Intune에서 조건부 액세스를 사용하는 일반적인 방법이란?

Intune을 사용하는 조건부 액세스에는 디바이스 기반 조건부 액세스 및 앱 기반 조건부와 같은 두 가지 방법이 있습니다. 조직에서 조건부 액세스 규정 준수를 추진하는 관련 규정 준수 정책을 구성해야 합니다. 일반적으로 조건부 액세스를 사용하여 Exchange에 대한 액세스를 허용하거나 차단하는 작업, 네트워크에 대한 액세스를 제어하는 작업 또는 Mobile Threat Defense 솔루션과 통합하는 작업 등을 수행합니다.

이 문서에 있는 정보는 Intune 모바일 디바이스 규정 준수 기능 및 Intune 모바일 애플리케이션 관리(MAM) 기능 사용 방법의 이해에 도움이 됩니다.

참고

조건부 액세스는 Azure Active Directory Premium 라이선스에 포함된 Azure Active Directory 기능입니다. Intune은 솔루션에 모바일 디바이스 호환성과 모바일 앱 관리 기능을 추가하여 이 기능을 향상합니다. Intune 에서 액세스되는 조건부 액세스 노드는 Azure AD 에서 액세스한 것과 동일한 노드입니다.

디바이스 기반 조건부 액세스

Intune과 Azure Active Directory는 연동되어 준수 상태의 관리 디바이스만 메일, Microsoft 365 서비스, SaaS(Software as a Service) 앱 및 온-프레미스 앱에 액세스할 수 있습니다. 또한 Azure Active Directory에서 Intune에 등록된 도메인 조인 컴퓨터 또는 모바일 디바이스에서만 Microsoft 365 서비스에 액세스하도록 지원하는 정책을 설정할 수 있습니다.

Intune은 디바이스의 준수 상태를 평가하는 디바이스 준수 정책 기능을 제공합니다. 준수 상태는 Azure Active Directory에 보고되며, Azure Active Directory는 사용자가 회사 리소스에 액세스하려고 하면 Azure Active Directory에서 작성된 조건부 액세스 정책을 적용하는 데 이 상태를 사용합니다.

Exchange Online 및 기타 Microsoft 365 제품용 디바이스 기반 조건부 액세스 정책이 Microsoft Endpoint Manager 관리 센터를 통해 구성됩니다.

참고

사용자가 자신의 Android 개인 소유 회사 프로필 디바이스에서 브라우저 앱을 통해 액세스하는 콘텐츠에 디바이스 기반 액세스를 사용하도록 설정하는 경우 2021년 1월 이전에 등록한 사용자는 다음과 같이 브라우저 액세스를 사용하도록 설정해야 합니다.

  1. 회사 포털 앱을 시작합니다.
  2. 단추에서 설정 페이지로 이동합니다.
  3. 브라우저 액세스 사용 섹션에서 사용 단추를 탭합니다.
  4. 브라우저 앱을 닫았다가 다시 시작합니다.

Microsoft Intune 제어를 위해 조건부 액세스에서 사용할 수 있는 애플리케이션

Azure Active Directory 포털에서 조건부 액세스를 구성하는 경우 다음 두 가지 애플리케이션을 사용할 수 있습니다.

  1. Microsoft Intune - 이 애플리케이션은 Microsoft Endpoint Manager 콘솔과 데이터 원본에 대한 액세스를 제어합니다. Microsoft Endpoint Manager 콘솔과 데이터 원본을 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다.
  2. Microsoft Intune 등록 - 이 애플리케이션은 등록 워크플로를 제어합니다. 등록 프로세스를 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다. 자세한 내용은 Intune 디바이스 등록에 대한 다단계 인증 요구를 참조하세요.

네트워크 액세스 제어 기준 조건부 액세스

Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.

사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.

디바이스 위험 기준 조건부 액세스

Intune은 보안 솔루션을 제공하는 Mobile Threat Defense 공급업체와의 제휴를 통해 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 검색합니다.

Intune과 Mobile Threat Defense 통합의 작동 방식

모바일 디바이스에 Mobile Threat Defense 에이전트가 설치되어 있으면 해당 에이전트는 모바일 디바이스 자체에서 위협이 발견되었는지를 보고하는 준수 상태 메시지를 Intune으로 다시 보냅니다.

Intune과 Mobile Threat Defense 통합은 디바이스 위험 기반 조건부 액세스를 결정할 때 중요한 요인으로 작용합니다.

Windows PC에 대한 조건부 액세스

PC에 대한 조건부 액세스는 모바일 디바이스에 사용할 수 있는 것과 유사한 기능을 제공합니다. 이 항목에서는 Intune으로 PC를 관리할 때 조건부 액세스를 사용할 수 있는 방식을 설명합니다.

회사 소유

  • 하이브리드 Azure AD 조인된: 기존에 자사에서 AD 그룹 정책 또는 Configuration Manager로 PC를 관리하는 방식에 어느 정도 익숙한 조직에서 흔히 사용되는 옵션입니다.

  • Azure AD 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 온-프레미스 인프라 사용을 줄이기 위해 클라우드 서비스를 주로 사용함) 또는 클라우드 전용(온-프레미스 인프라 없음)을 사용하려는 조직을 위한 것입니다. Azure AD 조인은 하이브리드 환경에서 정상적으로 작동하여 클라우드 및 온-프레미스 앱과 리소스에 모두 액세스할 수 있도록 합니다. 디바이스가 Azure AD에 조인되고 Intune에 등록되면 회사 리소스에 액세스할 때 조건부 액세스 조건으로 사용할 수 있습니다.

BYOD(Bring Your Own Device)

  • 작업 공간 연결 및 Intune 관리: 이 경우 사용자는 개인 디바이스에 연결하여 회사 리소스 및 서비스에 액세스할 수 있습니다. 작업 공간 연결을 사용하여 디바이스를 Intune MDM에 등록하면 디바이스 수준 정책을 수신할 수 있습니다. 이러한 방식은 조건부 액세스 기준을 평가할 수 있는 다른 옵션입니다.

Azure Active Directory의 디바이스 관리에 대해 자세히 알아봅니다.

앱 기반 조건부 액세스

Intune 및 Azure Active Directory는 연동되어 관리 앱만 회사 메일 또는 기타 Microsoft 365 서비스에 액세스할 수 있도록 합니다.

Exchange 온-프레미스에 대한 Intune 조건부 액세스

조건부 액세스를 사용하면 디바이스 준수 정책 및 등록 상태를 기반으로 Exchange 온-프레미스 에 대한 액세스를 허용하거나 차단할 수 있습니다. 조건부 액세스를 디바이스 준수 정책과 함께 사용하면 준수 디바이스에서만 Exchange 온-프레미스에 액세스할 수 있습니다.

다음과 같은 보다 자세한 제어를 위해 조건부 액세스에서 고급 설정을 구성할 수 있습니다.

  • 특정 플랫폼 허용 또는 차단

  • Intune에서 관리하지 않는 디바이스 즉시 차단

디바이스 준수 및 조건부 액세스 정책을 적용하면 Exchange 온-프레미스에 액세스하는 데 사용되는 모든 디바이스에서 준수를 확인합니다.

디바이스가 설정된 조건을 충족하지 않는 경우 최종 사용자에게 디바이스를 등록하고 비규격의 원인이 되는 문제를 해결하는 과정이 안내됩니다.

참고

2020년 7월부터 Exchange Connector 지원이 중단되며 Exchange HMA(하이브리드 최신 인증)로 대체되었습니다. HMA를 사용하기 위해 Intune에서 Exchange Connector를 설정하고 사용할 필요가 없습니다. 해당 변경을 통해 구독에서 Exchange Connector를 이미 사용하는 경우가 아니면 Intune Exchange Connector를 구성하고 관리하는 UI가 Microsoft Endpoint Manager 관리 센터에서 제거되었습니다.

환경에 Exchange Connector가 설정되어 있으면 Intune 테넌트가 해당 용도로 계속 지원되며 해당 구성을 지원하는 UI에 계속 액세스할 수 있습니다. 자세한 내용은 Exchange 온-프레미스 커넥터 설치를 참조하세요. 커넥터를 계속 사용하거나, HMA를 구성한 후 커넥터를 제거할 수 있습니다.

하이브리드 최신 인증은 이전에 Intune Exchange Connector에서 제공했던 Exchange 레코드에 디바이스 ID 매핑 기능을 제공합니다. 해당 매핑은 이제 Intune에서 만든 구성 또는 Intune과 Exchange를 브리지하기 위한 Intune 커넥터의 요구 사항에 관계없이 발생합니다. HMA를 사용하면 'Intune' 관련 구성(커넥터)을 사용할 필요가 없습니다.

Intune은 어떤 역할을 하나요?

Intune은 디바이스 상태를 평가하고 관리합니다.

Exchange 서버는 어떤 역할을 하나요?

Exchange 서버는 디바이스를 해당 격리로 이동하는 API 및 인프라를 제공합니다.

중요

디바이스를 사용하는 사용자에게 준수 프로필 및 Intune 라이선스가 할당되어 있어야 디바이스의 준수 여부가 평가될 수 있습니다. 사용자에게 규정 준수 정책이 배포되지 않은 경우 디바이스는 준수하는 것으로 간주되며 액세스 제한이 적용되지 않습니다.

다음 단계

Azure Active Directory에서 조건부 액세스를 구성하는 방법

앱 기반 조건부 액세스 정책 설정

Exchange 온-프레미스에 대한 조건부 액세스 정책을 만드는 방법