조건부 액세스 정책에는 의사 결정 프로세스의 신호 중 하나로 사용자, 그룹 또는 워크로드 ID 할당이 포함됩니다. 이러한 ID는 조건부 액세스 정책에 포함되거나 제외될 수 있습니다. Microsoft Entra ID는 모든 정책을 평가하고 액세스 권한을 부여하기 전에 모든 요구 사항이 충족되는지 확인합니다.
사용자 포함
이 목록에는 일반적으로 조건부 액세스 정책에서 조직이 대상으로 하는 모든 사용자가 포함됩니다.
조건부 액세스 정책을 만들 때 사용할 수 있는 옵션은 다음과 같습니다.
- 없음
- 사용자가 선택되지 않음
- 모든 사용자가 액세스할 수 있습니다.
- B2B 게스트를 포함하여 디렉터리의 모든 사용자입니다.
- 사용자 및 그룹 선택
- 게스트 또는 외부 사용자
- 이 선택을 통해 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 해당 사용자가 포함된 테넌트에 대상으로 지정할 수 있습니다.
선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
- B2B 협업 게스트 사용자
- B2B 협업 구성원 사용자
- B2B 직접 연결 사용자
- 로컬 게스트 사용자(예: 사용자 유형 특성이 게스트로 설정된 홈 테넌트에 속한 모든 사용자)
- 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자))
- 다른 외부 사용자 또는 다른 사용자 유형 선택 항목으로 표시되지 않는 사용자
- 선택한 사용자 유형에 대해 하나 이상의 테넌트를 지정하거나 모든 테넌트를 지정할 수 있습니다.
- 이 선택을 통해 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 해당 사용자가 포함된 테넌트에 대상으로 지정할 수 있습니다.
선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
- 디렉터리 역할
- 관리자가 특정 기본 제공 디렉터리 역할을 선택하여 정책 할당을 결정할 수 있습니다. 예를 들어, 조직에서는 권한 있는 역할이 적극적으로 할당된 사용자에 대해 보다 제한적인 정책을 만들 수 있습니다. 관리 단위 범위 역할 및 사용자 지정 역할을 비롯한 다른 역할 유형은 지원되지 않습니다.
- 조건부 액세스를 사용하면 관리자가 사용되지 않는 것으로 나열된 일부 역할을 선택할 수 있습니다. 이러한 역할은 여전히 기본 API에 표시되며 관리자가 정책을 적용할 수 있습니다.
- 관리자가 특정 기본 제공 디렉터리 역할을 선택하여 정책 할당을 결정할 수 있습니다. 예를 들어, 조직에서는 권한 있는 역할이 적극적으로 할당된 사용자에 대해 보다 제한적인 정책을 만들 수 있습니다. 관리 단위 범위 역할 및 사용자 지정 역할을 비롯한 다른 역할 유형은 지원되지 않습니다.
- 사용자 및 그룹
- 특정 사용자 집합을 대상으로 지정할 수 있습니다. 예를 들어 조직은 HR 앱이 클라우드 앱으로 선택된 경우 HR 부서의 모든 구성원을 포함하는 그룹을 선택할 수 있습니다. 그룹은 동적 또는 할당된 보안 및 배포 그룹을 포함하여 Microsoft Entra ID의 모든 형식의 사용자 그룹일 수 있습니다. 정책은 중첩된 사용자 및 그룹에 적용됩니다.
- 게스트 또는 외부 사용자
중요한
조건부 액세스 정책에 포함되는 사용자 및 그룹을 선택할 때 조건부 액세스 정책에 직접 추가할 수 있는 개별 사용자 수에는 제한이 있습니다. 많은 개별 사용자를 조건부 액세스 정책에 추가해야 하는 경우 그룹에 배치하고 그룹에 정책을 할당합니다.
사용자 또는 그룹이 2048개 이상의 그룹에 속하는 경우 해당 액세스가 차단될 수 있습니다. 해당 제한은 직접 및 중첩 그룹 멤버 자격에 모두 적용됩니다.
경고
조건부 액세스 정책은 관리 단위에 범위가 지정된 디렉터리 역할이나 사용자 지정 역할과 같이 개체에 직접 범위가 지정된 디렉터리 역할이 할당된 사용자를 지원하지 않습니다.
참고
B2B 직접 연결 외부 사용자에 대한 정책을 대상으로 하는 경우 이러한 정책은 B2B 직접 연결에 적합한 Teams 또는 SharePoint Online에 액세스하는 B2B 공동 작업 사용자에게 적용됩니다. B2B 협업 외부 사용자를 대상으로 하는 정책에도 동일하게 적용됩니다. 즉, Teams 공유 채널에 액세스하는 사용자가 테넌트에 게스트 사용자가 있는 경우 B2B 공동 작업 정책이 적용됩니다.
사용자 제외
조직이 사용자 또는 그룹을 포함하고 제외하는 경우 해당 사용자 또는 그룹은 정책에서 제외됩니다. 제외 작업은 정책의 포함 작업을 우선시합니다. 제외 조건은 비상 액세스 계정 또는 긴급 계정으로 자주 사용됩니다. 응급 액세스 계정에 대한 자세한 내용과 해당 계정이 중요한 이유는 다음 문서에서 확인할 수 있습니다.
조건부 액세스 정책을 만들 때 제외할 수 있는 옵션은 다음과 같습니다.
- 게스트 또는 외부 사용자
- 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트로 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다.
선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
- B2B 협업 게스트 사용자
- B2B 협업 구성원 사용자
- B2B 직접 연결 사용자
- 로컬 게스트 사용자(예: 사용자 유형 특성이 게스트로 설정된 홈 테넌트에 속한 모든 사용자)
- 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자))
- 다른 외부 사용자 또는 다른 사용자 유형 선택 항목으로 표시되지 않는 사용자
- 선택한 사용자 유형에 대해 하나 이상의 테넌트를 지정하거나 모든 테넌트를 지정할 수 있습니다.
- 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트로 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다.
선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
- 디렉터리 역할
- 관리자는 할당을 결정하는 데 사용되는 특정 Microsoft Entra 디렉터리 역할을 선택할 수 있습니다.
- 사용자 및 그룹
- 특정 사용자 집합을 대상으로 지정할 수 있습니다. 예를 들어 조직은 HR 앱이 클라우드 앱으로 선택된 경우 HR 부서의 모든 구성원을 포함하는 그룹을 선택할 수 있습니다. 그룹은 동적 또는 할당된 보안 및 배포 그룹을 포함하여 Microsoft Entra ID의 모든 형식의 그룹일 수 있습니다. 정책은 중첩된 사용자 및 그룹에 적용됩니다.
관리자 잠금 방지
관리자 잠금을 방지하기 위해 모든 사용자 및 모든 앱에 적용된 정책을 만들 때 다음 경고가 표시됩니다.
스스로를 잠그지 마세요. 먼저 적은 수의 사용자에게 정책을 적용하여 정책이 예상대로 작동하는지 확인하는 것이 좋습니다. 또한 이 정책에서 관리자를 하나 이상 제외하는 것이 좋습니다. 그러면 계속 액세스하면서도 변경이 필요할 때 정책을 업데이트할 수 있습니다. 영향을 받는 사용자 및 앱을 확인하세요.
기본적으로 정책은 현재 사용자를 제외하는 옵션을 제공하지만 관리자는 다음 이미지와 같이 재정의할 수 있습니다.
자신이 잠겨 있는 경우 잠긴 경우 어떻게 해야 하나요?를 참조하세요.
외부 파트너 액세스
외부 사용자를 대상으로 하는 조건부 액세스 정책은 세분화된 위임된 관리자 권한과 같은 서비스 공급자 액세스를 방해할 수 있습니다. GDAP(세분화된 위임된 관리자 권한) 소개에서 자세히 알아보세요. 서비스 공급자 테넌트 대상 정책의 경우 게스트 또는 외부 사용자 선택 옵션에서 사용할 수 있는 서비스 공급자 사용자 외부 사용자 유형을 사용합니다.
워크로드 아이덴티티
워크로드 ID는 애플리케이션 또는 서비스 주체에서 리소스에 액세스할 수 있도록 허용하는 ID이며, 경우에 따라 사용자의 컨텍스트에서 허용합니다. 조건부 액세스 정책은 테넌트에서 등록된 단일 테넌트 서비스 주체에 적용할 수 있습니다. 타사 SaaS 및 다중 테넌트 앱은 범위를 벗어났습니다. 관리 ID에는 정책이 적용되지 않습니다.
조직은 정책에서 포함되거나 제외될 특정 워크로드 ID를 대상으로 지정할 수 있습니다.
자세한 내용은 워크로드 ID에 대한 조건부 액세스 문서를 참조하세요.