다음을 통해 공유

Windows 365 Link 대한 조건부 액세스 정책

참고

Windows 365 Link 12월 품질 업데이트 버전 26100.7462가 릴리스되면 디바이스에 로그인한 후 사용자에게 추가 대화형 인증 요청을 요청하는 메시지가 표시될 수 있습니다. 즉, 등록 또는 조인 디바이스의 사용자 작업에 대한 MFA 조건부 액세스 정책이 있는지 확인하기 위한 아래 단계는 이 버전 이상인 경우 사용자 환경에서 Windows 365 Link 사용하기 위해 더 이상 필수가 아닙니다. 이러한 단계는 여전히 권장되는 모범 사례이며 Microsoft는 환경의 모든 Windows 365 Link 디바이스가 버전 26100.7462 이상인 경우에도 디바이스 등록 또는 조인의 사용자 작업에 대한 조건부 액세스 정책을 구현하는 것이 좋습니다.

Windows 365 Link 지원하도록 organization 환경을 설정하는 과정의 일환으로 조건부 액세스 정책이 Windows 365 Link 디바이스의 로그인과 연결을 모두 수용하도록 해야 합니다. 조건부 액세스를 사용하여 Windows 365 대한 조건부 액세스 정책 설정에 설명된 대로 Windows 365 클라우드 PC에 액세스하는 데 사용되는 리소스를 보호하는 경우 다른 조건부 액세스 정책을 사용하여 디바이스를 등록하거나 조인하는 사용자 작업을 보호해야 합니다. 이 두 번째 정책을 만들지 않으면 Windows 365 Link 인증이 실패할 수 있습니다.

사용자 작업 정책이 필요한지 여부를 결정하려면 다음 단계를 수행합니다.

  1. Windows 365 리소스에 연결할 때 정책이 트리거되는지 확인합니다.
  2. 동일한 액세스 제어를 사용하여 새 사용자 작업 정책을 만듭니다.

Windows 365 클라우드 PC 디바이스는 다음 두 단계 연속으로 인증됩니다.

  1. 대화형 로그인: 사용자가 Windows 365 Link 로그인 화면에서 로그인하면 디바이스 등록 또는 조인 작업에 적용되는 조건부 액세스 정책을 트리거할 수 있습니다. 사용자에게 메시지를 표시하거나 더 강력한 다단계 인증 방법에 대해 이의를 제기할 수 있습니다. 이 단계에서는 두 번째 단계에서 사용되는 토큰을 생성합니다.

  2. Single Sign-On을 사용하여 클라우드 PC 리소스에 대한 비대화형 연결: 이 단계에서는 Windows 365, Windows Cloud Login모든 리소스와 같은 리소스에 적용되는 경우 조건부 액세스 정책을 트리거할 수 있습니다. 이 단계에서는 사용자에게 프롬프트를 표시하거나 이의를 제기할 수 없습니다. 더 강력한 인증이 필요한 경우 연결이 중단되고 사용자에게 대화형 창을 표시할 수 없다는 오류가 표시됩니다.

기존 정책 검토

What if 도구를 사용하여 비대화형 연결 단계에서 관련 Windows 365 리소스에 조건부 액세스 정책이 적용되는지 확인할 수 있습니다. 여기에는 모든 리소스 (이전의 모든 클라우드 앱)에 적용되는 정책이 포함됩니다.

  1. Microsoft Entra 관리 센터>Protection>조건부 액세스>정책에> 로그인합니다.
  2. 사용자 또는 워크로드 ID의 경우 테스트할 사용자를 선택합니다.
  3. 클라우드 앱, 작업 또는 인증 컨텍스트의 경우 모든 클라우드 앱을 선택합니다.
  4. 대상 선택 유형에서 클라우드 앱을 선택한 상태로 둡니다.
  5. 앱 선택을 선택한 다음, 사용 가능한 경우 다음 리소스를 선택합니다.
    • Windows 365(앱 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop(앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Windows 클라우드 로그인 (앱 ID 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. What If를 선택합니다.

적용할 각 정책을 검토하고 해당 리소스 및 세션 설정에 대한 액세스 권한을 부여하는 데 사용되는 액세스 제어를 결정합니다. 다음 섹션에서 새 사용자 작업 정책을 만들 때 사용할 수 있습니다.

대화형 로그인 단계에 대한 새 조건부 액세스 정책 만들기

이전 섹션의 What if 도구에서 수집한 정보를 사용하여 로그인 단계에 대해 동일한 컨트롤을 요구하는 새 조건부 액세스 정책을 만들 수 있습니다.

  1. Microsoft Entra 관리 센터>Protection>조건부 액세스>정책>새 정책에 로그인합니다.
  2. 정책 이름을 지정합니다. 정책 이름에 의미 있는 표준을 사용하는 것이 좋습니다.
  3. 할당>사용자 아래에서 0명의 사용자 및 그룹을 선택합니다.
  4. 포함에서 모든 사용자를 선택하거나 Windows 365 Link 디바이스를 통해 로그인할 사용자 그룹을 선택합니다.
  5. 제외에서 사용자 및 그룹을> 선택하여 organization 긴급 액세스 또는 비상 계정을 선택합니다.
  6. 대상 리소스>사용자 작업에서 디바이스 등록 또는 조인을 선택합니다.
  7. 액세스 제어>권한 부여에서 What If 도구를 사용하여 이전에 찾은 것과 동일한 컨트롤을 사용합니다.
  8. 설정을 확인하고 정책 사용을보고서 전용으로 설정합니다.
  9. 만들기를 선택합니다.
  10. 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용 에서 켜기로 변경 합니다.

이러한 단계는 특히 Windows 365 Link 디바이스에서 대화형 인증을 사용하도록 설정하기 위한 것이지만, 사용자가 디바이스를 Microsoft Entra ID 등록 또는 조인할 때도 결과 사용자 작업 정책이 적용됩니다.

잠재적 충돌을 포함하여 디바이스 등록을 위한 조건부 액세스 정책을 만드는 방법에 대한 자세한 내용은 디바이스 등록을 위한 다단계 인증 필요를 참조하세요.

조건부 액세스를 사용하여 사용자 작업에 대한 자세한 내용은 사용자 작업을 참조하세요.

Windows 365 사용되는 리소스에 대한 조건부 액세스 정책을 만드는 방법에 대한 자세한 내용은 조건부 액세스 정책 설정을 참조하세요.

다음 단계

Single Sign-On 동의 프롬프트를 표시하지 않습니다.

  • Last updated on