지속적인 액세스 평가
토큰 만료 및 새로 고침은 업계의 표준 메커니즘입니다. Outlook과 같은 클라이언트 애플리케이션이 Exchange Online과 같은 서비스에 연결하는 경우 API 요청은 OAuth 2.0 액세스 토큰을 사용하여 인증됩니다. 기본적으로 액세스 토큰은 1시간 동안 유효하며, 만료되면 클라이언트가 Microsoft Entra로 리디렉션되어 새로 고쳐집니다. 새로 고침 기간을 사용하면 사용자 액세스에 대한 정책을 다시 평가할 수 있습니다. 예를 들어 조건부 액세스 정책으로 인해 또는 사용자가 디렉터리에서 비활성화되어 토큰을 새로 고치지 않도록 선택할 수 있습니다.
고객은 사용자의 조건이 변경되는 시기와 정책 변경이 적용되는 시점 사이의 지연에 대해 우려를 표명합니다. Microsoft는 토큰 수명을 줄이는 "무뚝뚝한 개체" 접근 방식을 실험했지만 위험을 제거하지 않으면서 사용자 환경과 안정성이 저하되는 것을 발견했습니다.
정책 위반 또는 보안 문제에 적시에 대응하려면 토큰 발급자 Microsoft Entra와 신뢰 당사자(인식 앱) 간에 "대화"가 필요합니다. 이 양방향 대화는 두 가지 중요한 기능을 제공합니다. 신뢰 당사자는 네트워크 위치와 같이 속성이 변경되는 시기를 확인하고 토큰 발급자에게 알릴 수 있습니다. 또한 계정 손상, 사용 안 함 또는 기타 우려 사항으로 인해 지정된 사용자에 대한 토큰 존중을 중지하도록 신뢰 당사자에게 알리는 방법을 토큰 발급자에게 제공합니다. 이 대화의 메커니즘은 Open ID CAEP(지속적인 액세스 권한 평가 프로필)를 기반으로 하는 업계 표준인 CAE(지속적인 액세스 권한 평가)입니다. 중요한 이벤트 평가의 목표는 응답이 거의 실시간으로 수행되는 것이지만 이벤트 전파 시간으로 인해 최대 15분의 대기 시간이 관찰될 수 있습니다. 그러나 IP 위치 정책 적용은 즉각적으로 적용됩니다.
지속적인 액세스 평가의 초기 구현은 Exchange, Teams 및 SharePoint Online을 중심으로 합니다.
CAE를 사용하도록 애플리케이션을 준비하려면 애플리케이션에서 지속적인 액세스 평가를 사용하도록 설정된 API를 사용하는 방법을 참조하세요.
주요 이점
- 사용자 종료 또는 암호 변경/재설정: 사용자 세션 해지가 거의 실시간으로 적용됩니다.
- 네트워크 위치 변경: 조건부 액세스 위치 정책이 거의 실시간으로 적용됩니다.
- 신뢰할 수 있는 네트워크 외부의 컴퓨터로 토큰 내보내기는 조건부 액세스 위치 정책을 통해 방지할 수 있습니다.
시나리오
지속적인 액세스 평가, 중요 이벤트 평가 및 조건부 액세스 정책 평가를 구성하는 두 가지 시나리오가 있습니다.
중요 이벤트 평가
지속적인 액세스 권한 평가는 Exchange Online, SharePoint Online 및 Teams와 같은 서비스가 중요한 Microsoft Entra 이벤트를 구독할 수 있도록 하여 구현됩니다. 그러면 이러한 이벤트를 거의 실시간으로 평가하고 적용할 수 있습니다. 중요한 이벤트 평가는 모든 테넌트에서 사용할 수 있도록 조건부 액세스 정책을 사용하지 않습니다. 현재 평가되는 이벤트는 다음과 같습니다.
- 사용자 계정 삭제 또는 사용하지 않도록 설정
- 사용자 암호 변경 또는 재설정
- 사용자에 대해 다단계 인증을 사용하도록 설정합니다.
- 관리자가 사용자의 모든 새로 고침 토큰을 명시적으로 해지
- Microsoft Entra ID 보호로 높은 사용자 위험 검색
이 프로세스는 사용자가 중요한 이벤트 후 몇 분 내에 Microsoft 365 클라이언트 앱에서 조직의 SharePoint Online 파일, 이메일, 일정 또는 작업, Teams에 대한 액세스 권한을 상실하는 시나리오를 사용하도록 설정합니다.
참고 항목
SharePoint Online은 사용자 위험 이벤트를 지원하지 않습니다.
조건부 액세스 정책 평가
Exchange Online, SharePoint Online, Teams 및 MS Graph는 서비스 내에서 평가를 위해 주요 조건부 액세스 정책을 동기화 할 수 있습니다.
이 프로세스를 사용하면 네트워크 위치가 변경된 직후 사용자가 Microsoft 365 클라이언트 앱 또는 SharePoint Online에서 파일, 전자 메일, 일정 또는 작업에 액세스할 수 없게 되는 시나리오를 사용할 수 있습니다.
참고 항목
일부 클라이언트 앱 및 리소스 공급자 조합은 지원되지 않습니다. 다음 표를 참조하십시오. 이 테이블의 첫 번째 열은 웹 브라우저를 통해 시작된 웹 애플리케이션(예: 웹 브라우저에서 시작된 PowerPoint)을 참조하고 나머지 4개 열은 설명된 각 플랫폼에서 실행되는 네이티브 애플리케이션을 나타냅니다. 또한 "Office"에 대한 참조에는 Word, Excel 및 PowerPoint가 포함됩니다.
| Outlook Web | Outlook Win32 | Outlook iOS | Outlook Android | Outlook Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 지원됨 | 지원 | 지원 | 지원 | 지원 여부 |
| Exchange Online | 지원 여부 | 지원 | 지원 | 지원 | 지원 여부 |
| Office 웹앱 | Office Win32 앱 | iOS용 Office | Android용 Office | Mac용 Office | |
|---|---|---|---|---|---|
| SharePoint Online | 지원되지 않음* | 지원됨 | 지원 | 지원 | 지원 여부 |
| Exchange Online | 지원되지 않음 | 지원됨 | 지원 | 지원 | 지원 여부 |
| OneDrive 웹 | OneDrive Win32 | OneDrive iOS | OneDrive Android | OneDrive Mac | |
|---|---|---|---|---|---|
| SharePoint Online | 지원됨 | 지원되지 않음 | 지원됨 | 지원됨 | 지원되지 않음 |
| Teams 웹 | Teams Win32 | Teams iOS | Teams Android | Teams Mac | |
|---|---|---|---|---|---|
| Teams Service | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 |
| SharePoint Online | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 |
| Exchange Online | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 | 부분적으로 지원됨 |
* Office 웹앱의 토큰 수명은 조건부 액세스 정책이 설정된 경우 1시간으로 줄어듭니다.
참고 항목
Teams는 여러 서비스로 구성되며 그 중에 호출 및 채팅 서비스는 IP 기반 조건부 액세스 정책을 준수하지 않습니다.
지속적인 액세스 권한 평가는 Exchange Online에 대한 Azure Government 테넌트(GCC High 및 DOD)에 사용할 수도 있습니다.
클라이언트 기능
클라이언트 쪽 클레임 챌린지
지속적인 액세스 권한을 평가하기 전에 클라이언트는 만료되지 않는 한 캐시에서 액세스 토큰을 재생합니다. CAE를 사용하는 경우 토큰이 만료되지 않았으면 리소스 공급자가 토큰을 거부할 수 있는 새로운 사례를 소개합니다. 캐시된 토큰이 만료되지 않은 경우에도 클라이언트에 캐시를 바이패스하도록 알리기 위해 클레임 챌린지라는 메커니즘을 도입하여 토큰이 거부되었으며 Microsoft Entra에서 새 액세스 토큰을 발급해야 함을 나타냅니다. CAE에서 클레임 챌린지를 해석하기 위해서는 클라이언트 업데이트가 필요합니다. 다음 애플리케이션의 최신 버전은 클레임 챌린지를 지원합니다.
| 웹 | Win32 | iOS | Android | Mac | |
|---|---|---|---|---|---|
| Outlook | 지원됨 | 지원 | 지원 | 지원 | 지원됨 |
| Teams | 지원됨 | 지원 | 지원 | 지원 | 지원됨 |
| Office | 지원되지 않음 | 지원됨 | 지원 | 지원 | 지원됨 |
| OneDrive | 지원됨 | 지원 | 지원 | 지원 | 지원됨 |
토큰 수명
위험 및 정책이 실시간으로 평가되므로 지속적인 액세스 평가 인식 세션을 협상하는 클라이언트는 더 이상 정적 액세스 토큰 수명 정책을 사용하지 않습니다. 이 변경은 CAE 인식 세션을 협상하는 클라이언트에 대해 구성 가능한 토큰 수명 정책이 적용되지 않음을 의미합니다.
CAE 세션에서는 토큰 수명이 최대 28시간까지 길어집니다. 임의의 기간이 아닌 중요한 이벤트 및 정책 평가로 인해 해지가 발생합니다. 이러한 변경은 보안 상태에 영향을 주지 않고 애플리케이션의 안정성을 향상시킵니다.
CAE 지원 클라이언트를 사용하지 않는 경우 기본 액세스 토큰 수명은 1시간으로 유지됩니다. 기본값은 CTL(구성 가능한 토큰 수명) 미리 보기 기능을 사용하여 액세스 토큰 수명을 구성한 경우에만 변경됩니다.
흐름 다이어그램 예
사용자 해지 이벤트 흐름
- CAE 지원 클라이언트는 일부 리소스에 대한 액세스 토큰을 요청하는 자격 증명 또는 새로 고침 토큰을 Microsoft Entra에 제공합니다.
- 액세스 토큰이 클라이언트에 대한 다른 아티팩트와 함께 반환됩니다.
- 관리이스트레이터는 사용자의 모든 새로 고침 토큰을 명시적으로 해지한 다음 해지 이벤트가 Microsoft Entra에서 리소스 공급자에게 전송됩니다.
- 액세스 토큰이 리소스 공급자에게 제공됩니다. 리소스 공급자는 토큰의 유효성 검사를 평가하고 사용자에 대한 해지 이벤트가 있는지 여부를 확인합니다. 리소스 공급자는 이 정보를 사용하여 리소스에 대한 액세스 권한 부여 여부를 결정합니다.
- 이 경우 리소스 공급자는 액세스를 거부하고 401+ 클레임 챌린지를 다시 클라이언트에 보냅니다.
- CAE 지원 클라이언트가 401+ 클레임 챌린지를 이해합니다. 캐시를 우회하고 1단계로 돌아가서 클레임 챌린지와 함께 새로 고침 토큰을 Microsoft Entra로 다시 보냅니다. 그런 다음 Microsoft Entra는 모든 조건을 다시 평가하고 이 경우 사용자에게 다시 인증하라는 메시지를 표시합니다.
사용자 조건 변경 흐름
다음 예제에서 조건부 액세스 관리주체는 특정 IP 범위에서만 액세스를 허용하도록 위치 기반 조건부 액세스 정책을 구성했습니다.
- CAE 지원 클라이언트는 일부 리소스에 대한 액세스 토큰을 요청하는 자격 증명 또는 새로 고침 토큰을 Microsoft Entra에 제공합니다.
- Microsoft Entra는 모든 조건부 액세스 정책을 평가하여 사용자와 클라이언트가 조건을 충족하는지 확인합니다.
- 액세스 토큰이 클라이언트에 대한 다른 아티팩트와 함께 반환됩니다.
- 사용자가 허용된 IP 범위 밖으로 이동합니다.
- 클라이언트가 허용되는 IP 범위 외부에서 리소스 공급자에게 액세스 토큰을 제공합니다.
- 리소스 공급자는 토큰의 유효성을 평가하고 Microsoft Entra에서 동기화된 위치 정책을 검사.
- 이 경우 리소스 공급자는 액세스를 거부하고 401+ 클레임 챌린지를 다시 클라이언트에 보냅니다. 클라이언트는 허용되는 IP 범위에서 오지 않기 때문에 챌린지됩니다.
- CAE 지원 클라이언트가 401+ 클레임 챌린지를 이해합니다. 캐시를 우회하고 1단계로 돌아가서 클레임 챌린지와 함께 새로 고침 토큰을 Microsoft Entra로 다시 보냅니다. Microsoft Entra는 모든 조건을 다시 평가하고 이 경우 액세스를 거부합니다.
IP 주소 변형에 대한 예외 및 예외를 해제하는 방법
위의 8단계에서 Microsoft Entra는 조건을 다시 평가하면 Microsoft Entra에서 검색한 새 위치가 허용된 IP 범위를 벗어나므로 액세스를 거부합니다. 항상 그런 것은 아닙니다. 일부 복잡한 네트워크 토폴로지로 인해 리소스 공급자가 수신한 액세스 요청이 허용되지 않는 IP 주소에서 도착한 후에도 허용된 송신 IP 주소에서 인증 요청이 도착할 수 있습니다. 이러한 조건에서 Microsoft Entra는 클라이언트가 계속 허용된 위치에 있으며 액세스 권한을 부여해야 한다고 해석합니다. 따라서 Microsoft Entra는 토큰이 만료될 때까지 리소스에서 IP 주소 검사 일시 중단하는 1시간 토큰을 발급합니다. Microsoft Entra는 IP 주소 검사 계속 적용합니다.
글로벌 보안 액세스를 통해 타사 365 리소스로 트래픽을 보내는 경우 리소스 공급자는 원본 IP 복원이 현재 이러한 리소스에 대해 지원되지 않으므로 사용자의 원본 IP 주소를 인식하지 못합니다. 이 경우 사용자가 신뢰할 수 있는 IP 위치(Microsoft Entra에서 볼 수 있음)에 있는 경우 Microsoft Entra는 토큰이 만료될 때까지 리소스에서 IP 주소 검사 일시 중단하는 1시간 토큰을 발급합니다. Microsoft Entra는 이러한 리소스에 대해 IP 주소 검사 계속 올바르게 적용합니다.
표준 및 strict 모드. 이 예외(즉, 리소스 공급자가 검색한 허용되지 않는 위치와 Microsoft Entra ID 사이에서 검색된 허용된 위치)에 따라 액세스 권한을 부여하면 중요한 리소스에 대한 액세스를 유지하여 사용자 생산성을 보호할 수 있습니다. 이는 표준 위치 적용입니다. 반면, 안정적인 네트워크 토폴로지에서 작업하고 이 예외를 제거하려는 관리자는 엄격한 위치 적용(공개 미리 보기)을 사용할 수 있습니다.
CAE 사용 또는 사용하지 않도록 설정
CAE 설정이 조건부 액세스로 이동되었습니다. 새로운 CAE 고객은 조건부 액세스 정책을 만들 때 CAE에 직접 액세스하고 전환할 수 있습니다. 그러나 일부 기존 고객은 마이그레이션을 거쳐야 조건부 액세스를 통해 CAE에 액세스할 수 있습니다.
마이그레이션
이전에 보안에서 CAE 설정을 구성한 고객은 설정을 새 조건부 액세스 정책으로 마이그레이션해야 합니다.
다음 표는 이전에 구성된 CAE 설정을 기반으로 하는 각 고객 그룹의 마이그레이션 경험을 설명합니다.
| 기존 CAE 설정 | 마이그레이션이 필요한가 | CAE에 대해 자동 사용 | 예상 마이그레이션 경험 |
|---|---|---|---|
| 이전 환경에서 아무 것도 구성하지 않은 새 테넌트입니다. | 예 | 예 | 이러한 고객은 일반 공급 이전에 환경을 보지 못했을 가능성이 높으므로 이전 CAE 설정은 숨겨집니다. |
| 이전 경험이 있는 모든 사용자에 대해 명시적으로 사용하도록 설정한 테넌트입니다. | 예 | 예 | 이전 CAE 설정은 회색으로 표시됩니다. 이러한 고객은 모든 사용자에 대해 이를 명시적으로 사용하도록 설정했으므로 마이그레이션할 필요가 없습니다. |
| 이전 경험을 가진 테넌트의 일부 사용자를 명시적으로 사용하도록 설정한 테넌트입니다. | 예 | 아니요 | 이전 CAE 설정은 회색으로 표시됩니다. 마이그레이션을 클릭하면 CAE에서 복사한 사용자와 그룹을 제외하고 모든 사용자를 포함하는 새로운 조건부 액세스 정책 마법사가 시작됩니다. 또한 새로운 지속적 액세스 평가 사용자 지정 세션 제어를 사용 안 함으로 설정합니다. |
| 미리 보기를 명시적으로 사용하지 않도록 설정한 테넌트. | 예 | 아니요 | 이전 CAE 설정은 회색으로 표시됩니다. 마이그레이션을 클릭하면 모든 사용자를 포함하고 새로운 지속적인 액세스 권한 평가 사용자 지정 세션 제어를 사용 안 함으로 설정하는 새로운 조건부 액세스 정책 마법사가 실행됩니다. |
세션 제어로서의 연속 액세스 평가에 대한 자세한 내용은 연속 액세스 평가 사용자 지정 섹션에서 찾을 수 있습니다.
제한 사항
그룹 멤버 자격 및 정책 업데이트 유효 시간
관리자가 만든 조건부 액세스 정책 및 그룹 멤버 자격에 대한 변경 내용을 적용하려면 최대 1일이 걸릴 수 있습니다. 지연은 Microsoft Entra와 Exchange Online 및 SharePoint Online과 같은 리소스 공급자 간의 복제본(replica) 지연입니다. 지연을 2시간으로 줄이는 정책 업데이트에 대한 몇 가지 최적화가 수행되었습니다. 그러나 아직 모든 시나리오를 다루지는 않습니다.
조건부 액세스 정책 또는 그룹 멤버 자격 변경 내용을 특정 사용자에게 즉시 적용해야 하는 경우 두 가지 옵션이 있습니다.
- revoke-mgusersign PowerShell 명령을 실행하여 지정된 사용자의 모든 새로 고침 토큰을 취소합니다.
- 업데이트된 정책이 즉시 적용되도록 하려면 사용자 프로필 페이지에서 "세션 철회"를 선택하여 사용자 세션을 철회합니다.
IP 주소가 공유되거나 알 수 없는 송신 IP가 있는 IP 주소 변형 및 네트워크
최신 네트워크는 종종 애플리케이션에 대한 연결 및 네트워크 경로를 다르게 최적화합니다. 이 최적화로 인해 ID 공급자 및 리소스 공급자에 표시되는 연결의 라우팅 및 원본 IP 주소가 변형되는 경우가 많습니다. 다음을 포함하지만 이에 국한되지 않는 여러 네트워크 토폴로지에서 이 분할 경로 또는 IP 주소 변형을 관찰할 수 있습니다.
- 온-프레미스 및 클라우드 기반 프록시.
- VPN(가상 사설망) 구현(예: 분할 터널링).
- SD-WAN(소프트웨어 정의 광역 네트워크) 배포.
- 부하가 분산되거나 중복된 네트워크 송신 네트워크 토폴로지(예: SNAT를 사용하는 토폴로지).
- 특정 애플리케이션에 대한 직접 인터넷 연결을 허용하는 지점 배포.
- IPv6 클라이언트를 지원하는 네트워크.
- 애플리케이션 또는 리소스 트래픽을 ID 공급자에 대한 트래픽과 다르게 처리하는 기타 토폴로지.
고객은 IP 변형 외에도 다음과 같은 네트워크 솔루션 및 서비스를 사용할 수 있습니다.
- 다른 고객과 공유할 수 있는 IP 주소를 사용합니다. 예를 들어 송신 IP 주소가 고객 간에 공유되는 클라우드 기반 프록시 서비스입니다.
- 쉽게 변화되는 IP 주소 또는 정의할 수 없는 IP 주소를 사용합니다. 예를 들어 대규모 엔터프라이즈 시나리오 또는 분할 VPN 및 로컬 송신 네트워크 트래픽과 같이 사용된 송신 IP 주소의 대규모 동적 세트가 있는 토폴로지입니다.
송신 IP 주소가 자주 변경되거나 공유되는 네트워크는 Microsoft Entra 조건부 액세스 및 CAE(계속 액세스 평가)에 영향을 줄 수 있습니다. 이 가변성은 이러한 기능의 작동 방식과 관련 권장 구성에 영향을 줄 수 있습니다. 분할 터널링 VPN 모범 사례를 사용하여 환경을 구성할 때 분할 터널링으로 인해 예기치 않은 블록이 발생할 수도 있습니다. 신뢰할 수 있는 IP/VPN을 통해 최적화된 IP 라우팅은 insufficient_claims 또는 인스턴트 IP 적용 검사 관련된 블록을 방지해야 할 수 있습니다.
다음 표에는 조건부 액세스 및 CAE 기능 동작과 다양한 유형의 RP(네트워크 배포 및 리소스 공급자)에 대한 권장 사항이 요약되어 있습니다.
| 네트워크 종류 | 예시 | Microsoft Entra에서 본 IP | RP에 표시되는 IP | 적용 가능한 조건부 액세스 구성(신뢰할 수 있는 명명된 위치) | CAE 적용 | CAE 액세스 토큰 | 권장 사항 |
|---|---|---|---|---|---|---|---|
| 1. 송신 IP는 Microsoft Entra 및 모든 RP 트래픽 모두에 대해 전용이며 열거 가능 | Microsoft Entra 및 RP로의 모든 네트워크 트래픽은 1.1.1.1 및/또는 2.2.2.2를 통해 송신됩니다. | 1.1.1.1 | 2.2.2.2 | 1.1.1.1 2.2.2.2 |
중요 이벤트 IP 위치 변경 |
긴 수명 – 최대 28시간 | 명명된 조건부 액세스 위치가 정의된 경우 가능한 모든 송신 IP(Microsoft Entra 및 모든 RP에서 볼 수 있는)가 포함되어 있는지 확인합니다. |
| 2. 송신 IP는 전용이며 Microsoft Entra에 대해 열거 가능하지만 RP 트래픽에는 열거할 수 없습니다. | Microsoft Entra에 대한 네트워크 트래픽은 1.1.1.1을 통해 송신됩니다. RP 트래픽은 x.x.x.x를 통해 송신됨 | 1.1.1.1 | x.x.x.x | 1.1.1.1 | 중요 이벤트 | 기본 액세스 토큰 수명 – 1시간 | 보안을 약화시킬 수 있으므로 전용이 아니거나 열거할 수 없는 송신 IP(x.x.x.x)를 신뢰할 수 있는 명명된 위치 조건부 액세스 규칙에 추가하지 마세요. |
| 3. 송신 IP는 전용이 아니거나 공유되거나 Microsoft Entra 및 RP 트래픽 모두에 대해 열거할 수 없습니다. | Microsoft Entra에 대한 네트워크 트래픽은 y.y.y.y를 통해 송신됩니다. RP 트래픽은 x.x.x.x를 통해 송신됩니다. | y.y.y.y | x.x.x.x | N/A -no IP 조건부 액세스 정책/신뢰할 수 있는 위치가 구성됨 | 중요 이벤트 | 긴 수명 – 최대 28시간 | 보안을 약화시킬 수 있으므로 신뢰할 수 있는 명명된 위치 조건부 액세스 규칙에 전용이 아니거나 열거할 수 없는 송신 IP(x.x.x.x/y.y.y.y)를 추가하지 마세요. |
ID 및 리소스 공급자에 연결하는 클라이언트가 사용하는 네트워크 및 네트워크 서비스는 최신 추세에 따라 계속 진화하고 변경됩니다. 이러한 변경 내용은 기본 IP 주소를 사용하는 조건부 액세스 및 CAE 구성에 영향을 줄 수 있습니다. 이러한 구성을 결정할 때는 향후 기술 변경 내용 및 계획에 정의된 주소 목록의 유지비를 고려합니다.
지원되는 위치 정책
CAE에는 IP 기반 명명된 위치에 대한 인사이트만 있습니다. CAE는 MFA 신뢰할 수 있는 IP 또는 국가/지역 기반 위치와 같은 다른 위치 조건에 대한 인사이트가 없습니다. 사용자가 MFA에서 신뢰할 수 있는 IP, MFA 신뢰할 수 있는 IP 또는 국가/지역 위치를 포함하는 신뢰할 수 있는 위치에서 온 경우 해당 사용자가 다른 위치로 이동한 후에는 CAE가 적용되지 않습니다. 이러한 경우 Microsoft Entra는 즉각적인 IP 적용 검사 없이 1시간 액세스 토큰을 발급합니다.
Important
지속적인 액세스 권한 평가를 통해 실시간으로 위치 정책을 적용하려는 경우 IP 기반 조건부 액세스 위치 조건만 사용하고 IPv4 및 IPv6을 모두 포함하여 ID 공급자와 리소스 공급자가 볼 수 있는 모든 IP 주소를 구성합니다. Microsoft Entra 다단계 인증의 서비스 설정 페이지에서 사용할 수 있는 국가/지역 위치 조건이나 신뢰할 수 있는 IP 기능을 사용하지 마세요.
명명된 위치 제한 사항
위치 정책에 지정된 모든 IP 범위의 합계가 5,000을 초과하면 CAE는 사용자 변경 위치 흐름을 실시간으로 적용할 수 없습니다. 이 경우 Microsoft Entra는 1시간 CAE 토큰을 발급합니다. CAE는 클라이언트 위치 변경 이벤트 외에 다른 모든 이벤트 및 정책을 계속 적용합니다. 이 변경으로 다른 이벤트는 거의 실시간으로 평가되기도 하므로 기존 1시간 토큰에 비해 더 강력한 보안 태세를 유지할 수 있습니다.
Office 및 웹 계정 관리자 설정
| Office 업데이트 채널 | DisableADALatopWAMOverride | DisableAADWAM |
|---|---|---|
| 반기 엔터프라이즈 채널 | 사용하도록 설정하거나 1로 설정하면 CAE가 지원되지 않습니다. | 사용하도록 설정하거나 1로 설정하면 CAE가 지원되지 않습니다. |
| 현재 채널 또는 월별 엔터프라이즈 채널 |
CAE는 설정에 관계없이 지원됩니다. | CAE는 설정에 관계없이 지원됩니다. |
Office 업데이트 채널에 대한 자세한 내용은 Microsoft 365 앱의 업데이트 채널 개요를 참조하세요. 조직에서는 WAM(웹 계정 관리자)을 사용하지 않도록 설정하지 않는 것이 좋습니다.
Office 앱에서 공동 작성
여러 사용자가 동시에 문서에서 공동 작업하는 경우 CAE는 정책 변경 이벤트에 따라 문서에 대한 액세스를 즉시 취소하지 않을 수 있습니다. 이 경우 다음 작업을 수행하면 사용자는 액세스 권한을 완전히 상실됩니다.
- 문서 닫기
- Office 앱 닫기
- 조건부 액세스 IP 정책이 설정된 시점에서 1시간 후
이 시간을 더 줄이기 위해 SharePoint 관리Istrator는 네트워크 위치 정책을 구성하여 SharePoint Online 및 Microsoft OneDrive에 저장된 문서에 대한 공동 작성 세션의 최대 수명을 줄일 수 있습니다. 이 구성이 변경되면 공동 작성 세션의 최대 수명이 15분으로 줄어들고 SharePoint Online PowerShell 명령 Set-SPOTenant –IPAddressWACTokenLifetime을 사용하여 더 세부적으로 조정할 수 있습니다.
사용자를 사용하지 않도록 설정한 후 사용하도록 설정
사용자를 사용하지 않도록 설정한 직후 사용하도록 설정하면 다운스트림 Microsoft 서비스에서 계정이 사용됨으로 인식되기까지 약간의 대기 시간이 있습니다.
- SharePoint Online 및 Teams에는 일반적으로 15분 지연이 있습니다.
- Exchange Online에는 일반적으로 35-40분 지연이 있습니다.
푸시 알림
푸시 알림이 릴리스되기 전에는 IP 주소 정책이 평가되지 않습니다. 이 시나리오는 푸시 알림이 아웃바운드이고 평가할 연결된 IP 주소가 없기 때문에 존재합니다. 사용자가 해당 푸시 알림을 선택하는 경우(예: Outlook의 메일) 메일이 표시되기 전에 CAE IP 주소 정책이 계속 적용됩니다. 푸시 알림은 IP 주소 정책으로 보호되지 않는 메시지 미리 보기를 표시합니다. 다른 모든 CAE 확인은 푸시 알림을 보내기 전에 수행됩니다. 사용자 또는 디바이스의 액세스 권한이 제거된 경우 적용은 문서화된 기간 내에 발생합니다.
게스트 사용자
CAE는 게스트 사용자 계정을 지원하지 않습니다. CAE 해지 이벤트 및 IP 기반 조건부 액세스 정책은 즉시 적용되지 않습니다.
CAE 및 로그인 빈도
로그인 빈도는 CAE 유무에 관계없이 유지됩니다.