세션 정책

  • 아티클

클라우드용 Microsoft Defender 앱 세션 정책은 실시간 세션 수준 모니터링을 통해 클라우드 앱에 대한 세부적인 가시성을 제공합니다. 세션 정책을 사용하여 사용자 세션에 대해 설정한 정책에 따라 다른 작업을 수행합니다.

액세스를 완전히 허용하거나 차단하는 대신 세션 제어 정책을 사용하여 세션을 모니터링하는 동안 액세스를 허용합니다. 조건부 액세스 앱 컨트롤의 역방향 프록시 지원을 사용하여 특정 세션 활동을 제한할 수도 있습니다.

예를 들어 사용자가 관리되지 않는 디바이스 또는 특정 위치에서 오는 세션에서 앱에 액세스할 수 있도록 허용할 수 있습니다. 그러나 중요한 파일의 다운로드를 제한하거나 다운로드 시 특정 문서를 보호해야 합니다.

세션 정책을 사용하면 사용자 세션 컨트롤을 설정하고, 액세스를 구성하는 등의 작업을 수행할 수 있습니다.

참고 항목

  • 적용할 수 있는 정책 수에는 제한이 없습니다.
  • 호스트 앱에 대해 만드는 정책과 관련된 리소스 앱 사이에는 연결이 없습니다. 예를 들어 Teams, Exchange 또는 Gmail에 대해 만든 세션 정책은 Sharepoint, OneDrive 또는 Google Drive에 연결되지 않습니다. 호스트 앱 외에도 리소스 앱에 대한 정책이 필요한 경우 별도의 정책을 만듭니다.

세션 정책을 사용하기 위한 필수 구성 요소

시작하기 전에 다음 필수 구성 요소가 있는지 확인합니다.

  • 클라우드용 Defender 앱 라이선스(독립 실행형 또는 다른 라이선스의 일부)

  • Microsoft Entra ID P1에 대한 라이선스(독립 실행형 라이선스 또는 E5 라이선스) 또는 IdP(ID 공급자) 솔루션에 필요한 라이선스

  • 관련 앱은 조건부 액세스 앱 제어를 사용하여 배포됩니다.

  • 다음과 같이 클라우드용 Defender 앱에서 작동하도록 IdP 솔루션을 구성했는지 확인합니다.

    • Microsoft Entra 조건부 액세스의 경우 Microsoft Entra ID와의 통합 구성을 참조하세요.
    • 다른 IdP 솔루션은 다른 IdP 솔루션과의 통합 구성을 참조 하세요.

클라우드용 Defender 앱 세션 정책 만들기

다음 단계를 사용하여 새 세션 정책을 만듭니다.

  1. Microsoft Defender 포털의 Cloud Apps에서 정책 ->정책 관리이동합니다. 그런 다음 조건부 액세스 탭을 선택합니다.

  2. 정책 만들기를 선택하고 세션 정책을 선택합니다. 예시:

    Screenshot of the Create a Conditional access policy page.

  3. 세션 정책 창에서 마케팅 사용자용 Box에서 중요한 문서 다운로드 차단과 같은 정책 이름을 지정합니다.

  4. 세션 컨트롤 형식 필드에서 다음을 선택합니다.

    • 사용자별 활동만 모니터링하려면 모니터만을 선택합니다. 이 옵션을 선택하면 선택한 앱에 대한 모니터 전용 정책이 만들어집니다.

    • 사용자 활동을 모니터링하려면 컨트롤 파일 다운로드(검사 포함)를 선택합니다. 사용자에 대한 다운로드 차단 또는 보호와 같은 더 많은 작업을 수행할 수 있습니다.

    • 활동 유형 필터를 사용하여 선택할 수 있는 특정 활동을 차단하려면 활동 차단을 선택합니다. 선택한 앱의 모든 활동이 모니터링되고 활동 로그에 보고됩니다. 선택한 특정 활동은 차단 작업을 선택하면 차단됩니다. 선택한 특정 활동은 감사 작업을 선택하고 경고를 설정한 경우 경고를 발생합니다.

  5. 다음 섹션 모두와 일치하는 활동의 활동 원본 아래에서 정책에 적용할 더 많은 활동 필터를 선택합니다. 이러한 필터에는 다음 옵션이 포함될 수 있습니다.

    • 디바이스 태그: 관리되지 않는 디바이스를 식별하려면 이 필터를 사용합니다.

    • 위치: 알 수 없는(이에 따라 위험한) 위치를 식별하려면 이 필터를 사용합니다.

    • IP 주소: IP 주소별로 필터링하거나 이전에 할당된 IP 주소 태그를 사용하려면 이 필터를 사용합니다.

    • 사용자 에이전트 태그: 추론 방식으로 모바일 및 데스크톱 앱을 식별하려면 이 필터를 사용합니다. 이 필터는 네이티브 클라이언트와 같거나 같지 않도록 설정할 수 있습니다. 이 필터는 각 클라우드 앱에 대한 모바일 및 데스크톱 앱에 대해 테스트해야 합니다.

    • 활동 유형: 이 필터를 사용하여 다음과 같이 제어할 특정 활동을 선택합니다.

      • Print

      • 클립보드 작업: 복사, 잘라내기 및 붙여넣기

      • Teams, Slack 및 Salesforce와 같은 앱에서 항목 보내기

      • 다양한 앱에서 항목 공유 및 공유 해제

      • 다양한 앱에서 항목 편집

      예를 들어 사용자 조건에서 항목 보내기 활동을 사용하여 Teams 채팅 또는 Slack 채널에서 정보를 보내려는 사용자를 포착하고 암호 또는 기타 자격 증명과 같은 중요한 정보가 포함된 경우 메시지를 차단합니다.

    참고 항목

    세션 정책은 모바일 및 데스크톱 앱을 지원하지 않습니다. 액세스 정책을 만들어 모바일 앱 및 데스크톱 앱도 차단되거나 허용될 수 있습니다.

  6. 파일 다운로드 제어(검사 포함) 옵션을 선택한 경우:

    • 다음 섹션 모두와 일치하는 파일의 활동 원본 에서 정책에 적용할 파일 필터를 더 선택합니다. 이러한 필터에는 다음 옵션이 포함될 수 있습니다.

      • 민감도 레이블 - 조직에서 Microsoft Purview Information Protection을 사용하고 데이터가 민감도 레이블로 보호된 경우 이 필터를 사용합니다. 적용한 민감도 레이블에 따라 파일을 필터링할 수 있습니다. Microsoft Purview Information Protection과의 통합에 대한 자세한 내용은 Microsoft Purview Information Protection 통합을 참조 하세요.

      • 파일 이름 - 특정 파일에 정책을 적용하려면 이 필터를 사용합니다.

      • 파일 형식 - 정책을 특정 파일 형식(예: 모든 .xls 파일에 대한 다운로드 차단)에 적용하려면 이 필터를 사용합니다.

    • 콘텐츠 검사 섹션에서 DLP 엔진을 통해 문서 및 파일 콘텐츠를 검사하도록 설정할지 여부를 지정합니다.

    • 작업 아래에서 다음 항목 중 하나를 선택합니다.

      • 감사(모든 활동 모니터링): 설정한 정책 필터에 따라 다운로드를 명시적으로 허용하도록 이 작업을 설정합니다.
      • 차단(파일 다운로드 차단 및 모든 활동 모니터링): 설정한 정책 필터에 따라 다운로드를 명시적으로 차단하려면 이 작업을 설정합니다. 자세한 내용은 다운로드 차단 작동 방식을 참조하세요.
      • 보호(민감도 레이블을 적용하여 모든 활동 다운로드 및 모니터링): 이 옵션은 세션 정책에서 파일 다운로드 제어(검사 포함)를 선택한 경우에만 사용할 수 있습니다. 조직에서 Microsoft Purview Information Protection을 사용하는 경우 작업을 설정하여 Microsoft Purview Information Protection에 설정된 민감도 레이블을 파일에 적용할 수 있습니다. 자세한 내용은 다운로드 보호 작동 방식을 참조하세요.

  7. 경고를 전자 메일로 보내려면 정책의 심각도를 사용하여 일치하는 각 이벤트에 대한 경고 만들기를 선택하고 경고 제한을 설정합니다.

  8. 사용자에게 알림: 세션 정책을 만들 때 정책과 일치하는 각 사용자 세션은 앱이 아닌 세션 제어로 직접 리디렉션됩니다.

    세션이 모니터링되고 있음을 알려주는 모니터링 알림이 사용자에게 표시됩니다. 사용자에게 모니터링하고 있음을 알리지 않으려면 알림 메시지를 해제할 수 있습니다.

    1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다.

    2. 그런 다음, 조건부 액세스 앱 제어에서 사용자 모니터링을 선택하고 사용자 알림 확인란을 선택 취소합니다.

  9. 로그 모니터링: 세션 내에서 사용자를 유지하기 위해 조건부 액세스 앱 제어는 앱 세션 내의 모든 관련 URL, Java 스크립트 및 쿠키를 클라우드용 Microsoft Defender 앱 URL로 바꿉니다. 예를 들어 앱이 myapp.com 기본 끝나는 링크가 있는 페이지를 반환하는 경우 조건부 액세스 앱 컨트롤은 링크를 다음과 같이 myapp.com.mcas.ms끝나는 do기본s로 바꿉니다. 이러한 방식으로 클라우드용 Defender 앱은 전체 세션을 모니터링합니다.

클라우드 검색 로그 내보내기

조건부 액세스 앱 제어는 라우팅된 모든 사용자 세션의 트래픽 로그를 기록합니다. 트래픽 로그에는 시간, IP, 사용자 에이전트, 방문한 URL 및 업로드 및 다운로드한 바이트 수가 포함됩니다. 이러한 로그가 분석되고 앱 조건부 액세스 앱 제어 클라우드용 Defender 연속 보고서가 Cloud Discovery 대시보드의 Cloud Discovery 보고서 목록에 추가됩니다.

Cloud Discovery 대시보드에서 클라우드 검색 로그를 내보내려면 다음을 수행합니다.

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 커넥트 앱에서 조건부 액세스 앱 제어를 선택합니다.

  2. 테이블 위에서 내보내기 단추를 선택합니다. 예시:

    Screenshot of the export button.

  3. 보고서의 범위를 선택하고 내보내기를 선택합니다. 이 프로세스는 다소 시간이 걸릴 수 있습니다.

  4. 보고서가 준비되면 내보낸 로그를 다운로드하려면 Microsoft Defender 포털에서 보고서 ->Cloud Apps이동한 다음 내보낸 보고서로 이동합니다.

  5. 테이블의 조건부 액세스 앱 제어 트래픽 로그 목록에서 관련 보고서를 선택하고 다운로드 선택합니다. 예시:

    Screenshot of the download button.

모두 모니터링합니다.

활동만 모니터링하면 로그인 활동만 모니터링되고 경고가 전송되지 않습니다. 

다른 활동을 모니터링하려면 감사 작업을 선택합니다. 이 경우 정책에 따라 경고가 전송됩니다. 감사 작업의 활동은 정책과 일치하는지 여부에 관계없이 모니터링 및 기록됩니다. 

참고 항목

다운로드 및 업로드 외에 다른 활동을 모니터링하려면 모니터 정책에 활동 정책당 하나 이상의 블록이 있어야 합니다.

모든 다운로드 차단

차단이 클라우드용 Defender 앱 세션 정책에서 수행하려는 작업으로 설정된 경우 조건부 액세스 앱 제어는 사용자가 정책의 파일 필터에 따라 파일을 다운로드할 수 없도록 합니다. 클라우드용 Defender 앱은 사용자가 다운로드를 시작할 때 각 앱에 대한 다운로드 이벤트를 인식합니다. 조건부 액세스 앱 제어는 이벤트가 실행되는 것을 방지하기 위해 실시간으로 개입합니다. 사용자가 다운로드를 시작한 신호가 수신되면 조건부 액세스 앱 제어는 제한된 다운로드 메시지를 사용자에게 보내고, 다운로드한 파일을 텍스트 파일로 바꿉니다. 사용자에게 보내는 텍스트 파일의 메시지는 세션 정책에서 구성하고 사용자 지정할 수 있습니다.

단계별 인증 필요(인증 컨텍스트)

세션 제어 유형이 차단 활동, 컨트롤 파일 다운로드(검사 포함), 컨트롤 파일 업로드(검사 포함)로 설정된 경우 단계별 인증 필요 작업을 선택할 수 있습니다. 이 작업을 선택하면 클라우드용 Defender 앱은 선택한 활동이 발생할 때마다 정책 재평가를 위해 세션을 Microsoft Entra 조건부 액세스로 리디렉션합니다. Microsoft Entra ID의 구성된 인증 컨텍스트에 따라 세션 중에 다단계 인증 및 디바이스 준수와 같은 클레임을 검사 수 있습니다.

특정 활동 차단

활동 차단활동 유형으로 설정하는 경우 특정 앱에서 차단할 특정 활동을 선택할 수 있습니다. 선택한 앱의 모든 활동이 모니터링되고 활동 로그에 보고됩니다. 선택한 특정 활동은 차단 작업을 선택하면 차단됩니다. 선택한 특정 활동은 감사 작업을 선택하고 경고를 설정한 경우 경고를 발생합니다.

차단된 활동의 예는 다음과 같습니다.

  • Teams 메시지 보내기: Microsoft Teams에서 보낸 메시지를 차단하거나 특정 콘텐츠가 포함된 Teams 메시지를 차단하는 데 사용합니다.
  • 인쇄: 인쇄 작업을 차단하는 데 사용
  • 복사: 클립보드 작업에 대한 복사를 차단하거나 특정 콘텐츠에 대한 복사만 차단하는 데 사용합니다.

특정 활동을 차단하고 특정 그룹에 적용하여 조직에 포괄적인 읽기 전용 모드를 만듭니다.

다운로드 시 파일 보호

활동 유형 필터를 사용하여 찾을 수 있는 특정 활동을 차단하려면 활동 차단을 선택합니다. 선택한 앱의 모든 활동이 모니터링되고 활동 로그에 보고됩니다. 선택한 특정 활동은 차단 작업을 선택하면 차단됩니다. 선택한 특정 활동은 감사 작업을 선택하고 경고를 설정한 경우 경고를 발생합니다.

보호가 클라우드용 Defender 앱 세션 정책에서 수행할 작업으로 설정된 경우 조건부 액세스 앱 제어는 정책의 파일 필터에 따라 파일의 레이블 지정 및 후속 보호를 적용합니다. 레이블은 Microsoft Purview 규정 준수 포털 구성되며 클라우드용 Defender 앱 정책에서 옵션으로 표시되도록 암호화를 적용하도록 레이블을 구성해야 합니다.

특정 레이블을 선택하고 사용자가 정책 조건을 충족하는 파일을 다운로드하면 레이블과 해당 보호 및 사용 권한이 파일에 적용됩니다.

이제 다운로드한 파일이 보호되는 동안 원본 파일은 있는 그대로 클라우드 앱에 남아 있습니다. 파일에 액세스하려는 사용자는 적용된 보호에 의해 결정된 권한 요구 사항을 충족해야 합니다.

클라우드용 Defender 앱은 현재 다음 파일 형식에 대해 Microsoft Purview Information Protection의 민감도 레이블 적용을 지원합니다.

  • Word: docm, docx, dotm, dotx
  • Excel: xlam, xlsm, xlsx, xltx
  • PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
  • PDF

참고 항목

  • PDF의 경우 통합 레이블을 사용해야 합니다.
  • 세션 정책에서 보호 옵션을 사용하여 기존 레이블이 이미 있는 파일을 덮어쓸 수 없습니다.

중요한 파일의 업로드 보호

컨트롤 파일 업로드(검사 포함)가 클라우드용 Defender 앱 세션 정책에서 세션 제어 유형으로 설정된 경우 조건부 액세스 앱 컨트롤은 사용자가 정책의 파일 필터에 따라 파일을 업로드하지 못하도록 합니다. 업로드 이벤트가 인식되면 조건부 액세스 앱 제어가 실시간으로 개입하여 파일이 중요하고 보호가 필요한지 여부를 확인합니다. 파일에 중요한 데이터가 있고 적절한 레이블이 없으면 파일 업로드가 차단됩니다.

예를 들어 파일의 콘텐츠를 검사하여 사회 보장 번호와 같은 중요한 콘텐츠 일치 항목이 포함되어 있는지 확인하는 정책을 만들 수 있습니다. 중요한 콘텐츠가 포함되어 있고 Microsoft Purview Information Protection 기밀 레이블로 레이블이 지정되지 않은 경우 파일 업로드가 차단됩니다. 파일이 차단되면 업로드하기 위해 파일에 레이블을 지정하는 방법을 알려주는 사용자 지정 메시지를 사용자에게 표시할 수 있습니다. 이렇게 하면 클라우드 앱에 저장된 파일이 정책을 준수하는지 확인합니다.

업로드할 때 맬웨어 차단

컨트롤 파일 업로드(검사 포함)가 세션 제어 유형으로 설정되고 맬웨어 검색이 클라우드용 Defender 앱 세션 정책의 검사 방법으로 설정된 경우 조건부 액세스 앱 제어는 맬웨어가 감지되면 사용자가 실시간으로 파일을 업로드하지 못하도록 합니다. 파일은 Microsoft 위협 인텔리전스 엔진을 사용하여 검색됩니다.

활동 로그에서 잠재적인 맬웨어 감지 필터를 사용하여 잠재적인 맬웨어로 플래그가 지정된 파일을 볼 수 있습니다.

다운로드 시 맬웨어를 차단하도록 세션 정책을 구성할 수도 있습니다.

중요한 파일을 보호하도록 사용자 교육

사용자가 정책을 위반할 때 조직 정책을 준수하는 방법을 배울 수 있도록 사용자를 교육하는 것이 중요합니다.

모든 엔터프라이즈에는 고유한 요구 사항과 정책이 있으므로 클라우드용 Defender 앱을 사용하면 위반이 감지될 때 정책 필터 및 사용자에게 표시되는 메시지를 사용자 지정할 수 있습니다.

파일에 적절하게 레이블을 지정하는 방법 또는 관리되지 않는 디바이스를 등록하여 파일이 성공적으로 업로드되도록 하는 방법에 대한 지침을 제공하는 등 사용자에게 특정 지침을 제공할 수 있습니다.

예를 들어 사용자가 민감도 레이블 없이 파일을 업로드하는 경우 파일에 적절한 레이블이 필요한 중요한 콘텐츠가 포함되어 있음을 설명하는 메시지를 표시할 수 있습니다. 마찬가지로 사용자가 관리되지 않는 디바이스에서 문서를 업로드하려고 하면 해당 디바이스를 등록하는 방법에 대한 지침이나 디바이스를 등록해야 하는 이유에 대한 추가 설명을 제공하는 메시지가 표시될 수 있습니다.

정책 간 충돌

두 정책 간에 충돌이 발생하면 더 제한적인 정책이 우선합니다. 예시:

  • 사용자 세션의 범위가 다운로드 차단 정책 및 다운로드 시 레이블로 범위가 지정되면 파일 다운로드 작업이 차단됩니다.

  • 사용자 세션의 범위가 다운로드 차단 정책 및 감사 다운로드 정책으로 범위가 지정되면 파일 다운로드 작업이 차단됩니다.

다음 단계

자세한 내용은 다음을 참조하세요.

« 이전: 모든 앱에 대한 조건부 액세스 앱 제어 온보딩 및 배포 »

다음: 액세스 정책을 만드는 방법 »

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.