클라우드용 Microsoft Defender 앱의 조건부 액세스 앱 제어
오늘날의 작업 영역에서는 사실 이후에 클라우드 환경에서 어떤 일이 일어났는지 아는 것만으로는 충분하지 않습니다. 위반 및 누출을 실시간으로 중지해야 합니다. 또한 직원이 의도적으로 또는 실수로 데이터와 조직을 위험에 빠뜨리는 것을 방지해야 합니다.
조직의 사용자가 최상의 클라우드 앱을 사용하고 업무에 자신의 디바이스를 사용하는 동안 이를 지원하려고 합니다. 하지만 실시간으로 데이터 유출과 데이터 도난으로부터 조직을 보호하는 도구도 필요합니다. 클라우드용 Microsoft Defender 앱은 IdP(ID 공급자)와 통합되어 액세스 및 세션 정책을 사용하여 이 보호를 제공합니다.
예시:
액세스 정책을 사용하여 다음을 수행합니다.
- 관리되지 않는 디바이스 사용자의 Salesforce에 대한 액세스를 차단합니다.
- 네이티브 클라이언트에 대한 Dropbox에 대한 액세스를 차단합니다.
세션 정책을 사용하여 다음을 수행합니다.
- OneDrive에서 관리되지 않는 장치로의 중요한 파일 다운로드를 차단합니다.
- SharePoint Online에 대한 맬웨어 파일 업로드를 차단합니다.
Microsoft Edge 사용자는 브라우저에서 직접 보호를 활용할 수 있습니다. 브라우저의 주소 표시줄에 있는 잠금 아이콘은 이 보호를 나타냅니다.
다른 브라우저의 사용자는 역방향 프록시를 통해 클라우드용 Defender 앱으로 리디렉션됩니다. 이러한 브라우저는 링크의 URL에 접미사를 표시 *.mcas.ms
합니다. 예를 들어 앱 URL이면 myapp.com
앱 URL이 업데이트 myapp.com.mcas.ms
됩니다.
이 문서에서는 Microsoft Entra 조건부 액세스 정책을 통해 클라우드용 Defender 앱의 조건부 액세스 앱 제어에 대해 설명합니다.
조건부 액세스 앱 제어의 활동
조건부 액세스 앱 제어는 액세스 정책 및 세션 정책을 사용하여 조직 전체에서 실시간으로 사용자 앱 액세스 및 세션을 모니터링하고 제어합니다.
각 정책에는 누가(사용자 또는 사용자 그룹), 어떤 클라우드 앱인지, 정책이 적용되는 위치(위치 및 네트워크)를 정의하는 조건이 있습니다. 조건을 확인한 후 사용자를 먼저 클라우드용 Defender 앱으로 라우팅합니다. 그곳에서 액세스 및 세션 컨트롤을 적용하여 데이터를 보호할 수 있습니다.
액세스 및 세션 정책에는 다음과 같은 유형의 활동이 포함됩니다.
활동 | 설명 |
---|---|
데이터 반출 방지 | 관리되지 않는 디바이스에서 중요한 문서의 다운로드, 잘라내기, 복사 및 인쇄를 차단합니다. |
인증 컨텍스트 필요 | 다단계 인증 요구와 같은 중요한 작업이 세션에서 발생할 때 Microsoft Entra 조건부 액세스 정책을 다시 평가합니다. |
다운로드 시 보호 | 중요한 문서의 다운로드를 차단하는 대신 Microsoft Purview Information Protection과 통합할 때 문서에 레이블을 지정하고 암호화해야 합니다. 이 작업은 잠재적으로 위험한 세션에서 문서를 보호하고 사용자 액세스를 제한하는 데 도움이 됩니다. |
레이블이 없는 파일 업로드 방지 | 사용자가 콘텐츠를 분류할 때까지 중요한 콘텐츠가 있는 레이블이 지정되지 않은 파일의 업로드가 차단되었는지 확인합니다. 사용자가 중요한 파일을 업로드, 배포 또는 사용하기 전에 파일에는 조직의 정책이 정의한 레이블이 있어야 합니다. |
잠재적인 맬웨어 차단 | 잠재적으로 악의적인 파일의 업로드를 차단하여 맬웨어로부터 환경을 보호할 수 있습니다. 사용자가 업로드하거나 다운로드하려고 하는 모든 파일은 Microsoft 위협 인텔리전스에 대해 검색하여 즉시 차단할 수 있습니다. |
준수에 대한 사용자 세션 모니터링 | 사용자 동작을 조사하고 분석하여 향후 세션 정책을 적용해야 하는 위치 및 조건하에서 파악합니다. 위험한 사용자는 앱에 로그인할 때 모니터링되며 해당 작업은 세션 내에서 기록됩니다. |
액세스 차단 | 몇 가지 위험 요소에 따라 특정 앱 및 사용자에 대한 액세스를 세분화하여 차단합니다. 예를 들어 디바이스 관리의 형태로 클라이언트 인증서를 사용하는 경우 차단할 수 있습니다. |
사용자 지정 작업 | 일부 앱에는 위험을 수반하는 고유한 시나리오가 있습니다. 예를 들어 Microsoft Teams 또는 Slack과 같은 앱에서 중요한 콘텐츠가 있는 메시지를 보내는 것이 있습니다. 이러한 종류의 시나리오에서는 메시지를 검색하여 중요한 콘텐츠를 검색하고 실시간으로 차단합니다. |
자세한 내용은 다음을 참조하세요.
유용성
조건부 액세스 앱 제어는 디바이스에 아무것도 설치할 필요가 없으므로 관리되지 않는 디바이스 또는 파트너 사용자의 세션을 모니터링하거나 제어하는 경우에 이상적입니다.
클라우드용 Defender 앱은 특허 받은 추론을 사용하여 대상 앱에서 사용자 활동을 식별하고 제어합니다. 추론은 보안을 최적화하고 유용성과 균형을 유지하도록 설계되었습니다.
일부 드문 시나리오에서는 서버 쪽에서 활동을 차단하면 앱을 사용할 수 없게 되므로 조직은 클라이언트 쪽에서만 이러한 활동을 보호합니다. 이 방법을 사용하면 악의적인 내부자의 악용에 잠재적으로 취약해질 수 있습니다.
시스템 성능 및 데이터 스토리지
클라우드용 Defender 앱은 전 세계의 Azure 데이터 센터를 사용하여 지리적 위치를 통해 최적화된 성능을 제공합니다. 사용자의 세션은 트래픽 패턴 및 해당 위치에 따라 특정 지역 외부에서 호스트될 수 있습니다. 그러나 사용자 개인 정보를 보호하기 위해 이러한 데이터 센터는 세션 데이터를 저장하지 않습니다.
클라우드용 Defender 앱 프록시 서버는 미사용 데이터를 저장하지 않습니다. 콘텐츠를 캐시할 때 RFC 7234(HTTP 캐싱)에 명시된 요구 사항을 따르고 공용 콘텐츠만 캐시합니다.
지원되는 앱 및 클라이언트
SAML 2.0 인증 프로토콜을 사용하는 대화형 Single Sign-On에 세션 및 액세스 제어를 적용합니다. 액세스 제어는 기본 제공 모바일 및 데스크톱 클라이언트 앱에도 지원됩니다.
또한 Microsoft Entra ID 앱을 사용하는 경우 세션 및 액세스 제어를 적용하여 다음을 수행합니다.
- OpenID Connect 인증 프로토콜을 사용하는 모든 대화형 Single Sign-On입니다.
- 온-프레미스에서 호스트되고 Microsoft Entra 애플리케이션 프록시로 구성된 앱.
Microsoft Entra ID 앱은 조건부 액세스 앱 제어를 위해 자동으로 온보딩되는 반면, 다른 IdP를 사용하는 앱은 수동으로 온보딩되어야 합니다.
클라우드용 Defender 앱은 클라우드 앱 카탈로그의 데이터를 사용하여 앱을 식별합니다. 플러그 인을 사용하여 앱을 사용자 지정한 경우 연결된 사용자 지정 도메인을 카탈로그의 관련 앱에 추가해야 합니다. 자세한 내용은 클라우드 앱 찾기 및 위험 점수 계산을 참조하세요.
참고 항목
Authenticator 앱 및 기타 기본 제공 앱 과 같이 비대화 형 로그인 흐름이 있는 설치된 앱은 액세스 제어와 함께 사용할 수 없습니다. 이 경우 클라우드용 Microsoft Defender 앱 액세스 정책 외에도 Microsoft Entra 관리 센터에서 액세스 정책을 만드는 것이 좋습니다.
세션 제어에 대한 지원 범위
세션 컨트롤은 모든 운영 체제의 모든 주요 플랫폼에 있는 모든 브라우저에서 작동하도록 빌드되었지만 다음 브라우저의 최신 버전을 지원합니다.
Microsoft Edge 사용자는 역방향 프록시로 리디렉션하지 않고 브라우저 내 보호를 활용할 수 있습니다. 자세한 내용은 비즈니스용 Microsoft Edge(미리 보기)를 사용하여 브라우저 내 보호를 참조하세요.
TLS 1.2 이상에 대한 앱 지원
클라우드용 Defender 앱은 TLS(전송 계층 보안) 1.2 이상 프로토콜을 사용하여 암호화를 제공합니다. TLS 1.2+를 지원하지 않는 기본 제공 클라이언트 앱 및 브라우저는 세션 제어를 사용하여 구성할 때 액세스할 수 없습니다.
그러나 TLS 1.1 이하를 사용하는 SaaS(Software as a Service) 앱은 클라우드용 Defender 앱에서 구성할 때 TLS 1.2+를 사용하는 것으로 브라우저에 표시됩니다.