조건부 액세스: 사용자, 그룹 및 워크로드 ID

조건부 액세스 정책은 의사 결정 프로세스의 신호 중 하나로 사용자, 그룹 또는 워크로드 ID 할당을 포함해야 합니다. 이러한 ID는 조건부 액세스 정책에 포함되거나 제외될 수 있습니다. Microsoft Entra ID는 모든 정책을 평가하고 액세스 권한을 부여하기 전에 모든 요구 사항이 충족되는지 확인합니다.

사용자 포함

해당 사용자 목록에는 일반적으로 조직이 조건부 액세스 정책에서 대상으로 하는 모든 사용자가 포함됩니다.

조건부 액세스 정책을 만들 때 포함하는 데 사용할 수 있는 옵션은 다음과 같습니다.

• None
  • 선택된 사용자 없음
• 모든 사용자가 액세스할 수 있습니다.
  • B2B 게스트를 비롯하여 디렉터리에 있는 모든 사용자.
• 사용자 및 그룹 선택
  • 게스트 또는 외부 사용자
    • 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트로 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다. 선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
      • B2B 협업 게스트 사용자
      • B2B 협업 구성원 사용자
      • B2B 직접 연결 사용자
      • 로컬 게스트 사용자(예: 사용자 유형 특성이 게스트로 설정된 홈 테넌트에 속한 모든 사용자)
      • 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자))
      • 다른 외부 사용자 또는 다른 사용자 유형 선택 항목으로 표시되지 않는 사용자
    • 선택한 사용자 유형에 대해 하나 이상의 테넌트를 지정하거나 모든 테넌트를 지정할 수 있습니다.
  • 디렉터리 역할
    • 관리자는 정책 할당을 결정하는 데 사용되는 특정 기본 제공 디렉터리 역할을 선택할 수 있습니다. 예를 들어 조직에서는 권한 있는 역할을 적극적으로 할당한 사용자에 대해 보다 제한적인 정책을 만들 수 있습니다. 관리 단위 범위 역할 및 사용자 지정 역할을 비롯한 다른 역할 유형은 지원되지 않습니다.
      • 조건부 액세스를 사용하면 관리자가 사용되지 않는 것으로 나열된 일부 역할을 선택할 수 있습니다. 이러한 역할은 여전히 기본 API에 표시되며 관리자가 정책을 적용할 수 있습니다.
  • 개요
    • 특정 사용자 집합을 대상으로 지정할 수 있습니다. 예를 들어 조직은 HR 앱이 클라우드 앱으로 선택된 경우 HR 부서의 모든 구성원을 포함하는 그룹을 선택할 수 있습니다. 그룹은 동적 또는 할당된 보안 및 배포 그룹을 포함하여 Microsoft Entra ID의 모든 형식의 사용자 그룹일 수 있습니다. 정책은 중첩된 사용자 및 그룹에 적용됩니다.

Important

조건부 액세스 정책에 포함되는 사용자 및 그룹을 선택하는 경우 조건부 액세스 정책에 직접 추가할 수 있는 개별 사용자 수에 제한이 있습니다. 조건부 액세스 정책에 직접 추가해야 하는 개별 사용자가 많은 경우 사용자를 그룹에 배치하고 대신 그룹을 조건부 액세스 정책에 할당하는 것이 좋습니다.

사용자 또는 그룹이 2,048개가 넘는 그룹의 구성원으로 속해 있는 경우 해당 액세스는 차단될 수 있습니다. 해당 제한은 직접 및 중첩 그룹 멤버 자격에 모두 적용됩니다.

Warning

조건부 액세스 정책은 관리 단위로 범위가 지정된 디렉터리 역할이나 사용자 지정 역할을 통해 개체로 직접 지정된 디렉터리 역할이 할당된 사용자를 지원하지 않습니다.

참고 항목

B2B 직접 연결 외부 사용자를 대상으로 정책을 적용하는 경우 이러한 정책은 B2B 직접 연결 자격이 있는 Teams 또는 SharePoint Online에 액세스하는 B2B 협업 사용자에게도 적용됩니다. B2B 협업 외부 사용자를 대상으로 하는 정책에도 동일하게 적용됩니다. 즉, Teams 공유 채널에 액세스하는 사용자는 테넌트에 게스트 사용자도 있는 경우 B2B 협업 정책이 적용됩니다.

사용자 제외

조직이 사용자 또는 그룹을 포함하고 제외하는 경우 해당 사용자 또는 그룹은 정책에서 제외됩니다. 제외 작업은 정책의 포함 작업보다 우선 적용됩니다. 제외는 일반적으로 응급 액세스 또는 비상 계정에 사용됩니다. 응급 액세스 계정에 대한 자세한 내용과 해당 계정이 중요한 이유는 다음 문서에서 확인할 수 있습니다.

• Microsoft Entra ID에서 응급 액세스 계정 관리
• Microsoft Entra ID를 사용하여 복원력 있는 액세스 제어 관리 전략 만들기

조건부 액세스 정책을 만들 때 제외하는 데 사용할 수 있는 옵션은 다음과 같습니다.

• 게스트 또는 외부 사용자
  • 이 선택 항목은 조건부 액세스 정책을 특정 게스트 또는 외부 사용자 유형 및 이러한 유형의 사용자가 포함된 특정 테넌트로 대상으로 지정하는 데 사용할 수 있는 몇 가지 선택 항목을 제공합니다. 선택할 수 있는 여러 유형의 게스트 또는 외부 사용자가 있으며 여러 가지 옵션을 선택할 수 있습니다.
    • B2B 협업 게스트 사용자
    • B2B 협업 구성원 사용자
    • B2B 직접 연결 사용자
    • 로컬 게스트 사용자(예: 사용자 유형 특성이 게스트로 설정된 홈 테넌트에 속한 모든 사용자)
    • 서비스 공급자 사용자(예: CSP(클라우드 솔루션 공급자))
    • 다른 외부 사용자 또는 다른 사용자 유형 선택 항목으로 표시되지 않는 사용자
  • 선택한 사용자 유형에 대해 하나 이상의 테넌트를 지정하거나 모든 테넌트를 지정할 수 있습니다.
• 디렉터리 역할
  • 관리자가 할당을 결정하는 데 사용되는 특정 Microsoft Entra 디렉터리 역할을 선택할 수 있습니다. 예를 들어 조직은 Global 관리istrator 역할이 할당된 사용자에 대해 보다 제한적인 정책을 만들 수 있습니다.
• 개요
  • 특정 사용자 집합을 대상으로 지정할 수 있습니다. 예를 들어 조직은 HR 앱이 클라우드 앱으로 선택된 경우 HR 부서의 모든 구성원을 포함하는 그룹을 선택할 수 있습니다. 그룹은 동적 또는 할당된 보안 및 배포 그룹을 포함하여 Microsoft Entra ID의 모든 형식의 그룹일 수 있습니다. 정책은 중첩된 사용자 및 그룹에 적용됩니다.

관리자 잠금 방지

관리자 잠금을 방지하기 위해 모든 사용자 및 모든 앱에 적용되는 정책을 만들 때 다음 경고가 표시됩니다.

계정이 잠기지 않도록 주의하세요. 먼저 적은 수의 사용자에게 정책을 적용하여 정책이 예상대로 작동하는지 확인하는 것이 좋습니다. 또한 해당 정책에서 한 명 이상의 관리자를 제외하는 것이 좋습니다. 그러면 계속 액세스하면서도 변경이 필요할 때 정책을 업데이트할 수 있습니다. 영향을 받는 사용자 및 앱을 확인하세요.

기본적으로 정책은 현재 사용자를 정책에서 제외하는 옵션을 제공하지만 관리자는 다음 이미지에 표시된 대로 재정의할 수 있습니다.

잠긴 경우 잠긴 경우 어떻게 해야 하나요?를 참조하세요.

외부 파트너 액세스

외부 사용자를 대상으로 하는 조건부 액세스 정책은 서비스 공급자 액세스를 방해할 수 있습니다. 예를 들어 세분화된 위임된 관리자 권한 GDAP(세분화된 위임된 관리자 권한 소개). 서비스 공급자 테넌트 대상 정책의 경우 게스트 또는 외부 사용자 선택 옵션에서 사용할 수 있는 서비스 공급자 사용자 외부 사용자 유형을 사용합니다.

워크로드 ID

워크로드 ID는 애플리케이션 또는 서비스 주체에서 리소스에 액세스할 수 있도록 허용하는 ID이며, 경우에 따라 사용자의 컨텍스트에서 허용합니다. 조건부 액세스 정책은 테넌트에 등록된 단일 테넌트 서비스 주체에 적용할 수 있습니다. 타사 SaaS 및 다중 테넌트 앱은 범위를 벗어납니다. 관리 ID에는 정책이 적용되지 않습니다.

조직은 정책에서 포함되거나 제외될 특정 워크로드 ID를 대상으로 지정할 수 있습니다.

자세한 내용은 워크로드 ID에 대한 조건부 액세스 문서를 참조하세요.

다음 단계

• 조건부 액세스: 클라우드 앱 또는 작업
• 조건부 액세스 일반 정책