다음을 통해 공유

조건부 액세스 정책을 사용하여 보안 정보 등록 보호

조건부 액세스 정책의 사용자 작업을 통해 사용자가 Microsoft Entra 다단계 인증 및 셀프 서비스 암호 재설정에 등록하는 시기 및 방법에 대한 보안을 설정할 수 있습니다. 이 기능은 결합된 등록을 사용하도록 설정하는 조직에서 사용할 수 있습니다. 이 기능을 사용하면 조직은 등록 프로세스를 조건부 액세스 정책의 모든 애플리케이션과 같이 처리하고 조건 액세스의 모든 기능을 사용하여 환경을 보호할 수 있습니다. Microsoft Authenticator 앱에 로그인하거나 암호 없는 휴대폰 로그인을 사용하도록 설정하는 사용자에게는 이 정책이 적용됩니다.

과거에 일부 조직에서는 등록 환경을 보호하기 위한 수단으로 신뢰할 수 있는 네트워크 위치 또는 디바이스 준수를 사용했을 수 있습니다. Microsoft Entra ID에 임시 액세스 패스 가 추가되면 관리자는 사용자에게 시간 제한 자격 증명을 제공하여 디바이스 또는 위치에서 등록할 수 있습니다. 임시 액세스 패스 자격 증명은 다단계 인증에 대한 조건부 액세스 요구 사항을 충족합니다.

사용자 제외

조건부 액세스 정책은 강력한 도구입니다. 정책에서 다음 계정을 제외하는 것이 좋습니다.

  • 정책 잘못된 구성으로 인한 잠금을 방지하기 위한 비상 액세스 또는 긴급 액세스 계정 모든 관리자가 잠겨 있는 드문 시나리오에서는 응급 액세스 관리 계정을 사용하여 로그인하고 액세스를 복구할 수 있습니다.
  • 서비스 계정 및서비스 주체(예: Microsoft Entra Connect 동기화 계정). 서비스 계정은 특정 사용자에 연결되지 않은 비대화형 계정입니다. 일반적으로 백 엔드 서비스에서 애플리케이션에 대한 프로그래밍 방식 액세스를 허용하는 데 사용되지만 관리 목적으로 시스템에 로그인하는 데도 사용됩니다. 서비스 주체의 호출은 사용자로 범위가 지정된 조건부 액세스 정책에 의해 차단되지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
    • 조직에서 스크립트 또는 코드에서 이러한 계정을 사용하는 경우 관리 ID로 대체합니다.

템플릿 배포

조직은 아래에 설명된 단계에 따라 또는 조건부 액세스 템플릿을 사용하여 이 정책을 배포할 수 있습니다.

보안 등록에 대한 정책 만들기

다음 정책은 통합된 등록 환경을 사용하여 등록을 시도하는 선택된 사용자에게 적용됩니다. 이 정책을 사용하려면 신뢰할 수 있는 네트워크에 없는 사용자가 다단계 인증을 수행해야 합니다. 신뢰할 수 있는 네트워크의 사용자는 이 정책에서 제외됩니다.

경고

외부 인증 방법을 사용하는 경우 현재 인증 강도와 호환되지 않으며 다단계 인증 권한 부여 제어를 사용해야 합니다.

  1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.
  2. Entra ID>조건부 액세스> 정책으로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 이름에 이 정책의 이름을 입력합니다. 예를 들어 TAP과 결합된 보안 정보 등록입니다.
  5. 할당에서 사용자 또는 워크로드 ID를 선택합니다.

    1. 포함에서 모든 사용자를 선택합니다.

      경고

      결합된 등록에 대해 사용자를 활성화해야 합니다.

    2. 제외 항목 아래.

      1. 모든 게스트 및 외부 사용자를 선택합니다.

        참고

        임시 액세스 패스는 게스트 사용자에게 작동하지 않습니다.

      2. 사용자 및 그룹을 선택하고 조직의 긴급 액세스 또는 비상 계정을 선택합니다.

  6. 대상 리소스>사용자 작업에서 보안 정보 등록을 확인합니다.
  7. 조건>위치.
    1. 구성로 설정합니다.
      1. 모든 위치를 포함합니다.
      2. 신뢰할 수 있는 모든 위치를 제외합니다.
  8. 액세스 제어 권한>부여에서 액세스 권한 부여를 선택합니다.
    1. 인증 강도 필요를 선택한 다음, 목록에서 적절한 기본 제공 또는 사용자 지정 인증 강도를 선택합니다.
    2. 선택.
  9. 설정을 확인하고 정책 사용 설정을 보고서 전용으로 설정합니다.
  10. 만들기를 선택하여 정책을 생성하고 적용합니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 기로 이동합니다.

관리자는 등록을 위한 다단계 인증 요구 사항을 충족할 수 있도록 새 사용자에게 임시 액세스 패스 자격 증명을 발급해야 합니다. 이 작업을 수행하는 단계는 Microsoft Entra 관리 센터에서 임시 액세스 패스 만들기 섹션에 있습니다.

조직은 8a단계에서 다단계 인증을 요구하거나, 대신에 다른 권한 부여 컨트롤을 요구하도록 선택할 수 있습니다. 여러 컨트롤을 선택할 때 이 변경을 수행할 때 선택한 컨트롤 중하나 또는 전부를 요구하도록 적절한 라디오 단추 토글을 선택해야 합니다.

게스트 사용자 등록

디렉터리에서 다단계 인증을 등록해야 하는 게스트 사용자의 경우 다음 가이드를 사용하여 신뢰할 수 있는 네트워크 위치 외부에서 등록을 차단하도록 선택할 수 있습니다.

  1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.
  2. Entra ID>조건부 액세스> 정책으로 이동합니다.
  3. 새 정책을 선택합니다.
  4. 이름에 이 정책의 이름을 입력합니다. 예를 들어 신뢰할 수 있는 네트워크에 대한 결합된 보안 정보 등록입니다.
  5. 할당에서 사용자 또는 워크로드 ID를 선택합니다.
    1. 포함에서 모든 게스트 및 외부 사용자를 선택합니다.
  6. 대상 리소스>사용자 작업에서 보안 정보 등록을 확인합니다.
  7. 조건>위치.
    1. 예를 구성합니다.
    2. 모든 위치를 포함합니다.
    3. 신뢰할 수 있는 모든 위치를 제외합니다.
  8. 액세스 제어에서 부여합니다>.
    1. 액세스 차단을 선택합니다.
    2. 그런 다음 선택을 클릭하세요.
  9. 설정을 확인하고 정책 사용 설정을 보고서 전용으로 설정합니다.
  10. 만들기를 선택하여 정책을 생성하고 적용합니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 기로 이동합니다.

관련 콘텐츠

  • Last updated on