조건부 액세스: 승인된 클라이언트 앱 또는 앱 보호 정책 필요

사용자는 정기적으로 개인 및 회사 작업에 대해 모바일 디바이스를 사용합니다. 직원의 생산성을 보장하는 동시에 조직은 완전히 관리할 수 없는 디바이스의 애플리케이션에서 데이터 손실을 방지하기를 원합니다.

조건부 액세스를 사용하면 조직에서 Intune 앱 보호 정책을 통해 승인된(최신 인증 가능) 클라이언트 앱에 대한 액세스를 제한할 수 있습니다. 앱 보호 정책을 지원하지 않을 수 있는 이전 클라이언트 앱의 경우 관리자는 승인된 클라이언트 앱에 대한 액세스를 제한할 수 있습니다.

경고

앱 보호 정책은 iOS 및 Android에서만 지원됩니다.

승인된 애플리케이션으로 지원되거나 애플리케이션 보호 정책을 지원하는 모든 애플리케이션은 아닙니다. 몇 가지 일반적인 클라이언트 앱 목록은 앱 보호 정책 요구 사항을 참조하세요. 사용자의 애플리케이션이 목록에 없으면 애플리케이션 개발자에게 문의합니다.

iOS 및 Android 디바이스에 승인된 클라이언트 앱을 요구하려면 해당 디바이스는 먼저 Azure AD에 등록해야 합니다.

참고

권한 부여 컨트롤에서 “선택된 컨트롤 중 하나가 필요”는 OR 절과 유사합니다. 이는 정책 내에서 사용되어 사용자가 앱 보호 정책 필요 또는 승인된 클라이언트 앱 필요 권한 부여 컨트롤을 지원하는 앱을 활용할 수 있도록 합니다. 앱이 해당 권한 부여 컨트롤을 지원하는 경우 앱 보호 정책 필요가 적용됩니다.

앱 보호 정책 사용의 이점에 대한 자세한 내용은 앱 보호 정책 개요 문서를 참조하세요.

조건부 액세스 정책 만들기

아래에 있는 이 정책은 관리자가 기존 사용자에게 미칠 영향을 확인할 수 있도록 시작할 때 보고 전용 모드로 설정됩니다. 관리자는 정책이 의도한 대로 적용되는 것이 편한 경우 켜짐으로 전환하거나, 특정 그룹을 추가하고 다른 그룹을 제외하여 배포를 스테이징할 수 있습니다.

모바일 디바이스를 사용하여 승인된 클라이언트 앱 또는 앱 보호 정책 필요

다음 단계는 iOS/iPadOS 또는 Android 디바이스 사용 시 승인된 클라이언트 앱 또는 앱 보호 정책을 요구하는 조건부 액세스 정책을 만드는 데 도움이 됩니다. 또한 이 정책은 모바일 디바이스에서 기본 인증을 사용하는 Exchange ActiveSync 클라이언트의 사용을 방지합니다. 이 정책은 Microsoft Intune에서 만들어진 앱 보호 정책과 함께 작동합니다.

조직은 아래에 설명된 단계를 사용하거나 조건부 액세스 템플릿(미리 보기)을 사용하여 이 정책을 배포하도록 선택할 수 있습니다.

  1. Azure Portal에 전역 관리자, 보안 관리자 또는 조건부 액세스 관리자로 로그인합니다.
  2. Azure Active DirectorySecurity조건부 액세스로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
  5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 사용자를 선택합니다.
    2. 제외에서 사용자 및 그룹을 선택하고 하나 이상의 계정을 제외하여 자신이 잠기는 것을 방지합니다. 계정을 제외하지 않으면 정책을 만들 수 없습니다.
  6. 클라우드 앱 또는 작업에서 모든 클라우드 앱을 선택합니다.
  7. 조건>디바이스 플랫폼에서 구성로 설정합니다.
    1. 포함에서 디바이스 플랫폼 선택을 클릭합니다.
    2. AndroidiOS를 선택합니다.
    3. 완료를 선택합니다.
  8. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
    1. 승인된 클라이언트 앱 필요앱 보호 정책 필요를 선택합니다.
    2. 여러 컨트롤의 경우선택한 컨트롤 중 하나 필요를 선택합니다.
  9. 설정을 확인하고 정책 사용보고 전용으로 설정합니다.
  10. 생성를 선택하여 정책을 사용하도록 생성합니다.

보고 전용 모드를 사용하여 설정을 확인한 후 관리자는 정책 사용 토글을 보고 전용에서 설정으로 이동할 수 있습니다.

모든 디바이스에서 Exchange ActiveSync 차단

이 정책은 기본 인증을 사용하는 모든 Exchange ActiveSync 클라이언트가 Exchange Online 연결하지 못하도록 차단합니다.

  1. Azure Portal에 전역 관리자, 보안 관리자 또는 조건부 액세스 관리자로 로그인합니다.
  2. Azure Active DirectorySecurity조건부 액세스로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
  5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 사용자를 선택합니다.
    2. 제외에서 사용자 및 그룹을 선택하고 하나 이상의 계정을 제외하여 자신이 잠기는 것을 방지합니다. 계정을 제외하지 않으면 정책을 만들 수 없습니다.
    3. 완료를 선택합니다.
  6. 클라우드 앱 또는 작업에서 앱 선택을 선택합니다.
    1. Office 365 Exchange Online을 선택합니다.
    2. 선택을 선택합니다.
  7. 조건>클라이언트 앱에서 구성로 설정합니다.
    1. Exchange ActiveSync 클라이언트를 제외한 모든 옵션을 선택 취소합니다.
    2. 완료를 선택합니다.
  8. 액세스 제어>권한 부여에서 액세스 권한 부여를 선택합니다.
    1. 앱 보호 정책 필요를 선택합니다.
  9. 설정을 확인하고 정책 사용보고 전용으로 설정합니다.
  10. 생성를 선택하여 정책을 사용하도록 생성합니다.

보고 전용 모드를 사용하여 설정을 확인한 후 관리자는 정책 사용 토글을 보고 전용에서 켜기로 이동할 수 있습니다.

다음 단계

앱 보호 정책 개요

조건부 액세스 일반 정책

조건부 액세스 What If 도구를 사용하여 로그인 동작 시뮬레이션