Microsoft Entra 조건부 액세스 최적화 에이전트
조건부 액세스 최적화 에이전트를 사용하면 모든 사용자가 정책에 의해 보호되도록 할 수 있습니다. 제로 트러스트 및 Microsoft 학습에 부합하는 모범 사례에 따라 정책 및 변경을 권장합니다.
조건부 액세스 최적화 에이전트는 MFA(다단계 인증) 요구와 같은 정책을 평가합니다. 에이전트는 디바이스 기반 컨트롤(디바이스 준수, 앱 보호 정책 및 도메인 가입 디바이스)을 적용합니다. 마지막으로 에이전트는 레거시 인증 및 디바이스 코드 흐름을 차단하는 데 도움이 될 수 있습니다.
또한 에이전트는 기존의 모든 사용 정책을 평가하여 유사한 정책의 잠재적 통합을 제안합니다.
조건부 액세스 최적화 에이전트를 사용하기 위한 요구 사항
- Microsoft Entra ID P1 라이선스 이상이 있어야 합니다.
- 사용 가능한 SCU(보안 컴퓨팅 단위)가 있어야 합니다.
- 에이전트를 처음 활성화하려면 보안 관리자 이상의 역할이 필요합니다.
- 보안 부조종사 액세스를 사용하여 조건부 액세스 관리자를 할당할 수 있습니다.
- 자세한 내용은 보안 부조종사 액세스 할당을 참조하세요.
- 디바이스 기반 컨트롤에는 Microsoft Intune 라이선스가 필요합니다.
조건부 액세스 최적화 에이전트 주요 기능
조건부 액세스 최적화 에이전트는 테넌트에서 새 사용자 및 애플리케이션을 검사하고 조건부 액세스 정책을 적용할 수 있는지 확인합니다. 주요 기능은 다음과 같습니다.
| 특징 | 설명 |
|---|---|
| MFA 필요 | 에이전트는 MFA가 필요하고 정책을 업데이트할 수 있는 조건부 액세스 정책의 적용을 받지 않는 사용자를 식별합니다. |
| 디바이스 기반 컨트롤 필요 | 에이전트는 디바이스 준수, 앱 보호 정책 및 도메인 가입 디바이스와 같은 디바이스 기반 컨트롤을 적용할 수 있습니다. |
| 레거시 인증 차단 | 레거시 인증을 사용하는 사용자 계정은 로그인이 차단됩니다. |
| 정책 통합 | 에이전트는 정책을 검사하고 겹치는 설정을 식별합니다. 예를 들어 동일한 권한 부여 컨트롤이 있는 정책이 두 개 이상 있는 경우 에이전트는 해당 정책을 하나로 통합할 것을 제안합니다. |
| 디바이스 코드 흐름 차단 | 에이전트는 디바이스 코드 흐름 인증을 차단하는 정책을 찾습니다. |
| 원클릭 수정 | 에이전트가 제안을 식별하면 제안 적용을 선택하여 에이전트가 단추를 한 번 눌러 관련 정책을 업데이트하도록 할 수 있습니다. |
조건부 액세스 최적화 에이전트에 사용해 보기
이 연습에서는 Microsoft Entra에 포함된 보안 Copilot 조건부 액세스 최적화 에이전트의 주요 기능을 살펴봅니다.
탐색할 때 달리 명시하지 않는 한 현재 로그인한 보안 관리자에 대한 정보 및 구성 설정이 표시됩니다.
비고
이 연습의 환경은 제품에서 생성된 시뮬레이션입니다. 제한된 시뮬레이션으로 페이지의 모든 링크가 활성화되는 것은 아니며 지정된 스크립트를 벗어난 텍스트 기반 입력은 지원되지 않습니다. "이 기능은 시뮬레이션 내에서 사용할 수 없습니다"라는 팝업 메시지가 표시됩니다. 이 메시지가 표시되면 확인을 선택하고 연습 단계를 계속합니다.
연습
이 연습을 완료하는 데 약 10분 정도 소요됩니다.
비고
랩 지침에서 시뮬레이션 환경에 대한 링크를 열어야 하는 경우 지침과 연습 환경을 동시에 볼 수 있도록 새 브라우저 창에서 링크를 여는 것이 좋습니다. 이렇게 하려면 마우스 오른쪽 키를 선택하고 옵션을 선택합니다.
- 적어도 보안 관리자 역할로 https://Entra.Microsoft.com (시뮬레이션)을 열기.
보안 부조종사 에이전트 화면을 시작하는 방법에는 두 가지가 있습니다.
- 옵션-1: 60일 동안 무료 보안 코필로트 에이전트 체험 선택
- 옵션-2: 왼쪽 메뉴에서 조건부 액세스를 엽니다. 그런 다음 조건부 액세스 최적화 에이전트를 선택합니다.
두 옵션 중 하나를 사용하여 에이전트를 시작하지만 두 옵션을 모두 사용할 수 있습니다.
옵션-1:
- "무료 60일 평가판" 단추를 선택합니다.
- 페이지에서 세부 정보 보기를 선택합니다.
옵션-2:
- 왼쪽 메뉴에서 조건부 액세스 항목을 엽니다.
- 개요 탭에서 조건부 액세스 최적화 에이전트를 선택합니다.
조건부 액세스 에이전트 살펴보기
- 개요 탭을 검토합니다.
- 에이전트가 활성화되어 있습니다. 에이전트가 마지막으로 실행된 시간과 예정된 일정을 확인합니다.
- 성능 강조 – 에이전트에 대한 SCU(보안 컴퓨팅 단위)의 비용을 검토합니다. 에이전트가 보호할 수 있는 보호되지 않은 사용자 수를 확인합니다.
- 이 에이전트 정보 – 에이전트 및 작동 방식에 대한 빠른 설명입니다.
- 최근 제안 – 모든 기존 조건부 액세스 정책 및 병합, 업데이트, 제거 또는 향상 방법에 대한 제안을 검토합니다.
- 최근 활동 – 조건부 액세스 최적화 에이전트가 실행하려는 마지막 몇 번의 시도 및 결과에 대한 상태입니다.
에이전트가 활성 상태인 상자 내에서 실행 링크 보기를 선택합니다.
에이전트의 프로세스 흐름을 검토하고 마지막 완료 이후 검색된 새 정보를 확인합니다.
- 세 가지 일반적인 액세스 권한 최적화를 검색합니다.
- 앱/애플리케이션 드리프트 – 새 애플리케이션이 배포되었으며 보호해야 합니다.
- 사용자 드리프트 – 새 사용자가 발견되었거나 정책에 의해 보호되지 않는 사용자 권한이 변경되었습니다.
- 정책 병합 – 더 쉽게 관리할 수 있는 동일한 결과를 제공하기 위해 2개 이상의 정책을 병합할 수 있는 위치입니다.
브레드크럼 조건부 액세스 최적화 에이전트를 선택하여 개요 페이지로 돌아갑니다.
위쪽 메뉴에서 활동 탭을 선택합니다. 조건부 액세스 최적화 에이전트가 실행된 시점의 기록과 결과를 검토합니다.
24시간마다 실행되는 조건부 액세스 최적화 에이전트의 진행률을 보려면 여러 가지 활동 보기 단추를 선택합니다.
목록에서 두 번째 항목을 엽니다. 4개의 새 애플리케이션이 발견되었으며 시간이 지남에 따라 권장되는 정책 변경이 있었습니다.
"브레드크럼을 사용하여 개요 페이지로 이동합니다."
탭 메뉴에서 제안을 선택합니다.
제안 기록을 탐색합니다. 에이전트가 실행된 날마다 하나의 항목이 있습니다.
첫 번째 항목에 대한 제안 검토 단추를 선택합니다.
정책은 기존 조건부 액세스 정책에 2개의 사용자를 추가하려고 합니다. 목표는 CA99에 사용자를 추가하는 것입니다. 암호 재설정 정책을 사용하여 위험 사용자를 완화합니다.
페이지 맨 위에 있는 정책 영향 탭을 선택하여 시간이 지남에 따라 이 정책 변경의 그래프를 확인합니다.
정책 세부 정보 탭으로 다시 전환한 다음 정책 변경 내용 검토를 선택하여 제안된 변경 내용과 업데이트할 JSON을 확인합니다.
브라우저 뒤로 단추를 사용하여 개요 페이지로 돌아갑니다.
메뉴에서 제안을 선택합니다.
화면 오른쪽 위에 있는 X 를 선택하여 대화 상자를 닫습니다.
CA-Policies 조건부 액세스 최적화 에이전트 살펴보기
왼쪽 메뉴에서 조건부 액세스를 엽니다.
조건부 액세스 메뉴에서 정책을 선택합니다.
정책 목록을 검토하면 다음 세 가지 유형이 표시됩니다.
- Microsoft – Microsoft에서 발송된 전 세계적인 정책(예를 들어 MFA 필요).
- 사용자 – 조직의 권한 있는 사용자가 만든 조건부 액세스 정책입니다.
- 조건부 액세스 최적화 에이전트 – 검토를 위해 에이전트에서 작성한 보고 전용 정책입니다. 비즈니스 및 보안 목표에 따라 적용하도록 선택할 수 있습니다.
목록에서 아래로 스크롤하여 앞에서 검토한 CA99 정책을 찾습니다.
새 에이전트 제안 항목을 선택합니다.
조건부 액세스 최적화 에이전트는 네 차례에 걸쳐 새 사용자를 찾았으며 각각에 대한 적용 제안이 있습니다.
제안이 수행할 내용에 대한 설명을 읽어 읽습니다.
제안 적용 단추를 선택합니다.
결과 – 에이전트는 매일 사용자를 모니터링하고 위험한 사용자 정책으로 보호되지 않는 사용자를 찾았습니다. 새 사용자를 포함하도록 정책을 업데이트하고 변경할 수 있는 단추를 제공했습니다. 한 단추에서 사용자에 대한 보호를 추가했습니다.
- Microsoft Entra를 종료하여 시뮬레이션을 완료합니다.