Share via

조건부 액세스 적응 세션 수명

  • 아티클

복잡한 배포에서는 조직에서 인증 세션을 제한해야 할 수 있습니다. 시나리오에는 다음이 포함될 수 있습니다.

  • 관리되지 않는 디바이스 또는 공유 디바이스에 대한 리소스 액세스
  • 외부 네트워크를 통한 중요 정보에 액세스
  • 영향력이 높은 사용자
  • 중요한 비즈니스 애플리케이션

조건부 액세스는 적응 세션 수명 정책 제어를 제공하여 모든 사용자에게 영향을 주지 않고 조직 내의 특정 사용 사례를 대상으로 하는 정책을 만들 수 있습니다.

정책을 구성하는 방법에 대한 세부 정보를 살펴보기 전에 기본 구성을 검토해 보겠습니다.

사용자 로그인 빈도

로그인 빈도는 리소스에 액세스하려고 할 때 사용자에게 다시 로그인하라는 메시지가 표시되는 기간을 정의합니다.

사용자 로그인 빈도에 대한 Microsoft Entra ID 기본 구성은 90일의 롤링 기간입니다. 사용자에게 자격 증명을 요청하는 것은 중요한 것처럼 보일 수 있지만, 생각하지 않고 자격 증명을 입력하도록 학습된 사용자가 실수로 자격 증명을 악의적인 자격 증명 프롬프트에 제공할 수 있는 역효과도 불러올 수 있습니다.

사용자가 다시 로그인하도록 요청하지 않는 것이 걱정스러울 수 있지만 실제로는 IT 정책을 위반하면 세션이 해지됩니다. 일부 이러한 예로는 암호 변경, 비규격 디바이스 또는 계정 비활성화가 포함되며 이에 국한되지 않습니다. Microsoft Graph PowerShell을 사용하여 사용자 세션을 명시적으로 해지할 수도 있습니다. Microsoft Entra ID 기본 구성은 "세션의 보안 상태가 변경되지 않은 경우 사용자에게 자격 증명을 제공하도록 요청하지 마십시오"로 제공됩니다.

로그인 빈도 설정은 표준에 따라 OAuth2 또는 OIDC 프로토콜을 구현하는 앱에서 작동합니다. 다음 웹 애플리케이션을 포함하여 Windows, Mac, 모바일용 Microsoft 네이티브 앱은 대부분 이 설정을 준수합니다.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 관리 포털
  • Exchange Online
  • SharePoint 및 OneDrive
  • 팀 웹 클라이언트
  • Dynamics CRM Online
  • Azure Portal

SIF(로그인 빈도)는 자체 쿠키를 삭제하지 않고 인증을 위해 Microsoft Entra ID로 다시 리디렉션되는 한 OAuth2 또는 OIDC 프로토콜을 구현하는 타사 SAML 애플리케이션 및 앱에서 작동합니다.

사용자 로그인 빈도 및 다단계 인증

이전에는 Microsoft Entra 조인, Microsoft Entra 하이브리드 조인, Microsoft Entra 등록된 디바이스의 첫 번째 단계 인증에만 로그인 빈도가 적용되었습니다. 고객이 해당 디바이스에 다단계 인증을 다시 적용할 수 있는 쉬운 방법은 없었습니다. 고객 피드백에 따라 로그인 빈도는 MFA에도 적용됩니다.

로그인 빈도와 MFA가 함께 작동하는 방법을 보여 주는 다이어그램입니다.

사용자 로그인 빈도 및 디바이스 ID

Microsoft Entra 조인 및 Microsoft Entra 하이브리드 조인 디바이스에서 디바이스 잠금을 해제하거나 대화형으로 로그인하면 4시간마다 PRT(기본 새로 고침 토큰)가 새로 고쳐집니다. 현재 타임스탬프와 비교하여 PRT에 대해 기록된 마지막 새로 고침 타임스탬프는 SIF를 충족하고 기존 MFA 클레임이 있는 PRT에 대한 액세스 권한을 부여하기 위해 PRT에 대한 SIF 정책에 할당된 시간 내에 있어야 합니다. Microsoft Entra 등록 디바이스에서 잠금 해제/로그인은 사용자가 Microsoft Entra 계정을 통해 Microsoft Entra 등록 디바이스에 액세스하지 않으므로 SIF 정책을 충족하지 않습니다. 그러나 Microsoft Entra WAM 플러그 인은 WAM을 사용한 네이티브 애플리케이션 인증 중에 PRT를 새로 고칠 수 있습니다.

참고 항목

사용자 로그인에서 캡처한 타임스탬프가 4시간 새로 고침 주기로 인해 마지막으로 기록된 PRT 새로 고침 타임스탬프와 반드시 동일하지는 않습니다. 동일한 경우는 PRT가 만료되고 사용자 로그인이 4시간 동안 새로 고쳐지는 경우입니다. 다음 예제에서는 SIF 정책이 1시간으로 설정되고 PRT가 00:00에 새로 고쳐진다고 가정합니다.

예제 1: 1시간 동안 SPO에서 동일한 문서에서 계속 작업하는 경우

  • 00:00에 사용자가 Windows 11 Microsoft Entra 조인 디바이스에 로그인하고 SharePoint Online에 저장된 문서에서 작업을 시작합니다.
  • 사용자는 디바이스에서 한 시간 동안 동일한 문서 작업을 계속합니다.
  • 01:00에 사용자에게 다시 로그인하라는 메시지가 표시됩니다. 이 프롬프트는 관리자가 구성한 조건부 액세스 정책의 로그인 빈도 요구 사항을 기반으로 합니다.

예제 2: 브라우저에서 실행 중인 백그라운드 작업 작업을 일시 중지한 다음 SIF 정책 시간이 경과한 후 다시 상호 작용합니다.

  • 00:00에 사용자가 Windows 11 Microsoft Entra 조인 디바이스에 로그인하고 SharePoint Online에 문서를 업로드하기 시작합니다.
  • 00:10에, 사용자는 일어나서 휴식을 취하고 디바이스를 잠급니다. 백그라운드 업로드는 SharePoint Online으로 계속됩니다.
  • 02:45에, 사용자는 휴식을 끝내고 디바이스의 잠금을 해제합니다. 백그라운드 업로드가 완료를 표시합니다.
  • 02:45에 사용자가 다시 상호 작용할 때 로그인하라는 메시지가 표시됩니다. 이 프롬프트는 마지막 로그인이 00:00에 발생한 이후 관리자가 구성한 조건부 액세스 정책의 로그인 빈도 요구 사항을 기반으로 합니다.

클라이언트 앱(활동 세부 정보 아래)이 브라우저인 경우 다음 사용자 상호 작용까지 백그라운드 서비스에 대한 이벤트/정책의 로그인 빈도 적용을 연기합니다. 기밀 클라이언트에서 비대화형 로그인에 대한 로그인 빈도 적용은 다음 대화형 로그인까지 지연됩니다.

예제 3: 잠금 해제에서 기본 새로 고침 토큰의 4시간 새로 고침 주기 사용

시나리오 1 - 사용자가 주기 내에 돌아옴

  • 00:00에 사용자가 Windows 11 Microsoft Entra 조인 디바이스에 로그인하고 SharePoint Online에 저장된 문서에서 작업을 시작합니다.
  • 00:30에 사용자는 일어나서 휴식을 취하고 디바이스를 잠급니다.
  • 00:45에 사용자는 휴식을 끝내고 디바이스의 잠금을 해제합니다.
  • 01:00에 사용자에게 다시 로그인하라는 메시지가 표시됩니다. 이 프롬프트는 초기 로그인 후 1시간 후에 관리자가 구성한 조건부 액세스 정책의 로그인 빈도 요구 사항을 기반으로 합니다.

시나리오 2 - 사용자가 주기를 벗어나 돌아옴

  • 00:00에 사용자가 Windows 11 Microsoft Entra 조인 디바이스에 로그인하고 SharePoint Online에 저장된 문서에서 작업을 시작합니다.
  • 00:30에 사용자는 일어나서 휴식을 취하고 디바이스를 잠급니다.
  • 04:45에, 사용자는 휴식을 끝내고 디바이스의 잠금을 해제합니다.
  • 05:45에 사용자에게 다시 로그인하라는 메시지가 표시됩니다. 이 프롬프트는 관리자가 구성한 조건부 액세스 정책의 로그인 빈도 요구 사항을 기반으로 합니다. PRT가 04:45에 새로 고쳐진 후 1시간, 00:00에 처음 로그인한 후 4시간이 지났습니다.

매번 재인증 필요

사용자가 다음과 같은 특정 작업을 수행할 때마다 고객이 새로운 인증을 요구할 수 있는 시나리오가 있습니다.

  • 중요한 애플리케이션에 액세스
  • VPN 또는 NaaS(Network as a Service) 공급자 뒤에 리소스를 보호합니다.
  • PIM에서 권한 있는 역할 권한 상승 보안
  • Azure Virtual Desktop 머신에 대한 사용자 로그인 보호
  • Microsoft Entra ID Protection으로 식별되는 위험한 사용자 및 위험한 로그인 보호
  • Microsoft Intune 등록과 같은 중요한 사용자 작업 보안

로그인 빈도는 리소스에 클라이언트가 새 토큰을 가져와야 하는 경우의 논리가 있을 때 가장 잘 작동합니다. 이러한 리소스는 세션이 만료되면 사용자를 Microsoft Entra 전용으로 다시 리디렉션합니다.

관리주체는 사용자가 매번 재인증하도록 요구하는 정책을 적용하는 애플리케이션의 수를 제한해야 합니다. 정책에서 매번 선택될 때마다 시계 기울이기를 5분 동안 고려하므로 사용자에게 5분마다 한 번 이상 메시지를 표시하지 않습니다. 재인증이 너무 자주 트리거되면 사용자가 MFA 피로를 경험하고 피싱 시도의 문을 열 수 있는 지점까지 보안 마찰을 증가시킬 수 있습니다. 웹 애플리케이션은 일반적으로 다시 인증이 필요할 때마다 데스크톱에 비해 중단이 적은 환경을 제공합니다.

일반적으로 지원되는 시나리오:

2024년 2월 공개 미리 보기 기능을 사용하면 관리자가 다음을 사용하여 인증을 요구할 수 있습니다.

관리자가 매번 선택하면 세션이 평가될 때 전체 재인증이 필요합니다.

검색 세션의 지속성

영구 브라우저 세션을 사용하면 사용자가 브라우저 창을 닫았다가 다시 연 후 로그인 상태를 유지할 수 있습니다.

브라우저 세션 지속성에 대한 Microsoft Entra ID 기본값을 사용하면 개인 디바이스 사용자가 "로그인 상태를 유지하려고 하나요?"라는 메시지를 표시하여 세션을 유지할지 여부를 선택할 수 있습니다. 인증이 성공한 후에 메시지가 표시됩니다. AD FS Single Sign-On 설정 문서의 지침을 사용하여 AD FS에서 브라우저 지속성을 구성하는 경우 해당 정책을 준수하고 Microsoft Entra 세션도 유지합니다. 또한 회사 브랜딩 창에서 적절한 설정을 변경하여 해당 테넌트의 사용자에게 “로그인 상태를 유지하시겠습니까?” 프롬프트를 표시할지 여부를 구성할 수도 있습니다.

영구 브라우저에서 쿠키는 사용자가 브라우저를 닫은 후에도 사용자의 디바이스에 저장되어 있습니다. 이러한 쿠키는 Microsoft Entra 아티팩트 액세스 권한을 가질 수 있으며, 리소스 환경에 배치된 조건부 액세스 정책에 관계없이 토큰이 만료될 때까지 해당 아티팩트도 사용할 수 있습니다. 따라서 토큰 캐싱은 인증을 위해 원하는 보안 정책을 직접 위반할 수 있습니다. 현재 세션 이외의 토큰을 저장하는 것이 편리해 보일 수 있지만, 이렇게 하면 Microsoft Entra 아티팩트에서 무단으로 액세스할 수 있도록 허용하여 보안 취약성을 만들 수 있습니다.

인증 세션 제어 구성

조건부 액세스는 Microsoft Entra ID P1 또는 P2 기능이며 프리미엄 라이선스가 필요합니다. 조건부 액세스에 대해 자세히 알아보려면 Microsoft Entra ID의 조건부 액세스란?을 참조하세요.

Warning

현재 퍼블릭 미리 보기로 제공되는 구성 가능한 토큰 수명 기능을 사용하는 경우 동일한 사용자 또는 앱 조합에 대해 두 개의 다른 정책(이 기능을 사용하는 하나의 정책 및 구성 가능한 토큰 수명 기능을 사용하는 또 다른 정책)을 생성하도록 지원하지 않습니다. Microsoft는 2021년 1월 30일에 새로 고침 및 세션 토큰 수명에 대해 구성 가능한 토큰 수명 기능을 중단하고 조건부 액세스 인증 세션 관리 기능으로 대체했습니다.

로그인 빈도를 사용하도록 설정하기 전에 테넌트에서 다른 재인증 설정이 사용하지 않도록 설정되어 있는지 확인합니다. "신뢰할 수 있는 디바이스에서 MFA 기억"을 사용하도록 설정한 경우 로그인 빈도를 사용하기 전에 사용하지 않도록 설정해야 합니다. 이 두 설정을 함께 사용하면 사용자에게 예기치 않은 메시지가 표시될 수 있기 때문입니다. 다시 인증 프롬프트 및 세션 수명에 대해 자세히 알아보려면 다시 인증 프롬프트 최적화 및 Microsoft Entra 다단계 인증의 세션 수명 이해 문서를 참조하세요.

다음 단계