조건부 액세스 템플릿

조건부 액세스 템플릿은 Microsoft 권장 사항에 따라 새 정책을 배포하는 편리한 방법을 제공합니다. 이러한 템플릿은 다양한 고객 유형 및 위치에서 일반적으로 사용되는 정책에 따라 최대한으로 보호할 수 있도록 설계되었습니다.

Microsoft Entra 관리 센터의 조건부 액세스 정책 및 템플릿을 보여 주는 스크린샷.

템플릿 범주

조건부 액세스 정책 템플릿은 다음 범주로 구성됩니다.

Microsoft는 이러한 정책을 모든 조직의 기반으로 권장합니다. 이러한 정책은 그룹으로 배포하는 것이 좋습니다.

Microsoft Entra 관리 센터>보호>조건부 액세스>템플릿에서 새 정책 만들기에서 이러한 템플릿을 찾습니다. 각 범주의 모든 정책 템플릿을 보려면 자세히를 선택합니다.

Microsoft Entra 관리 센터의 사전 구성된 템플릿에서 조건부 액세스 정책을 만드는 방법을 보여 주는 스크린샷.

Important

조건부 액세스 템플릿 정책은 템플릿에서 정책을 만드는 사용자만 제외합니다. 조직이 다른 계정을 제외해야 하는 경우 정책을 만든 후에 수정할 수 있습니다. 이러한 정책은 Microsoft Entra 관리 센터>보호>조건부 액세스>정책에서 확인할 수 있습니다. 정책을 선택하여 편집기를 열고 제외할 사용자 및 그룹을 편집하여 제외하려는 계정을 선택합니다.

기본적으로 각 정책은 보고 전용 모드에서 만들어지므로 조직에서는 각 정책을 설정하기 전에 사용량을 테스트하고 모니터링하여 의도한 결과를 확인하는 것이 좋습니다.

조직은 개별 정책 템플릿을 선택하고 다음을 수행할 수 있습니다.

  • 정책 설정의 요약을 봅니다.
  • 편집하여 조직의 요구 사항에 따라 사용자 지정합니다.
  • 프로그래밍 워크플로에서 사용할 JSON 정의를 내보냅니다.
    • 이러한 JSON 정의는 정책 파일 업로드 옵션을 사용하여 기본 조건부 액세스 정책 페이지에서 편집한 다음, 가져올 수 있습니다.

기타 일반적인 정책

사용자 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 테넌트 전체 계정 잠금을 방지하기 위한 응급 액세스 또는 비상 계정. 드문 경우지만 모든 관리자가 테넌트에서 잠기면 응급 액세스 관리 계정을 사용하여 테넌트에 로그인하여 액세스 복구 단계를 수행할 수 있습니다.
  • 서비스 계정서비스 주체(예: Microsoft Entra Connect 동기화 계정) 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. MFA를 프로그래밍 방식으로 완료할 수 없기 때문에 이러한 서비스 계정은 제외되어야 합니다. 서비스 주체가 수행한 호출은 사용자로 범위가 지정된 조건부 액세스 정책에서 차단하지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다. 임시 해결 방법으로 기준 정책에서 이러한 특정 계정을 제외할 수 있습니다.

다음 단계