조건부 액세스 보고 전용 모드란?
고객들은 적절한 상황에서 올바른 액세스 제어를 적용하여 보안을 유지하기 위해 조건부 액세스를 널리 사용하고 있습니다. 그러나 조직의 조건부 액세스 정책 배포와 관련된 문제 중 하나는 최종 사용자에게 미치는 영향을 파악하는 것입니다. 일반적인 보안 이니셔티브의 영향을 받는 사용자의 수와 이름을 예상하기 어려울 수 있습니다. 이러한 이니셔티브에는 레거시 인증 차단, 사용자 모집단에 대한 다단계 인증 요구 또는 로그인 위험 정책 구현이 포함될 수 있습니다.
보고 전용 모드는 관리자가 정책을 환경에 사용하도록 설정하기 전에 조건부 액세스 정책의 영향을 평가할 수 있도록 하는 새 조건부 액세스 정책 상태입니다.
- 조건부 액세스 정책은 "사용자 작업" 범위에 포함된 항목을 제외하고 보고서 전용 모드에서 평가할 수 있습니다.
- 로그인하는 동안 보고 전용 모드의 정책은 평가되지만 적용되지 않습니다.
- 결과는 로그인 로그 세부 정보에 대한 조건부 액세스 및 보고 전용 탭에 기록됩니다.
- Azure Monitor 구독이 있는 고객은 조건부 액세스 인사이트 통합 문서를 사용하여 조건부 액세스 정책의 영향을 모니터링할 수 있습니다.
Warning
규정 준수 디바이스를 필요로 하는 보고 전용 모드의 정책은 디바이스 규정 준수가 적용되지 않는 경우에도 정책 평가 중에 사용자에게 Mac, iOS, Android에서 디바이스 인증서를 선택하라는 메시지를 표시할 수 있습니다. 해당 메시지는 디바이스가 규정을 준수할 때까지 반복적으로 표시될 수도 있습니다. 최종 사용자가 로그인한 동안 메시지를 받지 않도록 하려면 디바이스 규정 준수 검사를 수행하는 보고 전용 정책에서 디바이스 플랫폼 Mac, iOS, Android를 제외합니다. “사용자 작업” 범위의 조건부 액세스 정책에는 보고 전용 모드를 적용할 수 없습니다.
정책 결과
지정된 로그인에 대해 보고 전용 모드의 정책을 평가하는 경우 가능한 결과값은 다음 네 가지입니다.
| 결과 | 설명 |
|---|---|
| 보고 전용: 성공 | 구성된 모든 정책 조건, 필요한 비대화형 권한 부여 컨트롤 및 세션 컨트롤이 충족되었습니다. 예를 들어 토큰에 이미 있는 MFA 클레임이 다단계 인증 요구 사항을 충족하거나 규정 준수 디바이스에서 디바이스 검사를 수행한 결과 규정 준수 디바이스 정책을 충족합니다. |
| 보고 전용: 실패 | 구성된 모든 정책 조건이 충족되었지만 모든 필수 비대화형 권한 부여 컨트롤 또는 세션 컨트롤이 충족되지는 않았습니다. 차단 컨트롤이 구성된 사용자에게 정책이 적용되거나 디바이스가 규정 준수 디바이스 정책을 충족하지 못하는 경우를 예로 들 수 있습니다. |
| 보고 전용: 사용자 작업 필요 | 구성된 모든 정책 조건이 충족되었지만 필요한 권한 부여 컨트롤 또는 세션 컨트롤을 충족하려면 사용자 작업이 필요합니다. 보고 전용 모드를 사용하면 사용자에게 필요한 컨트롤을 충족하라는 메시지가 표시되지 않습니다. 예를 들어, 사용자에게 다단계 인증 질문이나 사용 약관에 대한 메시지가 표시되지 않습니다. |
| 보고 전용: 적용되지 않음 | 구성된 일부 정책 조건이 충족되지 않았습니다. 예를 들어 사용자가 정책에서 제외되었거나 정책이 신뢰할 수 있는 특정 명명된 위치에만 적용되는 경우입니다. |
조건부 액세스 인사이트 통합 문서
관리자는 보고 전용 모드에서 여러 정책을 만들 수 있기 때문에 각 정책의 개별 영향 및 함께 평가된 여러 정책의 결합된 영향을 모두 이해해야 합니다. 새 조건부 액세스 인사이트 통합 문서를 통해 관리자는 조건부 액세스 쿼리를 시각화하고 지정된 시간 범위, 애플리케이션 집합 및 사용자에 대한 정책의 영향을 모니터링할 수 있습니다.