[Microsoft365] Microsoft Entra 조건부 액세스 정책 알아보기 (Conditional Access)

Microsoft 365 환경의 조직에서 사용할 수 있는 Microsoft Entra의 기능 중 하나인 조건부 액세스에 대해 알아보겠습니다.

조건부 액세스는 간단히 말해 리소스, 위치, 디바이스 플랫폼 등 정책에서 제공하는 다양한 조건을 기반으로 조직의 M365 서비스 또는 엔터프라이즈 앱 등 리소스 및 데이터에 대한 접근 제어와 로그인 빈도 등의 세션 제어를 지원하는 Microsoft Entra의 보안 기능 중 하나입니다.

​

조건부 액세스 정책을 통해 일반적으로 적용되는 정책은 다음과 같습니다.

• 관리 역할이 있는 계정 또는 중요 리소스에 대해 액세스 시 MFA(다단계 인증) 요구
• 레거시 인증 프로토콜을 사용하려는 사용자의 로그인 차단
• 특정 위치(공인 IP, 국가 등)의 접근 차단 또는 하용 시 MFA, 준수 디바이스 요구
• 위험한 로그인 동작 차단
• 특정 애플리케이션에 대해 조직에서 관리하는 디바이스(준수, Microsoft Entra Hybrid Join)에서만 액세스 요구

​

조건부 액세스를 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다.

※ 조건부 액세스 정책에서 추가적으로 위험 기반(사용자 위험, 로그인 위험 등) 조건을 통해 보호하려면 Microsoft Entra ID P2 라이선스가 요구됩니다.

​

간단한 예시 조건부 액세스(Conditional Access) 정책을 생성하여 설정 및 조건을 살펴 보겠습니다.

1. 조직 관리자 계정으로 [Microsoft Entra 관리센터] > [보호] > [조건부 액세스] > [정책] 으로 이동합니다.

2. [+ 새 정책]을 클릭합니다.

​

3. 조직에서 관리하려는 정책에 맞게 사용자 및 그룹, 리소스, 조건을 지정합니다.

​3-1. 사용자

• • 모든 사용자를 대상으로 하거나, 특정 사용자 및 그룹을 대상으로 지정할 수 있습니다.

 

​3-2. 대상 리소스

• • Microsoft Entra / Microsoft 365 에서 관리되는 모든 클라우드 앱을 대상으로 하거나 특정 클라우드 앱을 지정할 수 있습니다.

 

​

3-3. 조건 - 사용자 위험 (Microsoft Entra ID P2 필요)

​

3-4. 조건 - 로그인 위험 (Microsoft Entra ID P2 필요)

​

3-5. 조건 - 디바이스 플랫폼

​

3-6. 조건 - 위치

​

3-7. 조건 - 클라이언트 앱

​

3-8. 조건 - 디바이스에 대한 필터

​

4. 액세스 제어 - 허용/차단

• 허용 컨트롤을 통해 어떠한 조건에 충족되었을 때 결과적으로 대상 리소스에 액세스 하기 위해 MFA 를 강제로 요구할 것인지, 준수 상태를 체크할 것인지, Microsoft Entra 하이브리드(구 Hybrid Azure AD) 조인 디바이스만 허용할 것인지, MAM 정책으로 관리되는 앱에만 액세스를 허용할 것인지 등을 제어할 수 있습니다.
• 액세스 허용 자체를 원치 않는 경우 "액세스 차단"을 선택하면 됩니다.

​

4. 세션 제어

• 세션 컨트롤은 브라우저의 세션이나 로그인 빈도, 웹용 Exchange Online 및 SharePoint Online에 대한 접근 제어, MDCA의 세션 정책과 연계되는 등 세션의 전반적인 부분을 제어할 수 있다고 보시면 됩니다.

​

위와 같이 조건 및 액세스 제어 항목을 설정하고 난 후 [보고서 전용 / 설정 / 끄기] 설정을 마무리로 정책을 생성합니다.

• 보고서 전용 - 보고 전용 모드는 정책을 실 배포하기 전에 조건부 액세스 정책의 영향을 평가할 수 있는 설정입니다.
• 설정 - 정책 생성 즉시 바로 활성화 합니다.
• 끄기 - 정책을 끈 상태로 생성합니다.

​

또한 What If 기능을 통해 CA 정책에 대한 영향을 이해하고 보완할 수 있으니 참고하면 좋을 것 같네요.

"What If 도구는 특정 사용자에게 적용되는 정책을 빠르게 확인하는 방법을 제공합니다."

​

조건부 액세스를 이제야 포스팅 하네요..^^;; 이상입니다.

 

Microsoft 365 기술 공유 페이스북 그룹

Microsoft 365 관리자 및 사용자를 대상으로 실용적인 기능, 최신 기능에 대한 지식/정보 등을 자유롭게 공유하며 커뮤니케이션을 나눌 수 있는 Facebook 그룹입니다. 부담없이 지식을 받아가고 공유하는 환경이 되었으면 좋겠습니다 ^^

https://www.facebook.com/groups/practicalmicrosoft365

Facebook에 로그인