조건부 액세스란?What is Conditional Access?

최신 보안 경계는 사용자 및 디바이스 ID를 포함하도록 조직의 네트워크 너머로 확장됩니다.The modern security perimeter now extends beyond an organization's network to include user and device identity. 조직에서는 액세스 제어 결정의 일환으로 이러한 ID 신호를 활용할 수 있습니다.Organizations can utilize these identity signals as part of their access control decisions.

조건부 액세스는 Azure Active Directory에서 신호를 주고 결정을 내리고 조직 정책을 적용하기 위해 사용하는 도구입니다.Conditional Access is the tool used by Azure Active Directory to bring signals together, to make decisions, and enforce organizational policies. 조건부 액세스는 새로운 ID 중심 제어 평면의 핵심입니다.Conditional Access is at the heart of the new identity driven control plane.

개념적 조건부 신호 + 적용 여부 결정

가장 간단한 조건부 액세스 정책은 사용자가 리소스에 액세스하려면 작업을 완료해야 하는 if-then 문입니다.Conditional Access policies at their simplest are if-then statements, if a user wants to access a resource, then they must complete an action. 예제: 급여 관리자는 급여 애플리케이션에 액세스하려고 하며, 액세스하려면 다단계 인증을 수행해야 합니다.Example: A payroll manager wants to access the payroll application and is required to perform multi-factor authentication to access it.

관리자는 다음과 같은 두 가지 주요 목표에 직면합니다.Administrators are faced with two primary goals:

  • 사용자가 언제 어디서나 생산성을 높일 수 있도록 지원Empower users to be productive wherever and whenever
  • 조직의 자산 보호Protect the organization's assets

조건부 액세스 정책을 사용하면 필요할 때 적절한 액세스 제어를 적용하여 조직의 보안을 유지하고, 필요하지 않을 때에는 사용자가 원하는 대로 하도록 놔둘 수 있습니다.By using Conditional Access policies, you can apply the right access controls when needed to keep your organization secure and stay out of your user's way when not needed.

개념적 조건부 액세스 프로세스 흐름

중요

조건부 액세스 정책은 1단계 인증이 완료된 후에 적용됩니다.Conditional Access policies are enforced after first-factor authentication is completed. 조건부 액세스는 DoS(서비스 거부) 공격과 같은 시나리오에 대한 조직의 최전방 방어선으로 사용하기 위해 개발된 것은 아니지만, 이러한 이벤트의 신호를 사용하여 액세스를 결정할 수 있습니다.Conditional Access isn't intended to be an organization's first line of defense for scenarios like denial-of-service (DoS) attacks, but it can use signals from these events to determine access.

일반적인 신호Common signals

정책 결정을 내릴 때 조건부 액세스에서 고려할 수 있는 일반적인 신호는 다음과 같습니다.Common signals that Conditional Access can take in to account when making a policy decision include the following signals:

  • 사용자 또는 그룹 멤버 자격User or group membership
    • 특정 사용자 및 그룹을 정책 대상으로 지정하여 관리자에게 세분화된 액세스 제어 권한을 제공할 수 있습니다.Policies can be targeted to specific users and groups giving administrators fine-grained control over access.
  • IP 위치 정보IP Location information
    • 조직에서는 정책을 결정할 때 사용할 수 있는 신뢰할 수 있는 IP 주소 범위를 만들 수 있습니다.Organizations can create trusted IP address ranges that can be used when making policy decisions.
    • 관리자는 전체 국가/지역 IP 범위를 지정하여 해당 범위의 트래픽을 차단하거나 허용할 수 있습니다.Administrators can specify entire countries/regions IP ranges to block or allow traffic from.
  • 디바이스Device
    • 특정 플랫폼이 설치된 디바이스 또는 특정 상태로 표시된 디바이스를 사용하는 사용자는 조건부 액세스 정책을 적용할 때 사용할 수 있습니다.Users with devices of specific platforms or marked with a specific state can be used when enforcing Conditional Access policies.
  • 애플리케이션Application
    • 특정 애플리케이션에 액세스하려는 사용자는 다른 조건부 액세스 정책을 트리거할 수 있습니다.Users attempting to access specific applications can trigger different Conditional Access policies.
  • 계산된 실시간 위험 감지Real-time and calculated risk detection
    • Azure AD ID 보호와 신호를 통합하면 조건부 액세스 정책을 통해 위험한 로그인 동작을 식별할 수 있습니다.Signals integration with Azure AD Identity Protection allows Conditional Access policies to identify risky sign-in behavior. 그러면 사용자가 암호를 변경하거나 다단계 인증을 수행하도록 요구하는 정책을 적용하여 사용자의 위험도를 낮추거나 관리자가 수동 작업을 수행할 때까지 액세스를 차단할 수 있습니다.Policies can then force users to perform password changes or multi-factor authentication to reduce their risk level or be blocked from access until an administrator takes manual action.
  • MCAS(Microsoft Cloud App Security)Microsoft Cloud App Security (MCAS)
    • 사용자 애플리케이션 액세스 및 세션을 실시간으로 모니터링 및 제어하여 클라우드 환경 내에서 수행되는 작업에 대한 액세스를 제어하고 가시성을 높일 수 있습니다.Enables user application access and sessions to be monitored and controlled in real time, increasing visibility and control over access to and activities performed within your cloud environment.

일반적인 결정Common decisions

  • 액세스 차단Block access
    • 가장 제한적인 결정Most restrictive decision
  • 액세스 권한 부여Grant access
    • 가장 제한이 적은 결정에서도 다음 옵션 중 하나 이상을 요구할 수 있습니다.Least restrictive decision, can still require one or more of the following options:
      • 다단계 인증 필요Require multi-factor authentication
      • 디바이스를 준수 상태로 표시해야 함Require device to be marked as compliant
      • 하이브리드 Azure AD 조인된 디바이스 필요Require Hybrid Azure AD joined device
      • 승인된 클라이언트 앱 필요Require approved client app
      • 앱 보호 정책 필요(미리 보기)Require app protection policy (preview)

일반적으로 적용되는 정책Commonly applied policies

많은 조직은 다음과 같이 조건부 액세스 정책이 도움을 줄 수 있는 일반적인 액세스 문제가 있습니다.Many organizations have common access concerns that Conditional Access policies can help with such as:

  • 관리자 역할이 할당된 사용자에게 다단계 인증 요구Requiring multi-factor authentication for users with administrative roles
  • Azure 관리 작업 시 다단계 인증 요구Requiring multi-factor authentication for Azure management tasks
  • 레거시 인증 프로토콜을 사용하려고 시도하는 사용자의 로그인 차단Blocking sign-ins for users attempting to use legacy authentication protocols
  • Azure Multi-Factor Authentication 등록 시 신뢰할 수 있는 위치 요구Requiring trusted locations for Azure Multi-Factor Authentication registration
  • 특정 위치의 액세스 차단 또는 액세스 권한 부여Blocking or granting access from specific locations
  • 위험한 로그인 동작 차단Blocking risky sign-in behaviors
  • 특정 애플리케이션에는 조직에서 관리 디바이스를 사용하도록 요구Requiring organization-managed devices for specific applications

라이선스 요구 사항License requirements

이 기능을 사용하려면 Azure AD Premium P1 라이선스가 필요합니다.Using this feature requires an Azure AD Premium P1 license. 요구 사항에 적합한 라이선스를 찾으려면  Free, Basic 및 Premium 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Microsoft 365 Business 프리미엄 라이선스가 있는 고객은 조건부 액세스 기능에도 액세스할 수 있습니다.Customers with Microsoft 365 Business Premium licenses also have access to Conditional Access features.

로그인 위험ID 보호에 대한 액세스 권한이 필요합니다.Sign-in Risk requires access to Identity Protection

다음 단계Next steps