다음을 통해 공유


조건부 액세스 최적화 에이전트에서 제안을 검토하고 적용하는 방법

Microsoft Entra 조건부 액세스 최적화 에이전트는 조건부 액세스 정책에 대한 제안을 제공합니다. 제안은 에이전트가 찾은 내용에 따라 달라집니다. 관리자는 제안을 검토하고 수행할 작업을 결정해야 합니다.

이 문서에서는 제안 뒤에 있는 논리와 제안의 세부 정보를 검토하는 방법에 대한 개요를 제공합니다.

Prerequisites

Limitations

  • 계정을 사용하여 PIM(Privileged Identity Management)을 사용하여 역할 활성화가 필요한 에이전트를 설정하지 마세요. 대기 권한이 없는 계정을 사용하면 에이전트에 대한 인증 오류가 발생할 수 있습니다.
  • 에이전트를 실행하면 중지하거나 일시 중지할 수 없습니다. 실행하는 데 몇 분 정도 걸릴 수 있습니다.
  • 정책 통합의 경우 각 에이전트 실행은 4개의 유사한 정책 쌍만 살펴봅니다.
  • 에이전트는 현재 에이전트를 활성화한 사용자로 실행됩니다.
  • Microsoft Entra 관리 센터에서 에이전트를 실행하는 것이 좋습니다.
  • 스캔은 24시간으로 제한됩니다.
  • 에이전트의 제안을 사용자 지정하거나 재정의할 수 없습니다.
  • 에이전트는 한 번의 실행으로 최대 150명의 사용자와 100개의 애플리케이션을 검토할 수 있습니다.

작동 방식

에이전트는 다음을 실행할 수 있습니다.

  • 보호되지 않은 사용자를 식별하지 않거나 변경 사항을 권장하지 않음
  • 보고서 전용 모드에서 새 조건부 액세스 정책 만들기
  • 기존 정책 수정 제안
  • 겹치는 정책 통합 제안

조건부 액세스 정책이 복잡할 수 있으므로 제안을 식별하는 데 사용되는 논리에 대해 가능한 한 많은 정보를 제공하려고 합니다. 각 제안과 함께 에이전트는 자세한 추론, 정책 영향 요약 및 정책의 세부 정보를 제공합니다. 제안 사항을 적용하거나 보고서 전용 정책을 활성 정책에 변경하기 전에 제공된 정보를 검토하는 것이 가장 좋습니다.

제안 및 에이전트 논리 검토

Select Review suggestion to review a thorough overview of the suggestion, including the logic used to identify the suggestion and the potential impact of the policy.

Policy details

제안의 기본 보기는 맨 위에 있는 개략적인 설명과 정책에 사용되는 세부 정보를 포함하여 정책 세부 정보를 제공합니다.

정책 제안 세부 정보가 열려 있는 에이전트의 스크린샷

Policy impact

From the details panel that opens, select Policy impact to see a visualization of the potential impact of the policy.

정책 영향 단추가 강조 표시된 정책 제안 세부 정보의 스크린샷

필요에 따라 필터 및 디스플레이를 조정합니다. 그래프에서 점을 선택하여 정책에 영향을 주는 데이터의 샘플을 확인합니다. 예를 들어 MFA(다단계 인증)를 요구하는 정책의 경우 그래프에는 조건부 액세스 정책이 적용되지 않은 로그인 이벤트 샘플이 표시됩니다. For more information, see Policy impact.

정책 영향 그래프의 스크린샷.

에이전트의 전체 활동 보기

에이전트의 활동에 대한 자세한 요약과 제안을 계산하는 방법을 보려면 에이전트의 전체 활동 보기를 선택합니다. 에이전트의 활동은 사용자 및 앱에 대한 정책 드리프트 또는 정책 적용 범위의 격차를 평가합니다. 또한 에이전트는 병합하거나 통합할 수 있는 정책을 찾습니다.

뷰 에이전트의 전체 활동 링크가 강조 표시된 정책 제안 세부 정보의 스크린샷

에이전트 활동 요약은 에이전트 활동 맵에 설명된 활동에 대한 자연어 설명입니다. 이러한 세부 정보는 제안 뒤에 있는 논리를 이해하는 데 도움이 되므로 제안을 적용할지 여부에 대한 정보에 입각한 결정을 내릴 수 있습니다.

에이전트 활동 맵의 스크린샷.

정책 변경 내용 검토

에이전트가 기존 정책 수정을 제안하는 경우 정책 변경 내용 검토를 선택하여 권장되는 변경 내용의 세부 정보를 확인합니다. 이 페이지에는 제안을 적용할 경우 변경될 정책의 사용자, 대상 리소스 및 기타 세부 정보가 나열됩니다.

  • 정책 세부 정보는 변경되는 모든 세부 정보 목록과 전체 정책의 JSON 보기로 제공되며 변경 내용이 강조 표시됩니다.
  • 사용자 또는 애플리케이션에 영향을 주는 정책 변경의 경우 정책 변경의 영향을 받는 사용자 및 애플리케이션의 JSON 파일을 다운로드할 수 있습니다.

정책 변경 내용 검토 단추가 강조 표시된 정책 세부 정보 페이지의 스크린샷

Apply suggestions

제안 사항을 적용하는 환경은 에이전트가 보고서 전용 모드에서 새 정책을 만들었는지 아니면 기존 정책 수정을 제안하는지에 따라 달라집니다.

기존 정책 수정

에이전트는 기존 정책을 수정하거나 겹치는 정책을 통합할 것을 제안할 수 있습니다. 정책 변경의 세부 정보 및 영향을 검토한 후 정책에 제안을 적용할 수 있습니다.

  • From the Policy details page, select Apply suggestion to apply the changes to the policy.

제안 적용 단추가 강조 표시된 정책 세부 정보 수정 페이지의 스크린샷

  • 정책 변경 내용 검토 페이지에서 페이지 아래쪽에서 제안된 변경 내용 승인을 선택할 수도 있습니다.

제안된 변경 내용 승인 단추가 강조 표시된 검토 정책 페이지의 스크린샷.

새 정책 켜기

에이전트가 새 정책을 제안하면 보고서 전용 모드로 정책을 만듭니다. 정책 영향을 검토한 후 에이전트 환경 또는 조건부 액세스에서 직접 정책을 켤 수 있습니다.

  • 정책 켜기를 선택하여 에이전트가 정책의 변경 내용을 보고서 전용 모드로 적용하도록 합니다.

켜기 정책 단추가 강조 표시된 정책 세부 정보의 스크린샷.

  • From Conditional Access, select the policy and then change the Enable policy toggle from Report-only to On.

조건부 액세스의 보고서 전용 모드 토글 스크린샷

Tip

조직에서는 잘못된 구성으로 인해 계정에 접근할 수 없는 상황을 피하기 위해, 정책에서 비상용 계정을 제외하도록 권장합니다.

Warning

규격 디바이스가 필요한 보고서 전용 모드의 정책은 디바이스 규정 준수가 적용되지 않더라도 정책 평가 중에 macOS, iOS 및 Android 디바이스의 사용자에게 디바이스 인증서를 선택하라는 메시지를 표시할 수 있습니다. 이러한 프롬프트는 디바이스가 준수될 때까지 반복될 수 있습니다. 로그인하는 동안 최종 사용자가 프롬프트를 받지 못하도록 하려면 디바이스 규정 준수 검사를 수행하는 보고서 전용 정책에서 디바이스 플랫폼 Mac, iOS 및 Android를 제외합니다.