조건부 액세스: 대상 리소스

대상 리소스(이전의 클라우드 앱, 작업 및 인증 컨텍스트)는 조건부 액세스 정책의 주요 신호입니다. 관리자는 조건부 액세스 정책을 사용하여 특정 애플리케이션, 서비스, 작업 또는 인증 컨텍스트에 제어를 할당할 수 있습니다.

• 관리자는 기본 제공되는 Microsoft 애플리케이션과 모든 Microsoft Entra 통합 애플리케이션(갤러리, 비갤러리 및 애플리케이션 프록시를 통해 게시된 애플리케이션 등)을 포함한 애플리케이션 또는 서비스 목록에서 선택할 수 있습니다.
• 관리자는 클라우드 애플리케이션이 아니라 보안 정보 등록 또는 디바이스 등록 또는 조인과 같은 사용자 작업을 기반으로 정책을 정의할 수 있으므로 조건부 액세스를 통해 해당 작업을 강제로 제어할 수 있습니다.
• 관리자는 향상된 기능을 위해 전역 보안 액세스에서 트래픽 전달 프로필을 대상으로 지정할 수 있습니다.
• 관리자는 인증 컨텍스트를 사용하여 애플리케이션에서 추가 보안 계층을 제공할 수 있습니다.

Microsoft 클라우드 애플리케이션

기존 Microsoft 클라우드 애플리케이션 중 상당수는 선택할 수 있는 애플리케이션 목록에 포함되어 있습니다.

관리자는 이러한 Microsoft 클라우드 애플리케이션에 조건부 액세스 정책을 할당할 수 있습니다. Office 365 및 Windows Azure Service Management API와 같은 일부 앱은 여러 관련 하위 앱 또는 서비스를 포함할 수 있습니다.

Important

조건부 액세스에 사용할 수 있는 애플리케이션은 온보딩 및 유효성 검사 프로세스를 진행합니다. 이러한 애플리케이션에는 모든 Microsoft 앱이 포함되지 않습니다. 대부분의 애플리케이션은 정책이 직접 적용되지 않는 백 엔드 서비스입니다. 누락된 애플리케이션을 찾고 있는 경우 특정 애플리케이션 팀에 문의하거나 UserVoice에 대한 요청을 수행할 수 있습니다.

Office 365

Microsoft 365는 Exchange, SharePoint 및 Microsoft Teams와 같은 클라우드 기반 생산성 및 협업 서비스를 제공합니다. Microsoft 365 클라우드 서비스는 원활한 협업 환경을 보장하기 위해 긴밀하게 통합됩니다. Microsoft 팀과 같은 일부 앱이 SharePoint 또는 Exchange와 같은 다른 앱에 종속되어 있기 때문에 이러한 통합은 정책을 만들 때 혼동을 일으킬 수 있습니다.

Office 365 제품군을 사용하면 해당 서비스를 한 번에 모두 대상으로 지정할 수 있습니다. 서비스 종속성 문제를 방지하기 위해 개별 클라우드 앱을 대상으로 지정하는 대신 새 Office 365 제품군을 사용하는 것이 좋습니다.

이 애플리케이션 그룹을 대상으로 지정하면 일관되지 않은 정책과 종속성으로 인해 발생할 수 있는 문제를 방지하는 데 도움이 됩니다. 예: Exchange Online 앱은 메일, 달력, 연락처 정보 등의 기존 Exchange Online 데이터에 연결됩니다. 관련 메타데이터는 검색과 같은 다양한 리소스를 통해 노출될 수 있습니다. 모든 메타데이터가 의도한 대로 보호되려면 관리자는 Office 365 앱에 정책을 할당해야 합니다.

관리자는 조건부 액세스 정책에서 전체 Office 365 제품군 또는 특정 Office 365 클라우드 앱을 제외할 수 있습니다.

포함된 모든 서비스의 전체 목록은 조건부 액세스 Office 365 앱 제품군에 포함된 앱 문서에서 찾을 수 있습니다.

Windows Azure Service Management API

Windows Azure Service Management API를 대상으로 지정하면 포털에 밀접하게 바인딩된 서비스 집합에 발급된 토큰에 대한 정책이 적용됩니다. 이 그룹에는 다음의 애플리케이션 ID가 포함됩니다.

• Azure Resource Manager
• Microsoft Entra 관리 센터도 포함하는 Azure Portal
• Azure 데이터 레이크
• Application Insights API
• Log Analytics API

정책이 Azure 관리 포털 및 API에 적용되기 때문에 Azure API 서비스 종속성이 있는 서비스 또는 클라이언트에 간접적으로 영향을 미칠 수 있습니다. 예시:

• Azure CLI
• Azure Data Factory 포털
• Azure DevOps
• Azure Event Hubs
• Azure PowerShell
• Azure Service Bus
• Azure SQL Database
• Azure Synapse
• 클래식 배포 모델 API
• Microsoft 365 관리 센터
• Microsoft IoT Central
• SQL Managed Instance
• Visual Studio 구독 관리자 포털

참고 항목

Windows Azure 서비스 관리 API 애플리케이션은 Azure PowerShell에 적용되며 이는 Azure Resource Manager API를 호출합니다. Microsoft Graph API호출하는 Microsoft Graph PowerShell 적용되지 않습니다.

Windows Azure Service Management API에 대한 샘플 정책을 설정하는 방법에 대한 자세한 내용은 조건부 액세스: Azure 관리용 MFA 필요를 참조하세요.

팁

Azure Government의 경우 Azure Government 클라우드 관리 API 애플리케이션을 대상으로 해야 합니다.

Microsoft 관리 포털

조건부 액세스 정책이 Microsoft 관리 포털 클라우드 앱을 대상으로 하는 경우 다음 Microsoft 관리 포털의 애플리케이션 ID에 발급된 토큰에 대해 정책이 적용됩니다.

• Azure Portal
• Exchange 관리 센터
• Microsoft 365 관리 센터
• Microsoft 365 Defender 포털
• Microsoft Entra 관리 센터
• Microsoft Intune 관리 센터
• Microsoft Purview 규정 준수 포털
• Microsoft Teams 관리 센터

지속적으로 목록에 더 많은 관리 포털이 추가되고 있습니다.

참고 항목

Microsoft 관리 포털 앱은 나열된 관리 포털에 대한 대화형 로그인에만 적용됩니다. Microsoft Graph 또는 Azure Resource Manager API와 같은 기본 리소스 또는 서비스에 대한 로그인은 이 애플리케이션에서 다루지 않습니다. 이러한 리소스는 Windows Azure 서비스 관리 API 앱으로 보호됩니다. 이 그룹화는 고객이 API 및 PowerShell을 사용하는 자동화에 영향을 주지 않고 관리자를 위한 MFA 채택 과정을 따라 이동할 수 있게 해줍니다. 준비가 되면 관리자가 포괄적인 보호를 위해 항상 MFA 수행하도록 요구하는 정책을 사용하는 것이 좋습니다.

다른 애플리케이션

관리자는 조건부 액세스 정책에 Microsoft Entra 등록 애플리케이션을 추가할 수 있습니다. 이러한 애플리케이션에는 다음이 포함될 수 있습니다.

• Microsoft Entra 애플리케이션 프록시를 통해 게시된 애플리케이션
• 갤러리에서 추가된 애플리케이션
• 갤러리에 없는 사용자 지정 애플리케이션
• 앱 제공 컨트롤러 및 네트워크를 통해 게시된 레거시 애플리케이션
• 암호 기반 Single Sign-On을 사용하는 애플리케이션

참고 항목

조건부 액세스 정책은 서비스에 액세스하기 위한 요구 사항을 설정하므로 클라이언트(퍼블릭/네이티브) 애플리케이션에 적용할 수 없습니다. 즉, 정책은 클라이언트(공용/네이티브) 애플리케이션에서 직접 설정되지 않고 클라이언트가 서비스를 호출할 때 적용됩니다. 예를 들어 SharePoint 서비스에서 설정된 정책은 SharePoint를 호출하는 모든 클라이언트에 적용됩니다. Exchange에 설정된 정책은 Outlook 클라이언트를 사용하여 이메일에 액세스하려고 할 때 적용됩니다. 따라서 클라이언트(공용/네이티브) 애플리케이션은 앱 선택기에서 선택할 수 없으며, 테넌트에 등록된 클라이언트(공용/네이티브) 애플리케이션의 애플리케이션 설정에서 조건부 액세스 옵션을 사용할 수 없습니다.

일부 애플리케이션은 선택기에 전혀 표시되지 않습니다. 조건부 액세스 정책에 이러한 애플리케이션을 포함하는 유일한 방법은 모든 리소스(이전의 '모든 클라우드 앱')를 포함하는 것입니다.

다양한 클라이언트 유형에 대한 조건부 액세스 이해

조건부 액세스는 클라이언트가 ID 토큰을 요청하는 기밀 클라이언트인 경우를 제외하고 클라이언트가 아닌 리소스에 적용됩니다.

• 공용 클라이언트
  • 공용 클라이언트는 데스크톱의 Microsoft Outlook 또는 Microsoft Teams와 같은 모바일 앱과 같은 디바이스에서 로컬로 실행되는 클라이언트입니다.
  • 조건부 액세스 정책은 공용 클라이언트 자체에 적용되지 않지만 공용 클라이언트에서 요청한 리소스에 따라 적용됩니다.
• 기밀 클라이언트
  • 조건부 액세스는 ID 토큰을 요청하는 경우 클라이언트에서 요청한 리소스와 기밀 클라이언트 자체에 적용됩니다.
  • 예를 들어 Outlook Web에서 Mail.Read 및 Files.Read범위에 대한 토큰을 요청하는 경우 조건부 액세스는 Exchange 및 SharePoint에 대한 정책을 적용합니다. 또한 Outlook Web에서 ID 토큰을 요청하는 경우 조건부 액세스는 Outlook Web에 대한 정책도 적용합니다.

Microsoft Entra 관리 센터에서 이러한 클라이언트 유형에 대한 로그인 로그 보려면 다음을 수행합니다.

1. Microsoft Entra 관리자 센터 에 보고서 읽기 권한자자격으로 로그인하십시오.
2. Identity>모니터링 & 상태>로그인 로그로 이동합니다.
3. 클라이언트 자격 증명 형식대한 필터를 추가합니다.
4. 로그인에 사용되는 클라이언트 자격 증명을 기반으로 특정 로그 집합을 보려면 필터를 조정합니다.

자세한 내용은 공용 클라이언트 및 기밀 클라이언트 애플리케이션 문서를 참조하세요.

모든 리소스

앱 제외 없이 모든 리소스(이전의 '모든 클라우드 앱') 조건부 액세스 정책을 적용하면 전역 보안 액세스 트래픽 전달 프로필포함하여 웹 사이트 및 서비스의 모든 토큰 요청에 정책이 적용됩니다. 이 옵션에는 조건부 액세스 정책에서 개별적으로 대상으로 지정할 수 없는 애플리케이션(예: Windows Azure Active Directory(00000002-0000-0000-c000-000000000000)이 포함됩니다.

Important

Microsoft는 모든 사용자에 대해 다단계 인증 필요설명한 것과 같이 모든 사용자 및 모든 리소스(앱 제외 제외 없음)를 대상으로 하는 기준 다단계 인증 정책을 만드는 것이 좋습니다.

모든 리소스 정책에 앱 제외가 있는 경우 조건부 액세스 동작

실수로 사용자 액세스를 차단하지 않기 위해 정책에서 앱이 제외되는 경우 특정 낮은 권한 범위는 정책 적용에서 제외됩니다. 이러한 범위는 Windows Azure Active Directory(00000002-0000-0000-c000-000000000000) 및 Microsoft Graph(00000003-0000-0000-c000-000000000000) 같은 기본 Graph API에 대한 호출이 애플리케이션에서 일반적으로 사용하는 사용자 프로필 및 그룹 멤버 자격 정보에 액세스할 수 있도록 허용합니다. 예를 들어 Outlook에서 Exchange에 대한 토큰을 요청하면 현재 사용자의 기본 계정 정보를 표시할 수 있도록 User.Read 범위도 요청합니다.

대부분의 앱은 비슷한 종속성을 가지기 때문에 모든 리소스 정책에 앱 제외가 있을 때마다 이러한 낮은 권한 범위가 자동으로 제외됩니다. 이러한 낮은 권한 범위 제외는 기본 사용자 프로필 및 그룹 정보 이외의 데이터 액세스를 허용하지 않습니다. 제외된 범위는 다음과 같이 나열되며 앱에서 이러한 권한을 사용하려면 동의가 필요합니다.

• 네이티브 클라이언트 및 SPA(단일 페이지 애플리케이션)는 다음과 같은 낮은 권한 범위에 액세스할 수 있습니다.
  • Azure AD Graph: email, offline_access, openid, profile, User.Read
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, People.Read
• 기밀 클라이언트는 모든 리소스 정책에서 제외되는 경우 다음과 같은 낮은 권한 범위에 액세스할 수 있습니다.
  • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All,User.ReadBasic.All
  • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

언급된 범위에 대한 자세한 내용은 Microsoft Graph 권한 참조 및 Microsoft ID 플랫폼의 범위 및 사용 권한을 참조하세요.

디렉터리 정보 보호

비즈니스상의 이유로 앱 제외 없는 권장 기준 MFA 정책을 구성할 수 없고 조직의 보안 정책에 디렉터리 관련 낮은 권한 범위(User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden), 대안은 Windows Azure Active Directory 대상으로 하는 별도의 조건부 액세스 정책(000000002-0000-0000-c000-000000000000)을 만드는 것입니다. Windows Azure Active Directory(Azure AD Graph라고도 함)는 사용자, 그룹 및 애플리케이션과 같은 디렉터리에 저장된 데이터를 나타내는 리소스입니다. Windows Azure Active Directory 리소스는 모든 리소스를 포함되지만 다음 단계를 사용하여 조건부 액세스 정책에서 개별적으로 대상으로 지정할 수 있습니다.

1. Microsoft Entra 관리 센터에 특성 정의 관리자 및 특성 할당 관리자로 로그인하십시오.
2. Protection>사용자 지정 보안 특성로 이동합니다.
3. 새 특성 집합 및 특성 정의를 만듭니다. 자세한 내용은 Microsoft Entra ID사용자 지정 보안 특성 정의 추가 또는 비활성화를 참조하세요.
4. IDENTITY>애플리케이션>엔터프라이즈 애플리케이션로 이동합니다.
5. 애플리케이션 유형 필터를 제거하고 00000002-0000-0000-c000-000000000000으로 시작하는 애플리케이션 ID 검색합니다.
6. Windows Azure Active Directory>사용자 지정 보안 특성을 선택합니다>. 할당 추가.
7. 정책에서 사용하려는 특성 집합 및 특성 값을 선택합니다.
8. Protection>조건부 액세스>정책으로 이동합니다.
9. 기존 정책을 만들거나 수정합니다.
10. ** 대상 리소스>리소스(이전의 클라우드 앱)>을 포함해서 >리소스를 선택하고>필터편집을 선택합니다.
11. 이전의 특성 집합 및 정의를 포함하도록 필터를 조정합니다.
12. 정책 저장

전역 보안 액세스를 사용하는 모든 인터넷 리소스

전역 보안 액세스 옵션이 있는 모든 인터넷 리소스를 사용하면 관리자가 Microsoft Entra 인터넷 액세스 인터넷 액세스 트래픽 전달 프로필을대상으로 지정할 수 있습니다.

Global Secure Access에서 이러한 프로필을 사용하면 관리자가 트래픽이 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스 통해 라우팅되는 방식을 정의하고 제어할 수 있습니다. 트래픽 전달 프로필을 디바이스 및 원격 네트워크에 할당할 수 있습니다. 이러한 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법에 대한 예는 Microsoft 365 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법 문서를 참조하세요.

이러한 프로필에 대한 자세한 내용은 전역 보안 액세스 트래픽 전달 프로필 문서를 참조하세요.

사용자 작업

사용자 작업은 사용자가 수행하는 작업입니다. 현재 조건부 액세스는 다음 두 가지 사용자 작업을 지원합니다.

• 보안 정보 등록: 이 사용자 작업을 사용하면 결합된 등록을 사용하도록 설정된 사용자가 보안 정보를 등록하려고 할 때 조건부 액세스 정책을 적용할 수 있습니다. 자세한 내용은 결합된 보안 정보 등록 문서에서 확인할 수 있습니다.

참고 항목

관리자가 보안 정보 등록을 위한 사용자 작업을 대상으로 하는 정책을 적용하는 경우 사용자 계정이 msA(Microsoft 개인 계정) 게스트인 경우 '다단계 인증 필요' 컨트롤을 사용하여 MSA 사용자가 조직에 보안 정보를 등록하도록 요구합니다. 게스트 사용자가 google 같은 다른 공급자의 경우 액세스가 차단됩니다.

• 디바이스 등록 또는 조인: 이 사용자 작업을 통해 관리자는 사용자가 Microsoft Entra ID에 디바이스를 등록 또는 조인할 때 조건부 액세스 정책을 적용할 수 있습니다. 현재 존재하는 테넌트 전체 정책 대신 디바이스를 등록하거나 조인하기 위한 다단계 인증을 구성하는 세분성을 제공합니다. 이 사용자 작업에는 세 가지 주요 고려 사항이 있습니다.
  • Require multifactor authentication은 이 사용자 작업에서 사용할 수 있는 유일한 액세스 제어이며 다른 모든 액세스 제어는 사용할 수 없습니다. 이 제한은 Microsoft Entra 디바이스 등록에 종속되거나 Microsoft Entra 디바이스 등록에 적용되지 않는 액세스 제어와의 충돌을 방지합니다.
  • Client apps, Filters for devices, Device state 조건은 조건부 액세스 정책을 적용하기 위해 Microsoft Entra 디바이스 등록에 의존하기 때문에 이 사용자 작업에 사용할 수 없습니다.

Warning

조건부 액세스 정책이 디바이스 등록 또는 가입 사용자 작업으로 구성된 경우 ID>디바이스>개요>디바이스 설정 - Require Multifactor Authentication to register or join devices with Microsoft Entra을 아니요로 설정해야 합니다. 그러지 않으면 이 사용자 작업으로 조건부 액세스 정책이 제대로 적용되지 않습니다. 이 디바이스 설정에 관한 자세한 내용은 디바이스 설정 구성에서 확인할 수 있습니다.

인증 컨텍스트

인증 컨텍스트를 사용하여 애플리케이션에서 데이터 및 작업을 추가로 보호할 수 있습니다. 이러한 애플리케이션은 사용자 지정 애플리케이션, 사용자 지정 LOB(사업 부문) 애플리케이션, SharePoint와 같은 애플리케이션 또는 클라우드 앱용 Microsoft Defender로 보호되는 애플리케이션일 수 있습니다.

예를 들어 조직에서 런치 메뉴 또는 비밀 BBQ 소스 레시피와 같은 파일을 SharePoint 사이트에 유지할 수 있습니다. 모든 사용자가 런치 메뉴 사이트에 액세스할 수 있지만 비밀 BBQ 소스 레시피 사이트에 액세스할 수 있는 사용자는 관리 디바이스에서 액세스하고 특정 사용 약관에 동의해야 할 수 있습니다.

인증 컨텍스트는 사용자 또는 워크로드 ID에서 작동하지만 동일한 조건부 액세스 정책에서는 작동하지 않습니다.

인증 컨텍스트 구성

인증 컨텍스트는 보호>조건부 액세스>인증 컨텍스트에서 관리됩니다.

새 인증 컨텍스트를 선택하여 새 인증 컨텍스트 정의를 만듭니다. 조직은 총 99개의 인증 컨텍스트 정의 c1-c99로 제한됩니다. 다음 속성을 구성합니다.

• 표시 이름은 Microsoft Entra ID와 인증 컨텍스트를 사용하는 애플리케이션 전체에서 인증 컨텍스트를 식별하는 데 사용되는 이름입니다. 필요한 인증 컨텍스트 수를 줄이기 위해 신뢰할 수 있는 디바이스와 같은 리소스에서 사용할 수 있는 이름을 사용하는 것이 좋습니다. 설정된 수를 줄이면 리디렉션 수가 제한되고 최종 사용자 환경이 향상됩니다.
• 설명에서는 관리자가 사용하는 정책과 리소스에 인증 컨텍스트를 적용하는 정책에 대한 자세한 정보를 제공합니다.
• 앱에 게시 확인란을 선택하면 인증 컨텍스트를 앱에 보급하고 할당할 수 있도록 합니다. 선택하지 않으면 다운스트림 리소스에서 인증 컨텍스트를 사용할 수 없습니다.
• ID는 읽기 전용이며 요청별 인증 컨텍스트 정의에 대한 토큰 및 앱에서 사용됩니다. 문제 해결 및 개발 사용 사례는 여기에 나열되어 있습니다.

조건부 액세스 정책에 추가

관리자는 할당>클라우드 앱 또는 작업 아래에서 이 정책을 적용할 항목을 선택합니다. 메뉴의 인증 컨텍스트를 선택하여 조건부 액세스 정책에서 게시된 인증 컨텍스트를 선택할 수 있습니다.

인증 컨텍스트 삭제

인증 컨텍스트를 삭제할 때 애플리케이션에서 아직 사용하고 있지 않은지 확인합니다. 그렇지 않으면 앱 데이터에 대한 액세스가 더 이상 보호되지 않습니다. 인증 컨텍스트 조건부 액세스 정책이 적용되는 경우 로그인 로그에서 사례를 확인하여 이 필수 조건을 확인할 수 있습니다.

인증 컨텍스트를 삭제하려면 할당된 조건부 액세스 정책이 없어야 하며 앱에 게시해서는 안 됩니다. 이 요구 사항은 여전히 사용 중인 인증 컨텍스트가 실수로 삭제되는 것을 방지하는 데 도움이 됩니다.

인증 컨텍스트를 통해 리소스에 태그를 추가합니다.

애플리케이션의 인증 컨텍스트 사용에 대한 자세한 내용은 다음 문서를 참조하세요.

• 민감도 레이블을 사용하여 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 콘텐츠 보호
• Microsoft Defender for Cloud 앱
• 사용자 지정 애플리케이션

다음 단계

• 조건부 액세스: 조건
• 조건부 액세스 일반 정책
• 클라이언트 애플리케이션 종속성