비 Microsoft ID 공급자를 사용하여 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포

  • 아티클

클라우드용 Microsoft Defender 앱의 세션 컨트롤은 모든 웹앱에서 작동하도록 구성할 수 있습니다. 이 문서에서는 세션 제어를 사용하여 Microsoft Entra 애플리케이션 프록시를 통해 호스트되는 사용자 지정 기간 업무 앱, 비특성 SaaS 앱 및 온-프레미스 앱을 온보딩하고 배포하는 방법을 설명합니다. 다른 IdP 솔루션에서 클라우드용 Defender 앱으로 앱 세션을 라우팅하는 단계를 제공합니다. Microsoft Entra ID는 Microsoft Entra ID를 사용하여 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포를 참조하세요.

클라우드용 Defender 앱에서 기본적으로 작동하는 앱 목록은 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.

필수 조건

앱 온보딩/기본 테넌트 목록에 관리자 추가

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. 조건부 액세스 앱 제어에서 앱 온보딩/기본 테넌스를 선택합니다.

  3. 앱을 온보딩할 사용자의 사용자 계정 이름 또는 전자 메일을 입력한 다음 저장을 선택합니다.

    Screenshot of settings for App onboarding and maintenance.

필요한 라이선스 확인

  • 조직에 조건부 액세스 앱 제어를 사용하려면 다음 라이선스가 있어야 합니다.

    • ID 공급자(IdP) 솔루션에 필요한 라이선스
    • Microsoft Defender for Cloud 앱

  • Single Sign-On을 사용하여 앱을 구성해야 합니다.

  • 앱은 다음 인증 프로토콜을 사용해야 합니다.

    IdP 프로토콜
    기타 SAML 2.0

앱을 배포하려면

다음 단계에 따라 클라우드용 Defender 앱 조건부 액세스 앱 제어에서 제어할 앱을 구성합니다.

  1. 클라우드용 Defender 앱에서 작동하도록 IdP 구성

  2. 배포하는 앱 구성

  3. 앱이 제대로 작동하는지 확인

  4. 조직에서 사용할 앱 활성화

참고 항목

Microsoft Entra 앱용 조건부 액세스 앱 제어를 배포하려면 Microsoft Entra ID P1 이상의 유효한 라이선스와 클라우드용 Defender 앱 라이선스가 필요합니다.

1단계: 클라우드용 Defender 앱에서 작동하도록 IdP 구성

참고 항목

IdP 솔루션을 구성하는 방법의 예는 다음을 참조하세요.

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.

  3. +추가를 선택하고 팝업에서 배포할 앱을 선택한 다음 시작 마법사를 선택합니다.

  4. APP INFORMATION 페이지에서 앱의 Single Sign-On 구성 페이지의 정보를 사용하여 양식을 작성하고 다음을 선택합니다.

    • IdP에서 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 메타데이터 파일 업로드를 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 채우기를 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱에서 SAML 인증서를 제공하는 경우 app_name> SAML 인증서 사용을 <선택하고 인증서 파일을 업로드합니다.

    Screenshot showing app information page.

  5. ID 공급자 페이지에서 제공된 단계를 사용하여 IdP의 포털에서 새 애플리케이션을 설정한 다음, 다음을 선택합니다.

    1. IdP의 포털로 이동하여 새 사용자 지정 SAML 앱을 만듭니다.
    2. 기존 <app_name> 앱의 Single Sign-On 구성을 새 사용자 지정 앱에 복사합니다.
    3. 새 사용자 지정 앱에 사용자를 할당합니다.
    4. 앱 Single Sign-On 구성 정보를 복사합니다. 이 값은 다음 단계에 필요합니다.

    Screenshot showing gather identity provider information page.

    참고 항목

    이러한 단계는 ID 공급자에 따라 약간 다를 수 있습니다. 이 단계는 다음과 같은 이유로 권장됩니다.

    • 일부 ID 공급자는 갤러리 앱의 SAML 특성 또는 URL 속성을 변경할 수 없습니다.
    • 사용자 지정 앱을 구성하면 조직의 기존 동작을 변경하지 않고도 액세스 및 세션 제어를 사용하여 이 애플리케이션을 테스트할 수 있습니다.

  6. 다음 페이지에서 앱의 Single Sign-On 구성 페이지의 정보를 사용하여 양식을 작성하고 다음을 선택합니다.

    • IdP에서 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 메타데이터 파일 업로드를 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 채우기를 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱에서 SAML 인증서를 제공하는 경우 app_name> SAML 인증서 사용을 <선택하고 인증서 파일을 업로드합니다.

    Screenshot showing enter identity provider information page.

  7. 다음 페이지에서 다음 정보를 복사한 다음, 다음을 선택합니다. 다음 단계에서 정보가 필요합니다.

    • Single sign-on URL
    • 특성 및 값

    Screenshot showing gather identity providers SAML information page.

  8. IdP의 포털에서 다음을 수행합니다.

    참고 항목

    설정은 일반적으로 IdP 포털의 사용자 지정 앱 설정 페이지에서 찾을 수 있습니다.

    1. 권장 - 현재 설정의 백업을 만듭니다.

    2. Single Sign-On URL 필드 값을 앞에서 적어 둔 클라우드용 Defender Apps SAML Single Sign-On URL로 바꿉니다.

      참고 항목

      일부 공급자는 Single Sign-On URL을 회신 URL로 참조할 수 있습니다.

    3. 이전에 기록해 두는 특성과 값을 앱의 속성에 추가합니다.

      참고 항목

      • 일부 공급자는 이를 사용자 특성 또는 클레임이라고 할 수 있습니다.
      • 새 SAML 앱을 만들 때 Okta ID 공급자는 특성을 1024자로 제한합니다. 이 제한을 완화하려면 먼저 관련 특성 없이 앱을 만듭니다. 앱을 만든 후 편집한 다음 관련 특성을 추가합니다.

    4. 이름 식별자가 전자 메일 주소 형식인지 확인합니다.

    5. 설정을 저장합니다.

  9. APP CHANGES 페이지에서 다음을 수행하고 다음을 선택합니다. 다음 단계에서 정보가 필요합니다.

    • Single Sign-On URL 복사
    • 클라우드용 Defender 앱 SAML 인증서 다운로드

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  10. 앱 포털의 Single Sign-On 설정에서 다음을 수행합니다.

    1. 권장 - 현재 설정의 백업을 만듭니다.
    2. Single Sign-On URL 필드에 앞에서 적어 둔 클라우드용 Defender Apps Single Sign-On URL을 입력합니다.
    3. 이전에 다운로드한 클라우드용 Defender 앱 SAML 인증서를 업로드합니다.

    참고 항목

    • 설정을 저장한 후에는 이 앱에 연결된 모든 로그인 요청이 조건부 액세스 앱 제어를 통해 라우팅됩니다.
    • 클라우드용 Defender Apps SAML 인증서는 1년 동안 유효합니다. 만료되면 새 인증서를 생성해야 합니다.

2단계: 필요한 경우 수동으로 앱을 추가하고 인증서를 설치합니다.

앱 카탈로그의 애플리케이션은 커넥트 앱 아래의 테이블에 자동으로 채워집니다. 배포하려는 앱이 해당 앱을 탐색하여 인식되고 있는지 확인합니다.

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택하여 액세스 및 세션 정책으로 구성할 수 있는 애플리케이션 테이블에 액세스합니다.

    Conditional access app control apps.

  3. 앱 선택: 앱 선택... 드롭다운 메뉴를 선택하여 배포하려는 앱을 필터링하고 검색합니다.

    Select App: Select apps to search for the app.

  4. 앱이 표시되지 않으면 수동으로 추가해야 합니다.

확인되지 않은 앱을 수동으로 추가하는 방법

  1. 배너에서 새 앱 보기를 선택합니다.

    Conditional access app control view new apps.

  2. 새 앱 목록에서 등록 중인 각 앱에 대해 기호를 + 선택한 다음 추가를 선택합니다.

    참고 항목

    앱이 클라우드용 Defender 앱 카탈로그에 표시되지 않으면 로그인 URL과 함께 확인되지 않은 앱 아래의 대화 상자에 표시됩니다. 이러한 앱의 + 기호를 클릭하면 애플리케이션을 사용자 지정 앱으로 온보드할 수 있습니다.

    Conditional access app control discovered Microsoft Entra apps.

앱에 대한 do기본s를 추가하려면

올바른기본 작업을 앱에 연결하면 클라우드용 Defender 앱에서 정책을 적용하고 활동을 감사할 수 있습니다.

예를 들어 관련 작업에 대한 파일 다운로드를 차단하는 정책을 구성한 경우기본 앱에서 파일 다운로드를 차단합니다기본 차단됩니다. 그러나 앱과 연결되지 않은 기본 앱의 파일 다운로드는 차단되지 않으며 활동 로그에서 작업이 감사되지 않습니다.

참고 항목

클라우드용 Defender 앱은 원활한 사용자 환경을 보장하기 위해 앱과 연결되지 않은 기본 할 접미사를 계속 추가합니다.

  1. 앱 내의 클라우드용 Defender 앱 관리 도구 모음에서 검색된 작업기본 선택합니다.

    참고 항목

    관리 도구 모음은 앱 온보딩 또는 기본 권한이 있는 사용자에게만 표시됩니다.

  2. 검색된 do기본s 패널에서 do기본 이름을 기록하거나 목록을 .csv 파일로 내보냅니다.

    참고 항목

    패널에는 앱에 연결되지 않은 검색된 do기본 목록이 표시됩니다. do기본 이름은 정규화되어 있습니다.

  3. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.
  4. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
  5. 앱 목록에서 배포하는 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음, 앱 편집을 선택합니다.

    앱에 구성된 할 일기본 목록을 보려면 앱 보기기본를 선택합니다.

  6. 사용자 정의 do기본s에서 이 앱과 연결하려는 모든 할 일기본 입력한 다음 저장을 선택합니다.

    참고 항목

    *wild카드 문자를 모든 문자의 자리 표시자로 사용할 수 있습니다. do기본s를 추가할 때 특정 do기본s(,) 또는 여러 do기본s(sub1.contoso.comsub2.contoso.com*.contoso.com)를 추가할지 여부를 결정합니다.

루트 인증서 설치

  1. 다음 단계를 반복하여 현재 CA 및 다음 CA 자체 서명 루트 인증서를 설치합니다.

    1. 인증서를 선택합니다.
    2. 열기를 선택하고 메시지가 표시되면 다시 열기를 선택합니다.
    3. 인증서 설치를 선택합니다.
    4. 현재 사용자 또는 로컬 컴퓨터를 선택합니다.
    5. 다음 저장소에 모든 인증서 배치를 선택한 다음 찾아보기를 선택합니다.
    6. 신뢰할 수 있는 루트 인증 기관을 선택한 다음 확인을 선택합니다.
    7. 완료를 선택합니다.

    참고 항목

    인증서를 인식하려면 인증서를 설치한 후 브라우저를 다시 시작하고 동일한 페이지로 이동해야 합니다.

  2. 계속을 선택합니다.

  3. 테이블에서 애플리케이션을 사용할 수 있는지 확인합니다.

    Onboard with session control.

3단계: 앱이 제대로 작동하는지 확인

애플리케이션이 보호되는지 확인하려면 먼저 애플리케이션과 연결된 브라우저에서 하드 로그아웃을 수행하거나 시크릿 모드로 새 브라우저를 엽니다.

애플리케이션을 열고 다음 검사 수행합니다.

  • 잠금 아이콘이 브라우저에 표시되는지 또는 Microsoft Edge 이외의 브라우저에서 작업하는 경우 앱 URL에 접미사가 포함되어 있는지 검사 확인합니다.mcas. 자세한 내용은 비즈니스용 Microsoft Edge(미리 보기)를 사용하여 브라우저 내 보호를 참조하세요.
  • 사용자의 작업 프로세스에 포함된 앱 내의 모든 페이지를 방문하여 페이지가 올바르게 렌더링되는지 확인합니다.
  • 파일 다운로드 및 업로드와 같은 일반적인 작업을 수행하여 앱의 동작과 기능이 부정적인 영향을 받지 않는지 확인합니다.
  • 앱과 연결된 할 일기본 목록을 검토합니다. 자세한 내용은 앱에 대한 do기본 추가를 참조하세요.

오류 또는 문제가 발생하는 경우 관리 도구 모음을 사용하여 지원 티켓을 제출하기 위해 파일 및 기록된 세션과 같은 .har 리소스를 수집합니다.

4단계: 조직에서 사용할 앱 사용

조직의 프로덕션 환경에서 앱을 사용하도록 설정할 준비가 되면 다음 단계를 수행합니다.

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

  2. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.

  3. 앱 목록에서 배포하는 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음, 앱 편집을 선택합니다.

  4. 세션 컨트롤과 함께 앱 사용을 선택한 다음, 저장 선택합니다.

    Edit this app dialogue.

다음 단계

« 이전: 카탈로그 앱에 대한 조건부 액세스 앱 제어 배포

다음: 세션 정책을 만드는 방법 »

참고 항목

조건부 액세스 앱 제어 소개

액세스 및 세션 컨트롤 문제 해결

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.