조건부 액세스 정책에서 관리자는 세션 컨트롤을 사용하여 특정 클라우드 애플리케이션에서 제한된 환경을 사용하도록 설정할 수 있습니다.
애플리케이션 적용 제한
조직은 이 컨트롤을 사용하여 Microsoft Entra ID가 선택한 클라우드 앱에 디바이스 정보를 전달하도록 요구할 수 있습니다. 클라우드 앱은 디바이스 정보를 통해 연결이 호환되는 디바이스 또는 도메인 조인 디바이스에서 온 것인지 알 수 있으며 세션 환경을 업데이트할 수 있습니다. 선택하면 클라우드 앱에서는 디바이스 정보를 사용하여 사용자에게 제한된 환경이나 전체 환경을 제공합니다. 디바이스가 관리되지 않거나 규정을 준수하지 않는 경우 제한되며, 디바이스가 관리되고 규정을 준수하는 경우 가득 찼습니다.
지원되는 애플리케이션 목록 및 정책을 구성하는 단계는 다음 문서를 참조하세요.
- Microsoft 365의 유휴 세션 시간 제한.
- SharePoint Online에서 제한된 액세스를 사용하도록 설정하는 방법을 알아봅니다.
- Exchange Online에서 제한된 액세스를 사용하도록 설정하는 방법을 알아봅니다.
조건부 액세스 애플리케이션 제어
조건부 액세스 앱 제어는 역방향 프록시 아키텍처를 사용하며 Microsoft Entra 조건부 액세스와 고유하게 통합됩니다. Microsoft Entra 조건부 액세스를 사용하면 특정 조건에 따라 조직의 앱에 액세스 제어를 적용할 수 있습니다. 조건은 조건부 액세스 정책이 적용되는 사용자, 그룹, 클라우드 앱, 위치 및 네트워크를 정의합니다. 조건을 결정한 후 액세스 및 세션 제어를 적용하여 조건부 액세스 앱 제어를 사용하여 데이터를 보호하기 위해 사용자를 Cloud Apps용 Microsoft Defender 로 라우팅합니다.
조건부 액세스 앱 제어를 통해 사용자는 액세스 및 세션 정책에 따라 실시간으로 앱 액세스 및 세션을 모니터링하고 제어할 수 있습니다. Defender for Cloud Apps 포털에서 액세스 및 세션 정책을 사용하여 필터를 구체화하고 작업을 설정합니다.
관리자가 주요 앱에 대한 조건부 액세스 앱 제어를 배포 하고 Cloud Apps용 Microsoft Defender 세션 정책을 사용할 수 있는 Cloud Apps용 Microsoft Defender를 사용하여 이 제어를 적용합니다.
비즈니스용 Microsoft Edge의 경우 관리자가 사용자가 비즈니스용 Edge의 클라우드 앱과 중요한 정보를 공유하지 못하도록 방지할 수 있는 Microsoft Purview 데이터 손실 방지를 통해 이 제어를 적용합니다. 이러한 정책에 포함된 앱에는 조건부 액세스 앱 제어 사용자 지정 설정이 필요합니다.
로그인 빈도
로그인 빈도는 리소스에 액세스할 때 다시 로그인하라는 메시지가 표시되기 전에 사용자가 로그인 상태를 유지할 수 있는 기간을 지정합니다. 관리자는 기간(시간 또는 일)을 설정하거나 매번 다시 인증을 요구할 수 있습니다.
로그인 빈도 설정은 OAuth 2.0 또는 OIDC 프로토콜을 사용하는 앱에서 작동합니다. 다음 웹 애플리케이션을 포함하여 Windows, Mac 및 모바일용 대부분의 Microsoft 네이티브 앱은 이 설정을 따릅니다.
- 워드, 엑셀, 파워포인트 온라인
- OneNote 온라인
- Office.com
- Microsoft 365 관리 포털
- Exchange Online
- SharePoint 및 OneDrive
- 팀 웹 클라이언트
- Dynamics CRM 온라인
- Azure Portal
자세한 내용은 조건부 액세스를 사용하여 인증 세션 관리 구성을 참조하세요.
영구적 브라우저 세션
영구 브라우저 세션을 사용하면 사용자가 브라우저 창을 닫고 다시 연 후에도 로그인 상태를 유지할 수 있습니다.
자세한 내용은 조건부 액세스를 사용하여 인증 세션 관리 구성을 참조하세요.
지속적인 액세스 권한 평가 사용자 지정
연속 액세스 평가는 조직의 조건부 액세스 정책의 일부로 자동으로 사용하도록 설정됩니다. 연속 액세스 평가를 사용하지 않도록 설정하려는 조직의 경우, 이 구성은 이제 조건부 액세스의 세션 제어 내에 있는 옵션입니다. 지속적인 액세스 평가 정책은 모든 사용자 또는 특정 사용자 및 그룹에 적용됩니다. 관리자는 새 정책을 만들거나 기존 조건부 액세스 정책을 편집하는 동안 다음과 같은 항목을 선택할 수 있습니다.
- 사용 안 함은 모든 리소스(이전의 '모든 클라우드 앱')를 선택하고, 조건을 선택하지 않고, 조건부 액세스 정책의 세션>에서 사용 안 함을 선택한 경우에만 작동합니다. 모든 사용자 또는 특정 사용자 및 그룹을 사용하지 않도록 설정할 수 있습니다.
복원력 기본값 사용 안 함
중단 중에 Microsoft Entra ID는 조건부 액세스 정책을 적용하면서 기존 세션에 대한 액세스를 확장합니다.
복원력 기본값을 사용하지 않도록 설정하면 기존 세션이 만료되면 액세스가 거부됩니다. 자세한 내용은 조건부 액세스: 복원력 기본값을 참조하세요.
로그인 세션에 대한 토큰 보호 필요
업계에서 토큰 바인딩이라고도 하는 토큰 보호는 토큰을 의도한 디바이스에서만 사용할 수 있도록 하여 토큰 도난을 사용하여 공격을 줄이려고 시도합니다. 공격자가 하이재킹 또는 재생을 통해 토큰을 도용하는 경우 토큰이 만료되거나 해지될 때까지 피해자를 가장할 수 있습니다. 토큰 도난은 드물지만 그 영향은 클 수 있습니다. 자세한 내용은 조건부 액세스: 토큰 보호를 참조하세요.
글로벌 보안 액세스 프로필 사용
조건부 액세스에서 보안 프로필을 사용하면 Microsoft SSE(Security Service Edge) 제품인 Microsoft Entra Internet Access의 네트워크 보안과 ID 컨트롤이 결합됩니다. 이 세션 컨트롤을 선택하면 전역 보안 액세스에서 만들고 관리하는 다양한 정책의 그룹화인 보안 프로필에 ID 및 컨텍스트 인식을 가져올 수 있습니다.