조건부 액세스를 사용하여 Azure Virtual Desktop에 Microsoft Entra 다단계 인증 적용
Important
Azure Virtual Desktop(클래식) 문서에서 이 페이지를 방문한 경우, 완료되면 Azure Virtual Desktop(클래식) 설명서로 돌아가야 합니다.
사용자는 다양한 디바이스 및 클라이언트를 사용하여 어디서나 Azure Virtual Desktop에 로그인할 수 있습니다. 그러나 환경과 사용자를 안전하게 지키기 위해 취해야 할 특정 조치가 있습니다. Azure Virtual Desktop에서 Microsoft Entra MFA(Multi-Factor Authentication)를 사용하면 로그인 프로세스 중에 사용자에게 사용자 이름 및 암호 외에도 다른 형식의 ID를 요청하는 메시지가 표시됩니다. 조건부 액세스를 사용하여 Azure Virtual Desktop에 대해 MFA를 적용할 수 있으며, 웹 클라이언트, 모바일 앱, 데스크톱 클라이언트 또는 모든 클라이언트에 적용할지 여부를 구성할 수도 있습니다.
사용자는 원격 세션에 연결할 때 Azure Virtual Desktop 서비스 및 세션 호스트에서 인증을 받아야 합니다. MFA를 사용하도록 설정하면 Azure Virtual Desktop 서비스에 연결할 때 MFA가 사용되며 사용자에게 다른 서비스에 액세스하는 것과 같은 방식으로 사용자 계정 및 두 번째 인증 형식을 묻는 메시지가 표시됩니다. 사용자가 원격 세션을 시작하면 세션 호스트에 사용자 이름과 암호가 필요하지만 SSO(Single Sign-On)를 사용하도록 설정하면 원활하게 진행됩니다. 자세한 내용은 인증 방법을 참조하세요.
사용자에게 다시 인증하라는 메시지가 표시되는 빈도는 Microsoft Entra 세션 수명 구성 설정에 따라 달라집니다. 예를 들어 Windows 클라이언트 디바이스가 Microsoft Entra ID에 등록된 경우 애플리케이션 전체에서 SSO(Single Sign-On)를 사용하는 PRT(주 새로 고침 토큰)를 받게 됩니다. PRT는 일단 발급되면 14일 동안 유효하며 사용자가 디바이스를 적극적으로 사용하는 동안에는 계속 갱신됩니다.
자격 증명을 기억하는 것은 편리하지만 개인 디바이스를 사용하는 엔터프라이즈 시나리오의 배포는 덜 안전할 수 있습니다. 사용자를 보호하기 위해 클라이언트가 Microsoft Entra 다단계 인증 자격 증명을 계속 더 자주 요청하도록 할 수 있습니다. 조건부 액세스를 사용하여 이 동작을 구성할 수 있습니다.
다음 섹션에서 Azure Virtual Desktop에 대해 MFA를 적용하고, 필요에 따라 로그인 빈도를 구성하는 방법을 알아봅니다.
필수 조건
시작하기 위해 필요한 항목은 다음과 같습니다.
- 사용자에게 Microsoft Entra ID P1 또는 P2를 포함하는 라이선스를 할당합니다.
- Azure Virtual Desktop 사용자가 그룹 멤버로 할당된 Microsoft Entra 그룹.
- Microsoft Entra 다단계 인증 사용.
조건부 액세스 정책 만들기
Azure Virtual Desktop에 연결할 때 다단계 인증이 필요한 조건부 액세스 정책을 만드는 방법은 다음과 같습니다.
최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>조건부 액세스>정책으로 이동합니다.
새 정책을 선택합니다.
정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
할당>사용자에서 0명의 사용자 및 그룹이 선택됨을 선택합니다.
포함 탭에서 사용자 및 그룹 선택을 선택하고 사용자 및 그룹을 선택한 다음 선택에서 0명의 사용자 및 그룹이 선택됨을 선택합니다.
열리는 새 창에서 Azure Virtual Desktop 사용자를 그룹 구성원으로 포함하는 그룹을 검색하여 선택한 다음, 선택을 선택합니다.
할당>대상 리소스에서 선택한 대상 리소스 없음을 선택합니다.
포함 탭에서 앱 선택을 선택한 다음 선택에서 없음을 선택합니다.
열리는 새 창에서 보호하려는 리소스에 따라 필요한 앱을 검색하고 선택합니다. 시나리오에 대한 관련 탭을 선택합니다. Azure에서 애플리케이션 이름을 검색할 때 애플리케이션 이름에 잘못된 순서가 포함된 키워드 대신 애플리케이션 이름으로 시작하는 검색어를 순서대로 사용합니다. 예를 들어 Azure Virtual Desktop을 사용하려면 'Azure Virtual'을 순서대로 입력해야 합니다. 'virual'만 입력하면 검색에서 원하는 애플리케이션을 반환하지 않습니다.
Azure Virtual Desktop(Azure Resource Manager 기반)을 사용하는 경우 세 개의 다른 앱에서 MFA를 구성할 수 있습니다.
사용자가 Azure Virtual Desktop을 구독하고, 연결 중에 Azure Virtual Desktop 게이트웨이에 인증하고, 진단 정보가 사용자의 로컬 디바이스에서 서비스로 전송될 때 적용되는 Azure Virtual Desktop(앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
팁
앱 이름은 이전에 Windows Virtual Desktop이었습니다. 표시 이름이 변경되기 전에 Microsoft.DesktopVirtualization 리소스 공급자를 등록한 경우 애플리케이션 이름은 위와 동일한 앱 ID를 사용하여 Windows Virtual Desktop으로 지정됩니다.
- Microsoft 원격 데스크톱(앱 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c) 및 Windows 클라우드 로그인(앱 ID 270efc09-cd0d-444b-a71f-39af4910ec45). 이는 Single Sign-On을 사용하는 경우 사용자가 세션 호스트에 인증할 때 적용됩니다. 로그인 빈도를 제외하고 이러한 앱과 Azure Virtual Desktop 앱 간에 조건부 액세스 정책을 일치시키는 것이 좋습니다.
Important
Azure Virtual Desktop에 액세스하는 데 사용되는 클라이언트는 Microsoft 원격 데스크톱 Entra ID 앱을 사용하여 현재 세션 호스트에 인증합니다. 예정된 변경으로 인해 인증이 Windows 클라우드 로그인 Entra ID 앱으로 전환됩니다. 원활한 전환을 보장하려면 CA 정책에 두 Entra ID 앱을 모두 추가해야 합니다.
Important
Azure Virtual Desktop Azure Resource Manager 공급자라는 앱을 선택하지 마세요(앱 ID 50e95039-b200-4007-bc97-8d5790743a63). 이 앱은 사용자 피드를 검색하는 데만 사용되며 다단계 인증을 사용할 수 없습니다.
앱을 선택한 후 선택을 선택합니다.
할당>조건에서 0개의 조건 선택을 선택합니다.
클라이언트 앱에서 구성되지 않음을 선택합니다.
열리는 새 창에서 구성에 대해 예를 선택합니다.
이 정책이 적용되는 클라이언트 앱 선택을 선택합니다.
- 정책을 웹 클라이언트에 적용하려면 브라우저를 선택합니다.
- 정책을 다른 클라이언트에 적용하려면 모바일 앱 및 데스크톱 클라이언트를 선택합니다.
- 모든 클라이언트에 정책을 적용하려면 두 확인란을 모두 선택합니다.
- 레거시 인증 클라이언트에 대한 값을 선택 취소합니다.
이 정책이 적용되는 클라이언트 앱을 선택했으면 완료를 선택합니다.
액세스 제어>권한 부여에서 선택된 제어 0개를 선택합니다.
열리는 새 창에서 액세스 권한 부여를 선택합니다.
다단계 인증 필요를 선택한 다음, 선택을 선택합니다.
페이지 아래쪽에서 정책 사용을 켜기로 설정하고 만들기를 선택합니다.
참고 항목
웹 클라이언트를 사용하여 브라우저를 통해 Azure Virtual Desktop에 로그인하는 경우 로그에 클라이언트 앱 ID가 a85cf173-4192-42f8-81fa-777a763e6e2c(Azure Virtual Desktop 클라이언트)로 나열됩니다. 클라이언트 앱이 조건부 액세스 정책이 설정된 서버 앱 ID에 내부적으로 연결되어 있기 때문입니다.
팁
사용 중인 Windows 디바이스가 아직 Microsoft Entra ID에 등록되지 않은 경우 일부 사용자에게는 모든 앱에 로그인 상태 유지라는 메시지가 표시될 수 있습니다. 조직에서 내 디바이스를 관리할 수 있도록 허용을 선택 취소하고 아니요, 이 앱에만 로그인합니다를 선택한 경우 인증하라는 메시지가 더 자주 표시될 수 있습니다.
로그인 빈도 구성
로그인 빈도 정책을 사용하면 Microsoft Entra 기반 리소스에 액세스할 때 사용자가 로그인해야 하는 빈도를 구성할 수 있습니다. 이렇게 하면 환경을 보호하는 데 도움이 될 수 있으며 로컬 OS에 MFA가 필요하지 않거나 비활성 후 자동으로 잠기지 않아야 하는 개인 디바이스에 특히 중요합니다. 리소스에 액세스할 때 Microsoft Entra ID에서 새 액세스 토큰이 요청된 경우에만 인증하라는 메시지가 표시됩니다.
로그인 빈도 정책은 선택한 Microsoft Entra 앱에 따라 다른 동작을 발생합니다.
| 앱 이름 | 앱 ID | 동작 |
|---|---|---|
| Azure Virtual Desktop | 9cdead84-a844-4324-93f2-b2e6bb768d07 | 사용자가 Azure Virtual Desktop을 구독하고, 리소스 목록을 수동으로 새로 고치고, 연결 중에 Azure Virtual Desktop Gateway에서 인증을 받을 때 다시 인증을 적용합니다. 재인증 기간이 끝나면 사용자가 Microsoft Entra에 대한 다음 대화형 로그인을 완료할 때까지 백그라운드 피드 새로 고침 및 진단 업로드가 자동으로 실패합니다. |
| Microsoft 원격 데스크톱 Windows 클라우드 로그인 |
a4a365df-50f1-4397-bc59-1a1564b8bb9c 270efc09-cd0d-444b-a71f-39af4910ec45 |
Single Sign-On을 사용하도록 설정된 경우 사용자가 세션 호스트에 로그인할 때 다시 인증을 적용합니다. Azure Virtual Desktop 클라이언트가 곧 Microsoft 원격 데스크톱 앱을 사용하는 것에서 Windows 클라우드 로그인 앱을 사용하는 방식으로 전환하여 세션 호스트에서 인증을 받기 때문에 두 앱을 함께 구성해야 합니다. |
사용자에게 다시 로그인하라는 메시지가 표시되기까지의 기간을 구성하려면 다음을 수행합니다.
- 이전에 만든 정책을 엽니다.
- 액세스 제어>세션에서 선택된 제어 0개를 선택합니다.
- 세션 창에서 로그인 빈도를 선택합니다.
- 주기적 재인증 또는 매번을 선택합니다.
- 주기적 재인증을 선택하는 경우 새 액세스 토큰이 필요한 작업을 수행할 때 사용자에게 다시 로그인하라는 메시지가 표시되기까지의 기간 값을 설정한 다음, 선택을 선택합니다. 예를 들어 값을 1로 설정하고 단위를 시간으로 설정하면 마지막 사용자 인증 후 1시간 이상 후에 연결이 시작되는 경우 다단계 인증이 필요합니다.
- 매번 옵션은 현재 미리 보기로 제공되며 호스트 풀에 Single Sign-On을 사용하도록 설정된 경우 Microsoft 원격 데스크톱 및 Windows 클라우드 로그인 앱에 적용된 경우에만 지원됩니다. 매번을 선택하면 마지막 인증 이후 5~10분 후에 새 연결을 시작할 때 다시 인증하라는 메시지가 표시됩니다.
- 페이지 아래쪽에서 저장을 선택합니다.
참고 항목
- 재인증은 사용자가 리소스에서 인증을 받아야 하고 새 액세스 토큰이 필요한 경우에만 발생합니다. 연결이 설정되면 사용자가 구성한 로그인 빈도보다 연결이 오래 지속되더라도 사용자에게 메시지가 표시되지 않습니다.
- 사용자가 구성한 로그인 빈도 후에 세션을 다시 설정하도록 하는 네트워크 중단이 발생하는 경우 사용자는 다시 인증을 받아야 합니다. 따라서 불안정한 네트워크에서 인증 요청이 더 자주 발생할 수 있습니다.
Microsoft Entra 조인 세션 호스트 VM
연결에 성공하려면 레거시 사용자별 다단계 인증로그인 메서드를 사용하지 않도록 설정해야 합니다. 비즈니스용 Windows Hello와 같은 강력한 인증 방법에 대한 로그인을 제한하지 않으려면 조건부 액세스 정책에서 Azure Windows VM 로그인 앱을 제외해야 합니다.