • 새 버전에 대한 권한
  • Software Assurance를 통한 TechNet 혜택
  • 확장된 핫픽스 지원
  • 연중무휴 하루 24시간 문제 해결 지원
  • 직원 구매 프로그램
  • 온라인 학습
  • 교육 수강권

Windows Intune에 대한 자세한 내용은 Windows Intune 웹 사이트에서 볼 수 있습니다. Windows Intune 기술 정보는 Windows Intune TechCenter에서 볼 수 있습니다.


응용 프로그램 가상화

가상 응용 프로그램은 네트워크 서비스로서 컴퓨터로 스트리밍됩니다. 이러한 기능은 시스템에서 공간을 차지하지 않으며 업데이트하기 쉽습니다. 또한 독립적이므로 개인 및 비즈니스 응용 프로그램 간의 충돌이 방지되어 가동 중지 시간이 발생하지 않고 지원 팀의 개입이 필요 없습니다.

App-V는 가상 응용 프로그램의 패키징, 배포 및 관리를 지원하는 MDOP의 부분입니다. App-V를 사용하면 최종 사용자의 컴퓨터에 직접 응용 프로그램을 설치하지 않고도 이러한 컴퓨터에 응용 프로그램을 제공할 수 있습니다. 이 기능은 각 응용 프로그램이 클라이언트 컴퓨터의 독립적인 자체 가상 환경에서 실행할 수 있도록 하는 응용 프로그램 시퀀싱이라는 프로세스를 통해 가능합니다. 시퀀스된 응용 프로그램은 서로 격리됩니다. 이 시나리오를 통해 응용 프로그램 충돌이 방지되지만 응용 프로그램은 여전히 클라이언트 컴퓨터와 상호 작용할 수 있습니다.

App-V 클라이언트는 최종 사용자가 응용 프로그램이 컴퓨터에 게시된 후에 이에 대해 상호 작용할 수 있도록 해 주는 기능입니다. 클라이언트는 각 컴퓨터에서 실행되는 가상화된 응용 프로그램의 가상 환경을 관리합니다. 클라이언트를 컴퓨터에 설치한 후에는 응용 프로그램을 컴퓨터에서 사용할 수 있도록 하는 게시라는 프로세스를 수행해야 하며, 그러면 최종 사용자가 가상 응용 프로그램을 실행할 수 있게 됩니다. 게시 프로세스는 가상 응용 프로그램 아이콘 및 바로 가기를 패키지 정의 및 파일 형식 연결 정보와 함께 컴퓨터(일반적으로 Windows 바탕 화면이나 시작 메뉴)에 복사합니다. 또한 게시는 응용 프로그램 패키지의 내용을 최종 사용자의 컴퓨터에서 사용할 수 있도록 합니다.

가상 응용 프로그램 패키지 콘텐츠는 요청에 따라 클라이언트로 스트리밍하고 로컬로 캐시할 수 있도록 하나 이상의 App-V 서버로 복제할 수 있습니다. 파일 서버 및 웹 서버를 스트리밍 서버로 사용하거나 콘텐츠를 최종 사용자의 컴퓨터에 직접 복사할 수도 있습니다. 다중 서버 구현에서는 모든 스트리밍 서버에서 패키지 콘텐츠를 유지 관리하고 최신으로 유지하기 위해 포괄적인 패키지 관리 솔루션이 필요합니다. 조직의 규모에 따라 전 세계에 위치한 최종 사용자들에게 여러 가상 응용 프로그램을 제공해야 할 수 있습니다. 따라서 모든 사용자에게 필요한 장소 및 시기에 맞게 적절한 응용 프로그램을 제공하도록 패키지를 관리하는 것이 중요한 요구 사항입니다.

구성 요소

그림 2에 나오는 것처럼 App-V의 주요 구성 요소는 다음과 같습니다.

  • 클라이언트 클라이언트는 클라이언트 PC에 가상 환경을 제공하고 관리합니다. 클라이언트는 캐시, 새로 고침 게시, 전송, 그리고 App-V 서버와의 모든 상호 작용을 관리합니다.
  • 데이터 저장소. 데이터 저장소는 App-V 인프라와 관련된 모든 정보를 저장하는 Microsoft SQL Server 데이터베이스입니다. 이 정보에는 모든 응용 프로그램 레코드, 응용 프로그램 할당, 그리고 App-V 환경 관리 책임이 있는 그룹이 포함됩니다.
  • 관리 콘솔. 관리 콘솔은 App-V 인프라를 관리하는 데 사용하는 MMC(Microsoft Management Console) 3.0 스냅인입니다. 이 도구는 App-V 서버 또는 별도의 PC에 설치할 수 있습니다.
  • 관리 서버. 관리 서버는 패키지 콘텐츠를 스트리밍하고 바로 가기 및 파일 형식 연결을 클라이언트로 게시하는 역할을 수행합니다. 관리 서버는 액티브 업그레이드, 라이선스 관리, 그리고 보고에 사용할 수 있는 데이터베이스를 지원합니다.
  • 관리 웹 서비스. 관리 웹 서비스는 데이터 저장소와 읽기 및 쓰기 요청 통신을 수행합니다. 관리 웹 서비스는 관리 서버에 설치하거나 IIS(Internet Information Services)가 설치된 별도의 PC에 설치할 수 있습니다.
  • 시퀀서. 시퀀서를 사용하여 응용 프로그램 설치를 모니터링 및 캡처하여 가상 응용 프로그램 패키지를 만들 수 있습니다. 출력에는 응용 프로그램의 아이콘, 패키지 정의 정보가 있는 .osd 파일, 패키지 매니페스트 파일, 그리고 응용 프로그램의 콘텐츠 파일이 있는 .sft 파일이 포함됩니다.
  • 스트리밍 서버. 스트리밍 서버는 관리 서버에 대한 연결 속도가 느린 지점의 클라이언트로 스트리밍하기 위해 App-V 패키지를 호스팅하는 역할을 담당합니다. 이 기능은 스트리밍 기능만 포함하며 관리 콘솔 및 관리 웹 서비스는 제공하지 않습니다.
  • 콘텐츠 폴더. 콘텐츠 폴더는 스트리밍하기 위한 App-V 패키지가 있는 위치입니다. 관리 서버 또는 외부의 공유에서 이 폴더를 찾을 수 있습니다.

응용 프로그램 가상화 다이어그램

그림 2. 응용 프로그램 가상화

App-V 4.6은 제품의 최신 버전입니다. App-V 4.6을 사용하면 Windows 7의 64비트 버전에서 32비트 및 64비트 응용 프로그램을 시퀀스 및 실행할 수 있습니다. 또한 작업 표시줄, 점프 목록, AppLocker, BranchCache 및 BitLocker To Go와 같은 Windows 7의 새로운 기능을 지원합니다. App-V 4.6은 12가지 추가 언어에 대한 지원을 추가합니다. Microsoft VDI(가상 데스크톱 인프라)를 지원하기 위해 App-V 4.6은 서버 디스크 저장소를 최적화하도록 돕는 읽기 전용 공유 캐시 기능을 제공합니다. 마지막으로 App-V 4.6은 시퀀싱 환경을 개선하며 32비트 및 64비트 응용 프로그램의 시퀀싱을 위한 지원을 제공합니다. App-V에 대한 자세한 내용은 Microsoft Desktop Optimization Pack 웹 사이트에서 알아볼 수 있습니다. 보다 자세한 기술 정보는 TechNet의 응용 프로그램 가상화를 참조하십시오.

참고: Citrix XenApp는 기존 및 App-V 가상 응용 프로그램 지원을 스마트폰 및 다른 Windows 기반이 아닌 광범위한 장치로 확장하는 Microsoft Partner 솔루션입니다. 이 솔루션은 데이터 센터의 거의 모든 응용 프로그램을 가상화, 중앙 집중화 및 관리할 수 있는 주문형 응용 프로그램 전달을 제공합니다. XenApp를 사용하면 데이터 센터의 응용 프로그램을 중앙 집중하고, 데이터 및 응용 프로그램에 대한 액세스를 제어 및 암호화하며 사용자가 어디에 있든지 즉시 응용 프로그램을 제공할 수 있습니다. Citrix XenApp에 대한 자세한 내용은 Citrix XenApp 웹 사이트를 참조하십시오. 또한 " Citrix XenApp에서 App-V 사용 응용 프로그램을 게시하는 방법" 기사에서는 XenApp를 사용하여 App-V 응용 프로그램을 게시하는 방법을 설명합니다.

System Center Configuration Manager 2007

IT 관리자는 구성 관리자를 사용하여 단일 관리 환경에서 실제 및 가상 응용 프로그램을 배포 및 업그레이드하고 사용을 추적할 수 있습니다. 가상 응용 프로그램 형식이 구성 관리자 소프트웨어 배포 기능에 매끄럽게 통합됨에 따라 IT 전문가는 가상 응용 프로그램을 최종 사용자에게 전달하기 위한 알려진 프로세스 및 워크플로를 수행할 수 있게 되었습니다. 이를 통해 IT는 응용 프로그램을 더 신속하게 제공하면서도 충돌 가능성이 응용 프로그램을 격리하여 상호 간섭을 방지할 수 있습니다. 구성 관리자와 App-V 통합을 통해 확장성이 높아졌으며 IT에서 가상 응용 프로그램을 스트리밍하는 데 기존 배포 지점을 사용할 수 있게 되어 별도의 App-V 인프라를 준비할 필요가 없어졌습니다. 구성 관리자를 사용하여 가상 응용 프로그램을 컴퓨터 또는 사용자에게 전달할 수 있습니다. 관리자는 가상 응용 프로그램 인벤토리를 작성하고 운영 체제 배포 작업 시퀀스의 일부로 가상 응용 프로그램을 제공할 수 있습니다.

구성 관리자는 기존의 응용 프로그램, 업데이트 등을 제공하는 기존 구성 관리자 인프라와 통합을 통해 일반적인 App-V 전체 인프라에서 게시 및 스트리밍 구성 요소의 위치를 대신합니다. 그림 3에는 구성 관리자로 가상 응용 프로그램을 관리하는 데 필요한 최소한의 구성 관리자 및 App-V 프로세스 및 구성 요소가 나옵니다. App-V 시퀀서는 구성 관리자 인프라를 통해 구성 관리자 클라이언트로 배포할 수 있는 패키지를 생성합니다. 이에 따라 응용 프로그램 배포를 지원하기 위해 별도의 두 가지 인프라를 준비할 필요가 없어지며 동일한 콘솔에서 기존 및 가상 응용 프로그램을 배포할 수 있게 됩니다.

구성 관리자 및 App-V 인프라 다이어그램

그림 3. 구성 관리자 및 App-V 인프라

구성 관리자를 사용하여 가상 응용 프로그램을 게시하려면 간단한 프로세스를 따라야 합니다. 개략적으로 보면 구성 관리자로 가상 응용 프로그램을 관리하려면 응용 프로그램을 시퀀스하고, 구성 관리자 광고를 사용하여 게시하며, 최종 클라이언트로 전달해야 합니다. 구성 관리자 인프라에서 App-V를 지원하려면 최소한 다음과 같은 프로세스가 필요합니다.

  1. 시퀀싱. 기존 App-V와 비슷하게, 구성 관리자에서의 가상 응용 프로그램 관리는 응용 프로그램을 시퀀스된 형식으로 바꾸는 것으로 시작됩니다. 구성 관리자를 사용하려면 App-V 4.5 이상 시퀀서를 사용하여 응용 프로그램을 시퀀싱하여 게시 및 전달에 필요한 파일(Manifest.xml)을 생성해야 합니다.
  2. 게시. 게시는 구성 관리자에서 가상 응용 프로그램을 사용자 또는 컴퓨터로 프로비전하는 프로세스입니다. 구성 관리자는 배포 지점을 사용하여 응용 프로그램을 스트리밍 또는 다운로드-및-실행 형식으로 전달합니다.
  3. 전달. 전달은 가상 응용 프로그램 자산을 클라이언트 컴퓨터로 이동하는 프로세스입니다. 이 프로세스는 App-V 전체 인프라에서 일반적으로 스트리밍이라고 합니다. 구성 관리자는 가상 응용 프로그램 전달을 위한 두 가지 옵션(스트리밍다운로드 및 실행)을 제공합니다. 기본 전달 형식은 연결 종속성을 방지하기 위한 다운로드 및 실행입니다.

구성 관리자로 가상 응용 프로그램을 관리하려면 패키지를 만들기 위한 App-V 시퀀서, 구성 관리자 사이트 서버, 패키지 전달을 위한 구성 관리자 배포 지점, 그리고 App-V 클라이언트가 설치된 구성 관리자 클라이언트 컴퓨터가 필요합니다. 구성 관리자 인프라에서 App-V를 지원하려면 최소한 다음과 같은 구성 요소가 필요합니다.

  • Microsoft App-V 시퀀서. App-V 인프라와 비슷하게 App-V 시퀀서는 가상 응용 프로그램을 구성 관리자로 배포하기 위해 패키징하는 데 사용됩니다.
  • 구성 관리자 사이트 서버. 구성 관리자 사이트 서버는 구성 관리자 사이트 계층의 일부이며 구성 관리자 배포 지점을 통해 대상 시스템으로 스트리밍 서비스 또는 로컬 전달 패키지로 가상 응용 프로그램 배포를 관리하는 역할을 합니다.
  • 구성 관리자 배포 지점. 구성 관리자 배포 지점 사이트 역할은 하드웨어 및 소프트웨어 인벤토리, 운영 체제 배포, 소프트웨어 업데이트, 그리고 구성 관리자 대상 시스템으로 실제 및 가상 응용 프로그램의 소프트웨어 배포와 같은 관리 서비스를 제공합니다.
  • 구성 관리자/App-V 클라이언트. 클라이언트 장치에는 터미널 서버 및 VDI 클라이언트는 물론 데스크톱 및 랩톱 컴퓨터가 포함됩니다. 구성 관리자 클라이언트가 구성 관리자 인프라에서 전달하는 가상 응용 프로그램을 받을 수 있으려면 구성 관리자 클라이언트 및 App-V 클라이언트 소프트웨어가 설치 및 구성되어 있어야 합니다. 구성 관리자 및 App-V 클라이언트 소프트웨어는 가상 응용 프로그램 패키지를 전달, 해석 및 시작하기 위해 함께 작업합니다. 구성 관리자 클라이언트는 App-V 클라이언트로의 가상 응용 프로그램 패키지 전달을 관리합니다. App-V 클라이언트는 클라이언트 컴퓨터에서 가상 응용 프로그램을 실행합니다.
System Center Configuration Manager 2012

현재 베타 2 릴리스인 Configuration Manager 2012는 IT로 하여금 해당 사용자들이 생산성에 필요한 장치와 응용 프로그램을 사용할 수 있도록 하면서도 기업 자산을 보호하기 위한 제어를 제공합니다. Configuration Manager 2012는 IT가 사용자 ID, 연결 및 장치 세부 사항을 바탕으로 사용자 환경을 제공 및 제어할 수 있도록 모바일, 실제 및 가상 환경을 관리하는 통합된 인프라를 제공합니다. 구성 관리자 최신 릴리스에서는 세계 최고 수준의 인벤토리, 운영 체제 배포, 업데이트 관리, 자산 및 설정 적용을 비롯하여 다음과 같은 기능이 제공됩니다.

  • 통합된 모바일, 실제 및 가상 관리. 모든 클라이언트 데스크톱, 씬 클라이언트, 모바일 장치 및 가상 데스크톱을 관리할 수 있는 단일 통합 도구를 제공합니다.
  • 개인화된 응용 프로그램 환경. 기업 ID, 장치 유형 및 네트워크 용량을 평가하여 로컬 설치, App-V 또는 프레젠테이션 서버를 통한 스트리밍 방식 중 최적의 방식으로 사용자에게 응용 프로그램을 전달합니다. Citrix XenApp와 통합을 통해 광범위한 모바일 플랫폼에서 모든 비즈니스 응용 프로그램에 대한 액세스를 제공합니다.
  • 응용 프로그램 셀프 서비스. 사용하기 쉬운 웹 카탈로그를 통해 어디에서든지 사용자가 응용 프로그램을 직접 프로비전할 수 있습니다.
  • 통합된 보안 및 준수. Forefront Endpoint Protection과의 통합을 통해 맬웨어에 대한 보호, 취약점 식별 및 해결, 그리고 비준수 시스템에 대한 가시성 확보를 위한 단일 솔루션을 제공합니다.
  • 지속적인 설정 적용. 비준수 실제 또는 가상 개인 데스크톱을 자동으로 식별하고 해결합니다.

System Center Configuration Manager 2012 beta 2 릴리스의 가상 응용 프로그램 배포와 관련된 새로 업데이트된 기능에 대한 자세한 내용은 Configuration Manager 2012의 응용 프로그램 관리 소개를 참조하십시오.


VDI(가상 데스크톱 인프라)

소비자 주도 덕분에 사용자는 Windows를 실행하는 PC가 아니더라도 업무를 할 수 있게 되었습니다. 이러한 장치에는 Apple iOS, Google Android, Linux 등과 같은 다양한 운영 체제를 실행하는 Windows 기반이 아닌 슬레이트와 태블릿이 포함됩니다. 이러한 장치는 서로 다른 사용자 인터페이스와 다른 수준의 보안, 그리고 다른 관리 기능을 제공합니다. 소비자 장치에는 다양한 운영 체제가 사용되므로 관리 및 보안을 위한 체계적인 방법을 도입하는 것이 필수적입니다.

Microsoft는 이러한 다양한 소비자 장치에서 관리 및 보안을 가능하게 하는 기술을 제공합니다. 완전한 Windows 7 환경 및 보안을 제공하지 않는 장치의 경우 VDI 기반 전략을 사용하여 서버에서 호스트하는 Windows 기반 데스크톱에 대한 안전한 액세스를 구현할 수 있습니다. 이 방법은 Windows 기반이 아닌 휴대용 컴퓨터 및 슬레이트에서 가상 효율적입니다. 그러나 직원들이 자신의 Windows 기반 휴대용 컴퓨터를 직장으로 가져오는 경우 VDI 기반 전략이 유용할 수 있습니다. 이 경우 안전한 엔터프라이즈 데스크톱을 제공하면서 모든 개인 데이터와 소프트웨어가 기업 네트워크를 빠져나가지 못하도록 하기 위해 VDI가 사용됩니다.

VDI는 중앙화된 데스크톱 전달 솔루션입니다. 그림 4에 나오는 것처럼 VDI의 개념은 Windows 클라이언트 운영 체제, 응용 프로그램 및 데이터를 비롯한 데스크톱 워크로드를 데이터 센터에서 서버 기반 VM으로 저장 및 실행하고, 사용자가 RDP(원격 데스크톱 프로토콜) 및 RemoteFX를 통해 사용자 장치에 나타나는 데스크톱과 상호 작용할 수 있도록 하는 것입니다. VDI는 IT 인프라에서 동적 IT에 대한 Microsoft의 비전을 지원하기 위한 결합적이고 종합적인 가상화 전략입니다. VDI는 격리된 아키텍처가 아니라 엔터프라이즈 데스크톱을 최적화하기 위한 여러 기술 중 하나입니다.

VDI는 완전한 Windows 7 환경을 제공할 수 없는 장치를 위해 서버에서 호스트하는 Windows 7 데스크톱에 대한 안전한 액세스를 제공할 수 있습니다. Windows를 실행하지 않는 컴퓨터 및 슬레이트(Apple Mac, Apple iPad, 및 Linux 기반 넷북)의 경우 VDI가 가장 효율적인 솔루션이 될 수 있습니다. 그러나 직원들이 Windows를 실행하는 자신의 휴대용 컴퓨터를 직장으로 가져오는 경우 VDI 기반 전략이 유용할 수 있습니다. 모든 개인 데이터와 소프트웨어가 기업 네트워크를 빠져나가지 못하게 하는 안전한 엔터프라이즈 데스크톱을 제공할 수 있습니다.

VDI(가상 데스크톱 인프라) 다이어그램

그림 4. 가상 데스크톱 인프라

VDI에 대한 자세한 내용은 가상화 제품 및 기술을 참조하십시오.

환경

Windows Server 2008 R2의 일부인 RDS(원격 데스크톱 서비스)는 원격 데스크톱 연결 브로커(RD 연결 브로커)를 제공합니다. RD 연결 브로커는 기존 세션 기반 원격 데스크톱은 물론 VDI에 액세스하기 위한 통합된 환경을 제공하는 네이티브 VDI 연결 브로커입니다. RD 연결 브로커는 RemoteApp와 비슷한 가상 데스크톱을 제공합니다. 예를 들어 사용자는 인증을 수행하고 http://rds-all.contoso.corp/rdweb에 액세스하여 권한이 부여된 응용 프로그램 및 데스크톱 목록이 나오는 웹 페이지를 볼 수 있습니다.

그림 5에는 RemoteApp를 사용하여 게시된 3가지 Office 2007 응용 프로그램이 나옵니다. Windows Server 2008 R2에서 URL에 나오는 RemoteApp 프로그램은 여러 원본을 통해 구성할 수 있습니다. 이러한 프로그램을 동일한 원격 데스크톱 세션 호스트(RD 세션 호스트) 또는 터미널 서비스 서버에 설치할 필요는 없습니다. 이러한 프로그램을 여러 RD 세션 호스트 및 터미널 서비스 서버에 배치할 수 있으며 이 경우에도 동일한 URL을 통해 제공할 수 있습니다. 또한 RemoteApp 프로그램이 있는지 여부는 RD 세션 호스트에서 게시된 응용 프로그램의 ACL(액세스 제어 목록)을 통해 확인할 수 있습니다. 인증된 모든 사용자에게는 게시된 RemoteApp 프로그램에 대한 액세스가 제공됩니다.

원격 데스크톱 연결의 스크린샷

그림 5. 원격 데스크톱 연결 브로커

내 바탕 화면 아이콘은 개인 가상 데스크톱이 할당된 사용자에게만 표시됩니다. 할당은 RD 연결 브로커에서 수행하거나 AD DS의 사용자 개체에서 수행할 수 있습니다. 사용자가 내 바탕 화면 아이콘을 클릭하면 사용자 인증을 수행한 후 사용자 장치로 가상 데스크톱이 전달됩니다.

VM에서 실행 중인 가상 데스크톱에 액세스하기 위한 Contoso Desktop 아이콘이 RD 연결 브로커에 정의된 VM 풀에서 선택됩니다. VM 풀이 정의되면 풀의 VM에 액세스하기 위한 아이콘이 사용자가 풀에 액세스할 수 있는지 여부에 관계 없이 인증된 모든 사용자의 RDS 웹 페이지에 표시됩니다. 페이지의 표시 이름과 VM 풀에 액세스하기 위한 아이콘의 표시 이름은 RD 연결 브로커에서 쉽게 사용자 지정할 수 있습니다. 이 예에서 “Contoso Wonder LAN” 및 “Contoso Desktop”은 사용자 지정된 표시 이름입니다. RDS 아키텍처에 대한 자세한 내용과 RD 연결 브로커가 VDI 솔루션에서 중심적인 역할을 담당하는 방법은 RDS(원격 데스크톱 서비스) 아키텍처 설명을 참조하십시오.

Windows Server 2008 R2의 새로운 기능으로 Windows 7을 실행하는 컴퓨터의 시작 메뉴에서 RemoteApp 프로그램, 원격 데스크톱 및 가상 데스크톱을 액세스하는 기능을 제공하는 RemoteApp 및 데스크톱 연결이 있습니다. 다음과 같이 RemoteApp 및 데스크톱 연결을 구성할 수 있습니다.

  • 제어판에서 수동으로. 프로세스를 완료하려면 RDS 웹 페이지의 URL 및 사용자 자격 증명이 필요합니다. RemoteApp 및 데스크톱 연결이 사용자를 대신하여 RDS 웹 페이지에 연결할 때 자격 증명을 입력하라는 메시지가 표시됩니다.
  • 클라이언트 구성(.wcx) 파일을 사용하여 수동으로. RemoteApp 및 데스크톱 연결을 구성하는 클라이언트 구성(.wcx) 파일을 만들고 사용자에게 배포할 수 있습니다.
  • 스크립트를 사용하여 자동으로. 클라이언트 구성 파일을 자동으로 실행하는 스크립트를 배포하여 Windows 7을 실행하는 컴퓨터에 사용자가 로그온할 때 자동으로 RemoteApp 및 데스크톱 연결이 설정되도록 할 수 있습니다. 자동화를 통해 사용하기 쉽고 운영자의 개입이 최소화되며 훌륭한 사용자 환경을 제공할 수 있습니다.

사용자는 RemoteApp 및 데스크톱 연결을 통해 RDS URL을 지정하지 않고 시작 메뉴에서 직접 RemoteApp 프로그램 및 가상 데스크톱에 액세스할 수 있습니다. 이 기능을 통해 사용자 교육 필요성을 최소화하고 Windows 응용 프로그램에 대한 일관성 있는 사용자 환경을 제공할 수 있습니다.

구성 요소

VDI를 사용하면 가상 데스크톱을 클라이언트의 장치에서 격리하여 데이터 센터에서 유지 관리되는 VM에서 실행할 수 있습니다. 장치는 Windows 또는 다른 운영 체제를 실행하는 데스크톱, 랩톱, 슬레이트 또는 씬 클라이언트 컴퓨터일 수 있습니다. 사용자는 다기능 데스크톱 환경을 제공하는 RDP 및 RemoteFX를 통해 자신의 가상 데스크톱과 상호 작용합니다. VDI는 세션 기반 원격 데스크톱(즉, 터미널 서비스)과 비슷하게 서버 기반 하이퍼바이저 내에서 가상화되는 충실도 높은 데스크톱 환경을 포함하는 서버 세션을 제공합니다. VDI의 전제는 모든 사용자가 VM에서 가상 데스크톱을 실행한다는 것입니다. VDI를 실현하는 핵심 기술 구성 요소에는 다음이 포함됩니다.

  • Windows Server 2008 R2(Hyper-V 포함). VM을 실행하는 가상화 호스트이며 실질적으로 가상화 솔루션 인프라의 그리드입니다. VM, VHD(가상 하드 디스크), 하드웨어 및 소프트웨어 프로필 등과 같은 가상화 리소스를 포함하는 리소스입니다.
  • Microsoft App-V. App-V는 사용자 프로필에 기반을 두는 동적 응용 프로그램 배포 수단이며 로컬 운영 체제에 대해 투명하게 운영됩니다. App-V에 대한 자세한 내용은 이 백서에서 “응용 프로그램 가상화” 섹션을 참조하십시오.
  • Microsoft RDS. RDS는 여러 RDSH(원격 데스크톱 세션 호스트) 및 터미널 서버에 게시된 리소스에 액세스하기 위한 일관성 있는 단일 URL을 제공합니다.
  • Microsoft RemoteFX. Windows 7 및 Windows Server 2008 R2 Service Pack 1의 일부인 RemoteFX는 소비자 장치를 포함한 다양한 클라이언트 장치에서 완전한 Windows 사용자 환경을 제공할 수 있도록 합니다. RemoteFX는 3D 가상 어댑터, 지능형 코덱, 그리고 VM에서 USB 장치를 리디렉션하는 기능을 제공하여 VDI를 위한 다기능 사용자 환경을 제공합니다. RemoteFX는 공유 암호화, 인증, 관리 및 장치 지원을 가능하게 하는 RDP와 통합됩니다.
  • System Center Management Suite. 이 제품군은 엔터프라이즈 IT 수명 주기를 관리하기 위한 포괄적인 관리 솔루션을 제공합니다. 이를 통해 가상화 호스트 및 VM의 배포, 프로비저닝 및 관리를 크게 간소화할 수 있습니다. 포함된 기능은 다음과 같습니다.
    • 가상 데스크톱 및 응용 프로그램 관리. 구성 관리자는 개인용 실제 및 가상 데스크톱에 대한 자산, 응용 프로그램, 사용률 및 원하는 구성 관리를 제공합니다.
    • VDI 인프라에 대한 완벽한 관리. System Center Operations Manager는 가동 시간을 보장하고 전체적인 관리 비용 절감을 위해 상태 및 성능을 모니터링합니다.
    • 타사 VDI의 관리. Citrix VDI 솔루션을 사용하는 조직의 경우 System Center Virtual Machine Manager는 데이터 센터에서 VM 및 서버 사용률을 관리합니다. Virtual Machine Manager는 Operations Manager와 통합되어 성능 및 리소스를 기반으로 VM을 할당할 수 있도록 함으로써 VDI 시나리오를 위한 향상된 관리를 제공합니다.
    • 준수에 대한 통찰. System Center Service Manager 및 해당 IT GRC Process Management Pack은 Configuration Manager, Operations Manager 및 Active Directory에서 수집한 정보를 사용하여 VDI 환경의 준수에 대한 통합된 보고 및 가시성을 제공합니다.
모델

두 가지 VDI 배포 모델이 있습니다.

  • 정적 또는 지속적인 가상 데스크톱. 정적 아키텍처에서는 VM 및 사용자 간 일-대-일 매핑이 적용됩니다. 각 사용자에게 지정된 VM이 할당됩니다. 일반적으로 VM은 SAN(저장 영역 네트워크)에 저장되고 서버에서 실행되므로 사용자 수가 많으면 SAN 요구 사항이 높아지게 됩니다.
  • 동적 또는 비지속적인 가상 데스크톱. 동적 아키텍처에서는 데스크톱의 마스터 이미지가 하나만 저장됩니다. 모든 사용자 개인화, 프로필, 응용 프로그램 등은 데스크톱과는 별도로 저장됩니다. 사용자가 데스크톱을 요청하면 마스터 이미지로부터 VM이 복제되고 사용자의 개인 데이터 및 응용 프로그램과 결합된 다음 로밍 프로필 및 App-V를 바탕으로 동적으로 사용자 장치로 전달됩니다. 이 방법으로 동적으로 기본 이미지를 프로비전하여 개인화된 데스크톱 환경을 전달할 수 있습니다. 이를 통해 유지 관리하는 데스크톱 이미지의 수를 줄여서 전체적인 VM 관리를 간소화할 수 있습니다.
라이선스

VDI는 기본적으로 요청에 따라 네트워크 연결을 통해 사용자 장치로 데스크톱을 전달합니다. 이것은 OEM 라이선스가 하드웨어에 연결되며 VDI처럼 동적으로 할당하는 것이 불가능한 기존 데스크톱 컴퓨터에서 실행하는 것과는 다릅니다. 기존 라이선싱은 VDI를 통해 전달되는 데스크톱 배포에서 소비되는 라이선스의 수를 올바르게 반영하는 데는 효율적이지 않습니다.

새로운 배포 시나리오를 지원하기 위해 Microsoft는 VDI를 위한 다음과 같은 두 가지 방안을 제공합니다.

  • Microsoft VDI Standard Suite(Virtual Desktop Infrastructure Standard Suite)
  • Microsoft VDI Premium Suite(Virtual Desktop Infrastructure Premium Suite)

VDI Standard Suite 및 VDI Premium Suite는 모두 VDI 환경에 액세스하는 클라이언트 장치별로 라이선스를 적용하므로 서버 인프라 디자인 및 성장을 위한 유연성을 허용합니다. VDI Suite 라이선싱에 대한 자세한 내용은 Microsoft 원격 데스크톱 서비스 사이트를 참조하십시오. 원격 데스크톱 서비스 라이선스에 대한 추가 정보는 Windows Server 2008 R2의 원격 데스크톱 서비스 라이선스에서 볼 수 있습니다.

고려 사항

RDS 및 VDI는 데스크톱 가상화의 핵심 구성 요소이며 배포 준비성 및 유연성을 포함한 구체적인 컴퓨팅 요구 사항과 시나리오를 충족합니다. 예를 들어 데이터 입력이나 시간 보고, 인벤토리 업데이트 또는 사고 보고와 같은 상태 보고처럼 잘 정의된 작업을 수행하기 위한 특정한 응용 프로그램에 액세스해야 하는 원격 작업자의 경우 RemoteApp로 충분할 수 있습니다. 그러나 데이터 분석, 솔루션 설계, 제품 디자인, 코드 작성 또는 시스템 문제 해결과 같은 복잡하거나 구조적이지 않은 작업을 수행하는 지식 작업자의 생산성을 보장하려면 데스크톱에 대한 완전한 액세스가 필요한 경우가 많고 가상 데스크톱 배포가 하나의 해결책입니다.

VDI는 유연하지만 기존의 세션 기반 원격 데스크톱 방식에 비해 서버 하드웨어 리소스를 더 많이 요구합니다. 표 1은 세션 기반 가상화와 VDI를 비교한 것입니다. 일반적으로 VDI는 필요한 모든 VM을 저장하고 실행하기 위한 서버와 저장소 하드웨어에 사전 투자가 필요합니다. 사용자의 가상 데스크톱 액세스를 보장하려면 VDI를 지원하는 네트워크의 가용성이 높아야 합니다. 일반적으로 말해 터미널 서비스를 지원할 때보다 VDI를 지원할 때가 네트워크 대역폭 요구 사항이 더 높습니다. 엔터프라이즈 가상 데스크톱을 관리하려면 VM 관리 소프트웨어도 필수적입니다.

표 세션 기반 가상화 및 VDI 비교

표 1. 세션 기반 가상화 및 VDI

또한 원격 데스크톱이나 가상 데스크톱이 로컬에 설치된 데스크톱과 완전히 동일하게 작동할 것이라고 기대할 수는 없습니다. 원격 데스크톱의 오디오, 비디오 및 USB 성능은 사용자의 장치에서 직접 실행되거나 직접 연결된 경우에 비해 떨어집니다. 다기능 클라이언트는 VDI에서 제공하는 것보다 탁월한 사용자 환경을 제공합니다. 전체적으로 VDI 솔루션에 대한 고려에는 다음을 포함하지만 이에 제한되지는 않습니다.

  • 응용 프로그램 프로비저닝
  • 연결 관리
  • 데이터 센터 용량
  • 이미지 관리
  • 하이퍼바이저 호스트 포함 인프라
  • 라이선스
  • VM 관리

참고: Citrix XenDesktop은 사용자가 이용하는 장치나 위치에 관계없이 요청 시 가상 데스크톱과 응용 프로그램을 사용자에게 전달할 수 있는 Microsoft Partner 솔루션입니다. Citrix XenDesktop에 대한 자세한 내용은 Citrix XenDesktop 웹 사이트를 참조하십시오. 또한 블로그 항목 Citrix Xendesktop을 브로커로 활용하는 Microsoft VDI(가상 데스크톱 인프라)에서 XenDesktop을 활용하여 VDI 아키텍처를 향상시키는 방법을 소개합니다.


올바른 기술 선택

이 기사에서는 조직에서 소비자 주도를 수용하도록 지원하는 4가지 기술에 대해 설명했습니다. 이러한 기술은 Windows 데스크톱 최적화, Windows Intune, 응용 프로그램 가상화, 그리고 VDI입니다. 다음 목록에서는 이러한 기술이 특정한 소비자 주도 시나리오에 적용하는 방법을 설명합니다.

  • 관리되는 Windows PC. Windows 데스크톱 최적화는 IT 전문가에게는 PC 구성을 제어하기 위한 제어 기능을 제공하며 사용자에게는 작업을 수행하기 위한 유연성을 제공합니다. 자세한 내용은 이 기사 앞부분의 “Windows 데스크톱 최적화” 섹션을 참조하십시오.
  • 관리되지 않는 Windows PC. Windows Intune은 간단하게 배포할 수 있으며 이를 사용하여 사용자가 직장으로 가져오는 관리되지 않는 Windows PC를 관리할 수 있습니다. Windows Intune에 대한 자세한 내용은 이 기사 앞부분의 “Windows 클라우드 서비스” 섹션을 참조하십시오.
  • 비 Windows 장치. Windows를 실행하지 않는 장치의 경우 VDI를 사용하여 완전한 Windows 환경을 사용자에게 제공할 수 있습니다. VDI에 대한 자세한 내용은 이 기사 앞부분의 “VDI(가상 데스크톱 인프라)” 섹션을 참조하십시오.

응용 프로그램 가상화를 사용하면 어떤 경우라도 사용자에게 필요한 응용 프로그램에 대한 액세스를 제공할 수 있습니다. 자세한 내용은 이 기사 앞부분의 “응용 프로그램 가상화” 섹션을 참조하십시오.


스마트폰 및 모바일 OS 지원

엔터프라이즈에서 스마트폰을 관리하기 위한 도구가 지원됩니다. 예를 들어 Exchange ActiveSync를 사용하여 여러 Microsoft 및 비 Microsoft 스마트폰을 관리할 수 있습니다. Exchange ActiveSync는 대기 시간이 길고 대역폭이 낮은 네트워크에서 작동하도록 최적화된 Microsoft Exchange Server 동기화 프로토콜입니다. HTTP 및 XML 기반의 프로토콜은 장치가 Exchange Server 시스템의 전자 메일, 일정 및 연락처와 같은 정보에 액세스할 수 있도록 합니다.

Exchange ActiveSync는 또한 Exchange ActiveSync 사서함 정책 및 관련 도구를 통해 관리 도구를 제공합니다. 예를 들어 Windows Phone 7은 암호 요구 및 암호 강도 적용과 같은 관리 정책을 지원합니다. 또한 잠금 해제 시도가 여러 차례 실패하면 장치를 원격으로 삭제하고 휴대폰을 원래 출고 설정으로 복원하는 기능도 제공합니다.

Exchange ActiveSync 기반의 관리는 스마트폰 및 다른 소형 규격 장치에 대한 업계 표준입니다. Apple iPhone 및 iPad, Google Android, Nokia Symbian 및 Palm은 수준 차이는 있지만 Exchange ActiveSync 및 사서함 정책을 지원합니다. 블로그 게시물 Exchange ActiveSync 클라이언트(Windows phone, Windows Mobile, Android, Nokia, Apple, Palm)의 비교에서는 여러 다른 플랫폼에서 Exchange ActiveSync 지원을 비교한 결과를 볼 수 있습니다.

이 섹션에서는 스마트폰을 관리하는 데 사용할 수 있는 Exchange ActiveSync의 몇 가지 사서함 정책과 도구에 대해 설명합니다. Exchange ActiveSync에 대한 자세한 내용은 TechNet에서 Exchange ActiveSync 장치 관리를 참조하십시오.

원격 장치 지우기

휴대폰으로 중요한 기업 데이터를 저장하고 여러 기업 리소스에 대한 액세스를 제공할 수 있습니다. 장치를 분실하거나 도난당하면 데이터가 노출될 수 있습니다. Exchange ActiveSync 정책을 통해 휴대폰에 암호 요구 사항을 추가하여 사용자가 암호를 입력해야 휴대폰을 사용할 수 있도록 할 수 있습니다. Microsoft는 장치 암호를 요구하는 것에서 그치지 않고 일정 시간 동안 작업이 없으면 자동으로 암호를 요구하도록 휴대폰을 구성하도록 권장하고 있습니다. 장치 암호와 비활성 잠금을 조합하여 기업 데이터를 더 안전하게 보호할 수 있습니다. 자세한 내용은 이 백서 뒷부분에서 “장치 관리” 섹션을 참조하십시오.

이러한 기능 외에도 Microsoft Exchange Server 2010은 원격 장치 삭제 기능을 제공합니다. EMC(Exchange Management Console)에서 원격 장치 삭제 명령을 내릴 수 있습니다. 사용자는 Microsoft Office Outlook 웹 응용 프로그램 사용자 인터페이스에서 자신의 원격 장치에 삭제 명령을 내릴 수 있습니다. 원격 장치 삭제 기능에는 사용자 사서함의 동기 상태 데이터에 시간 스탬프를 기록하는 확인 기능도 포함되어 있습니다. 이 시간 스탬프는 Outlook Web App 및 사용자의 휴대폰에서 EMC의 속성 대화 상자에 표시됩니다. 휴대폰을 출고 시 기반 상태로 재설정하는 것 외에도 원격 장치 삭제 기능은 휴대폰에 넣은 모든 저장소 카드의 데이터도 삭제합니다.

중요: 장치 삭제가 수행되면 데이터를 복구하기가 매우 어렵습니다. 그러나 어떤 데이터 제거 프로세스를 사용하더라도 새 장치처럼 완전히 데이터를 제거할 수는 없습니다. 정교한 도구를 사용하여 장치에서 데이터 복구가 가능할 수 있습니다.

세 가지 방법 중 하나를 사용하여 원격으로 장치를 삭제할 수 있습니다.

  • EMC를 사용하여 휴대폰에서 원격 삭제를 수행합니다.
  • Outlook Web App을 사용하여 휴대폰에서 원격 삭제를 수행합니다.
  • Exchange 관리 셸을 사용하여 휴대폰에서 원격 삭제를 수행합니다.

Exchange Server 2010의 원격 장치 삭제에 대한 자세한 내용은 Technet에서 휴대폰에서 원격 삭제 수행을 참조하십시오.

장치 관리.

Exchange ActiveSync 사서함 정책을 만들어서 사용자 및 사용자의 장치에 대한 다양한 보안 옵션을 구성할 수 있습니다. 암호 요구 사항과 설정 외에도 정책의 일반 탭을 사용하여 Exchange Server 시스템에 연결할 수 있는 휴대폰의 종류와 첨부 파일을 동기화할 수 있는지 여부를 지정할 수 있습니다. 다음은 사용 가능한 정책을 요약한 것입니다.

  • 일반 정책은 Exchange Server 시스템에 연결할 수 있는 휴대폰의 종류와 첨부 파일을 동기화할 수 있는지 여부를 지정합니다.
    • 지원 불가 장치 허용. 자동으로 지원할 수 없는 휴대폰을 허용합니다. 이러한 휴대폰에서는 일부 Exchange ActiveSync 정책 설정이 적용되지 않을 수 있습니다. 이 정책을 활성화하면 일부 정책 설정을 적용할 수 없는 경우에도 이러한 휴대폰이 동기화하도록 허용합니다.
    • 새로 고침 간격. 서버가 정의된 고정 시간 간격에 따라 정책 새로 고침 이벤트 사이에 정책을 클라이언트로 다시 전송하도록 합니다.
  • Exchange ActiveSync 클라이언트에 대한 암호 요구 사항:
    • 암호 필요. 휴대폰에서 암호를 요구합니다. 암호가 요구되는 경우 다음 정책을 사용할 수 있습니다.
    • 영숫자 암호 필요. 휴대폰 암호에 숫자가 아닌 문자가 포함되도록 지정합니다. 암호에 숫자가 아닌 문자가 필요하도록 설정하면 암호 보안의 강도가 높아집니다.
    • 최소 문자 집합 수. 영숫자 암호의 복잡성을 지정하고 사용자가 소문자, 대문자, 기호 및 숫자 중에서 다른 문자 집합을 사용하도록 강제합니다.
    • 암호 복구 사용. 휴대폰에서 암호 복구를 사용합니다. 사용자는 Outlook Web App을 사용하여 자신의 복구 암호를 조회하고 휴대폰의 잠금을 해제할 수 있습니다. 관리자는 EMC를 사용하여 사용자의 복구 암호를 조회할 수 있습니다.
    • 장치에서 암호화 필요. 휴대폰에서 암호화를 사용합니다. 이 경우 휴대폰에서 모든 정보를 암호화하여 보안 수준을 높입니다.
    • 저장소 카드에서 암호화 요구. 휴대폰의 이동식 저장소 카드에서 암호를 요구합니다. 이렇게 하면 휴대폰에서 저장소 카드의 모든 정보를 암호화하여 보안을 향상시킵니다.
    • 단순 암호 허용. 사용자가 1111 또는 1234와 같은 단순한 암호로 휴대폰을 잠그도록 허용합니다. 이 확인란을 해제하면 보다 안전한 암호 시퀀스를 사용해야 합니다.
    • 허용되는 실패 횟수. 휴대폰의 모든 정보를 삭제하고 휴대폰을 자동으로 원래 출고 설정으로 되돌리기 전에 휴대폰에서 허용하는 실패한 암호 입력 시도를 제한합니다. 이 기능은 인증되지 않은 사용자가 분실 또는 도난당한 암호가 필요한 휴대폰의 정보에 액세스하는 위험을 줄여 줍니다.
    • 최소 암호 길이. 휴대폰 암호에 대한 최소 암호 길이를 지정합니다. 긴 암호를 사용하면 보안 수준이 높아집니다. 그러나 긴 암호 때문에 휴대폰을 사용하기가 불편할 수 있습니다. 4-6자 길이의 중간 정도 암호를 사용하는 것이 좋습니다.
    • 다음 시간(분) 동안 입력하지 않을 경우 암호를 다시 입력해야 함. 휴대폰 암호가 요구되는 경우 지정된 시간 동안 휴대폰을 사용하지 않으면 사용자에게 암호를 다시 입력하라는 메시지를 표시합니다. 예를 들어 이 설정을 15분으로 설정하면 15분 동안 휴대폰을 사용하지 않으면 휴대폰 암호를 다시 입력해야 합니다. 휴대폰을 10분 동안 사용하지 않은 경우에는 암호를 다시 입력할 필요가 없습니다.
    • 암호 만료(일). 지정된 기간마다 사용자가 휴대폰 암호를 재설정하도록 강제합니다. 이 기간은 일수로 설정합니다.
    • 최근 암호 기억. 사용자가 휴대폰에서 이전 암호를 재사용할 수 없도록 강제합니다. 설정하는 숫자는 이전의 암호를 몇 번까지 재사용할 수 없는지 설정합니다.
  • 동기화 설정 정책은 다양한 동기화 관련 설정을 지정합니다.
    • 지난 일정 항목 포함. 휴대폰과 동기화하기 위한 일정 항목의 날짜 범위를 선택합니다. 사용 가능한 옵션에는 모두, 2주, 1개월, 3개월 및 6개월이 있습니다. 다른 옵션을 지정해야 하는 경우 셸을 사용하여 이 설정을 구성하십시오.
    • 지난 전자 메일 항목 포함. 휴대폰과 동기화하기 위한 전자 메일 항목의 날짜 범위를 선택합니다. 사용 가능한 옵션에는 모두, 1일, 3일, 1주, 2주, 그리고 1개월이 있습니다. 다른 옵션을 지정해야 하는 경우 셸을 사용하여 이 설정을 구성하십시오.
    • 전자 메일 크기 제한(KB). 휴대폰으로 다운로드할 수 있는 메시지 크기를 제한합니다. 이 정책을 활성화한 후에 메시지 최대 크기(KB)를 지정하십시오.
    • 로밍 시 직접 올리기 허용. 휴대폰으로 로밍할 때 새 항목이 도착하면 휴대폰이 동기화를 수행할 수 있도록 합니다. 정상 서비스 지역 바깥에 있는 경우 로밍이 적용됩니다. 정상 서비스 지역에 대해서는 휴대폰 서비스 공급자에게 문의하십시오. 이 정책을 사용하지 않으면 휴대폰으로 로밍할 때 수동으로 동기화를 시작해야 하며 일반적인 비싼 데이터 요금이 적용됩니다.
    • HTML 형식 전자 메일 허용. HTML로 서식이 지정된 전자 메일 메시지를 휴대폰으로 동기화할 수 있도록 합니다. 이 정책이 사용되지 않은 경우 모든 전자 메일 메시지가 동기화 전에 일반 텍스트로 변환됩니다. 이 정책은 휴대폰에서 메시지를 받을 수 있는지 여부에는 영향을 주지 않습니다.
    • 첨부 파일을 장치에 다운로드할 수 있도록 허용. 첨부 파일을 휴대폰으로 다운로드할 수 있도록 허용합니다. 이 정책을 사용하지 않으면 전자 메일 메시지에서 첨부 파일의 이름을 볼 수 있지만 휴대폰을 다운로드할 수는 없습니다.
    • 최대 첨부 파일 크기(KB). 휴대폰으로 다운로드할 수 있는 최대 첨부 파일 크기를 지정합니다. 이 정책을 활성화한 후에 최대 첨부 파일 크기(KB)를 입력하십시오. 이 정책이 활성화된 경우 지정된 크기보다 큰 첨부 파일은 장치로 다운로드할 수 없습니다.
  • 장치 정책은 다양한 장치 관련 설정을 지정합니다.
    • 이동식 저장소 허용. 휴대폰에서 저장소 카드를 액세스하도록 허용합니다. 이 정책이 사용되지 않으면 휴대폰에서 저장소 카드에 액세스할 수 없습니다.
    • 카메라 허용. 휴대폰 카메라를 사용하도록 허용합니다.
    • Wi-Fi 허용. 휴대폰에서 인터넷 액세스를 위해 Wi-Fi 연결을 사용하도록 허용합니다. Direct Push 기술은 Wi-Fi 상에서 지원되지 않습니다.
    • 적외선 허용. 휴대폰이 다른 장치 또는 컴퓨터와 적외선 연결을 설정할 수 있도록 허용합니다.
    • 장치에서 인터넷 공유 허용. 다른 장치가 휴대폰의 인터넷 연결을 공유할 수 있도록 허용합니다. 장치를 랩톱이나 데스크톱 컴퓨터의 모뎀으로 사용하는 경우 인터넷 공유가 자주 사용됩니다.
    • 장치에서 원격 데스크톱 허용. 휴대폰이 다른 컴퓨터와 원격 데스크톱 연결을 수행할 수 있도록 허용합니다.
    • 데스크톱 동기화 허용. 휴대폰이 데스크톱 ActiveSync 또는 Windows Mobile Device Center를 통해 데스크톱 컴퓨터와 동기화할 수 있도록 허용합니다.
    • Bluetooth 허용. 휴대폰의 Bluetooth 기능을 제어합니다. 허용, 사용 안 함 또는 Bluetooth 핸즈프리만 사용을 선택할 수 있습니다.
  • 장치 응용 프로그램 정책은 휴대폰의 특정 기능을 활성화 또는 비활성화합니다.
    • 브라우저 허용. 휴대폰에서 Pocket Internet Explorer를 사용하도록 허용합니다. 이 정책은 타사 휴대폰 브라우저에 대한 액세스는 제어하지 않습니다.
    • 소비자 메일 허용. 휴대폰에서 Exchange Server 계정이 아닌 다른 전자 메일 계정에 액세스할 수 있도록 허용합니다. 소비자 전자 메일 계정에는 POP3 및 IMAP4를 통해 액세스하는 계정이 포함됩니다. 이 정책은 타사 휴대폰 전자 메일 응용 프로그램에 대한 액세스는 제어하지 않습니다.
    • 서명되지 않은 응용 프로그램 허용. 서명되지 않은 응용 프로그램을 휴대폰에 설치할 수 있도록 허용합니다.
    • 서명되지 않은 설치 패키지 허용. 서명되지 않은 설치 패키지를 휴대폰에서 실행할 수 있도록 허용합니다.
  • 다른 정책은 허용 및 차단된 응용 프로그램을 지정합니다.
    • 허용된 응용 프로그램. 허용된 응용 프로그램 목록으로 응용 프로그램을 추가하거나 제거합니다. 허용된 응용 프로그램은 휴대폰에 설치 및 실행할 수 있습니다. 응용 프로그램을 추가하려면 추가를 클릭하고 제거하려면 삭제를 클릭하십시오.
    • 차단된 응용 프로그램. 차단된 응용 프로그램 목록으로 응용 프로그램을 추가하거나 제거합니다. 차단된 응용 프로그램은 휴대폰에서 실행할 수 없습니다. 응용 프로그램을 추가하려면 추가를 클릭하고 제거하려면 삭제를 클릭하십시오.

TechNet의 정책으로 Exchange ActiveSync 관리에서는 사서함 정책의 전체 목록 및 EMC 및 셸을 사용하여 이를 구성하는 방법을 설명합니다. Exchange Active Synch를 통해 장치를 관리하는 기능은 현재 베타 2 릴리스 상태인 System Center Configuration Manager 2012의 향후 버전에서 핵심 기능이 될 것입니다.

유휴 시간 제한 값

Direct Push 기술은 스마트폰의 데이터와 Exchange Server의 데이터를 동기화하기 위해 Exchange ActiveSync를 사용합니다. 방화벽에서 네트워크 유휴 연결 시간 제한은 TCP(Transmission Control Protocol) 연결이 완전히 설정된 후 트래픽 없이 연결을 유지할 수 있는 시간을 나타냅니다. Exchange ActiveSync 하트비트 간격 및 엔터프라이즈 세션 간격이 효과적으로 통신할 수 있도록 하려면 이 시간 제한 값을 올바르게 설정해야 합니다. 방화벽이 세션을 닫으면 클라이언트가 다시 연결할 때까지 메일을 전송할 수 없으며, 오랜 시간 동안 동기화되지 않은 상태로 유지됩니다. Microsoft는 조직에서 수신 방화벽의 시간 제한을 30분으로 설정하도록 권장하고 있습니다. 자세한 내용은 Direct Push 및 Exchange Server 2010의 이해를 참조하십시오.

자동 검색 설정

Exchange Server에는 사용자가 자신의 전자 메일 주소 및 암호를 입력하면 필요한 시스템 설정을 반환하여 휴대폰 프로비전을 간소화하는 자동 검색 서비스가 포함되어 있습니다. 자동 검색 서비스는 Exchange Server 2010에서 기본적으로 사용됩니다(그림 6).

Exchange ActiveSync 자동 검색 서비스 다이어그램

그림 6. Exchange ActiveSync의 자동 검색

그림 6에 나오는 프로세스는 다음과 같습니다.

  1. 사용자가 휴대폰에 자신의 전자 메일 주소 및 암호를 입력합니다.
  2. 휴대폰이 루트 DNS 서버에 연결하여 자동 검색 서비스에 대한 URL 및 사용자의 도메인에 대한 IP 주소를 검색합니다.
  3. 휴대폰이 SSL(Secure Sockets Layer) 연결을 사용하여 방화벽을 통해 자동 검색 서비스 가상 디렉터리에 연결합니다. 자동 검색 서비스가 서버 동기화 설정을 바탕으로 XML 응답을 조합합니다.
  4. 자동 검색 서비스는 SSL을 통해 방화벽을 통과하여 XML 응답을 전송합니다. 이 XML 응답은 휴대폰에서 해석되며 동기화 설정이 휴대폰에서 자동으로 구성됩니다.

자동 검색을 사용할 수 있는지 여부는 사용하는 휴대폰의 운영 체제에 따라 다릅니다. Exchange Server와 동기화를 지원하는 휴대폰 운영 체제가 모두 자동 검색을 지원하는 것은 아닙니다. 자동 검색을 지원하는 운영 체제에 대한 자세한 내용은 블로그 게시물 Exchange ActiveSync 클라이언트(Windows phone, Windows Mobile, Android, Nokia, Apple, Palm)의 비교를 참조하십시오.

Exchange Server에서 자동 검색을 구성하는 방법에 대한 지침은 Exchange ActiveSync 자동 검색 설정 구성을 참조하십시오.


결론

IT는 적절한 수준으로 소비자 주도를 수용하면서 동시에 엔터프라이즈 및 해당 데이터에 대한 위험을 최소화해야 합니다. 사용자 및 이들이 사용하려는 장치를 평가하고 이해함으로써 소비자 주도를 통한 비즈니스 상의 이익을 보장하고 이러한 이익을 측정하며 평가할 수 있습니다.

소비자 주도를 수용함으로써 기업에서 생산성 향상을 달성하고 경쟁 우위를 점할 수 있습니다. 이 백서에서 설명한 전략을 따르고, 기업 자산의 보안을 유지하며, 강화된 직원 및 IT를 위한 새로운 역할을 파트너로서 설정함으로써 소비자 주도를 중요한 기회로 활용할 수 있습니다. Microsoft는 Windows 데스크톱 최적화의 배포부터 Windows Intune을 사용한 클라우드 기반 관리, 그리고 Windows 기반 및 비 Windows 기반 스마트폰에 이르기까지 소비자 주도와 관련된 사용자의 필요를 충족하기 위한 다양한 엔터프라이즈 수준 솔루션을 제공하고 있습니다.

관련 리소스

  • IT의 소비자 주도 질문과 대답

    데스크톱 환경에서 사용자가 선택한 장치, 응용 프로그램 및 서비스를 관리하는 방법에 대한 권장 사항을 비롯하여 증가하고 있는 소비자 주도의 경향에 대한 일반적인 질문의 답변을 얻습니다.

  • 소비자 주도를 수용하기 위한 전략

    엔터프라이즈 IT 환경에서 책임감 있게 소비자 주도를 수용하는 방법에 대한 지침을 다운로드합니다.

Microsoft는 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?