조건부 액세스 정책 빌드

조건부 액세스란 문서에 설명된 대로 조건부 액세스 정책은 할당 및 액세스 제어의 if-then 문입니다. 조건부 액세스 정책은 신호를 결합하여 결정을 내리고 조직 정책을 적용합니다.

조직에서 이러한 정책을 만드는 방법 무엇이 필요한가요? 어떻게 적용합니까?

조건부 액세스 신호의 개념과 조직 정책 적용 결정을 보여 주는

언제든지 개별 사용자에게 여러 조건부 액세스 정책을 적용할 수 있습니다. 이 경우 적용 가능한 모든 정책이 충족되어야 합니다. 예를 들어 한 정책에 다단계 인증이 필요하고 다른 정책에 규격 디바이스가 필요한 경우 MFA를 완료하고 규격 디바이스를 사용해야 합니다. 모든 할당은 AND를 사용하여 논리적으로 결합됩니다. 둘 이상의 할당이 구성된 경우 정책을 트리거하려면 모든 할당이 충족되어야 합니다.

"선택한 컨트롤 중 하나 필요"가 포함된 정책을 선택하면 정의된 순서대로 프롬프트가 표시됩니다. 정책 요구 사항이 충족되면 액세스 권한이 부여됩니다.

모든 정책은 다음 두 단계로 적용됩니다.

• 1단계: 세션 세부 정보 수집
  • 정책 평가에 필요한 네트워크 위치 및 디바이스 ID와 같은 세션 세부 정보를 수집합니다.
  • 정책 평가의 1단계는 보고서 전용 모드사용하도록 설정된 정책 및 정책에 대해 발생합니다.
• 2단계: 적용
  • 1단계에서 수집한 세션 세부 정보를 사용하여 충족되지 않는 요구 사항을 식별합니다.
  • 블록으로 구성된 정책이 제어 권한을 부여하면 적용이 여기에서 중지되고 사용자가 차단됩니다.
  • 정책이 충족될 때까지 사용자에게 다음 순서대로 1단계 동안 충족되지 않은 더 많은 권한 부여 제어 요구 사항을 완료하라는 메시지가 표시됩니다.
    1. 다단계 인증
    2. 규격을 준수하는 것으로 표시될 디바이스
    3. Microsoft Entra 하이브리드 연결 장치
    4. 승인된 클라이언트 앱
    5. 앱 보호 정책
    6. 암호 변경
    7. 사용 약관
    8. 사용자 지정 컨트롤
  • 모든 권한 부여 컨트롤이 충족되면 세션 컨트롤이 적용됩니다(앱 적용, Cloud Apps용 Microsoft Defender 및 토큰 수명).
  • 정책 평가의 2단계는 사용하도록 설정된 모든 정책에 대해 발생합니다.

할당

할당 섹션에서는 조건부 액세스 정책의 대상, 대상 및 위치를 정의합니다.

사용자 및 그룹

사용자와 그룹은 정책을 적용할 때 포함하거나 제외할 대상을 할당합니다. 이 할당에는 모든 사용자, 특정 사용자 그룹, 디렉터리 역할 또는 외부 게스트 사용자가 포함될 수 있습니다. Microsoft Entra 워크로드 ID 라이선스가 있는 조직도 워크로드 ID를 대상으로 할 수 있습니다.

역할 또는 그룹을 대상으로 하는 정책은 토큰이 발급된 경우에만 평가됩니다. 즉, 다음을 의미합니다.

• 역할 또는 그룹에 새로 추가된 사용자는 새 토큰을 받을 때까지 정책의 적용을 받지 않습니다.
• 사용자가 역할 또는 그룹에 추가되기 전에 유효한 토큰이 이미 있는 경우 정책은 소급 적용되지 않습니다.

가장 좋은 방법은 Microsoft Entra Privileged Identity Management를 사용하여 역할 활성화 또는 그룹 멤버 자격 활성화 중에 조건부 액세스 평가를 트리거하는 것입니다.

대상 리소스

대상 리소스 정책에 적용되는 클라우드 애플리케이션, 사용자 작업 또는 인증 컨텍스트를 포함하거나 제외할 수 있습니다.

네트워크

네트워크에는 IP 주소, 지역 및 Global Secure Access에 맞춘 규격 네트워크가 조건부 액세스 정책 결정을 위해 포함됩니다. 관리자는 위치를 정의하고 일부 위치를 신뢰할 수 있는 위치(예: 조직의 기본 네트워크 위치)로 표시할 수 있습니다.

여건

정책에는 여러 조건포함될 수 있습니다.

로그인 위험

Microsoft Entra ID Protection 를 보유한 조직의 경우, 그곳에서 생성된 위험 탐지가 조건부 액세스 정책에 영향을 미칠 수 있습니다.

디바이스 플랫폼

여러 디바이스 운영 체제 플랫폼이 있는 조직은 여러 플랫폼에서 특정 정책을 적용할 수 있습니다.

디바이스 플랫폼을 확인하는 데 사용되는 정보는 변경할 수 있는 사용자 에이전트 문자열과 같은 확인되지 않은 원본에서 제공됩니다.

클라이언트 앱

사용자가 클라우드 앱에 액세스하기 위해 사용하는 소프트웨어입니다. 예를 들어 '브라우저' 및 '모바일 앱 및 데스크톱 클라이언트'가 있습니다. 기본적으로 새로 만든 모든 조건부 액세스 정책은 클라이언트 앱 조건이 구성되지 않은 경우에도 모든 클라이언트 앱 유형에 적용됩니다.

디바이스에 대한 필터

이 컨트롤을 사용하면 정책의 특성에 따라 특정 디바이스를 대상으로 지정할 수 있습니다.

액세스 제어

조건부 액세스 정책의 액세스 제어 부분은 정책의 적용 방식을 제어합니다.

보조금

권한 부여 관리자에게 액세스를 차단하거나 부여할 수 있는 정책 적용 수단을 제공합니다.

액세스 차단

액세스 차단은 지정된 할당에 따른 액세스를 차단합니다. 이 컨트롤은 강력하며 효과적으로 사용하려면 적절한 지식이 필요합니다.

액세스 권한 부여

권한 부여 컨트롤은 하나 이상의 컨트롤 적용을 트리거합니다.

• 다단계 인증 필요
• 인증 강도 필요
• Intune에서 디바이스를 규정 준수로 표시해야 합니다.
• Microsoft Entra 하이브리드 조인 디바이스 필요
• 승인된 클라이언트 앱 필요
• 앱 보호 정책 필요
• 암호 변경 필요
• 사용 약관 필요

관리자는 다음 옵션을 사용하여 이전 컨트롤 또는 선택한 모든 컨트롤 중 하나를 요구하도록 선택합니다. 기본적으로 여러 컨트롤에는 모두 필요합니다.

• 선택한 모든 컨트롤 필요(컨트롤 및 컨트롤)
• 선택한 컨트롤(컨트롤 또는 컨트롤) 중 하나 필요

세션

세션 컨트롤 사용자의 환경을 제한할 수 있습니다.

• 앱 적용 제한 사용:
  • Exchange Online 및 SharePoint Online에서만 작동합니다.
  • 디바이스 정보를 전달하여 환경을 제어하고 전체 또는 제한된 액세스 권한을 부여합니다.
• 조건부 액세스 앱 제어 사용:
  • Cloud Apps용 Microsoft Defender의 신호를 사용하여 다음과 같은 작업을 수행합니다.
    • 중요한 문서의 다운로드, 잘라내기, 복사 및 인쇄를 차단합니다.
    • 위험한 세션 동작을 모니터링합니다.
    • 중요한 파일의 레이블 지정이 필요합니다.
• 로그인 빈도:
  • 최신 인증에 대한 기본 로그인 빈도를 변경하는 기능입니다.
• 영구 브라우저 세션:
  • 사용자가 브라우저 창을 닫고 다시 연 후에도 로그인 상태를 유지할 수 있습니다.
• 연속 액세스 평가를 사용자 지정합니다.
• 복원력 기본값을 사용하지 않도록 설정합니다.

간단한 정책

조건부 액세스 정책에는 적용할 다음 이상이 포함되어야 합니다.

• 정책의 이름
• 할당 과제
  • 정책을 적용할 사용자 및/또는 그룹
  • 정책을 적용할 대상 리소스
• 접근 제어
  • 승인 또는 차단 제어

빈 조건부 액세스 정책Blank Conditional Access policy

일반적인 조건부 액세스 정책에는 대부분의 조직에 유용할 수 있는 정책이 포함되어 있습니다.

관련 콘텐츠

• 일반적인 조건부 액세스 정책

• Intune를 사용하여 디바이스 준수 상태 관리

• Microsoft Defender for Cloud Apps와 조건부 액세스