모든 앱용 조건부 액세스 앱 제어 온보딩 및 배포

적용 대상: Microsoft Cloud App Security

중요

Microsoft의 위협 방지 제품 이름을 변경합니다. 여기에서 이 변경 및 기타 업데이트에 대해 자세히 알아보세요. 가까운 미래에 제품 및 문서에 이름을 업데이트할 예정입니다.

Microsoft Cloud App Security 세션 컨트롤은 모든 웹앱에서 작동하도록 구성할 수 있습니다. 이 문서에서는 세션 제어를 사용하여 azure AD(Azure Active Directory) 애플리케이션 프록시 통해 호스팅되는 사용자 지정 사업장 앱, 비기능 SaaS 앱 및 온-프레미스 앱을 온보딩하고 배포하는 방법을 설명합니다.

Cloud App Security 기능을 갖춘 앱 목록은 Cloud App Security 조건부 액세스 앱 제어 사용하여 앱 보호를참조하세요.

필수 조건

  • 조직에는 조건부 액세스 앱 제어 사용하려면 다음 라이선스가 있어야 합니다.

  • Single Sign-On으로 앱을 구성해야 합니다.

  • 앱은 다음 인증 프로토콜 중 하나를 사용해야 합니다.

    IdP 프로토콜
    Azure AD SAML 2.0 또는 OpenID Connect
    기타 SAML 2.0

앱을 배포하려면

다음 단계에 따라 Cloud App Security 조건부 액세스 앱 제어 제어할 앱을 구성합니다.

1단계: Cloud App Security 작동하도록 IdP 구성

2단계: 앱을 배포할 사용자 구성

3단계: 배포할 앱 구성

4단계: 앱이 제대로 작동하는지 확인

5단계: 조직에서 사용할 앱 사용

6단계: Azure AD 정책 업데이트

참고

Azure AD 앱용 조건부 액세스 앱 제어 배포하려면 Azure Active Directory Premium P1 이상에 유효한 라이선스와 Cloud App Security 라이선스가 필요합니다.

1단계: Cloud App Security 작동하도록 IdP 구성

Azure AD와의 통합 구성

참고

Azure AD 또는 다른 id 공급자에서 SSO를 사용 하 여 응용 프로그램을 구성 하는 경우 선택적으로 나열 될 수 있는 하나의 필드가 로그온 URL 설정입니다. 조건부 액세스 앱 제어 작업을 수행 하려면이 필드가 필요할 수 있습니다.

앱 세션을 Cloud App Security로 라우팅하는 Azure AD 조건부 액세스 정책을 만들려면 다음 단계를 사용 합니다. 다른 IdP 솔루션은 다른 IdP 솔루션과의 통합 구성을 참조 하세요.

  1. Azure AD에서 보안 > 조건부 액세스 로 이동 합니다.

  2. 조건부 액세스 창의 맨 위에 있는 도구 모음에서 새 정책 을 클릭 합니다.

  3. 창의 이름 텍스트 상자에 정책 이름을 입력 합니다.

  4. 할당 아래에서 사용자 및 그룹 을 클릭 하 고 앱에 등록 (초기 로그온 및 확인) 할 사용자를 할당 한 후 완료 를 클릭 합니다.

  5. 할당 아래에서 클라우드 앱 을 클릭 하 고 조건부 액세스 앱 제어 제어 하려는 앱을 할당 한 다음 완료 를 클릭 합니다.

  6. 액세스 제어 에서 세션 을 클릭 하 고 조건부 액세스 앱 제어 사용 을 선택 하 고, 기본 제공 정책 (모니터 전용 또는 차단 다운로드)을 선택 하거나, 사용자 지정 정책을 사용 하 여 Cloud App Security에서 고급 정책을 설정 하 고 선택 을 클릭 합니다.

    Azure AD 조건부 액세스

  7. 필요에 따라 조건을 추가 하 고 컨트롤을 부여 합니다.

  8. 정책 사용켜기 로 설정 하 고 만들기 를 클릭 합니다.

다른 IdP 솔루션과의 통합 구성

다음 단계를 사용 하 여 다른 IdP 솔루션의 앱 세션을 Cloud App Security로 라우팅합니다. Azure AD의 경우 AZURE ad와의 통합 구성을 참조 하세요.

참고

IdP 솔루션을 구성 하는 방법에 대 한 예는 다음을 참조 하세요.

  1. Cloud App Security에서 > 연결 된 앱 > 조건부 액세스 앱 제어 앱 을 탐색 하 여 조사 합니다.

  2. 더하기 기호( )를 클릭하고 + 팝업에서 배포할 앱을 선택한 다음 마법사 시작을 클릭합니다.

  3. 앱 정보 페이지에서 앱의 Single Sign-On 구성 페이지의 정보를 사용하여 양식을 작성하고 다음을 클릭합니다.

    • IdP에서 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 메타데이터 파일 업로드를 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 입력을 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱에서 SAML 인증서를 제공하는 경우 <app_name> SAML 인증서 사용을 선택하고 인증서 파일을 업로드합니다.

    앱 정보 페이지를 보여주는 스크린샷

  4. ID 공급자 페이지에서 제공된 단계를 사용하여 IdP의 포털에서 새 애플리케이션을 설정한 후 다음을 클릭합니다.

    1. IdP의 포털로 이동하여 새 사용자 지정 SAML 앱을 만듭니다.
    2. 기존 앱의 Single Sign-On <app_name> 구성을 새 사용자 지정 앱에 복사합니다.
    3. 새 사용자 지정 앱에 사용자를 할당합니다.
    4. 앱 Single Sign-On 구성 정보를 복사합니다. 다음 단계에서 필요합니다.

    ID 공급자 정보 수집 페이지를 보여주는 스크린샷

    참고

    이러한 단계는 ID 공급자에 따라 약간 다를 수 있습니다. 이 단계는 다음과 같은 이유로 권장됩니다.

    • 일부 ID 공급자는 갤러리 앱의 SAML 특성 또는 URL 속성을 변경할 수 없습니다.
    • 사용자 지정 앱을 구성하면 조직의 기존 동작을 변경하지 않고도 액세스 및 세션 제어를 사용하여 이 애플리케이션을 테스트할 수 있습니다.
  5. 다음 페이지에서 앱의 Single Sign-On 구성 페이지의 정보를 사용하여 양식을 작성하고 다음을 클릭합니다.

    • IdP에서 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 메타데이터 파일 업로드를 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 입력을 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱이 SAML 인증서를 제공 하는 경우 <app_name> 사용 하 여 saml 인증서 를 선택 하 고 인증서 파일을 업로드 합니다.

    Id 공급자 정보 입력 페이지를 보여 주는 스크린샷

  6. 다음 페이지에서 다음 정보를 복사 하 고 다음을 클릭 합니다. 다음 단계에서이 정보가 필요 합니다.

    • Single sign-on URL
    • 특성 및 값

    Id 공급자 수집 SAML 정보 페이지를 보여 주는 스크린샷

  7. IdP의 포털에서 다음을 수행 합니다.

    참고

    설정은 일반적으로 IdP 포털의 사용자 지정 앱 설정 페이지에서 찾을 수 있습니다.

    1. 바람직하지 현재 설정의 백업을 만듭니다.

    2. Single Sign-On URL 필드 값을 앞에서 적어둔 Cloud App Security SAML Single Sign-On URL로 바꿉니다.

      참고

      일부 공급자는 회신 url 로 Single Sign-On URL을 참조할 수 있습니다.

    3. 이전에 기록한 특성과 값을 앱의 속성에 추가 합니다.

      참고

      • 일부 공급자는이를 사용자 특성 또는 클레임 으로 참조할 수 있습니다.
      • 새 SAML 앱을 만들 때 Okta Id 공급자는 특성을 1024 자로 제한 합니다. 이러한 제한을 완화 하려면 먼저 관련 특성 없이 앱을 만듭니다. 앱을 만든 후 편집 하 고 관련 특성을 추가 합니다.
    4. 이름 식별자가 전자 메일 주소 형식 인지 확인 합니다.

    5. 설정을 저장합니다.

  8. 앱 변경 페이지에서 다음을 수행한 후 다음을 클릭 합니다. 다음 단계에서 정보가 필요합니다.

    • Single Sign-On URL 복사
    • Cloud App Security SAML 인증서 다운로드

    CLOUD APP SECURITY SAML 정보 수집 페이지를 보여주는 스크린샷

  9. 앱의 포털에서 Single #1 설정에서 다음을 수행합니다.

    1. [권장] 현재 설정의 백업을 만듭니다.
    2. Single Sign-On URL 필드에 앞에서 적어 둔 Cloud App Security Single Sign-On URL을 입력합니다.
    3. 이전에 다운로드한 Cloud App Security SAML 인증서를 업로드합니다.

    참고

    • 설정을 저장한 후 이 앱에 연결된 모든 로그인 요청이 조건부 액세스 앱 제어 통해 라우팅됩니다.
    • Cloud App Security SAML 인증서는 1년 동안 유효합니다. 만료된 후 새 인증서를 생성해야 합니다.

<a name="step-2-configure-the-users-that-will-deploy-the-app">2단계: 앱을 배포할 사용자 구성

  1. Cloud App Security 메뉴 모음에서 설정 톱니바구니 ![설정 아이콘을](media/settings-icon.png "설정 아이콘") 클릭하고 설정을 선택합니다.

  2. 조건부 액세스 앱 제어 아래에서 앱 온보딩/유지 관리를 선택합니다.

  3. 앱을 온보딩할 사용자의 사용자 계정 이름 또는 전자 메일을 입력한 다음 저장을 클릭합니다.

    앱 온보딩 및 유지 관리 설정의 스크린샷.

3단계: 배포하는 앱 구성

배포 중인 앱으로 이동합니다. 표시되는 페이지는 앱이 인식되는지 여부에 따라 달라집니다. 다음 중 하나를 수행합니다.

앱 상태 Description 단계
인식되지 않음 앱을 구성 하 라는 메시지가 인식 되지 않습니다. 페이지가 표시 됩니다. 1. 조건부 액세스 앱 제어에 앱을 추가합니다.
2. 앱에 대 한 도메인을 추가한다음 앱으로 돌아가서 페이지를 새로 고칩니다.
3. 앱에 대 한 인증서를 설치합니다.
Recognized 앱 구성 프로세스를 계속할지 묻는 등록 페이지가 표시 됩니다. - 앱에 대 한 인증서를 설치합니다.

참고: 앱이 제대로 작동 하는 데 필요한 모든 도메인으로 앱이 구성 되어 있는지 확인 합니다. 추가 도메인을 구성 하려면 앱에 대 한 도메인 추가로 이동한 다음 앱 페이지로 돌아갑니다.

새 앱을 추가 하려면

  1. 메뉴 모음에서 설정 코그 설정 아이콘을 클릭 한 다음 조건부 액세스 앱 제어 를 선택 합니다.

  2. 배너에서 새 앱 보기 를 클릭 합니다.

    조건부 액세스 앱 제어 보기 새 앱

  3. 새 앱 목록에서 온 보 딩 하는 각 앱에 대해 + 기호를 클릭 한 다음 추가 를 클릭 합니다.

    참고

    앱이 Cloud App Security 앱 카탈로그에 표시되지 않으면 로그인 URL과 함께 알 수 없는 앱 아래의 대화 상자에 나타납니다. 이러한 앱의 + 기호를 클릭하면 애플리케이션을 사용자 지정 앱으로 온보드할 수 있습니다.

    조건부 액세스 앱 제어가 검색된 Azure AD 앱

<a name="to-add-domains-for-an-app">앱에 대 한 도메인을 추가 하려면

앱에 올바른 도메인을 연결 하면 Cloud App Security에서 정책 및 감사 작업을 적용할 수 있습니다.

예를 들어 연결 된 도메인의 파일 다운로드를 차단 하는 정책을 구성한 경우 해당 도메인에서 앱에의 한 파일 다운로드가 차단 됩니다. 그러나 앱에 연결 되지 않은 도메인에서 앱에의 한 파일 다운로드는 차단 되지 않으며 활동 로그에서 작업이 감사 되지 않습니다.

참고

Cloud App Security은 계속 해 서 사용자 환경을 보장 하기 위해 앱과 연결 되지 않은 도메인에 접미사를 추가 합니다.

  1. 앱 내에서 Cloud App Security 관리 도구 모음에서 검색 된 도메인 을 클릭 합니다.

    참고

    관리 도구 모음은 온보드 또는 유지 관리 앱에 대 한 권한이 있는 사용자 에게만 표시 됩니다.

  2. 검색 된 도메인 패널에서 도메인 이름을 적어 두고 목록을 .csv 파일로 내보냅니다.

    참고

    패널에는 앱에 연결되지 않은 검색된 도메인 목록이 표시됩니다. 도메인 이름은 정규화됩니다.

  3. Cloud App Security 이동하여 메뉴 모음에서 설정 톱니바구니 ![설정 아이콘을](media/settings-icon.png "설정 아이콘") 클릭하고 조건부 액세스 앱 제어 선택합니다.
  4. 앱 목록에서 배포하는 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음, 앱 세부 정보 에서 편집을 선택합니다.

    앱에 구성된 도메인 목록을 보려면 앱 도메인 보기를 클릭합니다.

  5. 사용자 정의 도메인 에서 이 앱과 연결할 모든 도메인을 입력한 다음 저장을 클릭합니다.

    참고

    • 와일드카드 문자를 모든 문자의 자리 표시자로 사용할 수 있습니다. 도메인을 추가할 때 특정 도메인(, ) 또는 여러 도메인( )을 추가할지 여부를 sub1.contoso.com sub2.contoso.com *.contoso.com 결정합니다.

루트 인증서를 설치하려면

  1. 다음 단계를 반복하여 현재 CA다음 CA 자체 서명된 루트 인증서를 설치합니다.

    1. 인증서를 선택합니다.
    2. 열기를 클릭하고 메시지가 표시되면 열기를 다시 클릭합니다.
    3. 인증서 설치를 클릭합니다.
    4. 현재 사용자 또는 로컬 컴퓨터 를 선택합니다.
    5. 모든 인증서를 다음 저장소에 저장을 선택한 다음 찾아보기를 클릭합니다.
    6. 신뢰할 수 있는 루트 인증 기관을 선택한 다음 확인을 클릭합니다.
    7. Finish 를 클릭합니다.

    참고

    인증서를 인식하려면 인증서를 설치한 후 브라우저를 다시 시작하고 동일한 페이지로 이동해야 합니다.

  2. 계속 을 클릭합니다.

4단계: 앱이 제대로 작동하는지 확인

  1. 로그인 흐름이 제대로 작동하는지 확인합니다.
  2. 앱에 있으면 다음 검사를 수행합니다.
    1. 사용자 작업 프로세스의 일부인 앱 내의 모든 페이지를 방문하여 페이지가 올바르게 렌더링되는지 확인합니다.
    2. 파일 다운로드 및 업로드와 같은 일반적인 작업을 수행 하 여 앱의 동작 및 기능이 부정적인 영향을 받지 않는지 확인 합니다.
    3. 앱과 연결 된 도메인의 목록을 검토 합니다. 자세한 내용은 앱에 대 한 도메인 추가를 참조 하세요.

5 단계: 조직에서 사용할 수 있도록 앱 사용

조직의 프로덕션 환경에서 사용할 수 있도록 앱을 사용할 준비가 되 면 다음 단계를 수행 합니다.

  1. Cloud App Security에서 설정 코그  설정 아이콘을 클릭 한 다음 조건부 액세스 앱 제어 를 선택 합니다.

  2. 앱 목록에서 배포 하려는 앱이 표시 되는 행에서 행의 끝에 있는 세 개의 점을 선택 하 고 앱 편집 을 선택 합니다.

  3. 조건부 액세스 앱 제어 사용 을 선택 하 고 저장 을 클릭 합니다.

    세션 컨트롤 팝업 사용

6 단계: Azure AD 정책 업데이트 (Azure AD에만 해당)

  1. Azure AD의 보안 에서 조건부 액세스 를 클릭 합니다.
  2. 앞에서 만든 정책을 업데이트 하 여 필요한 관련 사용자, 그룹 및 컨트롤을 포함 합니다.
  3. 세션 > 사용 조건부 액세스 앱 제어 아래에서 사용자 지정 정책 사용 을 선택한 경우 Cloud App Security로 이동 하 여 해당 세션 정책을 만듭니다. 자세한 내용은 세션 정책을 참조하세요.

다음 단계

참고 항목

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.