조건부 액세스: 대상 리소스

  • 아티클

대상 리소스(이전의 클라우드 앱, 작업 및 인증 컨텍스트)는 조건부 액세스 정책의 주요 신호입니다. 관리자는 조건부 액세스 정책을 사용하여 특정 애플리케이션, 서비스, 작업 또는 인증 컨텍스트에 제어를 할당할 수 있습니다.

  • 관리자는 기본 제공되는 Microsoft 애플리케이션과 모든 Microsoft Entra 통합 애플리케이션(갤러리, 비갤러리 및 애플리케이션 프록시를 통해 게시된 애플리케이션 등)을 포함한 애플리케이션 또는 서비스 목록에서 선택할 수 있습니다.
  • 관리자는 클라우드 애플리케이션이 아니라 보안 정보 등록 또는 디바이스 등록 또는 조인과 같은 사용자 작업을 기반으로 정책을 정의할 수 있으므로 조건부 액세스를 통해 해당 작업을 강제로 제어할 수 있습니다.
  • 관리자는 향상된 기능을 위해 전역 보안 액세스에서 트래픽 전달 프로필을 대상으로 지정할 수 있습니다.
  • 관리자는 인증 컨텍스트를 사용하여 애플리케이션에서 추가 보안 계층을 제공할 수 있습니다.

조건부 액세스 정책과 대상 리소스 패널을 표시하는 스크린샷.

Microsoft 클라우드 애플리케이션

기존 Microsoft 클라우드 애플리케이션 중 상당수는 선택할 수 있는 애플리케이션 목록에 포함되어 있습니다.

관리자들은 Microsoft의 다음 클라우드 앱에 조건부 액세스 정책을 할당할 수 있습니다. Office 365 및 Windows Azure Service Management API와 같은 일부 앱에는 여러 개의 관련 하위 앱 또는 서비스가 포함되어 있습니다. 계속해서 더 많은 앱이 추가하고 있으므로 다음 목록은 완전한 목록이 아니며 변경될 수 있습니다.

Important

조건부 액세스에 사용할 수 있는 애플리케이션이 온보딩 및 유효성 검사 프로세스를 통과했습니다. 이 목록에 모든 Microsoft 앱이 포함되는 것은 아닙니다. 대부분 백 엔드 서비스이고 정책이 직접 적용되지 않기 때문입니다. 누락된 애플리케이션을 찾고 있는 경우 특정 애플리케이션 팀에 문의하거나 UserVoice에 대한 요청을 수행할 수 있습니다.

Office 365

Microsoft 365는 Exchange, SharePoint 및 Microsoft Teams와 같은 클라우드 기반 생산성 및 협업 서비스를 제공합니다. Microsoft 365 클라우드 서비스는 원활한 협업 환경을 보장하기 위해 긴밀하게 통합됩니다. Microsoft 팀과 같은 일부 앱이 SharePoint 또는 Exchange와 같은 다른 앱에 종속되어 있기 때문에 이러한 통합은 정책을 만들 때 혼동을 일으킬 수 있습니다.

Office 365 제품군을 사용하면 해당 서비스를 한 번에 모두 대상으로 지정할 수 있습니다. 서비스 종속성 문제를 방지하기 위해 개별 클라우드 앱을 대상으로 지정하는 대신 새 Office 365 제품군을 사용하는 것이 좋습니다.

이 애플리케이션 그룹을 대상으로 지정하면 일관되지 않은 정책과 종속성으로 인해 발생할 수 있는 문제를 방지하는 데 도움이 됩니다. 예: Exchange Online 앱은 메일, 달력, 연락처 정보 등의 기존 Exchange Online 데이터에 연결됩니다. 관련 메타데이터는 검색과 같은 다양한 리소스를 통해 노출될 수 있습니다. 모든 메타데이터가 의도한 대로 보호되려면 관리자는 Office 365 앱에 정책을 할당해야 합니다.

관리자는 조건부 액세스 정책에서 전체 Office 365 제품군 또는 특정 Office 365 클라우드 앱을 제외할 수 있습니다.

포함된 모든 서비스의 전체 목록은 조건부 액세스 Office 365 앱 제품군에 포함된 앱 문서에서 찾을 수 있습니다.

Windows Azure Service Management API

Windows Azure Service Management API를 대상으로 지정하면 포털에 밀접하게 바인딩된 서비스 집합에 발급된 토큰에 대한 정책이 적용됩니다. 이 그룹에는 다음의 애플리케이션 ID가 포함됩니다.

  • Azure Resource Manager
  • Microsoft Entra 관리 센터도 포함하는 Azure Portal
  • Azure 데이터 레이크
  • Application Insights API
  • Log Analytics API

정책이 Azure 관리 포털 및 API에 적용되기 때문에 Azure API 서비스 종속성이 있는 서비스 또는 클라이언트에 간접적으로 영향을 미칠 수 있습니다. 예시:

  • 클래식 배포 모델 API
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory 포털
  • Azure Event Hubs
  • Azure Service Bus
  • Azure SQL Database
  • SQL Managed Instance
  • Azure Synapse
  • Visual Studio 구독 관리자 포털
  • Microsoft IoT Central

참고 항목

Windows Azure 서비스 관리 API 애플리케이션은 Azure Resource Manager API를 호출하는 Azure PowerShell적용됩니다. Microsoft Graph API를 호출하는 Microsoft Graph PowerShell에는 적용되지 않습니다.

Windows Azure Service Management API에 대한 샘플 정책을 설정하는 방법에 대한 자세한 내용은 조건부 액세스: Azure 관리용 MFA 필요를 참조하세요.

Azure Government의 경우 Azure Government 클라우드 관리 API 애플리케이션을 대상으로 해야 합니다.

Microsoft 관리 포털

조건부 액세스 정책이 Microsoft 관리 포털 클라우드 앱을 대상으로 하는 경우 다음 Microsoft 관리 포털의 애플리케이션 ID에 발급된 토큰에 대해 정책이 적용됩니다.

  • Azure Portal
  • Exchange 관리 센터
  • Microsoft 365 관리 센터
  • Microsoft 365 Defender 포털
  • Microsoft Entra 관리 센터
  • Microsoft Intune 관리 센터
  • Microsoft Purview 규정 준수 포털
  • Microsoft Teams 관리 센터

지속적으로 목록에 더 많은 관리 포털이 추가되고 있습니다.

참고 항목

Microsoft 관리 포털 앱은 나열된 관리 포털에 대한 대화형 로그인에만 적용됩니다. Microsoft Graph 또는 Azure Resource Manager API와 같은 기본 리소스 또는 서비스에 대한 로그인은 이 애플리케이션에서 다루지 않습니다. 이러한 리소스는 Windows Azure 서비스 관리 API 앱으로 보호됩니다. 이를 통해 고객은 API 및 PowerShell을 사용하는 자동화에 영향을 주지 않고 관리자를 위한 MFA 채택 과정을 진행할 수 있습니다. 준비가 되면 포괄적인 보호를 위해 관리자가 항상 MFA를 수행하도록 요구하는 정책을 사용하는 것이 좋습니다.

다른 애플리케이션

관리자는 조건부 액세스 정책에 Microsoft Entra 등록 애플리케이션을 추가할 수 있습니다. 이러한 애플리케이션에는 다음이 포함될 수 있습니다.

참고 항목

조건부 액세스 정책은 서비스에 액세스하기 위한 요구 사항을 설정하므로 클라이언트(퍼블릭/네이티브) 애플리케이션에 적용할 수 없습니다. 다시 말해, 정책은 클라이언트(공개/원시) 애플리케이션에 직접 설정되지 않으며 다만 클라이언트가 서비스를 호출할 때 적용됩니다. 예를 들어 SharePoint 서비스에 설정된 정책은 SharePoint를 호출하는 모든 클라이언트에 적용됩니다. Exchange에 설정된 정책은 Outlook 클라이언트를 사용하여 이메일에 액세스하려고 할 때 적용됩니다. 따라서 클라우드 앱 선택기에서 클라이언트(퍼블릭/네이티브) 애플리케이션을 사용할 수 없으며, 테넌트에 등록된 클라이언트(퍼블릭/네이티브) 애플리케이션의 애플리케이션 설정에서 조건부 액세스 옵션을 사용할 수 없습니다.

일부 애플리케이션은 선택기에 전혀 표시되지 않습니다. 조건부 액세스 정책에 이러한 애플리케이션을 포함하는 유일한 방법은 모든 클라우드 앱을 포함하는 것입니다.

모든 클라우드 앱

모든 클라우드 앱에 조건부 액세스 정책을 적용하면 웹 사이트 및 서비스에 발급된 모든 토큰에 정책이 적용됩니다. 이 옵션에는 Microsoft Entra ID와 같이 조건부 액세스 정책에서 개별적으로 대상으로 지정할 수 없는 애플리케이션이 포함됩니다.

경우에 따라 모든 클라우드 앱 정책이 실수로 사용자 액세스를 차단할 수 있습니다. 이러한 경우는 정책 적용에서 제외되며 다음을 포함합니다.

  • 원하는 보안 상태를 달성하는 데 필요한 서비스입니다. 예를 들어 디바이스 등록 호출은 모든 클라우드 앱을 대상으로 하는 규정 준수 디바이스 정책에서 제외됩니다.

  • 정책에서 제외된 애플리케이션에서 일반적으로 사용하는 사용자 프로필, 그룹 멤버 자격 및 관계 정보에 액세스하기 위해 Azure AD Graph 및 Microsoft Graph를 호출합니다. 제외되는 범위는 다음과 같습니다. 앱에서 이러한 권한을 사용하려면 동의가 여전히 필요합니다.

    • 네이티브 클라이언트의 경우:
      • Azure AD Graph: email, offline_access, openid, profile, User.Read
      • Microsoft Graph: 이메일, 오프라인_액세스, openid, 프로필, User.Read, People.Read
    • 기밀/인증된 클라이언트의 경우:
      • Azure AD Graph: email, offline_access, openid, profile, User.Read, User.Read.All, and User.ReadBasic.All
      • Microsoft Graph: email, offline_access, openid, profile, User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.All, Member.Read.Hidden

사용자 작업

사용자 작업은 사용자가 수행하는 작업입니다. 현재 조건부 액세스는 다음 두 가지 사용자 작업을 지원합니다.

  • 보안 정보 등록: 이 사용자 작업을 사용하면 결합된 등록을 사용하도록 설정된 사용자가 보안 정보를 등록하려고 할 때 조건부 액세스 정책을 적용할 수 있습니다. 자세한 내용은 결합된 보안 정보 등록 문서에서 확인할 수 있습니다.

참고 항목

보안 정보 등록을 위한 사용자 작업을 대상으로 하는 정책을 적용할 때 사용자 계정이 MSA(Microsoft 개인 계정)의 게스트인 경우 '다단계 인증 필요' 컨트롤을 사용하려면 MSA 사용자가 조직에 보안 정보를 등록해야 합니다. 게스트 사용자가 Google과 같은 다른 공급자의 사용자인 경우 액세스가 차단됩니다.

  • 디바이스 등록 또는 조인: 이 사용자 작업을 통해 관리자는 사용자가 Microsoft Entra ID에 디바이스를 등록 또는 조인할 때 조건부 액세스 정책을 적용할 수 있습니다. 현재 존재하는 테넌트 전체 정책 대신 디바이스를 등록하거나 조인하기 위한 다단계 인증을 구성하는 세분성을 제공합니다. 이 사용자 작업에는 세 가지 주요 고려 사항이 있습니다.
    • Require multifactor authentication은 이 사용자 작업에서 사용할 수 있는 유일한 액세스 제어이며 다른 모든 액세스 제어는 사용할 수 없습니다. 이 제한은 Microsoft Entra 디바이스 등록에 종속되거나 Microsoft Entra 디바이스 등록에 적용되지 않는 액세스 제어와의 충돌을 방지합니다.
    • Client appsDevice state 조건Filters for devices부 액세스 정책을 적용하기 위해 Microsoft Entra 디바이스 등록에 종속되므로 이 사용자 작업에서는 조건을 사용할 수 없습니다.
    • 이 사용자 작업으로 조건부 액세스 정책을 사용하는 경우 ID>디바이스>개요>디바이스 설정 - Devices to be Microsoft Entra joined or Microsoft Entra registered require multifactor authentication아니요로 설정해야 합니다. 그러지 않으면 이 사용자 작업으로 조건부 액세스 정책이 제대로 적용되지 않습니다. 이 디바이스 설정에 관한 자세한 내용은 디바이스 설정 구성에서 확인할 수 있습니다.

트래픽 전달 프로필

전역 보안 액세스의 트래픽 전달 프로필을 통해 관리자는 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스를 통해 트래픽이 라우팅되는 방식을 정의하고 제어할 수 있습니다. 트래픽 전달 프로필을 디바이스 및 원격 네트워크에 할당할 수 있습니다. 이러한 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법에 대한 예는 Microsoft 365 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법 문서를 참조하세요.

이러한 프로필에 대한 자세한 내용은 전역 보안 액세스 트래픽 전달 프로필 문서를 참조하세요.

인증 컨텍스트

인증 컨텍스트를 사용하여 애플리케이션에서 데이터 및 작업을 추가로 보호할 수 있습니다. 이러한 애플리케이션은 사용자 지정 애플리케이션, 사용자 지정 LOB(사업 부문) 애플리케이션, SharePoint와 같은 애플리케이션 또는 클라우드 앱용 Microsoft Defender로 보호되는 애플리케이션일 수 있습니다.

예를 들어 조직에서 런치 메뉴 또는 비밀 BBQ 소스 레시피와 같은 파일을 SharePoint 사이트에 유지할 수 있습니다. 모든 사용자가 런치 메뉴 사이트에 액세스할 수 있지만 비밀 BBQ 소스 레시피 사이트에 액세스할 수 있는 사용자는 관리 디바이스에서 액세스하고 특정 사용 약관에 동의해야 할 수 있습니다.

인증 컨텍스트는 사용자 또는 워크로드 ID에서 작동하지만 동일한 조건부 액세스 정책에서는 작동하지 않습니다.

인증 컨텍스트 구성

인증 컨텍스트는 보호>조건부 액세스>인증 컨텍스트에서 관리됩니다.

인증 컨텍스트 관리를 보여 주는 스크린샷.

새 인증 컨텍스트를 선택하여 새 인증 컨텍스트 정의를 만듭니다. 조직은 총 99개의 인증 컨텍스트 정의 c1-c99로 제한됩니다. 다음 속성을 구성합니다.

  • 표시 이름은 Microsoft Entra ID와 인증 컨텍스트를 사용하는 애플리케이션 전체에서 인증 컨텍스트를 식별하는 데 사용되는 이름입니다. 필요한 인증 컨텍스트 수를 줄이기 위해 신뢰할 수 있는 디바이스와 같은 리소스에서 사용할 수 있는 이름을 사용하는 것이 좋습니다. 설정된 수를 줄이면 리디렉션 수가 제한되고 최종 사용자 환경이 향상됩니다.
  • 설명 은 관리자가 사용하는 정책과 리소스에 인증 컨텍스트를 적용하는 정책에 대한 자세한 정보를 제공합니다.
  • 앱에 게시 확인란을 선택하면 인증 컨텍스트를 앱에 보급하고 할당할 수 있도록 합니다. 선택하지 않으면 다운스트림 리소스에서 인증 컨텍스트를 사용할 수 없습니다.
  • ID는 읽기 전용이며 요청별 인증 컨텍스트 정의에 대한 토큰 및 앱에서 사용됩니다. 문제 해결 및 개발 사용 사례는 여기에 나열되어 있습니다.

조건부 액세스 정책에 추가

관리자는 할당>클라우드 앱 또는 작업 아래에서 이 정책을 적용할 항목을 선택합니다. 메뉴의 인증 컨텍스트를 선택하여 조건부 액세스 정책에서 게시된 인증 컨텍스트를 선택할 수 있습니다.

정책에 조건부 액세스 인증 컨텍스트를 추가하는 방법을 보여 주는 스크린샷

인증 컨텍스트 삭제

인증 컨텍스트를 삭제할 때 애플리케이션에서 아직 사용하고 있지 않은지 확인합니다. 그렇지 않으면 앱 데이터에 대한 액세스가 더 이상 보호되지 않습니다. 인증 컨텍스트 조건부 액세스 정책이 적용되는 경우 로그인 로그에서 사례를 확인하여 이 필수 조건을 확인할 수 있습니다.

인증 컨텍스트를 삭제하려면 할당된 조건부 액세스 정책이 없어야 하며 앱에 게시해서는 안 됩니다. 이 요구 사항은 여전히 사용 중인 인증 컨텍스트가 실수로 삭제되는 것을 방지하는 데 도움이 됩니다.

인증 컨텍스트를 통해 리소스에 태그를 추가합니다.

애플리케이션의 인증 컨텍스트 사용에 대한 자세한 내용은 다음 문서를 참조하세요.

다음 단계