자습서: 조건부 액세스 앱 제어를 사용하여 중요한 정보 다운로드 차단
오늘날의 IT 관리자는 바위와 딱딱한 장소 사이에 갇혀 있습니다. 직원들이 생산성을 높일 수 있도록 하고자 합니다. 즉, 직원이 언제든지 모든 장치에서 작업할 수 있도록 앱에 액세스할 수 있습니다. 그러나 독점 및 권한 있는 정보를 포함하여 회사의 자산을 보호하려고 합니다. 직원이 데이터를 보호하면서 클라우드 앱에 액세스할 수 있도록 하려면 어떻게 해야 할까요? 이 자습서에서는 관리되지 않는 디바이스 또는 회사 외 네트워크 위치에서 엔터프라이즈 클라우드 앱의 중요한 데이터에 액세스할 수 있는 사용자의 다운로드를 차단할 수 있습니다.
이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.
위협
organization 계정 관리자는 주말 동안 집에서 개인 노트북으로 Salesforce에서 무언가를 검사 싶어합니다. Salesforce 데이터에는 클라이언트 신용 카드 정보 또는 개인 정보가 포함될 수 있습니다. 홈 PC는 관리되지 않습니다. Salesforce에서 PC로 문서를 다운로드하는 경우 맬웨어에 감염되었을 수 있습니다. 디바이스를 분실하거나 도난당한 경우 암호로 보호되지 않을 수 있으며 디바이스를 발견한 사람은 중요한 정보에 액세스할 수 있습니다.
이 경우 사용자는 Microsoft Entra ID 통해 회사 자격 증명을 사용하여 Salesforce에 로그인합니다.
해결 방법
Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 클라우드 앱 사용을 모니터링하고 제어하여 organization 보호합니다.
필수 구성 요소
- Microsoft Entra ID P1 라이선스 또는 IdP(ID 공급자) 솔루션에 필요한 라이선스에 대한 유효한 라이선스
- Salesforce에 대한 Microsoft Entra 조건부 액세스 정책
- Microsoft Entra ID 앱으로 구성된 Salesforce
관리되지 않는 장치에 대한 다운로드 차단 정책 만들기
이 절차에서는 디바이스 상태에 따라 세션을 제한할 수 있는 Defender for Cloud Apps 세션 정책만 만드는 방법을 설명합니다.
디바이스를 조건으로 사용하여 세션을 제어하려면 Defender for Cloud Apps 액세스 정책도 만들어야 합니다. 자세한 내용은 Microsoft Defender for Cloud Apps 액세스 정책 만들기를 참조하세요.
세션 정책을 만들려면
Microsoft Defender 포털의 Cloud Apps에서 정책 정책>관리를 선택합니다.
정책 페이지에서 정책>세션 정책 만들기를 선택합니다.
세션 정책 만들기 페이지에서 정책에 이름과 설명을 지정합니다. 예를 들어 관리되지 않는 디바이스에 대한 Salesforce에서 다운로드를 차단합니다.
정책 심각도 및 범주를 할당합니다.
세션 컨트롤 형식에 대해 파일 다운로드 제어(검사 포함)를 선택합니다. 이 설정을 사용하면 사용자가 Salesforce 세션 내에서 수행하는 모든 작업을 모니터링할 수 있으며 실시간으로 다운로드를 차단하고 보호할 수 있습니다.
다음 섹션과 일치하는 활동의활동 원본에서 필터를 선택합니다.
디바이스 태그: 같지 않음을 선택합니다. Intune 규격, 하이브리드 Azure AD 조인 또는 유효한 클라이언트 인증서를 선택합니다. 선택은 관리되는 디바이스를 식별하는 데 organization 사용되는 방법에 따라 달라집니다.
앱: 자동 Azure AD 온보딩EqualsSalesforce를 >> 선택합니다.
또는 회사 네트워크에 속하지 않는 위치에 대한 다운로드를 차단할 수 있습니다. 다음 섹션과 일치하는 활동의활동 원본에서 다음 필터를 설정합니다.
- IP 주소 또는 위치: 이 두 매개 변수 중 하나를 사용하여 사용자가 중요한 데이터에 액세스하려고 할 수 있는 회사 이외의 위치 또는 알 수 없는 위치를 식별합니다.
참고
관리되지 않는 디바이스 및 비사용자 위치에서 다운로드를 차단하려면 두 개의 세션 정책을 만들어야 합니다. 한 정책은 위치를 사용하여 활동 원본 을 설정합니다. 다른 정책은 활동 원본 을 관리되지 않는 디바이스로 설정합니다.
- 앱: 자동 Azure AD 온보딩EqualsSalesforce를 >> 선택합니다.
다음 섹션과 일치하는 파일의활동 원본에서 다음 필터를 설정합니다.
민감도 레이블: Microsoft Purview Information Protection 민감도 레이블을 사용하는 경우 특정 Microsoft Purview Information Protection 민감도 레이블을 기반으로 파일을 필터링합니다.
파일 이름 또는 파일 형식을 선택하여 파일 이름 또는 형식에 따라 제한을 적용합니다.
콘텐츠 검사를 사용하도록 설정하여 내부 DLP가 파일에서 중요한 콘텐츠를 검색할 수 있도록 합니다.
작업에서 블록을 선택합니다. 사용자가 파일을 다운로드할 수 없을 때 받는 차단 메시지를 사용자 지정합니다.
너무 많은 경고를 받지 않도록 제한과 같이 정책이 일치할 때 수신할 경고를 구성하고 경고를 전자 메일로 가져올지 여부를 구성합니다.
만들기를 선택합니다.
정책 유효성 검사
차단된 파일 다운로드를 시뮬레이션하려면 관리되지 않는 디바이스 또는 회사 이외의 네트워크 위치에서 앱에 로그인합니다. 그런 다음 파일을 다운로드해 봅니다.
파일은 차단되어야 하며 블록 메시지 사용자 지정에서 이전에 정의한 메시지를 받아야 합니다.
Microsoft Defender Portal의 Cloud Apps에서 정책으로 이동한 다음 정책 관리를 선택합니다. 그런 다음, 만든 정책을 선택하여 정책 보고서를 봅니다. 세션 정책 일치가 곧 표시됩니다.
정책 보고서에서 세션 제어를 위해 Microsoft Defender for Cloud Apps 리디렉션된 로그인과 모니터링되는 세션에서 다운로드되거나 차단된 파일을 확인할 수 있습니다.
다음 단계
문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.