조건부 액세스: 세션
관리자는 조건부 액세스 정책 내 세션 제어를 활용하여 특정 클라우드 애플리케이션 내에서 제한된 환경을 사용하도록 설정할 수 있습니다.
애플리케이션 적용 제한
조직은 이 컨트롤을 사용하여 Microsoft Entra ID가 선택한 클라우드 앱에 디바이스 정보를 전달하도록 요구할 수 있습니다. 클라우드 앱은 디바이스 정보를 통해 연결이 호환되는 디바이스 또는 도메인 조인 디바이스에서 온 것인지 알 수 있으며 세션 환경을 업데이트할 수 있습니다. 선택하면 클라우드 앱에서는 디바이스 정보를 사용하여 사용자에게 제한된 환경이나 전체 환경을 제공합니다. 디바이스가 관리되거나 호환되지 않으면 제한된 환경이고, 디바이스가 관리되고 호환되면 전체 환경입니다.
지원되는 애플리케이션 목록과 정책 구성 방법은 다음 문서를 참조하세요.
- Microsoft 365의 유휴 세션 시간 제한.
- SharePoint Online을 사용하여 제한된 액세스를 사용하도록 설정
- Exchange Online을 사용하여 제한된 액세스를 사용하도록 설정
조건부 액세스 애플리케이션 제어
조건부 액세스 앱 제어는 역방향 프록시 아키텍처를 사용하며 Microsoft Entra 조건부 액세스와 고유하게 통합됩니다. Microsoft Entra 조건부 액세스를 사용하면 특정 조건에 따라 조직의 앱에 대한 액세스 제어를 적용할 수 있습니다. 조건은 조건부 액세스 정책이 적용되는 사용자 또는 사용자 그룹, 클라우드 앱, 위치 및 네트워크를 정의합니다. 조건을 결정한 후 액세스 및 세션 제어를 적용하여 조건부 액세스 앱 제어로 데이터를 보호할 수 있는 Microsoft Defender for Cloud Apps로 사용자를 라우팅할 수 있습니다.
조건부 액세스 앱 제어를 통해 사용자는 액세스 및 세션 정책에 따라 실시간으로 앱 액세스 및 세션을 모니터링하고 제어할 수 있습니다. 액세스 및 세션 정책은 Defender for Cloud Apps 포털 내에서 필터를 세분화하고 수행할 작업을 설정하는 데 사용됩니다. 액세스 및 세션 정책을 사용하면 다음을 수행할 수 있습니다.
- 데이터 반출 방지: 관리되지 않는 디바이스 등에서 중요한 문서의 다운로드, 잘라내기, 복사, 인쇄를 차단할 수 있습니다.
- 다운로드 시 보호: 중요한 문서의 다운로드를 차단하는 대신, 문서에 레이블을 지정하고 Azure Information Protection으로 문서를 보호하도록 요구할 수 있습니다. 이 작업을 수행하면 문서가 보호되고 잠재적으로 위험한 세션에서 사용자 액세스가 제한됩니다.
- 레이블이 지정되지 않은 파일 업로드 방지: 중요한 파일을 업로드, 배포, 사용하기 전에 파일에 올바른 레이블과 보호가 적용되었는지 확인하는 것이 중요합니다. 사용자가 콘텐츠를 분류할 때까지 중요한 콘텐츠가 포함되고 레이블이 지정되지 않은 파일이 업로드되지 않도록 할 수 있습니다.
- 사용자 세션에서 준수 모니터링(미리 보기): 위험 사용자가 앱에 로그인하면 모니터링되고 해당 작업이 세션 내에서 로깅됩니다. 사용자 동작을 조사하고 분석하여 나중에 세션 정책을 적용해야 하는 위치와 조건을 이해할 수 있습니다.
- 액세스 차단(미리 보기): 몇 가지 위험 요소에 따라 특정 앱과 사용자의 액세스를 세부적으로 차단할 수 있습니다. 예를 들어 디바이스 관리의 형태로 클라이언트 인증서를 사용하는 경우 차단할 수 있습니다.
- 사용자 지정 활동 차단: 일부 앱에는 Microsoft Teams, Slack 등의 앱에서 중요한 콘텐츠가 포함된 메시지를 보내는 경우와 같이 위험을 수반하는 고유한 시나리오가 있습니다. 이 종류의 시나리오에서는 메시지에서 중요한 콘텐츠를 검사하고 실시간으로 메시지를 차단할 수 있습니다.
자세한 내용은 추천 앱에 대한 조건부 액세스 앱 제어 배포 문서를 참조하세요.
로그인 빈도
로그인 빈도는 리소스에 액세스하려고 할 때 사용자에게 다시 로그인하라는 메시지가 표시되는 기간을 정의합니다. 관리자는 기간(시간 또는 일)을 선택하거나 매번 다시 인증을 요구하도록 선택할 수 있습니다.
로그인 빈도 설정은 표준에 따라 OAUTH2 또는 OIDC 프로토콜을 구현하는 앱에서 작동합니다. 다음 웹 애플리케이션을 포함하여 Windows, Mac, 모바일용 Microsoft 네이티브 앱은 대부분 이 설정을 준수합니다.
- Word, Excel, PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365 관리 포털
- Exchange Online
- SharePoint 및 OneDrive
- 팀 웹 클라이언트
- Dynamics CRM Online
- Azure Portal
자세한 내용은 조건부 액세스를 사용하여 인증 세션 관리 구성 문서를 참조하세요.
영구적 브라우저 세션
영구 브라우저 세션을 사용하면 사용자가 브라우저 창을 닫았다가 다시 연 후 로그인 상태를 유지할 수 있습니다.
자세한 내용은 조건부 액세스를 사용하여 인증 세션 관리 구성 문서를 참조하세요.
지속적인 액세스 권한 평가 사용자 지정
연속 액세스 평가는 조직의 조건부 액세스 정책의 일부로 자동으로 사용하도록 설정됩니다. 연속 액세스 평가를 사용하지 않도록 설정하려는 조직의 경우, 이 구성은 이제 조건부 액세스의 세션 제어 내에 있는 옵션입니다. 연속 액세스 평가 정책의 범위를 모든 사용자 또는 특정 사용자 및 그룹으로 지정할 수 있습니다. 관리자는 새 정책을 만들거나 기존 조건부 액세스 정책을 편집하는 동안 다음과 같은 항목을 선택할 수 있습니다.
- 모든 리소스(이전의 '모든 클라우드 앱')를 선택하고, 조건을 선택하지 않고, 조건부 액세스 정책의 세션>사용자 지정 연속 액세스 평가에서 사용 안 함을 선택한 경우에만 작업을 사용하지 않도록 설정합니다. 모든 사용자 또는 특정 사용자 및 그룹을 사용하지 않도록 선택할 수 있습니다.
복원력 기본값 사용 안 함
중단 중에 Microsoft Entra ID는 조건부 액세스 정책을 적용하면서 기존 세션에 대한 액세스를 확장합니다.
복원력 기본값을 사용하지 않도록 설정하면 기존 세션이 만료될 때 액세스가 거부됩니다. 자세한 내용은 조건부 액세스: 복원력 기본값 문서를 참조하세요.
로그인 세션에 대한 토큰 보호 필요(미리 보기)
토큰 보호(종종 업계에서 토큰 바인딩이라고도 함)는 의도한 디바이스에서만 토큰을 사용할 수 있도록 하여 토큰 도난을 사용하는 공격을 줄이려고 시도합니다. 공격자가 하이재킹 또는 재생을 통해 토큰을 훔칠 수 있는 경우 토큰이 만료되거나 해지될 때까지 피해자를 가장할 수 있습니다. 토큰 도용은 상대적으로 드문 사건으로 생각되지만 이로 인한 피해는 상당할 수 있습니다.
미리 보기는 특정 시나리오에서만 작동합니다. 자세한 내용은 조건부 액세스: 토큰 보호(미리 보기) 문서를 참조하세요.
글로벌 보안 액세스 보안 프로필 사용
조건부 액세스와 함께 보안 프로필을 사용하면 Microsoft SSE(Security Service Edge) 제품인 Microsoft Entra 인터넷 액세스의 네트워크 보안과 ID 제어가 통합됩니다. 이 세션 제어를 선택하면 전역 보안 액세스에서 만들기 및 관리되는 다양한 정책의 그룹화인 보안 프로필에 ID 및 컨텍스트 인식을 제공할 수 있습니다.