조건부 액세스 정책 계획

  • 8분

조건부 액세스 배포를 계획하는 것은 앱 및 리소스에 대한 조직의 액세스 전략을 구현하는 데 중요합니다.

모바일 우선, 클라우드 우선 환경에서 사용자는 다양한 디바이스와 앱을 사용하여 어디서나 조직의 리소스에 액세스합니다. 따라서 리소스에 액세스할 수 있는 사용자에게만 초점을 맞추는 것은 더 이상 충분하지 않습니다. 또한 사용자의 위치, 사용하는 디바이스, 액세스하는 리소스 등을 고려해야 합니다.

Microsoft Entra CA(조건부 액세스)는 사용자, 디바이스, 위치 등의 신호를 분석하여 결정을 자동화하고 리소스에 대한 조직 액세스 정책을 적용합니다. CA 정책을 사용하여 MFA(다단계 인증)와 같은 액세스 제어를 적용할 수 있습니다. CA 정책을 사용하면 보안이 필요한 경우 사용자에게 MFA를 요청하는 메시지를 표시하고 필요하지 않은 경우 사용자를 방해하지 않을 수 있습니다.

조건부 액세스가 작동하는 방식의 다이어그램. 중앙 집중화된 ID 제공자는 액세스가 부여되기 전에 규칙을 확인합니다.

보안 기본값은 기본 수준의 보안을 보장하지만 조직에는 보안 기본값이 제공하는 것보다 더 많은 유연성이 필요합니다. CA를 사용하여 더 세분화된 보안 기본값을 사용자 지정하고 요구 사항을 충족하는 새 정책을 구성할 수 있습니다.

이점

CA를 배포할 때의 이점은 다음과 같습니다.

  • 생산성을 높이려면, 하나 이상의 신호가 필요할 때에만 MFA 같은 로그인 조건으로 사용자의 로그인을 중단하도록 하십시오. CA 정책을 사용하면 사용자에게 MFA를 요구하는 메시지가 표시되는 경우, 액세스가 차단되는 경우 및 신뢰할 수 있는 디바이스를 사용해야 하는 경우를 제어할 수 있습니다.
  • 위험 관리 - 정책 조건으로 위험 평가를 자동화하면 위험한 로그인이 한 번에 식별되고 수정되거나 차단됩니다. 비정상 이벤트 및 의심스러운 이벤트를 검색하는 ID 보호와 조건부 액세스를 결합하면 리소스에 대한 액세스가 차단되거나 제어될 때 대상을 지정할 수 있습니다.
  • 규정 준수 및 거버넌스 해결 - 조건부 액세스를 사용하면 애플리케이션에 대한 액세스를 감사하고 동의에 대한 사용 약관을 제시하며 규정 준수 정책에 따라 액세스를 제한할 수 있습니다.
  • 비용 관리 - 액세스 정책을 Microsoft Entra ID로 이동하면 CA 및 해당 인프라 비용에 대한 사용자 지정 또는 온-프레미스 솔루션에 대한 의존도가 줄어듭니다.
  • 제로 트러스트 - 조건부 액세스는 제로 트러스트 환경으로 이동하는 데 도움이 됩니다.

조건부 액세스 정책 구성 요소 이해

CA 정책은 if-then 문입니다. 할당이 충족되면 해당 액세스 제어를 적용합니다. 관리자가 CA 정책을 구성하는 경우 조건을 할당이라고 합니다. CA 정책을 사용하면 특정 할당에 따라 조직의 앱에 대한 액세스 제어를 적용할 수 있습니다.

구성을 위해 정책 만들기 화면이 열려 있는 조건부 액세스 대화 상자의 스크린샷

할당은 정책의 영향을 받을 사용자 및 그룹, 정책이 적용되는 클라우드 앱 또는 작업 및 정책이 적용되는 조건을 정의합니다. 액세스 제어 설정은 다른 클라우드 앱에 대한 액세스를 부여하거나 차단하고 특정 클라우드 앱 내에서 제한된 환경을 사용하도록 설정할 수 있습니다.

할당, 액세스 제어 및 세션 컨트롤에 대한 몇 가지 일반적인 질문은 다음과 같습니다.

  • 사용자 및 그룹: 정책에서 포함되거나 제외되는 사용자 및 그룹은 무엇인가요? 이 정책에는 모든 사용자, 특정 사용자 그룹, 디렉터리 역할 또는 외부 사용자가 포함됩니까?
  • 클라우드 앱 또는 작업: 정책이 적용되는 애플리케이션은 어떤 것입니까? 이 정책이 적용되는 사용자 작업은 무엇입니까?
  • 조건: 정책에서 포함되거나 제외되는 디바이스 플랫폼은 무엇인가요? 조직의 신뢰할 수 있는 위치는 무엇입니까?
  • 액세스 제어: MFA, 준수로 표시된 디바이스 또는 Microsoft Entra 하이브리드 조인 디바이스와 같은 요구 사항을 구현하여 리소스에 대한 액세스 권한을 부여하려고 하나요?
  • 세션 컨트롤: 앱 적용 권한 또는 조건부 액세스 앱 제어와 같은 요구 사항을 구현하여 클라우드 앱에 대한 액세스를 제어하시겠나요?

액세스 토큰 발급

액세스 토큰을 통해 클라이언트는 보호된 웹 API를 안전하게 호출할 수 있으며 액세스 토큰은 웹 API에서 인증 및 권한 부여를 수행하는 데 사용됩니다. OAuth 사양에 따라 액세스 토큰은 설정된 형식이 없는 불투명 문자열입니다. 일부 IDP(ID 공급자)는 GUID를 사용합니다. 다른 사용자는 암호화된 BLOB을 사용합니다. Microsoft ID 플랫폼은 토큰을 허용하는 API의 구성에 따라 다양한 액세스 토큰 형식을 사용합니다.

액세스 토큰이 발급되는 방법을 이해해야 합니다.

조건부 액세스를 위한 액세스 토큰 발급 흐름 및 사용 방법 다이어그램.

참고

할당이 필요하지 않고 유효한 CA 정책이 적용되지 않는 경우 기본 동작은 액세스 토큰을 발급하는 것입니다.

예를 들어 다음과 같은 정책을 살펴보겠습니다.

[IF]사용자가 그룹 1에 있으면 [THEN]MFA에서 앱 1에 액세스하도록 강제합니다.

그룹 1에 속하지 않은 사용자가 앱에 액세스하려고 하면 "if" 조건이 충족되고 토큰이 발급됩니다. 그룹 1 외부의 사용자를 제외하고 다른 모든 사용자를 차단하는 별도의 정책이 필요합니다.

모범 사례 준수

조건부 액세스 프레임워크는 뛰어난 구성 유연성을 제공합니다. 그러나 뛰어난 유연성은 바람직하지 않은 결과를 방지하기 위해 각 구성 정책을 릴리스하기 전에 신중하게 검토해야 한다는 것도 의미합니다.

응급 액세스 계정 설정

정책을 잘못 구성하면 조직이 Azure Portal에서 잠길 수 있습니다. 조직에서 둘 이상의 응급 액세스 계정을 만들어 실수로 인한 관리자 잠금을 완화합니다. 이 과정의 뒷부분에서 응급 액세스 계정에 대해 자세히 알아봅니다.

보고서 전용 모드 설정

다음과 같은 일반적인 배포 이니셔티브의 영향을 받는 사용자의 수와 이름은 예측하기가 어려울 수 있습니다.

  • 레거시 인증 차단
  • MFA 요구
  • 로그인 위험 정책 구현

보고 전용 모드를 사용하면 관리자가 환경에서 CA 정책을 활성화하기 전에 해당 정책을 평가할 수 있습니다.

로그인이 필요하지 않은 국가는 제외합니다.

Microsoft Entra ID를 사용하면 이름이 지정된 위치를 만들 수 있습니다. 로그인을 수행할 필요가 없는 모든 국가를 포함하는 명명된 위치를 만듭니다. 그런 다음, 해당하는 명명된 위치에서 로그인을 차단하는 모든 앱 정책을 생성합니다. 관리자는 이 정책에서 제외해야 합니다.

일반 정책

CA 정책 솔루션을 계획하는 경우 다음 결과를 얻기 위해 정책을 만들어야 하는지 여부를 평가합니다.

  • MFA 요구 일반적인 사용 사례에는 관리자, 특정 앱, 모든 사용자 또는 신뢰할 수 없는 네트워크 위치에서 MFA를 요구하는 작업이 포함됩니다.

  • 잠재적으로 손상된 계정에 대한 대응 세 가지 기본 정책을 사용하도록 설정할 수 있습니다. 모든 사용자가 MFA에 등록하고 높은 위험 수준의 사용자에 대한 암호를 변경해야 하며 중간 또는 높은 로그인 위험이 있는 사용자에 대해 MFA를 요구합니다.

  • 관리형 디바이스 필요 클라우드 리소스에 액세스하도록 지원되는 디바이스의 범위가 넓어지면 사용자의 생산성을 개선할 수 있습니다. 보호 수준이 알려지지 않은 디바이스에서 사용자 환경의 특정 리소스에 액세스하는 것을 원하지 않을 수 있습니다. 이러한 리소스의 경우 사용자가 관리 디바이스를 통해서만 해당 리소스에 액세스할 수 있어야 합니다.

  • 승인된 클라이언트 애플리케이션 필요 직원은 자신의 모바일 디바이스를 개인 및 회사 작업 모두에 사용합니다. BYOD 시나리오의 경우 디바이스 전체를 관리할지, 아니면 디바이스의 데이터만 관리할지를 결정해야 합니다. 데이터와 액세스만 관리하는 경우 회사 데이터를 보호할 수 있는 승인된 클라우드 앱이 필요할 수 있습니다.

  • 액세스 차단 액세스를 차단하면 사용자에 대한 다른 모든 할당이 재정의되고 전체 조직이 테넌트에 로그인하지 못하도록 차단할 수 있습니다. 예를 들어 앱을 Microsoft Entra ID로 마이그레이션할 때 사용할 수 있지만 아직 로그인할 준비가 되지 않았습니다. 또한 특정 네트워크 위치가 클라우드 앱에 액세스하거나 레거시 인증을 사용하여 앱을 차단하여 테넌트 리소스에 액세스하지 못하도록 차단할 수 있습니다.

    중요

    모든 사용자에 대한 액세스를 차단하는 정책을 만드는 경우 응급 액세스 계정을 제외해야 하고 모든 관리자를 정책에서 제외하는 것이 좋습니다.

정책 빌드 및 테스트

배포의 각 단계에서 예상된 결과인지를 평가해야 합니다.

새 정책이 준비되면 프로덕션 환경에서 단계별로 배포합니다.

  • 최종 사용자에게 내부 변경 통신을 제공합니다.
  • 작은 사용자 세트로 시작하여 정책이 예상대로 작동하는지 확인합니다.
  • 더 많은 사용자를 포함하도록 정책을 확장하는 경우 모든 관리자를 계속 제외합니다. 관리자를 제외하면 변경이 필요한 경우 누군가가 정책에 계속 액세스할 수 있습니다.
  • 정책을 철저히 테스트한 후에만 모든 사용자에게 적용합니다. 정책이 적용되지 않는 하나 이상의 관리자 계정이 있어야 합니다.

테스트 사용자 만들기

프로덕션 환경의 사용자를 반영하는 테스트 사용자 세트를 만듭니다. 테스트 사용자를 만들면 실제 사용자에게 적용하고 앱 및 리소스에 대한 액세스를 잠재적으로 중단하기 전에 정책이 예상대로 작동하는지 확인할 수 있습니다.

일부 조직에는 이러한 용도의 테스트 테넌트가 있습니다. 그러나 정책의 결과를 완전히 테스트하기 위해 테스트 테넌트에서 모든 조건과 앱을 다시 만들기 어려울 수 있습니다.

테스트 계획 만들기

테스트 계획은 예상 결과와 실제 결과 간에 비교하는 것이 중요합니다. 그러므로 항상 테스트 전에 결과를 예상해야 합니다. 다음 표에는 예제 테스트 사례의 개요가 나와 있습니다. CA 정책이 구성된 방식에 따라 시나리오와 예상 결과를 조정합니다.

정책의 이름 시나리오 예상된 결과
작업할 때 MFA 필요 권한 있는 사용자가 신뢰할 수 있는 위치/회사에 있는 상태에서 앱에 로그인함 사용자에게 MFA를 묻는 메시지가 표시되지 않습니다. 사용자에게 액세스 권한이 부여됩니다. 사용자가 신뢰할 수 있는 위치에서 연결하고 있습니다. 이 경우 MFA를 요구하도록 선택할 수 있습니다.
작업할 때 MFA 필요 권한 있는 사용자가 신뢰할 수 있는 위치/회사에 있지 않은 상태에서 앱에 로그인함 사용자에게 MFA에 대한 메시지가 표시되고 성공적으로 로그인할 수 있음
MFA 요구(관리자의 경우) 전역 관리자가 앱에 로그인함 관리자에게 MFA에 대한 메시지가 표시됨
위험한 로그인 사용자가 승인되지 않은 브라우저를 사용하여 앱에 로그인 사용자에게 MFA를 요구하는 메시지가 표시됨
디바이스 관리 권한 있는 사용자가 권한 있는 디바이스에서 로그인하려고 시도함 액세스 권한 부여됨
디바이스 관리 권한 있는 사용자가 권한 없는 디바이스에서 로그인하려고 시도함 액세스 차단됨
위험한 사용자에 대한 암호 변경 권한 있는 사용자가 손상된 자격 증명을 사용하여 로그인하려고 함(높은 위험 로그인) 사용자에게 암호를 변경하라는 메시지가 표시되거나 정책에 따라 액세스가 차단됨

라이선스 요구 사항

  • 무료 Microsoft Entra ID - 조건부 액세스 없음
  • 무료 Office 365 구독 - 조건부 액세스 없음
  • Microsoft Entra ID Premium 1(또는 Microsoft 365 E3 이상) - 표준 규칙 기반 조건부 액세스 작업
  • Microsoft Entra ID Premium 2 - 조건부 액세스, (ID 보호로부터) 위험한 로그인, 위험한 사용자 및 위험 기반 로그인 옵션 사용 가능