다음을 통해 공유

Microsoft Entra ID에서 보호된 작업 추가, 테스트 또는 제거

  • 아티클

Microsoft Entra ID의 보호된 작업은 사용자가 작업을 수행하려고 할 때 적용되는 조건부 액세스 정책이 할당된 권한입니다. 이 문서에서는 보호된 작업을 추가, 테스트 또는 제거하는 방법을 설명합니다.

참고 항목

보호된 작업이 올바르게 구성되고 적용되도록 하려면 다음 시퀀스로 이러한 단계를 수행해야 합니다. 이 순서를 따르지 않으면 반복적으로 다시 인증 요청을 가져오는 등 예기치 못한 동작이 발생할 수 있습니다.

필수 조건

보호된 작업을 추가하거나 제거하려면 다음이 필요합니다.

1단계: 조건부 액세스 정책을 구성합니다1

보호된 작업은 조건부 액세스 인증 컨텍스트를 사용하므로 인증 컨텍스트를 구성하고 이를 조건부 액세스 정책에 추가해야 합니다. 인증 컨텍스트가 포함된 정책이 이미 있는 경우 다음 섹션으로 건너뛸 수 있습니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스>인증 컨텍스트>인증 컨텍스트를 선택합니다.

  3. 새 인증 컨텍스트를 선택하여 인증 컨텍스트 추가 창을 엽니다.

  4. 이름과 설명을 입력한 다음 저장을 선택합니다.

    새 인증 컨텍스트를 추가하기 위한 인증 컨텍스트 추가 창의 스크린샷.

  5. 새 정책을 만들려면 정책>새 정책을 선택합니다.

  6. 새 정책을 만들고 인증 컨텍스트를 선택합니다.

    자세한 내용은 조건부 액세스: 클라우드 앱, 작업 및 인증 컨텍스트를 참조하세요.

    인증 컨텍스트를 사용하여 새 정책을 만들기 위한 새 정책 페이지의 스크린샷.

2단계: 보호된 작업 추가

보호 작업을 추가하려면 조건부 액세스 인증 컨텍스트를 사용하여 하나 이상의 권한에 조건부 액세스 정책을 할당합니다.

  1. 보호>조건부 액세스>정책을 선택합니다.

  2. 보호된 작업에 사용하려는 조건부 액세스 정책의 상태가 해제 또는 보고 전용이 아닌 설정으로 설정되어 있는지 확인합니다.

  3. ID>역할 및 관리자>보호된 작업을 선택합니다.

    역할 및 관리자의 보호된 작업 추가 페이지 스크린샷.

  4. 새 보호된 작업을 추가하려면 보호된 작업 추가를 선택합니다.

    보호된 작업 추가가 사용 중지된 경우 조건부 액세스 관리자 또는 보안 관리자 역할이 할당되었는지 확인합니다. 자세한 내용은 보호된 작업 문제 해결을 참조하세요.

  5. 구성된 조건부 액세스 인증 컨텍스트를 선택합니다.

  6. 권한 선택을 선택하고 조건부 액세스로 보호할 권한을 선택합니다.

    권한이 선택된 보호된 작업 추가 페이지의 스크린샷.

  7. 추가를 선택합니다.

  8. 완료되면 저장을 선택합니다.

    새로운 보호된 작업이 보호된 작업 목록에 나타납니다.

3단계: 보호된 작업 테스트

사용자가 보호된 작업을 수행하는 경우 조건부 액세스 정책 요구 사항을 충족해야 합니다. 이 섹션에서는 정책을 충족하라는 메시지가 표시되는 사용자 환경을 보여 줍니다. 이 예에서 사용자는 조건부 액세스 정책을 업데이트하기 전에 FIDO 보안 키로 인증해야 합니다.

  1. 정책을 충족해야 하는 사용자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스를 선택합니다.

  3. 조건부 액세스 정책을 선택하여 확인합니다.

    인증 요구 사항이 충족되지 않아 정책 편집이 사용하지 않도록 설정되었습니다. 페이지 하단에는 다음 참고 사항이 있습니다.

    편집은 추가 액세스 요구 사항에 의해 보호됩니다. 다시 인증하려면 여기를 클릭합니다.

    다시 인증하라는 메모가 포함된 사용하지 않도록 설정된 조건부 액세스 정책의 스크린샷.

  4. 다시 인증하려면 여기를 클릭합니다를 선택합니다.

  5. 브라우저가 Microsoft Entra 로그인 페이지로 리디렉션되면 인증 요구 사항을 완료합니다.

    다시 인증을 위한 로그인 페이지 스크린샷.

    인증 요구 사항을 완료한 후 정책을 편집할 수 있습니다.

  6. 정책을 편집하고 변경 내용을 저장합니다.

    편집할 수 있는 사용하도록 설정된 조건부 액세스 정책의 스크린샷.

보호된 작업 제거

보호 작업을 제거하려면 권한에서 조건부 액세스 정책 요구 사항을 할당 취소합니다.

  1. ID>역할 및 관리자>보호된 작업을 선택합니다.

  2. 할당 취소할 권한 조건부 액세스 정책을 찾아 선택합니다.

    삭제 권한이 선택된 보호된 작업 페이지의 스크린샷.

  3. 도구 모음에서 제거를 선택합니다.

    보호된 작업을 제거한 후에는 해당 권한에 조건부 액세스 요구 사항이 적용되지 않습니다. 새로운 조건부 액세스 정책을 권한에 할당할 수 있습니다.

Microsoft Graph

보호된 작업 추가

권한에 인증 컨텍스트 값을 할당하면 보호된 작업이 추가됩니다. 테넌트에서 사용 가능한 인증 컨텍스트 값은 authenticationContextClassReference API를 호출하여 발견할 수 있습니다.

인증 컨텍스트는 unifiedRbacResourceAction API 베타 엔드포인트를 사용하여 권한에 할당될 수 있습니다.

https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/

다음 예에서는 microsoft.directory/conditionalAccessPolicies/delete 권한에 설정된 인증 컨텍스트 ID를 가져오는 방법을 보여 줍니다.

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions/microsoft.directory-conditionalAccessPolicies-delete-delete?$select=authenticationContextId,isAuthenticationContextSettable

isAuthenticationContextSettable 속성이 true로 설정된 리소스 작업은 인증 컨텍스트를 지원합니다. 속성 값이 authenticationContextId인 리소스 작업은 작업에 할당된 인증 컨텍스트 ID입니다.

isAuthenticationContextSettableauthenticationContextId 속성을 보려면 리소스 작업 API에 요청할 때 select 문에 해당 속성이 포함되어야 합니다.

보호된 작업 문제 해결

증상 - 인증 컨텍스트 값을 선택할 수 없습니다.

조건부 액세스 인증 컨텍스트를 선택하려고 하면 선택할 수 있는 값이 없습니다.

선택할 인증 컨텍스트가 없는 보호된 작업 추가 페이지의 스크린샷.

원인

테넌트에서 조건부 액세스 인증 컨텍스트 값이 사용하도록 설정되지 않았습니다.

솔루션

새 인증 컨텍스트를 추가하여 테넌트에 대한 인증 컨텍스트를 사용하도록 설정합니다. 값을 선택할 수 있도록 앱에 게시가 선택되어 있는지 확인합니다. 자세한 내용은 인증 컨텍스트를 참조하세요.

증상 - 정책이 트리거되지 않습니다.

경우에 따라 보호된 작업을 추가한 후 사용자에게 예상대로 메시지가 표시되지 않을 수 있습니다. 예를 들어, 정책에 따라 다단계 인증이 필요한 경우 사용자에게 로그인 메시지가 표시되지 않을 수 있습니다.

원인 1

사용자는 보호된 작업에 사용되는 조건부 액세스 정책에 할당되지 않았습니다.

해결 방법 1

조건부 액세스 What If 도구를 사용하여 사용자에게 정책이 할당되었는지 확인합니다. 도구를 사용할 때 보호된 작업에 사용된 사용자 및 인증 컨텍스트를 선택합니다. What If를 선택하고 예상 정책이 적용할 정책 표에 나열되어 있는지 확인합니다. 정책이 적용되지 않는 경우 정책 사용자 할당 조건을 확인하고 사용자를 추가합니다.

원인 2

사용자가 이전에 정책을 만족했습니다. 예를 들어, 동일한 세션에서 이전에 완료된 다단계 인증입니다.

해결 방법 2

문제를 해결하려면 Microsoft Entra 로그인 이벤트를 확인합니다. 로그인 이벤트에는 사용자가 이미 다단계 인증을 완료했는지 여부를 포함하여 세션에 대한 세부 정보가 포함됩니다. 로그인 로그 문제를 해결할 때 정책 세부 정보 페이지를 확인하여 인증 컨텍스트가 요청되었는지 확인하는 것도 도움이 됩니다.

증상 - 정책이 결코 만족되지 않음

조건부 액세스 정책에 대한 요구 사항을 수행하려고 하면 정책이 충족되지 않으며 계속 다시 인증하라는 요청을 가져옵니다.

원인

조건부 액세스 정책이 만들어지지 않았거나 정책 상태가 해제 또는 보고 전용입니다.

솔루션

조건부 액세스 정책이 없으면 새로 만들고 상태를 설정으로 설정합니다.

보호된 작업과 반복적인 다시 인증 요청으로 인해 조건부 액세스 페이지에 액세스할 수 없는 경우 다음 링크를 사용하여 조건부 액세스 페이지를 엽니다.

증상 - 보호된 작업을 추가할 수 있는 액세스 권한이 없습니다.

로그인하면 보호된 작업을 추가하거나 제거할 권한이 없습니다.

원인

보호된 작업을 관리할 권한이 없습니다.

솔루션

조건부 액세스 관리자 또는 보안 관리자 역할이 할당되었는지 확인합니다.

증상 - 보호된 작업을 수행하기 위해 PowerShell을 사용하여 오류가 반환되었습니다.

PowerShell을 사용하여 보호된 작업을 수행하면 오류가 반환되고 조건부 액세스 정책을 충족하라는 메시지가 표시되지 않습니다.

원인

Microsoft Graph PowerShell은 정책 프롬프트를 허용하는 데 필요한 단계별 인증을 지원합니다. Azure 및 Azure AD Graph PowerShell은 단계별 인증을 지원하지 않습니다.

솔루션

Microsoft Graph PowerShell을 사용하고 있는지 확인합니다.

다음 단계