1단계: Microsoft Entra ID 및 정책 범위에 SaaS 앱 추가
Microsoft Entra ID는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID는 고객, 파트너 및 직원이 필요한 애플리케이션에 액세스할 수 있도록 보안 인증 및 권한 부여 솔루션을 제공합니다. Microsoft Entra ID, 조건부 액세스, 다단계 인증, SSO(Single Sign-On) 및 자동 사용자 프로비저닝은 ID 및 액세스 관리를 쉽고 안전하게 만듭니다.
SaaS 앱을 Microsoft Entra ID에 통합하여 액세스를 모니터링하고 구성할 수 있습니다. Microsoft Entra ID에는 Microsoft Entra ID로 미리 통합된 SaaS 앱 컬렉션인 애플리케이션 갤러리가 있습니다. 사용자 고유의 사용자 지정 앱을 추가할 수도 있습니다. 자세한 내용은 모든 앱을 Microsoft Entra ID와 통합하기 위한 5단계를 참조하세요.
Microsoft Entra ID에 앱을 추가한 후에는 제로 트러스트 ID 및 디바이스 액세스 정책의 범위에 앱을 포함하여 앱에 액세스하고 특정 조건에 따라 앱에 액세스하는 방법을 구성할 수 있습니다.
이미 클라우드용 Microsoft Defender 앱을 배포한 경우 조직에서 사용되는 SaaS 앱을 검색할 수 있습니다. 자세한 내용은 이 솔루션의 2단계 및 네트워크에서 섀도 IT 검색 및 관리를 참조하세요.
Microsoft Entra ID에 앱 추가
Microsoft Entra ID에 앱을 추가하면 다음을 포함하여 제공하는 서비스를 활용할 수 있습니다.
- 애플리케이션 인증 및 권한 부여
- 사용자 인증 및 권한 부여
- 페더레이션 또는 암호를 사용하는 SSO입니다.
- 사용자 프로비저닝 및 동기화
- Microsoft Entra를 사용하여 애플리케이션 역할을 정의하고 애플리케이션에서 역할 기반 권한 부여 검사 수행하는 역할 기반 액세스 제어입니다.
- OAuth 권한 부여 서비스- Microsoft 365 및 기타 Microsoft 애플리케이션에서 API 및 리소스에 대한 액세스 권한을 부여하는 데 사용됩니다.
- 프라이빗 네트워크에서 인터넷에 애플리케이션을 게시하는 애플리케이션 게시 및 프록시입니다.
- Microsoft Entra ID에 추가 데이터를 저장하는 디렉터리 스키마 확장 특성입니다.
Microsoft Entra ID에 앱을 추가하는 방법에는 여러 가지가 있습니다. 앱 관리를 시작하는 가장 쉬운 방법은 애플리케이션 갤러리를 사용하는 것입니다. 사용자 지정 앱을 추가하는 옵션도 있습니다. 이 섹션에서는 두 가지 방법을 안내합니다.
애플리케이션 갤러리에서 앱 추가
Microsoft Entra ID에는 Microsoft Entra ID로 미리 통합된 SaaS 앱 컬렉션이 포함된 애플리케이션 갤러리가 있습니다. Microsoft Entra 관리 센터에 로그인하고 특정 클라우드 플랫폼, 주요 애플리케이션에서 애플리케이션을 선택하거나 사용하려는 애플리케이션을 검색하기만 하면 됩니다.
자세한 내용은 엔터프라이즈 애플리케이션 추가 및 Microsoft Entra 애플리케이션 갤러리 개요를 참조하세요.
Microsoft Entra 앱 갤러리에서 사용자 지정 앱 추가
사용자 고유의 사용자 지정 클라우드 앱을 개발하고 Microsoft Entra ID에 등록할 수 있습니다. Microsoft Entra ID에 등록하면 Microsoft 365 테넌트에서 제공하는 보안 기능을 활용할 수 있습니다. Microsoft Entra 관리 센터에서 앱 등록에 애플리케이션을 등록하거나 엔터프라이즈 애플리케이션에 새 애플리케이션을 추가할 때 사용자 고유의 애플리케이션 만들기 링크를 사용하여 등록할 수 있습니다.
자세한 내용은 Microsoft Entra ID의 애플리케이션 관리란? 및 Microsoft Entra 애플리케이션 갤러리에 애플리케이션 게시 요청을 참조하세요.
제로 트러스트 ID 및 디바이스 액세스 정책의 범위에 앱 추가
조건부 액세스 정책을 사용하면 특정 애플리케이션, 작업 또는 인증 컨텍스트에 컨트롤을 할당할 수 있습니다. 리소스에 액세스할 수 있는 디바이스 유형, 사용자 위험 수준, 신뢰할 수 있는 위치 및 강력한 인증과 같은 기타 조건과 같은 조건을 정의할 수 있습니다. 예를 들어 MFA(다단계 인증)는 두 번째 형태의 확인을 요구하여 추가 보안으로 데이터 및 애플리케이션에 대한 액세스를 보호하는 데 도움이 됩니다.
Microsoft Entra ID에 앱을 추가한 후에는 제로 트러스트 ID 및 디바이스 액세스 정책의 범위에 앱을 추가해야 합니다.
일반 정책 업데이트
다음 다이어그램에서는 SaaS 및 PaaS 앱에 대한 제로 트러스트 ID 및 디바이스 액세스 정책을 보여 줍니다. SaaS 앱을 포함하도록 범위를 수정해야 하는 일반적인 조건부 액세스 정책 집합을 강조 표시합니다.
각 정책을 업데이트하려면 앱과 해당 종속 서비스가 클라우드 앱 할당에 포함되어 있는지 확인합니다.
이 표에는 공통 ID 및 디바이스 액세스 정책 집합의 각 정책에 대한 링크와 함께 검토해야 하는 정책이 나열되어 있습니다.
| 보호 수준 | 정책 | 설명 |
|---|---|---|
| 출발점 | 로그인 위험이 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 및 종속 서비스가 앱 목록에 포함되어 있는지 확인합니다. |
| 최신 인증을 지원하지 않는 클라이언트 차단 | 클라우드 앱 할당에 앱 및 종속 서비스를 포함합니다. | |
| 위험 수준이 높은 사용자는 암호를 변경해야 합니다. | 계정에 대해 위험 수준이 높은 활동이 감지되면 앱 사용자가 로그인할 때 암호를 변경하도록 합니다. | |
| APP 데이터 보호 정책 적용 | 클라우드 앱 및 종속 서비스가 앱 목록에 포함되어 있는지 확인합니다. 각 플랫폼(iOS, Android, Windows)에 대한 정책을 업데이트합니다. | |
| 엔터프라이즈 | 로그인 위험이 낮거나 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 및 종속 서비스가 앱 목록에 포함되어 있는지 확인합니다. |
| 규격 PC 및 모바일 디바이스 필요 | 클라우드 앱 및 종속 서비스가 앱 목록에 포함되어 있는지 확인합니다. | |
| 특수 보안 | 항상 MFA 필요 | 사용자 ID에 관계없이 조직은 MFA를 사용합니다. |
자세한 내용은 SaaS 앱에 대한 권장 클라우드용 Microsoft Defender 앱 정책을 참조하세요.
다음 단계
2단계를 계속 진행하여 클라우드용 Defender 앱 정책을 만듭니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기