Dec 09

Windows Device Management 기능 소개

예를 들면,   “사내에서 허용된 Window 컴퓨터만 사용하여 원격에서 근무시 내부 보안자료 USB 메모리 복사 유출 차단, 퇴사자 컴퓨터 또는 도난당한 노트북 원격에서 데이터 완전 삭제 조치하고자 합니다”


Google Workspace Enterprise/Enterprise Plus 에서 제공하는 Windows Device Management 는 아래와 같은 기능을 제공합니다.

  • 물리적인 H/W 통제

    • 외장 USB 메모리를 통한 자료 유출 차단. USB 메모리에 읽기/쓰기 금지, 읽기는 허용, USB 메모리 사용자체 금지 등

    • 내장형 카메라 사용 금지

    • 네트워크 통제 – WiFi, 블루투스, VPN 통제

    • 기기를 분실 또는 사용자가 퇴사한 경우 기기 데이터 완전 삭제

  •  S/W 통제

    • Windows 용 자동 업데이트 관리 

    • 맞춤 설정으로 윈도우 앱 설치/차단 통제 

  • 기기 감사 로그 

    • 세부정보 보기

  • Google 계정 사용자 로그아웃 시키기

  • BitLocker 암호화 사용 설정

  • 계정 권한 설정하기


Windows Device Management (Window 기기 관리)에 대해 간략히 어떤 작업등을 할 수 있는지 안내드립니다. (  Workspace Enterpise 에서만 제공)
해당 기능은 최근 고객사에서 좀 더 강화된 보안을 유지하기위해 회사에서 제공되는 PC (Windows 10 PRO 이상) 를 관리자가 중앙에서 관리하기 위해 Workspace Enterprise 버전으로 Windows 기기 관리를 설정한 사례입니다.
고객사는 아래의 항목등을 중앙에서 제어가 주요 Needs 였습니다.
  • GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정하기 (+ PowerShell 로 편하게 PC에 배포하기) –
  • Workspace 로 Windows 에 로그인한 사용자가 아무 프로그램도 설치하지 못 하도록 강제하기
  • Workspace 로 Windows 에 로그인한 사용자가 특정 프로그램을 설치하지 못 하도록 강제하기 (그 외 모든 프로그램은 설치 가능)
  • Workspace 로 Windows 에 로그인한 사용자가 어떠한 프로그램도 설치하지 못 하도록 강제하기
  • Workspace 로 Windows 에 로그인한 사용자가 혹은 특정 프로그램만 설치 (및 업데이트) 가능하도록 하기 (그 외 모든 프로그램은 설치 불가)
  • Workspace 에서 관리되는 Windows 기기에 회사에서 원하는 프로그램을 강제로 설치하기
  • Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 인식 자체를 못 하도록 막기
  • Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 가 인식은 되지만 Read 만 되고 Write 는 안 되도록 막기
  • 컴퓨터가 껐다 켜지면 매번 2단계 인증을 수행하도록 강제화
  • 컴퓨터의 바탕화면 및 로그인 화면 회사에서 설정
  • Windows 컴퓨터를 관리자가 승인한 이후부터 해당 기기가 회사 설정과 sync 되도록 설정
  • 직원들의 컴퓨터 모니터링 (사용 로그 확인, 원격에서 로그아웃시키기, 원격으로 wipe out 하기)
위의 기능은 Windows Device Management  에서 제어가 가능합니다.
GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정하는 방법입니다. (모든 Workspace 버전에서 제공)
가장 먼저,  https://tools.google.com/dlpage/gcpw 에 접속해서, 구글에서 배포하는 소프트웨어를 Windows 10 Pro PC에 설치해야 합니다.
GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정합니다.
설치가 완료되면, 아래 경로의 3개 파일이 반드시 생성된 것을 확인해야 합니다.
C:\Program Files\Google\CredentialProvider\version number\Gaia.dll
C:\Program Files\Google\CredentialProvider\version number\gcp_setup.exe
C:\Program Files\Google\CredentialProvider\version number\gcp_eventlog_provider.dll

windows 명령어인 regedit 편집기를 사용해 Workspace domain (예: sbctech.net) 을 domains_allowed_to_login(SOFTWARE>Google>GCPW) key를 만들어 값 (예:sbctech.net) 을 입력합니다.

그럼 Workspace 의 가입도메인 계정의 사용자만 해당 PC에 접속을 하게 됩니다.
자세한 내용은 GCPW 구글공식 매뉴얼을 참고하십시요.
Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 인식 자체를 못 하도록 막는 가이드 입니다.

관리자 콘솔의 Devices > Settings > Windows Settings 의 Custom settings 에서 설정합니다.

조직 (OU) 단위로 해당 조직에 속한 사용자들의 PC를 제어할 수 있습니다.
OMA-URI 를 검색하는 란에 AllowStorageCard 라고 텍스트를 입력하면, MS 에서 제공되는 설정이 자동완성으로 나타납니다.

원하는 이름을 입력 하고 Integer 를 선택한 후, Value 에 0 을 입력합니다. (1 은 활성화, 0 은 비활성화)  NEXT 를 클릭합니다.

필요하면 특정 조직만 적용을 선택합니다.
아래와 같이 USB가 PC에서 허용되지 않음을 확인할 수 있습니다.

위와 같은 방법으로 OMA-URI(Open Mobile Alliance Uniform Resource Identifier)  를 검색해 다양한 Widnows PC를 회사 정책에 맞춰 제어할 수 있습니다.


[구글 제공 도움말]

About The Author