다음을 통해 공유

조건부 액세스: 인증 흐름(미리 보기)

  • 아티클

Microsoft Entra ID는 다양한 인증 및 권한 부여 흐름을 지원하여 모든 애플리케이션 및 디바이스 유형에 걸쳐 원활한 환경을 제공합니다. 이러한 인증 흐름 중 일부는 다른 인증 흐름보다 위험이 높습니다. 보안 태세를 더 효과적으로 제어하기 위해 조건부 액세스에 대한 특정 인증 흐름을 제어하는 ​​기능을 추가하고 있습니다. 이 제어는 디바이스 코드 흐름을 명시적으로 대상 지정하는 기능으로 시작됩니다.

디바이스 코드 흐름

디바이스 코드 흐름은 공유 디바이스 또는 디지털 간판과 같은 로컬 입력 디바이스가 없을 수 있는 디바이스에 로그인할 때 사용됩니다. 디바이스 코드 흐름은 피싱 공격의 일부로 사용되거나 관리되지 않는 디바이스에서 회사 리소스에 액세스하는 데 사용될 수 있는 고위험 인증 흐름입니다. 조건부 액세스 정책의 다른 제어와 함께 디바이스 코드 흐름 제어를 구성할 수 있습니다. 예를 들어, 디바이스 코드 흐름이 Android 기반 회의실 디바이스에 사용되는 경우 특정 네트워크 위치의 Android 디바이스를 제외한 모든 곳에서 디바이스 코드 흐름을 차단하도록 선택할 수 있습니다.

필요한 경우에만 디바이스 코드 흐름을 허용해야 합니다. Microsoft에서는 가능하면 디바이스 코드 흐름을 차단하는 것이 좋습니다.

인증 전송

인증 전송은 인증 상태를 한 디바이스에서 다른 디바이스로 원활하게 전송하는 방법을 제공하는 새로운 흐름입니다. 예를 들어, 모바일 디바이스에서 검사하면 인증된 상태를 모바일 디바이스로 전송하는 데스크톱 버전의 Outlook 내에서 사용자에게 QR 코드가 표시될 수 있습니다. 이 기능은 사용자의 전반적인 마찰 수준을 줄이는 간단하고 직관적인 사용자 환경을 제공합니다.

인증 전송을 제어하는 ​​기능은 미리 보기로 제공되며 조건부 액세스의 인증 흐름 조건을 사용하여 기능을 관리할 수 있습니다.

프로토콜 추적

지정된 인증 흐름에 조건부 액세스 정책이 정확하게 적용되도록 하기 위해 프로토콜 추적이라는 기능을 사용합니다. 이 추적은 디바이스 코드 흐름 또는 인증 전송을 사용하여 세션에 적용됩니다. 이러한 경우 세션은 프로토콜 추적으로 간주됩니다. 정책이 존재하는 경우 모든 프로토콜 추적 세션은 정책 적용의 대상이 됩니다. 프로토콜 추적 상태는 후속 새로 고침을 통해 유지됩니다. 세션이 프로토콜을 추적하는 경우 비디바이스 코드 흐름 또는 인증 전송 흐름은 인증 흐름 정책의 적용을 받을 수 있습니다.

예시:

  1. SharePoint를 제외한 모든 곳에서 디바이스 코드 흐름을 차단하는 정책을 구성합니다.
  2. 구성된 정책에서 허용하는 대로 디바이스 코드 흐름을 사용하여 SharePoint에 로그인합니다. 이 시점에서 세션은 프로토콜 추적으로 간주됩니다.
  3. 디바이스 코드 흐름뿐만 아니라 모든 인증 흐름을 사용하여 동일한 세션의 컨텍스트 내에서 Exchange에 로그인하려고 합니다.
  4. 세션의 프로토콜 추적 상태로 인해 구성된 정책에 의해 차단되었습니다.

로그인 로그

디바이스 코드 흐름을 제한하거나 차단하는 정책을 구성할 때 조직에서 디바이스 코드 흐름이 사용되는지 여부와 방법을 이해해야 합니다. 보고서 전용 모드에서 조건부 액세스 정책을 만들거나 인증 프로토콜 필터를 사용하여 디바이스 코드 흐름 이벤트에 대한 로그인 로그를 필터링하면 도움이 될 수 있습니다.

프로토콜 추적 관련 오류 문제를 해결하는 데 도움을 주기 위해 조건부 액세스 로그인 로그작업 세부 정보 섹션에 원래 전송 방법이라는 새 속성을 추가했습니다. 이 속성은 문제가 되는 요청의 프로토콜 추적 상태를 표시합니다. 예를 들어, 이전에 디바이스 코드 흐름이 수행된 세션의 경우 원래 전송 방법디바이스 코드 흐름으로 설정됩니다.

예기치 못한 블록 문제 해결

조건부 액세스 정책에 의해 로그인이 예기치 않게 차단된 경우 해당 정책이 인증 흐름 정책인지 확인해야 합니다. 로그인 로그로 이동하여 차단된 로그인을 클릭한 다음 작업 세부 정보: 로그인 창에서 조건부 액세스 탭으로 이동하여 확인을 수행할 수 있습니다. 적용된 정책이 인증 흐름 정책인 경우 해당 정책을 선택하여 일치하는 인증 흐름을 확인합니다.

디바이스 코드 흐름이 일치했지만 디바이스 코드 흐름이 해당 로그인에 대해 수행된 흐름이 아닌 경우 새로 고침 토큰이 프로토콜을 추적했음을 의미합니다. 차단된 로그인을 클릭하고 작업 세부 정보: 로그인 창의 기본 정보 부분에서 원래 전송 방법 속성을 검색하여 이 사례를 확인할 수 있습니다.

참고 항목

프로토콜 추적 세션으로 인한 차단은 이 정책에서 예상되는 동작입니다. 권장되는 수정 방법은 없습니다.

관련 콘텐츠