조건부 액세스 정책 영향 분석
조건부 액세스를 사용하면 적절한 상황에서 올바른 보안 액세스 제어를 적용하여 조직의 보안을 유지할 수 있습니다. 특히 새 정책을 배포할 때 이러한 정책의 영향을 이해하는 것은 어려울 수 있습니다. 이 문서에서는 보고서 전용 모드 및 기타 도구를 사용하여 조건부 액세스 정책 영향을 분석하는 방법을 설명합니다.
보고서 전용 모드에 따라 관리자가 사용할 수 있는 몇 가지 옵션이 있습니다. 보고서 전용 모드는 관리자가 대부분의 조건부 액세스 정책을 사용하도록 설정하기 전에 테스트할 수 있도록 하는 정책 상태입니다.
- 조건부 액세스 정책은 "사용자 작업" 범위에 포함된 항목을 제외하고 보고서 전용 모드에서 평가할 수 있습니다.
- 로그인하는 동안 보고서 전용 모드의 정책은 평가되지만 적용되지는 않습니다.
- 결과는 조건부 액세스 로그인 로그 세부 정보의 보고서 전용 탭에 기록됩니다.
- Azure Monitor 구독을 사용하는 고객은 조건부 액세스 인사이트 통합 문서를 사용하여 조건부 액세스 정책의 영향을 모니터링할 수 있습니다.
경고
규격 디바이스가 필요한 보고서 전용 모드의 정책은 디바이스 규정 준수가 적용되지 않더라도 정책 평가 중에 macOS, iOS 및 Android 디바이스의 사용자에게 디바이스 인증서를 선택하라는 메시지를 표시할 수 있습니다. 이러한 프롬프트는 디바이스가 준수될 때까지 반복될 수 있습니다. 로그인하는 동안 최종 사용자가 프롬프트를 받지 못하도록 하려면 디바이스 규정 준수 검사를 수행하는 보고서 전용 정책에서 디바이스 플랫폼 Mac, iOS 및 Android를 제외합니다.
정책 평가 결과
지정된 로그인에 대한 정책을 평가하는 경우 다음과 같은 몇 가지 결과가 발생할 수 있습니다.
| 결과 | 묘사 |
|---|---|
| 보고서 전용: 성공 | 구성된 모든 정책 조건, 필요한 비대화형 권한 부여 컨트롤 및 세션 컨트롤이 충족되었습니다. 예를 들어 토큰에 이미 있는 MFA 클레임에 의해 다단계 인증 요구 사항이 충족되거나 규격 디바이스에서 디바이스 검사를 수행하여 규격 디바이스 정책이 충족됩니다. |
| 보고서만: 실패 | 구성된 모든 정책 조건이 충족되었지만 필요한 비대화형 권한 부여 컨트롤 또는 세션 컨트롤이 모두 충족되지는 않았습니다. 예를 들어 차단 컨트롤이 구성된 사용자에게 정책이 적용되거나 디바이스가 규격 디바이스 정책에 실패합니다. |
| 보고서 전용: 사용자 작업 필요 | 구성된 모든 정책 조건이 충족되었지만 필요한 권한 부여 컨트롤 또는 세션 컨트롤을 충족하려면 사용자 작업이 필요합니다. 보고서 전용 모드에서는 사용자에게 필요한 컨트롤을 충족하라는 메시지가 표시되지 않습니다. 예를 들어 사용자에게 다중 인증 도전 과제나 이용 약관에 대한 메시지가 표시되지 않습니다. |
| 보고서 전용: 적용되지 않음 | 구성된 모든 정책 조건이 충족되는 것은 아닙니다. 예를 들어 사용자는 정책에서 제외되거나 정책은 신뢰할 수 있는 특정 명명된 위치에만 적용됩니다. |
| 성공 | 정책이 적용된 로그인 이벤트로, 요구 사항이 충족되었으며, 정책에 따라 로그인이 진행될 수 있는 경우입니다. 로그인은 여전히 다른 정책에 의해 차단될 수 있습니다. |
| 실패 | 정책이 적용되고 요구 사항이 충족되지 않으며 정책이 로그인을 차단하는 로그인 이벤트입니다. 이는 특정 위치의 로그인이 차단되거나 정책이 잘못 구성되었을 때 실수로 인해 발생할 수 있습니다. |
| 적용되지 않음 | 정책이 적용되지 않은 로그인 이벤트(예: 사용자가 제외됨). |
결과 검토
관리자는 몇 가지 옵션을 사용하여 해당 환경에서 정책의 잠재적 결과를 검토할 수 있습니다.
- 통합 문서
- 로그인 로그
- 정책 영향(미리 보기)
정책 영향(미리 보기)
조건부 액세스의 정책 영향 보기를 통해 보안 읽기 권한자 역할이 있는 관리자는 조직의 대화형 로그인에 대한 정책의 잠재적 또는 기존 영향에 대한 정보의 스냅샷을 볼 수 있습니다. 이 기능을 사용하면 지난 24시간, 7일 또는 1개월 동안의 영향을 탐색할 수 있습니다. 또한 로그인 이벤트 샘플링을 보고 연결하여 자세한 내용을 확인할 수 있습니다.
통합 문서
관리자는 보고서 전용 모드에서 여러 정책을 만들 수 있으므로 각 정책의 개별 영향과 함께 평가된 여러 정책의 결합된 영향을 모두 이해해야 합니다. 조건부 액세스 통찰력 및 보고 통합 문서을 통해 관리자는 조건부 액세스 정책을 시각화하며 지정된 시간 범위, 애플리케이션 묶음 및 사용자에 대한 정책의 영향을 쿼리하고 모니터링할 수 있습니다. 관리자는 특정 요구 사항에 맞게 통합 문서를 사용자 지정할 수 있습니다.
로그인 로그
관리자는 특정 로그인에서 조건부 액세스 정책 및 해당 애플리케이션을 심층 평가하기 위해 개별 로그인 이벤트를 조사할 수 있습니다. 이러한 각 이벤트에는 조건부 액세스 정책이 활성화된 것과 보고서 전용 모드로 설정된 것, 그리고 적용된 것과 적용되지 않은 것의 세부 정보가 포함됩니다.
이 옵션들을 사용하기
관리자가 보고 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.
관련 콘텐츠
- 조건부 액세스 정책 보고서 전용 모드 구성