조건부 액세스 정책 사용하기

조건부 액세스는 콘텐츠에 대한 액세스 권한을 부여하기 전에 특정 조건을 충족하도록 요구하여 시스템에서 규제된 콘텐츠를 보호하는 것입니다. 가장 간단한 조건부 액세스 정책은 if-then 문입니다. 사용자가 리소스에 액세스하려는 경우 작업을 완료해야 합니다. 예를 들어 급여 관리자는 급여 애플리케이션에 액세스하려고 하며 이를 수행하려면 MFA(다단계 인증)를 수행해야 합니다.

조건부 액세스를 사용하여 다음 두 가지 주요 목표를 달성할 수 있습니다.

• 사용자가 언제 어디서나 생산성을 높일 수 있도록 합니다.
• 조직의 자산을 보호합니다.

조건부 액세스 정책을 사용하면 필요할 때 적절한 액세스 제어를 적용하여 조직을 안전하게 보호하고 필요하지 않을 때 사용자의 방해가 되지 않도록 할 수 있습니다.

사용자에게 다시 인증하라는 메시지가 표시되는 빈도는 Microsoft Entra 세션 수명 구성 설정에 따라 달라집니다. 자격 증명을 기억하는 것은 편리하지만 개인 디바이스를 사용하여 엔터프라이즈 시나리오에 대한 배포를 덜 안전하게 만들 수도 있습니다. 사용자를 보호하기 위해 클라이언트에서 다단계 인증 자격 증명을 더 자주 Microsoft Entra 요청할 수 있습니다. 조건부 액세스 로그인 빈도를 사용하여 이 동작을 구성할 수 있습니다.

클라우드 PC에 대한 조건부 액세스 정책 할당

조건부 액세스 정책은 기본적으로 테넌트에 대해 설정되지 않습니다. 다음 플랫폼 중 하나를 사용하여 CA 정책의 대상을 클라우드 PC 자사 앱으로 지정할 수 있습니다.

• Azure. 자세한 내용은 조건부 액세스 Microsoft Entra 참조하세요.
• Microsoft Intune. 다음 단계는 이 프로세스를 설명합니다. 자세한 내용은 조건부 액세스와 Intune에 대해 알아보기를 참조하세요.

어떤 방법을 사용하든, 정책은 클라우드 PC 최종 사용자 포털 및 클라우드 PC 연결에 적용됩니다.

1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>조건부 액세스>새 정책 만들기를 선택합니다.

2. 특정 조건부 액세스 정책의 이름을 제공합니다.

3. 사용자 아래에서 0명의 사용자 및 그룹을 선택합니다.

4. 포함 탭에서 사용자 및 그룹 검사사용자 및 그룹>>선택을 선택하고 선택한사용자 및 그룹 0개 를 선택합니다.

5. 열리는 새 창에서 CA 정책을 사용하여 대상으로 지정할 특정 사용자 또는 그룹을 검색하여 선택한 다음 선택을 선택합니다.

6. 대상 리소스에서 선택한 대상 리소스 없음을 선택합니다.

7. 포함 탭의 선택에서 앱>선택을 선택하고없음을 선택합니다.

8. 선택 창에서 보호하려는 리소스에 따라 다음 앱을 검색하여 선택합니다.

   • Windows 365(앱 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5). "클라우드"를 검색하여 이 앱을 찾을 수도 있습니다. 이 앱은 사용자의 리소스 목록을 검색하고 사용자가 다시 시작과 같은 클라우드 PC에서 작업을 시작할 때 사용됩니다.
   • Azure Virtual Desktop (앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07). 이 앱은 Windows Virtual Desktop으로도 나타날 수 있습니다. 이 앱은 연결 중 및 클라이언트가 서비스에 진단 정보를 보낼 때 Azure Virtual Desktop Gateway에 인증하는 데 사용됩니다.
   • Microsoft 원격 데스크톱(앱 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 및 Windows Cloud Login(앱 ID 270efc09-cd0d-444b-a71f-39af4910ec45). 이러한 앱은 프로비저닝 정책에서 Single Sign-On을 구성할 때만 필요합니다. 이러한 앱은 클라우드 PC에 사용자를 인증하는 데 사용됩니다.

   이러한 앱 간의 조건부 액세스 정책을 일치시킬 것을 권장합니다. 이렇게 하면 정책이 일관된 환경을 위해 클라우드 PC 최종 사용자 포털, 게이트웨이 및 클라우드 PC에 대한 연결에 적용됩니다. 앱을 제외하려면 이러한 앱도 모두 선택해야 합니다.

   중요

   SSO를 사용하도록 설정하면 클라우드 PC에 대한 인증은 현재 Microsoft 원격 데스크톱 Entra ID 앱을 사용합니다. 예정된 변경으로 인증이 Windows Cloud 로그인 Entra ID 앱으로 전환됩니다. 원활한 전환을 보장하려면 CA 정책에 Entra ID 앱을 모두 추가해야 합니다.

   참고

   조건부 액세스 정책을 구성할 때 Windows 클라우드 로그인 앱이 표시되지 않으면 아래 단계를 사용하여 앱을 만듭니다. 다음과 같이 변경하려면 구독에 대한 소유자 또는 기여자 권한이 있어야 합니다.

   1. Azure Portal에 로그인합니다.
   2. Azure 서비스 목록에서 구독 을 선택합니다.
   3. 구독 이름을 선택합니다.
   4. 리소스 공급자를 선택한 다음 Microsoft.DesktopVirtualization을 선택합니다.
   5. 맨 위에서 등록 을 선택합니다.

   리소스 공급자가 등록되면 정책을 적용할 앱을 선택할 때 Windows 클라우드 로그인 앱이 조건부 액세스 정책 구성에 표시됩니다. Azure Virtual Desktop을 사용하지 않는 경우 Windows 클라우드 로그인 앱을 사용할 수 있게 되면 Microsoft.DesktopVirtualization 리소스 공급자의 등록을 취소할 수 있습니다.

9. 정책을 미세 조정하려면 권한 부여에서 선택한 컨트롤 0개 를 선택합니다.

10. 권한 부여 창에서 이 정책에 > 할당된 모든 개체에 적용할 액세스 권한 부여 또는 차단 옵션을 선택합니다.

11. 정책을 먼저 테스트하려면 정책 사용에서 보고서 전용을 선택합니다. 켜짐으로 설정하면 정책을 만드는 즉시 정책이 적용됩니다.

12. 만들기를 선택하여 정책을 만듭니다.

조건부 액세스 UI의 정책 보기에서 활성 및 비활성 정책 목록을 볼 수 있습니다.

로그인 빈도 구성

로그인 빈도 정책을 사용하면 사용자가 Microsoft Entra 기반 리소스에 액세스할 때 ID를 다시 증명해야 하는 기간을 설정할 수 있습니다. 이렇게 하면 환경을 보호하는 데 도움이 될 수 있으며, 로컬 OS에 MFA가 필요하지 않거나 비활성 후에 자동으로 잠기지 않을 수 있는 개인 디바이스에 특히 중요합니다.

로그인 빈도 정책은 선택한 Microsoft Entra 앱에 따라 다른 동작을 초래합니다.

앱 이름	앱 ID	동작
Windows 365	0af06dc6-e4b5-4f28-818e-e78e62d137a5	사용자가 클라우드 PC 목록을 검색하고 사용자가 다시 시작과 같은 클라우드 PC에서 작업을 시작할 때 다시 인증을 적용합니다.
Azure Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07	사용자가 연결하는 동안 Azure Virtual Desktop Gateway에 인증할 때 다시 인증을 적용합니다.
Microsoft 원격 데스크톱 Windows 클라우드 로그인	a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45	Single Sign-On이 사용하도록 설정된 경우 사용자가 클라우드 PC 에 로그인할 때 다시 인증을 적용합니다. 클라이언트가 곧 Microsoft 원격 데스크톱 앱을 사용하는 것에서 Windows 클라우드 로그인 앱으로 전환하여 클라우드 PC에 인증하기 때문에 두 앱을 함께 구성해야 합니다.

사용자에게 다시 로그인하라는 메시지가 표시되는 기간을 구성하려면 다음을 수행합니다.

1. 이전에 만든 정책을 엽니다.
2. 세션에서선택한 컨트롤 0을 선택합니다.
3. 세션 창에서 로그인 빈도를 선택합니다.
4. 주기적 재인증 또는 매번을 선택합니다.
   • 주기적 재인증을 선택하는 경우 사용자에게 다시 > 로그인하라는 메시지가 표시되는 기간의 값을 설정합니다. 선택. 예를 들어 값을 1로 설정하고 단위를 Hours로 설정하려면 마지막 연결이 1시간 이상 지나면 다단계 인증이 필요합니다.
   • 모든 시간 옵션은 현재 공개 미리 보기에서 사용할 수 있으며 클라우드 PC에 대해 Single Sign-On을 사용하도록 설정된 경우에만 Microsoft 원격 데스크톱 및 Windows Cloud Login 앱에 적용할 때만 지원됩니다. 매번 선택하면 사용자가 Microsoft 원격 데스크톱 및 Windows Cloud Login 앱에 대해 마지막으로 인증한 후 10~15분 후에 다시 인증하라는 메시지가 표시됩니다.
5. 페이지 아래쪽에서 저장을 선택합니다.

참고

• 다시 인증은 사용자가 리소스에 인증해야 하는 경우에만 발생합니다. 연결이 설정된 후에는 구성한 로그인 빈도보다 연결이 더 오래 지속되더라도 사용자에게 메시지가 표시되지 않습니다.
• 로그인 빈도 이후에 세션을 다시 설정하도록 강제하는 네트워크 중단이 있는 경우 사용자는 다시 인증해야 합니다. 이로 인해 불안정한 네트워크에서 인증 요청이 더 자주 발생할 수 있습니다.

다음 단계

RDP 디바이스 리디렉션 관리