조건부 액세스: 대상 리소스

대상 리소스(이전의 클라우드 앱, 작업 및 인증 컨텍스트)는 조건부 액세스 정책의 주요 신호입니다. 조건부 액세스 정책을 사용하면 관리자가 특정 애플리케이션, 서비스, 작업 또는 인증 컨텍스트에 컨트롤을 할당할 수 있습니다.

• 관리자는 기본 제공 Microsoft 응용 프로그램 및 갤러리, 비갤로리 및 애플리케이션 프록시를 통해 게시된 애플리케이션을 비롯한 모든 Microsoft Entra 통합 애플리케이션을 포함하는 애플리케이션 또는 서비스 목록에서 선택할 수 있습니다.
• 관리자는 보안 정보 등록 또는 디바이스 등록 또는 조인과 같은 사용자 작업을 기반으로 정책을 정의하여 조건부 액세스가 이러한 작업에 대한 제어를 적용하도록 할 수 있습니다.
• 관리자는 향상된 기능을 위해 전역 보안 액세스에서 트래픽 전달 프로필을 대상으로 지정할 수 있습니다.
• 관리자는 인증 컨텍스트 를 사용하여 애플리케이션에서 추가 보안 계층을 제공할 수 있습니다.

Microsoft 클라우드 애플리케이션

Microsoft Graph를 제외한 서비스 주체가 테넌트에 표시되는 경우 관리자는 Microsoft 클라우드 앱에 조건부 액세스 정책을 할당할 수 있습니다. Microsoft Graph는 우산 리소스로 작동합니다. 대상 그룹 보고를 사용하여 기본 서비스를 확인하고 정책에서 해당 서비스를 대상으로 지정합니다. Office 365 및 Windows Azure Service Management API와 같은 일부 앱은 여러 관련 하위 앱 또는 서비스를 포함할 수 있습니다. 새 Microsoft 클라우드 애플리케이션이 만들어지면 서비스 주체가 테넌트에 만들어지는 즉시 앱 선택기 목록에 표시됩니다.

Office 365

Microsoft 365는 Exchange, SharePoint 및 Microsoft Teams와 같은 클라우드 기반 생산성 및 공동 작업 서비스를 제공합니다. Microsoft 365 클라우드 서비스는 원활한 협업 환경을 보장하기 위해 긴밀하게 통합됩니다. 이 통합은 Microsoft Teams와 같은 일부 앱이 SharePoint 또는 Exchange와 같은 다른 앱에 의존하기 때문에 정책을 만들 때 혼동을 일으킬 수 있습니다.

Office 365 앱 그룹을 사용하면 이러한 서비스를 한 번에 모두 대상으로 지정할 수 있습니다. 서비스 종속성 문제를 방지하기 위해 개별 클라우드 앱을 대상으로 하는 대신 Office 365 그룹화 사용을 권장합니다.

이 애플리케이션 그룹을 대상으로 지정하면 일관되지 않은 정책과 종속성으로 인해 발생할 수 있는 문제를 방지하는 데 도움이 됩니다. 예: Exchange Online 앱은 메일, 달력, 연락처 정보 등의 기존 Exchange Online 데이터에 연결됩니다. 관련 메타데이터는 검색과 같은 다양한 리소스를 통해 노출될 수 있습니다. 모든 메타데이터가 의도한 대로 보호되도록 하려면 관리자는 Office 365 앱에 정책을 할당해야 합니다.

관리자는 조건부 액세스 정책에서 전체 Office 365 제품군 또는 특정 Office 365 클라우드 앱을 제외할 수 있습니다.

포함된 모든 서비스의 전체 목록은 조건부 액세스 Office 365 앱 제품군에 포함된 앱 문서에서 찾을 수 있습니다.

Windows Azure 서비스 관리 API

Windows Azure Service Management API를 대상으로 지정하면 포털에 밀접하게 바인딩된 서비스 집합에 발급된 토큰에 대한 정책이 적용됩니다. 이 그룹에는 다음의 애플리케이션 ID가 포함됩니다.

• Azure 리소스 관리자
• Microsoft Entra 관리 센터 및 Microsoft 참여 센터도 포함하는 Azure Portal
• Azure 데이터 레이크
• Application Insights API
• 로그 분석 API

정책이 Azure 관리 포털 및 API에 적용되므로 Azure API에 의존하는 모든 서비스 또는 클라이언트는 간접적으로 영향을 받을 수 있습니다. 다음은 그 예입니다.

• Azure CLI
• Azure Data Factory 포털
• Azure Event Hubs
• Azure PowerShell
• Azure 서비스 버스
• Azure SQL 데이터베이스
• Azure Synapse
• 클래식 배포 모델 API
• Microsoft 365 관리 센터
• Microsoft IoT Central
• Microsoft Defender 다중 테넌트 관리
• SQL 관리 인스턴스
• Visual Studio 구독 관리자 포털

주의

Windows Azure 서비스 관리 API와 연결된 조건부 액세스 정책은 더 이상 Azure DevOps를 다루지 않습니다.

Note

Windows Azure 서비스 관리 API 애플리케이션은 Azure PowerShell에 적용되며 이는 Azure Resource Manager API를 호출합니다. Microsoft Graph API호출하는 Microsoft Graph PowerShell 적용되지 않습니다.

Tip

Azure Government의 경우 Azure Government 클라우드 관리 API 애플리케이션을 대상으로 해야 합니다.

Microsoft 관리 포털

조건부 액세스 정책이 Microsoft 관리 포털 클라우드 앱을 대상으로 하는 경우 다음 Microsoft 관리 포털의 애플리케이션 ID에 발급된 토큰에 대해 정책이 적용됩니다.

• Azure portal
• Exchange 관리 센터
• Microsoft 365 관리 센터
• Microsoft 365 Defender 포털
• Microsoft Entra 관리 센터
• Microsoft Intune 관리 센터
• Microsoft Purview 규정 준수 포털
• Microsoft Teams 관리 센터

지속적으로 목록에 더 많은 관리 포털이 추가되고 있습니다.

다른 애플리케이션

관리자는 조건부 액세스 정책에 Microsoft Entra 등록 애플리케이션을 추가할 수 있습니다. 이러한 애플리케이션에는 다음이 포함될 수 있습니다.

• Microsoft Entra 애플리케이션 프록시를 통해 게시된 애플리케이션
• 갤러리에서 추가된 애플리케이션
• 갤러리에 없는 사용자 지정 애플리케이션
• 앱 제공 컨트롤러 및 네트워크를 통해 게시된 레거시 애플리케이션
• 암호 기반 Single Sign-On을 사용하는 애플리케이션

Note

조건부 액세스 정책은 서비스에 액세스하기 위한 요구 사항을 설정하므로 클라이언트(퍼블릭/네이티브) 애플리케이션에 적용할 수 없습니다. 즉, 정책은 클라이언트(공용/네이티브) 애플리케이션에서 직접 설정되지 않고 클라이언트가 서비스를 호출할 때 적용됩니다. 예를 들어 SharePoint 서비스에서 설정된 정책은 SharePoint를 호출하는 모든 클라이언트에 적용됩니다. Exchange에 설정된 정책은 Outlook 클라이언트를 사용하여 이메일에 액세스하려고 할 때 적용됩니다. 따라서 클라이언트(공용/네이티브) 애플리케이션은 앱 선택기에서 선택할 수 없으며, 테넌트에 등록된 클라이언트(공용/네이티브) 애플리케이션의 애플리케이션 설정에서 조건부 액세스 옵션을 사용할 수 없습니다.

일부 애플리케이션은 선택기에 전혀 표시되지 않습니다. 조건부 액세스 정책에 이러한 애플리케이션을 포함하는 유일한 방법은 모든 리소스(이전의 '모든 클라우드 앱') 를 포함하거나 New-MgServicePrincipal PowerShell cmdlet을 사용하거나 Microsoft Graph API를 사용하여 누락된 서비스 주체를 추가하는 것입니다.

다양한 클라이언트 유형에 대한 조건부 액세스 이해

조건부 액세스는 클라이언트가 ID 토큰을 요청하는 기밀 클라이언트인 경우를 제외하고 클라이언트가 아닌 리소스에 적용됩니다.

• 공용 클라이언트
  • 공용 클라이언트는 데스크톱의 Microsoft Outlook 또는 Microsoft Teams와 같은 모바일 앱과 같은 디바이스에서 로컬로 실행되는 클라이언트입니다.
  • 조건부 액세스 정책은 공용 클라이언트 자체에 적용되지 않지만 요청하는 리소스를 기반으로 합니다.
• 기밀 클라이언트
  • 조건부 액세스는 ID 토큰을 요청하는 경우 클라이언트에서 요청한 리소스와 기밀 클라이언트 자체에 적용됩니다.
  • 예를 들어 Outlook Web에서 Mail.Read 및 Files.Read범위에 대한 토큰을 요청하는 경우 조건부 액세스는 Exchange 및 SharePoint에 대한 정책을 적용합니다. 또한 Outlook Web에서 ID 토큰을 요청하는 경우 조건부 액세스는 Outlook Web에 대한 정책도 적용합니다.

Microsoft Entra 관리 센터에서 이러한 클라이언트 유형에 대한 로그인 로그 보려면 다음을 수행합니다.

1. Microsoft Entra 관리자 센터 에 보고서 읽기 권한자자격으로 로그인하십시오.
2. Entra ID>모니터링 및 상태>로그인 로그로 이동합니다.
3. 클라이언트 자격 증명 형식대한 필터를 추가합니다.
4. 로그인에 사용되는 클라이언트 자격 증명을 기반으로 특정 로그 집합을 보려면 필터를 조정합니다.

자세한 내용은 퍼블릭 클라이언트 및 기밀 클라이언트 애플리케이션 문서를 참조하세요.

모든 리소스

앱 제외 없이 모든 리소스(이전의 '모든 클라우드 앱') 에 조건부 액세스 정책을 적용하면 전역 보안 액세스 트래픽 전달 프로필을 포함하여 웹 사이트 및 서비스의 모든 토큰 요청에 대한 정책이 적용됩니다. 이 옵션에는 조건부 액세스 정책에서 개별적으로 대상으로 지정할 수 없는 애플리케이션(예: Windows Azure Active Directory(00000002-0000-0000-c000-000000000000)이 포함됩니다.

Important

Microsoft는 모든 사용자에 대해 다단계 인증 필요설명한 것과 같이 모든 사용자 및 모든 리소스(앱 제외 제외 없음)를 대상으로 하는 기준 다단계 인증 정책을 만드는 것이 좋습니다.

모든 리소스 정책에 앱 제외가 있는 경우 조건부 액세스 동작

실수로 사용자 액세스를 차단하지 않기 위해 정책에서 앱이 제외되는 경우 특정 낮은 권한 범위는 정책 적용에서 제외됩니다. 이러한 범위는 Windows Azure Active Directory(00000002-0000-0000-c000-000000000000) 및 Microsoft Graph(00000003-0000-0000-c000-000000000000) 같은 기본 Graph API에 대한 호출이 애플리케이션에서 일반적으로 사용하는 사용자 프로필 및 그룹 멤버 자격 정보에 액세스할 수 있도록 허용합니다. 예를 들어 Outlook에서 Exchange에 대한 토큰을 요청하면 현재 사용자의 기본 계정 정보를 표시할 수 있도록 User.Read 범위도 요청합니다.

대부분의 앱은 비슷한 종속성을 가지기 때문에 모든 리소스 정책에 앱 제외가 있을 때마다 이러한 낮은 권한 범위가 자동으로 제외됩니다. 이러한 낮은 권한 범위 제외는 기본 사용자 프로필 및 그룹 정보 이외의 데이터 액세스를 허용하지 않습니다. 제외된 범위는 다음과 같이 나열되며 앱에서 이러한 권한을 사용하려면 동의가 필요합니다.

• 네이티브 클라이언트 및 SPA(단일 페이지 애플리케이션)는 다음과 같은 낮은 권한 범위에 액세스할 수 있습니다.
  • Azure AD Graph: email, offline_access, openid, profileUser.Read
  • Microsoft Graph: email,offline_access, openidprofile, , User.ReadPeople.Read
• 기밀 클라이언트는 모든 리소스 정책에서 제외되는 경우 다음과 같은 낮은 권한 범위에 액세스할 수 있습니다.
  • Azure AD Graph: email,offline_access, openid, profileUser.Read, User.Read.AllUser.ReadBasic.All
  • Microsoft Graph: email, ,offline_access, openidprofile, User.Read, User.Read.AllUser.ReadBasic.All, People.ReadPeople.Read.All, , GroupMember.Read.AllMember.Read.Hidden

언급된 범위에 대한 자세한 내용은 Microsoft Graph 권한 참조 및 Microsoft ID 플랫폼의 범위 및 사용 권한을 참조하세요.

디렉터리 정보 보호

비즈니스상의 이유로 앱 제외가 없는 권장 기준 MFA 정책을 구성할 수 없고 조직의 보안 정책에 디렉터리 관련 낮은 권한 범위(User.Read, User.Read.All, User.ReadBasic.All, People.Read, People.Read.All, GroupMember.Read.AllMember.Read.Hidden) 가 포함되어야 하는 경우 별도의 조건부 액세스 정책 대상 Windows Azure Active Directory 지정(00000002-00000-c0000-0000000000000)을 만듭니다. Windows Azure Active Directory(Azure AD Graph라고도 함)는 사용자, 그룹 및 애플리케이션과 같은 디렉터리에 저장된 데이터를 나타내는 리소스입니다. Windows Azure Active Directory 리소스는 모든 리소스를 포함되지만 다음 단계를 사용하여 조건부 액세스 정책에서 개별적으로 대상으로 지정할 수 있습니다.

1. Microsoft Entra 관리 센터에 특성 정의 관리자 및 특성 할당 관리자로 로그인하십시오.
2. Entra ID>사용자 지정 보안 특성으로 이동하십시오.
3. 새 특성 집합 및 특성 정의를 만듭니다. 자세한 내용은 Microsoft Entra ID사용자 지정 보안 특성 정의 추가 또는 비활성화를 참조하세요.
4. Entra ID>엔터프라이즈 애플리케이션으로 이동하십시오.
5. 애플리케이션 유형 필터를 제거하고 00000002-0000-0000-c000-000000000000으로 시작하는 애플리케이션 ID 검색합니다.
6. Windows Azure Active Directory>사용자 지정 보안 특성을 선택합니다>. 할당 추가.
7. 정책에서 사용하려는 특성 집합 및 특성 값을 선택합니다.
8. Entra ID>조건부 액세스>정책으로 이동합니다.
9. 기존 정책을 만들거나 수정합니다.
10. 대상 리소스>리소스(이전의 클라우드 앱)>포함에서 >리소스를 선택>편집 필터를 선택합니다.
11. 이전의 특성 집합 및 정의를 포함하도록 필터를 조정합니다.
12. 정책 저장

Note

위의 지침에 설명된 대로 이 정책을 구성합니다. 설명된 대로 정책 만들기의 편차(예: 앱 제외 정의)는 낮은 권한 범위가 제외되고 정책이 의도한 대로 적용되지 않을 수 있습니다.

전역 보안 액세스를 사용하는 모든 인터넷 리소스

전역 보안 액세스 옵션을 사용하는 모든 인터넷 리소스를 사용하면 관리자가 Microsoft Entra Internet Access에서 인터넷 액세스 트래픽 전달 프로필을 대상으로 지정할 수 있습니다.

Global Secure Access의 이러한 프로필을 통해 관리자는 Microsoft Entra Internet Access 및 Microsoft Entra Private Access를 통해 트래픽이 라우팅되는 방식을 정의하고 제어할 수 있습니다. 트래픽 전달 프로필을 디바이스 및 원격 네트워크에 할당할 수 있습니다. 이러한 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법에 대한 예는 Microsoft 365 트래픽 프로필에 조건부 액세스 정책을 적용하는 방법 문서를 참조하세요.

이러한 프로필에 대한 자세한 내용은 전역 보안 액세스 트래픽 전달 프로필 문서를 참조하세요.

모든 에이전트 리소스(미리 보기)

모든 에이전트 리소스에 조건부 액세스 정책을 적용하면 에이전트 ID 청사진의 주체 및 에이전트 ID에 대한 모든 토큰 요청에 정책이 강제 적용됩니다.

사용자 작업

사용자 작업은 사용자가 수행하는 작업입니다. 조건부 액세스는 다음 두 가지 사용자 작업을 지원합니다.

• 보안 정보 등록: 이 사용자 작업을 통해 조건부 액세스 정책은 사용자가 보안 정보를 등록하려고 할 때 규칙을 적용할 수 있습니다. 자세한 내용은 결합된 보안 정보 등록을 참조하세요.

Note

관리자가 보안 정보를 등록하기 위한 사용자 작업을 대상으로 하는 정책을 적용하고 사용자 계정이 MSA(Microsoft 개인 계정)의 게스트인 경우 '다단계 인증 필요' 컨트롤을 사용하려면 MSA 사용자가 조직에 보안 정보를 등록해야 합니다. 게스트 사용자가 google 같은 다른 공급자의 경우 액세스가 차단됩니다.

• 디바이스 등록 또는 조인: 이 사용자 작업을 통해 관리자는 사용자가 디바이스를 Microsoft Entra ID에 등록 하거나 조인 할 때 조건부 액세스 정책을 적용할 수 있습니다. 관리자는 테넌트 전체 정책보다 더 세분화된 디바이스를 등록하거나 조인하기 위해 다단계 인증을 구성할 수 있습니다. 이 사용자 작업에는 세 가지 주요 고려 사항이 있습니다.
  • Require multifactor authentication 이 사용자 작업에서 Require auth strength 사용할 수 있는 유일한 액세스 제어이며 다른 모든 컨트롤은 사용하지 않도록 설정됩니다. 이 제한은 Microsoft Entra 디바이스 등록에 종속되거나 Microsoft Entra 디바이스 등록에 적용되지 않는 액세스 제어와의 충돌을 방지합니다.
    • 비즈니스용 Windows Hello 및 디바이스 바인딩된 암호는 지원되지 않습니다. 이러한 시나리오에서는 디바이스를 이미 등록해야 하기 때문입니다.
  • Client apps, Filters for devices, 및 Device state 조건을 이 사용자 작업에서는 사용할 수 없습니다. 이는 Microsoft Entra 디바이스 등록이 조건부 액세스 정책을 적용하는 데 필수적이기 때문입니다.

Warning

디바이스 등록 또는 조인 디바이스 사용자 작업으로 조건부 액세스 정책이 구성된 경우 Entra ID> 디바이스개요>디바이스>설정을 - Require Multifactor Authentication to register or join devices with Microsoft Entra아니요로 설정합니다. 그러지 않으면 이 사용자 작업으로 조건부 액세스 정책이 제대로 적용되지 않습니다. 디바이스 설정 구성에서 이 디바이스 설정에 대해 자세히 알아봅니다.

인증 컨텍스트

인증 컨텍스트는 애플리케이션의 데이터 및 작업을 보호합니다. 이러한 애플리케이션에는 사용자 지정 애플리케이션, LOB(기간 업무) 애플리케이션, SharePoint 또는 Cloud Apps용 Microsoft Defender로 보호되는 애플리케이션이 포함됩니다. Microsoft Entra PIM(Privileged Identity Management)과 함께 사용하여 역할 활성화 중에 조건부 액세스 정책을 적용할 수도 있습니다.

예를 들어 조직에서는 점심 메뉴 또는 비밀 바베큐 소스 레시피와 같은 파일을 SharePoint 사이트에 저장할 수 있습니다. 모든 사용자가 점심 메뉴 사이트에 액세스할 수 있지만 비밀 바베큐 소스 레시피 사이트에 액세스하는 사용자는 관리되는 장치를 사용하고 특정 사용 약관에 동의해야 할 수 있습니다. 마찬가지로, PIM을 통해 권한 있는 역할을 활성화하는 관리자는 다단계 인증을 수행하거나 규격 디바이스를 사용해야 할 수 있습니다.

인증 컨텍스트는 사용자 또는 워크로드 ID에서 작동하지만 동일한 조건부 액세스 정책에서는 작동하지 않습니다.

인증 컨텍스트 구성

Entra ID>조건부 액세스>인증 컨텍스트로 이동하여 인증 컨텍스트를 관리합니다.

새 인증 컨텍스트를 선택하여 인증 컨텍스트 정의를 만듭니다. 조직은 최대 99개의 인증 컨텍스트 정의(c1-c99)를 만들 수 있습니다. 다음 특성을 구성합니다.

• 표시 이름은 Microsoft Entra ID와 인증 컨텍스트를 사용하는 애플리케이션 전체에서 인증 컨텍스트를 식별하는 데 사용되는 이름입니다. 필요한 인증 컨텍스트 수를 줄이기 위해 신뢰할 수 있는 디바이스와 같은 리소스에서 사용할 수 있는 이름을 사용하는 것이 좋습니다. 설정된 수를 줄이면 리디렉션 수가 제한되고 최종 사용자 환경이 향상됩니다.
• 설명 은 정책에 대한 자세한 정보를 제공합니다. 이 정보는 관리자와 리소스에 인증 컨텍스트를 적용하는 사용자가 사용합니다.
• 앱에 게시 확인란을 선택하면 인증 컨텍스트를 앱에 보급하고 할당할 수 있습니다. 선택하지 않으면 다운스트림 리소스에 인증 컨텍스트를 사용할 수 없습니다.
• ID는 읽기 전용이며 요청별 인증 컨텍스트 정의에 대한 토큰 및 앱에서 사용됩니다. 문제 해결 및 개발 사용 사례는 여기에 나열되어 있습니다.

조건부 액세스 정책에 추가

관리자는 할당>으로 이동하고 이 정책이 적용되는 대상을 선택하는 메뉴에서 인증 컨텍스트를 선택하여 조건부 액세스 정책에서 게시된 인증 컨텍스트를 선택할 수 있습니다.

인증 컨텍스트 삭제

인증 컨텍스트를 삭제하기 전에 해당 컨텍스트를 사용하는 애플리케이션이 없는지 확인합니다. 그렇지 않으면 앱 데이터에 대한 액세스가 보호되지 않습니다. 인증 컨텍스트 조건부 액세스 정책이 적용되는 경우 로그인 로그를 확인하여 이를 확인합니다.

인증 컨텍스트를 삭제하려면 할당된 조건부 액세스 정책이 없고 앱에 게시되지 않았는지 확인합니다. 이렇게 하면 인증 컨텍스트를 실수로 삭제할 수 없습니다.

인증 컨텍스트를 사용하여 리소스에 태그를 지정합니다.

인증 컨텍스트 사용에 대한 자세한 내용은 다음 문서를 참조하세요.

• 민감도 레이블을 사용하여 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 콘텐츠 보호
• Microsoft Defender for Cloud 앱
• 사용자 지정 애플리케이션
• Privileged Identity Management - 활성화 시 Microsoft Entra 조건부 액세스 인증 컨텍스트 필요

관련 콘텐츠

• 조건부 액세스: 조건 – 정책을 구체화하도록 조건을 구성하는 방법을 알아봅니다.
• 조건부 액세스 일반 정책 – 빠른 시작을 위해 일반적인 정책 템플릿을 탐색합니다.
• 클라이언트 애플리케이션 종속성 – 종속성이 조건부 액세스 정책에 미치는 영향을 이해합니다.