자율 에이전트에 대한 권장 정책

이 가이드를 사용하여 로그인한 사용자 없이 자신의 ID로 인증하는 에이전트에 대한 조건부 액세스를 구성합니다. 액세스 패턴은 알려진 클라이언트 자격 증명 흐름입니다. 에이전트는 사용자를 대신하여 작업하는 대신 자체 자격 증명(인증서와 쌍을 이루는 클라이언트 ID 또는 에이전트 ID 청사진에서 관리하는 관리 ID)으로 인증합니다. 이 액세스 패턴은 다음 시나리오에 적용됩니다.

• 독립적으로 작동하는 자율 에이전트:
  • 이러한 에이전트는 백그라운드에서 실행되어 이벤트에 응답하거나 일정에 따라 실행됩니다. 일반적인 예는 일별 보고서를 생성하고 결과를 직원 그룹에 보내는 에이전트입니다. 이 시나리오에서는 사용자가 없고 에이전트가 자체적으로 작동합니다.
• 항상 사용자를 대신하여 동작하지 않는 에이전트:
  • 때로는 에이전트가 전적으로 자체적으로 작동합니다. 예를 들어 사용자가 액세스할 수 없는 백 엔드 SMS 서비스입니다. 이 시나리오에서는 OBO 흐름을 적용할 수 없으며 에이전트는 자체 ID로 직접 인증하여 대상 리소스에 액세스합니다.
• 공개적으로 사용하기 위해 웹에 게시된 에이전트:
  • 이러한 에이전트는 사용자를 인증하지 않거나 사용자의 컨텍스트를 다운스트림 리소스에 위임하는 것을 지원하지 않습니다.

이러한 시나리오에서 에이전트는 액세스를 요청하는 에이전트이며 발급된 액세스 토큰의 주체는 사용자가 아닌 에이전트 ID 입니다. 따라서 조건부 액세스 정책 범위는 사용자가 아닌 에이전트 ID에 적용됩니다.

중요합니다

조건부 액세스 정책을 구성하기 전에 에이전트에 대한 조건부 액세스를 읽어보세요 . 모든 시나리오를 다루고 회사 데이터 및 서비스가 잘 보호되도록 하기 위해 인증 흐름, 서비스 경계 및 제한 사항을 다룹니다.

특정 에이전트만 리소스에 액세스하도록 허용

조건부 액세스 정책이 에이전트를 효과적으로 관리하는 데 도움이 되는 두 가지 주요 비즈니스 시나리오가 있습니다. 첫 번째 시나리오에서는 승인된 에이전트만 리소스에 액세스할 수 있도록 할 수 있습니다. 정책에서 대상으로 지정된 사용자 지정 보안 특성을 사용하여 에이전트 및 리소스에 태그를 지정하거나 향상된 개체 선택기를 사용하여 수동으로 선택하여 이 작업을 수행할 수 있습니다.

향상된 개체 선택기 사용

향상된 개체 선택기를 사용하여 조건부 액세스 정책 만들기

또는 조직에서 검토 및 승인한 에이전트를 제외한 모든 에이전트를 차단하는 향상된 개체 선택기를 사용하여 조건부 액세스 정책을 만들 수 있습니다.

향상된 개체 선택기는 정책 구성의 할당 및 대상 리소스 섹션 모두에서 이전의 플랫 목록 환경을 대체합니다. 새 환경은 정책에서 범위를 지정할 항목의 선택을 간소화하기 위한 것입니다.

1. Microsoft Entra 관리 센터에 적어도 조건부 액세스 관리자 자격으로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 ID를 선택합니다.
      2. 제외:
         1. 개별 에이전트 ID 선택을 선택합니다.
         2. 향상된 개체 선택기를 사용하여 탭 모두, 에이전트 청사진 보안 주체 및 에이전트 ID 간에 전환하여 사용자 환경에서 사용하도록 승인된 개별 에이전트 청사진 및/또는 에이전트 ID를 선택합니다.
         3. 선택을 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 차단을 선택합니다.
   2. 선택을 선택합니다.
8. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
9. 만들기를 선택하여 정책을 만듭니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.

사용자 지정 보안 특성 사용

사용자 지정 보안 특성을 사용하여 조건부 액세스 정책 만들기

첫 번째 시나리오에 권장되는 방법은 각 에이전트 또는 에이전트 청사진에 사용자 지정 보안 특성을 만들고 할당한 다음 조건부 액세스 정책을 사용하여 해당 특성을 대상으로 지정하는 것입니다. 이 방법은 조건부 액세스 정책의 애플리케이션에 대한 필터에 설명된 것과 유사한 단계를 사용합니다. 여러 특성 집합의 특성을 에이전트 또는 클라우드 애플리케이션에 할당할 수 있습니다.

사용자 지정 특성 만들기 및 할당

1. 사용자 지정 보안 특성을 만듭니다.
   1. AgentAttributes라는 특성 집합을 만듭니다.
   2. 여러 값을 할당하고미리 정의된 값만 할당하도록 허용하는AgentApprovalStatus라는 새 특성을 만듭니다.
      1. 다음의 미리 정의된 값들을 추가합니다: New, In_Review, HR_Approved, Finance_Approved, IT_Approved.
2. 에이전트가 액세스할 수 있는 리소스를 그룹화하도록 다른 특성 집합을 만듭니다.
   1. ResourceAttributes라는 특성 집합을 만듭니다.
   2. 여러 값을 할당하고미리 정의된 값만 할당하도록 허용하는Department라는 새 특성을 만듭니다.
      1. 재무, HR, IT, 마케팅, 영업 등 미리 정의된 값을 추가합니다.
3. 에이전트가 액세스할 수 있는 리소스에 적절한 값을 할당합니다. 예를 들어 HR_Approved 에이전트만 HR 태그가 지정된 리소스에 액세스할 수 있도록 할 수 있습니다.

조건부 액세스 정책 만들기

이전 단계를 완료한 후 사용자 지정 보안 특성을 사용하여 조건부 액세스 정책을 만들어 조직에서 검토 및 승인한 에이전트를 제외한 모든 에이전트를 차단합니다.

1. Microsoft Entra 관리 센터에 최소 조건부 액세스 관리자 및 특성 할당 읽기 권한자로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 ID를 선택합니다.
      2. 제외:
         1. 특성에 따라 에이전트 ID 선택을 선택합니다.
         2. 구성을 예로 설정합니다.
         3. 이전에 만든 AgentApprovalStatus 특성을 선택합니다.
         4. 연산자를 포함으로 설정합니다.
         5. 값을 HR_Approved로 설정합니다.
         6. 완료를 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 차단을 선택합니다.
   2. 선택을 선택합니다.
8. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
9. 만들기를 선택하여 정책을 만듭니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.

고위험 에이전트가 조직 리소스에 액세스하지 못하도록 차단

두 번째 시나리오에서 조직은 Microsoft Entra ID Protection의 신호를 기반으로 고위험 에이전트를 차단하는 조건부 액세스 정책을 만들 수 있습니다. 에이전트에 대한 위험 검색 유형 및 응답 작업에 대한 자세한 내용은 에이전트에 대한 ID 보호를 참조하세요.

다음 단계에서는 모든 고위험 에이전트가 조직의 리소스에 액세스하지 못하도록 차단하는 조건부 액세스 정책을 만듭니다.

1. Microsoft Entra 관리 센터에 적어도 조건부 액세스 관리자 자격으로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 ID를 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 조건>에이전트 위험(미리 보기)에서 구성을 예로 설정합니다.
   1. 정책을 적용하는 데 필요한 에이전트 위험 수준 구성에서 [높음]을 선택합니다. 이 지침은 Microsoft 권장 사항을 기반으로 하며 조직마다 다를 수 있습니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 차단을 선택합니다.
   2. 선택을 선택합니다.
9. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
10. 만들기를 선택하여 정책을 사용하도록 설정합니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.

자율 에이전트의 사용자 계정에 대한 정책

일부 자치 에이전트는 자체 사서함, 그룹 멤버 자격 및 엔터프라이즈 ID를 가진 사용자처럼 작동할 수 있습니다. 이러한 에이전트는 에이전트 ID 대신 에이전트 의 사용자 계정을 사용합니다.

조건부 액세스는 이러한 사용자와 유사한 자율 에이전트로 정책 적용을 확장합니다. 관리자는 다음을 수행할 수 있습니다.

• 모든 에이전트 사용자를 대상으로 지정하거나 특정 에이전트 사용자를 선택합니다.
• 사용자 지정 보안 특성을 사용하여 정책 적용
• 에이전트 위험 조건을 적용하여 위험한 에이전트 차단
• 에이전트 실행 환경 조건을 사용하여 엔드포인트에서 실행되는 에이전트로 정책 범위 지정
• 관리형 엔드포인트에서 실행되는 에이전트에 디바이스 규정 준수 적용(Windows 365 클라우드 PC)
• 전역 보안 액세스 클라이언트를 사용하여 에이전트에 대한 규정 준수 네트워크 위치 적용

자체 ID로 작동하는 에이전트에 대한 조건부 액세스 정책을 만들려면 다음 설정을 사용합니다.

• 할당: 에이전트 액세스 흐름에서 액세스 토큰이 에이전트 ID(토큰 주체)에 발급되므로 에이전트 또는 해당 에이전트 ID 청사진에 정책을 할당합니다.
• 대상 리소스: 에이전트가 액세스하는 데 필요한 리소스를 선택합니다.
• 조건: 에이전트가 위험에 처해 있는지 여부를 구성합니다. 자세한 내용은 에이전트에 대한 ID 보호를 참조하세요.
• 액세스 제어: 이 에이전트는 자체 ID를 사용하여 리소스에 액세스하므로 수정이 없으며 사용 가능한 유일한 옵션은 액세스를 차단하는 것입니다.

위험한 에이전트의 사용자 계정 차단

이 정책은 Microsoft Entra ID Protection가 중간 또는 높은 위험을 감지할 때 사용자로 작동하는 자율 에이전트를 차단합니다.

1. Microsoft Entra 관리 센터에 적어도 조건부 액세스 관리자 자격으로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 사용자(미리 보기)를 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 조건>에이전트 위험(미리 보기)에서 구성을 예로 설정합니다.
   1. 정책을 적용하는 데 필요한 에이전트 위험 수준 구성에서 중간 및 높음 을 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 차단을 선택합니다.
   2. 선택을 선택합니다.
9. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
10. 만들기를 선택하여 정책을 사용하도록 설정합니다.

에이전트의 사용자 계정에 대한 규격 디바이스 필요

일부 자율 에이전트는 컴퓨터를 사용하는 에이전트입니다. 사용자 사용자가 애플리케이션과 상호 작용하는 방식과 유사하게 데스크톱 환경을 운영하여 작업을 완료합니다. 이러한 에이전트는 일반적으로 Intune 관리 Windows 디바이스인 전용 Windows 365 에이전트용 클라우드 PC에서 실행됩니다. 클라우드 PC는 관리형 엔드포인트이므로 직원의 랩톱과 마찬가지로 조건부 액세스에서 준수 상태를 평가할 수 있습니다.

그러나 모든 에이전트가 엔드포인트에서 실행되는 것은 아닙니다. Microsoft 인프라에서 직접 실행되는 에이전트에는 연결된 디바이스가 없습니다. 이 조건으로 범위가 지정된 정책은 의도하지 않은 차단을 방지하는 클라우드 네이티브 에이전트에는 적용되지 않습니다.

에이전트 실행 환경(미리 보기) 조건은 엔드포인트에서 에이전트 사용자 세션이 시작될 때만 적용되도록 정책을 제한하여 이 문제를 해결합니다. 디바이스가 없는 클라우드 네이티브 에이전트는 평가에서 완전히 제외됩니다.

메모

에이전트는 모든 컴퓨터에서 기술적으로 실행할 수 있습니다. 그러나 디바이스 규정 준수 검사에는 Intune 등록이 필요하며, 현재 에이전트용 Windows 365 클라우드 PC에서만 지원됩니다. 이 정책의 범위를 지정하는 에이전트 실행 환경 조건이 없으면 클라우드 인프라에서 실행되는 에이전트는 규정 준수 경로 없이 차단됩니다.

1. Microsoft Entra 관리 센터에 적어도 조건부 액세스 관리자 자격으로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 사용자(미리 보기)를 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 조건>에이전트 실행 환경(미리 보기)에서 구성을 예로 설정합니다.
   1. 포함에서 엔드포인트에서 시작된 에이전트 사용자 세션을 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여를 선택합니다.
   2. 디바이스를 준수 상태로 표시하도록 요구를 선택합니다.
   3. 선택을 선택합니다.
9. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
10. 만들기를 선택하여 정책을 사용하도록 설정합니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.

에이전트의 사용자 계정에 대한 규격 네트워크 필요

디바이스 규정 준수와 마찬가지로 엔드포인트에서 실행되는 에이전트가 Global Secure Access를 사용하여 규격 네트워크를 통해 연결하도록 요구할 수 있습니다. 엔드포인트에 설치된 전역 보안 액세스 클라이언트는 조건부 액세스가 평가하는 네트워크 위치 신호를 제공합니다.

에이전트 실행 환경(미리 보기) 조건을 사용하여 이 정책의 범위를 엔드포인트 기반 세션으로만 지정합니다. 이 조건이 없으면 글로벌 보안 액세스 클라이언트가 없는 클라우드 네이티브 에이전트는 규정 준수 경로 없이 차단됩니다.

1. Microsoft Entra 관리 센터에 적어도 조건부 액세스 관리자 자격으로 로그인합니다.
2. Entra ID>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 정책에 이름을 지정합니다. 정책 이름에 대한 의미 있는 표준을 만듭니다.
5. 할당에서 사용자, 에이전트 또는 워크로드 ID를 선택합니다.
   1. 이 정책이 적용되는 대상에서 에이전트를 선택합니다.
      1. 포함에서 모든 에이전트 사용자(미리 보기)를 선택합니다.
6. 대상 리소스에서:
   1. 포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
7. 조건>에이전트 실행 환경(미리 보기)에서 구성을 예로 설정합니다.
   1. 포함에서 엔드포인트에서 시작된 에이전트 사용자 세션을 선택합니다.
8. 액세스 제어>권한 부여에서 다음을 수행합니다.
   1. 액세스 권한 부여를 선택합니다.
   2. 준수 네트워크 필요를 선택합니다.
   3. 선택을 선택합니다.
9. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.
10. 만들기를 선택하여 정책을 사용하도록 설정합니다.

정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.

관련 콘텐츠

• 조직에서 에이전트 ID 관리 - 전체 수명 주기의 에이전트 관리 개요입니다.
• 에이전트에 대한 조건부 액세스
• 조건부 액세스 템플릿 정책
• 조건부 액세스: 사용자, 그룹, 에이전트 및 워크로드 ID
• 조건부 액세스: 대상 리소스
• 조건부 액세스: 조건
• 조건부 액세스 권한 부여
• Microsoft Entra 에이전트 ID를 사용하는 AI 보안
• Microsoft Entra ID 보호 및 에이전트