연속 액세스 평가를 사용하여 위치 정책을 엄격하게 적용(미리 보기)
위치 정책을 엄격하게 적용하는 것은 조건부 액세스 정책에 사용되는 CAE(지속적인 액세스 평가)에 대한 새로운 적용 모드입니다. 이 새 모드는 리소스 공급자가 검색한 IP 주소가 조건부 액세스 정책에서 허용되지 않는 경우 즉시 액세스를 중지하는 리소스에 대한 보호를 제공합니다. 이 옵션은 CAE 위치 적용의 가장 높은 보안 형식이며 관리자는 네트워크 환경에서 인증 및 액세스 요청의 라우팅을 이해해야 합니다. Outlook 이메일 클라이언트와 같은 CAE 지원 클라이언트 및 리소스 공급자와 Exchange Online 위치 변경 내용을 평가하는 방법에 대한 검토는 지속적인 액세스 평가 소개를 참조하세요.
| 위치 적용 모드 | 권장되는 네트워크 토폴로지 | 리소스에서 검색된 IP 주소가 허용 목록에 없는 경우 | 이점 | 구성 |
|---|---|---|---|---|
| 표준(기본값) | 모든 토폴로지에 적합 | 단기 토큰은 Microsoft Entra ID가 허용된 IP 주소를 검색한 경우에만 발급됩니다. 그러지 않으면 액세스가 차단됩니다. | CAE 적용이 생산성에 영향을 미치는 분할 터널 네트워크 배포에서 CAE 이전 위치 검색 모드로 돌아갑니다. CAE는 여전히 다른 이벤트 및 정책을 적용합니다. | 없음(기본 설정) |
| 엄격하게 적용되는 위치 정책 | 송신 IP 주소는 Microsoft Entra ID 및 모든 리소스 공급자 트래픽 전용이며 열거할 수 있음 | 액세스 차단됨 | 가장 안전하지만 잘 이해된 네트워크 경로가 필요합니다. | 1. 모집단이 적은 IP 주소 가정 테스트 2. 세션 컨트롤에서 "엄격하게 적용"을 사용하도록 설정 |
엄격하게 적용되는 위치 정책 구성
1단계 - 대상 사용자에 대한 조건부 액세스 위치 기반 정책 구성
관리자는 엄격한 위치 적용이 필요한 조건부 액세스 정책을 만들기 전에 조건부 액세스 위치 기반 정책에 설명된 것과 같은 정책을 편안하게 사용할 수 있어야 합니다. 이와 같은 정책은 다음 단계로 진행하기 전에 사용자의 하위 집합으로 테스트해야 합니다. 관리자는 엄격한 적용을 사용하도록 설정하기 전에 테스트하여 인증 중에 Microsoft Entra ID에 표시되는 허용된 IP 주소와 실제 IP 주소 간의 불일치를 방지할 수 있습니다.
2단계 - 작은 사용자 하위 집합에 대한 정책 테스트
테스트 사용자의 하위 집합에서 엄격한 위치 적용이 필요한 정책을 사용하도록 설정한 후 Microsoft Entra 로그인 로그에서 필터 (리소스에서 볼 수 있는) IP 주소를 사용하여 테스트 환경의 유효성을 검사합니다. 이 유효성 검사를 통해 관리자는 엄격한 위치 적용으로 인해 CAE 사용 리소스 공급자가 볼 수 있는 허용되지 않는 IP를 가진 사용자를 차단할 수 있는 시나리오를 찾을 수 있습니다.
관리자는 엄격한 위치 적용이 필요한 조건부 액세스 정책을 켜기 전에 다음을 수행해야 합니다.
- Microsoft Entra ID에 대한 모든 인증 트래픽과 리소스 공급자에 대한 액세스 트래픽이 알려진 전용 송신 IP에서 발생하는지 확인합니다.
- Exchange Online, Teams, SharePoint Online 및 Microsoft Graph와 같음
- 사용자가 Microsoft Entra ID 및 리소스 공급자에 액세스할 수 있는 모든 IP 주소가 IP 기반 명명된 위치에 포함되어 있는지 확인합니다.
- 글로벌 보안 액세스를 통해 타사 365 애플리케이션으로 트래픽을 보내지 않는지 확인합니다.
- 이러한 타사 365 애플리케이션에는 원본 IP 복원 이 지원되지 않습니다. Global Secure Access에서 엄격한 위치 적용을 사용하도록 설정하면 사용자가 신뢰할 수 있는 IP 위치에 있더라도 액세스가 차단됩니다.
- 조건부 액세스 정책을 검토하여 CAE를 지원하지 않는 정책이 없는지 확인합니다. 자세한 내용은 CAE 지원 CA 정책을 참조 하세요.
관리자가 이 유효성 검사를 수행하지 않으면 사용자에게 부정적인 영향을 미칠 수 있습니다. Microsoft Entra ID 또는 CAE 지원 리소스에 대한 트래픽이 공유되거나 정의할 수 없는 송신 IP를 통해 이루어지는 경우 조건부 액세스 정책에서 엄격한 위치 적용을 사용하도록 설정하지 마세요.
3단계 - CAE 통합 문서를 사용하여 명명된 위치에 추가해야 하는 IP 주소 식별
아직 식별하지 않은 경우, 퍼블릭 템플릿 "지속적인 액세스 권한 평가 인사이트"를 사용하여 새 Azure 통합 문서를 만들어 Microsoft Entra ID에서 볼 수 있는 IP 주소와 (리소스에서 볼 수 있는) IP 주소 간의 IP 불일치를 식별합니다. 이 경우 분할 터널 네트워크 구성이 있을 수 있습니다. 엄격한 위치 적용을 사용할 때 사용자가 실수로 잠기지 않도록 하려면 관리자는 다음을 수행해야 합니다.
CAE 통합 문서에서 식별된 IP 주소를 조사하고 식별합니다.
알려진 조직 송신 지점과 연결된 공용 IP 주소를 정의된 명명된 위치에 추가합니다.
다음 스크린샷은 차단되는 리소스에 대한 클라이언트의 액세스 예를 보여줍니다. 이 블록은 클라이언트 세션을 취소하는 CAE 엄격한 위치 적용이 트리거되어야 하는 정책 때문입니다.
이 동작은 로그인 로그에서 확인할 수 있습니다. (리소스에서 볼 수 있는) IP 주소를 찾고 사용자에 대한 조건부 액세스에서 예기치 않은 블록이 발생하는 경우 명명된 위치에 이 IP를 추가하는 방법을 조사합니다.
조건부 액세스 정책 세부 정보 탭에는 차단된 로그인 이벤트에 대한 자세한 정보가 제공됩니다.
4단계 - 배포 계속
대상 사용자 기반에 위치 정책을 엄격하게 적용할 때까지 사용자 그룹을 확장하여 2단계와 3단계를 반복합니다. 사용자 환경에 영향을 주지 않도록 신중하게 롤아웃합니다.
로그인 로그 문제 해결
관리자는 로그인 로그를 조사하여 (리소스에서 볼 수 있는) IP 주소를 사용하여 사례를 찾을 수 있습니다.
- Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
- ID>모니터링 및 상태>로그인 로그로 찾습니다.
- 필터 및 열을 추가하여 불필요한 정보를 필터링하여 검토할 이벤트를 찾습니다.
(리소스에서 볼 수 있는) IP 주소 열을 추가하고 빈 항목을 필터링하여 범위를 좁힙니다. Microsoft Entra ID에서 볼 수 있는 IP가 리소스에서 볼 수 있는 IP 주소와 일치하는 경우 (리소스에서 볼 수 있는) IP 주소는 비어 있습니다.
다음 예제에서는 (리소스에서 볼 수 있는) IP 주소에 필터가 비어 있지 않습니다.
초기 인증
CAE 토큰을 사용하여 인증에 성공합니다.
(리소스에서 볼 수 있는) IP 주소는 Microsoft Entra ID에서 볼 수 있는 IP 주소와 다릅니다. 리소스에서 볼 수 있는 IP 주소는 알려져 있지만 리소스가 리소스에서 볼 수 있는 IP 주소의 재평가를 위해 사용자를 리디렉션할 때까지 적용되지 않습니다.
리소스 수준에서는 엄격한 위치 적용이 적용되지 않으므로 Microsoft Entra 인증이 성공합니다.
재평가를 위한 리소스 리디렉션
인증이 실패하고 CAE 토큰이 발급되지 않습니다.
IP 주소(리소스별로 표시)가 Microsoft Entra ID로 표시되는 IP와 다릅니다.
(리소스에서 볼 수 있는) IP 주소가 조건부 액세스의 알려진 명명된 위치가 아니므로 인증에 성공하지 못합니다.