관리형 Apple ID의 더 많은 기능 이용하기

♪ ♪

환영합니다 제 이름은 Darsh고 기업 서비스 팀의 엔지니어죠 올해 관리형 Apple ID에 적용될 새로운 사항들을 전달해 드리게 되어 기쁘네요 이 세션에서는 관리형 Apple ID를 사용, 관리, 생성하는데 필요한 핵심적인 새 기능을 다룰게요 시작하기 전에 관리형 Apple ID를 빠르게 되짚어 보죠

관리형 Apple ID는 기업이나 학교와 같은 조직에서 사용할 수 있도록 설계된 Apple ID예요 직원이나 학생이 기기, 앱, 서비스에 로그인할 수 있게 해 주고 개인 Apple ID 없이도 여러 기기에 데이터를 동기화하게 해 주죠 그리고 조직에서 계정과 데이터를 소유하게 해 줘요 Apple Business Manager 또는 Apple School Manager에서 생성하고 관리되죠 개념을 되짚어 봤으니 본론으로 들어갈게요 이번 세션에서는 새로운 기능과 등록 방식으로 관리형 Apple ID를 더 쉽게 사용하는 방법을 다루고 관리형 Apple ID를 더 제어할 수 있는 새로운 접근 제어 기능에 관해 얘기하도록 하죠 끝으로 신원 제공자들과 통합하여 관리형 Apple ID를 쉽게 생성하는 새로운 방법을 얘기할게요 올해 관리형 Apple ID에 적용될 새로운 기능과 등록 방식부터 얘기할게요 관리형 Apple ID로 기기에 로그인할 때 iCloud가 데이터를 백업하고 모든 기기의 달력, 연락처, 메모 등의 앱에 동기화하죠 올해는 더 많은 지원을 추가할 예정이에요 함께 살펴보죠 관리형 Apple ID는 이제 iCloud 키체인을 지원하여 비밀번호와 다른 보안 정보를 자동완성 및 동기화해 줘요 iCloud 키체인을 사용하여 패스키를 동기화하여 Face ID나 Touch ID를 쉽게 사용하여 앱과 웹 사이트에 로그인할 수 있죠 패스키와 관리형 Apple ID를 함께 작동하는 원리가 궁금하다면 '회사에 패스키 배포하기' 세션을 시청하세요 관리형 Apple ID가 메시지, 주식과 뉴스, 시리를 이미 지원하지만 관리형 Apple ID로 로그인한 모든 기기의 앱에 데이터를 동기화할 수 있어요 관리형 Apple ID에 지갑도 지원할 예정이죠 이제 신용 및 직불 카드나 운전 면허증, 신분증 교통 카드, 열쇠, 배지의 항목을 안전하게 보관할 수 있고 모든 기기에서 접근할 수 있어요 마지막으로 연속성이라는 놀라운 생산성 기능을 관리형 Apple ID에 도입하여 매끄러운 기기 전환이 가능하죠 관리형 Apple ID의 연속성으로 연속성 카메라나 Handoff, Sidecar Instant Hotspot, 공통 클립보드와 더 많은 기능을 관리형 Apple ID로 로그인된 여러 기기에서 이용할 수 있어요 관리형 Apple ID를 지원했던 기존의 앱과 서비스에 더하여 전면적인 iCloud 지원으로 더 많은 기능을 추가할 거예요 이런 기능에 접근하려면 설정에서 관리형 Apple ID로 로그인하면 되죠 로그인하면 계정과 관련된 정보는 물론 관리형 Apple ID에 제공되는 모든 iCloud 서비스가 나타나요 iCloud와 관리형 Apple ID를 함께 사용하는 건 업무용 기기가 있을 때 좋죠 하지만 조직에서 업무용으로 개인 기기 사용을 허가한다면 어떨까요? 개인용 기기로 업무 자료에 접근하려고 해도 개인 Apple ID는 해당 기기의 iCloud에 로그인되어 있죠 같은 기기로 두 계정에 어떻게 접근할까요? 관리형 Apple ID는 계정 주도 사용자 등록으로 개인용 기기에서 업무 자료에 접근하게 해 줘요 자세한 사항이 궁금하시면 WWDC 21의 '계정 주도 사용자 등록 발견하기'를 참고하세요 이제 사용자 입장에서 어떻게 작동하는지 알아볼게요

계정 주도 사용자 등록으로 개인의 Apple ID를 이용한 개인 계정과 관리형 Apple ID를 이용한 회사 계정을 갖게 되죠 기기의 업무 및 개인 자료는 암호적으로 분리하여 서로 다른 파티션에 저장되어 업무용 자료를 보호하고 개인 자료를 사적으로 유지해요 두 계정으로 로그인돼 있을 때 관리형 Apple ID가 iCloud를 제일 중요한 업무에 사용하죠 이렇게 설정하는 건 간단해요 설정에서 일반으로 가서 VPN 및 기기 관리를 탭하고 '직장 또는 학교 계정에 로그인'을 탭하세요 그리고 관리형 Apple ID로 조직에 로그인하면 돼요 사용자 등록을 이용하면 회사 계정으로 로그인할 때 여러분의 기기를 관리 주체에 등록하죠 관리를 승인하면 로그인 및 등록이 끝나요 올해는 사용자에게 제공하는 기기를 소유하는 조직에 많은 기능을 제공하고 싶었죠 이런 조직은 '기기 등록'으로 기기를 관리하여 기기의 관리 및 가시성을 한층 더 높이고자 해요 기기 등록을 사용하는 조직도 사용자 등록처럼 간편한 로그인 경험을 누릴 수 있죠 올해는 계정 주도의 사용자 등록에 더하여 계정 주도의 기기 등록을 도입해요 계정 주도의 기기 등록으로 등록된 기기는 프로필 기반 기기 등록의 관리 능력을 이용할 수 있으며 기기 내에서 개인과 업무 데이터를 분리할 수 있죠 어떻게 작동하는지 볼게요 새로운 등록 흐름은 사용자 등록과 정확히 일치하며 설정에서 직장 또는 학교 계정에 로그인하면 되죠 사용자 등록처럼 서비스 디스커버리를 사용하여 등록 프로필을 가져와서 사용자에게 관리형 Apple ID로 인증을 요구해요 만약 등록이 계정 주도의 기기 등록으로 설정돼 있으면 새로운 원격 관리 화면이 나타나서 조직이 기기에서 어떤 정보를 수집할 수 있는지 알리죠 등록을 완료하면 사용자 등록과 마찬가지로 기기에 관리형 Apple ID와 개인 Apple ID가 기기에 로그인돼요 관리형 Apple ID에 관한 정보를 볼 수 있으며 등록을 통해 설치된 관리 프로필과 사용 가능 iCloud 서비스가 나타나는데 사용자 등록에 제공되는 것과 동일해요 그 정도로 간단하죠 계정 주도의 기기 등록 덕분에 사용자가 수동으로 프로필을 다운받아 기기 등록을 마치지 않아도 돼요 계정 주도 등록 흐름을 통해 등록된 기기를 위해 'Apple로 직장 및 학교에 로그인' 이용 앱에 새로운 기능이 추가됐죠 이제 관리형 Apple ID를 이용하여 Apple 로그인을 이용하는 관리형 iOS, iPadOS, macOS 앱에 로그인할 수 있어요 이를 통해 회사 앱에는 회사 계정을 사용하고 개인 앱에는 개인 계정을 사용할 수 있죠 만약 앱이 인증을 위해 웹 뷰를 사용하거나 Safari를 사용한다면 '다른 Apple ID 사용하기'를 클릭하면 관리형 Apple ID를 입력하여 로그인을 마칠 수 있어요 이제 Mac에서 관리형 Apple ID로 로그인하는 걸 이야기해 보죠 올해는 계정 주도의 등록 흐름을 macOS에 적용할 수 있어 기뻐요 한번 살펴보죠 시스템 설정에서 개인 정보 및 보안을 선택하세요 프로필에 '직장 또는 학교 계정' 로그인 버튼이 생겼어요 이전과 마찬가지로 관리형 Apple ID로 로그인하고 정의된 등록 타입에 따라서 사용자 등록 또는 기기 등록이 진행되죠 iOS, iPadOS와 마찬가지로 관리형 Apple ID로 로그인된 계정은 목록이 분리되어 나타나며 업무 자료가 개인 자료와 분리돼요 앞서 살펴봤던 iOS, iPadOS와 마찬가지로 관리형 Apple ID와 동일한 iCloud 기능에 접근할 수 있죠 두 종류의 등록 경험을 살펴봤으니 MDM 개발자가 계정 주도의 기기 등록 및 사용자 등록을 지원하는 법을 알아보고 둘 중 하나를 선택할 때 사용되는 정보를 알아볼게요 만약 계정 주도 사용자 등록을 지원하는 MDM 개발자라면 well-known 엔드포인트를 적용했을 거예요 등록이 시작되면 등록하려는 관리형 Apple ID가 쿼리 매개변수로 전달되죠 사용자 식별자와 함께 등록을 시도하려는 기기 모델을 수신해요 이 새로운 정보를 통해 어떤 사용자와 기기가 사용자 등록 또는 기기 등록을 수신하게 될지 결정하죠 지금 계정 주도의 사용자 등록을 지원하려면 기기가 well-known 엔드포인트로 요청을 보냈을 때 서버가 'mdm-byod'를 버전 키 값으로 응답해요 등록 프로필을 보면 EnrollmentMode의 값이 'BYOD'로 설정돼 있죠 계정 주도 기기 등록을 사용하려면 MDM 개발자가 well-known 응답에서 버전 키를 'mdm-adde'로 바꿔야 해요 그리고 등록 프로필에서 등록 모드를 ADDE로 설정해야 하죠 그게 전부예요 이렇게 간단한 설정 변경으로 사용자를 위한 계정 주도 기기 등록을 사용할 수 있죠 요약해 볼게요 계정 주도의 기기 등록은 관리 주체에 기기를 등록하는 게 편해지죠 사용자 등록과 마찬가지로 관리형 Apple ID로 로그인만 하면 돼요 기기 등록의 거의 모든 기능을 사용할 수 있어 비밀번호 정책이나 기기 완전 삭제 및 잠금 등의 더 많은 제어 능력을 갖추게 되죠 관리형 Apple ID와 개인 Apple ID로 동시 로그인하여 두 계정의 데이터를 분리할 수 있어요 이 기능은 iOS, iPadOS, macOS에서 제공하죠 macOS의 프로필 기반 기기 등록과 마찬가지로 기기를 감독할 수 있어 최고 수준의 관리가 가능해요 또한 MDM은 몇 가지만 수정하여 지원할 수 있죠 올해 업데이트된 기능과 등록 옵션을 통해 관리형 Apple ID가 조직에 더 많은 수단을 제공하여 생산성, 개인정보 보호, 데이터 보안의 균형을 맞출 수 있죠 관리형 Apple ID를 사용하는 새로운 방식과 함께 강력한 제어를 도입하여 기능과 접근 범위를 결정할 수 있어요 자세히 살펴보죠 새로운 접근 관리 정책을 도입하여 조직 내 모든 관리형 Apple ID에 적용해요 새로운 정책을 통해 관리형 Apple ID 로그인을 기기의 관리 수준에 따라 제어하고 어떤 iCloud 서비스를 제공할지 결정할 수 있죠 Apple Business Manager 또는 Apple School Manger에 이 정책이 설정돼 있어요 어떤 형태인지 살펴보죠 관리 수준에 따라 관리형 Apple ID가 접속할 수 있는 기기를 제어할 수 있어요 기본 정책인 '모든 기기'를 유지하면 관리가 필요 없으며 '관리형 기기만 허용'은 더 높은 보안을 제공하며 이를 적용할 수 있는 사례는 사용자들이 개인 기기를 회사에 가져오는 경우죠 '감독형 기기만 허용'은 최고 수준의 보안을 제공하며 직원에게 기기를 제공하는 조직에서 사용할 수 있어요 메시지와 FaceTime을 위한 새로운 기능도 추가했죠 이제 메시지와 FaceTime으로 조직 내의 메시지와 통화만 수락할 수 있게 제한하거나 아예 비활성화할 수도 있어요

개발자들은 AppleSeed for IT와 더불어 Xcode와 Apple 개발자 사이트의 접근을 제어할 수 있죠 관리형 Apple ID를 지원하는 앱과 서비스에 대한 iCloud를 비활성화할 수도 있어요 개별 앱에 대한 iCloud를 비활성화하면 조직에서 설정한 정책이 기기에 반영되죠 이 사례에서는 관리자가 Apple Business Manager의 미리 알림 기능을 꺼서 기기의 관련 토글이 꺼져 있어요 기기 자체에서는 미리 알림을 사용할 수 있지만 데이터가 iCloud에 연동되지 않죠 관리형 기기만 허용 또는 감독형 기기만 허용 모드를 위해 로그인 정책을 지원하려면 MDM 개발자들이 보안 토큰을 반환하는 체크인 요청 메시지 타입을 적용해야 해요 이 토큰으로 관리형 Apple ID가 조직에 등록된 MDM 서버에서 관리하는 기기에만 로그인할 수 있음을 확인하게 되죠 어떻게 작동하는지 볼게요 체크인 요청 메시지 타입은 GetToken이라고 부르죠 이를 적용하려면 MDM이 Apple Business Manager나 Apple School Manager에서 조직에 등록된 MDM 서버의 UUID가 필요해요 계정 상세 정보 획득 엔드포인트에 있죠 그리고 등록된 MDM 서버와 관련된 MDM 서버 인증서의 개인 키가 필요해요 관리자는 Apple Business Manager나 Apple School Manager에서 접근 관리 정책을 설정해요 이 정책은 조직에 속하는 모든 관리형 Apple ID에 적용되죠 관리형 Apple ID가 기기에 로그인하려고 하면 기기를 관리하는 MDM 서버의 GetToken 메시지를 이용하여 토큰을 요청해요 MDM 서버는 개인 키로 서명된 JSON 웹 토큰으로 응답하죠 그럼 기기가 로그인 흐름 때 이 토큰을 사용하여 정책을 확인해요 토큰이 확인되고 사용자 기기의 관리 상태가 조직의 로그인 정책과 맞으면 사용자가 성공적으로 로그인하죠 접근 관리 내 조직 로그인 정책은 iOS 17, iPadOS 17과 macOS 14에서 작동해요 정책이 갱신되거나 기기 상태가 변경되어 정책이 맞지 않으면 사용자가 기기에서 로그아웃되죠 GetToken 체크인 메시지는 기기와 데이터에 인증된 접근만을 허용해요 MDM 개발자들을 위해 적용 세부 사항을 보여 드리죠 GetToken 요청은 다른 체크인 명령과 비슷한 구조를 따라요 MessageType이 GetToken이죠 새로운 TokenServiceType 키는 어떤 서비스에 대해 토큰을 요청하는지 나타내며 com.apple.maid로 설정되어야 해요 GetToken 체크인 요청의 응답은 JSON 웹 토큰이죠 클레임은 다음과 같습니다 발행자는 MDM 서버 UUID이며 발행 시각은 서버에서 토큰을 생성한 타임스탬프예요 이는 토큰의 유효 기간을 제한하는 데 사용하죠 Jwt 식별자는 서버에서 생성한 식별자로 무작위 UUID 스트링이에요 이를 통해 토큰을 한 번만 쓰는 걸 보장하죠 Service_type은 요청 때 전송한 TokenServiceType이며 com.apple.maid로 설정되어야 해요 JSON 웹 토큰은 MDM 서버의 개인 키로 서명한 뒤에 응답으로 전송해야 하죠 새로운 접근 관리 기능은 여름에 Apple Business Manager와 Apple School Manager의 베타 기능으로 제공될 예정이에요 관리형 Apple ID의 사용 및 관리로 새로운 사항들을 다뤘으니 신원 제공자들과 관리형 Apple ID를 생성하고 통합하는 걸 얘기할게요 Apple Business Manager와 Apple School Manager로 관리형 Apple ID를 만들 수 있지만 신원 제공자의 도움으로 생성할 수도 있죠 신원 제공자가 있으면 여러분의 도메인을 이용하여 관리형 Apple ID가 조직의 이메일 ID로 보이게 하고 타사 인증을 사용하여 여러분의 사용자들이 여러분의 조직에서 이용하는 자격 증명으로 관리형 Apple ID에 로그인하고 사용자 디렉토리를 동기화하여 관리형 Apple ID의 변동 사항을 바로 갱신할 수 있어요 Apple Business Manager와 Apple School Manager는 Microsoft Azure Active Directory에 타사 인증을 제공했죠 작년에는 Google Workspace에 지원을 추가했어요 현재 수천 개의 조직이 이러한 신원 제공자를 통해 자동으로 관리형 Apple ID를 생성하고 계정을 동기화하죠 올해는 모든 조직에서 관리형 Apple ID를 위해 신원 제공자를 이용하는 이점을 누리게 하려고 해요 새로운 통합 방식을 도입하여 커스텀 신원 제공자들을 지원하려고 하죠 이제 공공, 조직 내 신원 제공자가 Apple Business Manager 또는 Apple School Manager와 통합할 수 있어요 Microsoft Azure Active Directory와 Google Workspace의 통합과 마찬가지로 커스텀 신원 제공자와의 타사 인증, 디렉토리 연동 계정 보안 이벤트를 지원하죠 이 통합은 세 가지 표준을 사용하는데 타사 인증을 위해 OpenID Connect를 사용하며 교차 도메인 ID 관리 시스템 또는 SCIM을 디렉토리 연동에 사용하며 OpenID Shared Signals Framework를 비밀번호 변경 같은 보안 이벤트에 사용해요 이 통합과 호환되기 위해서는 신원 제공자가 3개의 표준을 제공해야 해요 그리고 올해 말부터 Okta가 신원 제공자가 되기 위해 작업 중이라는 소식을 기쁜 마음으로 공유하죠 현재 Okta를 사용하고 있다면 여러분의 관리형 Apple ID에 대한 완벽하게 통합된 신원 제공자의 이점을 누릴 수 있게 돼요 더 많은 조직이 신원 제공자와 함께 새로운 통합 방식으로 관리형 Apple ID를 생성하고 동기화하는 모습을 기대하고 있죠 이제 마무리할게요 여러분의 조직에서 관리형 Apple ID에 제공되는 모든 기능의 이점을 누리세요 여기에는 iCloud 키체인과 지갑, 연속성 기능들이 포함돼 있죠 MDM 솔루션의 지원으로 계정 주도의 기기 등록을 이용하여 iPhone, iPad, Mac을 관리 체계에 등록할 수 있으며 사용자가 수동으로 프로필을 설치하지 않아도 돼요 관리형 Apple ID로 로그인할 수 있는 범위를 제어하고 새로운 접근 관리 기능으로 사용 가능 앱과 서비스를 정하세요 끝으로 신원 제공자들이 Apple Business Manager 또는 Apple School Manager와 통합하여 관리형 Apple ID의 타사 인증, 디렉토리 연동과 계정 보안 이벤트 기능을 이용할 수 있게 됐죠 올해 관리형 Apple ID를 위해 새로 도입한 모든 기능을 사용해 보셨으면 좋겠네요 함께해 주셔서 감사하며 즐거운 하루 되길 바랄게요