조건부 액세스 최적화 에이전트를 사용하면 모든 사용자, 애플리케이션 및 에이전트 ID가 조건부 액세스 정책에 의해 보호되도록 할 수 있습니다. 에이전트는 제로 트러스트 및 Microsoft의 학습에 부합하는 모범 사례를 기반으로 새 정책을 추천하고 기존 정책을 업데이트할 수 있습니다. 또한 에이전트는 정책 구성 오류를 나타낼 수 있는 급증 또는 급락에 대한 인사이트를 제공하는 정책 검토 보고서(미리 보기)를 만듭니다.
조건부 액세스 최적화 에이전트는 MFA(다단계 인증 요구), 디바이스 기반 컨트롤 적용(디바이스 준수, 앱 보호 정책 및 도메인 가입 디바이스) 및 레거시 인증 및 디바이스 코드 흐름 차단과 같은 정책을 평가합니다. 또한 에이전트는 기존의 모든 사용 정책을 평가하여 유사한 정책의 잠재적 통합을 제안합니다. 에이전트가 제안을 식별하면 에이전트가 한 번의 클릭 수정으로 연결된 정책을 업데이트할 수 있습니다.
중요합니다
조건부 액세스 최적화 에이전트의 ServiceNow 및 Microsoft Teams 통합은 현재 미리 보기로 제공됩니다. 이 정보는 릴리스 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.
필수 조건
- Microsoft Entra ID P1 라이선스 이상이 있어야 합니다.
-
사용 가능한 SCU(보안 컴퓨팅 단위)가 있어야 합니다.
- 평균적으로 각 에이전트 실행은 1개 미만의 SCU를 사용합니다.
- 적절한 Microsoft Entra 권한 역할이 있어야 합니다.
- 보안 관리자는에이전트를 처음 활성화해야 합니다.
- 보안 읽기 권한자 및 전역 읽기 권한자 역할은 에이전트 및 제안을 볼 수 있지만 어떤 작업도 수행할 수 없습니다.
- 조건부 액세스 관리자 및 보안 관리자 역할은 에이전트를 보고 제안에 대한 조치를 취할 수 있습니다.
- 조건부 액세스 관리자에게 보안 부조종사 액세스를 할당할 수 있습니다. 그러면 조건부 액세스 관리자도 에이전트를 사용할 수 있습니다.
- 자세한 내용은 보안 부조종사 액세스 할당을 참조하세요.
- 디바이스 기반 컨트롤에는 Microsoft Intune 라이선스가 필요합니다.
- Microsoft Security Copilot에서 개인 정보 보호 및 데이터 보안을 검토합니다.
제한점
- 계정을 사용하여 PIM(Privileged Identity Management)을 사용하여 역할 활성화가 필요한 에이전트를 설정하지 마세요. 대기 권한이 없는 계정을 사용하면 에이전트에 대한 인증 오류가 발생할 수 있습니다.
- 에이전트를 실행하면 중지하거나 일시 중지할 수 없습니다. 실행하는 데 몇 분 정도 걸릴 수 있습니다.
- 정책 통합의 경우 각 에이전트 실행은 4개의 유사한 정책 쌍만 살펴봅니다.
- Microsoft Entra 관리 센터에서 에이전트를 실행하는 것이 좋습니다.
- 스캔은 24시간으로 제한됩니다.
- 에이전트의 제안을 사용자 지정하거나 재정의할 수 없습니다.
- 에이전트는 한 번의 실행으로 최대 300명의 사용자와 150개의 애플리케이션을 검토할 수 있습니다.
작동 방식
조건부 액세스 최적화 에이전트는 지난 24시간 동안 테넌트에서 새 사용자, 애플리케이션 및 에이전트 ID를 검색하고 조건부 액세스 정책이 적용 가능한지 확인합니다. 에이전트가 조건부 액세스 정책으로 보호되지 않는 사용자, 애플리케이션 또는 에이전트 ID를 찾는 경우 조건부 액세스 정책 켜기 또는 수정과 같은 제안된 다음 단계를 제공합니다. 제안 사항, 에이전트가 솔루션을 식별하는 방법 및 정책에 포함될 항목을 검토할 수 있습니다.
에이전트가 실행되면 다음 단계를 수행합니다. 이러한 초기 검사 단계에서는 SCU를 사용하지 않습니다.
- 에이전트는 테넌트에서 모든 조건부 액세스 정책을 검사합니다.
- 에이전트는 정책 간격 및 정책을 결합할 수 있는지 확인합니다.
- 에이전트는 이전 제안을 검토하므로 동일한 정책을 다시 제안하지 않습니다.
에이전트가 이전에 제안되지 않은 항목을 식별하는 경우 다음 단계를 수행합니다. 이러한 에이전트 작업 단계에서는 SCU를 사용합니다.
- 에이전트는 통합할 수 있는 정책 간격 또는 정책 쌍을 식별합니다.
- 에이전트는 사용자가 제공한 사용자 지정 지침을 평가합니다.
- 에이전트는 보고서 전용 모드로 새 정책을 만들거나 사용자 지정 지침에서 제공하는 논리를 포함하여 정책을 수정하는 제안을 제공합니다.
비고
보안 코필로트는 테넌트에 하나 이상의 SCU가 프로비전되어야 하지만 SCU는 SCU를 사용하지 않더라도 매월 청구됩니다. 에이전트를 끄면 SCU에 대한 월별 청구가 중지되지 않습니다.
에이전트에 의해 식별되는 정책 제안은 다음과 같습니다.
- MFA 필요: 에이전트는 MFA가 필요하고 정책을 업데이트할 수 있는 조건부 액세스 정책의 적용을 받지 않는 사용자를 식별합니다.
- 디바이스 기반 컨트롤 필요: 에이전트는 디바이스 준수, 앱 보호 정책 및 도메인 가입 디바이스와 같은 디바이스 기반 컨트롤을 적용할 수 있습니다.
- 레거시 인증 차단: 레거시 인증을 사용하는 사용자 계정의 로그인이 차단됩니다.
- 디바이스 코드 흐름 차단: 에이전트는 디바이스 코드 흐름 인증을 차단하는 정책을 찾습니다.
- 위험한 사용자: 에이전트는 위험 수준이 높은 사용자를 위해 보안 암호 변경을 요구하는 정책을 제안합니다. Microsoft Entra ID P2 라이선스가 필요합니다.
- 위험한 로그인: 에이전트는 고위험 로그인에 다단계 인증을 요구하는 정책을 제안합니다. Microsoft Entra ID P2 라이선스가 필요합니다.
- 위험한 에이전트: 에이전트는 고위험 로그인에 대한 인증을 차단하는 정책을 제안합니다. Microsoft Entra ID P2 라이선스가 필요합니다.
- 정책 통합: 에이전트가 정책을 검사하고 겹치는 설정을 식별합니다. 예를 들어 동일한 권한 부여 컨트롤이 있는 정책이 두 개 이상 있는 경우 에이전트는 해당 정책을 하나로 통합할 것을 제안합니다.
- 심층 분석: 에이전트는 주요 시나리오에 해당하는 정책을 확인하여 권장되는 개수 이상의 예외가 있거나(검사에서 예기치 않은 간격으로 이어지거나) 예외가 없는 이상값 정책을 식별합니다(잠금 가능).
중요합니다
관리자가 제안을 명시적으로 승인하지 않는 한 에이전트는 기존 정책을 변경하지 않습니다.
에이전트에서 제안하는 모든 새 정책은 보고서 전용 모드로 만들어집니다.
두 개 이상의 조건 또는 컨트롤이 다른 경우 두 정책을 통합할 수 있습니다.
시작하기
Microsoft Entra 관리 센터에 최소한 보안 관리자로 로그인합니다.
새 홈페이지에서 에이전트 알림 카드에서 에이전트로 이동을 선택합니다.
- 왼쪽 탐색 메뉴에서 에이전트를 선택할 수도 있습니다.
조건부 액세스 최적화 에이전트 타일에서 세부 정보 보기를 선택합니다.
시작 에이전트를 선택하여 첫 번째 실행을 시작합니다. PIM을 통해 활성화된 역할이 있는 계정을 사용하지 않습니다.
에이전트 개요 페이지가 로드되면 최근 제안 상자에 제안이 표시됩니다. 제안이 식별된 경우 정책을 검토하고, 정책 영향을 확인하고, 필요한 경우 변경 내용을 적용할 수 있습니다. 자세한 내용은 조건부 액세스 에이전트 제안 검토 및 승인을 참조하세요.
설정
에이전트를 사용하도록 설정하면 몇 가지 설정을 조정할 수 있습니다. 변경한 후 페이지 맨 아래에 있는 저장 단추를 선택합니다. Microsoft Entra 관리 센터의 두 위치에서 설정에 액세스할 수 있습니다.
- 에이전트>조건부 액세스 최적화 에이전트>설정에서.
- 조건부 액세스>에서 정책 요약>에서 조건부 액세스 최적화 에이전트 카드를 선택합니다.
Trigger
에이전트는 처음 구성된 시기에 따라 24시간마다 실행되도록 구성됩니다. 트리거 설정을 껐다가 다시 켜서 에이전트가 실행되는 시점을 변경할 수 있습니다.
모니터링할 Microsoft Entra 개체
Microsoft Entra 개체 아래의 확인란을 사용하여 모니터링하여 정책 권장 사항을 만들 때 에이전트가 모니터링해야 하는 항목을 지정합니다. 기본적으로 에이전트는 이전 24시간 동안 테넌트에서 새 사용자와 애플리케이션을 모두 찾습니다.
에이전트 기능
기본적으로 조건부 액세스 최적화 에이전트는 보고서 전용 모드에서 새 정책을 만들 수 있습니다. 관리자가 새 정책을 만들기 전에 승인해야 하므로 이 설정을 변경할 수 있습니다. 정책은 여전히 보고서 전용 모드로 만들어지지만 관리자 승인 후에만 만들어집니다. 정책 영향을 검토한 후 에이전트 환경 또는 조건부 액세스에서 직접 정책을 켤 수 있습니다.
Notifications
미리 보기 기능의 일부로 조건부 액세스 최적화 에이전트는 Microsoft Teams를 통해 선택한 받는 사람 집합에 알림을 보낼 수 있습니다. Microsoft Teams의 조건부 액세스 에이전트 앱을 사용하면 에이전트가 새 제안을 표시할 때 받는 사람이 Teams 채팅에서 직접 알림을 받습니다.
Microsoft Teams에 에이전트 앱을 추가하려면 다음을 수행합니다.
Microsoft Teams의 왼쪽 탐색 메뉴에서 앱을 선택하고 조건부 액세스 에이전트를 검색하여 선택합니다.
추가 단추를 선택한 다음 열기 단추를 선택하여 앱을 엽니다.
앱에 더 쉽게 액세스하려면 왼쪽 탐색 메뉴에서 앱 아이콘을 마우스 오른쪽 단추로 클릭하고 고정을 선택합니다.
조건부 액세스 최적화 에이전트 설정에서 알림을 구성하려면 다음을 수행합니다.
조건부 액세스 최적화 에이전트 설정에서 사용자 및 그룹 선택 링크를 선택합니다.
알림을 받을 사용자 또는 그룹을 선택한 다음 선택 단추를 선택합니다 .
기본 설정 페이지의 맨 아래에서 저장 단추를 선택합니다.
최대 10명의 받는 사람을 선택하여 알림을 받을 수 있습니다. 알림을 받을 그룹을 선택할 수 있지만 해당 그룹의 멤버 자격은 10명의 사용자를 초과할 수 없습니다. 사용자가 10명 미만이지만 나중에 추가되는 그룹을 선택하면 그룹은 더 이상 알림을 받지 않습니다. 마찬가지로 개별 사용자 또는 그룹의 조합과 같은 5개의 개체로만 알림을 보낼 수 있습니다. 알림 수신을 중지하려면 받는 사람 목록에서 사용자 개체 또는 포함된 그룹을 제거합니다.
현재 에이전트의 통신은 한 방향이므로 알림을 받을 수 있지만 Microsoft Teams에서는 응답할 수 없습니다. 제안에 대한 작업을 수행하려면 채팅에서 제안 검토를 선택하여 Microsoft Entra 관리 센터에서 조건부 액세스 최적화 에이전트를 엽니다.
단계적 롤아웃
에이전트가 보고서 전용 모드에서 새 정책을 만들면 정책이 단계적으로 롤아웃되므로 새 정책의 효과를 모니터링할 수 있습니다. 단계적 롤아웃은 기본적으로 설정됩니다.
슬라이더를 끌거나 텍스트 상자에 숫자를 입력하여 각 단계 사이의 일 수를 변경할 수 있습니다. 각 단계 사이의 일 수는 모든 단계에서 동일합니다. 다음 단계가 시작되기 전에 영향을 모니터링할 수 있는 충분한 시간으로 단계적 롤아웃을 시작하고 있으므로 롤아웃을 일시 중지해야 하는 경우 주말이나 휴일에 롤아웃이 시작되지 않도록 합니다.
ID 및 권한
에이전트의 ID 및 사용 권한과 관련하여 고려해야 할 몇 가지 주요 사항이 있습니다.
이제 조건부 액세스 최적화 에이전트는 Microsoft Entra 에이전트 ID를 지원하므로 특정 사용자의 ID가 아닌 자체 ID로 에이전트를 실행할 수 있습니다. 이렇게 하면 보안이 향상되고 관리가 간소화되며 유연성이 향상됩니다.
- 새 설치는 기본적으로 에이전트 ID로 실행됩니다.
- 기존 설치는 특정 사용자 컨텍스트에서 실행되는 것에서 언제든지 에이전트 ID로 실행되도록 전환할 수 있습니다.
- 이 변경 내용은 보고 또는 분석에 영향을 주지 않습니다.
- 기존 정책 및 권장 사항은 영향을 받지 않습니다.
- 고객은 사용자 컨텍스트로 다시 전환할 수 없습니다.
- 보안 관리자 또는 전역 관리자 역할이 있는 Admiins는 에이전트 설정으로 이동한 다음 에이전트 ID 만들기 를 선택하여 전환할 수 있습니다.
보안 관리자는 기본적으로 Security Copilot에 액세스할 수 있습니다. 보안 부조종사 액세스를 사용하여 조건부 액세스 관리자를 할당할 수 있습니다. 이 권한 부여를 통해 조건부 액세스 관리자도 에이전트를 사용할 수 있습니다. 자세한 내용은 보안 부조종사 액세스 할당을 참조하세요.
정책에 사용자를 추가하는 제안을 승인하는 사용자는 정책에 사용자를 추가하는 새 그룹의 소유자가 됩니다.
에이전트가 수행한 작업에 대한 감사 로그는 에이전트를 사용하도록 설정한 사용자 또는 에이전트 ID와 연결됩니다. 설정의 ID 및 사용 권한 섹션에서 계정의 이름을 찾을 수 있습니다.
ServiceNow 통합(미리 보기)
이제 Security Copilot용 ServiceNow 플러그 인을 사용하는 조직은 조건부 액세스 최적화 에이전트가 에이전트에서 생성하는 각 새 제안에 대한 ServiceNow 변경 요청을 만들 수 있습니다. 이를 통해 IT 및 보안 팀은 기존 ServiceNow 워크플로 내에서 에이전트 제안을 추적, 검토 및 승인하거나 거부할 수 있습니다. 현재는 CHG(변경 요청)만 지원됩니다.
ServiceNow 통합을 사용하려면 조직에 ServiceNow 플러그 인 이 구성되어 있어야 합니다.
조건부 액세스 최적화 에이전트 설정에서 ServiceNow 플러그 인이 켜지면 에이전트의 새로운 제안마다 ServiceNow 변경 요청이 생성됩니다. 변경 요청에는 정책 유형, 영향을 받는 사용자 또는 그룹 및 권장 사항의 근거와 같은 제안에 대한 세부 정보가 포함됩니다. 또한 통합은 피드백 루프를 제공합니다. 에이전트는 ServiceNow 변경 요청의 상태를 모니터링하고 변경 요청이 승인될 때 변경 사항을 자동으로 구현할 수 있습니다.
사용자 지정 지침
선택적 사용자 지정 지침 필드를 사용하여 필요에 맞게 정책을 조정할 수 있습니다. 이 설정을 사용하면 에이전트 실행의 일부로 에이전트에 프롬프트를 제공할 수 있습니다. 다음 지침을 사용하여 다음을 수행할 수 있습니다.
- 특정 사용자, 그룹 및 역할 포함 또는 제외
- 에이전트가 고려하지 않거나 조건부 액세스 정책에 추가하지 않는 개체 제외
- 정책에서 특정 그룹을 제외하거나, MFA를 요구하거나, 모바일 애플리케이션 관리 정책을 요구하는 등의 특정 정책에 예외를 적용합니다.
사용자 지정 지침에 이름 또는 개체 ID를 입력할 수 있습니다. 두 값 모두 유효성이 검사됩니다. 그룹 이름을 추가하면 해당 그룹의 개체 ID가 자동으로 사용자를 대신하여 추가됩니다. 사용자 지정 지침 예제:
- "다단계 인증이 필요한 정책에서 "Break Glass" 그룹의 사용자를 제외합니다."
- "모든 정책에서 개체 ID ddddd-3333-4444-5555-eeeeeeeeeeee를 가진 사용자 제외"
일반적인 시나리오는 조직에 에이전트가 표준 조건부 액세스 정책에 추가하도록 제안하지 않으려는 게스트 사용자가 많은 경우입니다. 에이전트가 실행되고 권장 정책이 적용되지 않는 새 게스트 사용자를 볼 경우 SCU는 필요하지 않은 정책으로 해당 게스트 사용자를 포함하도록 제안하는 데 소비됩니다. 게스트 사용자가 에이전트에서 고려되지 않도록 하려면 다음을 수행합니다.
- 여기서 "게스트"
(user.userType -eq "guest")라는 동적 그룹을 만듭니다. - 필요에 따라 사용자 지정 명령을 추가합니다.
- "에이전트 고려 사항에서 "게스트" 그룹을 제외합니다."
- "모바일 애플리케이션 관리 정책에서 "게스트" 그룹을 제외합니다."
사용자 지정 지침을 사용하는 방법에 대한 자세한 내용은 다음 비디오를 확인하세요.
사용자 인터페이스 요소와 같은 비디오의 일부 콘텐츠는 에이전트가 자주 업데이트될 때 변경될 수 있습니다.
Intune 통합
조건부 액세스 최적화 에이전트는 Microsoft Intune과 통합되어 Intune에 구성된 디바이스 준수 및 애플리케이션 보호 정책을 모니터링하고 조건부 액세스 적용에서 잠재적인 격차를 식별합니다. 이러한 사전 예방 및 자동화된 접근 방식을 통해 조건부 액세스 정책이 조직의 보안 목표 및 규정 준수 요구 사항에 맞게 유지됩니다. 에이전트 제안은 Intune이 에이전트에 신호의 일부를 제공한다는 점을 제외하고 다른 정책 제안과 동일합니다.
Intune 시나리오에 대한 에이전트 제안은 특정 사용자 그룹 및 플랫폼(iOS 또는 Android)을 다룹니다. 예를 들어 에이전트는 "재무" 그룹을 대상으로 하는 활성 Intune 앱 보호 정책을 식별하지만 앱 보호를 적용하는 충분한 조건부 액세스 정책이 없다고 확인합니다. 에이전트는 사용자가 iOS 디바이스의 규격 애플리케이션을 통해서만 리소스에 액세스하도록 요구하는 보고서 전용 정책을 만듭니다.
Intune 디바이스 준수 및 앱 보호 정책을 식별하려면 에이전트가 전역 관리자 또는 조건부 액세스 관리자 및 전역 읽기 권한자로 실행되어야 합니다. 조건부 액세스 관리자 역할은 에이전트가 Intune 권장 사항을 생성하는 데 충분하지 않습니다.
글로벌 보안 액세스 통합
Microsoft Entra Internet Access 및 Microsoft Entra Private Access(전역 보안 액세스라고도 함)는 조건부 액세스 최적화 에이전트와 통합되어 조직의 네트워크 액세스 정책과 관련된 제안을 제공합니다. 글로벌 보안 액세스 네트워크 액세스 요구 사항을 적용하는 새 정책을 켜는 제안 사항은 네트워크 위치 및 보호된 애플리케이션을 포함하는 글로벌 보안 액세스 정책을 조정하는 데 도움이 됩니다.
이 통합을 통해 에이전트는 승인된 전역 보안 액세스 채널을 통해서만 회사 리소스에 대한 액세스를 요구하도록 조건부 액세스 정책에서 다루지 않는 사용자 또는 그룹을 식별합니다. 이 정책을 사용하려면 사용자가 회사 앱 및 데이터에 액세스하기 전에 조직의 보안 글로벌 보안 액세스 네트워크를 사용하여 회사 리소스에 연결해야 합니다. 관리되지 않거나 신뢰할 수 없는 네트워크에서 연결하는 사용자에게 Global Secure Access 클라이언트 또는 웹 게이트웨이를 사용하라는 메시지가 표시됩니다. 로그인 로그를 검토하여 준수하는 연결을 확인할 수 있습니다.
에이전트 제거
조건부 액세스 최적화 에이전트를 더 이상 사용하지 않으려는 경우 에이전트 창 위쪽에서 에이전트 제거 를 선택합니다. 기존 데이터(에이전트 활동, 제안 및 메트릭)는 제거되지만 에이전트 제안에 따라 생성되거나 업데이트된 모든 정책은 그대로 유지됩니다. 이전에 적용된 제안은 변경되지 않은 상태로 유지되므로 에이전트에서 만들거나 수정한 정책을 계속 사용할 수 있습니다.
사용자 의견 제공
에이전트 창 맨 위에 있는 Microsoft 피드백 제공 단추를 사용하여 에이전트에 대한 피드백을 Microsoft에 제공합니다.
자주 묻는 질문 (FAQ)
조건부 액세스 최적화 에이전트와 Copilot 채팅은 언제 사용해야 하나요?
두 기능 모두 조건부 액세스 정책에 대한 다양한 인사이트를 제공합니다. 다음 표에서는 두 기능을 비교합니다.
| Scenario | 조건부 액세스 최적화 에이전트 | 부조종사 채팅 |
|---|---|---|
| 일반 시나리오 | ||
| 테넌트별 구성 활용 | ✅ | |
| 고급 추론 | ✅ | |
| 주문형 인사이트 | ✅ | |
| 대화형 문제 해결 | ✅ | |
| 지속적인 정책 평가 | ✅ | |
| 자동화된 개선 제안 | ✅ | |
| CA 모범 사례 및 구성에 대한 지침 가져오기 | ✅ | ✅ |
| 특정 시나리오 | ||
| 보호되지 않는 사용자 또는 애플리케이션을 사전에 식별 | ✅ | |
| 모든 사용자에 대해 MFA 및 기타 기준 컨트롤 적용 | ✅ | |
| CA 정책의 지속적인 모니터링 및 최적화 | ✅ | |
| 원클릭 정책 변경 | ✅ | |
| 기존 CA 정책 및 할당 검토(Alice에 정책이 적용합니까?) | ✅ | ✅ |
| 사용자의 액세스 문제 해결(Alice가 MFA를 요청하는 이유는 무엇인가요?) | ✅ |
에이전트를 활성화했지만 활동 상태에 "실패"가 표시됩니다. 무슨 일이죠?
PIM(Privileged Identity Management)을 사용하여 역할 활성화가 필요한 계정으로 에이전트를 사용하도록 설정했을 수 있습니다. 따라서 에이전트가 실행을 시도했을 때 해당 당시 계정에 필요한 권한이 없어서 실패했습니다. PIM 권한이 만료된 경우 다시 인증하라는 메시지가 표시됩니다.
에이전트를 제거한 다음 보안 Copilot 액세스에 대한 상주 권한이 있는 사용자 계정으로 에이전트를 다시 사용하도록 설정하여 이 문제를 해결할 수 있습니다. 자세한 내용은 보안 부조종사 액세스 할당을 참조하세요.