공동 관리를 사용하여 조건부 액세스
조건부 액세스는 신뢰할 수 있는 사용자만 신뢰할 수 있는 앱을 사용하여 신뢰할 수 있는 디바이스의 조직 리소스에 액세스할 수 있도록 합니다. 클라우드에서 처음부터 빌드됩니다. Intune을 사용하여 디바이스를 관리하든 공동 관리를 통해 Configuration Manager 배포를 확장하든 동일한 방식으로 작동합니다.
다음 비디오에서는 수석 프로그램 관리자인 Joey Glocke와 제품 마케팅 관리자 Locky Ainley가 공동 관리를 통해 조건부 액세스를 논의하고 데모합니다.
공동 관리를 통해 Intune에서 네트워크의 모든 디바이스를 평가하여 신뢰도를 결정합니다. 이 평가는 다음 두 가지 방법으로 수행합니다.
Intune은 디바이스 또는 앱이 관리되고 안전하게 구성되어 있는지 확인합니다. 이 검사는 조직의 규정 준수 정책을 설정하는 방법에 따라 달라집니다. 예를 들어 모든 디바이스에 암호화가 사용하도록 설정되어 있고 탈옥되지 않았는지 확인합니다.
이 평가는 사전 보안 위반 및 구성 기반입니다.
공동 관리 디바이스의 경우 Configuration Manager는 구성 기반 평가도 수행합니다. 예를 들어 필수 업데이트 또는 앱 준수가 있습니다. Intune은 이 평가를 자체 평가와 결합합니다.
Intune은 디바이스에서 활성 보안 인시던트 검색 엔드포인트용 Microsoft Defender 및 기타 모바일 위협 방어 공급자의 지능형 보안을 사용합니다. 이러한 파트너는 디바이스에서 지속적인 동작 분석을 실행합니다. 이 분석은 활성 인시던트 검색 후 실시간 규정 준수 평가를 위해 이 정보를 Intune에 전달합니다.
- 이 평가는 사후 보안 위반 및 인시던트 기반입니다.
Microsoft 회사 부사장 브래드 앤더슨(Brad Anderson)이 Ignite 2018 키노트에서 라이브 데모를 통해 조건부 액세스에 대해 자세히 설명합니다.
조건부 액세스는 또한 네트워크에 연결된 모든 디바이스의 상태를 볼 수 있는 중앙 집중식 위치를 제공합니다. Configuration Manager 프로덕션 인스턴스를 테스트하는 데 특히 유용한 클라우드 규모의 이점을 얻을 수 있습니다.
이점
모든 IT 팀은 네트워크 보안에 집착합니다. 네트워크에 액세스하기 전에 모든 디바이스가 보안 및 비즈니스 요구 사항을 충족하는지 확인해야 합니다. 조건부 액세스를 사용하면 다음 요소를 확인할 수 있습니다.
- 모든 디바이스가 암호화된 경우
- 맬웨어가 설치된 경우
- 설정이 업데이트된 경우
- 탈옥 또는 루팅된 경우
조건부 액세스는 조직 데이터에 대한 세분화된 제어와 모든 위치에서 모든 디바이스의 작업자 생산성을 최대화하는 사용자 환경을 결합합니다.
다음 비디오에서는 엔드포인트용 Microsoft Defender(이전의 Advanced Threat Protection)가 정기적으로 경험하는 일반적인 시나리오에 통합되는 방법을 보여 줍니다.
공동 관리를 통해 Intune은 필수 업데이트 또는 앱의 보안 표준 준수를 평가하기 위한 Configuration Manager의 책임을 통합할 수 있습니다. 이 동작은 복잡한 앱 및 패치 관리를 위해 Configuration Manager를 계속 사용하려는 모든 IT 조직에서 중요합니다.
조건부 액세스는 제로 트러스트 네트워크 아키텍처 개발의 중요한 부분이기도 합니다. 조건부 액세스를 사용하면 규격 디바이스 액세스 제어는 제로 트러스트 네트워크의 기본 계층을 다룹니다. 이 기능은 나중에 조직을 보호하는 방법의 큰 부분입니다.
자세한 내용은 엔드포인트용 Microsoft Defender의 머신 위험 데이터를 사용하여 조건부 액세스 강화에 대한 블로그 게시물을 참조하세요.
사례 연구
IT 컨설팅 회사인 Wipro는 조건부 액세스를 사용하여 91,000명의 모든 직원이 사용하는 디바이스를 보호하고 관리합니다. 최근 사례 연구에서 Wipro의 IT 담당 부사장은 다음과 같이 언급했습니다.
조건부 액세스를 달성하는 것은 Wipro에게 큰 승리입니다. 이제 모든 직원은 주문형 정보에 모바일로 액세스할 수 있습니다. 보안 태세와 직원 생산성을 향상시켰습니다. 현재 91,000명의 직원은 어디서나 모든 장치에서 100개 이상의 앱에 대한 매우 안전한 액세스 혜택을 누릴 수 있습니다.
다른 예는 다음과 같습니다.
150,000명 이상의 직원을 위해 앱 기반 조건부 액세스를 사용하는 네슬레
자동화 소프트웨어 회사인 케이던스(Cadence)는 이제 "관리되는 디바이스만 Teams 및 회사의 인트라넷과 같은 Microsoft 365 앱에 액세스할 수 있습니다." 또한 인력에게 "Workday 및 Salesforce와 같은 다른 클라우드 기반 앱에 대한 더 안전한 액세스"를 제공할 수 있습니다.
또한 Intune은 Cisco ISE, Aruba Clear Pass 및 Citrix NetScaler와 같은 파트너와 완전히 통합됩니다. 이러한 파트너를 사용하면 이러한 다른 플랫폼에서 Intune 등록 및 디바이스 준수 상태에 따라 액세스 제어를 유지할 수 있습니다.
자세한 내용은 다음 비디오를 참조하세요.
가치 제안
조건부 액세스 및 ATP 통합을 통해 모든 IT 조직의 기본 구성 요소인 보안 클라우드 액세스를 강화합니다.
모든 데이터 위반의 63% 이상에서 공격자는 약한 사용자 자격 증명, 기본값 또는 도난당한 사용자 자격 증명을 통해 조직의 네트워크에 액세스할 수 있습니다. 조건부 액세스는 사용자 ID 보안에 중점을 두므로 자격 증명 도난을 제한합니다. 조건부 액세스는 권한이 있든 비 권한이든 관계없이 ID를 관리하고 보호합니다. 디바이스와 디바이스의 데이터를 보호하는 더 좋은 방법은 없습니다.
조건부 액세스는 EMS(Enterprise Mobility + Security)의 핵심 구성 요소이므로 온-프레미스 설정 또는 아키텍처가 필요하지 않습니다. Intune 및 Microsoft Entra ID를 사용하면 클라우드에서 조건부 액세스를 신속하게 구성할 수 있습니다. 현재 Configuration Manager를 사용하는 경우 공동 관리를 사용하여 환경을 클라우드로 쉽게 확장하고 지금 바로 사용을 시작할 수 있습니다.
ATP 통합에 대한 자세한 내용은 엔드 포인트용 Microsoft Defender 디바이스 위험 점수가 새로운 사이버 공격을 노출하고 조건부 액세스를 구동하여 네트워크를 보호하는 블로그 게시물을 참조하세요. 고급 해커 그룹이 이전에 본 적이 없는 도구를 사용한 방법을 자세히 설명합니다. 대상 사용자에게 조건부 액세스 권한이 있었기 때문에 Microsoft 클라우드가 이를 감지하고 중지했습니다. 침입으로 디바이스의 위험 기반 조건부 액세스 정책이 활성화되었습니다. 공격자가 이미 네트워크에 발판을 마련했지만 악용된 컴퓨터는 Microsoft Entra ID로 관리되는 조직 서비스 및 데이터에 대한 액세스가 자동으로 제한되었습니다.
구성하기
공동 관리를 사용하도록 설정하면 조건부 액세스를 쉽게 사용할 수 있습니다. 규정 준수 정책 워크로드를 Intune으로 이동해야 합니다. 자세한 내용은 Configuration Manager 워크로드를 Intune으로 전환하는 방법을 참조하세요.
조건부 액세스 사용에 대한 자세한 내용은 다음 문서를 참조하세요.
참고
조건부 액세스 기능은 Microsoft Entra 하이브리드 조인 디바이스에 즉시 사용할 수 있습니다. 이러한 기능에는 다단계 인증 및 Microsoft Entra 하이브리드 조인 액세스 제어가 포함됩니다. 이 동작은 Microsoft Entra 속성을 기반으로 하므로 입니다. Intune 및 Configuration Manager의 구성 기반 평가를 활용하려면 공동 관리를 사용하도록 설정합니다. 이 구성을 사용하면 규격 디바이스에 대한 Intune에서 직접 액세스 제어할 수 있습니다. 또한 Intune의 규정 준수 정책 평가 기능도 제공합니다.