글로벌 보안 액세스와 함께 조건부 액세스를 사용하는 조직은 여러 조건을 사용하여 심층 방어를 제공하는 Microsoft 앱, 타사 SaaS 앱 및 개인 LoB(기간 업무) 앱에 대한 악의적인 액세스를 방지할 수 있습니다. 이러한 조건에는 강력한 요소 인증, 디바이스 규정 준수, 위치 등이 포함될 수 있습니다. 이러한 조건을 사용하도록 설정하면 사용자 ID 손상 또는 토큰 도난으로부터 조직을 보호할 수 있습니다. 글로벌 보안 액세스는 Microsoft Entra ID 조건부 액세스 내에서 규격 네트워크의 개념을 소개합니다. 이 규격 네트워크 검사는 사용자가 특정 테넌트에 대해 Global Secure Access 서비스를 통해 연결하고 관리자가 적용하는 보안 정책을 준수하도록 합니다.
구성된 원격 네트워크 뒤에 있는 디바이스 또는 사용자에 설치된 전역 보안 액세스 클라이언트를 사용하면 관리자는 고급 조건부 액세스 제어를 통해 호환 네트워크 뒤에서 리소스를 보호할 수 있습니다. 이 호환 네트워크 기능을 사용하면 송신 IP 주소 목록을 유지 관리할 필요 없이 관리자가 액세스 정책을 더 쉽게 관리할 수 있으며 원본 IP 앵커링을 유지하고 IP 기반 조건부 액세스 정책을 적용하기 위해 조직의 VPN을 통해 트래픽을 고정해야 하는 요구 사항을 제거합니다. 조건부 액세스에 대한 자세한 내용은 조건부 액세스란?
네트워크 규정 준수 확인 강제 시행
규정을 준수하는 네트워크 적용은 토큰 도난/재생 공격의 위험을 줄입니다. 인증 적용은 사용자 인증 시 Microsoft Entra ID에 의해 수행됩니다. 악의적 사용자가 세션 토큰을 도난당하고 조직의 호환 네트워크에 연결되지 않은 디바이스에서 재생을 시도하는 경우(예: 도난당한 새로 고침 토큰으로 액세스 토큰 요청) Entra ID는 즉시 요청을 거부하고 추가 액세스가 차단됩니다. 데이터 평면 정책 집행은 글로벌 보안 액세스와 통합된 서비스에서 작동하며 현재 Microsoft Graph를 포함하여 지속적인 액세스 평가(CAE)를 지원하는 서비스를 대상으로 합니다. CAE를 지원하는 앱을 사용하면, 테넌트의 준수 네트워크 외부에서 재사용되는 도난당한 액세스 토큰이 거의 즉각적으로 애플리케이션 내에서 거부됩니다. CAE가 없으면 도난당한 액세스 토큰이 전체 수명까지 지속됩니다(기본값은 60분에서 90분 사이).
이 호환 네트워크 검사는 구성된 테넌트와 관련이 있습니다. 예를 들어 contoso.com 규정 준수 네트워크가 필요한 조건부 액세스 정책을 정의하는 경우 전역 보안 액세스 또는 원격 네트워크 구성을 사용하는 사용자만 이 컨트롤을 전달할 수 있습니다. fabrikam.com 사용자는 contoso.com 준수 네트워크 정책을 전달할 수 없습니다.
규격 네트워크는 Microsoft Entra에서 구성할 수있는 IPv4, IPv6 또는 지리적 위치와 다릅니다. 관리자는 규정 준수 네트워크 IP 주소/범위를 검토하고 유지 관리할 필요가 없으므로 보안 태세를 강화하고 관리 오버헤드를 최소화할 수 있습니다.
필수 조건
-
전역 보안 액세스 기능과 상호 작용하는 관리자는 수행 중인 작업에 따라 다음 역할 중 하나 이상을 할당받아야 합니다.
- 전역 보안 액세스 기능을 관리하는 전역 보안 액세스 관리자 역할.
- 조건부 액세스 관리자는 조건부 액세스에 대한 전역 보안 액세스 신호를 사용하도록 설정하고 조건부 액세스 정책 및 명명된 위치를 만들고 상호 작용할 수 있습니다.
- 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
알려진 제한 사항
알려진 문제 및 제한 사항에 대한 자세한 내용은 전역 보안 액세스에 대한 알려진 제한 사항을 참조하세요.
조건부 액세스에 대한 전역 보안 액세스 신호 사용
규격 네트워크 검사를 허용하는 데 필요한 설정을 사용하도록 설정하려면 관리자가 다음 단계를 수행해야 합니다.
- 전역 보안 액세스 관리자 및 조건부 액세스 관리자 역할이 활성화된 계정으로 Microsoft Entra 관리 센터에 로그인합니다.
- 글로벌 보안 액세스>설정>세션 관리>적응형 액세스로 이동하십시오.
- 토글을 선택하여 Entra ID에 CA 신호를 사용하도록 설정합니다(모든 클라우드 앱 포함).
-
Entra ID>조건부 액세스>명명된 위치로 이동합니다.
- 네트워크 액세스 위치 유형에 모든 규격 네트워크 위치라는 위치가 있는지 확인합니다. 조직은 필요에 따라 이 위치를 신뢰할 수 있는 위치로 표시할 수 있습니다.
주의
조직에 규정 준수 네트워크 검사를 기반으로 하는 활성 조건부 액세스 정책이 있고 나중에 조건부 액세스에서 전역 보안 액세스 신호를 사용하지 않도록 설정하는 경우 대상 최종 사용자가 리소스에 액세스할 수 없도록 의도치 않게 차단할 수 있습니다. 이 기능을 사용하지 않도록 설정해야 하는 경우 먼저 해당 조건부 액세스 정책을 삭제합니다.
규격 네트워크 뒤에서 리소스 보호
호환 네트워크 조건부 액세스 정책을 사용하여 Entra ID Single Sign-On과 통합된 Microsoft 및 타사 애플리케이션을 보호할 수 있습니다. 일반적인 정책에는 준수 네트워크를 제외한 모든 네트워크 위치에 대해 '차단' 권한이 부여됩니다. 다음 예제에서는 이러한 유형의 정책을 구성하는 단계를 보여 줍니다.
- 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- Entra ID>조건부 액세스로 이동하세요.
- 새 정책 만들기를 선택합니다.
- 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
-
할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 모든 사용자를 선택합니다.
- 제외에서 사용자 및 그룹을 선택하고 조직의 긴급 접근 또는 비상 계정을 선택합니다.
-
대상 리소스>포함된 다음에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
- 조직에서 Microsoft Intune에 디바이스를 등록하는 경우 순환 종속성을 방지하기 위해 조건부 액세스 정책에서 Microsoft Intune 등록 및 Microsoft Intune 애플리케이션을 제외하는 것이 좋습니다.
-
네트워크에서 다음을 수행합니다.
- 구성을 예로 설정합니다.
- 포함에서 임의의 위치를 선택합니다.
- 제외에서 모든 규격 네트워크 위치를 선택합니다.
-
액세스 제어에서:
- 권한 부여, 액세스 차단을 선택하고 선택을 선택합니다.
- 설정을 확인하고 정책 사용을 켜기로 설정합니다.
- 만들기 버튼을 선택하여 정책을 만들고 활성화합니다.
참고
조건부 액세스 정책과 함께 모든 리소스에 대해 규격 네트워크가 필요한 전역 보안 액세스를 사용합니다.
정책에서 규격 네트워크를 사용하도록 설정하면 전역 보안 액세스 리소스가 조건부 액세스 정책에서 자동으로 제외됩니다. 명시적 리소스 제외는 필요하지 않습니다. 이러한 자동 제외는 전역 보안 액세스 클라이언트가 필요한 리소스에 액세스하는 것을 차단하지 않도록 하는 데 필요합니다. 전역 보안 액세스에 필요한 리소스는 다음과 같습니다.
- 전역 보안 액세스 트래픽 프로필
- 전역 보안 액세스 정책 서비스(내부 서비스)
제외된 전역 보안 액세스 리소스의 인증을 위한 로그인 이벤트는 Microsoft Entra ID 로그인 로그에 다음과 같이 표시됩니다.
- 전역 보안 액세스를 사용하는 인터넷 리소스
- 전역 보안 액세스가 있는 Microsoft 앱
- 전역 보안 액세스가 있는 모든 프라이빗 리소스
- ZTNA 정책 서비스
사용자 제외 설정
조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.
-
정책 구성 오류로 인한 잠금 방지를 위한 비상 액세스 또는 브레이크 글래스 계정 만약 어쩌다 모든 관리자가 접속할 수 없는 경우, 응급 액세스 관리 계정을 사용하여 로그인하고 접근 권한을 복구할 수 있는 조치를 취할 수 있습니다.
- 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
-
서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백 엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. 서비스 주체가 수행한 호출은 사용자에게 적용된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
- 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다.
준수하는 네트워크 정책 시험해 보기
- Global Secure Access 클라이언트가 설치되고 실행 중인 최종 사용자 디바이스에서 https://myapps.microsoft.com 또는 테넌트에서 Entra ID Single Sign-On을 사용하는 다른 애플리케이션에 접속하십시오.
- Windows 트레이에서 애플리케이션을 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택하여 Global Secure Access 클라이언트를 일시 중지합니다.
- Global Secure Access 클라이언트를 사용하지 않도록 설정하면 Entra ID Single Sign-On과 통합된 다른 애플리케이션에 액세스합니다. 예를 들어 Azure Portal에 로그인을 시도할 수 있습니다. 엔트라 ID 조건부 액세스로 액세스를 차단해야 합니다.
참고
애플리케이션에 이미 로그인한 경우 액세스가 중단되지 않습니다. 호환 네트워크 조건은 Entra ID로 평가되며, 이미 로그인한 경우 애플리케이션과 기존 세션이 있을 수 있습니다. 이 시나리오에서는 애플리케이션 세션이 만료되어 Entra ID 로그인이 다시 필요할 때, 적합한 네트워크 검사가 재평가됩니다.
