클라우드용 Microsoft Defender 앱 조건부 액세스 앱 제어
오늘날의 작업 영역에서는 사실 이후에 클라우드 환경에서 어떤 일이 일어났는지 아는 것만으로는 충분하지 않습니다. 또한 위반 및 누출을 실시간으로 중지하고 직원이 의도적으로 또는 실수로 데이터와 조직을 위험에 빠뜨리는 것을 방지해야 합니다.
사용자가 사용 가능한 최상의 클라우드 앱을 사용하고 자신의 디바이스를 작동하도록 하는 동안 조직의 사용자를 지원하려고 합니다. 그러나 실시간으로 데이터 유출 및 도난으로부터 조직을 보호하는 도구도 필요합니다. 클라우드용 Microsoft Defender 앱은 IdP(ID 공급자)와 통합되어 액세스 및 세션 정책을 사용하여 이 보호를 제공합니다.
예시:
액세스 정책을 사용하여 다음을 수행합니다.
- 관리되지 않는 디바이스에서 들어오는 사용자에 대한 Salesforce에 대한 액세스 차단
- 네이티브 클라이언트에 대한 Dropbox에 대한 액세스를 차단합니다.
세션 정책을 사용하여 다음을 수행합니다.
- OneDrive에서 관리되지 않는 장치로의 중요한 파일 다운로드 차단
- SharePoint Online에 대한 맬웨어 파일 업로드 차단
Microsoft Edge 사용자는 브라우저의 주소 표시줄에 표시된 잠금 
아이콘으로 표시된 브라우저 내 직접 보호를 활용할 수 있습니다.
다른 브라우저의 사용자는 역방향 프록시를 통해 클라우드용 Defender 앱으로 리디렉션되고 링크의 URL에 접미사가 표시됩니다*.mcas.ms. 예를 들어 앱 URL이 myapp.com 경우 앱 URL이 myapp.com.mcas.ms 업데이트됩니다.
이 문서에서는 Microsoft Entra 조건부 액세스 정책을 사용하여 클라우드용 Defender 앱의 조건부 액세스 앱 제어에 대해 설명합니다.
유용성
조건부 액세스 앱 제어는 디바이스에 아무것도 설치할 필요가 없으므로 관리되지 않는 디바이스 또는 파트너 사용자의 세션을 모니터링하거나 제어할 때 이상적입니다.
클라우드용 Defender 앱은 동급 최고의 특허 받은 추론을 사용하여 대상 앱에서 사용자가 수행한 활동을 식별하고 제어합니다. 추론은 보안을 최적화하고 유용성과 균형을 유지하도록 설계되었습니다.
일부 드문 시나리오에서는 서버 쪽에서 활동을 차단하면 앱을 사용할 수 없게 만들 때 클라이언트 쪽에서만 이러한 활동을 보호하므로 악의적인 내부자가 악용될 수 있습니다.
시스템 성능 및 데이터 스토리지
클라우드용 Defender 앱은 전 세계의 Azure 데이터 센터를 사용하여 지리적 위치를 통해 최적화된 성능을 제공합니다. 즉, 사용자의 세션은 트래픽 패턴 및 해당 위치에 따라 특정 지역 외부에서 호스트될 수 있습니다. 그러나 개인 정보를 보호하기 위해 이러한 데이터 센터에는 세션 데이터가 저장되지 않습니다.
클라우드용 Defender 앱 프록시 서버는 미사용 데이터를 저장하지 않습니다. 콘텐츠를 캐싱할 때 RFC 7234(HTTP 캐싱)에 명시된 요구 사항을 따르고 공용 콘텐츠만 캐시합니다.
지원되는 활동 참조
조건부 액세스 앱 제어는 액세스 정책 및 세션 정책을 사용하여 조직 전체에서 실시간으로 사용자 앱 액세스 및 세션을 모니터링하고 제어합니다.
각 정책에는 누가(사용자 또는 사용자 그룹), 어떤 클라우드 앱인지, 정책이 적용되는 위치(위치 및 네트워크)를 정의하는 조건이 있습니다. 조건을 결정한 후 먼저 사용자를 클라우드용 Defender 앱으로 라우팅합니다. 여기서 액세스 및 세션 컨트롤을 적용하여 데이터를 보호할 수 있습니다.
액세스 및 세션 정책에는 다음과 같은 유형의 활동이 포함됩니다.
| 작업 | 설명 |
|---|---|
| 데이터 반출 방지 | 중요한 문서(예: 관리되지 않는 디바이스)의 다운로드, 잘라내기, 복사 및 인쇄를 차단합니다. |
| 인증 컨텍스트 필요 | 다단계 인증 요구와 같은 중요한 작업이 세션에서 발생할 때 Microsoft Entra 조건부 액세스 정책을 다시 평가합니다. |
| 다운로드할 때 보호 | 중요한 문서의 다운로드를 차단하는 대신 Microsoft Purview Information Protection과 통합할 때 문서에 레이블을 지정하고 암호화해야 합니다. 이 작업을 수행하면 문서가 보호되고 잠재적으로 위험한 세션에서 사용자 액세스가 제한됩니다. |
| 레이블이 지정되지 않은 파일 업로드 방지 | 중요한 콘텐츠가 있는 레이블이 지정되지 않은 파일이 사용자가 콘텐츠를 분류할 때까지 업로드되지 않도록 차단해야 합니다. 중요한 파일을 업로드, 배포 및 다른 사용자가 사용하려면 중요한 파일에 조직의 정책에 의해 정의된 레이블이 있는지 확인해야 합니다. |
| 잠재적인 맬웨어 차단 | 잠재적으로 악성 파일의 업로드를 차단하여 맬웨어로부터 환경을 보호합니다. 업로드되거나 다운로드된 모든 파일은 Microsoft 위협 인텔리전스에 대해 검사하고 즉시 차단할 수 있습니다. |
| 준수에 대한 사용자 세션 모니터링 | 사용자 동작을 조사하고 분석하여 향후 세션 정책을 적용해야 하는 위치 및 조건하에서 파악합니다. 위험한 사용자가 앱에 로그인하고 해당 작업이 세션 내에서 기록될 때 모니터링됩니다. |
| 액세스 차단 | 여러 위험 요소에 따라 특정 앱 및 사용자에 대한 액세스를 세부적으로 차단합니다. 예를 들어 디바이스 관리의 형태로 클라이언트 인증서를 사용하는 경우 차단할 수 있습니다. |
| 사용자 지정 활동 차단 | 일부 앱에는 위험을 수반하는 고유한 시나리오가 있습니다(예: Microsoft Teams 또는 Slack과 같은 앱에서 중요한 콘텐츠가 포함된 메시지 보내기). 이러한 종류의 시나리오에서는 메시지를 검색하여 중요한 콘텐츠를 검색하고 실시간으로 차단합니다. |
자세한 내용은 다음을 참조하세요.
지원되는 앱 및 클라이언트
SAML 2.0 인증 프로토콜을 사용하는 대화형 Single Sign-On에 세션 및 액세스 권한을 제어에 적용합니다. 액세스 제어는 기본 제공 모바일 및 데스크톱 클라이언트 앱에도 지원됩니다.
또한 Microsoft Entra ID 앱을 사용하는 경우 세션 및 액세스 제어를 적용하여 다음을 수행합니다.
- Open ID 커넥트 인증 프로토콜을 사용하는 대화형 Single Sign-On입니다.
- 온-프레미스에서 호스트되고 Microsoft Entra 애플리케이션 프록시로 구성된 앱.
클라우드용 Defender 앱은 클라우드 앱 카탈로그의 데이터를 사용하여 앱을 식별합니다. 플러그 인을 사용하여 앱을 사용자 지정한 경우 연결된 사용자 지정 작업기본 카탈로그의 관련 앱에 추가해야 합니다. 자세한 내용은 위험 점수 사용을 참조하세요.
참고 항목
Authenticator 앱 및 기타 기본 제공 앱과 같은 비대화형 로그인 흐름이 있는 앱은 액세스 제어에 사용할 수 없습니다.
미리 온보딩된 앱
이전에 멘션 인증 프로토콜을 사용하여 구성된 모든 웹앱을 온보딩하여 액세스 및 세션 제어를 사용할 수 있습니다. 또한 다음 앱은 Microsoft Entra ID에 대한 액세스 및 세션 컨트롤을 모두 사용하여 이미 온보딩되어 있습니다.
참고 항목
원하는 애플리케이션을 액세스 및 세션 컨트롤로 라우팅하고 첫 번째 로그인을 수행해야 합니다.
- AWS
- Box
- Concur
- CornerStone on Demand
- DocuSign
- Dropbox
- Egnyte
- GitHub
- Google 작업 영역
- HighQ
- JIRA/Confluence
- LinkedIn Learning
- Microsoft Azure DevOps(Visual Studio Team Services)
- Microsoft Azure Portal
- Microsoft Dynamics 365 CRM
- Microsoft Exchange Online
- 비즈니스용 Microsoft OneDrive
- Microsoft Power BI
- Microsoft SharePoint Online
- Microsoft Teams
- Microsoft Yammer
- Salesforce
- Slack
- Tableau
- Workday
- Workiva
- Meta의 작업 공간
미리 온보딩 되는 특정 앱에 관심이 있는 경우 앱에 대한 세부 정보를 보내주세요. 온보딩에 관심이 있는 사용 사례를 보내야 합니다.
지원되는 브라우저
세션 컨트롤은 모든 운영 체제의 모든 주요 플랫폼에 있는 모든 브라우저에서 작동하도록 빌드되지만 다음 브라우저를 지원합니다.
- Microsoft Edge (최신)
- Google Chrome (최신)
- 모질라 파이어 폭스 (최신)
- Apple Safari (최신)
Microsoft Edge 사용자는 역방향 프록시로 리디렉션하지 않고 브라우저 내 보호를 활용할 수 있습니다. 자세한 내용은 비즈니스용 Microsoft Edge(미리 보기)를 사용하여 브라우저 내 보호를 참조하세요.
TLS 1.2 이상에 대한 앱 지원
클라우드용 Defender 앱은 TLS(전송 계층 보안) 프로토콜 1.2+를 사용하여 동급 최고의 암호화를 제공하며, TLS 1.2+를 지원하지 않는 기본 제공 클라이언트 앱 및 브라우저는 세션 제어를 사용하여 구성할 때 액세스할 수 없습니다.
그러나 TLS 1.1 이하를 사용하는 SaaS 앱은 클라우드용 Defender 앱으로 구성된 경우 TLS 1.2+를 사용하는 것으로 브라우저에 표시됩니다.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.