자습서: 조건부 액세스 앱 제어를 사용하여 중요한 정보 다운로드 차단
오늘날의 IT 관리자는 결정하기 힘든 상황에 처해 있습니다. 우선 직원의 생산성을 높일 수 있어야 합니다. 즉 직원이 언제든지 어떤 디바이스에서든 작업할 수 있도록 앱에 액세스할 수 있어야 합니다. 하지만 자산 정보와 특수 정보를 포함한 회사 자산도 보호해야 합니다. 데이터를 보호하는 동시에 직원이 클라우드 앱에 액세스할 수 있게 하려면 어떻게 해야 할까요? 이 자습서에서는 관리되지 않는 디바이스 또는 회사 네트워크 외부 위치에서 엔터프라이즈 클라우드 앱의 중요한 데이터에 액세스할 수 있는 사용자가 다운로드할 수 없도록 차단합니다.
이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.
위협
조직의 계정 관리자가 주말에 집에서 개인용 랩톱의 Salesforce에서 무언가를 확인하려고 합니다. Salesforce 데이터에는 고객의 신용 카드 정보 또는 개인 정보가 포함되어 있을 수 있습니다. 가정용 PC는 관리되지 않습니다. 문서를 Salesforce에서 PC에 다운로드하면 맬웨어에 감염될 수 있습니다. 디바이스를 분실하거나 도난당한 경우 암호로 보호되지 않을 수 있으며 디바이스를 발견한 사람은 중요한 정보에 액세스할 수 있습니다.
이 경우 사용자는 Microsoft Entra ID를 통해 회사 자격 증명을 사용하여 Salesforce에 로그인합니다.
솔루션
클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 클라우드 앱 사용을 모니터링하고 제어하여 조직을 보호합니다.
필수 조건
- Microsoft Entra ID P1 라이선스 또는 ID 공급자(IdP) 솔루션에 필요한 라이선스에 대한 유효한 라이선스
- Salesforce에 대한 Microsoft Entra 조건부 액세스 정책
- Microsoft Entra ID 앱으로 구성된 Salesforce
관리되지 않는 디바이스에 대한 다운로드 차단 정책 만들기
이 절차에서는 디바이스 상태에 따라 세션을 제한할 수 있는 클라우드용 Defender 앱 세션 정책만 만드는 방법을 설명합니다.
디바이스를 조건으로 사용하여 세션을 제어하려면 클라우드용 Defender 앱 액세스 정책도 만들어야 합니다. 자세한 내용은 클라우드용 Microsoft Defender 앱 액세스 정책 만들기를 참조하세요.
세션 정책을 만들려면
Microsoft Defender 포털의 Cloud Apps에서 정책 정책>관리를 선택합니다.
정책 페이지에서 정책>세션 정책 만들기를 선택합니다.
세션 정책 만들기 페이지에서 정책에 대한 이름과 설명을 제공합니다. 예를 들어 관리되지 않는 디바이스의 Salesforce에서 다운로드 차단이 있습니다.
정책 심각도 및 범주를 할당합니다.
세션 컨트롤 형식의 경우 컨트롤 파일 다운로드(검사 포함)를 선택합니다. 이 설정을 통해 Salesforce 세션 내에서 사용자가 수행하는 모든 작업을 모니터링할 수 있고, 실시간으로 다운로드를 차단하거나 보호할 수 있습니다.
다음 항목 모두와 일치하는 작업 섹션의 작업 원본 아래에서 다음 필터를 선택합니다.
디바이스 태그: 선택 항목이 같지 않습니다. 그런 다음 Intune 규격, 하이브리드 Azure AD 조인 또는 유효한 클라이언트 인증서를 선택합니다. 선택 영역은 조직에서 관리 디바이스를 식별하는 데 사용되는 방법에 따라 달라집니다.
앱: 자동화된 Azure AD 온보딩 Equals>Salesforce를>선택합니다.
또는 회사 네트워크의 일부가 아닌 위치에서 다운로드를 차단할 수 있습니다. 다음 항목 모두와 일치하는 작업 섹션의 작업 원본에서 다음 필터를 설정합니다.
- IP 주소 또는 위치: 이 두 매개 변수 중 하나를 사용하여 사용자가 중요한 데이터에 액세스하려고 할 수 있는 비사용자 또는 알 수 없는 위치를 식별합니다.
참고 항목
관리되지 않는 디바이스 및 회사 이외의 위치로부터의 다운로드를 차단하려는 경우 두 개의 세션 정책을 만들어야 합니다. 정책 중 하나는 위치를 사용하여 작업 원본을 설정합니다. 다른 정책은 작업 원본을 관리되지 않는 디바이스로 설정합니다.
- 앱: 자동화된 Azure AD 온보딩 Equals>Salesforce를>선택합니다.
다음 항목 모두와 일치하는 파일 섹션의 활동 원본 아래에서 다음 필터를 설정합니다.
민감도 레이블: Microsoft Purview Information Protection의 민감도 레이블을 사용하는 경우 특정 Microsoft Purview Information Protection 민감도 레이블을 기반으로 파일을 필터링합니다.
파일 이름 또는 파일 형식을 선택하여 파일 이름이나 형식에 따른 제한 사항을 적용합니다.
콘텐츠 검사를 사용하도록 설정하여 내부 DLP에서 중요한 콘텐츠에 대해 파일을 검색할 수 있게 합니다.
작업 아래에서 차단을 선택합니다. 파일을 다운로드할 수 없는 경우 사용자가 받을 차단 메시지를 사용자 지정합니다.
너무 많은 경고를 받지 않도록 제한과 같이 정책이 일치할 때 수신할 경고를 구성하고 경고를 전자 메일로 가져올지 여부를 구성합니다.
만들기를 실행합니다.
정책 유효성 검사
관리되지 않는 디바이스 또는 회사 네트워크 외부 위치에서 차단된 파일 다운로드를 시뮬레이션하려면 앱에 로그인합니다. 그런 다음, 파일을 다운로드합니다.
파일을 차단해야 하며 차단 메시지 사용자 지정 아래에서 이전에 정의한 메시지를 받아야 합니다.
Microsoft Defender 포털의 Cloud Apps에서 정책으로 이동한 다음 정책 관리를 선택합니다. 그런 다음, 만든 정책을 선택하여 정책 보고서를 봅니다. 세션 정책 일치 항목이 곧 표시됩니다.
정책 보고서에서 세션 제어를 위해 클라우드용 Microsoft Defender 앱으로 리디렉션된 로그인과 모니터링되는 세션에서 다운로드되거나 차단된 파일을 확인할 수 있습니다.
다음 단계
문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.