[#2] MDM(Mobile Device Management)이란 ?

✅ Google Workspace의 MDM (Mobile Device Management)이란 ?

 

 

Google Workspace(MDM)는 Google Workspace(구 G Suite)에 내장된 모바일 디바이스 관리 기능
기업/조직의 구성원이 회사 리소스(Gmail, Drive, Calendar 등)에 모바일 기기로 접근할 때 안전하고 규정된 방식으로 사용하도록 관리할 수 있도록 설계된 솔루션

 

※ 핵심 목적

• 기기 분실 시 데이터 유출 방지
• 조직의 보안 정책 강제 적용
• BYOD(Bring Your Own Device) 환경에서도 최소한의 통제 유지
• 원격으로 데이터 초기화 및 기기 차단 가능

 

---

🔑 제공되는 주요 MDM 기능

 

Google Workspace의 MDM은 크게 기본(Basic) 과 고급(Advanced) 으로 나뉨

 

1️⃣ 기본 MDM (기본 보안)

• 기기 등록 (Android, iOS)
• 회사 계정 삭제 지원
• 잠금화면 사용 필수 설정
• 기기 암호화 요구 가능
• 기기 분실 시 계정 원격 로그아웃

 

2️⃣ 고급 MDM (세부 제어)

• 앱 설치/차단 정책
• 기기 승인 흐름 (승인된 기기만 접속 허용)
• iOS 기기 감독 모드 지원
• 기업용 Wi-Fi 자동 설정 배포
• Android Work Profile 관리 (업무/개인 데이터 분리)
• 원격 초기화 (Factory Reset) 가능

 

---

🏷️ MDM 정책(Policy) 구성 요소

 

Google Workspace 관리자는 관리 콘솔(Admin Console)에서 다음과 같은 정책을 설정

기기 보안 정책	잠금 화면 PIN 요구, 기기 암호화 필수
앱 관리 정책	허용된 앱 목록 정의, 비인가 앱 설치 차단
네트워크 설정	업무용 Wi-Fi 프로필 자동 배포
기기 승인	관리자가 직접 승인한 기기만 허용
원격 작업	기기紛失/퇴사 시 원격으로 데이터 삭제
사용자 알림	기기 불응시 관리자에게 알림 전송

 

 

---

⚙️ MDM 구성

 

✅ 1. 정책 구분

• 업무용 단말기: 고급 MDM 적용 (관리 대상 기기 등록 & 감독 모드)
• 개인용 단말기(BYOD): 기본 MDM + Work Profile (업무/개인 데이터 분리)

 

✅ 2. 최소 보안 기준

• 모든 기기에 잠금 화면(PIN/지문) 강제
• 기기紛失 시 최소한 계정 원격 삭제 가능하도록 구성
• 주요 업무 앱(메일, Drive)은 Google 앱으로 통일

 

✅ 3. 기기 승인/차단 프로세스

• 신규 기기 등록 시 관리자가 승인 후 사용 허용
• 기기 교체 시 구 기기는 반드시 등록 해제
• 3개월 이상 미사용 기기는 자동 비활성화

 

✅ 4. 퇴사/분실실 대응

• 자동화 룰: 사용자 계정 비활성화 시 기기에서도 자동 로그아웃
• 고급 MDM 사용 조직은 원격 초기화까지 적용

 

 

✅ 실행

 

👉 정책

• 잠금화면 필수 + 6자리 PIN 이상
• 휴면 상태 30일 이상 기기 자동 로그아웃
• 승인되지 않은 앱 실행 차단

 

---

 

🔑 기기 승인 

경로:
관리 콘솔 → 기기 → 모바일 및 엔드포인트 → 승인

• 기기 승인 필요 여부 켜기
  • 신규 기기는 승인될 때까지 회사 데이터 사용 불가

 

🔑 정책

경로:
관리 콘솔 → 기기 → 모바일 및 엔드포인트 → 설정 → Android 설정 / iOS 설정

• 화면 잠금 강제
  • 최소 6자리 PIN 또는 생체 인증 허용
• 기기 암호화 필요
  • Android는 기본 암호화 되어 있음
• 작업 프로필 사용
  • BYOD는 Work Profile 활성화 (업무/개인 데이터 분리)

 

---

 

🔑 앱 관리 정책

경로:
관리 콘솔 → 보안 → 앱 액세스 관리

• 허용된 앱만 목록화
  • 예: Gmail, Drive, Google Calendar
• 타사 앱 차단
  • 업무 데이터와 연동 불가

 

---

 

🔑 원격 조치 자동화

경로:
관리 콘솔 → 기기 → 모바일 및 엔드포인트 → 설정 → 데이터 보호

• 원격 계정 삭제 허용
• 퇴사자 계정 비활성화 시 기기에서도 자동 로그아웃

 

 

✅ 템플릿

기기 승인 흐름	관리자 승인 필요
PIN 길이	6자리 이상
생체 인증	허용 (지문/FaceID)
기기 암호화	강제
앱 허용 목록	Gmail, Chat, Calendar
원격 계정 삭제	허용
Work Profile	활성화 (BYOD)
휴면 기기 자동 로그아웃	30일 이상

 

• 승인 요청 알림: 이메일 or 모바일 알림으로 즉시 승인 처리 
• 기기 보고서: 기기 → 모바일 보고서에서 전체 기기 상태/승인 여부 관리
• 정책 그룹화: 부서/사용자 그룹별로 다르게 설정 가능

 

---

⚙️ MDM 정책 스크립트 

 

{
  "mobileManagement": {
    "enableMobileManagement": true,
    "requireDeviceApproval": true,
    "enforceScreenLock": true,
    "minimumPinLength": 6,
    "allowBiometricUnlock": true,
    "enforceEncryption": true,
    "allowedApps": [
      "com.google.android.gm",
      "com.google.android.apps.docs",
      "com.google.android.calendar",
      "com.google.android.apps.meetings"
    ],
    "allowRemoteAccountWipe": true,
    "inactiveDeviceLogoutDays": 30,
    "enforceWorkProfile": true
  }
}