전역 보안 액세스를 통한 유니버셜 조건부 액세스
관리자는 전역 보안 액세스로 트래픽을 보내는 것 외에도 조건부 액세스 정책을 사용하여 트래픽 프로필을 보호할 수 있습니다. 다단계 인증 요구, 규격 디바이스 요구 또는 허용되는 로그인 위험 정의 등 필요에 따라 컨트롤을 조합하고 일치시킬 수 있습니다. 클라우드 응용 프로그램뿐만 아니라 네트워크 트래픽에 이러한 컨트롤을 적용하면 유니버설 조건부 액세스가 가능합니다.
트래픽 프로필에 대한 조건부 액세스는 관리자에게 보안 태세에 대한 엄청난 제어권을 제공합니다. 관리자는 네트워크 액세스를 관리하는 정책을 사용하여 제로 트러스트 원칙을 시행할 수 있습니다. 트래픽 프로필을 사용하면 정책을 일관되게 적용할 수 있습니다. 예를 들어 최신 인증을 지원하지 않는 응용 프로그램은 이제 트래픽 프로필로 보호할 수 있습니다.
이 기능을 통해 관리자는 응용 프로그램이나 작업뿐만 아니라 트래픽 프로필에 따라 조건부 액세스 정책을 일관되게 시행할 수 있습니다. 관리자는 이러한 정책을 사용하여 Microsoft 트래픽 프로필, 개인 리소스 및 인터넷 액세스와 같은 특정 트래픽 프로필을 대상으로 지정할 수 있습니다. 사용자는 구성된 조건부 액세스 정책을 충족하는 경우에만 이러한 구성된 엔드포인트 또는 트래픽 프로필에 액세스할 수 있습니다.
필수 조건
- 전역 보안 액세스 기능과 상호 작용하는 관리자는 수행하는 작업에 따라 다음 역할 할당 중 하나 이상이 있어야 합니다.
- 전역 보안 액세스 기능을 관리하는 전역 보안 액세스 관리자 역할입니다.
- 조건부 액세스 정책을 만들고 상호 작용하는 조건부 액세스 관리자입니다.
- 제품에는 라이선스가 필요합니다. 자세한 내용은 글로벌 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
- Microsoft 트래픽 전달 프로필을 사용하려면 Microsoft 365 E3 라이선스를 사용하는 것이 좋습니다.
알려진 터널 권한 부여 제한 사항
Microsoft 및 인터넷 액세스 전달 프로필은 모두 Microsoft Entra ID 조건부 액세스 정책을 사용하여 전역 보안 액세스 클라이언트의 터널에 대한 액세스 권한을 부여합니다. 즉, 조건부 액세스에서 Microsoft 트래픽 및 인터넷 액세스 전달 프로필에 대한 액세스 권한을 부여하거나 차단할 수 있습니다. 터널에 대한 권한 부여가 부여되지 않은 경우 리소스에 대한 액세스 권한을 다시 가져오기 위한 복구 경로를 사용하려면 Microsoft 트래픽 또는 인터넷 액세스 전달 프로필의 대상에 액세스하여 사용자가 컴퓨터의 모든 항목에 액세스하지 못하도록 차단해야 합니다.
한 가지 예는 비규격 디바이스에서 인터넷 액세스 대상 리소스에 대한 액세스를 차단하는 경우 Microsoft Entra 인터넷 액세스 사용자가 디바이스를 규정 준수로 되돌릴 수 없게 하는 것입니다. 이 문제를 완화하는 방법은 Microsoft Intune용 네트워크 엔드포인트 및 Microsoft Intune에 대한 사용자 지정 규정 준수 검색 스크립트에서 액세스하는 다른 대상을 우회하는 것입니다. 인터넷 액세스 전달 프로필에서 사용자 지정 바이패스의 일부로 이 작업을 수행할 수 있습니다.
알려진 다른 제한 사항
- 지속적인 액세스 평가는 현재 Microsoft 트래픽에 대한 유니버설 조건부 액세스에 대해 지원되지 않습니다.
- 개인 액세스 트래픽에 조건부 액세스 정책을 적용하는 것은 현재 지원되지 않습니다. 이 동작을 모델링하려면 빠른 액세스 및 전역 보안 액세스 앱에 대한 응용 프로그램 수준에서 조건부 액세스 정책을 적용하면 됩니다. 자세한 내용은 개인 액세스 앱에 조건부 액세스 적용을 참조하세요.
- 글로벌 보안 액세스 클라이언트 없이 원격 네트워크 연결을 통해 Microsoft 트래픽에 액세스할 수 있습니다. 그러나 조건부 액세스 정책은 적용되지 않습니다. 즉, Global Secure Access Microsoft 트래픽에 대한 조건부 액세스 정책은 사용자에게 Global Secure Access Client가 있는 경우에만 적용됩니다.
조건부 액세스 정책
조건부 액세스를 사용하면 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스에서 획득한 네트워크 트래픽에 대한 액세스 제어 및 보안 정책을 사용할 수 있습니다.
- 모든 Microsoft 트래픽을 대상으로 하는 정책을 만듭니다.
- 빠른 액세스와 같은 개인 액세스 앱에 조건부 액세스 정책을 적용합니다.
- 원본 IP 주소가 적절한 로그 및 보고서에 표시되도록 조건부 액세스의 전역 보안 액세스 신호를 사용하도록 설정합니다.
사용자 환경
사용자가 전역 보안 액세스 클라이언트가 설치, 구성 및 실행되는 컴퓨터에 처음으로 로그인하면 로그인하라는 메시지가 표시됩니다. 사용자가 정책으로 보호되는 리소스에 액세스하려고 시도하는 경우 이전 예제와 마찬가지로 정책이 적용되고 아직 로그인하지 않은 경우 로그인하라는 메시지가 표시됩니다. 전역 보안 액세스 클라이언트의 시스템 트레이 아이콘을 보면 로그아웃되었거나 실행 중이 아님을 나타내는 빨간색 원이 표시됩니다.
사용자가 전역 보안 액세스 클라이언트에 로그인하면 로그인했고 클라이언트가 실행 중임을 나타내는 녹색 원이 표시됩니다.