조건부 액세스 정책 템플릿

조건부 액세스 템플릿은 Microsoft 권장 사항에 따라 새 정책을 배포하는 편리한 방법을 제공합니다. 이러한 템플릿은 다양한 고객 유형 및 위치에서 일반적으로 사용되는 정책에 따라 최대한으로 보호할 수 있도록 설계되었습니다.

템플릿 범주

조건부 액세스 정책 템플릿은 다음 범주로 구성됩니다.

보안 기반

Microsoft는 이러한 정책을 모든 조직의 기반으로 권장합니다. 이러한 정책을 그룹으로 배포합니다.

• 관리자를 위한 다단계 인증 필요
• 보안 정보 등록 보안
• 레거시 인증 차단
• Microsoft 관리 포털에 액세스하는 관리자에게 다단계 인증 필요
• 모든 사용자에 대해 다단계 인증 필요
• Azure 관리를 위한 다단계 인증 필요
• 모든 사용자는 규정을 준수하거나 Microsoft Entra 하이브리드에 조인된 디바이스 또는 다단계 인증이 필요합니다
• 규격 디바이스 필요

제로 트러스트

이러한 정책은 제로 트러스트 아키텍처를 지원하는 데 도움이 됩니다.

• 관리자를 위한 다단계 인증 필요
• 보안 정보 등록 보안
• 레거시 인증 차단
• 모든 사용자에 대해 다단계 인증 필요
• 게스트 액세스를 위한 다단계 인증 필요
• Azure 관리를 위한 다단계 인증 필요
• 위험한 로그인에 다단계 인증 필요 Microsoft Entra ID P2 필요
• 위험 수준이 높은 사용자를 위해 암호 변경 필요Microsoft Entra ID P2 필요
• 알 수 없거나 지원되지 않는 디바이스 플랫폼에 대한 액세스 차단
• 영구 브라우저 세션 없음
• 승인된 클라이언트 앱 또는 앱 보호 정책 필요
• 모든 사용자는 규정을 준수하거나 Microsoft Entra 하이브리드에 조인된 디바이스 또는 다단계 인증이 필요합니다
• Microsoft 관리 포털에 액세스하는 관리자에게 다단계 인증 필요
• 내부자 위험이 있는 사용자에 대한 액세스 차단을 사용하려면 Microsoft Purview가 필요합니다.

원격 작업

이러한 정책은 원격 작업자가 있는 조직을 보호하는 데 도움이 됩니다.

• 보안 정보 등록 보안
• 레거시 인증 차단
• 모든 사용자에 대해 다단계 인증 필요
• 게스트 액세스를 위한 다단계 인증 필요
• 위험한 로그인에 다단계 인증 필요 Microsoft Entra ID P2 필요
• 위험 수준이 높은 사용자를 위해 암호 변경 필요Microsoft Entra ID P2 필요
• 관리자는 규격 준수 또는 Microsoft Entra 하이브리드 가입 디바이스가 필요합니다
• 알 수 없거나 지원되지 않는 디바이스 플랫폼에 대한 액세스 차단
• 영구 브라우저 세션 없음
• 규격 디바이스 필요
• 승인된 클라이언트 앱 또는 앱 보호 정책 필요
• 관리되지 않는 디바이스에 애플리케이션 적용 제한 사용

관리자 보호

이러한 정책은 환경의 높은 권한이 있는 관리자를 위한 정책으로, 손상으로 인해 가장 큰 피해를 줄 수 있습니다.

• 관리자를 위한 다단계 인증 필요
• 레거시 인증 차단
• Azure 관리를 위한 다단계 인증 필요
• 관리자는 규격 준수 또는 Microsoft Entra 하이브리드 가입 디바이스가 필요합니다
• 규격 디바이스 필요
• 관리자를 위한 피싱 방지 다단계 인증 필요

새로운 위협

이 범주의 정책은 손상으로부터 보호하는 새로운 방법을 제공합니다.

• 관리자를 위한 피싱 방지 다단계 인증 필요

AI 에이전트

이 범주의 정책은 사용자 환경에서 에이전트를 제어하는 방법을 제공합니다.

• 위험 수준이 높은 에이전트 ID가 리소스에 액세스하지 못하도록 차단하려면 Microsoft Entra ID P2가 필요합니다.

Microsoft Entra 관리 센터>Entra ID>조건부 액세스>템플릿에서 새 정책 만들기에서 이러한 템플릿을 찾을 수 있습니다. 각 범주의 모든 정책 템플릿을 보려면 [자세히 표시 ]를 선택합니다.

중요한

사용자를 대상으로 하는 조건부 액세스 템플릿 정책은 템플릿에서 정책을 만드는 사용자만 제외합니다. 조직 에서 다른 계정을 제외해야 하는 경우 정책을 만든 후 수정합니다. 이러한 정책은 Microsoft Entra 관리 센터>Entra ID>조건부 액세스> 정책에서 찾을 수있습니다. 정책을 선택하여 편집기를 열고 제외할 사용자 및 그룹을 편집하여 제외하려는 계정을 선택합니다.

기본적으로 각 정책은 보고서 전용 모드로 만들어집니다. 각 정책을 켜기 전에 조직에서 사용량을 테스트하고 모니터링하여 의도한 결과를 확인하는 것이 좋습니다.

조직은 개별 정책 템플릿을 선택하고 다음을 수행할 수 있습니다.

• 정책 설정의 요약을 봅니다.
• 편집하여 조직의 요구 사항에 따라 사용자 지정합니다.
• 프로그래밍 워크플로에서 사용할 JSON 정의를 내보냅니다.
  • 이러한 JSON 정의는 정책 파일 업로드 옵션을 사용하여 기본 조건부 액세스 정책 페이지에서 편집한 다음 가져올 수 있습니다.

기타 일반적인 정책

• 디바이스 등록을 위한 다단계 인증 필요
• 위치별 액세스 차단
• 특정 앱을 제외한 액세스 차단

사용자 제외

조건부 액세스 정책은 강력한 도구입니다. 정책에서 다음 계정을 제외하는 것이 좋습니다.

• 정책 잘못된 구성으로 인한 잠금을 방지하기 위한 비상 액세스 또는 비상 사용 계정 모든 관리자가 잠겨 있는 드문 시나리오에서는 응급 액세스 관리 계정을 사용하여 로그인하고 액세스를 복구할 수 있습니다.
  • 자세한 내용은 Microsoft Entra ID의 응급 액세스 계정 관리 문서에서 찾을 수 있습니다.
• 서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에 연결되지 않은 비대화형 계정입니다. 일반적으로 백 엔드 서비스에서 애플리케이션에 대한 프로그래밍 방식 액세스를 허용하는 데 사용되지만 관리 목적으로 시스템에 로그인하는 데도 사용됩니다. 서비스 주체의 호출은 사용자로 범위가 지정된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
  • 조직에서 스크립트 또는 코드에서 이러한 계정을 사용하는 경우 관리 ID로 대체합니다.

다음 단계

• 조건부 액세스 What If 도구를 사용하여 로그인 동작을 시뮬레이션합니다.
• 조건부 액세스에 대한 보고서 전용 모드를 사용하여 새 정책 결정의 결과를 확인합니다.