관리 사용자에 대한 액세스 및 세션 제어 문제 해결
이 문서에서는 관리자가 경험한 일반적인 액세스 및 세션 제어 문제를 조사하고 resolve 방법에 대한 지침을 Microsoft Defender for Cloud Apps 관리자에게 제공합니다.
참고
프록시 기능과 관련된 문제 해결은 Microsoft Edge를 사용하여 브라우저 내 보호를 위해 구성되지 않은 세션에만 관련됩니다.
최소 요구 사항 확인
문제 해결을 시작하기 전에 환경이 액세스 및 세션 제어에 대한 다음과 같은 최소 일반 요구 사항을 충족하는지 확인합니다.
요구 사항 | 설명 |
---|---|
라이선스 | Microsoft Defender for Cloud Apps 유효한 라이선스가 있는지 확인합니다. |
SSO(단일 Sign-On) | 지원되는 SSO 솔루션 중 하나를 사용하여 앱을 구성해야 합니다. - SAML 2.0 또는 OpenID Connect 2.0을 사용하여 Microsoft Entra ID - SAML 2.0을 사용하는 비 Microsoft IdP |
브라우저 지원 | 세션 컨트롤은 다음 브라우저의 최신 버전에서 브라우저 기반 세션에 사용할 수 있습니다. - Microsoft Edge - Google Chrome - Mozilla Firefox - Apple Safari Microsoft Edge에 대한 브라우저 내 보호에는 회사 프로필로 로그인한 사용자를 비롯한 특정 요구 사항도 있습니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조하세요. |
가동 중단 | Defender for Cloud Apps 구성 요소가 제대로 작동하지 않는 등 서비스 중단이 있는 경우 적용할 기본 동작을 정의할 수 있습니다. 예를 들어 일반 정책 컨트롤을 적용할 수 없는 경우 사용자가 잠재적으로 중요한 콘텐츠에 대한 작업을 수행하지 못하도록 강화(차단) 또는 우회(허용)할 수 있습니다. 시스템 가동 중지 시간 동안 기본 동작을 구성하려면 Microsoft Defender XDR설정 조건부 액세스 앱 제어>기본 동작>액세스 허용 또는 차단으로 이동합니다>. |
브라우저 내 보호 요구 사항
Microsoft Edge에서 브라우저 내 보호를 사용 중이고 역방향 프록시에서 계속 제공되는 경우 다음 추가 요구 사항을 충족하는지 확인합니다.
이 기능은 Defender XDR 설정에서 켜져 있습니다. 자세한 내용은 브라우저 내 보호 설정 구성을 참조하세요.
사용자가 다루는 모든 정책은 비즈니스용 Microsoft Edge 지원됩니다. 사용자가 비즈니스용 Microsoft Edge 지원되지 않는 다른 정책에서 제공되는 경우 항상 역방향 프록시에서 제공됩니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조하세요.
지원되는 운영 체제, ID 플랫폼 및 Edge 버전을 포함하여 지원되는 플랫폼을 사용하고 있습니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조하세요.
관리자 문제 해결 참조
다음 표를 사용하여 문제를 해결하려는 문제를 찾습니다.
네트워크 조건 문제
발생할 수 있는 일반적인 네트워크 조건 문제는 다음과 같습니다.
브라우저 페이지로 이동할 때 네트워크 오류
앱에 대한 Defender for Cloud Apps 액세스 및 세션 제어를 처음 설정하는 경우 발생할 수 있는 일반적인 네트워크 오류는 다음과 같습니다. 이 사이트는 안전하지 않으며인터넷 연결이 없습니다. 이러한 메시지는 일반적인 네트워크 구성 오류를 나타낼 수 있습니다.
다음 권장 단계
환경과 관련된 Azure IP 주소 및 DNS 이름을 사용하여 Defender for Cloud Apps 작동하도록 방화벽을 구성합니다.
- Defender for Cloud Apps 데이터 센터의 다음 IP 주소 및 DNS 이름에 대한 아웃바운드 포트 443을 추가합니다.
- 디바이스 및 브라우저 세션 다시 시작
- 로그인이 예상대로 작동하는지 확인합니다.
브라우저의 인터넷 옵션에서 TLS 1.2를 사용하도록 설정합니다. 예시:
브라우저 단계 Microsoft 인터넷 Explorer 1. 인터넷 Explorer 열기
2. 도구>인터넷 옵션>사전 탭 선택
3. 보안에서 TLS 1.2를 선택합니다.
4. 적용을 선택한 다음 확인을 선택합니다.
5. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Microsoft Edge/Edge Chromium 1. 작업 표시줄에서 검색을 열고 "인터넷 옵션"을 검색합니다.
2. 인터넷 옵션 선택
3. 보안에서 TLS 1.2를 선택합니다.
4. 적용을 선택한 다음 확인을 선택합니다.
5. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Google Chrome 1. Google Chrome 열기
2. 오른쪽 위에서 자세히(세로 점 3개) >설정을 선택합니다.
3. 아래쪽에서 고급을 선택합니다.
4. 시스템에서프록시 설정 열기를 선택합니다.
5. 고급 탭의 보안에서 TLS 1.2를 선택합니다.
6. 확인을 선택합니다.
7. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Mozilla Firefox 1. 모질라 파이어폭스 열기
2. 주소 표시줄에서 "about:config"를 검색합니다.
3. 검색 상자에서 "TLS"를 검색합니다.
4. security.tls.version.min 항목을 두 번 클릭합니다.
5. 정수 값을 3으로 설정하여 TLS 1.2를 최소 필수 버전으로 강제 적용
6. 저장(값 상자 오른쪽에 검사 표시)을 선택합니다.
7. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Safari Safari 버전 7 이상을 사용하는 경우 TLS 1.2가 자동으로 사용하도록 설정됩니다.
Defender for Cloud Apps TLS(전송 계층 보안) 프로토콜 1.2+를 사용하여 동급 최고의 암호화를 제공합니다.
- TLS 1.2+를 지원하지 않는 네이티브 클라이언트 앱 및 브라우저는 세션 제어로 구성된 경우 액세스할 수 없습니다.
- TLS 1.1 이하를 사용하는 SaaS 앱은 Defender for Cloud Apps 구성된 경우 TLS 1.2 이상을 사용하는 것으로 브라우저에 표시됩니다.
팁
세션 컨트롤은 모든 운영 체제의 모든 주요 플랫폼에서 모든 브라우저와 함께 작동하도록 빌드되지만 Microsoft Edge, Google Chrome, Mozilla Firefox 또는 Apple Safari의 최신 버전을 지원합니다. 특히 모바일 또는 데스크톱 앱에 대한 액세스를 차단하거나 허용할 수 있습니다.
느린 로그인
프록시 체인 및 비처리는 로그인 성능 저하를 초래할 수 있는 몇 가지 일반적인 문제입니다.
다음 권장 단계
로그인하는 동안 속도가 느려질 수 있는 요소를 제거하도록 환경을 구성합니다. 예를 들어 둘 이상의 프록시 서버를 연결하여 의도한 페이지로 이동하는 방화벽 또는 전달 프록시 체인이 구성되어 있을 수 있습니다. 속도 저하에 영향을 주는 다른 외부 요인도 있을 수 있습니다.
- 사용자 환경에서 프록시 연결이 발생하는지 여부를 식별합니다.
- 가능한 경우 전방 프록시를 제거합니다.
일부 앱은 인증 중에 nonce 해시를 사용하여 재생 공격을 방지합니다. 기본적으로 Defender for Cloud Apps 앱이 nonce를 사용한다고 가정합니다. 작업 중인 앱이 nonce를 사용하지 않는 경우 Defender for Cloud Apps 이 앱에 대해 nonce 처리를 사용하지 않도록 설정합니다.
- Microsoft Defender XDR 설정>Cloud Apps를 선택합니다.
- 연결된 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
- 앱 목록의 구성 중인 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음, 앱에 대해 편집 을 선택합니다.
- Nonce 처리를 선택하여 섹션을 확장한 다음 nonce 처리 사용을 선택 취소합니다.
- 앱에서 로그아웃하고 모든 브라우저 세션을 닫습니다.
- 브라우저를 다시 시작하고 앱에 다시 로그인합니다. 로그인이 예상대로 작동하는지 확인합니다.
네트워크 조건에 대한 추가 고려 사항
네트워크 조건 문제를 해결하는 동안 Defender for Cloud Apps 프록시에 대한 다음 참고 사항도 고려합니다.
세션이 다른 데이터 센터로 라우팅되는지 확인합니다. Defender for Cloud Apps 전 세계 Azure 데이터 센터를 사용하여 지리적 위치를 통해 성능을 최적화합니다.
즉, 사용자의 세션은 트래픽 패턴 및 해당 위치에 따라 지역 외부에서 호스트될 수 있습니다. 그러나 개인 정보를 보호하기 위해 이러한 데이터 센터에 세션 데이터가 저장되지 않습니다.
프록시 성능: 성능 기준 파생은 다음과 같은 Defender for Cloud Apps 프록시 외부의 여러 요인에 따라 달라집니다.
- 이 프록시와 함께 계열에 있는 다른 프록시 또는 게이트웨이
- 사용자가 있는 위치
- 대상 리소스가 있는 위치
- 페이지의 특정 요청
일반적으로 프록시는 대기 시간을 추가합니다. Defender for Cloud Apps 프록시의 장점은 다음과 같습니다.
Azure 도메인 컨트롤러의 글로벌 가용성을 사용하여 사용자를 가장 가까운 노드로 지리적으로 지정하고 왕복 거리를 줄입니다. Azure 도메인 컨트롤러는 전 세계 서비스가 거의 없는 규모로 지리적 위치를 지정할 수 있습니다.
Microsoft Entra 조건부 액세스와의 통합을 사용하여 모든 상황에서 모든 사용자가 아닌 프록시하려는 세션만 서비스로 라우팅합니다.
디바이스 식별 문제
Defender for Cloud Apps 디바이스의 관리 상태를 식별하기 위한 다음 옵션을 제공합니다.
- Microsoft Intune 규정 준수
- 하이브리드 Microsoft Entra 도메인 가입
- 클라이언트 인증서
자세한 내용은 조건부 액세스 앱 제어를 사용하여 ID 관리 디바이스를 참조하세요.
발생할 수 있는 일반적인 디바이스 식별 문제는 다음과 같습니다.
- 잘못된 Intune 준수 또는 Microsoft Entra 하이브리드 조인 디바이스
- 클라이언트 인증서가 필요한 경우 메시지를 표시하지 않습니다.
- 모든 로그인 시 클라이언트 인증서가 메시지를 표시합니다.
- 추가 고려 사항
잘못된 Intune 준수 또는 Microsoft Entra 하이브리드 조인 디바이스
Microsoft Entra 조건부 액세스를 사용하면 Intune 규격 및 Microsoft Entra 하이브리드 조인 디바이스 정보를 Defender for Cloud Apps 직접 전달할 수 있습니다. Defender for Cloud Apps 디바이스 상태를 액세스 또는 세션 정책에 대한 필터로 사용합니다.
자세한 내용은 Microsoft Entra ID 디바이스 관리 소개를 참조하세요.
다음 권장 단계
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 디바이스 식별을 선택합니다. 이 페이지에는 Defender for Cloud Apps 사용할 수 있는 디바이스 식별 옵션이 표시됩니다.
규격 디바이스 식별 및 Microsoft Entra 하이브리드 조인 식별을 각각 Intune 구성 보기를 선택하고 서비스가 설정되었는지 확인합니다. 서비스는 각각 Microsoft Entra ID 및 Intune 자동으로 동기화됩니다.
디바이스 태그 필터가 하이브리드 Azure AD 조인됨, Intune 규격 또는 둘 다와 같은 액세스 또는 세션 정책을 만듭니다.
브라우저에서 정책 필터에 따라 하이브리드 조인 또는 Intune 규격을 Microsoft Entra 디바이스에 로그인합니다.
이러한 디바이스의 활동이 로그를 채우고 있는지 확인합니다. Defender for Cloud Apps 활동 로그 페이지에서 디바이스 태그를 하이브리드 Azure AD 조인됨, Intune 준수 또는 정책 필터에 따라 둘 다에 따라 필터링합니다.
Defender for Cloud Apps 활동 로그에 활동이 채워지지 않는 경우 Microsoft Entra ID 이동하여 다음 단계를 수행합니다.
로그인 모니터링>에서 로그에 로그인 활동이 있는지 확인합니다.
로그인한 디바이스에 대한 관련 로그 항목을 선택합니다.
세부 정보 창의 디바이스 정보 탭에서 디바이스가 관리(하이브리드 Azure AD 조인됨) 또는 규격(Intune 규격)인지 확인합니다.
상태를 확인할 수 없는 경우 다른 로그 항목을 시도하거나 디바이스 데이터가 Microsoft Entra ID 올바르게 구성되었는지 확인합니다.
조건부 액세스의 경우 일부 브라우저에는 확장 설치와 같은 추가 구성이 필요할 수 있습니다. 자세한 내용은 조건부 액세스 브라우저 지원을 참조하세요.
로그인 페이지에 디바이스 정보가 아직 표시되지 않으면 Microsoft Entra ID 지원 티켓을 엽니다.
클라이언트 인증서가 필요한 경우 메시지를 표시하지 않습니다.
디바이스 식별 메커니즘은 클라이언트 인증서를 사용하여 관련 디바이스에서 인증을 요청할 수 있습니다. PEM 인증서 형식으로 서식이 지정된 X.509 루트 또는 CA(중간 인증 기관) 인증서를 업로드할 수 있습니다.
인증서에는 CA의 공개 키가 포함되어야 하며, 이 키는 세션 중에 표시되는 클라이언트 인증서에 서명하는 데 사용됩니다. 자세한 내용은 Microsoft Entra 없이 디바이스 관리 확인을 참조하세요.
다음 권장 단계
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 디바이스 식별을 선택합니다. 이 페이지에는 Defender for Cloud Apps 사용할 수 있는 디바이스 식별 옵션이 표시됩니다.
X.509 루트 또는 중간 CA 인증서를 업로드했는지 확인합니다. 인증 기관에 서명하는 데 사용되는 CA 인증서를 업로드해야 합니다.
유효한 클라이언트 인증서와 동일한 디바이스 태그 필터를 사용하여 액세스 또는 세션 정책을 만듭니다.
클라이언트 인증서가 다음과 같은지 확인합니다.
- PKCS #12 파일 형식(일반적으로 .p12 또는 .pfx 파일 확장명)을 사용하여 배포됨
- 테스트에 사용하는 디바이스의 디바이스 저장소가 아닌 사용자 저장소에 설치됨
브라우저 세션을 다시 시작합니다.
보호된 앱에 로그인하는 경우:
- 다음 URL 구문으로 리디렉션되었는지 확인합니다.
<https://*.managed.access-control.cas.ms/aad_login>
- iOS를 사용하는 경우 Safari 브라우저를 사용하고 있는지 확인합니다.
- Firefox를 사용하는 경우 Firefox의 자체 인증서 저장소에도 인증서를 추가해야 합니다. 다른 모든 브라우저는 동일한 기본 인증서 저장소를 사용합니다.
- 다음 URL 구문으로 리디렉션되었는지 확인합니다.
클라이언트 인증서가 브라우저에 표시되는지 확인합니다.
표시되지 않으면 다른 브라우저를 사용해 보세요. 대부분의 주요 브라우저는 클라이언트 인증서 검사 수행을 지원합니다. 그러나 모바일 및 데스크톱 앱은 종종 이 검사 지원하지 않을 수 있는 기본 제공 브라우저를 사용하므로 이러한 앱에 대한 인증에 영향을 줍니다.
이러한 디바이스의 활동이 로그를 채우고 있는지 확인합니다. Defender for Cloud Apps 활동 로그 페이지에서 유효한 클라이언트 인증서와 동일한 디바이스 태그에 필터를 추가합니다.
그래도 프롬프트가 표시되지 않으면 지원 티켓을 열고 다음 정보를 포함합니다.
- 문제가 발생한 브라우저 또는 네이티브 앱의 세부 정보
- iOS/Android/Windows 10 같은 운영 체제 버전
- Microsoft Edge Chromium 프롬프트가 작동하는지 언급
모든 로그인 시 클라이언트 인증서가 메시지를 표시합니다.
새 탭을 연 후 클라이언트 인증서가 팝업되는 경우 인터넷 옵션 내에 숨겨진 설정 때문일 수 있습니다. 브라우저에서 설정을 확인합니다. 예시:
Microsoft 인터넷 Explorer:
- 인터넷 Explorer 열고 도구>인터넷 옵션>고급 탭을 선택합니다.
- 보안에서 인증서가 하나만 있는 경우 클라이언트 인증서 선택하라는 메시지가 표시되지 않음을> 선택합니다.확인적용>을 선택합니다.
- 브라우저를 다시 시작하고 추가 프롬프트 없이 앱에 액세스할 수 있는지 확인합니다.
Microsoft Edge/Edge Chromium:
- 작업 표시줄에서 검색을 열고 인터넷 옵션을 검색합니다.
- 인터넷 옵션>보안>로컬 인트라넷>사용자 지정 수준을 선택합니다.
- > 기타 인증서가 하나만 있는 경우 클라이언트 인증서 선택을 묻는 메시지를 표시하지 않음에서 사용 안 함을 선택합니다.
- 확인적용>확인을> 선택합니다.
- 브라우저를 다시 시작하고 추가 프롬프트 없이 앱에 액세스할 수 있는지 확인합니다.
디바이스 식별에 대한 추가 고려 사항
디바이스 식별 문제를 해결하는 동안 클라이언트 인증서에 대한 인증서 해지를 요구할 수 있습니다.
CA에서 해지한 인증서는 더 이상 신뢰할 수 없습니다. 이 옵션을 선택하려면 모든 인증서가 CRL 프로토콜을 통과해야 합니다. 클라이언트 인증서에 CRL 엔드포인트가 없는 경우 관리되는 디바이스에서 연결할 수 없습니다.
앱을 온보딩할 때 발생하는 문제
Microsoft Entra ID 앱은 조건부 액세스 및 세션 제어를 위해 Defender for Cloud Apps 자동으로 온보딩됩니다. 카탈로그 및 사용자 지정 앱을 포함하여 비 Microsoft IdP 앱을 수동으로 온보딩해야 합니다.
자세한 내용은 다음 항목을 참조하세요.
앱을 온보딩하는 동안 발생할 수 있는 일반적인 시나리오는 다음과 같습니다.
앱이 조건부 액세스 앱 제어 앱 페이지에 표시되지 않음
비 Microsoft IdP 앱을 조건부 액세스 앱 제어에 온보딩하는 경우 최종 배포 단계는 최종 사용자가 앱으로 이동하도록 하는 것입니다. 앱이 설정 클라우드 앱 연결된 앱 >> 조건부 액세스 앱 제어 앱 페이지에 표시되지 > 않는 경우 이 섹션의 단계를 수행합니다.
다음 권장 단계
앱이 다음 조건부 액세스 앱 제어 필수 조건을 충족하는지 확인합니다.
- 유효한 Defender for Cloud Apps 라이선스가 있는지 확인합니다.
- 중복 앱을 만듭니다.
- 앱이 SAML 프로토콜을 사용하는지 확인합니다.
- 앱을 완전히 온보딩했으며 앱의 상태 연결되었는지 확인합니다.
새 시크릿 모드를 사용하거나 다시 로그인하여 새 브라우저 세션에서 앱으로 이동해야 합니다.
참고
Entra ID 앱은 하나 이상의 정책으로 구성되었거나 앱 사양이 없는 정책이 있고 사용자가 앱에 로그인한 경우에만 조건부 액세스 앱 제어 앱 페이지에 표시됩니다.
앱 상태: 설치 계속
앱의 상태 다를 수 있으며 계속 설정, 연결됨 또는 활동 없음을 포함할 수 있습니다.
타사 IdP(ID 공급자)를 통해 연결된 앱의 경우 설정이 완료되지 않은 경우 앱에 액세스할 때 설치 계속의 상태 있는 페이지가 표시됩니다. 다음 단계를 사용하여 설정을 완료합니다.
다음 권장 단계
설치 계속을 선택합니다.
다음 문서를 검토하고 필요한 모든 단계를 완료했는지 확인합니다.
다음 단계에 특히 주의하세요.
- 새 사용자 지정 SAML 앱을 만들어야 합니다. 갤러리 앱에서 사용할 수 없는 URL 및 SAML 특성을 변경하려면 이 앱이 필요합니다.
- ID 공급자가 엔터티 ID 또는 대상 그룹이라고도 하는 동일한 식별자의 재사용을 허용하지 않는 경우 원래 앱의 식별자를 변경합니다.
기본 제공 앱에 대한 컨트롤을 구성할 수 없습니다.
기본 제공 앱은 추론적으로 검색할 수 있으며 액세스 정책을 사용하여 모니터링하거나 차단할 수 있습니다. 다음 단계를 사용하여 네이티브 앱에 대한 컨트롤을 구성합니다.
다음 권장 단계
액세스 정책에서 클라이언트 앱 필터를 추가하고 모바일 및 데스크톱과 동일하게 설정합니다.
작업에서 차단을 선택합니다.
필요에 따라 사용자가 파일을 다운로드할 수 없을 때 받는 차단 메시지를 사용자 지정합니다. 예를 들어 이 메시지를 사용자 지정하려면 웹 브라우저를 사용하여 이 앱에 액세스해야 합니다.
컨트롤이 예상대로 작동하는지 테스트하고 유효성을 검사합니다.
앱이 인식되지 않음 페이지가 나타납니다.
Defender for Cloud Apps 클라우드 앱 카탈로그를 통해 31,000개 이상의 앱을 인식할 수 있습니다.
Microsoft Entra SSO를 통해 구성되고 지원되는 앱 중 하나가 아닌 사용자 지정 앱을 사용하는 경우 앱이 인식되지 않는 페이지가 표시됩니다. 이 문제를 resolve 하려면 조건부 액세스 앱 제어를 사용하여 앱을 구성해야 합니다.
다음 권장 단계
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다. 연결된 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
배너에서 새 앱 보기를 선택합니다.
새 앱 목록에서 온보딩 중인 앱을 찾고, 기호를 + 선택한 다음, 추가를 선택합니다.
- 앱이 사용자 지정 앱인지 표준 앱인지 선택합니다.
- 마법사를 계속 진행하면서 구성 중인 앱에 대해 지정된 사용자 정의 도메인 이 올바른지 확인합니다.
앱이 조건부 액세스 앱 제어 앱 페이지에 표시되는지 확인합니다.
요청 세션 제어 옵션이 나타납니다.
비 Microsoft IdP 앱을 온보딩한 후 세션 제어 요청 옵션이 표시 될 수 있습니다. 이는 카탈로그 앱에만 기본 제공 세션 컨트롤이 있기 때문에 발생합니다. 다른 앱의 경우 자체 온보딩 프로세스를 거쳐야 합니다.
Microsoft IdP가 아닌 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포의 지침을 따릅니다.
다음 권장 단계
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 앱 온보딩/유지 관리를 선택합니다.
앱을 온보딩할 사용자의 보안 주체 이름 또는 전자 메일을 입력한 다음 저장을 선택합니다.
배포 중인 앱으로 이동합니다. 표시되는 페이지는 앱이 인식되는지 여부에 따라 달라집니다. 표시되는 페이지에 따라 다음 중 하나를 수행합니다.
인식되지 않습니다. 앱을 구성하라는 메시지가 표시되는 앱 인식 되지 않는 페이지가 표시됩니다. 다음 단계를 수행합니다.
- 조건부 액세스 앱 제어를 위해 앱을 온보딩합니다.
- 앱의 도메인을 추가합니다.
- 앱의 인증서를 설치합니다.
인식됩니다. 앱이 인식되면 앱 구성 프로세스를 계속하라는 온보딩 페이지가 표시됩니다.
앱이 올바르게 작동하는 데 필요한 모든 도메인으로 앱이 구성되어 있는지 확인한 다음 앱 페이지로 돌아갑니다.
앱 온보딩에 대한 추가 고려 사항
앱 온보딩 문제를 해결하는 동안 고려해야 할 몇 가지 추가 사항이 있습니다.
Microsoft Entra 조건부 액세스 정책 설정의 차이점 이해: "모니터 전용", "다운로드 차단", "사용자 지정 정책 사용"
Microsoft Entra 조건부 액세스 정책에서 기본 제공 Defender for Cloud Apps 컨트롤인 모니터 전용 및 다운로드 차단을 구성할 수 있습니다. 이러한 설정은 Microsoft Entra ID 구성된 클라우드 앱 및 조건에 대한 Defender for Cloud Apps 프록시 기능을 적용하고 적용합니다.
더 복잡한 정책의 경우 사용자 지정 정책 사용을 선택하여 Defender for Cloud Apps 액세스 및 세션 정책을 구성할 수 있습니다.
액세스 정책에서 "모바일 및 데스크톱" 클라이언트 앱 필터 옵션 이해
Defender for Cloud Apps 액세스 정책에서 클라이언트 앱 필터가 모바일 및 데스크톱으로 설정되지 않는 한 결과 액세스 정책이 브라우저 세션에 적용됩니다.
그 이유는 이 필터를 사용하는 부산물일 수 있는 사용자 세션을 실수로 프록시하지 않도록 하기 위한 것입니다.
액세스 및 세션 정책을 만들 때 발생하는 문제
Defender for Cloud Apps 다음과 같은 구성 가능한 정책을 제공합니다.
- 액세스 정책: 브라우저, 모바일 및/또는 데스크톱 앱에 대한 액세스를 모니터링하거나 차단하는 데 사용됩니다.
- 세션 정책 브라우저에서 데이터 반입 및 반출 시나리오를 방지하기 위해 특정 작업을 모니터링, 차단 및 수행하는 데 사용됩니다.
Defender for Cloud Apps 이러한 정책을 사용하려면 먼저 Microsoft Entra 조건부 액세스에서 정책을 구성하여 세션 컨트롤을 확장해야 합니다.
Microsoft Entra 정책의 액세스 제어에서 세션>조건부 액세스 앱 컨트롤 사용을 선택합니다.
기본 제공 정책(모니터 전용 또는 다운로드 차단)을 선택하거나 사용자 지정 정책을 사용하여 Defender for Cloud Apps 고급 정책을 설정합니다.
선택을 선택하여 계속합니다.
이러한 정책을 구성하는 동안 발생할 수 있는 일반적인 시나리오는 다음과 같습니다.
- 조건부 액세스 정책에서 조건부 액세스 앱 제어 옵션을 볼 수 없습니다.
- 정책을 만들 때 오류 메시지: 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다.
- 앱에 대한 세션 정책을 만들 수 없습니다.
- 검사 방법: 데이터 분류 서비스를 선택할 수 없습니다.
- 작업을 선택할 수 없습니다 .보호
조건부 액세스 정책에서 조건부 액세스 앱 제어 옵션을 볼 수 없습니다.
세션을 Defender for Cloud Apps 라우팅하려면 조건부 액세스 앱 제어 세션 컨트롤을 포함하도록 Microsoft Entra 조건부 액세스 정책을 구성해야 합니다.
다음 권장 단계
조건부 액세스 정책에 조건부 액세스 앱 제어 옵션이 표시되지 않으면 Microsoft Entra ID P1에 대한 유효한 라이선스와 유효한 Defender for Cloud Apps 라이선스가 있는지 확인합니다.
정책을 만들 때 오류 메시지: 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다.
액세스 또는 세션 정책을 만들 때 다음과 같은 오류 메시지가 표시될 수 있습니다. 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다. 이 오류는 앱이 조건부 액세스 앱 제어를 위해 온보딩되지 않은 타사 IdP 앱임을 나타냅니다.
다음 권장 단계
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다. 연결된 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
앱이 연결되지 않음 메시지가 표시되면 다음 가이드를 사용하여 앱을 배포합니다.
앱을 배포하는 동안 문제가 발생하면 앱을 온보딩할 때 발생하는 문제를 참조하세요.
앱에 대한 세션 정책을 만들 수 없습니다.
조건부 액세스 앱 제어를 위해 비 Microsoft IdP 앱을 온보딩한 후 조건부 액세스 앱 제어 앱 페이지에 세션 제어 요청 옵션이 표시되어 있을 수 있습니다.
참고
카탈로그 앱 에는 기본 제공 세션 컨트롤이 있습니다. 다른 타사 IdP 앱의 경우 자체 온보딩 프로세스를 거쳐야 합니다. 다음 권장 단계
세션 제어에 앱을 배포합니다. 자세한 내용은 조건부 액세스 앱 제어를 위해 비 Microsoft IdP 사용자 지정 앱 온보딩을 참조하세요.
세션 정책을 만들고 앱 필터를 선택합니다.
이제 앱이 드롭다운 목록에 나열되어 있는지 확인합니다.
검사 방법: 데이터 분류 서비스를 선택할 수 없습니다.
세션 정책에서 제어 파일 다운로드(검사 포함) 세션 제어 유형을 사용하는 경우 데이터 분류 서비스 검사 방법을 사용하여 실시간으로 파일을 검사하고 구성한 조건과 일치하는 중요한 콘텐츠를 검색할 수 있습니다.
데이터 분류 서비스 검사 방법을 사용할 수 없는 경우 다음 단계를 사용하여 문제를 조사합니다.
다음 권장 단계
세션 컨트롤 형식이 컨트롤 파일 다운로드(검사 포함)로 설정되어 있는지 확인합니다.
참고
데이터 분류 서비스 검사 방법은 제어 파일 다운로드(검사 포함) 옵션에만 사용할 수 있습니다.
해당 지역에서데이터 분류 서비스 기능을 사용할 수 있는지 확인합니다.
- 해당 지역에서 기능을 사용할 수 없는 경우 기본 제공 DLP 검사 방법을 사용합니다.
- 해당 지역에서 기능을 사용할 수 있지만 여전히 데이터 분류 서비스 검사 방법을 볼 수 없는 경우 지원 티켓을 엽니다.
작업을 선택할 수 없습니다. 보호
세션 정책에서 제어 파일 다운로드(검사 포함) 세션 제어 유형을 사용하는 경우 모니터 및 차단 작업 외에도 보호 작업을 지정할 수 있습니다. 이 작업을 사용하면 조건, 콘텐츠 검사 또는 둘 다에 따라 파일에 권한을 암호화하거나 적용하는 옵션을 사용하여 파일 다운로드를 허용할 수 있습니다.
보호 작업을 사용할 수 없는 경우 다음 단계를 사용하여 문제를 조사합니다.
다음 권장 단계
보호 작업을 사용할 수 없거나 회색으로 표시된 경우 Microsoft Purview 라이선스가 있는지 확인합니다. 자세한 내용은 Microsoft Purview Information Protection 통합을 참조하세요.
보호 작업을 사용할 수 있지만 적절한 레이블이 표시되지 않는 경우
Defender for Cloud Apps 메뉴 모음에서 설정 아이콘 >Microsoft Information Protection 선택하고 통합이 사용하도록 설정되어 있는지 확인합니다.
Office 레이블의 경우 Microsoft Purview 포털에서 통합 레이블 지정이 선택되어 있는지 확인합니다.
관리 보기 도구 모음으로 진단 및 문제 해결
관리 보기 도구 모음은 화면 맨 아래에 있으며 관리 사용자가 조건부 액세스 앱 제어 문제를 진단하고 해결할 수 있는 도구를 제공합니다.
관리 보기 도구 모음을 보려면 Microsoft Defender XDR 설정의 앱 온보딩/유지 관리 목록에 특정 관리 사용자 계정을 추가해야 합니다.
앱 온보딩/유지 관리 목록에 사용자를 추가하려면 다음을 수행합니다.
Microsoft Defender XDR 설정>Cloud Apps를 선택합니다.
아래로 스크롤하고 조건부 액세스 앱 제어에서 앱 온보딩/유지 관리를 선택합니다.
추가하려는 관리자 사용자의 보안 주체 이름 또는 전자 메일 주소를 입력합니다.
프록시된 세션 내에서 조건부 액세스 앱 제어를 우회하도록 이러한 사용자 사용 옵션을 선택한 다음, 저장을 선택합니다.
예시:
다음에 나열된 사용자 중 한 명이 관리자인 지원되는 앱에서 새 세션을 시작할 때 브라우저 아래쪽에 관리 보기 도구 모음이 표시됩니다.
예를 들어 다음 이미지는 브라우저에서 OneNote를 사용할 때 브라우저 창 아래쪽에 표시되는 관리 보기 도구 모음을 보여 줌:
다음 섹션에서는 관리 보기 도구 모음을 사용하여 테스트하고 문제를 해결하는 방법을 설명합니다.
테스트 모드
관리자 사용자는 최신 릴리스가 모든 테넌트로 완전히 롤아웃되기 전에 예정된 프록시 버그 수정을 테스트할 수 있습니다. 릴리스 주기 속도를 높일 수 있도록 Microsoft 지원 팀에 버그 수정에 대한 피드백을 제공합니다.
테스트 모드에서는 관리자 사용자만 버그 수정에 제공된 변경 내용에 노출됩니다. 다른 사용자에게는 영향을 주지 않습니다.
- 테스트 모드를 켜려면 관리 보기 도구 모음에서 테스트 모드를 선택합니다.
- 테스트를 마쳤으면 테스트 모드 종료 를 선택하여 일반 기능으로 돌아갑니다.
프록시 세션 우회
비 Edge 브라우저를 사용하고 있고 애플리케이션에 액세스하거나 로드하는 데 어려움이 있는 경우 프록시 없이 애플리케이션을 실행하여 조건부 액세스 프록시에 문제가 있는지 확인할 수 있습니다.
프록시를 무시하려면 관리 보기 도구 모음에서 환경 무시를 선택합니다. URL이 접미사가 없는지 확인하여 세션이 무시되는지 확인합니다.
조건부 액세스 프록시는 다음 세션에서 다시 사용됩니다.
자세한 내용은 조건부 액세스 앱 제어 및 비즈니스용 Microsoft Edge(미리 보기)를 사용한 브라우저 내 보호 Microsoft Defender for Cloud Apps 참조하세요.
두 번째 로그인('두 번째 로그인'이라고도 함)
일부 애플리케이션에는 로그인할 수 있는 딥 링크가 둘 이상 있습니다. 앱 설정에서 로그인 링크를 정의하지 않으면 사용자가 로그인할 때 인식할 수 없는 페이지로 리디렉션되어 액세스를 차단할 수 있습니다.
Microsoft Entra ID 같은 IdP 간의 통합은 앱 로그인을 가로채고 리디렉션하는 것을 기반으로 합니다. 즉, 두 번째 로그인을 트리거하지 않고는 브라우저 로그인을 직접 제어할 수 없습니다. 두 번째 로그인을 트리거하려면 해당 용도로 특별히 두 번째 로그인 URL을 사용해야 합니다.
앱에서 nonce를 사용하는 경우 두 번째 로그인은 사용자에게 투명하거나 다시 로그인하라는 메시지가 표시될 수 있습니다.
최종 사용자에게 투명하지 않은 경우 앱 설정에 두 번째 로그인 URL을 추가합니다.
설정 > 클라우드 앱 > 연결된 앱 > 조건부 액세스 앱 제어 앱으로 이동합니다.
관련 앱을 선택한 다음, 세 개의 점을 선택합니다.
앱 편집\고급 로그인 구성을 선택합니다.
오류 페이지에 설명된 대로 두 번째 로그인 URL을 추가합니다.
앱이 nonce를 사용하지 않는다고 확신하는 경우 느린 로그인에 설명된 대로 앱 설정을 편집하여 사용하지 않도록 설정할 수 있습니다.
세션 기록
Microsoft 지원 엔지니어에게 세션 기록을 전송하여 문제의 근본 원인 분석을 지원할 수 있습니다. 관리 보기 도구 모음을 사용하여 세션을 기록합니다.
참고
모든 개인 데이터는 기록에서 제거됩니다.
세션을 기록하려면 다음을 수행합니다.
관리 보기 도구 모음에서 레코드 세션을 선택합니다. 메시지가 표시되면 계속 을 선택하여 약관에 동의합니다. 예시:
세션 시뮬레이션을 시작하는 데 필요한 경우 앱에 로그인합니다.
시나리오 녹화를 마치면 관리 보기 도구 모음에서 기록 중지를 선택해야 합니다.
기록된 세션을 보려면 다음을 수행합니다.
녹음을 완료한 후 관리 보기 도구 모음에서 세션 녹음/녹화를 선택하여 녹음된 세션을 봅니다. 이전 48시간 동안 기록된 세션 목록이 표시됩니다. 예시:
녹음/녹화를 관리하려면 파일을 선택한 다음 필요에 따라 삭제 또는 다운로드 를 선택합니다. 예시:
앱에 대한 도메인 추가
올바른 도메인을 앱에 연결하면 Defender for Cloud Apps 정책 및 감사 활동을 적용할 수 있습니다.
예를 들어 연결된 도메인에 대한 파일 다운로드를 차단하는 정책을 구성한 경우 해당 도메인에서 앱에서 파일 다운로드가 차단됩니다. 그러나 앱과 연결되지 않은 도메인에서 앱의 파일 다운로드는 차단되지 않으며 활동 로그에서 작업이 감사되지 않습니다.
관리자가 프록시된 앱에서 인식할 수 없는 도메인으로 이동하면 해당 Defender for Cloud Apps 동일한 앱 또는 다른 앱의 일부로 간주되지 않습니다. 인식할 수 없는 도메인 메시지가 표시되어 다음에 보호되도록 도메인을 추가하라는 메시지가 관리자에게 표시됩니다. 이러한 경우 관리자가 도메인을 추가하지 않으려는 경우 아무 작업도 필요하지 않습니다.
참고
Defender for Cloud Apps 앱과 연결되지 않은 도메인에 접미사를 추가하여 원활한 사용자 환경을 보장합니다.
앱에 대한 도메인을 추가하려면 다음을 수행합니다.
화면에 표시되는 Defender for Cloud Apps 관리 보기 도구 모음을 사용하여 브라우저에서 앱을 엽니다.
관리 보기 도구 모음에서 검색된 도메인을 선택합니다.
검색된 도메인 창에서 나열된 도메인 이름을 기록하거나 목록을 .csv 파일로 내보냅니다.
검색된 도메인 창에는 앱과 연결되지 않은 모든 도메인 목록이 표시됩니다. 도메인 이름은 정규화됩니다.
Microsoft Defender XDR 설정>Cloud Apps연결된 앱>>조건부 액세스 앱 제어 앱을 선택합니다.
테이블에서 앱을 찾습니다. 오른쪽의 옵션 메뉴를 선택한 다음 , 앱 편집을 선택합니다.
사용자 정의 도메인 필드에 이 앱과 연결할 도메인을 입력합니다.
앱에 이미 구성된 도메인 목록을 보려면 앱 도메인 보기 링크를 선택합니다.
도메인을 추가할 때 특정 도메인을 추가할지 또는 별표(***** 와일드카드를 사용하여 한 번에 여러 도메인을 사용할지 여부를 고려합니다.
예를 들어
sub1.contoso.com
sub2.contoso.com
은 특정 도메인의 예입니다. 이러한 도메인과 다른 형제 도메인을 한 번에 모두 추가하려면 를 사용합니다*.contoso.com
.
자세한 내용은 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.