조건부 액세스를 사용하여 규격 네트워크 확인 사용

글로벌 보안 액세스 미리 보기와 함께 조건부 액세스를 사용하는 조직은 여러 조건을 사용하여 심층 방어를 제공하는 Microsoft 앱, 타사 SaaS 앱 및 개인 LoB(기간 업무) 앱에 대한 악의적인 액세스를 방지할 수 있습니다. 이러한 조건에는 사용자 ID 또는 토큰 도난에 대한 보호를 제공하는 디바이스 규정 준수, 위치 등이 포함될 수 있습니다. 글로벌 보안 액세스는 조건부 액세스 및 지속적인 액세스 평가 내에서 규격 네트워크의 개념을 도입합니다. 이 규격 네트워크 검사는 사용자가 특정 테넌트에 대해 확인된 네트워크 연결 모델에서 연결하고 관리자가 적용하는 보안 정책을 준수하도록 합니다.

구성된 원격 네트워크 뒤에 있는 디바이스 또는 사용자에 설치된 전역 보안 액세스 클라이언트를 사용하면 관리자는 고급 조건부 액세스 제어를 사용하여 규격 네트워크 뒤에서 리소스를 보호할 수 있습니다. 이 호환 네트워크 기능을 사용하면 조직의 모든 위치 IP 주소 목록을 기본 않고도 관리자가 더 쉽게 관리하고 기본 얻을 수 있습니다. 관리자는 보안을 보장하기 위해 조직의 VPN 송신 지점을 통해 트래픽을 고정할 필요가 없습니다.

준수 네트워크 기능을 사용한 CAE(지속적인 액세스 평가)는 현재 SharePoint Online에서 지원됩니다. CAE를 사용하면 토큰 도난 재생 보호를 사용하여 심층 방어를 적용할 수 있습니다.

이 호환 네트워크 검사는 각 테넌트에 따라 다릅니다.

• 이 검사를 사용하면 Microsoft의 글로벌 보안 액세스 서비스를 사용하는 다른 조직이 리소스에 액세스할 수 없도록 할 수 있습니다.
  • 예를 들어 Contoso는 준수 네트워크 검사를 통해 Exchange Online 및 SharePoint Online과 같은 서비스를 보호하여 Contoso 사용자만 이러한 리소스에 액세스할 수 있도록 할 수 있습니다.
  • Fabrikam과 같은 다른 조직에서 규격 네트워크 검사를 사용하는 경우 Contoso의 규격 네트워크 검사를 통과하지 못합니다.

규격 네트워크는 Microsoft Entra에서 구성할 수 있는 IPv4, IPv6 또는 지리적 위치와 다릅니다. 관리자 작업이 필요 없습니다.

필수 조건

• 전역 보안 액세스 미리 보기 기능과 상호 작용하는 관리자는 수행 중인 작업에 따라 다음 역할 중 하나 이상을 할당받아야 합니다.
  • 전역 보안 액세스 관리 전역 보안 액세스 미리 보기 기능을 관리하는 주 서버 역할입니다.
  • 조건부 액세스 관리 조건부 액세스 정책 및 명명된 위치를 만들고 상호 작용할 수 있습니다.
• 미리 보기에는 Microsoft Entra ID P1 라이선스가 필요합니다. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
• Microsoft 365 트래픽 전달 프로필을 사용하려면 Microsoft 365 E3 라이선스를 사용하는 것이 좋습니다.

알려진 제한 사항

• 이제 SharePoint Online에서 지속적인 액세스 평가를 통해 호환되는 네트워크 검사 지원됩니다.
• 규정 준수 네트워크 검사 현재 프라이빗 액세스 앱에 대해 지원되지 않습니다.
• MDM(모바일 디바이스 관리)에 등록되지 않은 디바이스에는 호환 네트워크 위치 조건이 지원되지 않습니다. 규정 준수 네트워크 위치 조건을 사용하여 조건부 액세스 정책을 구성하는 경우 아직 MDM에 등록되지 않은 디바이스의 사용자가 영향을 받을 수 있습니다. 이러한 디바이스의 사용자는 조건부 액세스 정책 검사 실패하고 차단될 수 있습니다.
  • 규격 네트워크 위치 조건을 사용할 때 영향을 받는 사용자 또는 디바이스를 제외해야 합니다.

조건부 액세스에 대한 전역 보안 액세스 신호 사용

규격 네트워크 검사를 허용하는 데 필요한 설정을 사용하도록 설정하려면 관리자가 다음 단계를 수행해야 합니다.

1. Microsoft Entra 관리 센터에 글로벌 보안 액세스 관리자로 로그인합니다.
2. 전역 보안 액세스(미리 보기)>전역 설정>세션 관리적응형 액세스로 이동합니다.
3. 조건부 액세스 전역 보안 액세스 신호를 사용하도록 토글을 선택합니다.
4. 보호>조건부 액세스>명명된 위치로 이동합니다.
   1. 네트워크 액세스 위치 유형에 모든 규격 네트워크 위치라는 위치가 있는지 확인합니다. 조직은 필요에 따라 이 위치를 신뢰할 수 있는 위치로 표시할 수 있습니다.

주의

조직에 규정 준수 네트워크 검사를 기반으로 하는 활성 조건부 액세스 정책이 있고 조건부 액세스에서 글로벌 보안 액세스 신호를 사용하지 않도록 설정하는 경우 대상 최종 사용자가 리소스에 액세스할 수 없도록 의도치 않게 차단할 수 있습니다. 이 기능을 사용하지 않도록 설정해야 하는 경우 먼저 해당 조건부 액세스 정책을 삭제합니다.

규정 준수 네트워크 뒤에서 리소스 보호

규정 준수 네트워크 조건부 액세스 정책을 사용하여 Microsoft 365 및 타사 리소스를 보호할 수 있습니다.

다음 예제에서는 이러한 유형의 정책을 보여줍니다. 또한 이제 SharePoint Online용 CAE를 사용하는 토큰 도난 재생 보호가 지원됩니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스로 이동합니다.
3. 새 정책 만들기를 선택합니다.
4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.
5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.
   1. 포함에서 모든 사용자를 선택합니다.
   2. 제외에서 사용자 및 그룹을 선택하고 조직의 응급 액세스 또는 비상 계정을 선택합니다.
6. 대상 리소스>에 포함 및 앱 선택 선택.
   1. Office 365 Exchange Online 및/또는 Office 365 SharePoint Online 및/또는 타사 SaaS 앱을 선택합니다.
   2. 앱 선택기에서 특정 Office 365 클라우드 앱은 현재 지원되지 않으므로 이 클라우드 앱을 선택하지 마세요.
7. 조건>위치에서 다음을 수행합니다.
   1. 구성을 예로 설정합니다.
   2. 포함에서 임의의 위치를 선택합니다.
   3. 제외에서 선택한 위치를 선택합니다.
      1. 모든 규격 네트워크 위치 위치를 선택합니다.
   4. 선택을 선택합니다.
8. Access 컨트롤에서:
   1. 권한 부여, 액세스 차단을 선택하고 선택을 선택합니다.
9. 설정을 확인하고 정책 사용을 켜기로 설정합니다.
10. 만들려는 만들기 단추를 선택하여 정책을 사용하도록 설정합니다.

참고 항목

모든 클라우드 앱에 대한 규정 준수 네트워크가 필요한 조건부 액세스 정책과 함께 전역 보안 액세스 트래픽 프로필을 사용할 수 있습니다. 모든 규격 네트워크 위치 위치 및 모든 클라우드 앱을 사용하여 정책을 설정할 때는 제외가 필요하지 않습니다.

트래픽 프로필은 규정 준수 네트워크가 필요한 경우 조건부 액세스 적용에서 내부적으로 제외됩니다. 이 제외를 사용하면 전역 보안 액세스 클라이언트가 필요한 리소스에 액세스할 수 있습니다.

제외된 트래픽 프로필은 다음 애플리케이션 ZTNA 네트워크 액세스 트래픽 프로필로 로그인 로그에 표시됩니다.

사용자 제외

조건부 액세스 정책은 강력한 도구이므로 정책에서 다음 계정을 제외하는 것이 좋습니다.

• 테넌트 전체 계정 잠금을 방지하기 위한 응급 액세스 또는 비상 계정. 드문 경우지만 모든 관리자가 테넌트에서 잠기면 응급 액세스 관리 계정을 사용하여 테넌트에 로그인하여 액세스 복구 단계를 수행할 수 있습니다.
  • 자세한 내용은 Microsoft Entra ID에서 긴급 액세스 계정 관리 문서를 참조하세요.
• 서비스 계정 및 서비스 주체(예: Microsoft Entra Connect 동기화 계정) 서비스 계정은 특정 사용자에게 연결되지 않은 비대화형 계정입니다. 일반적으로 애플리케이션에 대한 프로그래매틱 액세스를 허용하는 백엔드 서비스에서 사용하지만 관리 목적으로 시스템에 로그인할 때도 사용합니다. MFA를 프로그래밍 방식으로 완료할 수 없기 때문에 이러한 서비스 계정은 제외되어야 합니다. 서비스 주체가 수행한 호출은 사용자로 범위가 지정된 조건부 액세스 정책에서 차단하지 않습니다. 워크로드 ID에 조건부 액세스를 사용하여 서비스 주체를 대상으로 하는 정책을 정의합니다.
  • 조직에서 스크립트 또는 코드에 이러한 계정을 사용 중인 경우 이를 관리 ID로 바꾸는 것이 좋습니다. 임시 해결 방법으로 기준 정책에서 이러한 특정 계정을 제외할 수 있습니다.

규격 네트워크 정책 사용해 보기

1. 전역 보안 액세스 클라이언트가 설치되고 실행 중인 최종 사용자 디바이스에서 리소스에 대한 액세스 권한이 있는 경우 https://outlook.office.com/mail/ 찾아보거나 https://yourcompanyname.sharepoint.com/찾습니다.
2. Windows 트레이에서 애플리케이션을 마우스 오른쪽 단추로 클릭하고 일시 중지를 선택하여 Global Secure Access 클라이언트를 일시 중지합니다.
3. https://outlook.office.com/mail/ 또는 https://yourcompanyname.sharepoint.com/로 이동하고 지금 액세스할 수 없다는 오류 메시지와 함께 리소스에 액세스할 수 없습니다.

문제 해결

Microsoft Graph를 사용하여 명명된 새 위치가 자동으로 만들어졌는지 확인합니다.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

사용 조건

Microsoft Entra 프라이빗 액세스 및 Microsoft Entra 인터넷 액세스 미리 보기 환경 및 기능의 사용에는 서비스를 획득한 계약의 미리 보기 온라인 서비스 이용 약관이 적용됩니다. 미리 보기에는 온라인 서비스용 범용 사용 약관 및 Microsoft 제품 및 서비스 데이터 보호 부록("DPA") 및 미리 보기와 함께 제공되는 기타 고지 사항에 자세히 설명된 대로 보안, 규정 준수 및 개인 정보 보호 약정이 축소되거나 다르게 적용될 수 있습니다.

다음 단계

Windows용 전역 보안 액세스 클라이언트(미리 보기)