Intune에서 조건부 액세스를 사용하는 일반적인 방법

Intune에서 사용할 수 있는 조건부 액세스 정책에는 디바이스 기반 조건부 액세스와 앱 기반 조건부 액세스의 두 가지 유형이 있습니다. 각각을 지원하려면 관련 Intune 정책을 구성해야 합니다. Intune 정책이 적용되고 배포되면 조건부 액세스를 사용하여 Exchange에 대한 액세스를 허용 또는 차단하고, 네트워크에 대한 액세스를 제어하거나, Mobile Threat Defense 솔루션과 통합하는 등의 작업을 수행할 수 있습니다.

이 문서에 있는 정보는 Intune 모바일 디바이스 규정 준수 기능 및 Intune 모바일 애플리케이션 관리(MAM) 기능 사용 방법의 이해에 도움이 됩니다.

디바이스 기반 조건부 액세스

Intune 및 Microsoft Entra ID는 관리 및 규격 디바이스만 organization 이메일, Microsoft 365 서비스, SaaS(Software as a Service) 앱 및 온-프레미스 앱에 액세스할 수 있도록 함께 작동합니다. 또한 도메인에 가입된 컴퓨터 또는 Intune에 등록된 모바일 디바이스만 Microsoft 365 서비스에 액세스할 수 있도록 Microsoft Entra ID로 정책을 설정할 수 있습니다.

Intune을 사용하면 디바이스 규정 준수 정책을 배포하여 디바이스가 예상 구성 및 보안 요구 사항을 충족하는지 확인합니다. 규정 준수 정책 평가는 디바이스 규정 준수 상태 결정합니다. 이 상태 Intune 및 Microsoft Entra ID 모두에 보고됩니다. 조건부 액세스 정책은 디바이스의 규정 준수 상태 사용하여 해당 디바이스에서 organization 리소스에 대한 액세스를 허용하거나 차단할지 여부를 결정할 수 있는 Microsoft Entra ID입니다.

Exchange Online 및 기타 Microsoft 365 제품에 대한 디바이스 기반 조건부 액세스 정책은 Microsoft Intune 관리 센터를 통해 구성됩니다.

• Microsoft Entra ID에서 조건부 액세스를 사용하여 관리되는 디바이스 필요를 자세히 알아봅니다.

• Intune 디바이스 준수에 대해 자세히 확인해 보세요.

• Microsoft Entra ID에서 조건부 액세스를 사용하는 지원되는 브라우저에 대해 자세히 알아봅니다.

Microsoft Intune 제어를 위해 조건부 액세스에서 사용할 수 있는 애플리케이션

Microsoft Entra 관리 센터에서 조건부 액세스를 구성하는 경우 다음 두 가지 애플리케이션 중에서 선택할 수 있습니다.

1. Microsoft Intune - 이 애플리케이션은 Microsoft Intune 관리 센터 및 데이터 원본에 대한 액세스를 제어합니다. Microsoft Intune 관리 센터 및 데이터 원본을 대상으로 지정하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다.
2. Microsoft Intune 등록 - 이 애플리케이션은 등록 워크플로를 제어합니다. 등록 프로세스를 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다. 자세한 내용은 Intune 장치 등록에 다단계 인증 필요를 참조하세요.

네트워크 액세스 제어 기준 조건부 액세스

Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.

사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.

• 자세한 내용은 Intune과 NAC 통합을 참조하세요.

디바이스 위험 기준 조건부 액세스

Intune은 보안 솔루션을 제공하는 Mobile Threat Defense 공급업체와의 제휴를 통해 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 검색합니다.

Intune과 Mobile Threat Defense 통합의 작동 방식

모바일 디바이스에 Mobile Threat Defense 에이전트가 설치되어 있으면 해당 에이전트는 모바일 디바이스 자체에서 위협이 발견되었는지를 보고하는 준수 상태 메시지를 Intune으로 다시 보냅니다.

Intune과 Mobile Threat Defense 통합은 디바이스 위험 기반 조건부 액세스를 결정할 때 중요한 요인으로 작용합니다.

• Intune Mobile Threat Defense에 대해 자세히 알아보세요.

Windows PC에 대한 조건부 액세스

PC에 대한 조건부 액세스는 모바일 디바이스에 사용할 수 있는 것과 유사한 기능을 제공합니다. 이 항목에서는 Intune으로 PC를 관리할 때 조건부 액세스를 사용할 수 있는 방식을 설명합니다.

회사 소유

• 하이브리드 조인 Microsoft Entra: 이 옵션은 AD 그룹 정책 또는 Configuration Manager 통해 PC를 이미 관리하는 방식에 합리적으로 익숙한 조직에서 일반적으로 사용됩니다.

• Microsoft Entra 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 주로 온-프레미스 인프라 사용을 줄이기 위해 클라우드 서비스를 사용) 또는 클라우드 전용(온-프레미스 인프라 없음)을 원하는 조직을 위한 것입니다. Microsoft Entra 조인은 하이브리드 환경에서 잘 작동하므로 클라우드 및 온-프레미스 앱과 리소스 모두에 액세스할 수 있습니다. 디바이스는 Microsoft Entra ID에 조인하고 회사 리소스에 액세스할 때 조건부 액세스 조건으로 사용할 수 있는 Intune에 등록됩니다.

BYOD(Bring Your Own Device)

• 작업 공간 연결 및 Intune 관리: 이 경우 사용자는 개인 디바이스에 연결하여 회사 리소스 및 서비스에 액세스할 수 있습니다. 작업 공간 연결을 사용하여 디바이스를 Intune MDM에 등록하면 디바이스 수준 정책을 수신할 수 있습니다. 이러한 방식은 조건부 액세스 기준을 평가할 수 있는 다른 옵션입니다.

Microsoft Entra ID의 장치 관리 대해 자세히 알아보세요.

앱 기반 조건부 액세스

Intune 및 Microsoft Entra ID는 함께 작동하여 관리되는 앱만 회사 전자 메일 또는 기타 Microsoft 365 서비스에 액세스할 수 있도록 합니다.

• Intune을 사용하는 앱 기반 조건부 액세스에 대해 자세히 알아보세요.

Exchange 온-프레미스에 대한 Intune 조건부 액세스

조건부 액세스를 사용하면 디바이스 준수 정책 및 등록 상태를 기반으로 Exchange 온-프레미스에 대한 액세스를 허용하거나 차단할 수 있습니다. 조건부 액세스를 디바이스 준수 정책과 함께 사용하면 준수 디바이스에서만 Exchange 온-프레미스에 액세스할 수 있습니다.

다음과 같은 보다 자세한 제어를 위해 조건부 액세스에서 고급 설정을 구성할 수 있습니다.

• 특정 플랫폼 허용 또는 차단

• Intune에서 관리하지 않는 디바이스 즉시 차단

디바이스 준수 및 조건부 액세스 정책을 적용하면 Exchange 온-프레미스에 액세스하는 데 사용되는 모든 디바이스에서 준수를 확인합니다.

디바이스가 설정된 조건을 충족하지 않는 경우 최종 사용자에게 디바이스를 등록하고 비규격의 원인이 되는 문제를 해결하는 과정이 안내됩니다.

Intune은 어떤 역할을 하나요?

Intune은 디바이스 상태를 평가하고 관리합니다.

Exchange 서버는 어떤 역할을 하나요?

Exchange 서버는 디바이스를 해당 격리로 이동하는 API 및 인프라를 제공합니다.

다음 단계

Microsoft Entra ID에서 조건부 액세스를 구성하는 방법

앱 기반 조건부 액세스 정책 설정

Exchange 온-프레미스에 대한 조건부 액세스 정책을 만드는 방법