Intune에서 앱 기반 조건부 액세스 정책 사용

  • 아티클

Microsoft Intune 앱 보호 정책은 Microsoft Entra 조건부 액세스와 함께 작동하여 직원이 사용하는 디바이스에서 조직 데이터를 보호합니다. 이 정책은 등록되지 않은 직원 소유 디바이스에서 Intune에 등록하는 디바이스에서 작동합니다. 결합된 앱 기반 조건부 액세스라고 합니다.

앱 보호 정책은 organization 데이터가 안전하게 유지되거나 관리되는 앱에 포함되도록 하는 규칙입니다.

  • 앱 보호 정책은 사용자가 조직 데이터에 액세스하거나 이동하려고 할 때 적용되는 규칙 또는 사용자가 관리되는 앱 내에서 작업할 때 금지되거나 모니터링되는 작업 집합일 수 있습니다.
  • 관리 앱은 앱 보호 정책이 적용되어 있으며 Intune을 통해 관리할 수 있는 앱입니다.
  • 또한 Microsoft Outlook 앱만 Exchange Online에 액세스할 수 있도록 하려는 경우 iOS/iPadOS 및 Android에서 기본 제공 메일 앱을 차단할 수 있습니다. 또한 Intune 앱 보호 정책이 적용되지 않은 앱은 SharePoint Online에 액세스하지 못하도록 차단할 수 있습니다.

클라이언트 앱 관리를 사용하는 앱 기반 조건부 액세스는 Intune 앱 보호 정책을 지원하는 클라이언트 앱만 Exchange Online 및 기타 Microsoft 365 서비스에 액세스할 수 있도록 하는 보안 계층을 추가합니다.

앱 기반 조건부 액세스 정책 외에도 Intune에서 디바이스 기반 조건부 액세스를 사용할 수 있습니다.

필수 구성 요소

앱 기반 조건부 액세스 정책을 만들려면 다음 항목을 준비해야 합니다.

  • EMS(Enterprise Mobility + Security) 또는 Microsoft Entra ID P1 또는 P2 구독
  • 사용자는 EMS 또는 Microsoft Entra ID에 대한 라이선스가 있어야 합니다.

자세한 내용은 Enterprise Mobility 가격 책정 또는 Microsoft Entra 가격 책정을 참조하세요.

지원되는 앱

앱 기반 조건부 액세스를 지원하는 앱 목록은 조건부 액세스: Microsoft Entra 설명서의 조건에서 찾을 수 있습니다.

앱 기반 조건부 액세스에서는 LOB(기간 업무) 앱도 지원하지만, 해당 앱은 Microsoft 365 최신 인증을 사용해야 합니다.

앱 기반 조건부 액세스의 작동 방식

이 예제에서 관리자는 Outlook 앱에 앱 보호 정책을 적용한 다음, 회사 전자 메일에 액세스할 때 사용할 수 있는 승인된 앱 목록에 Outlook 앱을 추가하는 조건부 액세스 규칙을 적용했습니다.

참고

다음 순서도는 다른 관리되는 앱에 사용할 수 있습니다.

순서도에 예시된 앱 기반 조건부 액세스 프로세스

  1. 사용자가 Outlook 앱에서 id를 Microsoft Entra 인증하려고 합니다.

  2. 사용자가 처음으로 인증을 시도할 때 앱 스토어로 리디렉션되며, 브로커 앱을 설치하라는 메시지가 표시됩니다. broker 앱은 iOS용 Microsoft Authenticator 또는 Android 디바이스용 Microsoft 회사 포털일 수 있습니다.

    사용자가 네이티브 전자 메일 앱을 사용하려고 하면 앱 스토어로 리디렉션되어 Outlook 앱을 설치합니다.

  3. 디바이스에 브로커 앱이 설치됩니다.

  4. broker 앱은 Microsoft Entra ID로 디바이스 레코드를 만드는 Microsoft Entra 등록 프로세스를 시작합니다. 이 프로세스는 MDM(모바일 디바이스 관리) 등록 프로세스와는 다르지만, 조건부 액세스 정책을 디바이스에 적용하려면 이 레코드가 필요합니다.

  5. broker 앱은 Microsoft Entra 디바이스 ID, 사용자 및 애플리케이션을 확인합니다. 이 정보는 요청된 서비스에 대한 액세스의 유효성을 검사하기 위해 Microsoft Entra 로그인 서버에 전달됩니다.

  6. broker 앱은 정책 승인 목록에 있는 경우 검사 위해 사용자 인증 프로세스의 일부로 앱 클라이언트 ID를 Microsoft Entra ID로 보냅니다.

  7. Microsoft Entra ID를 사용하면 사용자가 정책 승인 목록에 따라 앱을 인증하고 사용할 수 있습니다. 앱이 목록에 없는 경우 Microsoft Entra ID는 앱에 대한 액세스를 거부합니다.

  8. Outlook 앱이 Outlook 클라우드 서비스와 통신을 하여 Exchange Online과의 통신을 시작합니다.

  9. Outlook Cloud Service는 Microsoft Entra ID와 통신하여 사용자의 Exchange Online 서비스 액세스 토큰을 검색합니다.

  10. Outlook 앱은 Exchange Online 통신하여 사용자의 회사 전자 메일을 검색합니다.

  11. 회사 전자 메일은 사용자의 사서함으로 배달됩니다.

다음 단계