액세스 검토를 사용하여 조건부 액세스 정책에서 제외된 사용자 관리

  • 아티클

이상적인 환경에서 모든 사용자는 조직의 리소스에 대한 액세스를 보호하는 액세스 정책을 따릅니다. 그러나 경우에 따라 예외가 있는 비즈니스 사례가 있습니다. 이 문서에서는 제외가 필요할 수 있는 상황의 몇 가지 예를 설명합니다. IT 관리자는 Microsoft Entra 액세스 검토를 사용하여 이 작업을 관리하고, 정책 예외의 감독을 방지하고, 감사자에게 정기적으로 이러한 예외를 검토했다는 증명을 제공해야 합니다.

참고 항목

Microsoft Entra 액세스 검토를 사용하려면 유효한 Microsoft Entra ID P2 또는 Microsoft Entra ID Governance, Enterprise Mobility + Security E5 유료 또는 평가판 라이선스가 필요합니다. 자세한 내용은 Microsoft Entra 버전을 참조하세요.

정책에서 사용자를 제외하는 이유는?

관리자가 Microsoft Entra 조건부 액세스를 사용하여 MFA(다단계 인증)를 요구하고 인증 요청을 특정 네트워크 또는 디바이스로 제한하기로 결정한다고 가정해 보겠습니다. 배포 계획 중에 모든 사용자가 이러한 요구 사항을 충족하지는 못할 수도 있다는 것을 알게 됩니다. 예를 들어 내부 네트워크의 일부가 아닌 원격 사무실에서 일하는 사용자가 있을 수 있습니다. 해당 디바이스가 교체되기를 기다리는 동안 지원되지 않는 디바이스를 사용하여 연결하는 사용자를 수용해야 할 수도 있습니다. 간단히 말해서 회사에서 이와 같은 사용자가 로그인하고 작업을 수행할 수 있도록 조건부 액세스 정책에서 해당 사용자를 제외해야 합니다.

또 다른 예로 조건부 액세스에서 명명된 위치를 사용하여 사용자가 테넌트에 액세스하도록 허용하지 않으려는 국가 및 지역 집합을 지정할 수 있습니다.

조건부 액세스의 명명된 위치

아쉽게도 일부 사용자는 차단된 국가/지역에서 로그인해야 하는 타당한 이유가 있을 수 있습니다. 예를 들어 사용자가 출장 중에 회사 리소스에 액세스해야 할 수 있습니다. 이러한 경우 이러한 국가/지역을 차단하는 조건부 액세스 정책은 정책에서 제외된 사용자 전용 클라우드 보안 그룹을 사용할 수 있습니다. 여행하는 동안 액세스해야 하는 사용자는 Microsoft Entra 셀프 서비스 그룹 관리를 사용하여 그룹에 자신을 추가할 수 있습니다.

또 다른 예로 대부분의 사용자에 대한 레거시 인증을 차단하는 조건부 액세스 정책이 있을 수 있습니다. 그러나 일부 사용자가 반드시 레거시 인증 방법을 사용하여 Office 2010 또는 POP/IMAP/SMTP 기반 클라이언트를 통해 리소스에 액세스해야 하는 경우 이러한 사용자를 레거시 인증 방법을 차단하는 정책에서 제외할 수 있습니다.

참고 항목

보안 태세를 개선하기 위해 테넌트에서 레거시 프로토콜의 사용을 차단하는 것이 좋습니다.

제외하기 어려운 이유는?

Microsoft Entra ID에서는 사용자 집합에 조건부 액세스 정책의 범위를 지정할 수 있습니다. Microsoft Entra 역할, 개별 사용자 또는 게스트를 선택하여 제외를 구성할 수도 있습니다. 제외를 구성하면 제외된 사용자에게 정책 의도가 적용되지 않는다는 점에 유의해야 합니다. 사용자 목록을 사용하거나 레거시 온-프레미스 보안 그룹을 사용하여 제외를 구성하는 경우 제외에 대한 가시성이 제한됩니다. 결과적으로 다음이 수행됩니다.

  • 사용자는 자신이 제외되었다는 것을 알지 못할 수 있습니다.

  • 사용자는 정책을 우회하기 위해 보안 그룹에 가입할 수 있습니다.

  • 제외된 사용자는 이전에 제외 자격을 가질 수 있었지만 더 이상 제외 자격을 갖추지 못했습니다.

대부분 제외를 처음 구성할 때 정책을 우회하는 짧은 사용자 명단이 있습니다. 시간이 지남에 따라 제외에 점점 더 많은 사용자가 추가되면서 이 목록이 증가합니다. 특정 시점에 해당 목록을 검토하고 이러한 사용자 각각이 여전히 제외 자격에 해당하는지 확인해야 합니다. 기술적 관점에서 제외 목록을 관리하는 것은 비교적 간단하지만, 비즈니스 의사 결정을 하는 사용자를 정하고 모두 감사 가능하게 하는 방법을 찾는 것이 복잡할 수 있습니다. 그러나 Microsoft Entra 그룹을 사용하여 제외를 구성하는 경우 액세스 검토를 보정 컨트롤로 사용하여 가시성을 확보하고 제외된 사용자 수를 줄일 수 있습니다.

조건부 액세스 정책에서 제외 그룹을 만드는 방법

다음 단계에 따라 해당 그룹에 적용되지 않는 Microsoft Entra 그룹 및 조건부 액세스 정책을 만듭니다.

제외 그룹 만들기

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>그룹>모든 그룹으로 이동합니다.

  3. + 새 그룹을 선택합니다.

  4. 그룹 형식 목록에서 보안을 선택합니다. 이름 및 설명을 지정합니다.

  5. 멤버 자격 형식을 할당됨으로 설정해야 합니다.

  6. 이 제외 그룹의 일부인 사용자를 선택한 다음, 만들기를 선택합니다.

Microsoft Entra ID의 새 그룹 창

그룹을 제외하는 조건부 액세스 정책 만들기

이제 이 제외 그룹을 사용하는 조건부 액세스 정책을 만들 수 있습니다.

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. 보호>조건부 액세스로 이동합니다.

  3. 새 정책 만들기를 선택합니다.

  4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.

  5. 할당에서 사용자 및 그룹을 선택합니다.

  6. 포함 탭에서 모든 사용자를 선택합니다.

  7. 제외에서 사용자 및 그룹을 선택하고 만든 제외 그룹을 선택합니다.

    참고 항목

    모범 사례로 테넌트가 잠기지 않았는지 테스트하는 경우 정책에서 하나 이상의 관리자 계정을 제외하는 것이 좋습니다.

  8. 조직의 요구 사항에 따라 조건부 액세스 정책을 계속 설정합니다.

조건부 액세스에서 제외된 사용자 창 선택

조건부 액세스 정책에서 제외를 관리하기 위해 액세스 검토를 사용할 수 있는 두 가지 예제를 살펴보겠습니다.

예제 1: 차단된 국가/지역에서 액세스하는 사용자에 대한 액세스 검토

특정 국가/지역으로부터 액세스를 차단하는 조건부 액세스 정책이 있다고 가정하겠습니다. 여기에는 정책에서 제외된 그룹이 포함됩니다. 그룹의 멤버를 검토하는 권장되는 액세스 검토는 다음과 같습니다.

액세스 검토 창 만들기(예: 1)

참고 항목

액세스 검토를 만드는 데 전역 관리자 또는 사용자 관리자 역할이 필요합니다. 액세스 검토를 만드는 단계별 가이드는 그룹 및 애플리케이션에 대한 액세스 검토 만들기를 참조하세요.

  1. 검토는 매주 발생합니다.

  2. 이 제외 그룹을 최신 상태로 유지하기 위해 검토가 끝나지 않습니다.

  3. 이 그룹의 모든 멤버는 검토 범위에 있습니다.

  4. 각 사용자는 여전히 이러한 차단된 국가/지역에서 액세스해야 한다는 것을 자체 증명해야 하므로 여전히 그룹의 구성원이어야 합니다.

  5. 사용자가 검토 요청에 응답하지 않으면 그룹에서 자동으로 제거되고 해당 국가/지역으로 이동하는 동안 테넌트에 더 이상 액세스할 수 없습니다.

  6. 사용자가 액세스 검토의 시작 및 완료를 알 수 있도록 메일 알림을 사용합니다.

예제 2: 레거시 인증을 사용하여 액세스하는 사용자에 대한 액세스 검토

레거시 인증 및 이전 버전의 클라이언트를 사용하여 사용자에 대한 액세스를 차단하는 조건부 액세스 정책이 있고 여기에는 정책에서 제외된 한 그룹이 있다고 가정하겠습니다. 그룹의 멤버를 검토하는 권장되는 액세스 검토는 다음과 같습니다.

액세스 검토 창 만들기(예: 2)

  1. 이 검토는 되풀이 검토여야 합니다.

  2. 그룹의 모든 사용자가 검토되어야 합니다.

  3. 비즈니스 단위 소유자를 선택한 검토자로 나열하도록 구성할 수 없습니다.

  4. 결과를 자동으로 적용하고 레거시 인증 방법을 계속 사용하도록 승인되지 않은 사용자를 제거합니다.

  5. 대규모 그룹의 검토자가 쉽게 결정할 수 있도록 권장 사항을 사용하도록 설정하는 것이 유용할 수 있습니다.

  6. 사용자가 액세스 검토의 시작 및 완료를 알 수 있도록 메일 알림을 사용합니다.

Important

제외 그룹이 많기 때문에 여러 액세스 검토를 만들어야 하는 경우 Microsoft Graph를 사용하여 프로그래밍 방식으로 만들고 관리할 수 있습니다. 시작하려면 Microsoft Graph의 액세스 검토 API를 사용하여 액세스 검토 API 참조자습서를 참조하세요.

액세스 검토 결과 및 감사 로그

이제 그룹, 조건부 액세스 정책 및 액세스 검토를 모두 준비했으므로 이러한 검토의 결과를 모니터링하고 추적하겠습니다.

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>액세스 검토로 이동합니다.

  3. 제외 정책을 만든 그룹과 함께 사용 중인 Access 검토를 선택합니다.

  4. 결과를 선택하여 목록에 유지되도록 승인된 사용자 및 제거된 사용자를 확인합니다.

    액세스 검토 결과에 승인된 사용자 표시

  5. 감사 로그를 선택하여 검토하는 동안 수행된 작업을 확인합니다.

IT 관리자인 경우 경우에 따라 정책에 대한 제외 그룹을 관리하는 작업을 피할 수 없습니다. 그러나 이러한 그룹을 기본 비즈니스 소유자 또는 사용자가 정기적으로 검토하고 액세스 검토를 통해 이러한 변경 내용을 더 쉽게 감사할 수 있습니다.

다음 단계