조건부 액세스 정책 빌드

조건부 액세스 문서 설명에 따르면, 조건부 액세스 정책은 할당 및 액세스 제어조건-결과 문입니다. 조건부 액세스 정책은 신호를 함께 가져와서 결정을 내리고 조직 정책을 적용합니다.

조직에서 이러한 정책을 만드는 방법 무엇이 필요한가요? 어떻게 적용합니까?

조건부 액세스 신호의 개념과 조직 정책 적용 결정을 보여 주는

언제든지 개별 사용자에게 여러 조건부 액세스 정책이 적용될 수 있습니다. 이 경우 적용되는 모든 정책이 충족되어야 합니다. 예를 들어 한 정책에 다단계 인증이 필요하고 다른 정책에 규격 디바이스가 필요한 경우 MFA를 완료하고 규격 디바이스를 사용해야 합니다. 모든 할당은 논리적으로 과 AND되어 있습니다. 둘 이상의 할당이 구성된 경우 정책을 트리거하려면 모든 할당이 충족되어야 합니다.

"선택한 컨트롤 중 하나 필요"가 선택된 정책이 선택되면 정책 요구 사항이 충족되는 즉시 정의된 순서대로 액세스 권한이 부여됩니다.

모든 정책은 다음 두 단계로 적용됩니다.

• 1단계: 세션 세부 정보 수집
  • 정책 평가에 필요한 네트워크 위치 및 디바이스 ID와 같은 세션 세부 정보를 수집합니다.
  • 정책 평가의 1단계는 보고서 전용 모드사용하도록 설정된 정책 및 정책에 대해 발생합니다.
• 2단계: 적용
  • 1단계에서 수집한 세션 세부 정보를 사용하여 충족되지 않는 요구 사항을 식별합니다.
  • 블록으로 구성된 정책이 제어 권한을 부여하면 적용이 여기에서 중지되고 사용자가 차단됩니다.
  • 정책이 충족될 때까지 사용자에게 다음 순서대로 1단계 동안 충족되지 않은 더 많은 권한 부여 제어 요구 사항을 완료하라는 메시지가 표시됩니다.
    1. 다단계 인증
    2. 규격을 준수하는 것으로 표시될 디바이스
    3. Microsoft Entra 하이브리드 연결 장치
    4. 승인된 클라이언트 앱
    5. 앱 보호 정책
    6. 암호 변경
    7. 사용 약관
    8. 사용자 지정 컨트롤
  • 모든 권한 부여 컨트롤이 충족되면 세션 컨트롤(앱 적용, Cloud Apps용 Microsoft Defender 및 토큰 수명)을 적용합니다.
  • 정책 평가의 2단계는 사용하도록 설정된 모든 정책에 대해 발생합니다.

할당

할당 부분은 조건부 액세스 정책의 누가, 무엇을, 어디에 있는지를 제어합니다.

사용자 및 그룹

사용자와 그룹은 정책을 적용할 때 포함하거나 제외할 대상을 할당합니다. 이 할당에는 모든 사용자, 특정 사용자 그룹, 디렉터리 역할 또는 외부 게스트 사용자가 포함될 수 있습니다.

대상 리소스

대상 리소스 정책에 적용되는 클라우드 애플리케이션, 사용자 작업 또는 인증 컨텍스트를 포함하거나 제외할 수 있습니다.

네트워크

네트워크에는 IP 주소, 지역 및 Global Secure Access에 맞춘 규격 네트워크가 조건부 액세스 정책 결정을 위해 포함됩니다. 관리자는 위치를 정의하고 일부 위치를 조직의 기본 네트워크 위치와 같이 신뢰할 수 있는 위치로 표시하도록 선택할 수 있습니다.

여건

정책에는 여러 조건포함될 수 있습니다.

로그인 위험

Microsoft Entra ID Protection 를 보유한 조직의 경우, 그곳에서 생성된 위험 탐지가 조건부 액세스 정책에 영향을 미칠 수 있습니다.

디바이스 플랫폼

여러 디바이스 운영 체제 플랫폼이 있는 조직은 여러 플랫폼에서 특정 정책을 적용할 수 있습니다.

디바이스 플랫폼을 계산하는 데 사용되는 정보는 변경할 수 있는 사용자 에이전트 문자열과 같은 확인되지 않은 원본에서 제공됩니다.

클라이언트 앱

사용자가 클라우드 앱에 액세스하기 위해 사용하는 소프트웨어입니다. 예를 들어 '브라우저' 및 '모바일 앱 및 데스크톱 클라이언트'가 있습니다. 기본적으로 새로 만든 모든 조건부 액세스 정책은 클라이언트 앱 조건이 구성되지 않은 경우에도 모든 클라이언트 앱 유형에 적용됩니다.

디바이스에 대한 필터

이 컨트롤을 사용하면 정책의 특성에 따라 특정 디바이스를 대상으로 지정할 수 있습니다.

액세스 제어

조건부 액세스 정책의 액세스 제어 부분은 정책의 적용 방식을 제어합니다.

보조금

권한 부여 관리자에게 액세스를 차단하거나 부여할 수 있는 정책 적용 수단을 제공합니다.

액세스 차단

액세스 차단은 지정된 할당 내에서 액세스를 차단하는 기능입니다. 블록 컨트롤은 강력하며 적절한 지식으로 사용해야 합니다.

액세스 권한 부여

권한 부여 컨트롤은 하나 이상의 컨트롤 적용을 트리거할 수 있습니다.

• 다단계 인증 필요
• Intune에서 디바이스를 규정 준수로 표시해야 합니다.
• Microsoft Entra 하이브리드 조인 디바이스 필요
• 승인된 클라이언트 앱 필요
• 앱 보호 정책 필요
• 암호 변경 필요
• 사용 약관 필요

관리자는 다음 옵션을 사용하여 이전 컨트롤 중 하나 또는 선택한 모든 컨트롤을 요구할 수 있습니다. 여러 컨트롤의 기본값은 모두 요구하는 것입니다.

• 선택한 모든 컨트롤 필요(컨트롤 및 컨트롤)
• 선택한 컨트롤(컨트롤 또는 컨트롤) 중 하나 필요

세션

세션 컨트롤 사용자의 환경을 제한할 수 있습니다.

• 앱 적용 제한 사용:
  • 현재 Exchange Online 및 SharePoint Online에서만 작동합니다.
  • 전체 또는 제한된 액세스 권한을 부여하는 환경을 제어할 수 있도록 디바이스 정보를 전달합니다.
• 조건부 액세스 앱 제어 사용:
  • Cloud Apps용 Microsoft Defender의 신호를 사용하여 다음과 같은 작업을 수행합니다.
    • 중요한 문서의 다운로드, 잘라내기, 복사 및 인쇄를 차단합니다.
    • 위험한 세션 동작을 모니터링합니다.
    • 중요한 파일의 레이블 지정이 필요합니다.
• 로그인 빈도:
  • 최신 인증에 대한 기본 로그인 빈도를 변경하는 기능입니다.
• 영구 브라우저 세션:
  • 사용자가 브라우저 창을 닫고 다시 연 후에도 로그인 상태를 유지할 수 있습니다.
• 연속 액세스 평가 사용자 지정
• 복원력 기본값 사용 안 함

간단한 정책

조건부 액세스 정책에는 적용할 다음이 최소한 포함되어야 합니다.

• 정책의 이름.
• 할당 과제
  • 정책을 적용할 사용자 및/또는 그룹 .
  • 정책을 적용할 클라우드 앱 또는 작업입니다.
• 접근 제어
  • 승인 또는 차단 제어

빈 조건부 액세스 정책

일반적인 조건부 액세스 정책 문서에는 대부분의 조직에 유용할 것으로 생각되는 몇 가지 정책이 포함되어 있습니다.

관련 콘텐츠

• 조건부 액세스 정책 만들기

• Intune를 사용하여 디바이스 준수 상태 관리

• Microsoft Defender for Cloud Apps와 조건부 액세스