조건부 액세스 앱 제어를 사용하여 ID 관리 디바이스
디바이스 관리 여부에 대한 조건을 정책에 추가할 수 있습니다. 디바이스의 상태를 식별하려면 Microsoft Entra가 있는지 여부에 따라 특정 조건을 확인하도록 액세스 및 세션 정책을 구성합니다.
Microsoft Entra를 사용하여 디바이스 관리 확인
Microsoft Entra가 있는 경우 정책에서 Microsoft Intune 규격 디바이스 또는 Microsoft Entra 하이브리드 조인 디바이스를 확인합니다.
Microsoft Entra 조건부 액세스를 사용하면 Intune 규격 및 Microsoft Entra 하이브리드 조인 디바이스 정보를 클라우드용 Defender 앱에 직접 전달할 수 있습니다. 여기에서 디바이스 상태를 고려하는 액세스 또는 세션 정책을 만듭니다. 자세한 내용은 디바이스 ID란?을 참조 하세요.
참고 항목
일부 브라우저에는 확장 설치와 같은 추가 구성이 필요할 수 있습니다. 자세한 내용은 조건부 액세스 브라우저 지원을 참조하세요.
Microsoft Entra 없이 디바이스 관리 확인
Microsoft Entra가 없는 경우 신뢰할 수 있는 체인에 클라이언트 인증서가 있는지 확인합니다. 조직에 이미 배포된 기존 클라이언트 인증서를 사용하거나 관리되는 디바이스에 새 클라이언트 인증서를 롤아웃합니다.
클라이언트 인증서가 컴퓨터 저장소가 아닌 사용자 저장소에 설치되어 있는지 확인합니다. 그런 다음, 해당 인증서의 존재를 사용하여 액세스 및 세션 정책을 설정합니다.
인증서가 업로드되고 관련 정책이 구성되면 해당 세션이 클라우드용 Defender 앱 및 조건부 액세스 앱 제어를 트래버스할 때 클라우드용 Defender 앱은 브라우저에 SSL/TLS 클라이언트 인증서를 표시하도록 요청합니다. 브라우저는 프라이빗 키와 함께 설치된 SSL/TLS 클라이언트 인증서를 제공합니다. 인증서와 프라이빗 키의 이 조합은 PKCS #12 파일 형식(일반적으로 .p12 또는 .pfx)을 사용하여 수행됩니다.
클라이언트 인증서 검사가 수행되면 클라우드용 Defender 앱은 다음 조건을 확인합니다.
- 선택한 클라이언트 인증서가 유효하며 올바른 루트 또는 중간 CA 아래에 있습니다.
- 인증서가 해지되지 않습니다(CRL을 사용하는 경우).
참고 항목
대부분의 주요 브라우저는 클라이언트 인증서 확인 수행을 지원합니다. 그러나 모바일 및 데스크톱 앱은 이 검사를 지원하지 않아 이러한 앱에 대한 인증에 영향을 줄 수 있는 기본 제공 브라우저를 활용하는 경우가 많습니다.
클라이언트 인증서를 통해 디바이스 관리를 적용하도록 정책 구성
클라이언트 인증서를 사용하여 관련 디바이스에서 인증을 요청하려면 X.509 루트 또는 중간 CA(인증 기관) SSL/TLS 인증서 가 필요합니다. PEM 파일. 인증서는 CA의 공개 키를 포함해야 하며, 이 키는 세션 중에 제시된 클라이언트 인증서에 서명하는 데 사용됩니다.
설정 > Cloud Apps 조건부 액세스 앱 제어 > 디바이스 식별 페이지에서 클라우드용 Defender 앱 > 에 루트 또는 중간 CA 인증서를 업로드합니다.
인증서를 업로드한 후 디바이스 태그 및 유효한 클라이언트 인증서를 기반으로 액세스 및 세션 정책을 만들 수 있습니다.
이 작동 방식을 테스트하려면 다음과 같이 샘플 루트 CA 및 클라이언트 인증서를 사용합니다.
- 샘플 루트 CA 및 클라이언트 인증서를 다운로드합니다.
- 루트 CA를 클라우드용 Defender 앱에 업로드합니다.
- 관련 디바이스에 클라이언트 인증서를 설치합니다. 암호는 .입니다
Microsoft
.
관련 콘텐츠
자세한 내용은 클라우드용 Microsoft Defender 앱 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.