다음을 통해 공유

자습서: 위험한 작업 시 단계별 인증(인증 컨텍스트) 필요

  • 아티클

오늘날 IT 관리자는 바위와 딱딱한 장소 사이에 갇혀 있습니다. 직원들이 생산성을 높일 수 있도록 하고자 합니다. 즉, 직원이 언제든지 모든 장치에서 작업할 수 있도록 앱에 액세스할 수 있습니다. 그러나 독점 및 권한 있는 정보를 포함하여 회사의 자산을 보호하려고 합니다. 직원이 데이터를 보호하면서 클라우드 앱에 액세스할 수 있도록 하려면 어떻게 해야 할까요?

이 자습서에서는 사용자가 세션 중에 중요한 작업을 수행할 때 Microsoft Entra 조건부 액세스 정책을 재평가할 수 있습니다.

위협

회사 사무실에서 SharePoint Online에 로그인한 직원 동일한 세션 동안 회사 네트워크 외부에 등록된 IP 주소입니다. 어쩌면 그들은 아래층 커피숍에 갔거나 악의적인 공격자에 의해 토큰이 손상되거나 도난당했을 수도 있습니다.

해결 방법

Defender for Cloud Apps 조건부 액세스 앱 제어에서 중요한 세션 작업 중에 Microsoft Entra 조건부 액세스 정책을 재평가하도록 요구하여 organization 보호합니다.

필수 구성 요소

  • Microsoft Entra ID P1 라이선스에 대한 유효한 라이선스

  • 클라우드 앱(이 경우 SharePoint Online)은 Microsoft Entra ID 앱으로 구성되고 SAML 2.0 또는 OpenID Connect를 통해 SSO를 사용합니다.

  • 앱이 Defender for Cloud Apps 배포되었는지 확인합니다.

단계별 인증을 적용하는 정책 만들기

Defender for Cloud Apps 세션 정책을 사용하면 디바이스 상태에 따라 세션을 제한할 수 있습니다. 디바이스를 조건으로 사용하여 세션을 제어하려면 조건부 액세스 정책과 세션 정책을 모두 만듭니다.

정책을 만들려면 다음을 수행합니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 경찰 ->정책 관리로 이동합니다.

  2. 정책 페이지에서 정책 만들기세션 정책을 차례로 선택합니다.

  3. 세션 정책 만들기 페이지에서 정책에 이름과 설명을 지정합니다. 예를 들어 관리되지 않는 디바이스에서 SharePoint Online에서 다운로드할 때 단계별 인증이 필요합니다.

  4. 정책 심각도범주를 할당합니다.

  5. 세션 제어 유형에 대해 활동 차단,파일 업로드 제어(검사 포함),파일 다운로드 제어(검사 포함)를 선택합니다.

  6. 다음 섹션과 일치하는 활동의활동 원본에서 필터를 선택합니다.

    • 디바이스 태그: 같지 않음을 선택한 다음 Intune 규격, Microsoft Entra 하이브리드 조인 또는 유효한 클라이언트 인증서를 선택합니다. 선택은 관리되는 디바이스를 식별하는 데 organization 사용되는 방법에 따라 달라집니다.

    • : 자동 Azure AD 온보딩을 선택한 다음 목록에서 SharePoint Online을 선택합니다.

    • 사용자: 모니터링할 사용자를 선택합니다.

  7. 다음 섹션과 일치하는 파일의활동 원본에서 다음 필터를 설정합니다.

    • 민감도 레이블: Microsoft Purview Information Protection 민감도 레이블을 사용하는 경우 특정 Microsoft Purview Information Protection 민감도 레이블을 기반으로 파일을 필터링합니다.

    • 파일 이름 또는 파일 형식을 선택하여 파일 이름 또는 형식에 따라 제한을 적용합니다.

  8. 콘텐츠 검사를 사용하도록 설정하여 내부 DLP가 파일에서 중요한 콘텐츠를 검색할 수 있도록 합니다.

  9. 작업에서 단계별 인증 필요를 선택합니다.

    참고

    이렇게 하려면 Microsoft Entra ID 인증 컨텍스트를 만들어야 합니다.

  10. 정책이 일치할 때 수신하려는 경고를 설정합니다. 너무 많은 경고를 받지 않도록 제한을 설정할 수 있습니다. 경고를 전자 메일 메시지로 가져올지 선택합니다.

  11. 만들기를 선택합니다.

정책 유효성 검사

  1. 이 정책을 시뮬레이션하려면 관리되지 않는 디바이스 또는 회사 이외의 네트워크 위치에서 앱에 로그인합니다. 그런 다음 파일을 다운로드해 봅니다.

  2. 인증 컨텍스트 정책에 구성된 작업을 수행해야 합니다.

  3. Microsoft Defender 포털의 Cloud Apps에서 경찰 ->정책 관리로 이동합니다. 그런 다음, 만든 정책을 선택하여 정책 보고서를 봅니다. 세션 정책 일치가 곧 표시됩니다.

  4. 정책 보고서에서 세션 제어를 위해 Microsoft Defender for Cloud Apps 리디렉션된 로그인과 모니터링되는 세션에서 다운로드되거나 차단된 파일을 확인할 수 있습니다.

다음 단계

액세스 정책을 만드는 방법

세션 정책을 만드는 방법

문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.