조건부 액세스 사용에 관한 자세한 정보

  • 4분

Intune 또는 Configuration Manager를 사용하면 조직에서 적절한 자격 증명을 사용하여 회사 데이터를 액세스 및 공유하는지 확인할 수 있습니다.

Intune을 사용하는 조건부 액세스

Intune은 다음 형식의 조건부 액세스를 제공합니다.

  • 디바이스 기반 조건부 액세스
    • Exchange 온-프레미스에 대한 조건부 액세스
    • 네트워크 액세스 제어 기준 조건부 액세스
    • 디바이스 위험 기준 조건부 액세스
    • Windows PC에 대한 조건부 액세스
      • 회사 소유
      • BYOD(Bring Your Own Device)
  • 앱 기반 조건부 액세스

공동 관리를 사용한 조건부 액세스

공동 관리를 사용하는 경우 Intune은 네트워크의 모든 디바이스를 평가하여 얼마나 신뢰할 수 있는지 확인합니다. 이 평가는 다음 두 가지 방법으로 수행합니다.

  1. Intune에서는 디바이스 또는 앱이 관리되며 안전하게 구성되어 있는지 확인합니다. 이 확인은 조직의 준수 정책을 어떻게 설정했는지에 따라 달라집니다. 예를 들어 모든 디바이스가 암호화를 사용하도록 설정되어 있고 무단 해제되지 않았는지 확인합니다.

    • 이 평가는 사전 보안 위반 및 구성을 기반으로 합니다.

    • 공동 관리 디바이스의 경우 Configuration Manager는 필요한 업데이트나 앱 준수와 같은 항목에 대한 구성 기반 평가도 수행합니다. Intune은 이 평가를 자체 평가와 결합합니다.

  2. Intune은 디바이스에서 활성 보안 인시던트를 검색합니다. Microsoft Defender Advanced Threat Protection(이전 Microsoft Defender Advanced Threat Protection 또는 Windows Defender ATP) 및 기타 모바일 위협 방어 공급자의 인텔리전트 보안을 사용합니다. 이러한 파트너는 디바이스에서 지속적인 동작 분석을 실행합니다. 이 분석에서는 활성 인시던트를 검색한 다음, 이 정보를 실시간 준수 평가를 위해 Intune에 전달합니다.

    • 이 평가는 사전 보안 위반 및 인시던트 기반입니다.

조건부 액세스를 사용하는 일반적인 방법

조직에서 조건부 액세스 준수를 주도하도록 관련 준수 정책을 구성해야 합니다. 조건부 액세스는 일반적으로 Exchange에 대한 액세스를 허용 또는 차단하거나, 네트워크에 대한 액세스를 제어하거나, Mobile Threat Defense 솔루션과 통합하는 등의 작업을 수행하는 데 사용됩니다.

디바이스 기반 조건부 액세스

Intune과 Microsoft Entra ID는 함께 작동하여 관리되고 규정을 준수하는 디바이스만 이메일, Office 365 서비스, SaaS(서비스 제공 소프트웨어) 앱 및 온-프레미스 앱에 액세스할 수 있도록 합니다. 또한 도메인 가입 컴퓨터나 Intune에 등록된 모바일 디바이스만 Office 365 서비스에 액세스할 수 있도록 Microsoft Entra ID에서 정책을 설정할 수 있습니다.

Intune은 디바이스의 준수 상태를 평가하는 디바이스 준수 정책 기능을 제공합니다. 규정 준수 상태는 사용자가 회사 리소스에 액세스하려고 할 때 Microsoft Entra ID에서 만들어진 조건부 액세스 정책을 적용하는 데 사용하는 Microsoft Entra ID에 보고됩니다.

네트워크 액세스 제어 기준 조건부 액세스

Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.

사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.

디바이스 위험 기준 조건부 액세스

Intune은 보안 솔루션을 제공하는 Mobile Threat Defense 공급업체와의 제휴를 통해 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 검색합니다.

Intune과 Mobile Threat Defense 통합의 작동 방식

모바일 디바이스에 Mobile Threat Defense 에이전트가 설치되어 있으면 해당 에이전트는 모바일 디바이스 자체에서 위협이 발견되었는지를 보고하는 준수 상태 메시지를 Intune으로 다시 보냅니다.

Intune 및 Mobile Threat Defense 통합은 디바이스 위험에 따른 조건부 액세스 결정에서 역할을 합니다.

Windows PC에 대한 조건부 액세스

PC의 조건부 액세스는 모바일 디바이스에 사용할 수 있는 기능과 비슷한 기능을 제공합니다. Intune을 사용하여 PC를 관리하는 경우 조건부 액세스를 사용하는 방법을 알아보겠습니다.

회사 소유

  • Microsoft Entra 하이브리드에 합류: AD 그룹 정책이나 Configuration Manager를 통해 이미 PC를 관리하고 있는 방식에 상당히 익숙한 조직에서는 일반적으로 이 옵션을 사용합니다.

  • Microsoft Entra 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 온-프레미스 인프라 사용을 줄이기 위한 목표로 클라우드 서비스를 주로 사용) 또는 클라우드 전용(온-프레미스 인프라 없음)을 원하는 조직을 위한 것입니다. Microsoft Entra 조인은 하이브리드 환경에서 잘 작동하므로 클라우드와 온-프레미스 앱 및 리소스에 모두 액세스할 수 있습니다. 디바이스는 Microsoft Entra ID에 조인하고 Intune에 등록됩니다. 이는 회사 리소스에 액세스할 때 조건 액세스 기준으로 사용할 수 있습니다.

BYOD(Bring Your Own Device)

  • 작업 공간에 연결 및 Intune 관리: 사용자는 개인 디바이스를 조인하여 회사 리소스 및 서비스에 액세스할 수 있습니다. Workplace Join을 사용하고 Intune MDM에 디바이스를 등록하여 조건부 액세스 조건을 평가하는 또 다른 옵션인 디바이스 수준 정책을 수신할 수 있습니다.

앱 기반 조건부 액세스

Intune과 Microsoft Entra ID는 함께 작동하여 관리 앱만 회사 이메일이나 기타 Office 365 서비스에 액세스할 수 있도록 합니다.