조건부 액세스란?

  • 아티클

최신 보안 경계는 사용자 및 디바이스 ID를 포함하도록 조직의 네트워크 경계 너머로 확장됩니다. 조직에서는 이제 액세스 제어 결정의 일환으로 이러한 ID 중심 신호를 사용합니다. Microsoft Entra 조건부 액세스는 결정을 내리고 조직 정책을 적용하기 위해 신호를 함께 제공합니다. 조건부 액세스는 정책 결정을 시행할 때 다양한 소스의 신호를 고려하는 Microsoft의 제로 트러스트 정책 엔진입니다.

조건부 액세스 신호의 개념과 조직 정책 시행 결정을 보여주는 다이어그램.

가장 간단한 조건부 액세스 정책은 if(만약) 사용자가 리소스에 액세스를 원하는 경우, then(그러면) 작업을 완료해야 하는 if-then 문입니다. 예: 사용자가 Microsoft 365와 같은 애플리케이션 또는 서비스에 액세스하려는 경우 액세스 권한을 얻으려면 다단계 인증을 수행해야 합니다.

관리자는 다음과 같은 두 가지 주요 목표에 직면합니다.

  • 사용자가 언제 어디서나 생산성을 높일 수 있도록 지원
  • 조직의 자산 보호

조건부 액세스 정책을 사용하여 조직을 안전하게 유지할 필요가 있는 경우 올바른 액세스 제어를 적용합니다.

Important

조건부 액세스 정책은 1단계 인증이 완료된 후에 적용됩니다. 조건부 액세스는 DoS(서비스 거부) 공격과 같은 시나리오에 대한 조직의 최전방 방어선으로 사용하기 위해 개발된 것은 아니지만, 이러한 이벤트의 신호를 사용하여 액세스를 결정할 수 있습니다.

일반적인 신호

조건부 액세스는 액세스 결정을 내릴 때 다양한 원본의 신호를 고려합니다.

다양한 소스의 신호를 집계하는 제로 트러스트 정책 엔진인 조건부 액세스를 보여주는 다이어그램.

이러한 신호는 다음과 같습니다.

  • 사용자 또는 그룹 멤버 자격
    • 특정 사용자 및 그룹을 정책 대상으로 지정하여 관리자에게 세분화된 액세스 제어 권한을 제공할 수 있습니다.
  • IP 위치 정보
    • 조직에서는 정책을 결정할 때 사용할 수 있는 신뢰할 수 있는 IP 주소 범위를 만들 수 있습니다.
    • 관리자는 전체 국가/지역 IP 범위를 지정하여 해당 범위의 트래픽을 차단하거나 허용할 수 있습니다.
  • 디바이스
    • 특정 플랫폼이 설치된 디바이스 또는 특정 상태로 표시된 디바이스를 사용하는 사용자는 조건부 액세스 정책을 적용할 때 사용할 수 있습니다.
    • 디바이스에 대한 필터를 사용하여 권한 있는 액세스 워크스테이션과 같은 특정 디바이스에 대한 정책을 대상으로 지정합니다.
  • 애플리케이션
    • 특정 응용 프로그램에 액세스를 시도하는 사용자는 다른 조건부 액세스 정책을 트리거할 수 있습니다.
  • 계산된 실시간 위험 감지
    • Microsoft Entra ID Protection과 신호의 통합을 통해 조건부 액세스 정책은 위험한 사용자와 로그인 동작을 식별하고 해결할 수 있습니다.
  • Microsoft Defender for Cloud 앱
    • 사용자 애플리케이션 액세스 및 세션을 실시간으로 모니터링하고 제어할 수 있습니다. 이러한 통합을 통해 클라우드 환경 내에서 수행된 및 활동에 대한 액세스에 대한 가시성과 제어가 향상됩니다.

일반적인 결정

  • 액세스 차단
    • 가장 제한적인 결정
  • 액세스 권한 부여
    • 덜 제한적인 결정은 다음 옵션 중 하나 이상을 요구할 수 있습니다.
      • 다단계 인증 필요
      • 인증 강도 필요
      • 디바이스를 준수 상태로 표시해야 함
      • Microsoft Entra 하이브리드 조인 디바이스 필요
      • 승인된 클라이언트 앱 필요
      • 앱 보호 정책 필요
      • 암호 변경 필요
      • 사용 약관 필요

일반적으로 적용되는 정책

많은 조직은 다음과 같이 조건부 액세스 정책이 도움을 줄 수 있는 일반적인 액세스 문제가 있습니다.

  • 관리 역할이 있는 사용자에게 다단계 인증 요구
  • Azure 관리 작업에 다단계 인증 요구
  • 레거시 인증 프로토콜을 사용하려고 시도하는 사용자의 로그인을 차단하는 경우
  • 보안 정보 등록을 위해 신뢰할 수 있는 위치 요구
  • 특정 위치에서의 액세스를 차단하거나 권한 부여하는 경우
  • 위험한 로그인 동작을 차단하는 경우
  • 특정 애플리케이션에 조직 관리 디바이스가 필요한 경우

관리자는 처음부터 정책을 만들거나 포털의 템플릿 정책에서 시작하거나 Microsoft Graph API를 사용할 수 있습니다.

관리자 환경

조건부 액세스 관리자 역할이 있는 관리자는 정책을 관리할 수 있습니다.

조건부 액세스는 Microsoft Entra 관리 센터보호>조건부 액세스 아래에 있습니다.

조건부 액세스 개요 페이지의 스크린샷.

  • 개요 페이지에서는 정책 상태, 사용자, 디바이스, 애플리케이션에 대한 요약은 물론 제안 사항이 포함된 일반 및 보안 경고도 제공합니다.
  • 적용 범위 페이지에서는 지난 7일 동안 조건부 액세스 정책 적용 범위가 있거나 없는 애플리케이션의 개요를 제공합니다.
  • 모니터링 페이지를 통해 관리자는 필터링할 수 있는 로그인 그래프를 확인하여 정책 적용 범위의 잠재적 격차를 확인할 수 있습니다.

정책 페이지의 조건부 액세스 정책은 행위자, 대상 리소스, 조건, 적용된 컨트롤, 상태 또는 날짜와 같은 항목에 따라 관리자가 필터링할 수 있습니다. 이 필터링 기능을 사용하면 관리자가 구성에 따라 특정 정책을 빠르게 찾을 수 있습니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID의 일반 공급 기능 비교를 참조하세요.

Microsoft 365 Business 프리미엄 라이선스가 있는 고객은 조건부 액세스 기능에도 액세스할 수 있습니다.

위험 기반 정책에는 P2 라이선스가 필요한 Microsoft Entra ID Protection에 대한 액세스 권한이 필요합니다.

조건부 액세스 정책과 상호 작용할 수 있는 다른 제품 및 기능을 사용하려면 해당 제품 및 기능에 대한 적절한 라이선스가 필요합니다.

조건부 액세스에 필요한 라이선스가 만료되면 정책이 자동으로 비활성화되거나 삭제되지 않습니다. 이를 통해 고객은 보안 태세를 갑자기 변경하지 않고 조건부 액세스 정책에서 마이그레이션할 수 있습니다. 나머지 정책은 보고 삭제할 수 있지만 더 이상 업데이트되지 않습니다.

보안 기본값은 ID 관련 공격으로부터 보호하는 데 도움이 되며 모든 고객에게 제공됩니다.

제로 트러스트

이 기능은 조직이 ID를 제로 트러스트 아키텍처의 세 가지 기본 원칙에 맞추는 데 도움이 됩니다.

  • 명시적으로 확인
  • 최소 권한 사용
  • 위반 가정

제로 트러스트 및 기본 원칙에 조직을 맞추는 다른 방법에 대해 자세히 알아보려면 제로 트러스트 참고 자료 센터를 참조하세요.

다음 단계