Windows Device Management 기능 소개

게시자: Frank Jung, 2020. 12. 8. 오후 9:47   [ Sunghoon Byun에 의해 업데이트됨(2020. 12. 22. 오전 12:35) ]
예를 들면,   “사내에서 허용된 Window 컴퓨터만 사용하여 원격에서 근무시 내부 보안자료 USB 메모리 복사 유출 차단, 퇴사자 컴퓨터 또는 도난당한 노트북 원격에서 데이터 완전 삭제 조치하고자 합니다"

Google Workspace Enterprise/Enterprise Plus 에서 제공하는 Windows Device Management 는 아래와 같은 기능을 제공합니다.

  • 물리적인 H/W 통제

    • 외장 USB 메모리를 통한 자료 유출 차단. USB 메모리에 읽기/쓰기 금지, 읽기는 허용, USB 메모리 사용자체 금지 등

    • 내장형 카메라 사용 금지

    • 네트워크 통제 - WiFi, 블루투스, VPN 통제

    • 기기를 분실 또는 사용자가 퇴사한 경우 기기 데이터 완전 삭제


  •  S/W 통제

    • Windows 용 자동 업데이트 관리 

    • 맞춤 설정으로 윈도우 앱 설치/차단 통제 

  • 기기 감사 로그 

    • 세부정보 보기

  • Google 계정 사용자 로그아웃 시키기

  • BitLocker 암호화 사용 설정

  • 계정 권한 설정하기



Windows Device Management (Window 기기 관리)에 대해 간략히 어떤 작업등을 할 수 있는지 안내드립니다. (  Workspace Enterpise 에서만 제공)
해당 기능은 최근 고객사에서 좀 더 강화된 보안을 유지하기위해 회사에서 제공되는 PC (Windows 10 PRO 이상) 를 관리자가 중앙에서 관리하기 위해 Workspace Enterprise 버전으로 Windows 기기 관리를 설정한 사례입니다.

고객사는 아래의 항목등을 중앙에서 제어가 주요 Needs 였습니다.
  • GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정하기 (+ PowerShell 로 편하게 PC에 배포하기) -
  • Workspace 로 Windows 에 로그인한 사용자가 아무 프로그램도 설치하지 못 하도록 강제하기
  • Workspace 로 Windows 에 로그인한 사용자가 특정 프로그램을 설치하지 못 하도록 강제하기 (그 외 모든 프로그램은 설치 가능)
  • Workspace 로 Windows 에 로그인한 사용자가 어떠한 프로그램도 설치하지 못 하도록 강제하기
  • Workspace 로 Windows 에 로그인한 사용자가 혹은 특정 프로그램만 설치 (및 업데이트) 가능하도록 하기 (그 외 모든 프로그램은 설치 불가)
  • Workspace 에서 관리되는 Windows 기기에 회사에서 원하는 프로그램을 강제로 설치하기
  • Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 인식 자체를 못 하도록 막기
  • Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 가 인식은 되지만 Read 만 되고 Write 는 안 되도록 막기
  • 컴퓨터가 껐다 켜지면 매번 2단계 인증을 수행하도록 강제화
  • 컴퓨터의 바탕화면 및 로그인 화면 회사에서 설정
  • Windows 컴퓨터를 관리자가 승인한 이후부터 해당 기기가 회사 설정과 sync 되도록 설정
  • 직원들의 컴퓨터 모니터링 (사용 로그 확인, 원격에서 로그아웃시키기, 원격으로 wipe out 하기)
위의 기능은 Windows Device Management  에서 제어가 가능합니다.

GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정하는 방법입니다. (모든 Workspace 버전에서 제공)

가장 먼저,  https://tools.google.com/dlpage/gcpw 에 접속해서, 구글에서 배포하는 소프트웨어를 Windows 10 Pro PC에 설치해야 합니다.


GCPW (Google Credential Provider for Windows) 를 이용해서, Workspace 계정으로 Windows 에 로그인할 수 있도록 수동으로 설정합니다.

설치가 완료되면, 아래 경로의 3개 파일이 반드시 생성된 것을 확인해야 합니다.
C:\Program Files\Google\CredentialProvider\version number\Gaia.dll
C:\Program Files\Google\CredentialProvider\version number\gcp_setup.exe
C:\Program Files\Google\CredentialProvider\version number\gcp_eventlog_provider.dll



windows 명령어인 regedit 편집기를 사용해 Workspace domain (예: sbctech.net) 을 domains_allowed_to_login(SOFTWARE>Google>GCPW) key를 만들어 값 (예:sbctech.net) 을 입력합니다.




그럼 Workspace 의 가입도메인 계정의 사용자만 해당 PC에 접속을 하게 됩니다.

자세한 내용은 GCPW 구글공식 매뉴얼을 참고하십시요.



Workspace 로 Windows 에 로그인한 사용자의 PC가 USB 인식 자체를 못 하도록 막는 가이드 입니다.

관리자 콘솔의 Devices > Settings > Windows Settings 의 Custom settings 에서 설정합니다.






조직 (OU) 단위로 해당 조직에 속한 사용자들의 PC를 제어할 수 있습니다.


OMA-URI 를 검색하는 란에 AllowStorageCard 라고 텍스트를 입력하면, MS 에서 제공되는 설정이 자동완성으로 나타납니다.



원하는 이름을 입력 하고 Integer 를 선택한 후, Value 에 0 을 입력합니다. (1 은 활성화, 0 은 비활성화)  NEXT 를 클릭합니다.




필요하면 특정 조직만 적용을 선택합니다.


아래와 같이 USB가 PC에서 허용되지 않음을 확인할 수 있습니다.




위와 같은 방법으로 OMA-URI(Open Mobile Alliance Uniform Resource Identifier)  를 검색해 다양한 Widnows PC를 회사 정책에 맞춰 제어할 수 있습니다.

[구글 제공 도움말]





Comments