조건부 액세스: 네트워크 할당
관리자는 의사 결정 프로세스의 다른 조건과 함께 특정 네트워크 위치를 신호로 대상으로 하는 정책을 만들 수 있습니다. 정책 구성의 일부로 이러한 네트워크 위치를 포함하거나 제외할 수 있습니다. 이러한 네트워크 위치에는 공용 IPv4 또는 IPv6 네트워크 정보, 국가, 특정 국가에 매핑되지 않는 알 수 없는 지역 또는 전역 보안 액세스의 호환 네트워크가 포함될 수 있습니다.
참고 항목
조건부 액세스 정책은 1단계 인증이 완료된 후에 적용됩니다. 조건부 액세스는 DoS(서비스 거부) 공격과 같은 시나리오에 대한 조직의 최전방 방어선으로 사용하기 위해 개발된 것은 아니지만, 이러한 이벤트의 신호를 사용하여 액세스를 결정할 수 있습니다.
조직에서는 다음과 같은 일반적인 작업에 이러한 위치를 사용할 수 있습니다.
- 서비스에 액세스하는 사용자가 회사 네트워크 외부에 있는 경우 다단계 인증을 요구합니다.
- 조직이 운영되지 않는 특정 국가의 액세스를 차단합니다.
사용자의 위치는 공용 IP 주소 또는 Microsoft Authenticator 앱에서 제공하는 GPS 좌표를 사용하여 찾습니다. 조건부 액세스 정책은 기본적으로 모든 위치에 적용됩니다.
팁
위치 조건이 이동되었으며 이름이 네트워크로 변경되었습니다. 처음에 이 조건은 할당 수준과 조건 아래에 나타납니다.
업데이트 또는 변경 내용은 두 위치 모두에 나타납니다. 기능은 동일하게 유지되며 위치를 사용하는 기존 정책은 변경 없이 계속 작동합니다.
정책에 구성된 경우
위치 조건을 구성할 때 다음을 구분할 수 있습니다.
- 모든 네트워크 또는 위치
- 신뢰할 수 있는 모든 네트워크 및 위치
- 모든 호환 네트워크 위치
- 선택한 네트워크 및 위치
모든 네트워크 또는 위치
기본적으로 모든 위치를 선택하면 정책이 모든 IP 주소(인터넷의 모든 주소)에 적용됩니다. 이 설정은 명명된 위치로 구성하는 IP 주소로 제한되지 않습니다. 모든 위치를 선택해도 정책에서 특정 위치를 제외할 수 있습니다. 예를 들어, 신뢰할 수 있는 위치를 제외한 모든 위치에 정책을 적용하여, 회사 네트워크를 제외한 모든 위치로 범위를 설정할 수 있습니다.
신뢰할 수 있는 모든 네트워크 및 위치
이 옵션은 다음에 적용됩니다.
- 신뢰할 수 있는 위치로 표시된 모든 위치.
- 다단계 인증 신뢰할 수 있는 IP(구성된 경우)
다단계 인증 신뢰할 수 있는 IP
다단계 인증 서비스 설정의 신뢰할 수 있는 IP 섹션을 사용하는 것은 더 이상 권장되지 않습니다. 이 컨트롤은 IPv4 주소만 허용하며 Microsoft Entra 다단계 인증 설정 구성 문서에 설명된 특정 시나리오에만 사용해야 합니다.
이 신뢰할 수 있는 IP가 구성된 경우 위치 조건의 위치 목록에서 MFA에서 신뢰할 수 있는 IP로 표시됩니다.
모든 호환 네트워크 위치
Global Secure Access 기능에 액세스할 수 있는 조직에는 조직의 보안 정책을 준수하는 사용자 및 디바이스로 구성된 다른 위치가 나열되어 있습니다. 자세한 내용은 조건부 액세스에 대한 전역 보안 액세스 신호 사용 섹션을 참조하세요. 이는 조건부 액세스 정책과 함께 사용하여 리소스에 대한 액세스를 위해 규정 준수 네트워크 검사를 수행할 수 있습니다.
선택한 네트워크 및 위치
이 옵션을 사용하여 하나 이상의 명명된 위치를 선택할 수 있습니다. 이 설정이 적용된 정책의 경우, 선택한 위치에서만 연결해야 합니다. 선택을 선택하면 정의된 위치 목록이 열립니다. 이 목록에는 이름, 형식 및 네트워크 위치가 신뢰할 수 있는 것으로 표시되어 있는지 여부가 표시됩니다.
이러한 위치는 어떻게 정의되나요?
위치는 Microsoft Entra 관리 센터의 보호>조건부 액세스>명명된 위치 아래에 정의되어 있습니다. 최소한 조건부 액세스 관리자 역할을 가진 관리자는 명명된 위치를 만들고 업데이트할 수 있습니다.
명명된 위치에는 조직의 본사 네트워크 범위, VPN 네트워크 범위 또는 차단하려는 범위와 같은 위치가 포함될 수 있습니다. 명명된 위치에는 IPv4 주소 범위, IPv6 주소 범위 또는 국가가 포함됩니다.
IPv4 및 IPv6 주소 범위
공용 IPv4 또는 IPv6 주소 범위로 명명된 위치를 정의하려면 다음을 제공해야 합니다.
- 위치에 대한 이름.
- 하나 이상의 공용 IP 범위
- 필요에 따라 신뢰할 수 있는 위치로 표시.
IPv4/IPv6 주소 범위로 정의된 명명된 위치는 다음과 같은 제한 사항의 적용을 받습니다.
- 195개 이하의 명명된 위치
- 명명된 위치당 2000개 이하의 IP 범위
- IP 범위를 정의할 때에는 /8보다 큰 CIDR 마스크만 사용할 수 있습니다.
개인 네트워크에 있는 디바이스의 경우 IP 주소는 인트라넷에 있는 사용자 디바이스의 클라이언트 IP(예: 10.55.99.3)가 아니라 네트워크에서 공용 인터넷에 연결하는 데 사용되는 주소(예: 198.51.100.3)입니다.
신뢰할 수 있는 위치
관리자는 선택적으로 조직의 공용 네트워크 범위와 같은 IP 기반 위치를 신뢰할 수 있는 것으로 표시할 수 있습니다. 이 표시는 여러 가지 방법으로 기능에서 사용됩니다.
- 조건부 액세스 정책은 이러한 위치를 포함하거나 제외할 수 있습니다.
- 신뢰할 수 있는 이름의 위치에서 로그인하면 Microsoft Entra ID 보호의 위험 계산 정확도가 개선됩니다.
신뢰할 수 있는 것으로 표시된 위치는 먼저 신뢰할 수 있는 지정을 제거하지 않으면 삭제할 수 없습니다.
국가
조직은 IP 주소 또는 GPS 좌표를 통해 지리적 국가 위치를 확인할 수 있습니다.
국가별로 명명된 위치를 정의하려면 다음을 수행해야 합니다.
- 위치에 대한 이름을 제공합니다.
- IP 주소 또는 GPS 좌표로 위치를 결정하도록 선택.
- 하나 이상의 국가/지역 추가.
- 필요에 따라 알 수 없는 국가/지역을 포함하도록 선택.
IP 주소로 위치 확인을 선택하면 Microsoft Entra ID는 주기적으로 업데이트되는 매핑 테이블을 기반으로 사용자의 IPv4 또는 IPv6 주소를 국가 또는 지역으로 확인합니다.
GPS 좌표로 위치 확인을 선택하는 경우 사용자는 모바일 디바이스에 Microsoft Authenticator 앱을 설치해야 합니다. 시스템은 매 시간마다 사용자의 Microsoft Authenticator 앱에 연결하여 모바일 디바이스의 GPS 위치를 수집합니다.
- 사용자가 처음으로 Microsoft Authenticator 앱에서 자신의 위치를 공유해야 하면 앱에서 알림을 받습니다. 사용자는 앱을 열고 위치 권한을 부여해야 합니다. 다음 24시간 동안 사용자가 여전히 리소스에 액세스하고 백그라운드에서 실행할 수 있는 앱 권한을 부여한 경우 디바이스의 위치는 시간당 한 번 자동으로 공유됩니다.
- 24시간 후 사용자는 앱을 열고 알림을 승인해야 합니다.
- 사용자가 GPS 위치를 공유할 때마다 앱은 Microsoft Intune MAM SDK와 동일한 논리를 사용하여 탈옥 검색을 수행합니다. 디바이스가 탈옥된 경우 위치가 유효한 것으로 간주되지 않고 사용자에게 액세스 권한이 부여되지 않습니다.
- Android의 Microsoft Authenticator 앱은 Google Play 무결성 API를 사용하여 탈옥 검색을 용이하게 합니다. Google Play 무결성 API를 사용할 수 없는 경우 요청이 거부되며 조건부 액세스 정책을 사용하지 않도록 설정하지 않는 한 사용자가 요청된 리소스에 액세스할 수 없습니다. Microsoft Authenticator 앱에 대한 자세한 내용은 Microsoft Authenticator 앱에 대한 일반적인 질문 문서를 참조하세요.
- 사용자는 iOS 및 Android 디바이스에서 보고한 GPS 위치를 수정할 수 있습니다. 따라서 사용자가 앱이 설치된 모바일 디바이스의 실제 GPS 위치와 다른 위치를 사용하고 있을 수 있는 경우 Microsoft Authenticator 앱은 인증을 거부합니다. 디바이스의 위치를 수정하는 사용자는 GPS 위치 기반 정책에 대한 거부 메시지를 받습니다.
참고 항목
GPS 기반 명명된 위치가 보고서 전용 모드인 조건부 액세스 정책은 사용자가 로그인이 차단되지 않더라도 GPS 위치를 공유하라는 메시지를 표시합니다.
GPS 위치는 암호 없는 인증 방법에서 작동하지 않습니다.
여러 조건부 액세스 정책은 모두 적용되기 전에 사용자에게 GPS 위치를 묻는 메시지를 표시할 수 있습니다. 조건부 액세스 정책이 적용되는 방식 때문에 사용자가 위치 확인을 통과했지만 다른 정책에 실패하면 액세스가 거부될 수 있습니다. 정책 적용에 대한 자세한 내용은 조건부 액세스 정책 구축 문서를 참조하세요.
Important
사용자는 Microsoft Entra ID가 Authenticator 앱에서 위치를 확인하고 있음을 알리는 메시지를 매 시간마다 받을 수 있습니다. 이 기능은 이러한 동작이 허용되거나 특정 국가/지역에 대해 액세스가 제한되어야 하는 매우 중요한 앱을 보호하는 데에만 사용해야 합니다.
알 수 없는 국가/지역 포함
일부 IP 주소는 특정 국가 또는 지역에 매핑되지 않습니다. 이러한 IP 위치를 캡처하려면 지리적 위치를 정의할 때 알 수 없는 국가/지역 포함 확인란을 선택합니다. 이 옵션을 사용하면 이러한 IP 주소를 명명된 위치에 포함할지를 선택할 수 있습니다. 명명된 위치를 사용하는 정책이 알 수 없는 위치에 적용되어야 하는 경우 이 설정을 사용합니다.
일반적인 질문
Graph API가 지원되나요?
명명된 위치에 대한 Graph API 지원이 가능합니다. 자세한 내용은 namedLocation API를 참조하세요.
클라우드 프록시나 VPN을 사용하면 어떻게 되나요?
클라우드 호스트된 프록시 또는 VPN 솔루션을 사용하는 경우 정책을 평가하는 동안 Microsoft Entra ID가 사용하는 IP 주소는 프록시의 IP 주소입니다. 사용자의 공용 IP 주소를 포함하는 XFF(X-Forwarded-For) 헤더는 신뢰할 수 있는 원본에서 가져왔다는 확인이 없어서 IP 주소를 속이는 방법을 제공할 수 있으므로 사용되지 않습니다.
클라우드 프록시가 있으면 Microsoft Entra 하이브리드 조인 또는 호환 디바이스를 요구하는 정책을 더 쉽게 관리할 수 있습니다. 클라우드 호스트된 프록시 또는 VPN 솔루션에서 사용하는 IP 주소 목록을 최신 상태로 유지하는 것은 거의 불가능할 수 있습니다.
조직은 글로벌 보안 액세스를 통해 원본 IP 복원을 사용하도록 설정하여 이러한 주소 변경을 방지하고 관리를 간소화하는 것이 좋습니다.
위치가 평가되는 시기
조건부 액세스 정책은 다음과 같은 경우에 평가됩니다.
- 사용자가 웹앱, 모바일 또는 데스크톱 애플리케이션에 처음 로그인합니다.
- 최신 인증을 사용하는 모바일 또는 데스크톱 애플리케이션에서 새로 고침 토큰을 사용하여 새 액세스 토큰을 확보합니다. 기본적으로 이 검사는 한 시간에 한 번 수행됩니다.
이 검사는 최신 인증을 사용하는 모바일 및 데스크톱 애플리케이션의 경우 네트워크 위치 변경 후 1시간 내에 위치 변경이 검색됨을 의미합니다. 최신 인증을 사용하지 않는 모바일 및 데스크톱 애플리케이션의 경우 토큰 요청마다 정책이 적용됩니다. 요청 빈도는 애플리케이션에 따라 다를 수 있습니다. 마찬가지로 웹 애플리케이션의 경우 정책은 처음 로그인할 때 적용되며 웹 애플리케이션에서 세션 수명 동안 유효합니다. 애플리케이션 간에 세션 수명이 달라서 정책 평가 사이의 시간도 달라집니다. 애플리케이션이 새 로그인 토큰을 요청할 때마다 정책이 적용됩니다.
기본적으로 Microsoft Entra ID는 시간 단위로 토큰을 발급합니다. 사용자가 회사 네트워크를 떠난 후 1시간 내에 최신 인증을 사용하는 애플리케이션에 대해 정책이 적용됩니다.
위치를 차단하는 경우는 무엇인가요?
위치 조건을 사용하여 액세스를 차단하는 정책은 제한적인 것으로 간주되며 철저한 테스트 후에 주의해서 수행해야 합니다. 인증을 차단하기 위해 위치 조건을 사용하는 일부 사례는 다음과 같습니다.
- 조직이 비즈니스를 수행하지 않는 국가/지역 차단.
- 다음과 같은 특정 IP 범위 차단:
- 방화벽 정책을 변경하기 전에 알려진 악성 IP.
- 매우 중요하거나 권한 있는 작업 및 클라우드 애플리케이션.
- 회계 또는 급여 애플리케이션에 대한 액세스와 같은 사용자별 IP 범위를 기반으로 함.