VMware Workspace ONE 배포 가이드(온 프레미스) - VMware Workspace ONE

Transcription

1 VMware Workspace ONE 배포가이드 ( 온프레미스 ) 2018 년 5 월 VMware Workspace ONE VMware Identity Manager 3.2 VMware AirWatch 9.3

2 VMware 웹사이트 ( 에서최신기술문서를확인할수있습니다. 이문서에대한의견이있으면 으로사용자의견을보내주십시오. VMware, Inc Hillview Ave. Palo Alto, CA Copyright VMware, Inc. 판권소유. 저작권및상표정보. VMware, Inc. 2

3 목차 VMware Workspace ONE 배포정보 5 1 Workspace ONE 소개 6 Workspace ONE 아키텍처개요 6 요구사항 7 Workspace ONE 기능세부정보 7 Workspace ONE 마법사시작 9 2 VMware Identity Manager 에 AirWatch 통합 10 AirWatch 관리콘솔에서통합설정 10 VMware Identity Manager에서 AirWatch 인스턴스설정 13 AirWatch에 Workspace ONE 카탈로그사용 16 AirWatch 관리디바이스에대한규정준수검사사용 16 AirWatch를통해사용자암호인증사용 17 액세스정책규칙구성 17 AirWatch 업그레이드후에 VMware Identity Manager 업데이트 19 AirWatch Cloud Connector를사용하여인증구현 20 3 AirWatch 관리 ios 디바이스에대한모바일 Single Sign-On 인증구현 24 ios 용모바일 SSO 구성을위한구현개요 24 AirWatch 에서 Active Directory CA( 인증기관 ) 구성 25 Kerberos 인증을위한 AirWatch 인증기관사용 28 ios 디바이스의인증에키배포센터사용 29 ios 용모바일 SSO 인증구성 30 모바일 SSO ios 인증을위한기본제공 ID 제공자구성 32 Active Directory 인증기관및인증서템플릿을사용하여 AirWatch 에서 Apple ios 프로 파일구성 32 AirWatch 인증기관을사용하여 AirWatch 에서 Apple ios 프로파일구성 34 AirWatch 디바이스프로파일할당 36 4 AirWatch 관리 Android 디바이스에대한모바일 Single Sign-On 인증구현 37 AirWatch 관리콘솔에서 Android 디바이스용 Single Sign-On 구성 39 AirWatch 관리콘솔에서 VMware 터널 VPN 액세스설정구성 40 Android 용애플리케이션별 Tunnel 프로파일구성 41 Android 애플리케이션에대한애플리케이션별 VPN 사용 42 AirWatch 에서트래픽규칙구성 43 VMware, Inc. 3

4 기본제공 ID 제공자에서 Android 용모바일 SSO 인증구성 45 5 Workspace ONE 을사용하여 AirWatch 에직접등록 47 직접등록을위해 Workspace ONE 사용 47 Workspace ONE 을사용하여 AirWatch 에직접등록할때의사용자경험 50 6 Workspace ONE 을활용하여 Apple 디바이스등록프로그램통합지원 58 7 Dell Windows 10 디바이스에서 Workspace ONE OOBE( 첫실행경험 ) 사용 60 AirWatch 에서외부액세스토큰사용설정 60 외부액세스토큰을인증방법으로활성화 61 기본제공 ID 제공자에외부액세스토큰인증방법연결 62 Workspace ONE OOBE( 첫실행경험 ) 프로세스에대한액세스정책생성 63 Windows 10 사용자지정 OOBE( 첫실행경험 ) 브랜딩을위한 Workspace ONE 64 8 VMware Workspace ONE 모바일애플리케이션배포 65 Workspace ONE 용공용및내부애플리케이션에대한 AirWatch 의디바이스관리옵션 65 애플리케이션에대한액세스관리 67 Workspace ONE 카탈로그에액세스하기위한사용약관요구 68 Workspace ONE 애플리케이션가져오기및배포 69 자동검색을위해이메일도메인등록 72 세션인증설정 73 다중 AirWatch 조직그룹설정을위한배포전략 73 9 Workspace ONE 포털에서작업 78 Workspace ONE 에서애플리케이션사용 78 Workspace ONE 애플리케이션에대한암호설정 82 기본애플리케이션추가 82 사용자인증을위해 VMware Verify 사용 83 Workspace ONE 사용자에게경고전송 83 Android용 Workspace ONE 디바이스사용 Workspace ONE 카탈로그사용 86 카탈로그에서리소스관리 VMware Identity Manager 서비스에대한사용자지정브랜딩 89 VMware Identity Manager 서비스에서브랜딩사용자지정 89 사용자포털에대한브랜딩사용자지정 다른문서에액세스 92 VMware, Inc. 4

5 VMware Workspace ONE 배포정보 VMware Workspace ONE 배포가이드는 VMware Identity Manager 및 VMware AirWatch 를통합하여 Workspace ONE에대한 SSO(Single Sign-On), AirWatch의디바이스관리및 VMware Workspace ONE을애플리케이션카탈로그로제공합니다. AirWatch와 VMware Identity Manager가통합되면 AirWatch에등록된디바이스의사용자가여러암호를입력하지않고도사용설정된애플리케이션에안전하게로그인할수있습니다. 대상 이정보는 AirWatch 및 VMware Identity Manager 서비스모두에익숙한관리자를위해작성되 었습니다. VMware, Inc. 5

6 Workspace ONE 소개 1 VMware Workspace ONE 은 ios, Android 및 Windows 10 디바이스에서애플리케이션을제공및관리하는보안엔터프라이즈플랫폼입니다. ID, 애플리케이션및엔터프라이즈모빌리티관리는 Workspace ONE 플랫폼에통합됩니다. VMware AirWatch 및 VMware Identity Manager 는애플리케이션및모바일액세스관리서비스의 Workspace ONE 카탈로그에통합됩니다. VMware Identity Manager 서비스는리소스에 SSO(Single Sign-On) 하는사용자에대한인증을비롯한 ID 관련구성요소를제공합니다. 네트워킹및인증에관련된정책집합을생성하여이러한리소스에대한액세스를제어합니다. AirWatch 서비스는디바이스등록, 애플리케이션배포및규정준수검사도구를제공하여원격액세스디바이스가회사보안표준을준수하도록합니다. AirWatch에등록된디바이스의사용자는여러암호를입력하지않고도사용설정된애플리케이션에안전하게로그인할수있습니다. 이장에서는다음주제에대해설명합니다. Workspace ONE 아키텍처개요 요구사항 Workspace ONE 기능세부정보 Workspace ONE 마법사시작 Workspace ONE 아키텍처개요 Workspace ONE을사용하면통합카탈로그에서관리되는클라우드, 모바일및 Windows 애플리케이션에안전하게액세스할수있습니다. 디바이스액세스의경우, ios, Android 및 Windows 10 디바이스에서 Workspace ONE 기본애플리케이션을사용할수있습니다. Workspace ONE이배포되면다음 VMware Identity Manager 및 AirWatch 서비스를구현해야합니다. VMware Enterprise Systems Connector가설치및구성되어야합니다. VMware Identity Manager Connector 구성요소또는 ACC(AirWatch Cloud Connector) 구성요소를구성할수있습니다. Active Directory의사용자및그룹을 Workspace ONE 서비스와동기화하기위해 VMware Identity Manager 또는 AirWatch Cloud Connector와회사 Active Directory 를통합합니다. VMware, Inc. 6

7 AirWatch API 키및관리자루트인증서를사용하고, AirWatch를통해통합카탈로그, 규정준수검사및사용자암호인증을사용하도록설정하여 VMware Identity Manager를구성합니다. 그림 1 1. Workspace ONE 아키텍처개요 사용자및디바이스 VMware Identity Manager 최종사용자포털 웹 / 가상애플리케이션카탈로그 SaaS 기반애플리케이션 사용자디렉토리 인증방법 핵심인프라 Workspace ONE 애플리케이션 액세스정책 Horizon 통합 VMware Identity Manager Connector 또는 AirWatch Cloud Connector Horizon Apps 디바이스프로파일 VMware AirWatch 데이터손실방지 Horizon 데스크톱 Active Directory 이메일통합 콘텐츠통합 회사디렉토리통합 모바일애플리케이션카탈로그 공개 App Store 요구사항 Workspace ONE 시스템요구사항은다음과같습니다. 표 1 1. Workspace ONE 시스템요구사항 Workspace ONE 요구사항 Active Directory 웹브라우저를통한 VMware Identity Manager 및 AirWatch 관리콘솔액세스 VMware Identity Manager Connector 또는 AirWatch Cloud Connector가설치된 VMware Enterprise Connector. 세부정보 Windows Server 2008 및 2008 R2 Windows Server 2012 및 2012 R2 Windows용 Internet Explorer 11 Google Chrome 4.0 이상 Mozilla Firefox 40 이상 Safari 이상 Windows Server 2008 R2 Windows Server 2012 또는 2012 R2.NET Framework 커넥터를배포하려면 VMware Enterprise Systems Connector 설치및구성가이드를참조하십시오. Workspace ONE 기능세부정보 Workspace ONE 의주요기능은아래에설명되어있습니다. VMware, Inc. 7

8 기본모바일 Workspace ONE 애플리케이션 사용자는모바일디바이스에 Workspace ONE 애플리케이션을설치하고회사자격증명을사용하여 회사, 클라우드및모바일애플리케이션에 SSO(Single Sign-On) 액세스할수있습니다. 웹, Horizon 및 Citrix 리소스에대한셀프서비스앱카탈로그 Workspace ONE을사용하면통합카탈로그를사용하는클라우드, 모바일및 Windows 애플리케이션에액세스할수있습니다. 이카탈로그에는 VMware Identity Manager 및 VMware AirWatch에게시된애플리케이션이포함되어있습니다. 지원되는애플리케이션유형에는내부웹, SaaS, 기본모바일, 내부적으로개발된모바일, 레거시및최신 Windows, Horizon 7, VMware Horizon Cloud Service, Citrix 게시된패키지및 ThinApp 패키지가포함됩니다. 또한애플리케이션스토어에는가상화된데스크톱도포함되어있습니다. SSO(Single Sign-on) 를사용하여웹및가상애플리케이션실행 Workspace ONE에서는모바일애플리케이션에대한원터치로그인구현인모바일 SSO(Single Sign-On) 를제공합니다. 모바일 SSO는 Android, ios 및 Windows 10 디바이스에서사용할수있습니다. 디바이스규정준수에따른조건부액세스 Workspace ONE을사용하여인증에네트워크범위, 플랫폼및애플리케이션별기준에따라조건부액세스를적용할수있습니다. 디바이스는보안규칙준수를입증해야만애플리케이션에대한액세스권한을받을수있습니다. VMware Identity Manager에는사용자가디바이스에서로그인할때 AirWatch 서버에서디바이스규정준수상태를검사하도록구성할수있는액세스정책옵션이있습니다. 다단계인증 Workspace ONE에서는 VMware Verify 애플리케이션을통해다단계인증을제공합니다. 사용자가강력한인증이요구되는 Workspace ONE 카탈로그또는애플리케이션에액세스하려고하면 VMware Verify에서사용자휴대폰으로알림을전송합니다. 사용자가 Workspace ONE에대해시도된액세스를확인하려면 [ 동의 ] 를쓸어넘겨애플리케이션에액세스해야합니다. 어댑티브관리 기본수준의보안만요구하는애플리케이션에서는디바이스를 AirWatch Mobile Device Management 에등록할필요가없습니다. 사용자는 Workspace ONE 모바일애플리케이션을다운로드하고설치하려는애플리케이션을선택할수있습니다. 더높은수준의보안을요구하는애플리케이션의경우 Workspace ONE 모바일애플리케이션에서직접 AirWatch에디바이스를등록할수있습니다. VMware, Inc. 8

9 Workspace ONE 마법사시작 Workspace ONE 시작마법사를사용하여 AirWatch 및 VMware Identity Manager 서비스를통합하여 Workspace ONE 환경을만들기위한많은구성단계를진행할수있습니다. 시작마법사는개별설정을구성하거나편집하는기능을대신하지않지만, 대부분의고객은초기설정작업을대폭자동화할수있습니다. Workspace ONE 시작마법사를사용하여다음을설정할수있습니다. 엔터프라이즈커넥터및디렉토리. 이마법사는회사디렉토리에서사용자및그룹을가져오도록 AirWatch Cloud Connector에서 VMware Enterprise System Connector를설정하고 Active Directory 연결을구성하는단계를안내합니다. 엔터프라이즈커넥터를설정하는데도움을얻으려면 VMware Workspace ONE 빠른구성가이드를참조하십시오. 자동검색. 이마법사를사용해자동검색서비스에이메일도메인을등록하여, 최종사용자가 Workspace ONE 애플리케이션을통해애플리케이션포털에더욱쉽게액세스하도록할수있습니다. 최종사용자는조직 URL 대신해당이메일주소를입력할수있습니다. Workspace ONE 카탈로그. Workspace ONE 카탈로그마법사에서는 Workspace ONE 카탈로그를설정하는단계를안내합니다. Workspace ONE 사용자지정브랜딩단계를사용하여회사브랜드정보를 Workspace ONE 카탈로그및애플리케이션에추가할수도있습니다. Workspace ONE 카탈로그를설정하는데도움을얻으려면 VMware Workspace ONE 빠른구성가이드를참조하십시오. 어댑티브관리. 어댑티브관리를설정하여사용자디바이스에프로파일이설치되도록요구함으로써특정애플리케이션을제한합니다. 이프로파일은필요한경우회사애플리케이션및데이터를제거할수있도록합니다. 또한공개애플리케이션을 App Store에서수동으로다운로드하여이러한애플리케이션을개별적으로관리및사용되도록할수도있습니다. 시작마법사는충돌가능성이있는기존구성이 AirWatch 또는 VMware Identity Manager 서비스에서이미사용되도록설정된경우경고할수있습니다. 이러한경우또는시작마법사가단계를부분적으로만완료한경우기능을수동으로구성할수있습니다. 이가이드를사용하여 Workspace ONE에 AirWatch 및 VMware Identity Manager 서비스를수동으로구성할수있습니다. VMware, Inc. 9

10 VMware Identity Manager 에 2 AirWatch 통합 사용자의 Single Sign-On 및 ID 관리를위해 VMware Identity Manager 서비스를사용하여디바이스에 AirWatch 모바일관리서비스를설정하려면서비스를통합해야합니다. AirWatch와 VMware Identity Manager가통합되면 AirWatch에등록된디바이스의사용자가여러암호를입력하지않고도 Workspace ONE에로그인하고사용설정된애플리케이션에안전하게액세스할수있습니다. Workspace ONE 시작마법사는 AirWatch 및 VMware Identity Manager를통합하기위한여러구성단계를안내할수있습니다. Workspace ONE 마법사를실행하려면 VMware Workspace ONE 빠른구성가이드를참조하십시오. 이장에서는다음주제에대해설명합니다. AirWatch 관리콘솔에서통합설정 VMware Identity Manager에서 AirWatch 인스턴스설정 AirWatch에 Workspace ONE 카탈로그사용 AirWatch 관리디바이스에대한규정준수검사사용 AirWatch를통해사용자암호인증사용 액세스정책규칙구성 AirWatch 업그레이드후에 VMware Identity Manager 업데이트 AirWatch Cloud Connector를사용하여인증구현 AirWatch 관리콘솔에서통합설정 VMware Identity Manager 서비스와통합하려면 AirWatch 관리콘솔에서다음설정을구성합니다. VMware Identity Manager 서비스와의통신에사용할 REST API 관리자키 VMware Identity Manager가구성된동일한조직그룹에서생성된 AirWatch Cloud Connector 암호인증을위한 REST 등록사용자 API 키 VMware Identity Manager에대한 API 관리자계정과 AirWatch에서내보낸후 VMware Identity Manager 관리콘솔의 AirWatch 설정에추가한관리자인증인증서 VMware, Inc. 10

11 AirWatch 에서 REST API 키만들기 VMware Identity Manager를 AirWatch와통합하려면 AirWatch 관리콘솔에서 REST 관리 API 액세스및등록된사용자액세스를사용하도록설정해야합니다. API 액세스를사용하도록설정하면 API 키가생성됩니다. 프로시저 1 AirWatch 관리콘솔에서 [ 글로벌 ] > [ 고객수준조직그룹 ] 을선택하고그룹및설정 > 모든설정 > 시스템 > 고급 > API > Rest API로이동합니다. 2 [ 일반 ] 탭에서추가를클릭하여 VMware Identity Manager 서비스에서사용할 API 키를생성합니다. 계정유형은관리자여야합니다. 고유한서비스이름을제공합니다. 설명 ( 예 : IDM용 AirWatchAPI) 을추가합니다. 3 등록사용자 API 키를생성하려면추가를다시클릭합니다. 4 [ 계정유형 ] 드롭다운메뉴에서등록사용자를선택합니다. 고유한서비스이름을제공합니다. 설명 ( 예 : IDM용 UserAPI) 을추가합니다. 5 두 API 키를복사하여파일에저장합니다. VMware Identity Manager 관리콘솔에서 AirWatch를설정할때이러한키를추가합니다. 6 저장을클릭합니다. VMware AirWatch 관리자루트인증서내보내기 관리 API 키를만든후에 AirWatch 관리콘솔에서 admin 계정을추가하고인증서인증을설정합니다. REST API 인증서기반인증의경우 AirWatch 관리콘솔에서사용자수준인증서가생성됩니다. 사용되는인증서는 AirWatch 관리루트인증서에서생성된자체서명된 AirWatch 인증서입니다. VMware, Inc. 11

12 필수조건 AirWatch REST 관리 API 키가만들어져있습니다. 프로시저 1 AirWatch 관리콘솔에서 [ 글로벌 ] > [ 고객수준조직그룹 ] 을선택한후계정 > 관리자 > 목록보기로이동합니다. 2 추가 > 관리자추가를클릭합니다. 3 [ 기본 ] 탭의필수텍스트상자에인증서관리자이름과암호를입력합니다. 4 [ 역할 ] 탭을선택하고현재조직그룹을선택한후두번째텍스트상자를클릭하고 AirWatch 관리자를선택합니다. 5 [API] 탭을선택하고 [ 인증 ] 텍스트상자에서인증서를선택합니다. 6 인증서암호를입력합니다. 암호는 [ 기본 ] 탭에서관리자에대해입력한암호와같습니다. 7 저장을클릭합니다. 새관리자계정및클라이언트인증서가만들어집니다. 8 [ 목록보기 ] 페이지에서생성한관리자를선택하고 [API] 탭을다시엽니다. 인증서페이지에인증서에대한정보가표시됩니다. VMware, Inc. 12

13 9 [ 인증서암호 ] 텍스트상자에설정한암호를입력하고클라이언트인증서내보내기를클릭한후파 일을저장합니다. 클라이언트인증서가.p12 파일유형으로저장됩니다. 후속작업 VMware Identity Manager 관리콘솔에서 AirWatch URL 설정을구성합니다. VMware Identity Manager 에서 AirWatch 인스턴스설정 AirWatch 관리콘솔과 VMware Identity Manager 관리콘솔의 [ID 및액세스관리 ] 페이지에서설정을구성한후에 AirWatch URL, API 키값및인증서를입력합니다. AirWatch 설정이구성된후에는 Workspace ONE에서사용할수있는기능옵션을사용하도록설정할수있습니다. VMware Identity Manager 관리콘솔에서 AirWatch 설정추가 AirWatch를 VMware Identity Manager와통합하도록 VMware Identity Manager 관리콘솔에서 AirWatch 설정을구성합니다. VMware Identity Manager에구성된도메인을 AirWatch의특정조직그룹에연결하여 AirWatch의디바이스등록을용이하게할수있습니다. "VMware Identity Manager 도메인을여러조직그룹에매핑 " 을참조하십시오. 필수조건 관리자가 AirWatch 관리콘솔에로그인하는데사용하는 AirWatch 서버 URL 통합설정을위해 VMware Identity Manager에서 AirWatch 서버로의 API 요청을수행하는데사용되는 AirWatch 관리 API 키 API 호출을하고인증서암호를만드는데사용되는 AirWatch 인증서파일인증서파일은.p12 파일형식이어야합니다. AirWatch 등록사용자 API 키 AirWatch에서사용되는테넌트식별자인테넌트의 AirWatch 그룹 ID VMware, Inc. 13

14 프로시저 1 VMware Identity Manager 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > AirWatch를클릭합니다. 2 다음필드에 AirWatch 통합설정을입력합니다. 필드 AirWatch API URL 설명 AirWatch API URL 을입력합니다. 예 : AirWatch API 인증서 API 호출을수행하는데사용되는인증서파일을업로드합니다. 인증서암호인증서암호를입력합니다. AirWatch 관리 API 키 관리자 API 키값을입력합니다. API 키값의예는 FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs= 입니다. AirWatch 등록사용자 API 키등록된사용자 API 키값을입력합니다. AirWatch 그룹 ID API 키및관리자계정이만들어진조직그룹의 AirWatch 그룹 ID 를입력합 니다. 3 여러조직그룹에도메인을매핑하려면여러조직그룹에도메인매핑확인란을선택하십시오. a 드롭다운메뉴에서매핑할도메인을선택하고텍스트상자에조직그룹 ID 와해당그룹의관리 API 키를입력합니다. b 도메인에추가조직그룹을매핑하려면 + 를클릭합니다. c 다른도메인을매핑하려면드롭다운메뉴옆의 + 를클릭합니다. VMware, Inc. 14

15 4 저장을클릭합니다. 후속작업 AirWatch 카탈로그에설정된앱을통합카탈로그에병합하려면기능옵션 [ 통합카탈로그 ] 를사용하도록설정합니다. [ 규정준수검사 ] 를사용하도록설정하여 AirWatch 관리디바이스가 AirWatch 규정준수정책을준수하는지확인합니다. VMware Identity Manager 도메인을 AirWatch 의여러조직그룹에매핑 AirWatch 에서사용자및디바이스를설정할때 AirWatch 는 OG( 조직그룹 ) 를사용하여사용자를 구성및그룹화하고사용권한을설정합니다. AirWatch 가 VMware Identity Manager 와통합되 면관리자및등록사용자의 REST API 키는유형이 [ 고객 ] 인 AirWatch 조직그룹에만구성될수 있습니다. 다중테넌시용으로구성된 AirWatch 환경에서사용자및디바이스에대해많은조직그룹이생성됩 니다. 디바이스는조직그룹에등록됩니다. 조직그룹은다중테넌시환경에고유한구성으로설정될 수있습니다. 예를들어, 별도의지리적위치, 부서또는사용사례별로조직그룹을사용할수있습니 다. VMware, Inc. 15

16 VMware Identity Manager에구성된도메인을 AirWatch의특정조직그룹에연결하여 Workspace ONE를통해디바이스등록을관리할수있습니다. 사용자가 Workspace ONE에로그인하면 VMware Identity Manager 내에디바이스등록이벤트가트리거됩니다. 디바이스등록중에사용자및디바이스조합에사용권한이부여된애플리케이션을끌어오기위한요청이 AirWatch로전송됩니다. Identity Manager에서사용자를찾고해당조직그룹으로디바이스를성공적으로등록하려면 AirWatch가 VMware Identity Manager에통합될때디바이스조직그룹을식별해야합니다. VMware Identity Manager 서비스에서 AirWatch 설정을구성할때디바이스조직그룹 ID 및 API 키를입력하여도메인에여러 OG를매핑할수있습니다. 사용자가디바이스에서 Workspace ONE에로그인하면사용자레코드가확인되고디바이스가 AirWatch의해당조직그룹에등록됩니다. 여러조직그룹을구성하는방법에대한자세한내용은다중 AirWatch 조직그룹설정을위한배포전략을참조하십시오. 참고 AirWatch가 VMware Identity Manager에통합되고여러 AirWatch 조직그룹이구성되면, VMware Identity Manager 서비스에서사용하도록 Active Directory 글로벌카탈로그옵션을구성할수없습니다. AirWatch 에 Workspace ONE 카탈로그사용 AirWatch 인스턴스로 VMware Identity Manager를구성하는경우 Workspace ONE 카탈로그를사용하도록설정할수있습니다. 최종사용자는 Workspace ONE 포털에서사용권한이부여된모든애플리케이션을확인할수있습니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > AirWatch를클릭합니다. 2 이페이지의 [ 통합카탈로그 ] 섹션에서사용을선택합니다. 3 저장을클릭합니다. 후속작업 AirWatch 최종사용자에게통합카탈로그에액세스하고 Workspace ONE 포털을보는방법을알려줍니다. AirWatch 관리디바이스에대한규정준수검사사용 사용자가디바이스를등록한경우규정준수를평가하는데사용되는데이터가포함된샘플이스케줄에따라전송됩니다. 이샘플데이터평가에서는 AirWatch 콘솔에서관리자가설정한규정준수규칙을디바이스가준수하는지확인합니다. 디바이스가규정을벗어난경우 AirWatch 콘솔에구성된해당작업이수행됩니다. VMware, Inc. 16

17 VMware Identity Manager 서비스에는사용자가디바이스에서로그인할때 AirWatch 서버에서디바이스규정준수상태를검사하도록구성할수있는액세스정책옵션이있습니다. 규정준수검사를사용하면디바이스가규정을벗어난경우에사용자가애플리케이션에로그인하거나 Single Sign- On을통해 Workspace ONE 포털에들어가는것을차단할수있습니다. 디바이스가다시규정을준수하게되면로그인기능이복원됩니다. 디바이스가손상된경우 Workspace ONE 애플리케이션이자동으로로그아웃되고애플리케이션에대한액세스를차단합니다. 디바이스가어댑티브관리를통해등록된경우 AirWatch 콘솔을통해실행되는엔터프라이즈지우기명령이디바이스를등록해제하고관리되는애플리케이션을디바이스에서제거합니다. 관리되지않는애플리케이션은제거되지않습니다. AirWatch 규정준수정책에대한자세한내용은 AirWatch Resources 웹사이트에서 VMware AirWatch Mobile Device Management 가이드를참조하십시오. AirWatch 를통해사용자암호인증사용 AirWatch Cloud Connector를사용한인증을구현하려면 AirWatch 기능을통해암호인증을사용하도록설정해야합니다. 필수조건 VMware Identity Manager에서구성된 AirWatch입니다. AirWatch Cloud Connector가설치및활성화되어있습니다. Active Directory와통합된 AirWatch 디렉토리서비스 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > AirWatch를클릭합니다. 2 [AirWatch를통한사용자암호인증 ] 섹션에서사용을선택합니다. 3 저장을클릭합니다. 후속작업 AirWatch Cloud Connector 인증을사용하려면 AirWatch Cloud Connector를사용하여인증구현을참조하십시오. 액세스정책규칙구성 사용자의 Workspace ONE 포털에대한보안액세스를제공하고웹및데스크톱애플리케이션을실행하기위한액세스정책을구성합니다. 액세스정책에는로그인하고해당리소스를사용하기위해충족해야하는조건을지정하는규칙이포함되어있습니다. 기본정책규칙을편집하여구성한인증방법을선택해야합니다. 네트워크, 디바이스유형, AirWatch 디바이스등록및규정준수상태또는액세스하는애플리케이션과같은조건을기반으로사용자를인증하도록정책규칙을구성할수있습니다. 또한네트워크범위및디바이스유형에따라사용자에대한액세스를거부하도록정책규칙을구성할수도있습니다. 정책에그룹을추가하여특정그룹에대한인증을관리할수있습니다. VMware, Inc. 17

18 규정준수검사를사용하도록설정한경우 AirWatch에서관리하는디바이스에대해인증및디바이스규정준수검사를요구하는액세스정책규칙을만듭니다. 규정준수검사정책규칙은 ios용모바일 SSO, Android용모바일 SSO 및인증서클라우드배포와의인증체인에서작동합니다. 사용할인증방법은정책규칙구성의디바이스규정준수옵션앞에나와야합니다. 필수조건인증방법이구성되고기본제공 ID 제공자에연결되어있습니다. VMware Identity Manager AirWatch 페이지에서규정준수검사가사용되도록설정되어있습니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서관리 > 정책을선택합니다. 2 기본정책편집을클릭합니다. 3 다음을클릭합니다. 4 정책규칙추가를클릭하여규칙을추가하거나, 편집할규칙을선택합니다. [ 정책규칙추가 ] 페이지가나타납니다. a 이규칙에적용할네트워크범위를선택합니다. b c 이고사용자가다음위치에서컨텐츠에액세스하는경우드롭다운메뉴에서모바일디바이스유형을선택합니다. 사용자가다음방법으로인증할수있습니다. 드롭다운메뉴에서사용할인증방법을선택합니다. d + 를클릭하여디바이스규정준수 (AirWatch 사용 ) 를선택합니다. e 저장을클릭합니다. VMware, Inc. 18

19 5 저장을클릭합니다. AirWatch 업그레이드후에 VMware Identity Manager 업데이트 AirWatch 를새버전으로업그레이드하는경우 VMware Identity Manager 관리콘솔의 AirWatch 구성페이지에서통합카탈로그및사용자암호인증옵션을업데이트해야합니다. AirWatch 를업그레이드한후에이러한옵션을저장하면 VMware Identity Manager 서비스의 AirWatch 설정이새버전의 AirWatch 로업데이트됩니다. 프로시저 1 AirWatch 를업그레이드한후에 VMware Identity Manager 관리콘솔에로그인합니다. 2 [ID 및액세스관리 ] 탭에서설정 > AirWatch 를클릭합니다. 3 페이지를아래로스크롤하여통합카탈로그섹션으로이동한후저장을클릭합니다. 4 AirWatch 를통한사용자암호인증섹션으로스크롤한후저장을클릭합니다. AirWatch 구성이 VMware Identity Manager 서비스의새버전으로업데이트됩니다. VMware, Inc. 19

20 AirWatch Cloud Connector 를사용하여인증구현 VMware Enterprise Systems Connector의 ACC(AirWatch Cloud Connector) 구성요소는 Workspace ONE의사용자암호인증을위해 VMware Identity Manager에통합됩니다. 참고 AirWatch에서 ACC를설치하고 ACC 구성요소를구성합니다. AirWatch Cloud Connector 설치및구성에대한자세한내용은 "VMware Enterprise Systems Connector 설치및구성 " 가이드를참조하십시오. ACC가설치및구성된후에 AirWatch 디렉토리서비스를 Active Directory와통합합니다. 디렉토리서비스를사용하도록설정하는방법에대한정보는 "VMware AirWatch 디렉토리서비스 " 가이드를참조하십시오. Workspace ONE에대한 AirWatch Cloud Connector 인증을구현하기위해 VMware Identity Manager 관리콘솔에서암호 (AirWatch Connector) 인증방법이기본제공 ID 제공자와연결됩니다. AirWatch에서 Just-In-Time 지원을사용하도록설정하여새사용자가처음로그인할때사용자를 VMware Identity Manager 디렉토리에추가할수있습니다. Just-In-Time 지원을사용하도록설정하면 Workspace ONE에액세스하기위해 AirWatch 서버의예약된다음동기화까지기다릴필요가없습니다. 대신새사용자는 ios 또는 Android 디바이스나해당데스크톱컴퓨터에서 Workspace ONE 포털에로그인한후해당 Active Directory 사용자이름및암호를입력합니다. VMware Identity Manager 서비스는 AirWatch Cloud Connector를통해 Active Directory 자격증명을인증하고사용자프로파일을디렉토리에추가합니다. 기본제공 ID 제공자에서인증모델을연결한후에는이러한인증방법에적용할액세스정책을만듭니다. 참고사용자이름과암호인증이 AirWatch Cloud Connector 배포에통합되어있습니다. 다른 VMware Identity Manager 지원인증방법을사용하여사용자를인증하려면 VMware Identity Manager 커넥터를구성해야합니다. 사용자특성매핑관리 AirWatch 디렉토리와 VMware Identity Manager 디렉토리사이의사용자특성매핑을구성할수있습니다. VMware Identity Manager의 [ 사용자특성 ] 페이지에있는 [ID 및액세스관리 ] 탭에는 AirWatch 디렉토리특성에매핑된기본디렉토리특성이표시됩니다. 필수특성은별표가표시됩니다. 프로파일에필수특성이누락된사용자는 VMware Identity Manager 서비스와동기화되지않습니다. 표 2 1. 기본 AirWatch 디렉토리특성매핑 VMware Identity Manager 사용자특성이름 userprincipalname distinguishedname employeeid AirWatch 사용자특성에대한기본매핑 userprincipalname distinguishedname employeeid VMware, Inc. 20

21 표 2 1. 기본 AirWatch 디렉토리특성매핑 ( 계속 ) VMware Identity Manager 사용자특성이름도메인 disabled( 외부사용자사용안함 ) phone lastname firstname 이메일 username AirWatch 사용자특성에대한기본매핑도메인 disabled telephonenumber lastname* firstname* * username* AirWatch 디렉토리에서 VMware Identity 디렉토리로사용자및그룹동기화 AirWatch 관리콘솔에서 AirWatch 디렉토리의조직그룹인스턴스와 VMware Identity Manager 간에연결을설정하도록 VMware Identity Manager 설정을구성합니다. 이연결은 VMware Identity Manager 서비스에서생성한디렉토리에사용자및그룹을동기화하는데사용 됩니다. 사용자와그룹은처음부터 VMware Identity Manager 디렉토리에수동으로동기화됩니다. AirWatch 동기화일정은사용자및그룹이 VMware Identity Manager 디렉토리와동기화되는 시간을결정합니다. 사용자나그룹이 AirWatch 서버에서추가또는삭제되면변경사항이 VMware Identity Manager 서비스에즉시반영됩니다. 필수조건 VMware Identity Manager 로컬관리자이름및암호. AirWatch 디렉토리에서매핑할 ID 특성값. 사용자특성매핑관리의내용을참조하십시오. 프로시저 1 AirWatch 관리콘솔의 [ 그룹및설정 ], [ 모든설정 ] 페이지에서 [ 글로벌 ] > [ 고객수준조직그룹 ] 을선택한후시스템 > 엔터프라이즈통합 >VMware Identity Manager로이동합니다. 2 [ 서버 ] 섹션에서구성을클릭합니다. 참고구성버튼은같은조직그룹에대해 [ 디렉토리서비스 ] 도구성되어있는경우에만사용할수있습니다. [ 구성 ] 버튼이보이지않으면올바른조직그룹에있지않은것입니다. 조직그룹은 [ 글로벌 ] 드롭다운메뉴에서변경할수있습니다. VMware, Inc. 21

22 3 VMware Identity Manager 설정을입력합니다. 옵션 URL 설명 테넌트 VMware URL 을입력합니다. 예 : 관리자이름 VMware Identity Manager 로컬관리자이름을입력합니다. 관리자암호 VMware Identity Manager 로컬관리자암호를입력합니다. 4 다음을클릭합니다. 5 사용자지정매핑을사용하도록설정하여 AirWatch에서 VMware Identity Manager 서비스로사용자특성매핑을구성합니다. 6 연결테스트를클릭하여설정이올바른지확인합니다. 7 모든사용자와그룹을 VMware Identity Manager 서비스로동기화하려면지금동기화를클릭합니다. 참고시스템로드의제어를위해수동동기화는이전동기화를수행한후 4시간이지난경우에만수행할수있습니다. AirWatch 디렉토리가 VMware Identity Manager 서비스에생성되고사용자와그룹이 VMware Identity Manager의디렉토리에동기화됩니다. 후속작업 VMware Identity Manager 관리콘솔의 [ 사용자및그룹 ] 탭을검토하여사용자및그룹이름이동기화되는지확인합니다. AirWatch 에대한암호인증구성관리 AirWatch를설치하고 VMware Identity Manager 서비스를추가할때설정한암호 (AirWatch Connector) 구성을검토하고관리할수있습니다. 암호 (AirWatch Connector) 인증방법은 [ID 및액세스관리 ] > [ 인증방법 ] 페이지에서관리되며 [ID 제공자 ] 페이지의기본제공 ID 제공자와연결됩니다. 중요 AirWatch Cloud Connector 소프트웨어가업그레이드되면 VMware Identity Manager 관리콘솔 AirWatch 페이지에서 VMware Identity Manager AirWatch 구성을업데이트해야합니다. 프로시저 1 구성을검토하고관리하려면 [ID 및액세스관리 ] 탭에서인증방법을선택합니다. 2 암호 (AirWatch Connector) 구성열에서연필모양아이콘을클릭합니다. VMware, Inc. 22

23 3 구성을검토합니다. 옵션 설명 AirWatch 암호인증사용 이확인란을선택하면 AirWatch 암호인증이사용되도록설정됩니다. AirWatch 관리콘솔 URL AirWatch URL로미리채워집니다. AirWatch API 키 AirWatch 관리 API 키로미리채워집니다. 인증에사용된인증서 AirWatch Cloud Connector 인증서로미리채워집니다. 인증서용암호 AirWatch Cloud Connector 인증서에대한암호로미리채워집니다. AirWatch 그룹 ID 조직그룹 ID로미리채워집니다. 허용된인증시도횟수 JIT 사용 AirWatch 암호인증을사용하여로그인할경우최대로그인시도실패횟수입니다. 실패한로그인시도횟수가이횟수에도달하면더이상로그인할수없습니다. VMware Identity Manager 서비스는폴백인증방법이구성된경우이방법을사용하려고합니다. 기본값은 5회입니다. JIT가사용되지않도록설정된경우사용자가처음로그인할때 VMware Identity Manager 서비스에서사용자의 Just-in-Time 프로비저닝을동적으로사용하도록설정하려면이확인란을선택합니다. 4 저장을클릭합니다. 내장 ID 제공자구성 여러내장 ID 제공자를구성한후 [ID 및액세스관리 ] 의 [ 관리 ] > [ 인증방법 ] 페이지에서구성한인증방법을연결할수있습니다. 프로시저 1 [ID 및액세스관리 ] 탭에서관리 > ID 제공자로이동합니다. 2 ID 제공자추가를클릭하고내장 IDP 생성을선택합니다. 옵션 설명 ID 제공자이름이내장 ID 제공자인스턴스의이름을입력합니다. 사용자인증할사용자를선택합니다. 구성된디렉토리가나열됩니다. 네트워크 인증방법 서비스에구성된기존네트워크범위가나열됩니다. IP 주소를기반으로사용자에대해네트워크범위 ( 인증을위해이 ID 제공자인스턴스로전송할네트워크범위 ) 를선택합니다. 서비스에구성된인증방법이표시됩니다. 이기본제공 ID 제공자에연결할인증방법에대한확인란을선택합니다. 디바이스규정준수 (AirWatch 사용 ) 및암호 (AirWatch Connector) 의경우 AirWatch 구성페이지에서해당옵션이사용되도록설정되어있는지확인합니다. 3 추가를클릭합니다. 후속작업 기본액세스정책규칙을구성하여해당규칙에인증정책을추가합니다. 액세스정책규칙구성의내 용을참조하십시오. VMware, Inc. 23

24 AirWatch 관리 ios 디바이스에대한모바일 Single Sign-On 인증구현 3 ios 디바이스인증의경우 VMware Identity Manager는 VMware Identity Manager 서비스에기본제공되는 ID 제공자를사용하여모바일 SSO 인증에대한액세스를제공합니다. 이 ios 디바이스인증방법에서는커넥터또는타사시스템을사용하지않고 KDC( 키배포센터 ) 를사용합니다. Kerberos 인증은도메인에로그인한사용자가추가인증없이해당 Workspace ONE 애플리케이션포털에액세스할수있도록합니다. 이장에서는다음주제에대해설명합니다. ios용모바일 SSO 구성을위한구현개요 AirWatch에서 Active Directory CA( 인증기관 ) 구성 Kerberos 인증을위한 AirWatch 인증기관사용 ios 디바이스의인증에키배포센터사용 ios용모바일 SSO 인증구성 모바일 SSO ios 인증을위한기본제공 ID 제공자구성 Active Directory 인증기관및인증서템플릿을사용하여 AirWatch에서 Apple ios 프로파일구성 AirWatch 인증기관을사용하여 AirWatch에서 Apple ios 프로파일구성 AirWatch 디바이스프로파일할당 ios 용모바일 SSO 구성을위한구현개요 AirWatch 관리 ios 9 이상디바이스에대한모바일 SSO 인증을구현하려면다음구성단계가필요합니다. ios용모바일 SSO를구성할발급자인증서를다운로드합니다. Active Directory 인증서서비스를사용하는경우 Active Directory 인증서서비스에서 Kerberos 인증서배포를위한 CA( 인증기관 ) 템플릿을구성합니다. 그런다음 Active Directory 인증기관을사용하도록 AirWatch를구성합니다. AirWatch 관리콘솔에서인증서템플릿을추가합니다. ios용모바일 SSO를구성할발급자인증서를다운로드합니다. AirWatch 인증기관을사용하는경우 VMware Identity Manager [ 통합 ] 페이지에서 [ 인증서 ] 를사용하도록설정합니다. ios용모바일 SSO를구성할발급자인증서를다운로드합니다. VMware, Inc. 24

25 사용할 KDC( 키배포센터 ) 를설정합니다. AirWatch 관리콘솔에서 ios 디바이스프로파일을구성하고단일로그인을사용하도록설정합니다. 모바일 SSO(iOS) 인증방법을구성합니다. VMware Identity Manager 관리콘솔에서기본제공 ID 제공자를구성한후 ios용모바일 SSO 인증을연결합니다. AirWatch 에서 Active Directory CA( 인증기관 ) 구성 AirWatch 관리 ios 9 모바일디바이스에대한 Single Sign-On 인증을설정하려면 Active Directory와 AirWatch 간에신뢰관계를설정하고 VMware Identity Manager에서 ios용모바일 SSO 인증방법을사용하도록설정하면됩니다. Active Directory 인증서서비스에서 Kerberos 인증서배포에대해 CA( 인증기관 ) 및인증서템플릿을구성한후에 AirWatch를사용하여인증에사용되는인증서를요청하고 AirWatch 관리콘솔에 CA( 인증기관 ) 를추가합니다. 프로시저 1 AirWatch 관리콘솔주메뉴에서장치 > 인증서 > 인증기관으로이동합니다. 2 추가를클릭합니다. 3 [ 인증기관 ] 페이지에서다음을구성합니다. 참고 다. 이양식을작성하기전에 Microsoft AD CS 가기관유형으로선택되어있는지확인합니 옵션 설명 이름새 CA( 인증기관 ) 의이름을입력합니다. 기관유형 Microsoft ADCS 를선택했는지확인합니다. 프로토콜프로토콜로 ADCS 를선택합니다. 서버호스트이름 서버의 URL 을입력합니다. 형식으 로호스트이름을입력합니다. 사이트는설정방식에따라 http 또는 https 일 수있습니다. URL 에는후행 / 가포함되어야합니다. 참고 URL 을테스트할때연결이실패하면주소에서 또는 를제거하고연결을다시테스트합니다. 기관이름 ADCS 끝점이연결되는 CA( 인증기관 ) 의이름을입력합니다. 이이름은 CA( 인증기관 ) 서버에서 CA( 인증기관 ) 애플리케이션을실행하여찾을수있 습니다. 인증서비스계정을선택했는지확인합니다. 사용자이름및암호 AirWatch 에서인증서를요청하고발급하기위한충분한액세스권한이있는 AD CS 관리자계정의사용자이름및암호를입력합니다. 4 저장을클릭합니다. VMware, Inc. 25

26 후속작업 AirWatch 에서인증서템플릿을구성합니다. Active Directory CA( 인증기관 ) 사용을위한 AirWatch 구성 CA( 인증기관 ) 템플릿은 Kerberos 인증서배포에적합하게구성해야합니다. AD CS(Active Directory 인증서서비스 ) 에서는기존 Kerberos 인증템플릿을복제하여 ios Kerberos 인증에사용할새 CA( 인증기관 ) 템플릿을구성할수있습니다. AD CS에서 Kerberos 인증템플릿을복제할때, [ 새템플릿 ] 대화상자의 [ 속성 ] 에서다음정보를구성해야합니다. 그림 3 1. 새템플릿대화상자의 Active Directory 인증서서비스속성 일반탭. 템플릿표시이름과템플릿이름을입력합니다. 예 : ioskerberos. 이이름은인증서템플릿스냅인, 인증서스냅인, 인증기관스냅인에표시되는표시이름입니다. 요청처리탭. 개인키내보내기허용을사용하도록설정합니다. 주체이름탭. 요청에서공급라디오버튼을선택합니다. 주체이름은 AirWatch에서인증서를요청할때 AirWatch에서제공합니다. 확장탭. 애플리케이션정책을정의합니다. [ 애플리케이션정책 ] 을선택하고 [ 편집 ] 을클릭하여새애플리케이션정책을추가합니다. 이정책의이름을 Kerberos Client Authentication이라고지정합니다. 다음과같이 OID( 개체식별자 ) 를추가합니다 이를변경하면안됩니다. [ 애플리케이션정책설명 ] 목록에서 Kerberos Client Authentication 정책과 Smart Card Authentication 정책을제외한모든정책을삭제합니다. 보안탭. 인증서를사용할수있는사용자목록에 AirWatch 계정을추가합니다. 계정에대한사용권한을설정합니다. 보안주체가인증서템플릿의사용권한을포함한인증서템플릿의모든특성을수정하도록허용하려면 [ 모든권한 ] 을설정합니다. 그렇지않은경우에는조직의요구사항에따라사용권한을설정합니다. 변경사항을저장합니다. Active Directory CA( 인증기관 ) 에서사용하는템플릿의목록에템플릿을추가합니다. AirWatch에서 CA( 인증기관 ) 를구성하고인증서템플릿을추가합니다. VMware, Inc. 26

27 AirWatch 에서인증서템플릿추가 사용자인증서를생성하는데사용되는 CA( 인증기관 ) 를연결하는인증서템플릿을추가합니다. 필수조건 AirWatch 에서 CA( 인증기관 ) 를구성합니다. 프로시저 1 AirWatch 관리콘솔에서시스템 > 엔터프라이즈통합 > 인증기관으로이동합니다. 2 템플릿요청탭을선택하고추가를클릭합니다. 3 인증서템플릿페이지에서다음을구성합니다. 옵션 설명 이름 AirWatch 에서새요청템플릿의이름을입력합니다. CA( 인증기관 ) 드롭다운메뉴에서만들어진 CA( 인증기관 ) 를선택합니다. 템플릿발급 주체이름 개인키길이 AD CS에서만든것과정확히동일하게 Microsoft CA 인증서템플릿이름을입력합니다. 예를들어 ioskerberos를입력합니다. CN= 다음에 {EnrollmentUser} 를입력합니다. 여기서 {} 텍스트상자는 AirWatch 조회값입니다. 여기에입력한텍스트는인증서의주체로, 인증서를받은사람을확인하는데사용될수있습니다. 이개인키길이는 AD CS에사용되는인증서템플릿의설정과일치합니다. 일반적으로 2048입니다. 개인키유형서명및암호화확인란을선택합니다. SAN 유형 자동인증서갱신 주체대체이름으로사용자계정이름을선택합니다. 값은 {EnrollmentUser} 여야합니다. 디바이스규정준수검사가 Kerberos 인증으로구성된경우 UDID 를포함하도록두번째 SAN 유형을설정해야합니다. SAN 유형 DNS를선택합니다. 값은 UDID={DeviceUid} 여야합니다. 이템플릿을사용하는인증서가만료일전에자동으로갱신되도록하려면이확인란을선택합니다. 자동갱신기간 ( 일 ) 자동갱신 ( 일 ) 을지정합니다. 인증서해지사용 해당디바이스가등록취소되거나삭제될경우또는해당프로파일이제거될경 우인증서를자동으로해지하려면이확인란을선택합니다. 개인키게시이확인란을선택하여개인키를게시합니다. 개인키대상 디렉토리서비스또는사용자지정웹서비스 VMware, Inc. 27

28 4 저장을클릭합니다. 후속작업 ID 제공자관리콘솔에서 ios 용모바일 SSO 인증방법으로기본제공 ID 제공자를구성합니다. Kerberos 인증을위한 AirWatch 인증기관사용 기본제공 Kerberos 인증을사용하여 AirWatch 관리 ios 9 모바일디바이스에 Single Sign-On 을설정하려는경우 Active Directory CA( 인증기관 ) 대신에 AirWatch 인증기관을사용할수있습니다. AirWatch 관리콘솔에서 AirWatch 인증기관을사용하도록설정하고 VMware Identity Manager 서비스에사용할 CA 발급자인증서를내보낼수있습니다. AirWatch 인증기관은 SCEP( 단순인증서등록프로토콜 ) 를따르도록설계되었으며 SCEP를지원하는 AirWatch 관리디바이스에서사용됩니다. AirWatch와 VMware Identity Manager의통합에서는 AirWatch 인증기관을사용하여 ios 9 모바일디바이스에대한인증서를프로파일의일부로발급합니다. AirWatch 인증기관발급자루트인증서는 OCSP 서명인증서이기도합니다. AirWatch 인증기관사용설정및내보내기 AirWatch에서 VMware Identity Manager를사용하도록설정되어있으면 AirWatch 발급자루트인증서를생성할수있고관리되는 ios 9 모바일디바이스에서 ios용모바일 SSO 인증에사용할인증서를내보낼수있습니다. 프로시저 1 AirWatch 관리콘솔에서시스템 > 엔터프라이즈통합 > VMware Identity Manager로이동합니다. VMware, Inc. 28

29 2 AirWatch 인증기관을사용하도록설정하려면조직그룹유형이 [ 고객 ] 이어야합니다. 팁그룹유형을보거나변경하려면 [ 그룹및설정 ] 으로이동한후그룹 > 조직그룹 > 조직그룹세부정보를선택합니다. 3 [ 인증서 ] 섹션에서사용을클릭합니다. 페이지에발급자루트인증서세부정보가표시됩니다. 4 내보내기를클릭하고파일을저장합니다. 후속작업 VMware Identity Manager 관리콘솔의기본제공 ID 제공자에서 Kerberos 인증을구성하고인증기관발급자인증서를추가합니다. ios 디바이스의인증에키배포센터사용 ios 디바이스의경우서비스를 Kerberos에통합합니다. Kerberos 인증은도메인에로그인한사용자가추가인증없이해당애플리케이션포털에액세스할수있도록합니다. 이 ios 디바이스인증방법에서는커넥터또는타사시스템을사용하지않고 KDC( 키배포센터 ) 를사용합니다. VMware Identity Manager 클라우드테넌트에서는 KDC를관리하거나구성할필요가없습니다. 온-프레미스배포의경우두개의 KDC 서비스옵션을사용할수있습니다. 기본제공 KDC. 기본제공 KDC를사용하려면장치에서 KDC를초기화하고 Kerberos 클라이언트가 KDC를찾을수있도록공용 DNS 항목을생성해야합니다. 기본제공된 KDC를사용하도록설정하는방법에대한자세한내용은 VMware Identity Manager 관리가이드를참조하십시오. VMware Identity Manager 클라우드호스팅된서비스로서의 KDC. 클라우드의 KDC를사용하려면 [ios 인증어댑터 ] 페이지에서해당영역이름을선택해야합니다. 참고 VMware Identity Manager가 Windows 환경의 AirWatch에서설치및구성되면 VMware Identity Manager 클라우드호스팅 KDC 서비스를사용하도록 ios 모바일인증방법을구성해야합니다. 클라우드호스팅된 KDC 서비스사용 ios용모바일 SSO에대해 Kerberos 인증사용을지원하기위해 VMware Identity Manager는클라우드호스팅된 KDC 서비스를제공합니다. 클라우드에호스팅된 KDC 서비스는 VMware Identity Manager 서비스를 Windows 환경의 AirWatch에배포할때사용해야합니다. VMware Identity Manager 장치에서관리되는 KDC를사용하려면 VMware Identity Manager 설치및구성가이드의 ios 디바이스에서 Kerberos 인증사용준비 를참조하십시오. VMware, Inc. 29

30 ios용모바일 SSO 인증을구성할때클라우드호스팅된 KDC 서비스의영역이름을구성합니다. 영역은인증데이터를유지관리하는관리엔티티의이름입니다. [ 저장 ] 을클릭하면 VMware Identity Manager 서비스가클라우드호스팅된 KDC 서비스에등록됩니다. KDC 서비스에저장되는데이터는 ios용모바일 SSO 인증방법의구성을기준으로하며 CA 인증서, OCSP 서명인증서및 OCSP 요청구성세부정보를포함합니다. 기타사용자관련정보는클라우드서비스에저장되지않습니다. 로깅레코드는클라우드서비스에저장됩니다. 로깅레코드의 PII( 개인식별가능정보 ) 에는사용자프로파일의 Kerberos 인증이름, 주체 DN 및 UPN, 이메일 SAN 값, 사용자인증서의디바이스 ID, 사용자가액세스하는 IDM 서비스의 FQDN이포함됩니다. 클라우드호스팅된 KDC 서비스를사용하려면 VMware Identity Manager를다음과같이구성해야합니다. VMware Identity Manager 서비스의 FQDN은인터넷에서연결할수있어야합니다. VMware Identity Manager에서사용되는 SSL/TLS 인증서는공개적으로서명되어야합니다. 아웃바운드요청 / 응답포트 88(UDP) 및포트 443(HTTPS/TCP) 은 VMware Identity Manager 서비스에서액세스할수있어야합니다. OCSP를사용하도록설정하는경우인터넷에서 OCSP 응답자에연결할수있어야합니다. ios 용모바일 SSO 인증구성 관리콘솔의 [ 인증방법 ] 페이지에서 ios용모바일 SSO 인증방법을구성합니다. 기본제공 ID 제공자에서사용할모바일 SSO(iOS용 ) 인증방법을선택합니다. 필수조건 AirWatch 테넌트에서사용자에게인증서를발급하는데사용되는 CA( 인증기관 ) PEM 또는 DER 파일. 해지검사의경우 OCSP 응답자의서명인증서. KDC 서비스의경우 KDC 서비스의영역이름을선택합니다. 기본제공 KDC 서비스를사용하는경우 KDC가초기화되어야합니다. 기본제공된 KDC 세부정보에대해서는 "VMware Identity Manager 설치및구성 " 을참조하십시오. 프로시저 1 [ID 및액세스관리 ] 탭에서관리 > 인증방법으로이동합니다. 2 모바일 SSO(iOS용 ) 구성열에서해당아이콘을클릭합니다. VMware, Inc. 30

31 3 Kerberos 인증방법을구성합니다. 옵션 KDC 인증사용영역루트및중간 CA 인증서업로드된 CA 인증서주체 DN OCSP 사용 설명사용자가 Kerberos 인증을지원하는 ios 디바이스를사용하여로그인할수있게하려면이확인란을선택합니다. 클라우드호스팅 KDC를사용하는경우제공된미리정의된지원되는영역이름을입력합니다. 이매개변수의텍스트는모두대문자로입력해야합니다. 예 : OP.VMWAREIDENTITY.COM 기본제공 KDC를사용하는경우 KDC를초기화할때구성한영역이름이표시됩니다. 영역값은읽기전용입니다. 여기에입력한영역은테넌트에대한 Identity Manager 영역이름입니다. CA( 인증기관 ) 발급자인증서파일을업로드합니다. PEM 또는 DER 파일형식을지원합니다. 업로드된인증서파일의내용이여기에표시됩니다. 둘이상의파일을업로드할수있고포함되는모든인증서가목록에추가됩니다. OCSP( 온라인인증서상태프로토콜 ) 인증서검증프로토콜을사용하여인증서의해지상태를가져오려면이확인란을선택합니다. OCSP Nonce 전송 OCSP 요청의고유한식별자를응답으로전송하려면이확인란을선택합니다. OCSP 응답자의서명인증서응답자의 OCSP 인증서를업로드합니다. AirWatch 인증기관을사용할경우발급자인증서가 OCSP 인증서로사용됩니다. 여기에서 AirWatch 인증서도업로드합니다. OCSP 응답자의서명인증서주체 DN 업로드된 OCSP 인증서파일이여기에나열됩니다. 취소메시지 취소링크사용 엔터프라이즈디바이스관리서버 URL 인증이너무오래걸릴경우표시되는사용자지정로그인메시지를작성합니다. 사용자지정메시지를만들지않을경우기본메시지는 Attempting to authenticate your credentials입니다. 인증에너무오래시간이걸리면사용자에게 [ 취소 ] 를클릭하여인증시도를중지하고로그인을취소할수있는기능을제공합니다. [ 취소 ] 링크를사용하도록설정하면표시되는인증오류메시지끝에취소가나타납니다. 디바이스가 MDM 관리를위해 AirWatch에등록되지않았기때문에액세스가거부될경우사용자를리디렉션할 MDM( 모바일디바이스관리 ) 서버 URL을입력합니다. 이 URL은인증실패오류메시지에표시됩니다. 여기에 URL을입력하지않으면일반액세스거부메시지가표시됩니다. 4 저장을클릭합니다. 후속작업 내장 ID 제공자에서모바일 SSO(iOS용 ) 인증방법을연결합니다. ios 디바이스의 Kerberos 인증에대한기본액세스정책규칙을구성합니다. 이인증방법이규칙에설정된첫번째방법인지확인합니다. AirWatch 관리콘솔로이동한후 AirWatch에서 ios 디바이스프로파일을구성하고 VMware Identity Manager에서 KDC 서버인증서발급자인증서를추가합니다. VMware, Inc. 31

32 모바일 SSO ios 인증을위한기본제공 ID 제공자구성 기본제공 ID 제공자를구성한후 [ID 및액세스관리 ] 의 [ 관리 ] > [ 인증방법 ] 페이지에서구성한 ios 용모바일 SSO 인증방법을연결할수있습니다. 필수조건 [ 인증방법 ] 페이지에구성된모바일 SSO(iOS 용 ) 인증 프로시저 1 [ID 및액세스관리 ] 탭에서관리 > ID 제공자로이동합니다. 2 ID 제공자추가를클릭하고내장 IDP 생성을선택합니다. 옵션 설명 ID 제공자이름이내장 ID 제공자인스턴스의이름을입력합니다. 사용자인증할사용자를선택합니다. 구성된디렉토리가나열됩니다. 네트워크 인증방법 서비스에구성된기존네트워크범위가나열됩니다. IP 주소를기반으로사용자에대해네트워크범위 ( 인증을위해이 ID 제공자인스턴스로전송할네트워크범위 ) 를선택합니다. 서비스에구성된인증방법이표시됩니다. 이기본제공 ID 제공자에연결할 ios 인증방법에대한확인란을선택합니다. 다른인증방법을추가합니다. 디바이스규정준수 (AirWatch 사용 ) 및암호 (AirWatch Connector) 의경우 AirWatch 구성페이지에서해당옵션이사용되도록설정되어있는지확인합니다. 3 [KDC 인증서내보내기 ] 섹션에서인증서다운로드를클릭합니다. AirWatch 관리콘솔에서액세스할수있는파일에이인증서를저장합니다. AirWatch에서 ios 디바이스프로파일을구성할때이인증서를업로드합니다. 4 추가를클릭합니다. 후속작업 ios 디바이스의 Kerberos 인증에대한기본액세스정책규칙을구성합니다. 이인증방법이규칙에설정된첫번째방법인지확인합니다. AirWatch 관리콘솔로이동한후 AirWatch에서 ios 디바이스프로파일을구성하고 VMware Identity Manager에서 KDC 서버인증서발급자인증서를추가합니다. Active Directory 인증기관및인증서템플릿을사용하여 AirWatch 에서 Apple ios 프로파일구성 AirWatch 에서 Apple ios 디바이스프로파일을만들고배포하여 ID 제공자설정을디바이스에푸시 합니다. 이프로파일에는디바이스가 VMware ID 제공자에연결하는데필요한정보와디바이스가 인증하는데사용하는인증서가포함되어있습니다. 각앱에대해인증을요구하지않고원활한액세스 가가능하도록 Single Sign-On 을사용하도록설정합니다. VMware, Inc. 32

33 필수조건 ios용모바일 SSO는 VMware Identity Manager에서구성됩니다. ios Kerberos 인증기관파일이 AirWatch 관리콘솔에서액세스할수있는컴퓨터에저장되어있습니다. 사용자의인증기관및인증서템플릿이 AirWatch에제대로구성되어있습니다. ios 디바이스에서 ios용모바일 SSO 인증을사용하는 URL 및애플리케이션번들 ID 목록. 프로시저 1 AirWatch 관리콘솔에서디바이스 > 프로파일및리소스 > 프로파일로이동합니다. 2 추가 > 프로파일추가를선택하고 Apple ios를선택합니다. 3 이름으로 ioskerberos를입력하고일반설정을구성합니다. 4 왼쪽탐색창에서자격증명 > 구성을선택하여자격증명을구성합니다. 옵션 설명 자격증명소스드롭다운메뉴에서정의된인증서기관을선택합니다. CA( 인증기관 ) 드롭다운메뉴의목록에서인증기관을선택합니다. 인증서템플릿 드롭다운메뉴에서인증기관을참조하는요청템플릿을선택합니다. 이는 AirWatch 의 [ 인증서템플릿추가 ] 에서만들어진인증서템플릿입니다. 5 페이지오른쪽아래모서리의 + 를다시클릭하고두번째자격증명을만듭니다. 6 자격증명소스드롭다운메뉴에서업로드를선택합니다. 7 자격증명이름을입력합니다. 8 업로드를클릭하여 [ID 및액세스관리 ] > [ 관리 ] > [ID 제공자 ] > [ 기본제공 ID 제공자 ] 페이지에서다운로드한 KDC 서버루트인증서를업로드합니다. 9 왼쪽탐색창에서 Single Sign-On을선택하고구성을클릭합니다. 10 연결정보를입력합니다. 옵션 설명 계정이름 Kerberos 를입력합니다. Kerberos 계정이름 + 를클릭하고 {EnrollmentUser} 를선택합니다. 영역 갱신인증서 테넌트에대한 Identity Manager 영역이름을입력합니다. 이매개변수의텍스트는대문자로입력해야합니다. 선택할수있는영역이름은 VMWAREIDENTITY.COM, VMWAREIDENTITY.EU 및 VMWAREIDENTITY.ASIA입니다. VMware Identity Manager 장치에서 KDC를초기화할때사용한영역이름을입력합니다. 예 : EXAMPLE.COM 드롭다운메뉴에서 Certificate#1을선택합니다. 이는처음에자격증명에서구성된 Active Directory CA 인증서입니다. VMware, Inc. 33

34 옵션 URL 접두사 애플리케이션 설명 HTTP를통한 Kerberos 인증에이계정을사용하기위해일치해야하는 URL 접두사를입력합니다. VMware Identity Manager 서버 URL을 VMware Identity Manager 서버 URL을 으로입력합니다. 이로그온을사용하도록허용되는애플리케이션 ID 목록을입력합니다. ios 기본제공 Safari 브라우저를사용하여 Single Sign-On을수행하려면첫번째애플리케이션번들 ID를 com.apple.mobilesafari로입력합니다. 애플리케이션번들 ID를계속입력합니다. 나열된애플리케이션은 SAML 인증을지원해야합니다. 11 저장및게시를클릭합니다. 후속작업스마트그룹에디바이스프로파일을할당합니다. 스마트그룹은할당된애플리케이션, 책, 준수정책, 디바이스프로파일또는프로비전을수신하는플랫폼, 디바이스및사용자를결정하는사용자지정가능그룹입니다. AirWatch 인증기관을사용하여 AirWatch 에서 Apple ios 프로파일구성 AirWatch 에서 Apple ios 디바이스프로파일을만들고배포하여 ID 제공자설정을디바이스에푸시 합니다. 이프로파일에는디바이스가 VMware ID 제공자에연결하는데필요한정보와디바이스가 인증하는데사용하는인증서가포함되어있습니다. 필수조건 VMware Identity Manager에구성된기본제공 Kerberos AirWatch 관리콘솔에서액세스할수있는컴퓨터에저장된 VMware Identity Manager KDC 서버루트인증서파일 AirWatch 관리콘솔의 [ 시스템 ] > [ 엔터프라이즈통합 ] > VMware Identity Manager 페이지에서다운로드되고사용되도록설정된인증서 ios 디바이스에서기본제공 Kerberos 인증을사용하는 URL 및애플리케이션번들 ID 목록. 프로시저 1 AirWatch 관리콘솔에서디바이스 > 프로파일및리소스 > 프로파일 > 프로파일추가로이동한후 Apple ios를선택합니다. 2 프로파일의일반설정을구성하고디바이스의이름을 ioskerberos로입력합니다. VMware, Inc. 34

35 3 왼쪽탐색창에서 SCEP > 구성을선택하여자격증명을구성합니다. 옵션 설명 자격증명소스드롭다운메뉴에서 AirWatch 인증기관을선택합니다. CA( 인증기관 ) 드롭다운메뉴에서 AirWatch 인증기관을선택합니다. 인증서템플릿 싱글사인온을선택하여 AirWatch 인증기관에서발급한인증서유형을설정 합니다. 4 자격증명 > 구성을클릭하고두번째자격증명을만듭니다. 5 자격증명소스드롭다운메뉴에서업로드를선택합니다. 6 ios Kerberos 자격증명이름을입력합니다. 7 업로드를클릭하여 [ID 및액세스관리 ] > [ 관리 ] > [ID 제공자 ] > [ 기본제공 ID 제공자 ] 페이지에서다운로드한 VMware Identity Manager KDC 서버루트인증서를업로드합니다. 8 왼쪽탐색창에서 Single Sign-On을선택합니다. 9 연결정보를입력합니다. 옵션 설명 계정이름 Kerberos 를입력합니다. Kerberos 계정이름 + 를클릭하고 {EnrollmentUser} 를선택합니다. 영역갱신인증서 URL 접두사애플리케이션 테넌트에대한 Identity Manager 영역이름을입력합니다. 이매개변수의텍스트는대문자로입력해야합니다. 선택할수있는영역이름은 VMWAREIDENTITY.COM, VMWAREIDENTITY.EU 및 VMWAREIDENTITY.ASIA입니다. VMware Identity Manager 장치에서 KDC를초기화할때사용한영역이름을입력합니다. 예 : EXAMPLE.COM ios 8 이상디바이스에서사용자의 Single Sign-On 세션이만료될때사용자조작없이도사용자를자동으로다시인증하는데사용되는인증서를선택합니다. HTTP를통한 Kerberos 인증에이계정을사용하기위해일치해야하는 URL 접두사를입력합니다. VMware Identity Manager 서버 URL을 VMware Identity Manager 서버 URL을 지역 > 으로입력합니다. 이로그인을사용하도록허용되는애플리케이션 ID 목록을입력합니다. ios 기본제공 Safari 브라우저를사용하여 Single Sign-On을수행하려면첫번째애플리케이션번들 ID를 com.apple.mobilesafari로입력합니다. 애플리케이션번들 ID를계속입력합니다. 나열된애플리케이션은 SAML 인증을지원해야합니다. 10 저장및게시를클릭합니다. ios 프로파일이사용자디바이스에성공적으로푸시되면사용자는자격증명을입력하지않고도기본 제공 Kerberos 인증방법을사용하여 VMware Identity Manager 에로그인할수있습니다. VMware, Inc. 35

36 후속작업스마트그룹에디바이스프로파일을할당합니다. 스마트그룹은할당된애플리케이션, 책, 준수정책, 디바이스프로파일또는프로비전을수신하는플랫폼, 디바이스및사용자를결정하는사용자지정가능그룹입니다. AirWatch 디바이스프로파일할당 디바이스프로파일을생성한후에스마트그룹에프로파일을할당합니다. 스마트그룹은할당된애플리케이션, 준수정책, 디바이스프로파일또는프로비전을수신하는플랫폼, 디바이스및사용자를결정하는사용자지정가능그룹입니다. AirWatch 모바일디바이스관리가이드를참조하십시오. 프로시저 1 AirWatch 관리콘솔에서디바이스 > 프로파일및리소스프로파일로이동합니다. 2 스마트그룹에할당하려는디바이스프로파일을선택합니다. 3 [ 일반 ] 탭에서할당된그룹텍스트상자를클릭하고할당그룹생성을선택합니다. 4 [ 새스마트그룹생성 ] 페이지에서스마트그룹의이름을입력합니다. 5 플랫폼및운영체제를선택하고드롭다운메뉴에서올바른운영체제및버전을선택합니다. 6 저장및게시를클릭합니다. 디바이스옵션에스마트그룹을할당하면 Workspace ONE 에로그인하고카탈로그에서애플리케이 션에액세스할수있습니다. VMware, Inc. 36

37 AirWatch 관리 Android 디바이스에대한모바일 Single Sign- On 인증구현 4 Android용모바일 SSO는 AirWatch 관리 Android 디바이스에대한인증서인증방법을구현한것입니다. VMware 터널모일애플리케이션은 Android 디바이스에설치되며, VMware 터널클라이언트는인증을위해 VMware Identity Manager 서비스에액세스하도록구성됩니다. Tunnel 클라이언트는클라이언트인증서를사용하여상호인증된 SSL 세션을설정하고, VMware Identity Manager 서비스는인증을위해클라이언트인증서를검색합니다. 참고 Android용모바일 SSO 인증은 Android 디바이스 4.4 이상에지원됩니다. VPN 액세스를사용하지않는모바일 Single Sign-On VPN 액세스가필요하지않을때터널서버를우회하도록 Android 디바이스용모바일 Single Sign-On 인증을구성할수있습니다. VPN을사용하지않고 Android용모바일 SSO 인증을구현할경우 VMware 터널을구성하는데사용하는것과동일한구성페이지를사용합니다. 터널서버를설치하지않으므로 VMware 터널서버호스트이름및포트를입력하지않습니다. 여전히 VMware 터널프로파일양식을사용하여프로파일을설정하지만트래픽이 Tunnel 서버로리디렉션되지않습니다. Tunnel 클라이언트는 Single Sign-On에만사용됩니다. AirWatch 관리콘솔에서다음설정을구성합니다. VMware 터널의애플리케이션별터널구성요소. 이구성은 Android 디바이스에서 VMware 터널모바일애플리케이션클라이언트를통해내부및관리되는공용애플리케이션에액세스할수있도록허용합니다. 애플리케이션별 Tunnel 프로파일. 이프로파일은 Android에대해애플리케이션별터널링기능을사용하도록설정하는데사용됩니다. [ 네트워크트래픽규칙 ] 페이지에서 Tunnel 서버가구성되어있지않으므로트래픽이 Tunnel 서버로리디렉션되지않도록 [ 우회 ] 를선택합니다. VMware, Inc. 37

38 VPN 액세스를사용하는모바일 Single Sign-On Single Sign-On에대해구성된애플리케이션이방화벽뒤의인트라넷리소스에액세스하는데도사용되면 VPN 액세스를구성하고 Tunnel 서버를설정합니다. VPN을사용하여 Single Sign-On이구성되면 Tunnel 클라이언트는필요에따라 Tunnel 서버를통해애플리케이션트래픽및로그인요청을라우팅할수있습니다. Single Sign-On 모드의콘솔에서 Tunnel 클라이언트에대해사용되는기본구성대신, Tunnel 서버를가리키는구성을사용해야합니다. AirWatch 관리 Android 디바이스에대해 Android용모바일 SSO 인증을구현하려면 AirWatch 관리콘솔에서 Android용모바일 SSO를구성하기전에 VMware Identity Manager 관리콘솔에서 VMware 터널을구성하고 VMware 터널서버를설치해야합니다. VMware 터널서비스는 AirWatch 관리애플리케이션에대한애플리케이션별 VPN 액세스를제공합니다. 또한 VMware 터널은 Single Sign-On을위해모바일애플리케이션에서 VMware Identity Manager로트래픽을프록시하는기능을제공합니다. AirWatch 관리콘솔에서다음설정을구성합니다. VMware 터널의애플리케이션별터널구성요소. 이구성은 Android 디바이스에서 VMware 터널모바일애플리케이션클라이언트를통해내부및관리되는공용애플리케이션에액세스할수있도록허용합니다. 관리콘솔에서 VMware 터널설정을구성한후 VMware 터널설치관리자를다운로드하여 AirWatch 터널서버설치를계속진행합니다. Android VPN 프로파일. 이프로파일은 Android에대해애플리케이션별터널링기능을사용하도록설정하는데사용됩니다. 관리콘솔에서애플리케이션터널기능을사용하는각애플리케이션에대해 VPN을사용하도록설정합니다. 애플리케이션별 VPN에대해구성된모든애플리케이션목록, 프록시서버세부정보및 VMware Identity Manager URL을사용하여디바이스트래픽규칙을생성합니다. VMware 터널설치및구성에대한자세한내용은 AirWatch Resources 웹사이트에서 VMware 터널가이드를참조하십시오. 이장에서는다음주제에대해설명합니다. AirWatch 관리콘솔에서 Android 디바이스용 Single Sign-On 구성 AirWatch 관리콘솔에서 VMware 터널 VPN 액세스설정구성 Android용애플리케이션별 Tunnel 프로파일구성 Android 애플리케이션에대한애플리케이션별 VPN 사용 AirWatch에서트래픽규칙구성 기본제공 ID 제공자에서 Android용모바일 SSO 인증구성 VMware, Inc. 38

39 AirWatch 관리콘솔에서 Android 디바이스용 Single Sign-On 구성 사용자가암호를입력하지않고엔터프라이즈애플리케이션에안전하게로그인할수있도록 Android 디바이스에대해 Single Sign-On 을구성합니다. Android 디바이스에대해 Single Sign-On 을구성하려면 VMware 터널은구성하지않아도되지 만여러동일한필드를사용하여 Single Sign-On 을구성해야합니다. 필수조건 Android 4.4 이상 애플리케이션은 SAML 또는지원되는다른페더레이션표준을지원해야합니다. 프로시저 1 AirWatch 관리콘솔에서시스템 > 엔터프라이즈통합 > VMware 터널로이동합니다. 2 VMware 터널을처음으로구성하는경우구성을선택하고구성마법사를따릅니다. 그렇지않으면재정의를선택하고 VMware 터널사용확인란을선택합니다. 그런다음구성을클릭합니다. 3 [ 구성유형 ] 페이지에서애플리케이션별 Tunnel(Linux 전용 ) 을사용하도록설정합니다. 다음을클릭합니다. 기본을배포모델로그대로유지합니다. 4 [ 세부정보 ] 페이지에서텍스트상자에더미값을입력합니다. Single Sign-On 구성에대해서는이필드가필요하지않기때문입니다. 다음을클릭합니다. 5 [SSL] 페이지에서 [ 애플리케이션별터널링 SSL 인증서 ] 를구성합니다. 공용 SSL을사용하려면공용 SSL 인증서사용확인란을선택합니다. 다음을클릭합니다. Tunnel 디바이스루트인증서가자동으로생성됩니다. 참고 SAN 인증서는지원되지않습니다. 인증서가해당서버호스트이름에대해발급되었는지또는해당도메인의유효한와일드카드인증서인지확인합니다. 6 [ 인증 ] 페이지에서사용할인증서인증유형을선택합니다. 다음을클릭합니다. 옵션 설명 기본값 AirWatch 발급인증서를사용하려면 [ 기본값 ] 을선택합니다. 엔터프라이즈 CA AirWatch 에서구성한 CA( 인증기관 ) 및인증서템플릿이나열된드롭다운메 뉴가표시됩니다. CA 의루트인증서를업로드할수도있습니다. 엔터프라이즈 CA 를선택한경우 CA 템플릿에주체이름 CN=UDID 가포함되어있는지확인합 니다. VMware 터널구성페이지에서 CA 인증서를다운로드할수있습니다. 7 다음을클릭합니다. VMware, Inc. 39

40 8 [ 프로파일연결 ] 페이지에서기존 Android용 VMware 터널 VPN 프로파일을연결하거나새프로파일을만듭니다. 이단계에서프로파일을만드는경우에도해당프로파일을게시해야합니다. AirWatch에서 Android 프로파일구성을참조하십시오. 9 구성요약을검토하고저장을클릭합니다. 그러면시스템설정구성페이지로이동합니다. AirWatch 관리콘솔에서 VMware 터널 VPN 액세스설정구성 Android 디바이스에대한애플리케이션별터널링기능을설정하려면 VMware 터널설정에서애플 리케이션별터널구성요소를사용하도록설정합니다. 애플리케이션별터널링을사용하면내부및관리 되는공용애플리케이션에서애플리케이션별로회사리소스에액세스할수있습니다. 지정된애플리케이션이실행되면 VPN 에서자동으로연결할수있습니다. 프로시저 1 AirWatch 관리콘솔에서시스템 > 엔터프라이즈통합 > VMware 터널로이동합니다. 2 VMware 터널을처음으로구성하는경우구성을선택하고구성마법사를따릅니다. 그렇지않은 경우재정의를선택하고사용을선택합니다. 그런다음구성을클릭합니다. 3 [ 구성유형 ] 페이지에서애플리케이션별 Tunnel(Linux 전용 ) 을사용하도록설정합니다. 다음을 클릭합니다. 기본을배포모델로그대로유지합니다. 4 [ 세부정보 ] 페이지에서 [ 애플리케이션별터널링구성 ] 에 VMware 터널서버호스트이름및포 트를입력합니다. 예를들어 tunnel.example.com 으로입력합니다. 다음을클릭합니다. 5 [SSL] 페이지에서 [ 애플리케이션별터널링 SSL 인증서 ] 를입력합니다. 공용 SSL 을사용하려면 공용 SSL 인증서사용확인란을선택합니다. 다음을클릭합니다. Tunnel 디바이스루트인증서가자동으로생성됩니다. 참고 SAN 인증서는지원되지않습니다. 인증서가해당서버호스트이름에대해발급되었는지 또는해당도메인의유효한와일드카드인증서인지확인합니다. VMware, Inc. 40

41 6 [ 인증 ] 페이지에서사용할인증서인증유형을선택합니다. 다음을클릭합니다. 옵션 설명 기본값 AirWatch 발급인증서를사용하려면 [ 기본값 ] 을선택합니다. 엔터프라이즈 CA AirWatch 에서구성한 CA( 인증기관 ) 및인증서템플릿이나열된드롭다운메 뉴가표시됩니다. CA 의루트인증서를업로드할수도있습니다. 엔터프라이즈 CA를선택한경우 CA 템플릿에주체이름 CN=<udid>:<string> 가포함되어있는지확인합니다. VMware 터널구성페이지에서 CA 인증서를다운로드할수있습니다. Android에대해디바이스규정준수검사가구성되면 CA 템플릿에주체이름 CN={DeviceUid} 가포함되어있는지확인하거나 UDID를포함하도록 SAN 유형을설정합니다. SAN 유형 DNS 이름을선택합니다. 값은 UDID={DeviceUid} 여야합니다. 7 다음을클릭합니다. 8 [ 프로파일연결 ] 페이지에서기존 Android용 VMware 터널 VPN 프로파일을연결하거나새프로파일을만듭니다. 이단계에서프로파일을만드는경우에도해당프로파일을게시해야합니다. AirWatch에서 Android 프로파일구성을참조하십시오. 9 ( 선택사항 ) [ 기타 ] 페이지에서애플리케이션별 Tunnel 구성요소에대한액세스로그를사용하도록설정합니다. 다음을클릭합니다. VMware 터널서버를설치하기전에이러한로그를사용하도록설정해야합니다. 10 구성요약을검토하고저장을클릭합니다. 그러면시스템설정구성페이지로이동합니다. 11 일반탭을선택하고 Tunnel 가상장치를다운로드합니다. VMware Unified Access Gateway를사용하여터널서버를배포할수있습니다. 후속작업 VMware 터널서버를설치합니다. 지침은 AirWatch Resources 웹사이트에서 VMware 터널가 이드를참조하십시오. Android 용애플리케이션별 Tunnel 프로파일구성 VMware 터널애플리케이션별 Tunnel 구성요소를구성한후에는 Android VPN 프로파일을구성하고해당프로파일에버전을추가할수있습니다. 프로시저 1 AirWatch 관리콘솔에서디바이스 > 프로파일 > 프로파일추가로이동하여 Android 또는 Android for Work를선택합니다. 2 Android에대한 [ 일반 ] 설정 ( 아직설정되지않은경우 ) 을구성합니다. 3 왼쪽열에서 VPN을선택하고구성을클릭합니다. VMware, Inc. 41

42 4 VPN 연결정보를완료합니다. 옵션 설명 연결유형 VMware 터널을선택합니다. 연결이름 이연결의이름을입력합니다. 예를들어 AndroidSSO 구성을입력합니다. 서버 VMware 터널서버 URL이자동으로입력됩니다. 애플리케이션별 VPN 규칙 애플리케이션별 VPN 규칙확인란을선택합니다. 5 버전추가를클릭합니다. 6 저장및게시를클릭합니다. 후속작업 Android용모바일 SSO를사용하여액세스할수있는 Android 애플리케이션에대해애플리케이션별 VPN을사용하도록설정합니다. Android 애플리케이션에대한애플리케이션별 VPN 사용의내용을참조하십시오. 스마트그룹에디바이스프로파일을할당합니다. 스마트그룹은할당된애플리케이션, 책, 준수정책, 디바이스프로파일또는프로비전을수신하는플랫폼, 디바이스및사용자를결정하는사용자지정가능그룹입니다. AirWatch 디바이스프로파일할당의내용을참조하십시오. Android 애플리케이션에대한애플리케이션별 VPN 사용 애플리케이션별 VPN 프로파일설정은 VMware Identity Manager Android용모바일 SSO를통해액세스하는 Android 애플리케이션에사용됩니다. 필수조건 애플리케이션별터널구성요소로구성된 VMware 터널설치 Android VPN 프로파일생성 프로시저 1 AirWatch 관리콘솔에서애플리케이션및설명서 > 애플리케이션 > 목록보기로이동합니다. 2 [ 내부 ] 탭을선택합니다. 3 애플리케이션추가를선택하고애플리케이션을추가합니다. 4 저장및할당을클릭합니다. 5 [ 할당 ] 페이지에서할당추가를선택하고 [ 고급 ] 섹션애플리케이션별 VPN 프로파일드롭다운메뉴에서생성한 Android VPN 프로파일을선택합니다. 6 저장및게시를클릭합니다. Android용모바일 SSO를사용하여액세스할수있는모든 Android 애플리케이션에대해애플리케이션별 VPN을사용하도록설정합니다. 애플리케이션추가또는편집에대한자세한내용은 AirWatch Resources 웹사이트에서 VMware AirWatch 모바일애플리케이션관리가이드를참조하십시오. VMware, Inc. 42

43 후속작업 네트워크트래픽규칙을만듭니다. AirWatch 에서트래픽규칙구성의내용을참조하십시오. AirWatch 에서트래픽규칙구성 VMware 터널클라이언트가 Android 디바이스용 HTTPS 프록시로트래픽을라우팅하도록네트워크트래픽규칙을구성합니다. 트래픽규칙에대해애플리케이션별 VPN 옵션으로구성된 Android 애플리케이션을나열하고프록시서버주소및대상호스트이름을구성합니다. 디바이스트래픽규칙을구성하여디바이스가지정된애플리케이션의트래픽을처리하는방법을제어합니다. 디바이스트래픽규칙은강제로 VMware 터널애플리케이션이터널을통해트래픽을전송하거나, 지정된도메인에대한모든트래픽을차단하거나, 내부네트워크를우회해서인터넷으로바로이동하거나, 트래픽을 HTTPS 프록시사이트로전송하도록합니다. 네트워크트래픽규칙생성에대한자세한내용은 AirWatch Resources 웹사이트에서 VMware 터널가이드를참조하십시오. 필수조건 애플리케이션별터널구성요소로구성된 VMware 터널옵션설치 Android VPN 프로파일생성 네트워크트래픽규칙에추가된각 Android 애플리케이션에대해애플리케이션별 VPN을사용하도록설정프로시저 1 AirWatch 관리콘솔에서시스템 > 엔터프라이즈통합 > VMware 터널 > 네트워크트래픽규칙으로이동합니다. VMware, Inc. 43

44 2 디바이스트래픽규칙탭에서 VMware 터널가이드에설명된대로디바이스트래픽규칙설정을 구성합니다. Android 용모바일 SSO 구성에만적용되는다음설정을구성합니다. a 기본작업을선택합니다. 옵션 터널 설명 Android에대한 Single Sign-On이설정된 VPN 구성의경우기본작업으로 [ 터널 ] 을선택합니다. 애플리케이션별 VPN용으로구성된디바이스의모든애플리케이션은터널을통해네트워크트래픽을전송합니다. 우회 Android에대한 Single Sign-On의경우기본작업으로우회를선택합니다. 중요기본작업으로우회를지정하면디바이스에서애플리케이션별 VPN용으로구성된모든애플리케이션이터널을우회하고인터넷에직접연결됩니다. 이구현을사용하면터널클라이언트가 Single Sign-On에만사용될경우트래픽이터널서버로전송되지않습니다. VPN을사용하는 Android에대한 Single Sign-On의경우기본작업으로우회를선택합니다. 중요기본작업으로우회를지정하면디바이스에서애플리케이션별 VPN용으로구성된모든애플리케이션이터널을우회하고인터넷에직접연결됩니다. 이구현을사용하면터널클라이언트가 Single Sign-On에만사용될경우트래픽이터널서버로전송되지않습니다. b c [ 애플리케이션 ] 열에서애플리케이션별 VPN 프로파일에대해구성된 Android 애플리케이션을추가합니다. 클라우드에호스팅된테넌트의경우 [ 작업 ] 열에서 [ 프록시 ] 를선택하고 HTTPS 프록시정보를지정합니다. certproxy.vmwareidentity.com:5262를입력합니다. [ 대상호스트이름 ] 열에대상 VMware Identity Manager 호스트이름을입력합니다. <tenant>.vmwareidentitymanager.<region> 을 ( 를 ) 입력합니다. 주소는 vmwareidentity.com, vmwareidentity.eu 또는 vmwareidentity.asia 중에서선택할수있습니다. VMware 터널클라이언트는 VMware Identity Manager 호스트이름에서 HTTPS 프록시로트래픽을라우팅합니다. d 온-프레미스의경우 [ 작업 ] 열에서 [ 프록시 ] 를선택하고 HTTPS 프록시정보를지정합니다. VMware Identity Manager 호스트이름및포트를입력합니다. 예 : login.example.com:5262. 참고온-프레미스배포에서 VMware Identity Manager 호스트에대한외부액세스를제공하는경우방화벽포트 5262가열려있거나포트 5262 트래픽이 DMZ에서역방향프록시를통해프록시되어야합니다. [ 대상호스트이름 ] 열에대상 VMware Identity Manager 호스트이름을입력합니다. 예 : myco.example.com. VMware 터널클라이언트는 VMware Identity Manager 호스트이름 에서 HTTPS 프록시로트래픽을라우팅합니다. VMware, Inc. 44

45 3 저장을클릭합니다. 후속작업다음규칙을게시합니다. 규칙이게시되면디바이스는 VPN 프로파일업데이트를수신하며 VMware 터널애플리케이션은 SSO를사용하도록구성됩니다. VMware Identity Manager 관리콘솔로이동하여 [ 내장 ID 제공자 ] 페이지에서 Android용모바일 SSO를구성합니다. 기본제공 ID 제공자에서 Android 용모바일 SSO 인증구성 AirWatch 관리 Android 디바이스에서 Single Sign-On을제공하려면 VMware Identity Manager 기본제공 ID 제공자에서 Android용모바일 SSO 인증을구성합니다. 필수조건 사용자가제공한인증서를서명한 CA에서루트인증서와중간인증서를가져옵니다. ( 선택사항 ) 인증서인증을위한유효한인증서정책의 OID( 개체식별자 ) 목록. 해지검사의경우 CRL의파일위치및 OCSP 서버의 URL. ( 선택사항 ) OCSP 응답서명인증서파일위치. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서관리 > ID 제공자를선택합니다. 2 기본제공이라는레이블이지정된 ID 제공자를클릭합니다. 3 기본제공 ID 제공자의사용자및네트워크구성이올바른지확인합니다. 올바르지않은경우필요에따라 [ 사용자및네트워크 ] 섹션을편집합니다. 참고 Android용모바일 SSO에대한정책규칙에서사용하는네트워크범위는 VMware 터널프록시서버의요청을수신하는데사용되는 IP 주소로만구성되어야합니다. VMware, Inc. 45

46 4 [ 인증방법 ] 섹션에서모바일 SSO(Android 디바이스용 ) 톱니모양아이콘을클릭합니다. 5 [CertProxyAuthAdapter] 페이지에서인증방법을구성합니다. 옵션 설명 인증서어댑터사용 Android 용모바일 SSO 를사용하도록설정하려면이확인란을선택합니다. 루트및중간 CA 인증서 업로드할인증서파일을선택합니다. 인코딩된여러루트 CA 및중간 CA 인증 서를선택할수있습니다. PEM 또는 DER 파일형식을지원합니다. 업로드된 CA 인증서주체 DN 업로드된인증서파일의내용이여기에표시됩니다. 인증서에 UPN이없는경우이메일사용수락된인증서정책인증서해지사용인증서의 CRL 사용 UPN( 사용자계정이름 ) 이인증서에없는경우이확인란을선택하여 address 특성을주체대체이름확장으로사용하여사용자계정을검사합니다. 인증서정책확장에서수락된개체 ID 목록을생성합니다. 인증서발급정책에대한 OID( 개체 ID 번호 ) 를입력합니다. 다른값추가를클릭하여추가 OID를추가합니다. 인증서해지검사를사용하도록설정하려면이확인란을선택합니다. 이경우사용자인증서를해지한사용자는인증되지않습니다. 인증서를발급한 CA에서게시한 CRL( 인증서해지목록 ) 을사용하여인증서상태 ( 해지됨또는해지안됨 ) 를확인하려면이확인란을선택합니다. CRL 위치 CRL 을검색할서버파일경로또는로컬파일경로를입력합니다. OCSP 해지사용 OCSP 실패시 CRL 사용 OCSP( 온라인인증서상태프로토콜 ) 인증서검증프로토콜을사용하여인증서의해지상태를가져오려면이확인란을선택합니다. CRL 및 OCSP를둘다구성한경우, 이확인란을선택하여 OCSAP 검사를사용할수없는경우 CRL 사용으로폴백할수있습니다. OCSP Nonce 전송 OCSP 요청의고유한식별자를응답으로전송하려면이확인란을선택합니다. OCSP URL OCSP 응답자의서명인증서취소링크사용취소메시지 OCSP 해지를사용하도록설정한경우해지검사를위한 OCSP 서버주소를입력합니다. 응답자에대한 OCSP 인증서경로를입력합니다. /path/to/file.cer로입력합니다. 이링크를사용하도록설정한경우인증에시간이너무오래걸리면 [ 취소 ] 를클릭하여인증시도를중지하고로그인을취소할수있습니다. 인증이너무오래걸릴경우표시되는사용자지정메시지를작성합니다. 사용자지정메시지를만들지않을경우기본메시지는 Attempting to authenticate your credentials입니다. 6 저장을클릭합니다. 7 [ 기본제공 ID 제공자 ] 페이지에서저장을클릭합니다. 후속작업 Android 용모바일 SSO 에대한기본액세스정책규칙을구성합니다. VMware, Inc. 46

47 Workspace ONE을사용하여 5 AirWatch에직접등록 Workspace ONE을통한직접등록에서는 Workspace ONE 애플리케이션의리소스에액세스하기위해디바이스를등록해야합니다. Workspace ONE 애플리케이션을통해직접등록이수행되면, 모든사용자에게해당애플리케이션스토어로이동하고, Workspace ONE을다운로드하고, 이메일주소를입력하고, 지시에따라디바이스에서 Workspace ONE 사용을시작하도록지시할수있습니다. 지원되는디바이스 Apple ios 9.0 이상 Android Enterprise( 이전의 Android for Work) 4.1 이상 Android Legacy 4.1 이상 Android Legacy 디바이스는 Android Enterprise가지원되지않는 Android 디바이스이거나 Android Enterprise가사용되도록설정되지않은 AirWatch 인스턴스에연결되는 Android Enterprise 지원디바이스입니다. 이장에서는다음주제에대해설명합니다. 직접등록을위해 Workspace ONE 사용 Workspace ONE을사용하여 AirWatch에직접등록할때의사용자경험 직접등록을위해 Workspace ONE 사용 OG( 조직그룹 ) 에대한 AirWatch 관리콘솔의 [ 등록 ] > [ 제한 ] 페이지에서 Workspace ONE을통해직접디바이스등록을사용하도록설정합니다. Workspace ONE이직접등록용으로사용하도록설정되면, 처음으로로그인된정규화된디바이스가직접등록됩니다. 직접등록자격이없는디바이스에는 Workspace ONE 등록상태에서모바일애플리케이션관리전용액세스권한이부여됩니다. 프로시저 1 AirWatch 관리콘솔에서 Workspace ONE에대해직접등록을사용하도록설정할조직그룹을선택합니다. 2 그룹및설정 > 모든설정 > 디바이스및사용자 > 일반 > 등록으로이동한후제한탭을선택합니다. VMware, Inc. 47

48 3 현재설정으로재정의를선택합니다 ( 필요한경우 ). 4 Workspace ONE 에대한관리요구사항으로스크롤한후구성옵션을선택합니다. 설정 Workspace ONE에 MDM 필요할당된사용자그룹 ios Android Legacy Android Enterprise 설명이옵션이사용되도록설정되어있으면, 정규화된디바이스및사용자가 Workspace ONE에로그인할때즉시등록하라는메시지가표시됩니다. 모든사용자는기본사용자그룹입니다. 직접등록프로세스에포함할특정사용자그룹을선택할수있습니다. ios 디바이스를포함하도록설정합니다. 이옵션이사용되지않도록설정되면 ios 디바이스를직접등록할수없습니다. 이옵션이사용되지않도록설정되어도디바이스를여전히관리되지않는상태로 AirWatch에등록할수있습니다. Android Legacy 디바이스를포함하도록설정됩니다. 이옵션이사용되지않도록설정되면 Android Legacy 디바이스를직접등록할수없습니다. 이옵션이사용되지않도록설정되어도디바이스를여전히관리되지않는상태로 AirWatch에등록할수있습니다. Android Enterprise 디바이스를포함하도록설정됩니다. 이옵션이사용되지않도록설정되면 Android Enterprise 디바이스를직접등록할수없습니다. 이옵션이사용되지않도록설정되어도디바이스를여전히관리되지않는상태로 AirWatch에등록할수있습니다. 5 저장을클릭합니다. 6 Workspace ONE에대해지원되는등록옵션을사용하여등록탭을계속구성합니다. Workspace ONE 직접등록구성옵션의내용을참조하십시오. Workspace ONE의직접등록을구성하는방법에대한자세한내용은 VMware AirWatch Mobile Device Management 가이드의디바이스등록장을참조하십시오. Workspace ONE 직접등록구성옵션 AirWatch 관리콘솔에서 Workspace ONE을사용한직접등록을구성합니다. 그룹및설정 > 모든설정 > 디바이스및사용자 / 일반 / 등록으로이동합니다. Workspace ONE 디바이스등록옵션표에구성할수있는메뉴항목이표시됩니다. 등록설정페이지에서디바이스및사용자등록관련옵션을구성할수있습니다. 페이지는아래에설명되어있는탭으로구분됩니다. 디바이스등록을구성하는방법에대한자세한내용은 VMware AirWatch Mobile Device Management 가이드를참조하십시오. 그림 5 1. AirWatch 콘솔등록페이지 VMware, Inc. 48

49 표 5 1. Workspace ONE 직접등록구성가능메뉴항목 등록탭 Workspace ONE 의직접등록에대한구성가능메뉴항목 인증디렉토리사용자가지원됩니다. 또한 SAML과 Active Directory 사용자는 " 즉시 " 지원됩니다. 초기로그인시, AirWatch에사용자기록이존재할경우 LDAP 없는 SAML 사용자가지원됩니다. 디바이스등록모드에서는오픈등록만지원됩니다. 등록된디바이스전용은지원되지않습니다. 사용약관 직접등록프로세스를진행하기전에사용약관을생성하여사용자가동의 하도록할수있습니다. 그룹화모든그룹화메뉴옵션은 Workspace ONE 직접등록과호환됩니다. Workspace ONE에대해실시간으로사용자그룹동기화는기본적으로사용하도록설정됩니다. 디바이스를등록하면 AirWatch는 Active Directory를실시간으로호출하여사용자의사용자그룹을동기화합니다. 사용자가 AirWatch에없는경우 AirWatch 콘솔은먼저사용자를동기화하고실시간으로사용자그룹을동기화합니다. 이기능을사용하지않도록설정하면 AirWatch 콘솔은사용자그룹을동기화하지않습니다. 참고이기능은 CPU를많이사용합니다. 사용자그룹이자주변경되지않거나사용자그룹이 AirWatch에이미있는경우성능을향상시키고, Workspace ONE 애플리케이션을시작할때지연시간문제를방지하기위해이설정을사용하지않도록설정하십시오. 다중 AirWatch 조직그룹설정을위한배포전략의 " 올바른조직그룹에디바이스배치 " 섹션을참조하십시오. 제한사항 사용자액세스제어에서 [ 알려진사용자만등록할수있도록제한 ] 및 [ 구성된그룹에등록을제한 ] 을선택할수있습니다. 최대디바이스제한이지원됩니다. 정책설정이부분적으로지원됩니다. 허용되는소유권유형. Workspace ONE은 [ 직원소유및기업 - 전용 ] 의경우만메시지를표시합니다. 참고컨테이너허용등록유형은지원되지않습니다. 옵션형프롬프트 사용하도록설정할수있는두가지옵션형프롬프트는소유권유형입력 프롬프트및디바이스자산번호프롬프트사용입니다. 소유권유형이 [ 기 업소유 ] 인경우자산번호입력만요구됩니다. 사용자지정사용자지정메뉴옵션이지원됩니다. 등록후방문 URL(iOS 전용 ) MDM 프로파일메시지 (ios 전용 ) 사용자지정 MDM 애플리케이션사용각플랫폼에대한특정메시지템플릿을사용하도록설정할수있지만, 특정 Workspace ONE 메시지템플릿은 Workspace ONE 3.2에사용할수없습니다. VMware, Inc. 49

50 Workspace ONE 을사용하여 AirWatch 에직접등록할때의사용자경험 모바일디바이스관리가 Workspace ONE 을통해구현되면사용자는 Workspace ONE 애플리케 이션을다운로드하고, AirWatch 로인증을받고, 해당디바이스를등록합니다. 디바이스를등록한후 에는 Workspace ONE 을사용하여사용권한이부여된리소스를즉시추가하고사용할수있습니다. Workspace ONE 을사용하여해당디바이스를등록할때진행되는프로세스는 ios 및 Android Enterprise 디바이스에서비슷합니다. Android Legacy 등록은등록을위한 AirWatch Agent 로 리디렉션됩니다. 등록이완료되면 AirWatch Agent 의제어권한이자동으로 Workspace One 으로 다시전환됩니다. 사용자는다음각각의몇가지변형으로 Workspace ONE 에액세스할수있습니 다. ios 디바이스에서 Workspace ONE 을통해직접등록 사용자가 Apple App Store에서 Workspace ONE 애플리케이션을다운로드, 설치및실행하도록지시합니다. 프로시저 1 사용자는애플리케이션을열고, 서버 URL 및이메일주소를입력하고작업환경의구성에따라인증됩니다. 2 귀사의추가설치필요화면이표시됩니다. 그림 5 2. 디바이스등록설정알림 3 사용약관이구성된경우계속하기전에사용약관을수락하라는메시지가표시됩니다. VMware, Inc. 50

51 4 디바이스소유권유형을표시하고디바이스자산번호를요청하도록선택적프롬프트를설정하는 경우이정보가표시됩니다. 그림 5 3. 디바이스소유권선택 5 Safari 가열리고허용을클릭하면 [ 설정 ] 페이지가열립니다. 그림 5 4. 구성프로파일설정허용 Workspace 서비스및구성프로파일은디바이스에구성됩니다. 디바이스는이제 AirWatch 에등록되었으며 Workspace ONE 이실행됩니다. [ 권장사항 ] 화면 이표시됩니다. VMware, Inc. 51

52 그림 5 5. [ 권장애플리케이션 ] 화면 6 설치하려는애플리케이션을선택하거나이단계를건너뛸수있습니다. 디바이스는이제 AirWatch MDM 을통해관리됩니다. 권장애플리케이션이설치되도록선택된경우 사용자는해당애플리케이션에대한푸시알림을수신하기시작합니다. Worksapce ONE 을사용하여 Android Enterprise 디바이스에서직접등록 사용자가 Google App Store 또는저장소에서 Workspace ONE 애플리케이션을다운로드, 설치 및실행하도록지시합니다. 프로시저 1 사용자는서버 URL 및이메일주소를입력하고작업환경의구성에따라인증됩니다. VMware, Inc. 52

53 2 귀사의추가설치필요화면이표시됩니다. 계속을클릭합니다. 그림 5 6. 디바이스등록설정알림 3 사용약관이구성된경우계속하기전에사용약관을수락하라는메시지가표시됩니다. 4 디바이스소유권유형을표시하고디바이스자산번호를요청하도록선택적프롬프트를설정하는경우이정보가표시됩니다. 5 Workspace 서비스및작업프로파일은디바이스에구성됩니다. 그림 5 7. 작업프로파일알림설정 이작업프로파일을사용한디바이스관리제어를설명하는메시지가표시되면확인을클릭합니다. Workspace ONE 애플리케이션이설치되고 Android Work 계정이등록됩니다. VMware, Inc. 53

54 6 디바이스는이제 AirWatch 에등록되었으며 Workspace ONE 이실행됩니다. [ 권장사항 ] 화면 이표시됩니다. 그림 5 8. [ 권장애플리케이션 ] 화면 7 설치하려는애플리케이션을선택하거나이단계를건너뛸수있습니다. 디바이스는이제 AirWatch MDM 을통해관리됩니다. 권장애플리케이션을설치하도록선택한경우, 배지 Android Enterprise 서류가방아이콘이있는해당애플리케이션이설치되기시작합니다. Android Legacy 디바이스에대한디바이스등록 Android Legacy 디바이스에대한디바이스등록은등록을위한 AirWatch Agent로리디렉션됩니다. 등록이완료되면 AirWatch Agent의제어권한이자동으로 Workspace One으로다시전환됩니다. 사용자에게애플리케이션스토어로이동하여 Workspace ONE을다운로드하도록지시합니다. 프로시저 1 사용자는애플리케이션을열고, 해당서버 URL 또는이메일주소를입력하고, 해당사용자이름및암호를입력하여로그인합니다. 이때, Workspace ONE 애플리케이션은디바이스가 Android Enterprise용으로설정되어있지않음을감지하고, Workspace ONE의리소스에액세스하기위해디바이스의직접등록이필요한지여부를감지할수있습니다. VMware, Inc. 54

55 2 귀사의추가설치필요화면이표시되고사용자가계속을클릭하면 Google Play Store 의 AirWatch Agent 애플리케이션으로리디렉션됩니다. 그림 5 9. AirWatch Agent 애플리케이션다운로드요청 3 사용자가 AirWatch Agent 애플리케이션을다운로드합니다. 참고 AirWatch Agent 애플리케이션이디바이스에이미설치되어있는경우 Workspace ONE은애플리케이션을자동으로실행합니다. 앱스토어로리디렉션되지않습니다. Workspace ONE에대해입력한인증세부정보가 AirWatch Agent 애플리케이션으로전달되므로사용자는이정보를다시입력할필요가없습니다. AirWatch Agent 애플리케이션이실행됩니다. AirWatch Agent로디바이스를등록하는동안, 사용자는소유권유형을선택하고디바이스자산번호 ( 구성된경우 ) 를입력합니다. 4 Agent에서전화를걸고관리하도록허용이표시되면사용자는허용을클릭합니다. AirWatch Agent는이디바이스에서등록의유효성을검사하고, 사용자를인증하고, AirWatch 에대한권한을부여합니다. VMware, Inc. 55

56 5 디바이스관리애플리케이션을활성화합니까? 화면이표시되면사용자가이디바이스관리애플리 케이션활성화를클릭합니다. 그림 디바이스관리애플리케이션활성화 6 다양한디바이스기능에액세스하도록권한을부여하라는메시지가표시됩니다. 디바이스는이제 AirWatch에등록되었으며 Workspace ONE이실행됩니다. [ 권장애플리케이션 ] 화면이표시됩니다. 그림 [ 권장애플리케이션 ] 화면 VMware, Inc. 56

57 7 설치하려는애플리케이션을선택하거나이단계를건너뛸수있습니다. 디바이스는이제 AirWatch MDM 을통해관리됩니다. 권장애플리케이션이설치되도록선택된경우 해당애플리케이션에대한알림이수신되기시작합니다. VMware, Inc. 57

58 Workspace ONE 을활용하여 Apple 디바이스등록프로그램통합지원 6 Apple DEP( 디바이스등록프로그램 ) 은고객이사용자인증을위해 SAML을사용하는시나리오를지원하지않습니다. 그러나 Workspace ONE은이사용사례를지원하는고유한방법을구현했습니다. AirWatch 디바이스스테이징을통해, 관리자는다중디바이스스테이징사용자에게디바이스를할당하고, 사용자가 Workspace ONE 애플리케이션에로그인되어있을때 Workspace ONE을통해해당사용자에게디바이스를다시할당할수있습니다. Workspace ONE 애플리케이션은스테이징사용자등록의일부로디바이스에설치되어야합니다. 사용자가 Workspace ONE에처음로그인하면 Workspace ONE은구성된 SAML 제공자를통해사용자를인증합니다. 사용자가인증을받은후에는디바이스소유권이다중디바이스스테이징사용자로부터인증된디렉토리사용자에게전환됩니다. 전제조건 디렉토리사용자는사용자가 Workspace ONE 애플리케이션에로그인할때 AirWatch에존재해야합니다. CSV 통해대량로드방식으로사용자를미리로드하거나, 다음 API를적용하여필요에따라사용자를생성할수도있습니다. 참고보안유형값은디렉토리와동일해야합니다. DEP 통합의 Workspace ONE 지원흐름 Workspace ONE을사용하여 Apple 디바이스등록프로그램의지원을구현하려면다음작업을완료해야합니다. ios 디바이스에서 Workspace ONE 애플리케이션을설치합니다. 다음스테이징구성의스테이징사용자가있는지확인하십시오. a b 계정 > 사용자 > 목록보기로이동한후디바이스스테이징을편집할수있게하려는사용자계정을선택합니다. 추가 / 편집사용자페이지에서고급탭을선택합니다. 스테이징섹션까지아래로스크롤한후디바이스스테이징및다중사용자디바이스를사용하도록설정합니다. VMware, Inc. 58

59 그림 6 1. AirWatch 의다중사용자디바이스설정 Apple DEP 포털에서스테이징사용자에게디바이스를할당하고최종사용자에게디바이스를전달합니다. Apple 디바이스등록프로그램에대한자세한내용은 Apple 디바이스등록프로그램에대한 VMware AirWatch 가이드를참조하십시오. 통합작동방식 사용자가디바이스를처음켜는경우디바이스가등록되고다중디바이스스테이징사용자에게할당됩니다. 사용자는홈화면에서사용할수있는 Workspace ONE 애플리케이션을시작한후로그인합니다. Workspace ONE은구성된 SAML 제공자를통해사용자를인증합니다. 사용자가인증을받은후에는디바이스소유권이다중디바이스스테이징사용자로부터인증된디렉토리사용자에게전환됩니다. 인증된사용자에게할당된애플리케이션, 프로파일및리소스가디바이스로푸시됩니다. VMware, Inc. 59

60 Dell Windows 10 디바이스에서 Workspace ONE OOBE( 첫실행경험 ) 사용 7 사용자가 AirWatch Windows 10 프로비저닝서비스에서 OOBE( 첫실행경험 ) 프로비저닝이사용되도록설정되어있는새로운 Dell Workspace 10 디바이스를수신하면, Workspace ONE 애플리케이션이자동으로열리고애플리케이션을디바이스로배달하도록구성할수있습니다. Workspace ONE 애플리케이션과함께이 OOBE를전달하려면외부액세스토큰인증방법을 AirWatch 통합의일부로사용하도록설정해야합니다. 그러면인증방법이기본제공제공자에서사용되도록설정되며, 외부액세스토큰인증방법을사용하기위한액세스정책규칙을생성할수있습니다. Workspace ONE OOBE는사용자에게로그인자격증명을한번더입력하도록요구하지않고 Workspace ONE 애플리케이션을실행합니다. 이인증방법을사용하도록설정하지않은경우사용자는 Windows 등록프로세스중에디바이스뿐만아니라 Workspace ONE에도로그인해야합니다. 참고 Dell Windows 10 디바이스에서 OOBE을설정해야하는기타서비스로는 Windows 10용 AirWatch 프로비저닝서비스및 Microsoft Azure Active Directory에대한페더레이션이있습니다. 프로비저닝서비스구성세부정보에대해서는 AirWatch Windows 데스크톱플랫폼가이드에서 Windows 10 프로비저닝서비스및 Windows 데스크톱등록개요와 Windows를참조하십시오. 이장에서는다음주제에대해설명합니다. AirWatch에서외부액세스토큰사용설정 외부액세스토큰을인증방법으로활성화 기본제공 ID 제공자에외부액세스토큰인증방법연결 Workspace ONE OOBE( 첫실행경험 ) 프로세스에대한액세스정책생성 Windows 10 사용자지정 OOBE( 첫실행경험 ) 브랜딩을위한 Workspace ONE AirWatch 에서외부액세스토큰사용설정 Dell Windows 10 디바이스에서 Workspace ONE에대한 OOBE( 첫실행경험 ) 을사용하도록설정하려면먼저 AirWatch 구성페이지에서외부액세스토큰인증방법을사용하도록설정해야합니다. VMware, Inc. 60

61 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > AirWatch를클릭합니다. 2 [AirWatch를통한사용자외부액세스토큰인증 ] 섹션에서사용을선택합니다. 3 저장을클릭합니다. 후속작업 외부액세스토큰을인증방법으로활성화합니다. 외부액세스토큰을인증방법으로활성화 VMware Identity Manager에서외부액세스토큰인증방법은 AirWatch 통합에대해고유하며 Windows 10 디바이스의 Workspace ONE에대한 SSO(Single Sign-On) 및 OOBE( 첫실행경험 ) 트리거에필요합니다. 필수조건 AirWatch 외부액세스토큰인증을사용하는경우 VMware Enterprise Systems Connector의 AirWatch Cloud Connector 구성요소가배포및구성되어야합니다. AirWatch 페이지의 [Identity 및액세스관리 ] 탭에서사용하도록설정된외부액세스토큰인증 구성된 Microsoft Azure Active Directory 서비스 구성된 Windows 10 디바이스용 AirWatch 프로비저닝서비스. 외부액세스토큰의구성은읽기전용이며, VMware Identity Manager의 AirWatch 구성을기준으로하지않습니다. 예외는토큰수명필드입니다. 프로시저 1 구성을검토하고관리하려면 [ID 및액세스관리 ] 탭에서인증방법을선택합니다. 2 Airwatch 외부액세스토큰구성열에서연필아이콘을클릭합니다. 3 구성을검토합니다. 옵션 설명 AirWatch 외부액세스토큰사용 이확인란은 AirWatch 페이지에서사용되도록설정됩니다. AirWatch 관리콘솔 URL AirWatch URL로미리채워집니다. AirWatch API 키 AirWatch 관리 API 키로미리채워집니다. 인증에사용된인증서 AirWatch Cloud Connector 인증서로미리채워집니다. 인증서용암호 AirWatch Cloud Connector 인증서에대한암호로미리채워집니다. AirWatch 외부액세스토큰수명 ( 초 ) 액세스토큰은 VMware Identity Manager와의인증이유효한지검사하는데사용됩니다. 액세스토큰의수명은제한되어있습니다. 구성된시간은액세스토큰이유효한최대시간입니다. 토큰수명은편집가능하며, 기본적으로 600초 (10분) 입니다. 액세스토큰이만료되면 Workspace ONE 애플리케이션에서다시인증하라는메시지가표시됩니다. VMware, Inc. 61

62 4 저장을클릭합니다. 후속작업기본제공 ID 제공자에서 AirWatch 외부액세스토큰인증방법을연결합니다. 내장 ID 제공자구성의내용을참조하십시오. AirWatch 외부액세스토큰이기본제공 ID 제공자와연결되면이인증방법을사용하기위한액세스정책규칙을생성합니다. Workspace ONE OOBE( 첫실행경험 ) 프로세스에대한액세스정책생성의내용을참조하십시오. 기본제공 ID 제공자에외부액세스토큰인증방법연결 외부액세스토큰이인증방법으로구성되면해당인증방법을기본제공 ID 제공자에서사용할수있 습니다. 이인증방법을기본제공 ID 제공자의사용자디렉토리와연결해야합니다. 필수조건 AirWatch 구성페이지에서사용하도록설정된외부액세스토큰 인증방법으로활성화된외부액세스토큰 프로시저 1 [ID 및액세스관리 ] 탭에서관리 > ID 제공자로이동합니다. 2 목록보기에서기본제공을클릭합니다. 옵션사용자네트워크인증방법 설명구성된디렉토리가나열됩니다. 외부액세스토큰인증방법을사용할사용자디렉토리를선택합니다. 서비스에구성된기존네트워크범위가나열됩니다. IP 주소를기반으로사용자에대해네트워크범위 ( 인증을위해이 ID 제공자인스턴스로전송할네트워크범위 ) 를선택합니다. 서비스에구성된인증방법이표시됩니다. AirWatch 외부액세스토큰확인란을선택합니다. 3 저장을클릭합니다. 후속작업외부액세스토큰인증방법을규칙의마지막폴백방법으로나열하도록기본액세스정책규칙을구성합니다. Workspace ONE OOBE( 첫실행경험 ) 프로세스에대한액세스정책생성의내용을참조하십시오. [ 카탈로그설정 ] 페이지로이동하여 Windows 10 OOBE( 첫실행경험 ) 의일부로 Workspace ONE에로그인하는사용자를위한사용자지정브랜딩시작페이지와메시지를생성합니다. Windows 10 사용자지정 OOBE( 첫실행경험 ) 브랜딩을위한 Workspace ONE의내용을참조하십시오. VMware, Inc. 62

63 Workspace ONE OOBE( 첫실행경험 ) 프로세스에대한액세스정책생성 외부액세스토큰을사용하도록설정하고기본제공 ID 제공자에추가한후에 Workspace ONE OOBE( 첫실행경험 ) 를설정하려면외부액세스토큰인증방법을기본액세스정책집합에추가해야 합니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서관리 > 정책을선택합니다. 2 기본정책편집을클릭하고다음을클릭합니다. 3 디바이스유형열에서 Workspace ONE 애플리케이션이표시되는행을선택합니다. Workspace ONE 애플리케이션규칙이나열되지않으면정책규칙추가를클릭합니다. 4 Workspace ONE 애플리케이션의컨텐츠에액세스하는데사용할인증방법을선택합니다. 외부액세스토큰인증방법을규칙의마지막폴백방법으로나열합니다. 외부액세스토큰이인증 요청에서감지되면해당인증방법이적용됩니다. 외부액세스토큰이후에나열된다른모든인증 방법은감지되지않습니다. 5 다음을클릭하여구성을검토합니다. 6 저장을클릭합니다. 그림 7 1. VMware, Inc. 63

64 7 [ 구성 ] 페이지에서규칙목록의규칙순서를검토합니다. Workspace ONE 애플리케이션규칙이기본액세스정책목록에서첫번째규칙이아니면목록의첫번째행이되도록끌어옵니다. Workspace ONE 애플리케이션은기본액세스정책규칙목록에서첫번째규칙이어야합니다. 8 다음을클릭합니다. 9 [ 요약 ] 페이지를검토하고저장을클릭합니다. Windows 10 사용자지정 OOBE( 첫실행경험 ) 브랜딩을위한 Workspace ONE 새 Windows 10 디바이스프로비저닝을위해 VMware AirWatch 에서 Windows 10 프로비저닝 서비스가사용될경우 Workspace ONE 애플리케이션에서사용자지정브랜딩및환영메시지를설 정할수있습니다. 새컴퓨터의전원을켜고처음으로자격증명을사용하여로그인하면 AirWatch 프로비저닝에이전트 가 Workspace ONE 애플리케이션이사용가능한지를확인합니다. Windows 준비가완료되면 Workspace ONE 이실행됩니다. Workspace ONE 애플리케이션카탈로그가열리기전에회사브 랜딩을포함하는사용자지정환영메시지가표시됩니다. 이시간동안 [ 카탈로그 ] > [ 설정 ] > [ 사용자 포털구성 ] 페이지에서 [ 책갈피탭에권장애플리케이션표시 ] 를사용하도록설정하면 Workspace ONE 에서권장애플리케이션이다운로드됩니다. 참고 AirWatch 의 Windows 10 프로비저닝서비스에대한내용은 Windows 데스크톱플랫폼가 이드를참조하십시오. 프로시저 1 관리콘솔 [ 카탈로그 ] 탭에서설정 > 사용자포털브랜딩을선택합니다. 2 데스크톱 OOBE( 첫실행경험 ) 섹션에서설정을편집하여 Workspace ONE 등록페이지를사용자지정합니다. 양식항목 설명 시작화면로고시작화면상단중앙에오도록로고를추가합니다. 이미지의최대크기는 250 x 250픽셀입니다. 형식은 PNG입니다. 시작화면배경색시작 (Start) 및시작 (Welcome) 화면의배경으로표시되는색상입니다. 배경색을변경하려면기존색상코드위에 6자리 16진수색상코드를입력합니다. 미리보기화면이새색상으로업데이트됩니다. 시작화면다음버튼색 시작화면에표시되는 [ 다음 ] 버튼의배경색을변경하려면 6 자리 16 진수색상코드를입력합 니다. 시작화면글꼴색 [ 다음 ] 버튼의글꼴색을변경하려면 6 자리 16 진수색상코드를입력합니다. 시작메시지시작페이지에표시되는 Workspace ONE 사용에대한시작메시지를생성합니다. 3 저장을클릭합니다. VMware, Inc. 64

65 VMware Workspace ONE 모 8 바일애플리케이션배포 모바일디바이스에 VMware Workspace ONE 애플리케이션을설치한사용자는사용권한이부여된리소스에액세스할수있습니다. 사용자는 ID가 VMware Identity Manager에서관리될때 Single Sign-On 기능을사용하여사용권한이부여된애플리케이션에액세스할수있습니다. 또한다른애플리케이션을추가할수있는애플리케이션카탈로그에도액세스할수있습니다. Workspace ONE 애플리케이션인터페이스는스마트폰, 태블릿또는데스크톱컴퓨터에비슷한환경및옵션을제공합니다. 디바이스가 MDM( 모바일디바이스관리 ) 에등록된경우 Workspace ONE 애플리케이션을관리되는애플리케이션으로푸시할수있습니다. 이장에서는다음주제에대해설명합니다. Workspace ONE용공용및내부애플리케이션에대한 AirWatch의디바이스관리옵션 애플리케이션에대한액세스관리 Workspace ONE 카탈로그에액세스하기위한사용약관요구 Workspace ONE 애플리케이션가져오기및배포 자동검색을위해이메일도메인등록 세션인증설정 다중 AirWatch 조직그룹설정을위한배포전략 Workspace ONE 용공용및내부애플리케이션에대한 AirWatch 의디바이스관리옵션 디바이스관리상태에따라공용및내부애플리케이션을배포하도록구성할수있습니다. 모든디바이 스는오픈액세스로구성된애플리케이션에액세스할수있습니다. 관리되는액세스용으로구성된애플 리케이션에는 Workspace 서비스또는에이전트등록을통해사용하도록설정하여사용권한을부여 한디바이스만액세스할수있습니다. 이표에는관리및비관리시나리오에서의기능이설명되어있습니다. VMware, Inc. 65

66 액세스유형기능설명제안되는사용 오픈액세스 ( 비관리 ) 웹, Horizon 및 Citrix 리소스에대한셀프서비스앱카탈로그 사용자는디바이스에액세스하기위한관리자권한없이디바이스의리소스에액세스합니다. 최종사용자가로그인하면보안권한의격상없이애플리케이션액세스권한을즉시제공합니다. SSO(Single Sign-On) 로웹 / 가상실행 Touch ID/PIN 애플리케이션보호 디바이스해킹감지 인증정책및차단디바이스를비롯한 VMware Identity Manager 조건부액세스에대한지원 오픈액세스권한이있는애플리케이션은관리상태에관계없이디바이스에서사용될수있습니다. 관리자는 [ 오픈액세스 ] 로설정된기본애플리케이션을시스템에서제거할수없습니다. 설치가필요하지않은애플리케이션사용을권장합니다. 사용자는원할때디바이스에애플리케이션을설치할수있습니다. 애플리케이션에중요한회사데이터가포함되지않고보호된회사리소스에액세스할수없습니다. AirWatch MDM 프로파일없이보조직원에게애플리케이션배포 기본애플리케이션액세스 내부애플리케이션및 SDK 애플리케이션배포 관리되는액세스 웹, Horizon 및 Citrix 리소스에대한셀프서비스앱카탈로그 사용자는디바이스에관리프로파일을설치하여관리자에게디바이스에액세스권한을부여합니다. 사용자가조직을떠나거나디바이스를분실했을때디바이스에서중요한회사데이터제거 SSO(Single Sign-On) 로웹 / 가상실행 Touch ID/PIN 애플리케이션보호 디바이스해킹감지 인증정책및차단디바이스를비롯한 VMware Identity Manager 조건부액세스에대한지원 기본애플리케이션의관리형설치및직접설치 액세스권한이관리되는애플리케이션은 AirWatch에서관리하는디바이스에서사용할수있습니다. AirWatch에서디바이스를관리하지않는경우 Workspace ONE은디바이스의사용자에게 AirWatch에등록하라는메시지를표시합니다. 디바이스가등록되면사용자는디바이스를사용하여 Workspace ONE을통해애플리케이션에액세스할수있습니다. 애플리케이션에서인트라넷에액세스할때인증을받고내부백엔드리소스와안전하게통신하기위해앱터널링이필요합니다. 애플리케이션에 Single Sign- On을사용하도록설정합니다. 애플리케이션에대한사용자채택및설치상태를추적합니다. 등록시애플리케이션을자동으로배포합니다. 내부애플리케이션및 SDK 애플리케이션관리 애플리케이션구성지원 애플리케이션별 VPN SAML 지원기본애플리케 이션에대한원터치 SSO 디바이스프로파일 AirWatch 준수엔진 내부애플리케이션에대한관리되는액세스옵션을구성할위치또는 Workspace ONE 을통해배포 용공용애플리케이션을추가하는방법에대한자세한내용은 AirWatch 모바일애플리케이션관리 가이드를참조하십시오. 오픈액세스및관리되는액세스에지원되는플랫폼 플랫폼에따라내부및공개애플리케이션에대한액세스유형을구성합니다. VMware, Inc. 66

67 관리되는액세스 오픈액세스 내부애플리케이션 Android X X ios X X Windows 10 데스크톱 X - Windows 10 휴대폰 X - 공개애플리케이션 Android X X ios X X Windows 10 데스크톱 - X Windows 10 휴대폰 - X 애플리케이션에대한액세스관리 단일사용자가기본애플리케이션에대해오픈액세스또는관리되는액세스를수행할권한을부여할수있습니다. 어댑티브관리접근법은최종사용자가관리없이도오픈액세스애플리케이션을사용하도록합니다. 사용자가관리가필요한기본애플리케이션을요구할경우어댑티브관리는해당네이티브애플리케이션을관리하는데필요한추가적인보안및제어를제공합니다. 애플리케이션이관리되는경우관리되는애플리케이션을설치및사용하려면사용자는 Workspace 서비스를사용하도록설정해야합니다. AirWatch 관리콘솔에서애플리케이션을업로드할때액세스상태는해당애플리케이션에대한구성을기준으로오픈액세스또는관리되는액세스상태를표시합니다. 예를들어애플리케이션구성전송옵션이선택되면애플리케이션은관리를요구하도록설정됩니다. 관리가필요한애플리케이션은카탈로그에서관리되지않는상태로표시될때별모양아이콘이표시됩니다. 애플리케이션을사용하려면사용자가어댑티브관리프로세스를통해 Workspace 서비스를사용하도록선택해야합니다. 별모양아이콘이표시된애플리케이션을다운로드하려고하면 Workspace 서비스를사용하도록설정하라는메시지가표시됩니다. 사용자는어댑티브관리프로세스를계속하도록선택한경우개인정보보호알림링크를클릭하여자신의개인정보에미치는영향을확인할수있습니다. 개인정보보호알림은등록하려는 AirWatch 환경에서자동으로설정을가져옵니다. 개인정보보호설정정보를검토한후사용자는 Workspace 서비스를사용하도록설정하거나, 취소하고 Workspace ONE 애플리케이션을디바이스에서관리되지않는상태로계속사용할수있습니다. 사용자가 Workspace 서비스를사용하도록설정하면모든관리되는애플리케이션에서별모양아이콘이제거됩니다. 관리되는디바이스에서액세스제거 [ 계정제거 ] 옵션을통해관리되는디바이스에서 Workspace ONE 애플리케이션을사용하지않도록설정할수있습니다. 계정을제거하면디바이스의엔터프라이즈초기화가실행되고, 회사액세스권한이제거되고, 사용자가로그인화면으로복귀됩니다. 관리자는 AirWatch 관리콘솔에서엔터프라이즈초기화를수행하여 Workspace ONE 서비스를사용하지않도록설정할수있습니다. VMware, Inc. 67

68 관리되는디바이스에서 [ 계정제거 ] 작업을실행하면 Workspace ONE 애플리케이션을통해부여된액세스권한이취소되고 AirWatch에서디바이스가등록취소됩니다. 관리가필요한애플리케이션이디바이스에서제거되고, Boxer, Browser 및 Content Locker와같은 AirWatch 생산성애플리케이션에대한액세스권한이취소됩니다. Workspace ONE 카탈로그에액세스하기위한사용약관요구 조직자체의 Workspace ONE 사용약관을작성하고최종사용자가 Workspace ONE 을사용하기 전에이사용약관에동의하도록할수있습니다. 사용약관은사용자가 Workspace ONE 에로그인한후에표시됩니다. 사용자는 Workspace ONE 카탈로그로이동하려면먼저사용약관에동의해야합니다. 사용약관기능에는다음과같은구성옵션이포함됩니다. 기존사용약관버전을생성합니다. 사용약관을편집합니다. 디바이스유형에따라표시될수있는여러사용약관을생성합니다. 사용약관의언어별사본을생성합니다. 설정한사용약관정책은 [ID 및액세스관리 ] 탭에표시됩니다. 사용약관정책을편집하여기존정책 을수정하거나새버전의정책을생성할수있습니다. 새버전의사용약관을추가하면기존사용약관 이대체됩니다. 정책을편집할경우사용약관버전은관리되지않습니다. [ 사용약관 ] 페이지에서사용약관을동의하거나거절한사용자의수를확인할수있습니다. 동의한수 및거절한수를클릭하면모든사용자및해당상태를볼수있습니다. 사용약관설정및사용 [ 사용약관 ] 페이지에서사용약관정책을추가하고사용매개변수를구성합니다. 사용약관이추가되면 [ 사용약관 ] 옵션을사용하도록설정합니다. 사용자는 Workspace ONE에로그인할때카탈로그에액세스하기위해사용약관에동의해야합니다. 필수조건사용약관정책텍스트는사용약관콘텐츠텍스트상자에서복사하고붙여넣을수있도록 HTML로형식이지정되어야합니다. 사용약관은영어, 독일어, 스페인어, 프랑스어, 이탈리아어및네덜란드어로추가할수있습니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > 사용약관을선택합니다. 2 사용약관을클릭합니다. 3 사용약관을설명하는이름을입력합니다. VMware, Inc. 68

69 4 사용약관정책이모든사용자에게해당되면모든사용자를선택합니다. 사용약관을디바이스유형별로사용하려면선택한디바이스플랫폼을선택하고이사용약관정책을표시할디바이스유형을선택합니다. 5 기본적으로처음에표시되는사용약관언어는브라우저언어환경설정을기준으로합니다. 텍스트상자에기본언어의사용약관콘텐츠를입력합니다. 6 저장을클릭합니다. 사용약관정책을다른언어로추가하려면언어추가를클릭하고다른언어를선택합니다. [ 사용약관콘텐츠 ] 텍스트상자가새로고쳐지며텍스트상자에텍스트를추가할수있습니다. 언어이름을끌어사용약관이표시되는순서를설정할수있습니다. 7 사용약관의사용을시작하려면표시되는페이지에서사용약관사용을클릭합니다. 후속작업사용약관에대해특정디바이스유형을선택한경우다른디바이스유형에대한추가사용약관을생성할수있습니다. 사용약관동의상태보기 [ID 및관리 ] > [ 사용약관 ] 페이지에나열된사용약관정책은정책을동의했거나거절한사용자수가표시됩니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > 사용약관을선택합니다. 2 [ 동의함 / 거절함 ] 열에서왼쪽의 [ 동의함 ] 횟수또는오른쪽의 [ 거절함 ] 횟수를클릭합니다. 상태페이지에는수행된작업 ( 동의함또는거절함 ), 사용자이름, 디바이스 ID, 확인한정책의버전, 사용되는플랫폼및날짜가표시됩니다. 3 보기를닫으려면취소를클릭합니다. Workspace ONE 애플리케이션가져오기및배포 사용자가자신의디바이스 App Store에서 VMware Workspace ONE 애플리케이션을다운로드하거나, 관리자가 Workspace ONE 애플리케이션을관리애플리케이션으로디바이스에푸시하도록 AirWatch를구성할수있습니다. AirWatch 관리콘솔에서조직내의특정그룹및사용자에게 Workspace ONE 애플리케이션을배포합니다. 사용자는자신의디바이스에서 Workspace ONE 애플리케이션에로그인한후사용권한이있는웹및 SaaS 애플리케이션에액세스할수있습니다. VMware, Inc. 69

70 다음단계는 AirWatch 관리콘솔에서 Workspace ONE 모바일애플리케이션을관리애플리케이션으로푸시하는단계입니다. Workspace ONE 시작마법사를실행하여애플리케이션을푸시할수도있습니다. 참고 AirWatch에서관리되는애플리케이션을구성하는방법에대한자세한내용은리소스포털 ( 에서제공되는 VMware AirWatch MAM( 모바일애플리케이션관리 ) 가이드를참조하십시오. 필수조건 AirWatch 관리콘솔에서 Workspace ONE 모바일애플리케이션을푸시하려는경우애플리케이션사용권한이부여된최종사용자의스마트그룹을준비합니다. 프로시저 1 AirWatch 관리콘솔에서애플리케이션및설명서 > 애플리케이션 > 목록보기 > 공개로이동한후애플리케이션추가를선택합니다. 2 플랫폼 (ios, Android 또는 Windows) 을선택합니다. 3 App Store 검색을선택하고이름텍스트상자에 App Store에서 VMware Workspace ONE 을찾기위한키워드로 Workspace ONE을입력합니다. 4 다음을선택하고선택을사용하여 [App Store 결과 ] 페이지에서 Workspace ONE 애플리케이션을업로드합니다. 5 다음탭설정에서 Workspace ONE 사용자에대한할당및배포옵션을구성합니다. 탭 설명 정보지원되는디바이스모델, 등급및범주와관련된정보를입력하고봅니다. 할당 배포 사용약관 Workspace ONE 모바일애플리케이션을자신의디바이스에서사용할수있는최종사용자의스마트그룹에할당합니다. 해당되는경우가용성및고급 EMM(Enterprise Mobility Management) 기능을구성합니다. 관리되는애플리케이션을자동으로구성하려면애플리케이션구성보내기를사용하도록설정하고 ACE(App Configuration for Enterprise) 키값쌍을입력합니다. 엔터프라이즈키값쌍에대한 AirWatch 애플리케이션구성의내용을참조하십시오. ( 선택사항 ) Workspace ONE 애플리케이션사용을위해사용약관을사용하도록설정합니다. 6 사용자가저장및게시를선택하면해당애플리케이션을사용할수있게합니다. 지원되는각플랫폼에대해이단계를완료합니다. VMware, Inc. 70

71 엔터프라이즈키값쌍에대한 AirWatch 애플리케이션구성 AirWatch에서 Workspace ONE 애플리케이션을관리되는애플리케이션으로배포하고, AirWatch 콘솔에서 Workspace ONE 애플리케이션을푸시할때 [ 애플리케이션구성보내기 ] 를사용하도록설정하면사용자가 Workspace ONE 애플리케이션을설치및시작할때적용되는 Workspace ONE 설정을미리구성할수있습니다. Workspace ONE 애플리케이션이 AirWatch 관리콘솔에관리되는모바일애플리케이션으로업로드되면 Android 디바이스에서 VMware Workspace ONE 서버 URL, 디바이스 UID 값및인증서인증에대한요구사항을구성할수있습니다. 표 8 1. AirWatch 관리콘솔의 Workspace ONE 관리되는디바이스구성옵션플랫폼구성키값유형구성값설명 모두 AppServiceHost 문자열 <VMware Workspace ONE 서버 URL> ios deviceudid 문자열 {DeviceUid} 디바이스 UID 값을입력합니다. [ 조회값입력 ] 기능을 사용하지마십시오. 디바이스에서 VMware Workspace ONE에대한서버 URL을구성합니다. VMware Identity Manager 환경에대한인증을받는데사용되는디바이스를추적합니다. ios SkipDiscoveryScreen 부울 true Workspace ONE 애플리케이션버전 3.1 부터 SkipDiscoveryScre en 구성키를구성할수있습니다. True로설정하면 Workspace ONE에서이메일주소 / 서버 URL 화면을통과하려고합니다. AppServiceHost 구성키가사용될경우사용자는인증화면으로즉시이동됩니다. 모바일 SSO도사용되도록설정하면관리자는 Workspace ONE을시작하면 Workspace ONE 애플리케이션로드가즉시시작되는원활한경험을최종사용자에게제공할수있습니다. VMware, Inc. 71

72 자동검색을위해이메일도메인등록 자동검색서비스에이메일도메인을등록하여최종사용자가 Workspace ONE 애플리케이션을통해애플리케이션포털에더욱쉽게액세스하도록할수있습니다. 최종사용자는조직 URL 대신해당이메일주소를입력합니다. 조직의이메일도메인이자동검색에등록된경우최종사용자는로그인페이지에서이메일주소만입력해도애플리케이션포털에액세스할수있습니다. 예를들어 자동검색을사용하지않는경우최종사용자는 Workspace One 애플리케이션을처음열때전체조직 URL을제공해야합니다. 예를들어 myco.vmwareidentity.com을입력합니다. VMware Identity Manager 에서자동검색설정 도메인을등록하려면 Identity Manager 관리콘솔의 [ 자동검색 ] 페이지에서이메일도메인및이메일주소를입력합니다. 활성화토큰이포함된이메일메시지가도메인의사용자이메일주소로전송됩니다. 도메인등록을활성화하려면 [ 자동검색 ] 페이지에서토큰을입력하고등록한도메인이사용자의도메인인지확인합니다. 참고 VMware Identity Manager 온-프레미스배포에대해자동검색을설정하려면관리콘솔에로컬관리자로로그인해야합니다. AirWatch 웹사이트 AirWatch ID 및암호를입력합니다. 프로시저 1 관리콘솔의 [ID 및액세스관리 ] 탭에서설정 > 자동검색을클릭합니다. 2 ( 온 - 프레미스배포만해당 ) AirWatch 자동검색 URL 을구성합니다. 옵션 설명 자동검색 URL URL을 AirWatch ID AirWatch에등록한이메일주소를입력하여웹사이트에로그인합니다. 암호 AirWatch 계정과연결된암호를입력합니다. 3 이메일도메인텍스트상자에등록할조직이메일도메인을입력합니다. 4 확인이메일주소텍스트상자에확인토큰을수신할이메일도메인의이메일주소를입력합니다. 5 확인을클릭합니다. 이메일도메인등록상태가 [ 보류중 ] 으로표시됩니다. 보류중인이메일도메인은한번에하나만있을수있습니다. 6 해당이메일로이동한후메시지에있는활성화토큰을복사합니다. 7 ID 및액세스관리 > 자동검색페이지로돌아가서 [ 활성화토큰 ] 텍스트상자에토큰을붙여넣습니다. 8 확인을클릭하여도메인을등록합니다. VMware, Inc. 72

73 이메일도메인이등록되어 [ 자동검색 ] 페이지의등록된이메일도메인목록에추가됩니다. 이제최종사용자가 Workspace ONE 애플리케이션에해당이메일주소를입력하여애플리케이션포털에액세스할수있습니다. 후속작업사용하는이메일도메인이 2개이상인경우다른이메일도메인을추가하여등록합니다. 세션인증설정 VMware Identity Manager 서비스에는 VMware Identity Manager 리소스에대한사용자액세스를제어하는기본액세스정책이포함되어있습니다. 정책규칙에구성된인증세션길이는애플리케이션시작관리자페이지에액세스하거나특정웹애플리케이션을시작하기위한마지막인증이벤트이후에허용되는최대시간을결정합니다. 기본값은 8 시간입니다. 인증을받은사용자는다른인증이벤트를시작하여이시간을연장하지않는한, 8시간이내에웹애플리케이션을실행할수있습니다. VMware Identity Manager 관리콘솔, [ID 및액세스관리 ] 탭, [ 관리 ] > [ 정책 ] 에서기본정책을편집하여세션길이를변경할수있습니다. VMware Identity Manager 관리가이드의 " 액세스정책관리 " 를참조하십시오. AirWatch 관리디바이스에대한규정준수검사사용 사용자가디바이스를등록한경우규정준수를평가하는데사용되는데이터가포함된샘플이스케줄에따라전송됩니다. 이샘플데이터평가에서는 AirWatch 콘솔에서관리자가설정한규정준수규칙을디바이스가준수하는지확인합니다. 디바이스가규정을벗어난경우 AirWatch 콘솔에구성된해당작업이수행됩니다. VMware Identity Manager 서비스에는사용자가디바이스에서로그인할때 AirWatch 서버에서디바이스규정준수상태를검사하도록구성할수있는액세스정책옵션이있습니다. 규정준수검사를사용하면디바이스가규정을벗어난경우에사용자가애플리케이션에로그인하거나 Single Sign- On을통해 Workspace ONE 포털에들어가는것을차단할수있습니다. 디바이스가다시규정을준수하게되면로그인기능이복원됩니다. 디바이스가손상된경우 Workspace ONE 애플리케이션이자동으로로그아웃되고애플리케이션에대한액세스를차단합니다. 디바이스가어댑티브관리를통해등록된경우 AirWatch 콘솔을통해실행되는엔터프라이즈지우기명령이디바이스를등록해제하고관리되는애플리케이션을디바이스에서제거합니다. 관리되지않는애플리케이션은제거되지않습니다. AirWatch 규정준수정책에대한자세한내용은 AirWatch Resources 웹사이트에서 VMware AirWatch Mobile Device Management 가이드를참조하십시오. 다중 AirWatch 조직그룹설정을위한배포전략 AirWatch는 OG( 조직그룹 ) 를사용하여사용자를식별하고사용권한을설정합니다. AirWatch가 VMware Identity Manager에통합되면관리자및등록사용자의 REST API 키가유형이 [ 고객 ] 인 AirWatch 조직그룹에구성됩니다. VMware, Inc. 73

74 사용자가디바이스에서 Workspace ONE에로그인할때 VMware Identity Manager 내에서디바이스등록이벤트가트리거됩니다. 사용자및디바이스조합에사용권한이부여된애플리케이션을끌어오기위한요청이 AirWatch로전송됩니다. AirWatch 내에서사용자를찾고해당조직그룹에디바이스를배치하기위해 REST API를사용하여요청이전송됩니다. 조직그룹을관리하기위해 VMware Identity Manager에서 2가지옵션을구성할수있습니다. AirWatch 자동검색사용 AirWatch 조직그룹을 VMware Identity Manager 서비스의도메인에매핑이러한두옵션을모두구성하지않았다면 Workspace ONE에서 REST API 키가생성된조직그룹에서사용자를찾으려고합니다. 이것이고객그룹입니다. AirWatch 자동검색사용 단일디렉토리가고객조직그룹에대한하위그룹으로구성되어있거나여러디렉토리가고유한이메일도메인을가진고객그룹아래에구성되어있는경우자동검색을설정합니다. 그림 8 1. 예제 1 예제 1에서는조직의이메일도메인이자동검색을위해등록됩니다. 사용자는 Workspace ONE 로그인페이지에이메일주소만입력합니다. 이예제에서 NorthAmerica 도메인의사용자가 Workspace ONE에로그인할때전체이메일주소를 user1@domain1.com으로입력합니다. 애플리케이션에서는도메인을찾고사용자가존재하는지또는 NorthAmerica 조직그룹에서디렉토리호출로생성될수있는지확인합니다. 디바이스를등록할수있습니다. VMware Identity Manager 도메인에대한 AirWatch 조직그룹매핑사용 여러디렉토리가동일한이메일도메인으로구성되어있을때 AirWatch 조직그룹매핑에 VMware Identity Manager 를구성합니다. VMware Identity Manager 관리도메인의 AirWatch 구성 페이지에서여러조직그룹에도메인매핑을사용하도록설정합니다. [ 여러조직그룹에도메인매핑 ] 옵션을사용하도록설정하면 VMware Identity Manager 에구성 된도메인을 AirWatch 조직그룹 ID 에매핑할수있습니다. 관리자 REST API 키도필요합니다. 예제 2 에서는 2 개의도메인이서로다른조직그룹에매핑되어있습니다. 관리자 REST API 키가필 요합니다. 동일한관리자 REST API 키가두조직그룹 ID 에사용됩니다. VMware, Inc. 74

75 그림 8 2. 예제 2 VMware Identity Manager 관리도메인의 AirWatch 구성페이지에서각도메인에대해특정 AirWatch 조직그룹 ID 를구성합니다. 그림 8 3. 예제 2 조직그룹구성 이구성을사용할경우, 사용자가해당디바이스에서 Workspace ONE에로그인할때디바이스등록요청이조직그룹 Europe의 Domain3에서사용자를찾고조직그룹 AsiaPacific의 Domain4에서사용자를찾으려고합니다. 예제 3에서는하나의도메인이여러 AirWatch 조직그룹에매핑되어있습니다. 두디렉토리모두이메일도메인을공유합니다. 도메인은동일한 AirWatch 조직그룹을가리킵니다. 그림 8 4. 예제 3 이구성에서는사용자가 Workspace ONE 에로그인할때등록하려는그룹을선택하라는메시지가 애플리케이션에표시됩니다. 이예제에서사용자는 Engineering 또는 Accounting 을선택할수있 습니다. VMware, Inc. 75

76 그림 8 5. 디렉토리에서동일한도메인을공유하는조직그룹 올바른조직그룹에디렉토리배치 사용자기록을찾으면디바이스가알맞은조직그룹에추가됩니다. AirWatch 등록설정그룹 ID 할당모드는디바이스를배치할조직그룹을결정합니다. 이설정은 [ 시스템설정 ] > [ 디바이스및사용자 ] > [ 일반 ] > [ 등록 ] > [ 그룹화 ] 페이지에있습니다. 그림 8 6. 디바이스의 AirWatch 그룹등록 예제 4 에서모든사용자는회사조직그룹수준에있습니다. 그림 8 7. 예제 4 VMware, Inc. 76

77 디바이스배치는회사조직그룹의그룹 ID 할당모드에대해선택한구성에따라다릅니다. [ 기본값 ] 을선택하면디바이스는사용자가있는동일한그룹에배치됩니다. 예제 4의경우디바이스는 Corporate 그룹에배치됩니다. [ 그룹 ID를선택하라는메시지표시 ] 를선택하면디바이스를등록할그룹을선택하라는메시지가표시됩니다. 예제 4의경우 Engineering 및 Accounting이옵션으로포함된드롭다운메뉴가 Workspace ONE 앱내에표시됩니다. [ 사용자그룹에따라자동으로선택 ] 을선택하면디바이스는 AirWatch 관리콘솔의사용자그룹할당및해당매핑에따라 Engineering 또는 Accounting에배치됩니다. 숨겨진그룹에대한개념이해 예제 4에서등록할조직그룹을선택하라는메시지가표시되면 Workspace ONE 애플리케이션에서제공된목록에포함되지않은그룹 ID를입력할수도있습니다. 이것이바로숨겨진그룹개념입니다. 예제 5에서는 Corporate 조직그룹구조에서 North America 및 Beta가 Corporate 아래에그룹으로구성됩니다. 그림 8 8. 예제 5 예제 5에서사용자는 Workspace ONE에해당이메일주소를입력합니다. 인증이완료되면사용자에게선택할수있는 Engineering 및 Accounting을포함하는목록이표시됩니다. 표시되는 Beta 는옵션이아닙니다. 사용자가조직그룹 ID를아는경우, 그룹선택텍스트상자에수동으로 Beta를입력하고 Beta에디바이스를성공적으로등록할수있습니다. VMware, Inc. 77

78 Workspace ONE 포털에서작업 9 Workspace ONE 애플리케이션이디바이스에설치되면사용자는 Workspace ONE에로그인하여조직에서사용설정한애플리케이션카탈로그에안전하게액세스할수있습니다. 애플리케이션이 Single Sign-On으로구성된경우사용자는애플리케이션을실행할때로그인자격증명을다시입력하지않아도됩니다. Workspace ONE 사용자인터페이스는휴대폰, 태블릿및데스크톱에서비슷하게작동합니다. Workspace ONE의 [ 카탈로그 ] 페이지에는 Workspace ONE에푸시된리소스가표시됩니다. 탭또는클릭하여애플리케이션을검색하고, 추가하고, 북마크를적용하고, 업데이트할수있습니다. 애플리케이션을마우스오른쪽버튼으로클릭하여북마크가지정된페이지에서제거한후 [ 카탈로그 ] 페이지로이동하여사용권한이부여된리소스를추가할수있습니다. 이장에서는다음주제에대해설명합니다. Workspace ONE에서애플리케이션사용 Workspace ONE 애플리케이션에대한암호설정 기본애플리케이션추가 사용자인증을위해 VMware Verify 사용 Workspace ONE 사용자에게경고전송 Android용 Workspace ONE 디바이스사용 Workspace ONE 에서애플리케이션사용 Workspace ONE 사용자포털은 [ 카탈로그 ] 탭및 [ 북마크 ] 탭으로구성되어있습니다. 사용자가 Workspace ONE 포털에처음으로로그인하면책갈피탭이비어있는경우카탈로그탭이표시됩니다. 처음실행한후에는마지막에방문한탭으로곧바로이동합니다. [ 카탈로그 ] 탭에서시작하고싶은경우항상카탈로그뷰를사용할수있습니다. Workspace ONE 포털에서카탈로그또는책갈피탭을숨겨, 사용자의요구사항에맞는사용자환경을제공할수있습니다. [ 카탈로그 ] > [ 설정 ] > [ 사용자포털구성 ] 페이지에서포털구성을변경할수있습니다. VMware, Inc. 78

79 그림 9 1. 북마크페이지의초기보기 카탈로그에서사용권한이부여된웹, 모바일및가상애플리케이션을열거나설치할수있습니다. 책갈피탭이숨겨져있지않으면리본아이콘을선택하여애플리케이션에책갈피를지정할수있습니다. 카탈로그페이지에서사용자가보다쉽게필요한리소스를찾을수있도록애플리케이션을논리적인범주로그룹화할수있습니다. [ 권장 ] 이라고하나는하나의범주가기본적으로표시됩니다. 애플리케이션을 [ 권장 ] 으로분류하면책갈피탭에권장애플리케이션표시를사용하도록설정하여책갈피페이지를이러한애플리케이션으로미리채울수있습니다. 이구성을사용하면사용자에게는 Workspace ONE 포털에처음로그인할때권장애플리케이션에바로액세스할수있는기능이제공됩니다. 그림 9 2. Workspace ONE [ 카탈로그 ] 페이지 참고모바일애플리케이션은데스크톱브라우저에서사용할수없습니다. 다음과같이웹애플리케이션을실행할수있습니다. [ 북마크 ] 탭. 애플리케이션아이콘을클릭하여애플리케이션을실행할수있습니다. [ 카탈로그 ] 탭. 화살표아이콘이있는확인란을클릭하여애플리케이션을엽니다. VMware, Inc. 79

80 Spotlight 검색또는 Workspace ONE 내에서검색. ios 디바이스의 Spotlight 검색에서목록에있는애플리케이션을선택합니다. Workspace ONE 검색에서화살표아이콘이있는확인란을클릭하여애플리케이션을엽니다. 설치된기본애플리케이션을실행하려면 ios 스프링보드에서애플리케이션아이콘을클릭합니다. 이름옆에있는드롭다운화살표에서다음 Workspace ONE 설정에액세스할수있습니다. 계정. 이름, 사용자이름및이메일주소등사용자에대한프로파일정보입니다. 디바이스. Workspace ONE 애플리케이션에로그인한디바이스목록및마지막로그인날짜와시간입니다. 애플리케이션팁. 사용자디바이스에서 Workspace ONE을탐색하는방법에대한팁입니다. 정보. Workspace ONE 저작권, 특허권및라이센스정보입니다. 환경설정. Horizon 원격애플리케이션에액세스하고, Horizon Client 또는브라우저에서애플리케이션을볼때사용하는기본실행설정입니다. 사용자는디바이스에서 Workspace ONE 애플리케이션아이콘을탭하여애플리케이션포털에로그인합니다. 북마크를지정한애플리케이션이있으면 [ 북마크 ] 페이지가표시됩니다. 디바이스의 Workspace ONE 애플리케이션에는지원및설정에대한링크가포함됩니다. 그림 9 3. Workspace ONE 포털의디바이스보기 [ 지원 ] 페이지에는 [ 디바이스 ] 및 [ 보고서전송 ] 페이지링크가포함되어있습니다. [ 디바이스 ] 페이지에는디바이스에마지막으로로그인한시기가표시됩니다. [ 보고서전송 ] 에서는진단정보또는기타피드백을전송하는방법을제공합니다. 디바이스설정에서이기능을해제하거나설정할수있습니다. [ 설정 ] 페이지에는 Workspace ONE 애플리케이션버전및 VMware Workspace 개인정보보호정책이표시됩니다. [ 설정 ] 페이지에서계정을제거하여 Workspace ONE 애플리케이션에서로그아웃할수있습니다. VMware, Inc. 80

81 Workspace ONE 에서검색사용 Workspace ONE에서검색을사용하여이름또는범주를기준으로애플리케이션을찾을수있습니다. 검색텍스트상자에입력하면입력한내용과일치하는애플리케이션이표시됩니다. 그림 9 4. 검색에표시되는결과 웹애플리케이션을실행하거나검색결과에서직접기본애플리케이션을다운로드할수있습니다. ios 디바이스에서 Spotlight를사용하여 Workspace ONE 포털에있는애플리케이션을검색할수있습니다. ios 디바이스의홈화면에서손가락으로화면을터치하고아래로끌어 Spotlight 검색필드를표시합니다. Workspace ONE 포털에있는애플리케이션이름을입력하면 Workspace ONE 이열리고애플리케이션이실행됩니다. ios 디바이스에서사용자보고서문제해결지원 ios 디바이스에서 Rage Shake 기능을사용하여 ios 애플리케이션개발자에게로그를전송할수있습니다. 디바이스를흔들면디바이스는기본적으로현재상태를기록하고세부정보를 Workspace ONE 애플리케이션개발자에게이메일메시지로전송합니다. 사용자가다른이메일주소를수동으로입력하여해당주소로정보를전송할수도있습니다. 디바이스의 [ 설정 ] > [Workspace] 페이지에서 [ 흔들어피드백보내기사용 ] 기능을켤수있습니다. Workspace ONE 포털의임의화면에서 Rage Shake를사용하여보고서를전송할수있습니다. VMware, Inc. 81

82 그림 9 5. 흔들어피드백보내기사용기능 ios 디바이스에이디바이스가다른사용자또는환경에등록되어있습니다와비슷한오류메시지가 수신되면 [ 애플리케이션수동재설정 ] 옵션을사용하여디바이스에로컬로저장된모든애플리케이션 데이터를지울수있습니다. Workspace ONE 애플리케이션에대한암호설정 사용자는자신의디바이스에암호기능을사용하도록설정해야합니다. 이기능을사용하도록설정하지않으면 Workspace ONE 애플리케이션을처음시작할때암호를만들라는메시지가표시됩니다. 이암호는사용자가자신의디바이스에서 Workspace ONE에액세스할때마다입력해야합니다. 암호기능을사용하지않는경우사용자에게 Workspace ONE 애플리케이션에액세스하려면먼저암호를설정하라는메시지가나타납니다. 암호설정위치는플랫폼에따라다릅니다. Android 디바이스의경우애플리케이션수준에서암호가설정됩니다. ios 디바이스및 Window 데스크톱디바이스의경우디바이스수준에서암호가설정됩니다. 참고 ios 및 Android 디바이스는 Touch ID 지문인식기능도지원합니다. Workspace ONE 은디바이스에서발생가능한보안문제를감지할수있습니다. 사용자가디바이스 에서암호를사용하지않도록설정한경우에는다음에 Workspace ONE 애플리케이션에액세스할 때 Workspace ONE 에액세스하려면먼저암호를설정하라는메시지가표시됩니다. 기본애플리케이션추가 기본애플리케이션은특정모바일디바이스용으로개발된애플리케이션프로그램입니다. 사용자는 [Workspace ONE 카탈로그 ] 페이지에서 AirWatch 사용권한이있는기본애플리케이션을볼수있습니다. 예를들어사용자가 ios 디바이스에서카탈로그를보는경우사용자에게사용권한이있는 ios 애플리케이션만표시됩니다. VMware, Inc. 82

83 사용자가 [ 카탈로그 ] 페이지에서 [ 설치 ] 를눌러디바이스에애플리케이션을설치합니다. [ 설치 ] 를누르면다음에진행될작업을알려주는팝업이나타납니다. 표시되는정보는애플리케이션유형및플랫폼에따라다릅니다. 잠금아이콘이표시된애플리케이션은 AirWatch에서디바이스를관리해야합니다. 최종사용자가잠금아이콘이표시된애플리케이션을다운로드하려고하면 Installation of this app requires enablement of Workspace Services라는메시지가나타납니다. 사용자인증을위해 VMware Verify 사용 VMware Verify 서비스가디바이스에서 Workspace ONE으로로그인하기위한 2단계인증의 2번째인증방법으로설정되면사용자는디바이스 App Store에서 VMware Verify 애플리케이션을다운로드해야합니다. 사용자가 Workspace ONE 애플리케이션에처음으로로그인하면사용자이름과암호를입력하라는메시지가나타납니다. 사용자이름과암호가확인되면 VMware Verify 서비스에등록할디바이스전화번호를입력하라는메시지가나타납니다. 등록을클릭하면디바이스전화번호가 VMware Verify 서비스에등록됩니다. VMware Verify 애플리케이션을다운로드하지않으면애플리케이션을다운로드하라는메시지가표시됩니다. 애플리케이션이설치되면이전에입력한것과동일한전화번호를입력하고일회용등록코드를받을알림방법을선택하라는메시지가나타납니다. 등록코드는 [ 등록 PIN] 페이지에입력됩니다. 디바이스전화번호가등록된후사용자는 VMware Verify 애플리케이션에표시된시간기반일회용암호를사용하여 Workspace ONE에로그인할수있습니다. 이암호는디바이스에생성되는고유번호이며지속적으로변경됩니다. 사용자는둘이상의디바이스를등록할수있습니다. VMware Verify 암호는등록된각디바이스에자동으로동기화됩니다. Workspace ONE 사용자에게경고전송 관리자는작업을요청하거나경고를전송하기위해예정된시스템다운타임, 규정준수상태를 Workspace ONE 사용자에게알릴수있습니다. 알림은 AirWatch 관리콘솔을통해전송될수있습니다. 이러한알림은디바이스알림또는애플리케이션내알림으로볼수있습니다. Android 용 Workspace ONE 디바이스사용 Android Workspace ONE 애플리케이션을통해다음유형의애플리케이션을사용하도록설정할수있습니다. 웹애플리케이션 VMware Identity Manager 서비스에서사용하도록설정된원격애플리케이션으로, Horizon 가상애플리케이션, Citrix XenApp 및 ThinApp 등이있습니다. 기본애플리케이션 ( 관리및비관리 ) 기본애플리케이션은 Android 플랫폼용으로개발된 Android 애플리케이션입니다. 2가지유형을사용할수있습니다. Google Play Store에서배포된공개애플리케이션 VMware, Inc. 83

84 AirWatch를통해비공개로배포되며 Google Play Store에서제공되지않는내부애플리케이션웹애플리케이션은브라우저에서열립니다. 사용자는 VMware Horizon Client 또는 Citrix Receiver를통해가상애플리케이션에액세스할수있습니다. Workspace ONE 등록 올바른서버 URL 및자격증명을사용하여 Workspace ONE에로그인하면 Workspace ONE 통합카탈로그에액세스할수있습니다. 통합카탈로그에서사용자는자신에게할당된모든애플리케이션을볼수있습니다. 애플리케이션에액세스하려면 Workspace ONE을등록해야합니다. Workspace ONE 등록상태에서사용자는 VMware Identity Manager, AirWatch 생산성애플리케이션및관리기능없는 SDK 애플리케이션을통해사용하도록설정된웹및가상애플리케이션을사용할수있습니다. 참고 SDK 애플리케이션은 AirWatch SDK를통해컨테이너화및관리되므로관리를받기위한디바이스가필요없습니다. 사용자는어댑티브관리를시작할수있습니다. 어댑티브관리에서는디바이스에서 Android for Work 가사용하도록설정되며디바이스의프로파일, 정책및향상된애플리케이션배포가수행됩니다. Workspace ONE 을사용하여 Android for Work 관리 디바이스에서 Android for Work를사용하도록설정하면운영체제수준에서작업데이터와개인데이터가분리됩니다. Android for Work는작업및개인애플리케이션을명확히구분해줍니다. Android for Work는고유한 Android 작업배지를사용하여작업애플리케이션을생성합니다. 그림 9 6. Android for Work 콘텐츠 관리자는앱에액세스하기위해먼저디바이스관리가필요한카탈로그의애플리케이션을확인합니다. 관리가필요한카탈로그의애플리케이션은다운로드버튼옆에고유한별모양기호가표시됩니다. 사용자가이러한애플리케이션중하나를다운로드하려고하면관리를받기위해디바이스가필요한애플리케이션이라는메시지가표시됩니다. 디바이스관리의기능및이점을설명하는화면이표시됩니다. VMware, Inc. 84