Microsoft Defender for Cloud Apps 액세스 정책 만들기
Microsoft Defender for Cloud Apps 액세스 정책은 조건부 액세스 앱 제어를 사용하여 클라우드 앱에 대한 액세스를 실시간으로 모니터링하고 제어합니다. 액세스 정책은 사용자, 위치, 디바이스 및 앱에 따라 액세스를 제어하며 모든 디바이스에서 지원됩니다.
호스트 앱에 대해 만들어진 정책은 관련 리소스 앱에 연결되지 않습니다. 예를 들어 Teams, Exchange 또는 Gmail에 대해 만든 액세스 정책은 SharePoint, OneDrive 또는 Google 드라이브에 연결되지 않습니다. 호스트 앱 외에 리소스 앱에 대한 정책이 필요한 경우 별도의 정책을 만듭니다.
팁
일반적으로 세션을 모니터링하는 동안 액세스를 허용하거나 특정 세션 활동을 제한하려면 대신 세션 정책을 만듭니다. 자세한 내용은 세션 정책을 참조하세요.
필수 구성 요소
시작하기 전에 다음 필수 구성 요소가 있는지 확인합니다.
독립 실행형 라이선스 또는 다른 라이선스의 일부로 Defender for Cloud Apps 라이선스입니다.
독립 실행형 라이선스 또는 다른 라이선스의 일부로 Microsoft Entra ID P1에 대한 라이선스입니다.
비 Microsoft IdP를 사용하는 경우 IdP(ID 공급자) 솔루션에 필요한 라이선스입니다.
조건부 액세스 앱 제어에 온보딩된 관련 앱입니다. Microsoft Entra ID 앱은 자동으로 온보딩되지만 Microsoft IdP가 아닌 앱은 수동으로 온보딩되어야 합니다.
Microsoft가 아닌 IdP로 작업하는 경우 idP도 Microsoft Defender for Cloud Apps 사용하도록 구성했는지 확인합니다. 자세한 내용은 다음 항목을 참조하세요.
액세스 정책이 작동하려면 트래픽을 제어할 수 있는 권한을 만드는 Microsoft Entra ID 조건부 액세스 정책도 있어야 합니다.
샘플: Defender for Cloud Apps 사용할 Microsoft Entra ID 조건부 액세스 정책 만들기
이 절차에서는 Defender for Cloud Apps 사용할 조건부 액세스 정책을 만드는 방법에 대한 개략적인 예제를 제공합니다.
조건부 액세스 Microsoft Entra ID 새 정책 만들기를 선택합니다.
정책의 의미 있는 이름을 입력한 다음 세션 아래의 링크를 선택하여 정책에 컨트롤을 추가합니다.
세션 영역에서 조건부 액세스 앱 제어 사용을 선택합니다.
사용자 영역에서 모든 사용자 또는 특정 사용자 및 그룹만 포함하도록 선택합니다.
조건 및 클라이언트 앱 영역에서 정책에 포함할 조건 및 클라이언트 앱을 선택합니다.
보고서 전용을 켜기로 전환한 다음 만들기를 선택하여 정책을 저장합니다.
Microsoft Entra ID 브라우저 기반 및 비 브라우저 기반 정책을 모두 지원합니다. 보안 범위를 강화하기 위해 두 가지 유형을 모두 만드는 것이 좋습니다.
이 절차를 반복하여 비브로우저 기반 조건부 액세스 정책을 만듭니다. 클라이언트 앱 영역에서 구성 옵션을 예로 전환합니다. 그런 다음 최신 인증 클라이언트에서 브라우저 옵션을 선택 취소합니다. 다른 모든 기본 선택 항목을 선택한 상태로 둡니다.
자세한 내용은 조건부 액세스 정책 및 조건부 액세스 정책 빌드를 참조하세요.
Defender for Cloud Apps 액세스 정책 만들기
이 절차에서는 Defender for Cloud Apps 새 액세스 정책을 만드는 방법을 설명합니다.
Microsoft Defender XDR Cloud Apps > 정책 정책 > 관리 > 조건부 액세스 탭을 선택합니다.
정책 액세스 정책> 만들기를 선택합니다. 예시:
액세스 정책 만들기 페이지에서 다음 기본 정보를 입력합니다.
이름 설명 정책 이름 비관리형 디바이스에서 액세스 차단과 같은 정책의 의미 있는 이름 정책 심각도 정책에 적용할 심각도를 선택합니다. 범주 Access 컨트롤의 기본값 유지 설명 팀의 목적을 이해하는 데 도움이 되는 정책의 선택적 의미 있는 설명을 입력합니다. 다음 영역 모두와 일치하는 활동에서 정책에 적용할 추가 활동 필터를 선택합니다. 필터에는 다음 옵션이 포함됩니다.
이름 설명 앱 정책에 포함할 특정 앱에 대한 필터입니다. 먼저 자동화된 Azure AD 온보딩을 사용할지, Microsoft Entra ID 앱에 사용할지, 아니면 Microsoft IdP가 아닌 앱에 수동 온보딩을 사용할지 여부를 선택하여 앱을 선택합니다. 그런 다음 목록에서 필터에 포함할 앱을 선택합니다.
Microsoft가 아닌 IdP 앱이 목록에 없는 경우 완전히 온보딩했는지 확인합니다. 자세한 내용은 다음 항목을 참조하세요.
- 조건부 액세스 앱 제어를 위해 비 Microsoft IdP 카탈로그 앱 온보딩
- 조건부 액세스 앱 제어를 위한 비 Microsoft IdP 사용자 지정 앱 온보딩
앱 필터를 사용하지 않도록 선택하면 설정 Cloud Apps > 연결된 앱 > 조건부 액세스 앱 제어 앱 페이지에서 사용으로 표시된 모든 애플리케이션에 > 정책이 적용됩니다.
참고: 온보딩된 앱과 수동 온보딩이 필요한 앱 간에 약간의 겹침이 표시될 수 있습니다. 앱 간에 필터가 충돌하는 경우 수동으로 온보딩된 앱이 우선합니다.클라이언트 앱 브라우저 또는 모바일/데스크톱 앱을 필터링합니다. 장치 특정 디바이스 관리 방법 또는 PC, 모바일 또는 태블릿과 같은 디바이스 유형과 같은 디바이스 태그를 필터링합니다. IP 주소 IP 주소별로 필터링하거나 이전에 할당된 IP 주소 태그를 사용합니다. 위치 지리적 위치별로 필터링합니다. 명확하게 정의된 위치가 없을 경우 위험한 활동을 식별할 수 있습니다. 등록된 ISP 특정 ISP에서 들어오는 활동을 필터링합니다. 사용자 특정 사용자 또는 사용자 그룹에 대해 필터링합니다. 사용자 에이전트 문자열 특정 사용자 에이전트 문자열을 필터링합니다. 사용자 에이전트 태그 오래된 브라우저 또는 운영 체제와 같은 사용자 에이전트 태그를 필터링합니다. 예시:
결과 편집 및 미리 보기를 선택하여 현재 선택 항목과 함께 반환될 활동 유형을 미리 봅니다.
작업 영역에서 다음 옵션 중 하나를 선택합니다.
감사: 명시적으로 설정한 정책 필터에 따라 액세스를 허용하도록 이 작업을 설정합니다.
차단: 명시적으로 설정한 정책 필터에 따라 액세스를 차단하도록 이 작업을 설정합니다.
경고 영역에서 필요에 따라 다음 작업을 구성합니다.
- 정책의 심각도를 사용하여 일치하는 각 이벤트에 대한 경고 만들기
- 경고를 전자 메일로 보내기
- 정책당 일일 경고 제한
- Power Automate에 경고 보내기
입력이 끝나면 만들기를 선택합니다.
정책 테스트
액세스 정책을 만든 후 정책에 구성된 각 앱에 다시 인증하여 테스트합니다. 앱 환경이 예상대로 표시되는지 확인한 다음 활동 로그를 검사.
다음의 작업을 권장합니다.
- 테스트를 위해 특별히 만든 사용자에 대한 정책을 만듭니다.
- 앱에 다시 인증하기 전에 모든 기존 세션에서 로그아웃합니다.
- 관리되는 디바이스와 관리되지 않는 디바이스 모두에서 모바일 및 데스크톱 앱에 로그인하여 활동이 활동 로그에 완전히 캡처되도록 합니다.
정책과 일치하는 사용자로 로그인해야 합니다.
앱에서 정책을 테스트하려면 다음을 수행합니다.
- 사용자의 작업 프로세스에 포함된 앱 내의 모든 페이지를 방문하여 페이지가 올바르게 렌더링되는지 확인합니다.
- 파일 다운로드 및 업로드와 같은 일반적인 작업을 수행하여 앱의 동작과 기능이 부정적인 영향을 받지 않는지 확인합니다.
- Microsoft IdP가 아닌 사용자 지정 앱을 사용하는 경우 앱에 대해 수동으로 추가한 각 도메인을 검사.
활동 로그를 검사:
Microsoft Defender XDR 클라우드 앱 > 활동 로그를 선택하고 각 단계에 대해 캡처된 로그인 활동에 대해 검사. 고급 필터를 선택하고 원본에 대한 필터링을 Access 컨트롤과 같음으로 필터링할 수 있습니다.
Single Sign-On 로그온 활동은 조건부 액세스 앱 제어 이벤트입니다.
자세한 내용을 보려면 확장할 활동을 선택합니다. 사용자 에이전트 태그가 디바이스가 기본 제공 클라이언트인지, 모바일 또는 데스크톱 앱인지, 아니면 디바이스가 규정을 준수하고 도메인에 가입된 관리 디바이스인지를 제대로 반영하는지 확인합니다.
오류 또는 문제가 발생하는 경우 관리 보기 도구 모음을 사용하여 파일 및 기록된 세션과 같은 .Har
리소스를 수집한 다음 지원 티켓을 제출합니다.
ID 관리 디바이스에 대한 액세스 정책 만들기
클라이언트 인증서를 사용하여 Microsoft Entra 하이브리드 조인되지 않고 Microsoft Intune 관리되지 않는 디바이스에 대한 액세스를 제어합니다. 관리되는 디바이스에 새 인증서를 롤아웃하거나 타사 MDM 인증서와 같은 기존 인증서를 사용합니다. 예를 들어 관리되는 디바이스에 클라이언트 인증서를 배포한 다음 인증서가 없는 디바이스에서 액세스를 차단할 수 있습니다.
자세한 내용은 조건부 액세스 앱 제어를 사용하여 관리되는 디바이스 ID를 참조하세요.
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.
- 액세스 및 세션 제어 문제 해결
- 자습서: 조건부 액세스 앱 제어를 사용하여 중요한 정보 다운로드 차단
- 세션 컨트롤을 사용하여 관리되지 않는 디바이스에서 다운로드 차단
- 조건부 액세스 앱 제어 웨비나
문제가 발생하면 도움을 드리겠습니다. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.