자습서: 조건부 액세스 앱 제어를 사용하여 중요한 정보 다운로드 차단

  • 아티클

오늘날의 IT 관리자는 결정하기 힘든 상황에 처해 있습니다. 우선 직원의 생산성을 높일 수 있어야 합니다. 즉 직원이 언제든지 어떤 디바이스에서든 작업할 수 있도록 앱에 액세스할 수 있어야 합니다. 하지만 자산 정보와 특수 정보를 포함한 회사 자산도 보호해야 합니다. 데이터를 보호하는 동시에 직원이 클라우드 앱에 액세스할 수 있게 하려면 어떻게 해야 할까요? 이 자습서에서는 관리되지 않는 디바이스 또는 회사 네트워크 외부 위치에서 엔터프라이즈 클라우드 앱의 중요한 데이터에 액세스할 수 있는 사용자가 다운로드할 수 없도록 차단합니다.

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

위협

조직의 계정 관리자가 주말에 집에서 개인용 랩톱의 Salesforce에서 무언가를 확인하려고 합니다. Salesforce 데이터에는 고객의 신용 카드 정보 또는 개인 정보가 포함되어 있을 수 있습니다. 가정용 PC는 관리되지 않습니다. 문서를 Salesforce에서 PC에 다운로드하면 맬웨어에 감염될 수 있습니다. 디바이스를 분실하거나 도난당한 경우 암호로 보호되지 않을 수 있으며 디바이스를 발견한 사람은 중요한 정보에 액세스할 수 있습니다.

솔루션

모든 IdP 솔루션 및 클라우드용 Defender 앱 조건부 액세스 앱 컨트롤에서 클라우드 앱 사용을 모니터링하고 제어하여 조직을 보호합니다.

필수 조건

  • Microsoft Entra ID P1 라이선스 또는 ID 공급자(IdP) 솔루션에 필요한 라이선스에 대한 유효한 라이선스

  • 다음 인증 프로토콜 중 하나를 사용하여 SSO용 클라우드 앱을 구성합니다.

    IdP 프로토콜
    Microsoft Entra ID SAML 2.0 또는 OpenID 커넥트
    기타 SAML 2.0

  • 앱이 클라우드용 Defender 앱에 배포되었는지 확인

관리되지 않는 디바이스에 대한 다운로드 차단 정책 만들기

클라우드용 Defender 앱 세션 정책을 사용하면 디바이스 상태에 따라 세션을 제한할 수 있습니다. 해당 디바이스를 조건으로 사용하여 세션을 제어하려면 조건부 액세스 정책과 세션 정책을 모두 만드세요.

조건부 액세스 정책을 만들려면 클라우드용 Defender 앱 액세스 정책 만들기의 단계를 따릅니다. 이 자습서에서는 세션 정책을 만드는 방법을 설명합니다.

1단계: 클라우드용 Defender 앱에서 작동하도록 IdP 구성

다음과 같이 클라우드용 Defender 앱에서 작동하도록 IdP 솔루션을 구성했는지 확인합니다.

  • Microsoft Entra 조건부 액세스의 경우 Microsoft Entra ID와의 통합 구성을 참조하세요.
  • 다른 IdP 솔루션은 다른 IdP 솔루션과의 통합 구성을 참조 하세요.

이 작업을 완료한 후 클라우드용 Defender 앱 포털로 이동하여 세션의 파일 다운로드를 모니터링하고 제어하는 세션 정책을 만듭니다.

2단계: 세션 정책 만들기

  1. Microsoft Defender 포털의 Cloud Apps에서 정책으로 이동한 다음 정책 관리를 선택합니다.

  2. 정책 페이지에서 정책 만들기를 선택한 다음 세션 정책을 선택합니다.

  3. 세션 정책 만들기 페이지에서 정책에 대한 이름과 설명을 제공합니다. 예를 들어 관리되지 않는 디바이스의 Salesforce에서 다운로드 차단이 있습니다.

  4. 정책 심각도범주를 할당합니다.

  5. 세션 컨트롤 형식의 경우 컨트롤 파일 다운로드(검사 포함)를 선택합니다. 이 설정을 통해 Salesforce 세션 내에서 사용자가 수행하는 모든 작업을 모니터링할 수 있고, 실시간으로 다운로드를 차단하거나 보호할 수 있습니다.

  6. 다음 항목 모두와 일치하는 작업 섹션의 작업 원본 아래에서 다음 필터를 선택합니다.

    • 디바이스 태그: 선택 항목이 같지 않습니다. 그런 다음 Intune 규격, Microsoft Entra 하이브리드 조인 또는 유효한 클라이언트 인증서를 선택합니다. 선택 영역은 조직에서 관리 디바이스를 식별하는 데 사용되는 방법에 따라 달라집니다.

    • : 제어하려는 앱을 선택합니다.

    • 사용자: 모니터링하려는 사용자를 선택합니다.

  7. 또는 회사 네트워크의 일부가 아닌 위치에서 다운로드를 차단할 수 있습니다. 다음 항목 모두와 일치하는 작업 섹션의 작업 원본에서 다음 필터를 설정합니다.

    • IP 주소 또는 위치: 이러한 두 매개 변수 중 하나를 사용하여 사용자가 중요한 데이터에 액세스하려고 할 수 있는 회사 이외의 위치 또는 알 수 없는 위치를 식별할 수 있습니다.

    참고 항목

    관리되지 않는 디바이스 및 회사 이외의 위치로부터의 다운로드를 차단하려는 경우 두 개의 세션 정책을 만들어야 합니다. 정책 중 하나는 위치를 사용하여 작업 원본을 설정합니다. 다른 정책은 작업 원본을 관리되지 않는 디바이스로 설정합니다.

    • : 제어하려는 앱을 선택합니다.

    • 사용자: 모니터링하려는 사용자를 선택합니다.

  8. 다음 항목 모두와 일치하는 파일 섹션의 활동 원본 아래에서 다음 필터를 설정합니다.

    • 민감도 레이블: Microsoft Purview Information Protection의 민감도 레이블을 사용하는 경우 특정 Microsoft Purview Information Protection 민감도 레이블을 기반으로 파일을 필터링합니다.

    • 파일 이름 또는 파일 형식을 선택하여 파일 이름이나 형식에 따른 제한 사항을 적용합니다.

  9. 콘텐츠 검사를 사용하도록 설정하여 내부 DLP에서 중요한 콘텐츠에 대해 파일을 검색할 수 있게 합니다.

  10. 작업 아래에서 차단을 선택합니다. 파일을 다운로드할 수 없는 경우 사용자가 받을 차단 메시지를 사용자 지정합니다.

  11. 정책이 일치할 때 수신할 경고를 설정합니다. 너무 많은 경고를 받지 않도록 제한을 설정할 수 있습니다. 경고를 전자 메일 메시지로 가져올지 선택합니다.

  12. 만들기를 실행합니다.

정책 유효성 검사

  1. 관리되지 않는 디바이스 또는 회사 네트워크 외부 위치에서 차단된 파일 다운로드를 시뮬레이션하려면 앱에 로그인합니다. 그런 다음, 파일을 다운로드합니다.

  2. 파일이 차단되어야 하며, 차단 메시지 사용자 지정에서 설정한 메시지가 표시되어야 합니다.

  3. Microsoft Defender 포털의 Cloud Apps에서 정책으로 이동한 다음 정책 관리를 선택합니다. 그런 다음, 만든 정책을 선택하여 정책 보고서를 봅니다. 세션 정책 일치 항목이 곧 표시됩니다.

  4. 정책 보고서에서 세션 제어를 위해 클라우드용 Microsoft Defender 앱으로 리디렉션된 로그인과 모니터링되는 세션에서 다운로드되거나 차단된 파일을 확인할 수 있습니다.

다음 단계

액세스 정책을 만드는 방법

세션 정책을 만드는 방법

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.