다음을 통해 공유


Intune에서 조건부 액세스를 사용하는 일반적인 방법

Intune에서 사용할 수 있는 조건부 액세스 정책에는 디바이스 기반 조건부 액세스와 앱 기반 조건부 액세스의 두 가지 유형이 있습니다. 각각을 지원하려면 관련 Intune 정책을 구성해야 합니다. Intune 정책이 적용되고 배포되면 조건부 액세스를 사용하여 Exchange에 대한 액세스를 허용 또는 차단하고, 네트워크에 대한 액세스를 제어하거나, Mobile Threat Defense 솔루션과 통합하는 등의 작업을 수행할 수 있습니다.

이 문서에 있는 정보는 Intune 모바일 디바이스 규정 준수 기능 및 Intune 모바일 애플리케이션 관리(MAM) 기능 사용 방법의 이해에 도움이 됩니다.

참고

조건부 액세스는 Microsoft Entra ID P1 또는 P2 라이선스에 포함된 Microsoft Entra 기능입니다. Intune은 솔루션에 모바일 디바이스 호환성과 모바일 앱 관리 기능을 추가하여 이 기능을 향상합니다. Intune에서 액세스하는 조건부 액세스 노드는 Microsoft Entra ID에서 액세스한 것과 동일한 노드입니다.

디바이스 기반 조건부 액세스

Intune 및 Microsoft Entra ID는 관리 및 규격 디바이스만 조직의 전자 메일, Microsoft 365 서비스, SaaS(Software as a Service) 앱 및 온-프레미스 앱에 액세스할 수 있도록 함께 작동합니다. 또한 Microsoft Entra ID에서 정책을 설정하여 도메인에 가입된 컴퓨터 또는 Intune에 등록된 모바일 디바이스만 Microsoft 365 서비스에 액세스할 수 있도록 설정할 수 있습니다.

Intune을 사용하면 디바이스 규정 준수 정책을 배포하여 디바이스가 예상 구성 및 보안 요구 사항을 충족하는지 확인합니다. 규정 준수 정책 평가는 디바이스의 준수 상태를 결정하며, 이 상태는 Intune 및 Microsoft Entra ID 모두에 보고됩니다. 조건부 액세스 정책은 디바이스의 규정 준수 상태를 사용하여 해당 디바이스에서 조직의 리소스에 대한 액세스를 허용하거나 차단할지 여부를 결정할 수 있는 Microsoft Entra ID입니다.

Exchange Online 및 기타 Microsoft 365 제품에 대한 디바이스 기반 조건부 액세스 정책은 Microsoft Intune 관리 센터를 통해 구성됩니다.

참고

사용자가 자신의 Android 개인 소유 회사 프로필 디바이스에서 브라우저 앱을 통해 액세스하는 콘텐츠에 디바이스 기반 액세스를 사용하도록 설정하는 경우 2021년 1월 이전에 등록한 사용자는 다음과 같이 브라우저 액세스를 사용하도록 설정해야 합니다.

  1. 회사 포털 앱을 시작합니다.
  2. 단추에서 설정 페이지로 이동합니다.
  3. 브라우저 액세스 사용 섹션에서 사용 단추를 탭합니다.
  4. 브라우저 앱을 닫았다가 다시 시작합니다.

이렇게 하면 브라우저 앱에서 액세스할 수 있지만 앱 내에서 열리는 브라우저 WebView에는 액세스할 수 없습니다.

Microsoft Intune 제어를 위해 조건부 액세스에서 사용할 수 있는 애플리케이션

Microsoft Entra 관리 센터에서 조건부 액세스를 구성하는 경우 다음 중에서 선택할 수 있는 두 가지 애플리케이션이 있습니다.

  1. Microsoft Intune - 이 애플리케이션은 Microsoft Intune 관리 센터 및 데이터 원본에 대한 액세스를 제어합니다. Microsoft Intune 관리 센터 및 데이터 원본을 대상으로 지정하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다.
  2. Microsoft Intune 등록 - 이 애플리케이션은 등록 워크플로를 제어합니다. 등록 프로세스를 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다. 자세한 내용은 Intune 장치 등록에 다단계 인증 필요를 참조하세요.

네트워크 액세스 제어 기준 조건부 액세스

Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.

사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.

디바이스 위험 기준 조건부 액세스

Intune은 보안 솔루션을 제공하는 Mobile Threat Defense 공급업체와의 제휴를 통해 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 검색합니다.

Intune과 Mobile Threat Defense 통합의 작동 방식

모바일 디바이스에 Mobile Threat Defense 에이전트가 설치되어 있으면 해당 에이전트는 모바일 디바이스 자체에서 위협이 발견되었는지를 보고하는 준수 상태 메시지를 Intune으로 다시 보냅니다.

Intune과 Mobile Threat Defense 통합은 디바이스 위험 기반 조건부 액세스를 결정할 때 중요한 요인으로 작용합니다.

Windows PC에 대한 조건부 액세스

PC에 대한 조건부 액세스는 모바일 디바이스에 사용할 수 있는 것과 유사한 기능을 제공합니다. 이 항목에서는 Intune으로 PC를 관리할 때 조건부 액세스를 사용할 수 있는 방식을 설명합니다.

회사 소유

  • Microsoft Entra 하이브리드 조인: 이 옵션은 AD 그룹 정책 또는 Configuration Manager를 통해 PC를 이미 관리하는 방식에 상당히 익숙한 조직에서 일반적으로 사용됩니다.

  • Microsoft Entra 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 주로 온-프레미스 인프라 사용을 줄이기 위한 목적으로 클라우드 서비스를 사용) 또는 클라우드 전용(온-프레미스 인프라 없음)을 원하는 조직을 위한 것입니다. Microsoft Entra 조인은 하이브리드 환경에서 잘 작동하므로 클라우드 및 온-프레미스 앱과 리소스 모두에 액세스할 수 있습니다. 디바이스는 Microsoft Entra ID에 조인하고 회사 리소스에 액세스할 때 조건부 액세스 조건으로 사용할 수 있는 Intune에 등록됩니다.

BYOD(Bring Your Own Device)

  • 작업 공간 연결 및 Intune 관리: 이 경우 사용자는 개인 디바이스에 연결하여 회사 리소스 및 서비스에 액세스할 수 있습니다. 작업 공간 연결을 사용하여 디바이스를 Intune MDM에 등록하면 디바이스 수준 정책을 수신할 수 있습니다. 이러한 방식은 조건부 액세스 기준을 평가할 수 있는 다른 옵션입니다.

Microsoft Entra ID의 디바이스 관리에 대해 자세히 알아보세요.

앱 기반 조건부 액세스

Intune과 Microsoft Entra ID는 함께 작동하여 관리되는 앱만 회사 전자 메일 또는 기타 Microsoft 365 서비스에 액세스할 수 있도록 합니다.

Exchange 온-프레미스에 대한 Intune 조건부 액세스

조건부 액세스를 사용하면 디바이스 준수 정책 및 등록 상태를 기반으로 Exchange 온-프레미스에 대한 액세스를 허용하거나 차단할 수 있습니다. 조건부 액세스를 디바이스 준수 정책과 함께 사용하면 준수 디바이스에서만 Exchange 온-프레미스에 액세스할 수 있습니다.

다음과 같은 보다 자세한 제어를 위해 조건부 액세스에서 고급 설정을 구성할 수 있습니다.

  • 특정 플랫폼 허용 또는 차단

  • Intune에서 관리하지 않는 디바이스 즉시 차단

디바이스 준수 및 조건부 액세스 정책을 적용하면 Exchange 온-프레미스에 액세스하는 데 사용되는 모든 디바이스에서 준수를 확인합니다.

디바이스가 설정된 조건을 충족하지 않는 경우 최종 사용자에게 디바이스를 등록하고 비규격의 원인이 되는 문제를 해결하는 과정이 안내됩니다.

참고

2020년 7월부터 Exchange Connector 지원이 중단되며 Exchange HMA(하이브리드 최신 인증)로 대체되었습니다. HMA를 사용하기 위해 Intune에서 Exchange Connector를 설정하고 사용할 필요가 없습니다. 이 변경으로 구독에 Exchange 커넥터를 이미 사용하지 않는 한 Intune용 Exchange Connector를 구성하고 관리하는 UI가 Microsoft Intune 관리 센터에서 제거되었습니다.

환경에 Exchange Connector가 설정되어 있으면 Intune 테넌트가 해당 용도로 계속 지원되며 해당 구성을 지원하는 UI에 계속 액세스할 수 있습니다. 자세한 내용은 Exchange 온-프레미스 커넥터 설치를 참조하세요. 커넥터를 계속 사용하거나, HMA를 구성한 후 커넥터를 제거할 수 있습니다.

하이브리드 최신 인증은 이전에 Intune Exchange Connector에서 제공했던 Exchange 레코드에 디바이스 ID 매핑 기능을 제공합니다. 해당 매핑은 이제 Intune에서 만든 구성 또는 Intune과 Exchange를 브리지하기 위한 Intune 커넥터의 요구 사항에 관계없이 발생합니다. HMA를 사용하면 'Intune' 관련 구성(커넥터)을 사용할 필요가 없습니다.

Intune은 어떤 역할을 하나요?

Intune은 디바이스 상태를 평가하고 관리합니다.

Exchange 서버는 어떤 역할을 하나요?

Exchange 서버는 디바이스를 해당 격리로 이동하는 API 및 인프라를 제공합니다.

중요

디바이스를 사용하는 사용자에게 준수 프로필 및 Intune 라이선스가 할당되어 있어야 디바이스의 준수 여부가 평가될 수 있습니다. 사용자에게 규정 준수 정책이 배포되지 않은 경우 디바이스는 준수하는 것으로 간주되며 액세스 제한이 적용되지 않습니다.

다음 단계

Microsoft Entra ID에서 조건부 액세스를 구성하는 방법

앱 기반 조건부 액세스 정책 설정

Exchange 온-프레미스에 대한 조건부 액세스 정책을 만드는 방법