다음을 통해 공유

조건부 액세스 배포 계획

조건부 액세스 배포를 계획하는 것은 앱 및 리소스에 대한 조직의 액세스 전략을 구현하는 데 중요합니다. 조건부 액세스 정책은 상당한 구성 유연성을 제공합니다. 그러나 이러한 유연성은 바람직하지 않은 결과를 방지하기 위해 신중하게 계획해야 한다는 것을 의미합니다.

Microsoft Entra 조건부 액세스 는 사용자, 디바이스 및 위치와 같은 신호를 결합하여 결정을 자동화하고 리소스에 대한 조직 액세스 정책을 적용합니다. 이러한 조건부 액세스 정책은 필요할 때 보안 제어를 적용하고 그렇지 않은 경우 사용자의 방해를 받지 않음으로써 보안과 생산성의 균형을 유지하는 데 도움이 됩니다.

조건부 액세스는 Microsoft의 제로 트러스트 보안 정책 엔진의 기초를 형성합니다.

높은 수준의 조건부 액세스 개요를 보여 주는 다이어그램

Microsoft는 Microsoft Entra ID P1 또는 P2가 없는 테넌트에 대한 기본 보안 수준을 보장하는 보안 기본값 을 제공합니다. 조건부 액세스를 사용하면 보안 기본값과 동일한 보호를 제공하지만 더 세분화된 정책을 만들 수 있습니다. 조건부 액세스 정책을 만들면 보안 기본값을 사용할 수 없으므로 조건부 액세스 및 보안 기본값은 결합되지 않습니다.

필수 조건

변경 내용 전달

커뮤니케이션은 새로운 기능의 성공에 매우 중요합니다. 사용자에게 환경이 어떻게 변경되는지, 언제 변경되는지, 문제가 있는 경우 지원을 받는 방법을 알 수 있습니다.

조건부 액세스 정책 구성 요소

조건부 액세스 정책은 리소스에 액세스할 수 있는 사용자, 액세스할 수 있는 리소스 및 조건부를 결정합니다. 정책은 액세스 권한을 부여하거나, 세션 컨트롤을 사용하여 액세스를 제한하거나, 액세스를 차단할 수 있습니다. 다음과 같은 if-then 문을 정의하여 조건부 액세스 정책을 빌드 합니다.

할당이 충족되는 경우 액세스 제어 적용
Payroll 애플리케이션에 액세스하는 Finance의 사용자인 경우 다단계 인증 및 호환 디바이스 필요
Payroll 애플리케이션에 액세스하는 재무 멤버가 아닌 경우 액세스 차단
사용자 위험이 높은 경우 다단계 인증 및 보안 암호 변경 요구

사용자 제외

조건부 액세스 정책은 강력한 도구입니다. 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 정책 잘못된 구성으로 인한 잠금을 방지하기 위한 비상 액세스 또는 비상용 계정 모든 관리자가 잠겨 있는 드문 시나리오에서는 응급 액세스 관리 계정을 사용하여 로그인하고 액세스를 복구할 수 있습니다.
  • 서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에 연결되지 않은 비대화형 계정입니다. 일반적으로 백 엔드 서비스에서 애플리케이션에 대한 프로그래밍 방식 액세스를 허용하는 데 사용되지만 관리 목적으로 시스템에 로그인하는 데도 사용됩니다. 서비스 주체의 호출은 사용자로 범위가 지정된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에서 이러한 계정을 사용하는 경우 관리 ID로 대체합니다.

올바른 질문하기

다음은 할당 및 액세스 제어에 대한 일반적인 질문입니다. 각 정책을 만들기 전에 각 정책에 대한 답변을 기록합니다.

사용자 또는 워크로드 ID

  • 정책에서 포함되거나 제외되는 사용자, 그룹, 디렉터리 역할 또는 워크로드 ID는 무엇인가요?
  • 정책에서 제외해야 하는 응급 액세스 계정 또는 그룹은 무엇인가요?

클라우드 앱 또는 작업

이 정책은 애플리케이션, 사용자 작업 또는 인증 컨텍스트에 적용됩니까? 그러면:

  • 정책이 적용되는 애플리케이션 또는 서비스는 무엇인가요?
  • 이 정책의 적용을 받는 사용자 작업은 무엇인가요?
  • 이 정책은 어떤 인증 컨텍스트에 적용됩니까?
애플리케이션 필터링

애플리케이션을 개별적으로 지정하는 대신 애플리케이션에 필터를 사용하여 애플리케이션을 포함하거나 제외하면 조직에 도움이 됩니다.

  • 수의 애플리케이션을 쉽게 크기 조정 및 대상으로 지정
  • 유사한 정책 요구 사항을 사용하여 애플리케이션 관리
  • 개별 정책 수 줄이기
  • 정책을 편집하는 동안 오류 줄이기: 정책에서 애플리케이션을 수동으로 추가하거나 제거할 필요가 없습니다. 특성을 관리하기만 하면 좋습니다.
  • 정책 크기 제약 조건 극복

조건

  • 정책에 포함되거나 정책에서 제외되는 디바이스 플랫폼은 무엇입니까?
  • 조직의 알려진 네트워크 위치는 무엇인가요?
    • 정책에 포함되거나 정책에서 제외되는 위치는 무엇인가요?
  • 정책에 포함되거나 정책에서 제외되는 클라이언트 앱 유형은 무엇인가요?
  • 특정 디바이스 특성을 대상으로 해야 하나요?
  • Microsoft Entra ID Protection을 사용하는 경우 로그인 또는 사용자 위험을 통합하시겠습니까?

제어 차단 또는 부여

다음 중 하나 이상을 요구하여 리소스에 대한 액세스 권한을 부여하시겠습니까?

  • Multi-Factor Authentication
  • 규격으로 표시된 디바이스
  • Microsoft Entra 하이브리드 조인 디바이스 사용
  • 승인된 클라이언트 앱 사용
  • 앱 보호 정책 적용됨
  • 암호 변경
  • 사용 약관 수락됨

액세스 차단 은 강력한 제어입니다. 영향을 이해하는 경우에만 적용합니다. 블록 문이 있는 정책에는 의도하지 않은 부작용이 있을 수 있습니다. 컨트롤을 대규모로 사용하도록 설정하기 전에 테스트하고 유효성을 검사합니다. 정책 영향 또는 보고서 전용 모드를 사용하여 변경할 때 발생할 수 있는 영향을 파악합니다.

세션 컨트롤

클라우드 앱에서 다음 액세스 제어를 적용하시겠습니까?

  • 앱에서 적용된 제한 사항 사용
  • 조건부 액세스 앱 제어 사용
  • 로그인 빈도 적용
  • 영구 브라우저 세션 사용
  • 지속적인 액세스 권한 평가 사용자 지정

정책 결합

정책을 만들고 할당할 때 액세스 토큰의 작동 방식을 고려합니다. 액세스 토큰은 요청을 하는 사용자가 권한이 부여되고 인증되었는지 여부에 따라 액세스 권한을 부여하거나 거부합니다. 요청자가 자신들이 주장하는 사람임을 증명하는 경우 보호된 리소스 또는 기능을 사용할 수 있습니다.

조건부 액세스 정책 조건이 액세스 제어를 트리거하지 않는 경우 기본적으로 액세스 토큰이 발급됩니다.

이 정책은 앱이 자체적으로 액세스를 차단하는 것을 방지하지 않습니다.

예를 들어, 다음과 같은 간소화된 정책 예를 고려합니다.

사용자: FINANCE GROUP
액세스: PAYROLL 앱
액세스 제어: 다단계 인증

  • 사용자 A는 FINANCE GROUP에 있으며 , 급여 앱에 액세스하려면 다단계 인증을 수행해야 합니다.
  • 사용자 B는 FINANCE GROUP에 속해 있지 않으며, 액세스 토큰이 발급되고 다단계 인증 없이 PAYROLL APP에 접근할 수 있습니다.

재무 그룹 외부의 사용자가 급여 앱에 액세스할 수 없도록 하려면 이 간소화된 정책과 같이 다른 모든 사용자를 차단하는 별도의 정책을 만듭니다.

사용자: 모든 사용자 포함/FINANCE GROUP 제외
액세스: PAYROLL 앱
액세스 제어: 액세스 차단

이제 사용자 B가 PAYROLL 앱에 액세스하려고 하면 차단됩니다.

권장 사항

조건부 액세스 및 다른 고객 지원 경험에 따라 몇 가지 권장 사항이 있습니다.

모든 앱에 조건부 액세스 정책 적용

모든 앱에 하나 이상의 조건부 액세스 정책이 적용되었는지 확인합니다. 보안 관점에서 모든 리소스(이전의 '모든 클라우드 앱')를 포함하는 정책을 만드는 것이 좋습니다. 이렇게 하면 새 애플리케이션을 온보딩할 때마다 조건부 액세스 정책을 업데이트할 필요가 없습니다.

단일 정책에서 블록 및 모든 리소스를 사용할 때는 주의해야 합니다. 이 조합은 관리자를 잠글 수 있으며 Microsoft Graph와 같은 중요한 엔드포인트에 대해서는 제외를 구성할 수 없습니다.

조건부 액세스 정책 수 최소화

각 앱에 대한 정책을 만드는 것은 효율적이지 않으며 정책 관리를 어렵게 만듭니다. 조건부 액세스는 테넌트당 195개 정책으로 제한됩니다. 이 195 정책 제한에는 보고서 전용 모드를 비롯한 모든 상태의 조건부 액세스 정책이 포함됩니다.

앱을 분석하고 동일한 사용자에 대해 동일한 리소스 요구 사항에 따라 그룹화합니다. 예를 들어 모든 Microsoft 365 앱 또는 모든 HR 앱에 동일한 사용자에 대한 요구 사항이 동일한 경우 단일 정책을 만들고 적용되는 모든 앱을 포함합니다.

조건부 액세스 정책은 JSON 파일에 포함되며 해당 파일에는 단일 정책이 일반적으로 초과하지 않는 크기 제한이 있습니다. 정책에서 긴 GUID 목록을 사용하는 경우 이 제한에 도달할 수 있습니다. 이러한 제한이 발생하는 경우 다음 대안을 시도해 보세요.

보고서 전용 모드 구성

보고서 전용 모드에서 정책을 사용하도록 설정합니다. 정책을 보고서 전용 모드로 저장하면 로그인 로그의 실시간 로그인에 미치는 영향이 표시됩니다. 로그인 로그에서 이벤트를 선택하고 보고서 전용 탭으로 이동하여 각 보고서 전용 정책의 결과를 확인합니다.

Insights 및 Reporting 통합 문서에서 조건부 액세스 정책의 집계 효과를 봅니다. 통합 문서에 액세스하려면 Azure Monitor 구독이 필요하며 로그인 로그를 로그 분석 작업 영역으로 스트리밍해야 합니다.

중단 계획

조직에 대한 복원력 전략을 계획 하여 예기치 않은 중단 중에 잠금 위험을 줄입니다.

보호된 작업 사용

보호된 작업을 사용하도록 설정하여 조건부 액세스 정책을 만들거나 변경하거나 삭제하려는 다른 보안 계층을 추가합니다. 조직은 정책을 변경하기 전에 새로운 다단계 인증 또는 기타 권한 부여 제어를 요구할 수 있습니다.

게스트 사용자 설정 구성

알고 있고 관계가 있는 외부 조직의 경우 게스트가 조건부 액세스 정책에 제공한 다단계 인증, 디바이스 규정 준수 또는 하이브리드 디바이스 클레임을 신뢰할 수 있습니다. 자세한 내용은 B2B 협업에 대한 테넌트 간 액세스 설정 관리를 참조하세요. B2B 사용자가 Microsoft Entra ID Protection을 사용하는 방법과 관련된 몇 가지 주의 사항이 있습니다. 자세한 내용은 B2B 사용자를 위한 Microsoft Entra ID Protection을 참조하세요.

정책에 대한 이름 지정 표준 설정

명명 표준은 정책을 열지 않고 정책을 찾고 용도를 이해하는 데 도움이 됩니다. 표시할 정책의 이름을 지정합니다.

  • 시퀀스 번호
  • 적용되는 클라우드 앱
  • 응답
  • 정책이 적용되는 대상
  • 정책이 적용되는 시기

정책의 명명 표준 예제를 보여 주는 다이어그램

: 외부 네트워크에서 Dynamics CRP 앱에 액세스하는 마케팅 사용자를 위해 MFA를 요구하는 정책은 다음과 같습니다.

샘플 명명 표준을 보여 주는 다이어그램

설명이 포함된 이름을 사용하면 조건부 액세스 구현에 대한 개요를 유지할 수 있습니다. 시퀀스 번호는 대화에서 정책을 참조해야 하는 경우에 유용합니다. 예를 들어 전화로 관리자와 통신할 때 정책 CA01을 열어 문제를 해결하도록 요청할 수 있습니다.

응급 액세스 제어의 이름 지정 표준

활성 정책 외에도 중단 또는 긴급 시나리오에서 보조 복원력 있는 액세스 제어 역할을 하는 비활성화된 정책을 구현합니다. 대체 정책에 대한 명명 표준에는 다음이 포함되어야 합니다.

  • 다른 정책 중에서 이름을 구분할 수 있도록 시작 부분에 ENABLE IN EMERGENCY(응급 시 사용) 사용
  • 적용해야 하는 중단의 이름입니다.
  • 관리자가 어떤 주문 정책을 사용하도록 설정해야 하는지 알 수 있도록 하는 순서 순서 번호입니다.

: 다음 이름은 이 정책이 MFA 중단이 있는 경우 사용하도록 설정하는 네 가지 정책 중 첫 번째 정책임을 보여 줍니다.

  • EM01 - 응급 상황에서 사용: MFA 중단[1/4] - VIP 사용자의 경우 Exchange SharePoint: Microsoft Entra 하이브리드 조인이 필요합니다.

로그인을 기대하지 않는 국가/지역 차단

Microsoft Entra ID를 사용하면 명명된 위치를 만들 수 있습니다. 허용된 국가/지역 목록을 만든 다음 이러한 "허용된 국가/지역"을 제외로 사용하여 네트워크 차단 정책을 만듭니다. 이 옵션을 사용하면 더 작은 지리적 위치에 기반을 둔 고객의 오버헤드가 줄어듭니다. 이 정책에서 긴급 액세스 계정을 제외해야 합니다.

조건부 액세스 정책 배포

준비가 되면 조건부 액세스 정책을 단계적으로 배포합니다. 다음과 같은 몇 가지 핵심 조건부 액세스 정책으로 시작합니다. 많은 정책을 조건부 액세스 정책 템플릿으로 사용할 수 있습니다. 기본적으로 템플릿에서 만든 각 정책은 보고서 전용 모드입니다. 각 정책을 켜기 전에 사용량을 테스트하고 모니터링하여 의도한 결과를 확인합니다.

다음 세 단계로 정책을 배포하여 사용자 중단을 최소화하면서 보안 개선의 균형을 조정합니다. 조직은 크기, 복잡성 및 변경 관리 기능에 따라 타임라인을 조정할 수 있습니다.

중요합니다

정책을 배포하기 전에 다음을 수행합니다.

  • 긴급 액세스 계정이 모든 정책에서 제외되는지 확인
  • 조직 전체 출시 전에 파일럿 그룹을 사용하여 정책 테스트
  • 사용자가 필요한 인증 방법을 등록했는지 확인
  • 영향을 받는 사용자에게 변경 내용 전달 및 지원 설명서 제공

1단계: Foundation(1-2주차)

기준 보안 제어를 설정하고 MFA 적용을 준비합니다. 필수 구성 요소: 적용 정책을 사용하도록 설정하기 전에 사용자가 MFA에 등록할 수 있는지 확인합니다.

조건부 액세스 정책 Scenario 라이선스 요구 사항
레거시 인증 차단 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
MFA 등록 보안(내 보안 정보) 페이지 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
권한 있는 Microsoft Entra 기본 제공 역할은 피싱 방지 메서드를 적용합니다. 권한 있는 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)

2단계: 핵심 인증(2~3주차)

모든 사용자 및 게스트에 대해 MFA를 적용하고 앱 보호 정책을 사용하여 모바일 디바이스를 보호합니다. 주요 영향: 사용자는 모든 로그인에 MFA를 사용하고 모바일 디바이스에서 앱 보호와 함께 승인된 앱을 사용해야 합니다. 통신 계획이 실행되고 지원 리소스를 사용할 수 있는지 확인합니다.

조건부 액세스 정책 Scenario 라이선스 요구 사항
모든 사용자 로그인 활동은 강력한 인증 방법을 사용합니다. 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
게스트 액세스는 강력한 인증 방법으로 보호됩니다. 게스트 액세스 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
승인된 클라이언트 앱 또는 앱 보호 정책 필요 모바일 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
사용자 작업을 사용하여 디바이스 조인 및 디바이스 등록을 위한 다단계 인증 필요 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)

3단계: 고급 보호(3~4주차)

위험 기반 정책 및 고급 공격 방지 컨트롤을 추가합니다. 라이선스 요구 사항: 위험 기반 정책에는 Microsoft Entra ID P2 라이선스가 필요합니다.

조건부 액세스 정책 Scenario 라이선스 요구 사항
위험 수준이 높은 로그인 제한 모든 사용자 Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2)
위험 수준이 높은 사용자에 대한 액세스 제한 모든 사용자 Microsoft Entra ID P2(마이크로소프트 엔트라 아이디 P2)
사용자 로그인 활동은 토큰 보호를 사용합니다. 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
디바이스 코드 흐름 제한 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
인증 전송이 차단됨 모든 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)
PAW(Privileged Access Workstations)에 대한 조건부 액세스 정책이 구성됨 권한 있는 사용자 Microsoft Entra ID P1 (마이크로소프트 엔트라 ID P1)

적용하기 최소 1주일 전에 보고서 전용 모드에서 각 정책을 사용하도록 설정합니다. 다음 단계로 이동하기 전에 로그인 로그를 검토하고 사용자에게 변경 내용을 전달합니다.

비고

PAW(Privileged Access Workstations)에는 중요한 인프라 계획이 필요합니다. 조직은 PAW 배포 전략을 수립하고 권한 있는 사용자를 위한 보안 디바이스를 프로비전한 후에만 이 정책을 구현해야 합니다.

정책 영향 평가

사용 가능한 도구를 사용하여 변경 전후에 정책의 영향을 확인합니다. 시뮬레이트된 실행은 조건부 액세스 정책이 로그인에 미치는 영향을 잘 알 수 있지만 제대로 구성된 개발 환경에서 실제 테스트 실행을 대체하지는 않습니다.

관리자는 정책 영향 또는 보고서 전용 모드를 사용하여 정책 설정을 확인할 수 있습니다.

정책 테스트

정책의 제외 조건을 테스트해야 합니다. 예를 들어 MFA가 필요한 정책에서 사용자 또는 그룹을 제외할 수 있습니다. 다른 정책의 조합에 해당 사용자에 대한 MFA가 필요할 수 있으므로 제외된 사용자에게 MFA를 묻는 메시지가 표시되는지 테스트합니다.

테스트 사용자와 함께 테스트 계획에서 각 테스트를 실행합니다. 테스트 계획은 예상 결과와 실제 결과를 비교하는 데 도움이 됩니다.

프로덕션에 배포

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 기로 이동합니다.

정책 롤백

새로 구현된 정책을 롤백해야 하는 경우 다음 옵션 중 하나 이상을 사용합니다.

  • 정책을 사용하지 않도록 설정합니다. 정책을 사용하지 않도록 설정하면 사용자가 로그인을 시도할 때 해당 정책이 적용되지 않습니다. 언제든지 돌아와서 사용하려는 경우 정책을 사용하도록 설정할 수 있습니다.

  • 정책에서 사용자 또는 그룹을 제외합니다. 사용자가 앱에 액세스할 수 없는 경우 정책에서 사용자를 제외합니다.

    주의

    사용자가 신뢰할 수 있는 경우에만 제외를 아쉽게 사용합니다. 가능한 한 빨리 정책 또는 그룹에 사용자를 다시 추가합니다.

  • 정책을 사용하지 않도록 설정하여 더 이상 필요하지 않은 경우 삭제합니다.

삭제된 정책 복원

조건부 액세스 또는 위치가 삭제된 경우 30일 일시 삭제 기간 내에 복원할 수 있습니다. 조건부 액세스 정책 및 명명된 위치를 복원하는 방법에 대한 자세한 내용은 삭제에서 복구 문서를 참조하세요.

조건부 액세스 정책 문제 해결

사용자에게 조건부 액세스 정책에 문제가 있는 경우 문제 해결에 도움이 되도록 이 정보를 수집합니다.

  • 사용자 계정 이름
  • 사용자 표시 이름
  • 운영 체제 이름
  • 타임스탬프를 사용합니다(대략적인 시간은 괜찮습니다.)
  • 대상 애플리케이션
  • 클라이언트 애플리케이션 유형(브라우저 또는 클라이언트)
  • 상관 관계 ID(이 ID는 로그인에 고유함)

사용자가 자세한 정보 링크가 포함된 메시지를 받으면 이 정보의 대부분을 수집할 수 있습니다.

정보를 수집한 후 다음 리소스를 참조하세요.

  • 조건부 액세스의 로그인 문제 – 오류 메시지 및 Microsoft Entra 로그인 로그를 사용하여 조건부 액세스와 관련된 예기치 않은 로그인 결과에 대해 알아봅니다.
  • What-If 도구 사용 – 특정 상황에서 정책이 사용자에게 적용되거나 적용되지 않는 이유 또는 정책이 알려진 상태에서 적용되는지 알아봅니다.

관련 콘텐츠