추천 앱용 조건부 액세스 앱 제어 배포

적용 대상: Microsoft Cloud App Security

중요

Microsoft의 위협 방지 제품 이름을 변경합니다. 여기에서 이 변경 및 기타 업데이트에 대해 자세히 알아보세요. 가까운 미래에 제품 및 문서에 이름을 업데이트할 예정입니다.

의 세션 컨트롤은 추천 앱에서 작동 Microsoft Cloud App Security. 기본적으로 사용 Cloud App Security 하 여 제공 되는 앱 목록은 Cloud App Security 조건부 액세스 앱 제어를 사용 하 여 앱 보호를 참조 하세요.

사전 요구 사항

  • 조건부 액세스 앱 제어 사용 하려면 조직에 다음 라이선스가 있어야 합니다.

  • Single Sign-On를 사용 하 여 앱을 구성 해야 합니다.

  • 앱은 다음 인증 프로토콜 중 하나를 사용 해야 합니다.

    IdP 프로토콜
    Azure AD SAML 2.0 또는 OpenID Connect
    기타 SAML 2.0

Microsoft Cloud App Security 조건부 액세스 앱 제어에서 제어할 추천 앱을 구성 하려면 다음 단계를 수행 합니다.

1 단계: Cloud App Security을 사용 하도록 IdP 구성

2 단계: 정책으로 범위가 지정 된 사용자를 사용 하 여 각 앱에 로그인

3 단계: 앱이 액세스 및 세션 제어를 사용 하도록 구성 되어 있는지 확인

4 단계: 조직에서 사용할 수 있도록 앱 사용

5 단계: 배포 테스트

1 단계: Cloud App Security을 사용 하도록 IdP 구성

Azure AD와 통합 구성

참고

Azure AD 또는 다른 id 공급자에서 SSO를 사용 하 여 응용 프로그램을 구성 하는 경우 선택적으로 나열 될 수 있는 하나의 필드가 로그온 URL 설정입니다. 조건부 액세스 앱 제어 작업을 수행 하려면이 필드가 필요할 수 있습니다.

앱 세션을 Cloud App Security로 라우팅하는 Azure AD 조건부 액세스 정책을 만들려면 다음 단계를 사용 합니다. 다른 IdP 솔루션은 다른 IdP 솔루션과의 통합 구성을 참조 하세요.

  1. Azure AD에서 보안 > 조건부 액세스 로 이동 합니다.

  2. 조건부 액세스 창의 맨 위에 있는 도구 모음에서 새 정책 을 선택 합니다.

  3. 창의 이름 텍스트 상자에 정책 이름을 입력 합니다.

  4. 할당 아래에서 사용자 및 그룹 을 선택 하 고 앱에 대 한 온 보 딩 사용자 (초기 로그온 및 확인)를 할당 한 다음 완료 를 선택 합니다.

  5. 할당 아래에서 클라우드 앱 을 선택 하 고 조건부 액세스 앱 제어 제어 하려는 앱을 할당 한 다음 완료 를 선택 합니다.

  6. 액세스 제어 에서 세션 을 선택 하 고, 조건부 액세스 앱 제어 사용 을 선택 하 고, 기본 제공 정책 (모니터 전용 (미리 보기) 또는 다운로드 차단 (미리 보기))을 선택 하거나, 사용자 지정 정책을 사용 하 여 Cloud App Security에서 고급 정책을 설정한 다음, 선택 을 선택 합니다.

    Azure AD 조건부 액세스.

  7. 필요에 따라 조건을 추가 하 고 컨트롤을 부여 합니다.

  8. 정책 사용켜기 로 설정 하 고 만들기 를 선택 합니다.

다른 IdP 솔루션과의 통합 구성

다음 단계를 사용 하 여 다른 IdP 솔루션의 앱 세션을 Cloud App Security로 라우팅합니다. Azure AD의 경우 AZURE ad와의 통합 구성을 참조 하세요.

참고

IdP 솔루션을 구성 하는 방법에 대 한 예는 다음을 참조 하세요.

  1. Cloud App Security에서 > 연결 된 앱 > 조건부 액세스 앱 제어 앱 을 탐색 하 여 조사 합니다.

  2. 더하기 기호 ( + )를 선택 하 고, 팝업에서 배포 하려는 앱을 선택한 다음, 마법사 시작 을 선택 합니다.

  3. 앱 정보 페이지에서 앱의 Single Sign-On 구성 페이지에 있는 정보를 사용 하 여 양식을 작성 하 고 다음 을 선택 합니다.

    • IdP가 선택한 앱에 대 한 Single Sign-On 메타 데이터 파일을 제공 하는 경우 앱에서 업로드 메타 데이터 파일을 선택 하 고 메타 데이터 파일을 업로드 합니다.
    • 또는 데이터를 수동으로 입력 을 선택 하 고 다음 정보를 제공 합니다.
      • 어설션 소비자 서비스 URL
      • 앱이 SAML 인증서를 제공 하는 경우 <app_name> 사용 하 여 saml 인증서 를 선택 하 고 인증서 파일을 업로드 합니다.

    앱 정보 페이지를 보여 주는 스크린샷

  4. ID 공급자 페이지에서 제공 된 단계를 사용 하 여 IdP의 포털에서 새 응용 프로그램을 설정한 후 다음 을 선택 합니다.

    1. IdP의 포털로 이동 하 여 새 사용자 지정 SAML 앱을 만듭니다.
    2. 기존 앱의 Single Sign-On 구성을 <app_name> 새 사용자 지정 앱에 복사 합니다.
    3. 사용자를 새 사용자 지정 앱에 할당 합니다.
    4. 앱 Single Sign-On 구성 정보를 복사 합니다. 이 값은 다음 단계에 필요합니다.

    Id 공급자 정보 수집 페이지를 보여 주는 스크린샷

    참고

    이러한 단계는 id 공급자에 따라 약간 다를 수 있습니다. 이 단계는 다음과 같은 경우에 권장 됩니다.

    • 일부 id 공급자는 갤러리 앱의 SAML 특성 또는 URL 속성을 변경할 수 없습니다.
    • 사용자 지정 앱을 구성 하면 조직의 기존 동작을 변경 하지 않고 액세스 및 세션 제어를 사용 하 여이 응용 프로그램을 테스트할 수 있습니다.
  5. 다음 페이지에서 앱의 Single Sign-On 구성 페이지에 있는 정보를 사용 하 여 양식을 작성 하 고 다음 을 선택 합니다.

    • IdP가 선택한 앱에 대 한 Single Sign-On 메타 데이터 파일을 제공 하는 경우 앱에서 업로드 메타 데이터 파일을 선택 하 고 메타 데이터 파일을 업로드 합니다.
    • 또는 데이터를 수동으로 입력 을 선택 하 고 다음 정보를 제공 합니다.
      • 어설션 소비자 서비스 URL
      • 앱이 SAML 인증서를 제공 하는 경우 <app_name> 사용 하 여 saml 인증서 를 선택 하 고 인증서 파일을 업로드 합니다.

    Id 공급자 정보 입력 페이지를 보여 주는 스크린샷

  6. 다음 페이지에서 다음 정보를 복사한 후 다음을 선택 합니다. 다음 단계에서이 정보가 필요 합니다.

    • Single sign-on URL
    • 특성 및 값

    Id 공급자 수집 SAML 정보 페이지를 보여 주는 스크린샷

  7. IdP의 포털에서 다음을 수행 합니다.

    참고

    설정은 일반적으로 IdP 포털의 사용자 지정 앱 설정 페이지에서 찾을 수 있습니다.

    1. Single Sign-On URL 필드에 이전에 기록해 둔 Single Sign-On URL을 입력 합니다.

      참고

      일부 공급자는 회신 url 로 Single Sign-On URL을 참조할 수 있습니다.

    2. 이전에 기록한 특성과 값을 앱의 속성에 추가 합니다.

      참고

      • 일부 공급자는이를 사용자 특성 또는 클레임 으로 참조할 수 있습니다.
      • 새 SAML 앱을 만들 때 Okta Id 공급자는 특성을 1024 자로 제한 합니다. 이러한 제한을 완화 하려면 먼저 관련 특성 없이 앱을 만듭니다. 앱을 만든 후 편집 하 고 관련 특성을 추가 합니다.
    3. 이름 식별자가 전자 메일 주소 형식 인지 확인 합니다.
    4. 설정을 저장합니다.
  8. 앱 변경 페이지에서 다음을 수행한 후 다음을 선택 합니다. 다음 단계에서이 정보가 필요 합니다.

    • Single sign-on URL 복사
    • Cloud App Security SAML 인증서 다운로드

    Cloud App Security SAML 정보 수집 페이지를 보여 주는 스크린샷

  9. 앱 포털의 Single Sign-On 설정에서 다음을 수행 합니다.

    1. 바람직하지 현재 설정의 백업을 만듭니다.
    2. id 공급자 로그인 url 필드 값을 앞에서 적어둔 Cloud App Security SAML Single Sign-On url로 바꿉니다.
    3. 이전에 다운로드 한 Cloud App Security SAML 인증서를 업로드 합니다.
    4. 저장 을 선택합니다.

    참고

    • 설정을 저장 한 후이 앱에 연결 된 모든 로그인 요청은 조건부 액세스 앱 제어를 통해 라우팅됩니다.
    • Cloud App Security SAML 인증서는 1 년 동안 유효 합니다. 만료 되 면 새 인증서를 생성 해야 합니다.

2 단계: 정책으로 범위가 지정 된 사용자를 사용 하 여 각 앱에 로그인

참고

계속 하기 전에 먼저 기존 세션에서 로그 아웃 해야 합니다.

정책을 만든 후에는 해당 정책에 구성된 각 앱에 로그인합니다. 정책에 구성된 사용자를 사용하여 로그인했는지 확인합니다.

Cloud App Security은 로그인 하는 각 새 앱에 대 한 정책 세부 정보를 해당 서버와 동기화 합니다. 여기에는 최대 1분이 소요될 수 있습니다.

3 단계: 앱이 액세스 및 세션 제어를 사용 하도록 구성 되어 있는지 확인

위의 지침을 따르면 Azure AD에서 직접 추천 앱에 대한 기본 제공 Cloud App Security 정책을 만들 수 있습니다. 이 단계에서는 액세스 및 세션 컨트롤이 이러한 앱에 대해 구성 되어 있는지 확인 합니다.

  1. Cloud App Security 포털에서 설정 코그 설정 아이콘을 선택 하 고 조건부 액세스 앱 제어 를 선택 합니다.

  2. 조건부 액세스 앱 제어 apps 테이블에서 사용 가능한 제어 열을 살펴보고 앱에 대 한 액세스 제어 또는 Azure AD 조건부 액세스세션 제어가 모두 표시 되는지 확인 합니다.

    참고

    앱에 대 한 세션 제어가 표시 되지 않는 경우 해당 특정 앱에 대해 아직 사용할 수 없습니다. 사용자 지정 앱으로 즉시 추가 하거나 세션 제어 요청 을 클릭 하 여 해당 앱을 추천 앱으로 추가 하는 요청을 열 수 있습니다.

    조건부 액세스 앱 제어 요청입니다.

4 단계: 조직에서 사용할 수 있도록 앱 사용

조직의 프로덕션 환경에서 사용할 수 있도록 앱을 사용할 준비가 되 면 다음 단계를 수행 합니다.

  1. Cloud App Security에서 설정 코그  설정 아이콘을 선택 하 조건부 액세스 앱 제어 를 선택 합니다.

  2. 앱 목록에서 배포 하려는 앱이 표시 되는 행에서 행의 끝에 있는 세 개의 점을 선택 하 고 앱 편집 을 선택 합니다.

  3. 조건부 액세스 앱 제어 사용 을 선택 하 고 저장 을 선택 합니다.

    세션 컨트롤 팝업을 사용 하도록 설정 합니다.

5 단계: 배포 테스트

  1. 먼저 기존 세션에서 로그아웃합니다. 그런 다음, 성공적으로 배포된 각 앱에 로그인합니다. Azure AD에 구성 된 정책과 일치 하는 사용자 또는 id 공급자로 구성 된 SAML 앱을 사용 하 여 로그인 합니다.

  2. Cloud App Security 포털조사 에서 활동 로그 를 선택 하 고 각 앱에 대해 로그인 활동이 캡처되고 있는지 확인 합니다.

  3. 고급 을 클릭한 다음, 원본이 액세스 제어와 같음 을 사용하여 필터링할 수 있습니다.

    Azure AD 조건부 액세스를 사용 하 여 필터링 합니다.

  4. 관리되는 디바이스와 관리되지 않는 디바이스에서 모바일 및 데스크톱 앱에 로그인하는 것이 좋습니다. 이는 활동이 활동 로그에 제대로 캡처되었는지 확인하기 위한 것입니다.
    활동이 제대로 캡처 되었는지 확인 하려면 활동 서랍을 열 Single Sign-On 로그인 활동을 선택 합니다. 사용자 에이전트 태그 에서 디바이스가 네이티브 클라이언트(모바일 또는 데스크톱 앱)인지 또는 디바이스가 관리 디바이스(준수, 도메인 가입 또는 유효한 클라이언트 인증서)인지 여부를 제대로 반영하는지 확인합니다.

참고

배포된 후에는 조건부 액세스 앱 제어 페이지에서 앱을 제거할 수 없습니다. 앱에서 세션 또는 액세스 정책을 설정하지 않는 한, 조건부 액세스 앱 제어는 앱의 동작을 변경하지 않습니다.

다음 단계

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.