WOA를 포함한 기업의 'BYO' PC 관리

  • Article

개인 소유의 하드웨어를 업무용으로 사용하는 사람들이 점차 늘어나면서 'BYO(Bring Your Own)' PC를 우리 주변에서 흔히 볼 수 있게 되었고, IT 전문가들은 이러한 트렌드를 따르는 고객을 지원할 필요성을 느끼고 있습니다. BYO의 출현으로 조직의 네트워크 자산을 관리하고 보호해야 하는 IT 전문가의 책임이 변하는 것은 아니며, 우리 모두가 알고 있듯이 서면으로 작성된 정책은 한계가 있습니다.

이 글은 이러한 'IT의 소비자화'를 염두에 두고 설계된 WOA PC를 관리하는 방법을 소개합니다. x86/64 아키텍처 기반의 다양한 폼 팩터 형태의 PC는 모든 폼 팩터에 사용 가능한 완벽한 관리 도구를 갖추고 있으며, 특히 이러한 도구는 시스템에서 실행되는 타사 코드에서 지원하는 폼 팩터에도 사용할 수 있습니다. WOA PC는 Windows 스토어 및 WinRT 기반 응용 프로그램을 통해 타사 코드만 지원하므로 우리는 BYO 또는 사내에서 자체적으로 개발한 WOA PC를 지원하는 업계 최고의 관리 도구 개발에 착수했습니다. 이 글은 Microsoft 관리 시스템 그룹을 이끌고 있는 프로그램 관리자 Jeffrey Sutherland 씨가 작성했습니다.

- Steven

최근 IT의 주요 트렌드 중 하나는 'IT의 소비자화'입니다. 이는 전화기에서 PC에 이르는 소비자 기술이 다양한 형태와 방법으로 비즈니스 조직에 스며들고 있는 현상을 보여 주는 것입니다. 또한 새로 등장하는 장치들은 직원들이 일하는 조직보다는 직원들을 대상으로 하는 경우가 더 많습니다. 특히 스마트폰 장치 범주에서 이러한 현상이 두드러지게 나타나고 있으며, 직장 내에서 빠르게 확산되고 있는 태블릿이나 휴대용 PC와 같은 폼 팩터에서도 이러한 현상이 나타나고 있습니다. 조직에서 이러한 IT 소비자화 트렌드를 수용함에 따라, IT 관리자는 직원 소유의 장치를 어느 선까지 통제하고 관리해야 하는 것이 '적절한 수준'인지 고민하지 않을 수 없게 되었습니다. 우리는 Windows 8 개발을 처음 시작할 때부터 특히 ARM 프로세서 아키텍처용 Windows를 개발할 때 이러한 고민을 최우선적으로 고려했습니다. 우리는 장치를 신뢰할 수 있도록 IT 관리자가 충분히 통제할 수 있도록 하면서도 사용자에게 필요한 PC 및 소프트웨어(예: 모든 장치의 응용 프로그램 및 데이터 액세스)를 계속 제공하는 동시에 사용자의 개인용 장치에서 개인 정보에 대한 보안을 높은 수준으로 유지할 수 있도록 하기 위해 노력했습니다.

Steven은 이전에 Windows on ARM 또는 WOA에 대해 쓴 글에서, x86/64를 기반으로 하는 ARM에서 대부분의 Windows 경험을 그대로 유지하고 제품에서 코드의 상당 부분을 공유하는 방법을 소개했습니다. 이 글에서는 주로 WOA를 집중적으로 다루겠지만 여기서 토론하는 기능의 상당수는 두 프로세서 아키텍처 모두에서 동일하게 적용됩니다. 또한 이 글에서는 IT 관리자가 사용하는 전체적인 관리 인프라 및 도구가 아닌 PC 자체의 성능에 대해 다룰 것입니다. 또한 이 글을 읽을 때 네트워킹 기본 요소부터 드라이브 암호화까지 WOA와 함께 제공되어 Windows에 내장된 모든 보안 기능을 염두에 두시기 바랍니다.

업무용 응용 프로그램 및 WOA 관리 클라이언트

이메일부터 라이선스 소프트웨어까지, 독립 소프트웨어 공급업체부터 IT 관리자가 개발한 사내 앱까지 사용자들의 의존도가 높은 업무용 앱을 사용할 수 있게 해달라는 요구는 기업에서 나타나는 가장 중요한 '소비자' 장치 사용 사례의 하나입니다. 개발자들은 WOA를 포함한 모든 Windows 8 시스템에서 자동으로 실행되는 멋진 Metro 스타일 앱을 쉽고 간편하게 개발할 수 있다는 사실을 알게 될 것이며, 업무용(LOB) 앱 개발자 역시 마찬가지입니다. 하지만 여러 조직에서는 설치에 필요한 앱 바이너리 배포를 포함하여 사내 업무용 앱에 대한 액세스를 직접 제어하고 관리하기를 원합니다. 이러한 조직의 경우, 응용 프로그램을 다른 사람들에게 홍보하거나 Windows 스토어를 통해 그들의 응용 프로그램 배포를 관리할 이유가 전혀 없으므로 모든 사람들이 이용할 수 있는 Windows 스토어에 업무용 앱을 게시한다는 것은 있을 수 없는 일입니다. 또한 IT 관리자는 조직에서 노출하는 리소스 및 데이터에 액세스하는 시스템이 조직에서 적용 중인 보안 및 데이터 보호 정책을 만족한다고 확신할 수 있어야 합니다.

조직에서는 오랫동안 System Center Configuration Manager 및 Windows Intune 같은 관리 제품을 포함한 다양한 도구와 방법을 사용하여 x86/64 기반 컴퓨터의 앱을 관리해 왔습니다. x86/64 기반의 Metro 스타일 업무용 앱은 기존과 동일한 도구 및 방법을 사용하여 관리할 수 있으며, Windows 스토어 이외의 소스에서 얻은 앱을 신뢰할 수 있도록 클라이언트를 구성하기만 하면 됩니다. x86/64 기반 Metro 스타일 앱을 추가하고 제거하는 기본 기능에 대한 자세한 내용은 앱 추가 및 제거 방법을 참조하시기 바랍니다. 하지만 우리는 WOA 개발을 통해 IT 관리자의 요구를 만족하는 방법으로 사용자에게 업무용 앱을 제공하는 동시에 PC의 수명 주기 동안 일관적이고 신뢰할 수 있는 최종 사용자 경험을 보장하는 방법을 설계할 수 있었습니다.

WOA의 경우 우리는 클라우드의 관리 인프라와 통신하여 사용자에게 업무용 앱을 제공할 수 있는 새로운 관리 클라이언트를 통합했습니다. 관리 인프라에 대한 이야기는 나중에 우리 동료들이 System Center 블로그를 통해 해 드릴 것이므로, 이 글에서는 WOA 관리 클라이언트 자체의 이점과 기능에만 집중하겠습니다.

실제로 WOA 관리 클라이언트는 다음과 같은 두 부분으로 나뉩니다. 하나는 에이전트라고 부르는 기본 시스템 구성 요소이고, 다른 하나는 셀프 서비스 포털 또는 SSP라고 부르는 Metro 스타일 앱으로, 소비자가 사용 가능한 업무용 앱을 찾아서 설치할 때 사용합니다. WOA 관리 클라이언트의 두 부분은 사용자 경험, 전원 관리/배터리 수명, 네트워크 인식(네트워크 요금제의 경우) 및 전체적인 기능의 측면에서 완벽한 Windows 8 앱입니다.

에이전트는 클라이언트의 복잡한 작업을 대부분 처리합니다. 조직의 관리 인프라와 통신하도록 클라이언트를 구성합니다. 관리 인프라와 주기적으로 동기화하여 업데이트된 업무용 앱을 확인하고 IT 부서에서 장치를 위해 구성한 최신 설정 정책을 적용합니다. 사용자가 설치하려고 하는 모든 업무용 앱의 실제 다운로드 및 설치를 처리합니다. 마지막으로, 사용자 또는 관리자가 관리 인프라에서 장치를 제거하기로 선택하면 에이전트 자체에서 구성을 제거하고 사용자가 SSP에서 설치한 모든 업무용 앱을 비활성화합니다.

관리 인프라에 연결

클라이언트를 관리 인프라에 연결하는 것부터 시작해서 이러한 요소를 보다 자세히 살펴보겠습니다. 사실, 이 단계는 IT 관리자가 장치를 서비스에 연결할 수 있도록 인증된 Active Directory(AD) 도메인 사용자 그룹을 지정하는 것부터 시작합니다. 관리자는 사용자당 허용되는 최대 장치 수를 지정할 수도 있습니다. 인증된 사용자의 경우 장치를 연결하는 실제 단계는 매우 간단합니다. 사용자가 WOA 장치의 새 제어판 애플릿을 사용하여 Exchange 이메일 계정을 설정하는 것과 마찬가지로 회사 이메일 주소 및 암호를 입력하면 에이전트는 사용자의 이메일 주소를 기반으로 서비스를 조회하여 조직의 관리 인프라를 검색합니다.

회사 앱 및 리소스에 액세스하려면 회사 자격 증명을 입력하라는 대화 상자가 표시된 제어판 시스템 창
회사 이메일 주소 및 암호를 입력하여 간단하게 관리 인프라에 연결

정확한 주소가 발견되면 에이전트는 SSL 서버 인증을 사용하여 보안 연결을 설정하고 사용자를 인증합니다. 사용자가 성공적으로 인증되고 관리자로부터 장치에 연결할 수 있는 권한을 받으면 서비스에서는 연결을 시작하는 사용자에게 사용자 인증서를 발급합니다. 이 인증서는 조직의 루트 인증서 및 에이전트에 대한 지침과 함께 다시 에이전트로 전송되고, 에이전트에서는 이 인증서를 사용하여 관리 인프라와 진행 중인 통신을 구성합니다. 이 모든 작업이 순식간에 처리되며 대개의 경우 사용자가 조작할 필요가 없습니다. 통신 구성이 완료되면 사용자의 SSP 설치가 시작되고 에이전트는 백그라운드에서 연결을 완료합니다.

연결 대화 상자가 표시된 제어판 시스템 창

사용자가 회사 네트워크에 연결되었음을 알리는 대화 상자가 표시된 제어판 시스템 창

연결 완료

다음으로, 에이전트는 자동으로 관리 인프라와의 세션을 시작하고 사용자 인증서를 사용하여 인증합니다. 이 세션과 모든 후속 세션은 연결의 보안을 확보하기 위해 SSL 상호 인증을 사용하여 수행됩니다. 이 초기 세션에서는 제조사 및 모델, OS 버전, 장치 성능, 기타 하드웨어 정보 등의 기본적인 장치 정보를 제공하여 서비스에 장치 등록을 완료합니다. 이를 통해 IT 관리자는 조직에 연결하는 장치 종류를 모니터링할 수 있으므로 사용자에게 제공하는 앱 및 서비스를 점차 개선할 수 있습니다.

초기 세션 후에 에이전트는 다음과 같은 2가지 환경에서 관리 인프라와 통신을 시작합니다.

  • 첫 번째는 하루 한 번 실행되며 사용자가 클라이언트에서 구성할 수 있는 유지 관리 업무입니다. 이러한 유지 관리 세션에서 수행되는 활동은 업데이트된 하드웨어 정보를 관리 인프라에 보고하고, 변경 사항을 장치의 설정 정책에 적용하고, 적합성을 관리 인프라에 보고하고, 앱 업데이트를 업무용 앱에 적용하고, 이전에 SSP에서 시작하여 실패한 업무용 앱 설치를 다시 시도하는 일에 초점이 맞추어져 있습니다.
  • 두 번째로, 사용자가 SSP에서 앱 설치를 시작할 때마다 에이전트는 관리 인프라와 통신합니다. 사용자가 시작하는 이 세션은 오직 앱 설치에만 집중하고 첫 번째 사례에서 설명한 유지 관리 활동은 수행하지 않습니다.

예정된 유지 관리 업무에 따라 세션이 자동으로 시작되든, 아니면 사용자가 세션을 수동으로 시작하든 관계없이 WOA 관리 클라이언트는 장치의 배터리와 현재 네트워크의 상태에 따라 작동합니다.

설정 정책 관리

앞에서 설명한 것처럼 일반적으로 업무용 앱에 액세스하려면 시스템이 기본적인 보안 및 데이터 보호 정책을 준수해야 합니다. IT 관리자는 관리 인프라를 통해 장치에 대한 사용자 경험을 크게 제한하지 않으면서 IT 보안에 필수적인 다음과 같은 정책을 구성할 수 있습니다.

  • 편리한 로그온 허용
  • 최대 로그온 시도 횟수
  • 최대 비활성 시간 잠금
  • 최소 장치 복합 문자 수
  • 최소 암호 길이
  • 암호 사용
  • 암호 만료
  • 암호 기록

WOA 관리 클라이언트는 한 번에 하나의 관리 인프라에만 연결할 수 있지만 Windows 8을 출시하기 전에 정책 원본을 추가하기로 결정할 수도 있기 때문에 이를 처리할 수 있도록 정책 시스템을 설계했습니다. 동일한 Windows 8 장치에 대한 정책이 2개 이상 존재할 경우 정책이 통합되고 각 정책마다 가장 제한적인 구성이 선택됩니다. 이렇게 해서 탄생한 정책은 Windows 8 장치의 모든 관리자와 구성된 Exchange 계정 내의 모든 표준 사용자에게 적용됩니다. Exchange 계정이 없는 표준 사용자에게는 정책이 적용되지 않지만 이미 Windows 8에서는 이러한 사용자가 다른 사용자의 프로필 및 권한 있는 위치의 데이터에 액세스하지 못하게 제한하고 있습니다. 따라서 자동으로 회사 데이터가 보호됩니다.

위에서 설명한 구성 가능 정책 외에도 에이전트를 사용하여 사용자에 대한 VPN 프로필을 자동으로 구성할 수 있으므로 사용자의 작업 없이도 WOA 장치를 간단하게 회사 네트워크에 연결할 수 있습니다. 마지막으로, 에이전트는 다음 항목에 대한 WOA 장치의 적합성을 모니터링하여 보고할 수 있습니다.

  • 드라이브 암호화 상태
  • 자동 업데이트 상태
  • 바이러스 검색 상태
  • 스파이웨어 방지 프로그램 상태

IT 관리자는 이러한 적합성 정보를 활용하여 장치가 위험에 노출될 경우 회사 리소스에 대한 액세스를 더욱 효과적으로 제어할 수 있습니다. 다시 한 번 강조하지만, 장치에 대한 사용자의 기본 경험과 개인 정보 보안은 그대로 유지됩니다.

다음으로 넘어가기 전에 위에서 나열한 몇 가지 정책과 이러한 정책이 실질적으로 어떻게 Windows 8 시스템에 영향을 미치는지에 대해 고민해 보겠습니다. 첫 번째로, 편리한 로그온 허용에 대해 살펴보겠습니다. Windows 8은 사용자에게 생체 인식 로그인 또는 사진 암호 기능과 같이 편리한 로그인 기능을 제공합니다. 이러한 로그인 옵션은 Windows 8 장치의 높은 보안 수준을 유지하는 동시에 사용자와 IT 관리자의 가장 큰 두통거리인 암호 분실 문제를 해결합니다. 하지만 이러한 로그온 방법을 도입할 때까지 시간이 좀 더 필요한 조직도 있을 것이므로 우리는 조직 내에서 편리한 로그인을 언제부터 허용할 것인지를 IT 관리자가 관리할 수 있도록 편리한 로그온 허용 옵션을 설계했습니다.

두 번째로, 드라이브 암호화와 최대 로그온 시도 횟수가 연동하는 방식을 살펴보겠습니다. 스마트폰 사용자 중에는 어린 자녀들이 스마트폰을 가지고 놀다가 우연히 잘못된 암호를 계속 입력하여 스마트폰의 모든 정보가 사라진 경험을 하신 분들도 있을 것입니다. 하지만 Windows 8 장치에서는 이렇게 심각한 문제가 발생하지 않습니다. Windows 8은 처음 구입하는 순간부터 강력한 데이터 보호 기능을 제공합니다. 사용자가 암호 입력 횟수를 초과할 경우 Windows는 모든 암호화된 볼륨을 암호화 방식으로 잠그고 Windows 8 복구 콘솔에서 장치를 재부팅합니다. 장치를 분실하거나 도난 당하더라도 이 기능이 장치를 효과적으로 렌더링하여 읽을 수 없게 합니다. 하지만 이런 일이 단순히 장치가 잠겨 있는 상태에서 어린 자녀들이 Angry Birds를 사용하려고 하다가 발생했다면 Windows 8이 사용자를 대신하여 사용자의 SkyDrive 계정에 저장하는 복구 키를 사용하여 간단하게 복구할 수 있습니다. 이러한 방식을 사용하면, 모든 앱을 다시 설치하고 데이터를 전부 복사할 때까지 한참 동안 기다릴 필요 없이 바로 백업을 가져와서 실행할 수 있습니다.

업무용 앱 관리

지금까지는 관리 클라이언트 및 인프라의 메커니즘과 IT 관리자의 요구 사항을 중심으로 기능을 설명했지만, 최종 사용자가 업무용 앱에 액세스할 수 있도록 이점을 제공하는 것이 전체 솔루션의 궁극적인 목표입니다. 이러한 이점이 없다면 사용자가 골치 아프게 기업 관리 인프라를 사용할 이유가 없습니다. 지금부터 WOA 플랫폼의 업무용 앱 제공에 대해 자세히 알아보겠습니다.

WOA에 대한 이전 글에서 우리는 "사용자는 장치 드라이버를 포함한 모든 소프트웨어를 Windows 스토어 및 Microsoft 업데이트 또는 Windows 업데이트를 통해 구할 수 있습니다"라고 설명했습니다. 이제 WOA 관리 클라이언트가 추가됨으로써 안전하게 WOA 플랫폼용 소프트웨어를 얻을 수 있는 네 번째 장소가 추가되었습니다. 앞서 언급했듯이, Metro 스타일 셀프 서비스 포털 앱 또는 SSP는 회사 사용자가 관리 인프라에 액세스하기 위한 일상적인 업무용 인터페이스입니다. 이곳에서 사용자들은 IT 관리자에 의해 사용이 허가된 업무용 앱을 찾을 수 있습니다. IT 관리자는 SSP 사용자들을 위해 다음과 같은 4가지 유형의 앱을 게시합니다.

  • 사내에서 개발되어 Windows 스토어에 게시되지 않는 Metro 스타일 앱
  • 독립 소프트웨어 공급업체에서 개발하여 라이선스 방식으로 조직의 내부 배포용으로 제공하는 앱
  • 브라우저에서 바로 웹 사이트와 웹 기반 앱을 실행하는 웹 링크
  • Windows 스토어의 앱 목록 링크 IT 관리자는 이렇게 편리한 방법으로 사용자에게 유용한 업무용 앱을 제공할 수 있습니다.

사용자는 관리 인프라에 처음 연결할 때 회사 자격 증명을 지정하기 때문에 IT 관리자는 사용자의 AD 도메인 사용자 계정 또는 AD 사용자 그룹에 따라 각 사용자에게 게시할 앱을 개별적으로 지정할 수 있습니다. 따라서 사용자는 SSP에서 자신에게 해당하는 앱만 볼 수 있습니다.

범주 및 이름 드롭다운 필터, Apps 단추, My Devices 및 IT Center가 표시된 Woodgrove Center SSP 앱. 다운로드 가능한 앱:Woodgrove Supplier, Woodgrove Asset Request, Woodgrove Expenses 등

Woodgrove라고 하는 가상 회사의 셀프 서비스 포털(SSP)에서 업무용 앱을 브라우징하는 모습참고: 이 스크린샷은 SSP의 초기 프로토타입이며 최종 제품은 이와 다를 수 있습니다.

관리 인프라를 통해 업무용 앱을 제공하기 전에 클라이언트에서 다음 두 가지 작업이 수행됩니다. 첫째, 에이전트가 앱을 설치할 수 있도록 관리 인프라에서 활성화 키를 발급하여 WOA 장치에 적용합니다. 둘째, 업무용 앱을 서명하는 데 사용된 모든 인증서가 장치의 인증서 저장소에 추가되어야 합니다. 대부분의 경우, 첫 번째 세션에서 관리 인프라와 연결을 설정한 후 활성화 키와 루트 인증서 모두 자동으로 적용됩니다. 그렇지 않으면, IT 관리자가 관리 인프라에서 기능을 켠 후에 후속 세션에서 자동으로 배포됩니다.

사용자가 SSP에서 앱 설치를 선택하면 해당 요청이 관리 인프라로 전송되고 에이전트에 다운로드 링크가 제공됩니다. 그러면 에이전트는 앱을 다운로드하고, 콘텐츠의 유효성을 검사하고, 서명을 확인하고, 앱을 설치합니다. 이 모든 작업이 보통 수초 이내에 이루어지며 사용자에게는 보이지 않습니다. 이 프로세스가 진행되는 동안 오류가 발생할 경우(예: 콘텐츠 위치 사용 불가), 에이전트는 해당 앱을 대기열에 두었다가 다음 정기 유지 관리 세션에 다시 시도합니다. 두 경우 모두 에이전트는 설치 상태를 관리 인프라에 보고합니다.

Woodgrove Expenses의 세부 정보 페이지에 표시되는 내용: Publisher, Category, Description 정보 및 Install 단추
사용자가 설치를 시작할 수 있는 SSP의 앱 세부 정보 페이지
참고:이 스크린샷은 SSP의 초기 프로토타입이며 최종 제품은 이와 다를 수 있습니다.

정기 유지 관리 세션의 일환으로 에이전트는 현재 설치된 업무용 앱의 목록을 작성하여 관리 인프라에 보고하므로 IT 관리자는 효과적으로 업무용 앱을 관리할 수 있게 됩니다. SSP 및 관리 클라이언트를 통해 설치된 Metro 스타일 앱만이 WOA 장치의 이 목록에 포함됩니다. Windows 스토어에서 설치된 앱은 이 목록에 보고되지 않습니다.

IT 관리자가 WOA 장치에 설치된 앱의 업데이트를 게시하면 에이전트는 다음 정기 유지 관리 세션에서 자동으로 업데이트를 다운로드하여 설치합니다.

관리 인프라와 연결 해제

마지막으로, 관리 인프라에서 장치 연결을 해제하는 방법을 살펴보겠습니다. 연결 해제는 사용자에 의해 로컬로 시작되거나 IT 관리자에 의해 원격으로 시작될 수 있습니다. 사용자가 시작한 연결 해제는 초기 연결과 매우 흡사한 방식으로 수행되며, 제어판의 동일한 위치에서 시작됩니다. 사용자는 회사를 떠난다거나, 새로운 장치가 생겨서 더 이상 기존 장치에서 업무용 앱을 사용할 필요가 없다거나 하는 등의 다양한 이유로 연결을 해제할 수 있습니다. 관리자가 연결 해제를 시작하면 에이전트는 다음 정기 유지 관리 세션에서 연결 해제를 수행합니다. 관리자는 회사를 떠나는 사용자의 장치 또는 조직의 보안 설정 정책을 계속 어기는 장치의 연결을 해제할 수 있습니다.

연결 해제가 진행되는 동안 에이전트는 다음 작업을 수행합니다.

  • 에이전트의 업무용 앱 설치를 허용한 활성화 키를 제거합니다. 활성화 키가 제거되면 SSP 및 관리 클라이언트를 통해 설치된 모든 Metro 스타일 앱이 비활성화됩니다. 하지만 장치에서 앱이 자동으로 제거되지는 않으며, 이러한 앱을 더 이상 실행할 수 없고 사용자는 업무용 앱을 추가로 설치할 수 없습니다.
  • 에이전트가 프로비저닝한 모든 인증서를 제거합니다.
  • 관리 인프라가 적용한 설정 정책을 중지합니다.
  • 관리자가 프로세스를 시작하면 비활성화가 성공적으로 수행되었음을 관리 인프라에 보고합니다.
  • 예약된 유지 관리 업무를 포함한 에이전트 구성을 제거합니다. 제거가 완료되면 사용자가 관리 인프라에 다시 연결할 때까지 에이전트는 유휴 상태를 유지합니다.

요약

'IT 소비자화'에 대한 트렌드와 Windows 8의 WOA 도입을 고려하여 우리는 시스템 관리가 수행되는 방식을 다시 고민해 보고자 했습니다. 우리는 IT 관리자의 요구와 일상 업무에 장치를 사용하는 소비자 간의 균형을 맞추기 위해 노력했습니다. 그 결과 탄생한 것이 클라우드의 관리 인프라에 연결하는 새로운 WOA 관리 클라이언트이며, 이 클라이언트가 실제로 작동하는 모습을 보신다면 여러분도 고개를 끄덕이실 것입니다.

- Jeffrey Sutherland