Microsoft 365 조직에 대한 일반적인 보안 정책
조직에서는 조직에 Microsoft 365를 배포할 때 걱정할 것이 많습니다. 이 문서에서 참조하는 조건부 액세스, 앱 보호 및 디바이스 준수 정책은 Microsoft의 권장 사항과 제로 트러스트 세 가지 원칙을 기반으로 합니다.
- 명시적으로 확인
- 최소 권한 사용
- 위반 가정
조직은 이러한 정책을 있는 그대로 사용하거나 필요에 맞게 사용자 지정할 수 있습니다. 가능하면 프로덕션 사용자에게 배포하기 전에 비프로덕션 환경에서 정책을 테스트합니다. 테스트는 사용자에게 발생할 수 있는 모든 효과를 식별하고 전달하는 데 중요합니다.
이러한 정책을 배포 경험의 위치에 따라 세 가지 보호 수준으로 그룹화합니다.
- 시작점 - 다단계 인증, 보안 암호 변경 및 앱 보호 정책을 도입하는 기본 컨트롤입니다.
- 엔터프라이즈 - 디바이스 규정 준수를 도입하는 향상된 컨트롤입니다.
- 특수 보안 - 특정 데이터 세트 또는 사용자에 대해 매번 다단계 인증이 필요한 정책입니다.
다음 다이어그램은 각 정책이 적용되는 보호 수준과 정책이 PC, 휴대폰 및 태블릿에 적용되는지 또는 두 가지 디바이스 범주를 모두 적용하는지를 보여 줍니다.
이 다이어그램을 PDF 파일로 다운로드할 수 있습니다.
팁
디바이스가 의도한 사용자의 소유임을 보장하기 위해 Intune에 디바이스를 등록하기 전에 MFA(다단계 인증)를 사용하도록 요구하는 것이 좋습니다. 디바이스 준수 정책을 적용하려면 먼저 Intune에 디바이스를 등록해야 합니다.
필수 조건
사용 권한
- 조건부 액세스 정책을 관리하는 사용자는 적어도 조건부 액세스 관리자로 Azure Portal에 로그인할 수 있어야 합니다.
- 앱 보호 및 디바이스 준수 정책을 관리하는 사용자는 적어도 Intune 관리자로 Intune에 로그인할 수 있어야 합니다.
- 구성만 볼 필요가 있는 사용자에게는 보안 읽기 권한자 또는 전역 읽기 권한자 역할이 할당될 수 있습니다.
역할 및 권한에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할 문서를 참조하세요.
사용자 등록
사용자가 사용을 요구하기 전에 다단계 인증에 등록해야 합니다. Microsoft Entra ID P2를 포함하는 라이선스가 있는 경우 Microsoft Entra ID Protection 내에서 MFA 등록 정책을 사용하여 사용자가 등록하도록 요구할 수 있습니다. Microsoft는 등록을 홍보하기 위해 다운로드하고 사용자 지정할 수 있는 통신 템플릿을 제공합니다.
그룹
이러한 권장 사항의 일부로 사용되는 모든 Microsoft Entra 그룹은 보안 그룹이 아닌 Microsoft 365 그룹으로 만들어야 합니다. 이 요구 사항은 나중에 Microsoft Teams 및 SharePoint에서 문서를 보호하는 경우 민감도 레이블을 배포하는 데 중요합니다. 자세한 내용은 Microsoft Entra ID의 그룹 및 액세스 권한에 대해 알아보기 문서를 참조하세요.
정책 할당
조건부 액세스 정책은 사용자, 그룹 및 관리자 역할에 할당될 수 있습니다. Intune 앱 보호 및 디바이스 준수 정책은 그룹에만 할당될 수 있습니다. 정책을 구성하기 전에 포함 및 제외해야 하는 사용자를 식별해야 합니다. 일반적으로 시작 지점 보호 수준 정책은 조직의 모든 사용자에게 적용됩니다.
다음은 사용자가 사용자 등록을 완료한 후 MFA를 요구하는 그룹 할당 및 제외의 예입니다.
Microsoft Entra 조건부 액세스 정책 | Include | 제외 | |
---|---|---|---|
출발점 | 중간 또는 높은 로그인 위험에 대한 다단계 인증 필요 | 모든 사용자 |
|
엔터프라이즈 | 낮음, 중간 또는 높은 로그인 위험을 위해 다단계 인증 필요 | 임원진 그룹 |
|
특수 보안 | 항상 다단계 인증 필요 | 일급 비밀 프로젝트 벅아이 그룹 |
|
그룹 및 사용자에게 더 높은 수준의 보호를 적용할 때는 주의해야 합니다. 보안의 목표는 사용자 환경에 불필요한 마찰 을 추가하는 것이 아닙니다. 예를 들어 일급 비밀 프로젝트 Buckeye 그룹의 구성원은 프로젝트에 대한 특수 보안 콘텐츠에서 작업하지 않더라도 로그인할 때마다 MFA를 사용해야 합니다. 과도한 보안 마찰로 인해 피로가 발생할 수 있습니다.
비즈니스용 Windows Hello 또는 FIDO2 보안 키와 같은 암호 없는 인증 방법을 사용하도록 설정하여 특정 보안 제어에서 발생하는 마찰을 줄일 수 있습니다.
긴급 액세스 계정
모든 조직에는 사용을 모니터링하고 정책에서 제외되는 하나 이상의 응급 액세스 계정이 있어야 합니다. 이러한 계정은 다른 모든 관리자 계정 및 인증 방법이 잠기거나 사용할 수 없는 경우에만 사용됩니다. 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
제외 항목
조건부 액세스 제외를 위한 Microsoft Entra 그룹을 만드는 것이 좋습니다. 이 그룹은 액세스 문제를 해결하는 동안 사용자에게 액세스를 제공하는 방법을 제공합니다.
Warning
이 그룹은 임시 솔루션으로만 사용하는 것이 좋습니다. 이 그룹의 변경 내용을 지속적으로 모니터링하고 감사하며 제외 그룹이 의도한 대로만 사용되고 있는지 확인합니다.
기존 정책에 이 제외 그룹을 추가하려면 다음을 수행합니다.
- 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 보호>조건부 액세스로 이동합니다.
- 기존 정책을 선택합니다.
- 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
- 제외에서 사용자 및 그룹을 선택하고 조직의 긴급 액세스 또는 비상 계정 및 조건부 액세스 제외 그룹을 선택합니다.
배포
이 표에 나열된 순서대로 시작 지점 정책을 구현하는 것이 좋습니다. 그러나 엔터프라이즈 및 특수 보안 수준의 보호에 대한 MFA 정책은 언제든지 구현할 수 있습니다.
시작 지점
정책 | 자세한 정보 | 라이선싱 |
---|---|---|
로그인 위험이 중간 또는 높은 경우 MFA 필요 | Microsoft Entra ID Protection의 위험 데이터를 사용하여 위험이 감지된 경우에만 MFA를 요구합니다. | E5 보안 추가 기능이 포함된 Microsoft 365 E5 또는 Microsoft 365 E3 |
최신 인증을 지원하지 않는 클라이언트 차단 | 최신 인증을 사용하지 않는 클라이언트는 조건부 액세스 정책을 무시할 수 있으므로 이를 차단하는 것이 중요합니다. | Microsoft 365 E3 또는 E5 |
위험 수준이 높은 사용자는 암호를 변경해야 합니다. | 계정에 대해 위험 수준이 높은 활동이 감지되면 로그인할 때 사용자가 암호를 변경하도록 합니다. | E5 보안 추가 기능이 포함된 Microsoft 365 E5 또는 Microsoft 365 E3 |
데이터 보호를 위한 애플리케이션 보호 정책 적용 | 플랫폼당 하나의 Intune 앱 보호 정책(Windows, iOS/iPadOS, Android). | Microsoft 365 E3 또는 E5 |
승인된 앱 및 앱 보호 정책 필요 | iOS, iPadOS 또는 Android를 사용하여 휴대폰 및 태블릿에 모바일 앱 보호 정책을 적용합니다. | Microsoft 365 E3 또는 E5 |
Enterprise
정책 | 자세한 정보 | 라이선싱 |
---|---|---|
로그인 위험이 낮거나 중간 또는 높은 경우 MFA 필요 | Microsoft Entra ID Protection의 위험 데이터를 사용하여 위험이 감지된 경우에만 MFA를 요구합니다. | E5 보안 추가 기능이 포함된 Microsoft 365 E5 또는 Microsoft 365 E3 |
디바이스 준수 정책 정의 | 최소 구성 요구 사항을 설정합니다. 각 플랫폼에 대해 하나의 정책입니다. | Microsoft 365 E3 또는 E5 |
규격 PC 및 모바일 디바이스 필요 | 조직에 액세스하는 디바이스에 대한 구성 요구 사항을 적용합니다. | Microsoft 365 E3 또는 E5 |
특수 보안
정책 | 자세한 정보 | 라이선싱 |
---|---|---|
항상 MFA 필요 | 사용자는 조직 서비스에 로그인할 때마다 MFA를 수행해야 합니다. | Microsoft 365 E3 또는 E5 |
앱 보호 정책
앱 보호 정책은 허용되는 앱과 조직의 데이터로 수행할 수 있는 작업을 정의합니다. 사용할 수 있는 많은 선택 사항이 있으며 일부 사용자에게는 혼란스러울 수 있습니다. 다음 기준은 요구 사항에 맞게 조정될 수 있는 Microsoft의 권장 구성입니다. 따라야 할 세 가지 템플릿을 제공하지만 대부분의 조직에서 수준 2와 3을 선택할 것이라고 생각합니다.
수준 2는 시작점 또는 엔터프라이즈 수준 보안에 매핑되며 수준 3은 특수 보안에 매핑됩니다.
수준 1 엔터프라이즈 기본 데이터 보호 – 엔터프라이즈 디바이스에 대한 최소 데이터 보호 구성으로 이 구성을 권장합니다.
수준 2 엔터프라이즈 향상된 데이터 보호 – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 직장 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다. 일부 컨트롤은 사용자 환경에 영향을 줄 수 있습니다.
수준 3 엔터프라이즈 높은 데이터 보호 – Microsoft는 더 크거나 더 정교한 보안 팀이 있는 조직에서 실행하는 디바이스 또는 고유하게 위험이 높은 특정 사용자 또는 그룹(무단 공개로 인해 조직에 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자)에 대해 이 구성을 권장합니다. 자금이 잘 조달되고 정교한 악의적 사용자의 표적이 될 가능성이 있는 조직은 이 구성을 열망해야 합니다.
앱 보호 정책 만들기
다음을 통해 데이터 보호 프레임워크 설정을 사용하여 Microsoft Intune 내에서 각 플랫폼(iOS 및 Android)에 대한 새 앱 보호 정책을 만듭니다.
- Microsoft Intune을 사용하여 앱 보호 정책을 만들고 배포하는 방법의 단계에 따라 정책을 수동으로 만듭니다.
- Intune의 PowerShell 스크립트를 사용하여 샘플 Intune 앱 보호 정책 구성 프레임워크 JSON 템플릿을 가져옵니다.
디바이스 준수 정책
Intune 디바이스 준수 정책은 디바이스가 준수로 결정되기 위해 충족해야 하는 요구 사항을 정의합니다.
각 PC, 휴대폰 또는 태블릿 플랫폼에 대한 정책을 만들어야 합니다. 이 문서에서는 다음 플랫폼에 대한 권장 사항을 설명합니다.
디바이스 준수 정책 만들기
디바이스 준수 정책을 만들려면 Microsoft Intune 관리 센터에 로그인하고 디바이스>준수 정책 정책>으로 이동합니다. 정책 만들기를 선택합니다.
Intune에서 규정 준수 정책을 만드는 방법에 대한 단계별 지침은 Microsoft Intune에서 준수 정책 만들기를 참조 하세요.
iOS/iPadOS에 대한 등록 및 규정 준수 설정
iOS/iPadOS는 몇 가지 등록 시나리오를 지원하며, 그 중 두 가지는 이 프레임워크의 일부로 다룹니다.
- 개인 소유 디바이스에 대한 디바이스 등록 – 이러한 디바이스는 개인 소유이며 회사 및 개인용으로 모두 사용됩니다.
- 회사 소유 디바이스에 대한 자동화된 디바이스 등록 – 이러한 디바이스는 회사 소유이며 단일 사용자와 연결되며 개인 용도가 아닌 업무용으로만 사용됩니다.
제로 트러스트 ID 및 디바이스 액세스 구성에 설명된 원칙 사용:
개인적으로 등록된 디바이스에 대한 규정 준수 설정
- 개인 기본 보안(수준 1) – 사용자가 회사 또는 학교 데이터에 액세스하는 개인 디바이스에 대한 최소 보안 구성으로 이 구성을 권장합니다. 이 구성은 암호 정책, 디바이스 잠금 특성을 적용하고 신뢰할 수 없는 인증서와 같은 특정 디바이스 기능을 사용하지 않도록 설정하여 수행됩니다.
- 개인 보안 강화(수준 2) – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 데이터 공유 컨트롤을 적용합니다. 이 구성은 디바이스에서 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
- 개인 높은 보안(수준 3) – Microsoft는 고유하게 위험이 높은 특정 사용자 또는 그룹에서 사용하는 디바이스(무단 공개로 인해 조직에 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자)에 대해 이 구성을 권장합니다. 이 구성은 더 강력한 암호 정책을 적용하고, 특정 디바이스 기능을 사용하지 않도록 설정하고, 추가 데이터 전송 제한을 적용합니다.
자동화된 디바이스 등록에 대한 규정 준수 설정
- 감독되는 기본 보안(수준 1) – 사용자가 회사 또는 학교 데이터에 액세스하는 감독된 디바이스에 대한 최소 보안 구성으로 이 구성을 권장합니다. 이 구성은 암호 정책, 디바이스 잠금 특성을 적용하고 신뢰할 수 없는 인증서와 같은 특정 디바이스 기능을 사용하지 않도록 설정하여 수행됩니다.
- 감독 강화된 보안(수준 2) – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 데이터 공유 컨트롤을 적용하고 USB 디바이스에 대한 액세스를 차단합니다. 이 구성은 디바이스에서 회사 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
- 감독된 높은 보안(수준 3) – Microsoft는 고유하게 위험이 높은 특정 사용자 또는 그룹에서 사용하는 디바이스에 대해 이 구성을 권장합니다(무단 공개로 인해 조직에 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자). 이 구성은 더 강력한 암호 정책을 적용하고, 특정 디바이스 기능을 사용하지 않도록 설정하고, 추가 데이터 전송 제한을 적용하며, Apple의 볼륨 구매 프로그램을 통해 앱을 설치해야 합니다.
Android에 대한 등록 및 규정 준수 설정
Android Enterprise는 몇 가지 등록 시나리오를 지원하며, 그 중 두 가지는 이 프레임워크의 일부로 다룹니다.
- Android Enterprise 회사 프로필 – 이 등록 모델은 일반적으로 IT에서 회사 및 개인 데이터 간에 명확한 분리 경계를 제공하려는 개인 소유 디바이스에 사용됩니다. IT에서 제어하는 정책은 작업 데이터를 개인 프로필로 전송할 수 없도록 합니다.
- Android Enterprise 완전 관리형 디바이스 - 이러한 디바이스는 회사 소유이며 단일 사용자와 연결되며 개인용이 아닌 업무용으로만 사용됩니다.
Android Enterprise 보안 구성 프레임워크는 여러 가지 고유한 구성 시나리오로 구성되어 회사 프로필 및 완전 관리형 시나리오에 대한 지침을 제공합니다.
제로 트러스트 ID 및 디바이스 액세스 구성에 설명된 원칙 사용:
Android Enterprise 회사 프로필 디바이스에 대한 규정 준수 설정
- 개인 소유 회사 프로필 디바이스에 사용할 수 있는 설정으로 인해 기본 보안(수준 1) 제품이 없습니다. 사용 가능한 설정은 수준 1과 수준 2의 차이를 정당화하지 않습니다.
- 회사 프로필 보안 강화(수준 2) – 사용자가 회사 또는 학교 데이터에 액세스하는 개인 디바이스에 대한 최소 보안 구성으로 이 구성을 권장합니다. 이 구성은 암호 요구 사항을 도입하고, 작업 및 개인 데이터를 구분하며, Android 디바이스 증명의 유효성을 검사합니다.
- 회사 프로필 높은 보안(수준 3) – Microsoft는 고유하게 위험이 높은 특정 사용자 또는 그룹에서 사용하는 디바이스에 대해 이 구성을 권장합니다(무단 공개로 인해 조직에 상당한 중대한 손실이 발생하는 매우 중요한 데이터를 처리하는 사용자). 이 구성은 모바일 위협 방어 또는 엔드포인트용 Microsoft Defender 도입하고, 최소 Android 버전을 설정하고, 더 강력한 암호 정책을 제정하고, 작업 및 개인 분리를 추가로 제한합니다.
Android Enterprise 완전 관리형 디바이스에 대한 규정 준수 설정
- 완전 관리형 기본 보안(수준 1) – 엔터프라이즈 디바이스에 대한 최소 보안 구성으로 이 구성을 권장합니다. 이 구성은 직장 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다. 이 구성은 암호 요구 사항을 도입하고, 최소 Android 버전을 설정하며, 특정 디바이스 제한을 적용합니다.
- 완전히 관리되는 향상된 보안(수준 2) – 사용자가 중요한 정보 또는 기밀 정보에 액세스하는 디바이스에 대해 이 구성을 권장합니다. 이 구성은 더 강력한 암호 정책을 적용하고 사용자/계정 기능을 사용하지 않도록 설정합니다.
- 완전 관리형 높은 보안(수준 3) - Microsoft는 고유하게 위험이 높은 특정 사용자 또는 그룹에서 사용하는 디바이스에 대해 이 구성을 권장합니다. 이러한 사용자는 무단 공개로 인해 조직에 상당한 중대한 손실이 발생할 수 있는 매우 중요한 데이터를 처리할 수 있습니다. 이 구성은 최소 Android 버전을 늘리고, 모바일 위협 방어 또는 엔드포인트용 Microsoft Defender 도입하고, 추가 디바이스 제한을 적용합니다.
Windows 10 이상에 대한 권장 규정 준수 설정
다음 설정은 Windows 10 이상 디바이스에 대한 규정 준수 정책 만들기 프로세스의 준수 설정인 2단계에서 구성됩니다. 이러한 설정은 제로 트러스트 ID 및 디바이스 액세스 구성에 설명된 원칙에 부합합니다.
디바이스 상태 > Windows 상태 증명 서비스 평가 규칙은 이 표를 참조하세요.
속성 | 값 |
---|---|
BitLocker 필요 | 필수 |
디바이스에서 보안 부팅을 사용하도록 설정해야 함 | 필수 |
코드 무결성 필요 | 필수 |
디바이스 속성의 경우 IT 및 보안 정책에 따라 운영 체제 버전에 적절한 값을 지정합니다.
Configuration Manager 규정 준수의 경우 Configuration Manager와 함께 공동 관리되는 환경에 있는 경우 [필요]를 선택하고, 그렇지 않으면 구성되지 않음을 선택합니다.
시스템 보안은 이 표를 참조하세요.
속성 | 값 |
---|---|
모바일 디바이스의 잠금을 해제하는 데 암호 필요 | 필수 |
간단한 암호 | 차단 |
암호 유형 | 디바이스 기본값 |
최소 암호 길이 | 6 |
암호가 필요하기 전까지 최대 비활성 시간(분) | 15분 |
암호 만료(일) | 41 |
재사용을 방지하기 위한 이전 암호 수 | 5 |
디바이스가 유휴 상태에서 반환되는 경우 암호 필요(모바일 및 홀로그램) | 필수 |
디바이스에서 데이터 스토리지 암호화 필요 | 필수 |
방화벽 | 필수 |
바이러스 백신 | 필수 |
안티스피웨어 | 필수 |
Microsoft Defender 맬웨어 방지 | 필수 |
Microsoft Defender 맬웨어 방지 최소 버전 | Microsoft는 최신 버전보다 5개 이하의 버전을 권장합니다. |
Microsoft Defender 맬웨어 방지 서명 최신 | 필수 |
실시간 보호 | 필수 |
엔드포인트용 Microsoft Defender
속성 | 값 |
---|---|
디바이스가 머신 위험 점수에 있거나 아래에 있어야 합니다. | 중간 |
조건부 액세스 정책
Intune에서 앱 보호 및 디바이스 준수 정책이 만들어지면 조건부 액세스 정책을 사용하여 적용을 사용하도록 설정할 수 있습니다.
로그인 위험에 따라 MFA 필요
일반적인 조건부 액세스 정책: 로그인 위험 기반 다단계 인증 문서의 지침에 따라 로그인 위험에 따라 다단계 인증을 요구하는 정책을 만듭니다.
정책을 구성할 때 다음 위험 수준을 사용합니다.
보호 수준 | 필요한 위험 수준 값 | 작업 |
---|---|---|
시작 지점 | 높음, 중간 | 둘 다 확인합니다. |
Enterprise | 높음, 중간, 낮음 | 세 가지를 모두 확인합니다. |
다단계 인증을 지원하지 않는 클라이언트 차단
일반적인 조건부 액세스 정책: 레거시 인증을 차단하여 레거시 인증을 차단하는 문서의 지침을 따릅니다.
위험 수준이 높은 사용자는 암호를 변경해야 합니다.
일반적인 조건부 액세스 정책: 사용자 위험 기반 암호 변경 문서의 지침에 따라 손상된 자격 증명을 가진 사용자가 암호를 변경하도록 요구합니다.
이 정책을 Microsoft Entra 암호 보호와 함께 사용하면 조직과 관련된 용어 외에도 알려진 약한 암호 및 해당 변형을 검색하고 차단합니다. Microsoft Entra 암호 보호를 사용하면 변경된 암호가 더 강력합니다.
승인된 앱 및 앱 보호 정책 필요
Intune에서 만든 앱 보호 정책을 적용하려면 조건부 액세스 정책을 만들어야 합니다. 앱 보호 정책을 적용하려면 조건부 액세스 정책 및 해당 앱 보호 정책이 필요합니다.
승인된 앱 및 APP 보호가 필요한 조건부 액세스 정책을 만들려면 모바일 디바이스를 사용하여 승인된 클라이언트 앱 또는 앱 보호 정책 필요의 단계를 따릅니다. 이 정책은 앱 보호 정책으로 보호되는 모바일 앱 내의 계정만 Microsoft 365 엔드포인트에 액세스할 수 있도록 허용합니다.
iOS 및 Android 디바이스에서 다른 클라이언트 앱에 대한 레거시 인증을 차단하면 이러한 클라이언트가 조건부 액세스 정책을 무시할 수 없습니다. 이 문서의 지침을 따르는 경우 최신 인증을 지원하지 않는 차단 클라이언트를 이미 구성한 것입니다.
규격 PC 및 모바일 디바이스 필요
다음 단계는 조직의 Intune 준수 정책으로 리소스에 액세스하는 디바이스가 준수 상태로 표시되는 것을 요구하는 조건부 액세스 정책을 만드는 데 도움이 됩니다.
주의
이 정책을 사용하도록 설정하기 전에 디바이스가 규정을 준수하는지 확인합니다. 그렇지 않으면 사용자 계정이 조건부 액세스 제외 그룹에 추가될 때까지 잠겨서 이 정책을 변경할 수 없습니다.
- Azure Portal에 로그인합니다.
- Microsoft Entra ID>보안>조건부 액세스로 이동합니다.
- 새 정책을 선택합니다.
- 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
- 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 모든 사용자를 선택합니다.
- 제외에서 사용자 및 그룹을 선택하고 조직의 긴급 액세스 또는 비상 계정을 선택합니다.
- 클라우드 앱 또는 작업>포함에서 모든 클라우드 앱을 선택합니다.
- 특정 애플리케이션을 정책에서 제외해야 하는 경우 제외된 클라우드 앱 선택의 제외 탭에서 해당 애플리케이션을 선택하고 선택을 선택할 수 있습니다.
- 액세스 제어>권한 부여에서 다음을 수행합니다.
- 준수 상태로 표시된 디바이스 필요를 선택합니다.
- 선택을 선택합니다.
- 설정을 확인하고 정책 사용을 켜기로 설정합니다.
- 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.
참고 항목
정책의 모든 사용자 및 모든 클라우드 앱에 대해 준수로 표시되도록 디바이스 필요를 선택한 경우에도 Intune에 새 디바이스를 등록할 수 있습니다. 디바이스를 준수 상태로 표시해야 함 컨트롤은 Intune 등록 및 Microsoft Intune Web 회사 포털 애플리케이션에 대한 액세스를 차단하지 않습니다.
구독 정품 인증
구독 정품 인증 기능을 사용하여 사용자가 한 버전의 Windows에서 다른 버전으로 "강화"할 수 있도록 하는 조직은 유니버설 스토어 서비스 API 및 웹 애플리케이션, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f를 디바이스 준수 정책에서 제외할 수 있습니다.
항상 MFA 필요
공통 조건부 액세스 정책 문서의 지침을 따르세요. 모든 사용자가 항상 다단계 인증을 수행하도록 특수한 보안 수준 사용자에게 MFA를 요구합니다.
Warning
정책을 구성할 때 특수 보안이 필요한 그룹을 선택하고 모든 사용자를 선택하는 대신 사용합니다.