Azure Active Directory를 사용하여 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Microsoft Defender for Cloud Apps 세션 컨트롤은 모든 웹앱에서 작동하도록 구성할 수 있습니다. 이 문서에서는 세션 컨트롤이 있는 Azure Active Directory(Azure AD) 애플리케이션 프록시 통해 호스트되는 사용자 지정 기간 업무 앱, 비특이 SaaS 앱 및 온-프레미스 앱을 온보딩하고 배포하는 방법을 설명합니다. 앱 세션을 클라우드용 Defender 앱으로 라우팅하는 Azure AD 조건부 액세스 정책을 만드는 단계를 제공합니다. 다른 IdP 솔루션은 Microsoft IdP가 아닌 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포를 참조하세요.

클라우드용 Defender 앱에서 기본적으로 작동하는 앱 목록은 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.

필수 구성 요소

앱 온보딩/유지 관리 목록에 관리자 추가

  1. 클라우드용 Defender 앱의 메뉴 모음에서 설정 코그 settings icon 4 를 선택하고 설정 선택합니다.

  2. 조건부 액세스 앱 제어에서 앱 온보딩/유지 관리를 선택합니다.

  3. 앱을 온보딩할 사용자의 사용자 계정 이름 또는 전자 메일을 입력한 다음 저장을 선택합니다.

    Screenshot of settings for App onboarding and maintenance.

필요한 라이선스 확인

  • 조직에서 조건부 액세스 앱 제어를 사용하려면 다음 라이선스가 있어야 합니다.

  • Single Sign-On을 사용하여 앱을 구성해야 합니다.

  • 앱은 다음 인증 프로토콜 중 하나를 사용해야 합니다.

    IdP 프로토콜
    Azure AD SAML 2.0 또는 OpenID Connect

앱을 배포하려면

다음 단계에 따라 클라우드용 Defender 앱 조건부 액세스 앱 제어에서 제어할 앱을 구성합니다.

  1. 클라우드용 Defender 앱에서 작동하도록 Azure AD 구성

  2. 배포하는 앱 구성

  3. 앱이 올바르게 작동하는지 확인합니다.

  4. 조직에서 사용할 앱 활성화

  5. Azure AD 정책 업데이트

참고

Azure AD 앱에 대한 조건부 액세스 앱 제어를 배포하려면 Azure Active Directory Premium P1 이상의 유효한 라이선스와 클라우드용 Defender 앱 라이선스가 필요합니다.

1단계: 클라우드용 Defender 앱에서 작동하도록 Azure AD 구성

참고

Azure AD 또는 다른 ID 공급자에서 SSO를 사용하여 애플리케이션을 구성할 때 선택 사항으로 나열될 수 있는 한 필드는 로그온 URL 설정입니다. 조건부 액세스 앱 제어가 작동하려면 이 필드가 필요할 수 있습니다.

  1. Azure AD 보안>조건부 액세스로 찾습니다.

  2. 조건부 액세스 창의 위쪽 도구 모음에서 새 정책 -새 정책 만들기를> 선택합니다.

  3. 창의 이름 텍스트 상자에 정책 이름을 입력합니다.

  4. 할당에서 사용자 또는 워크로드 ID를 선택하고, 앱을 온보딩(초기 로그온 및 확인)할 사용자를 할당한 다음 완료를 선택합니다.

  5. 할당에서 클라우드 앱 또는 작업을 선택하고 조건부 액세스 앱 제어를 사용하여 제어하려는 앱을 할당한 다음 완료를 선택합니다.

  6. 액세스 제어에서 세션을 선택하고, 조건부 액세스 앱 컨트롤 사용을 선택하고, 기본 제공 정책(모니터 전용 또는 다운로드 차단)을 선택하거나, 사용자 지정 정책을 사용하여 클라우드용 Defender 앱에서 고급 정책을 설정한 다음 선택을 클릭합니다.

    Azure AD conditional access.

  7. 필요에 따라 조건을 추가하고 필요에 따라 컨트롤을 부여합니다.

  8. 정책 사용 설정을 기로 설정한 다음 만들기를 선택합니다.

2단계: 필요한 경우 앱을 수동으로 추가하고 인증서 설치

앱 카탈로그의 애플리케이션은 연결된 앱 아래의 테이블에 자동으로 채워집니다. 배포하려는 앱이 해당 앱을 탐색하여 인식되고 있는지 확인합니다.

  1. 클라우드용 Defender 앱의 메뉴 모음에서 설정 코그settings icon 1를 선택하고 조건부 액세스 앱 제어 탭을 선택하여 액세스 및 세션 정책으로 구성할 수 있는 애플리케이션 테이블에 액세스합니다.

    Conditional access app control apps

  2. 앱 선택 : 앱 선택... 드롭다운 메뉴를 선택하여 배포하려는 앱을 필터링하고 검색합니다.

    Select App: Select apps to search for the app

  3. 앱이 표시되지 않으면 수동으로 추가해야 합니다.

식별되지 않은 앱을 수동으로 추가하는 방법

  1. 배너에서 새 앱 보기를 선택합니다.

    Conditional access app control view new apps

  2. 새 앱 목록에서 온보딩 중인 각 앱에 대해 기호를 + 선택한 다음 추가를 선택합니다.

    참고

    앱이 클라우드용 Defender 앱 카탈로그에 표시되지 않으면 로그인 URL과 함께 확인되지 않은 앱 아래 대화 상자에 표시됩니다. 이러한 앱의 + 기호를 클릭하면 애플리케이션을 사용자 지정 앱으로 온보드할 수 있습니다.

    Conditional access app control discovered Azure AD apps

앱에 대한 도메인을 추가하려면

앱에 올바른 도메인을 연결하면 클라우드용 Defender 앱이 정책 및 감사 활동을 적용할 수 있습니다.

예를 들어 연결된 도메인에 대한 파일 다운로드를 차단하는 정책을 구성한 경우 해당 도메인에서 앱에서 파일 다운로드가 차단됩니다. 그러나 앱과 연결되지 않은 도메인에서 앱의 파일 다운로드는 차단되지 않으며 활동 로그에서 작업을 감사하지 않습니다.

참고

클라우드용 Defender 앱은 원활한 사용자 환경을 보장하기 위해 앱과 연결되지 않은 도메인에 접미사를 추가합니다.

  1. 앱 내의 클라우드용 Defender 앱 관리 도구 모음에서 검색된 도메인을 선택합니다.

    참고

    관리 도구 모음은 온보딩 또는 유지 관리 앱을 사용할 수 있는 권한이 있는 사용자만 볼 수 있습니다.

  2. 검색된 도메인 패널에서 도메인 이름을 기록하거나 목록을 .csv 파일로 내보냅니다.

    참고

    패널에는 앱에 연결되지 않은 검색된 도메인 목록이 표시됩니다. 도메인 이름은 정규화되어 있습니다.

  3. 클라우드용 Defender 앱으로 이동하고, 메뉴 모음에서 설정 톱글을 settings icon 2 선택하고 조건부 액세스 앱 제어를 선택합니다.
  4. 앱 목록의 배포 중인 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음 , APP DETAILS에서 편집을 선택합니다.

    앱에 구성된 도메인 목록을 보려면 앱 도메인 보기를 선택합니다.

  5. 사용자 정의 도메인에서 이 앱과 연결하려는 모든 도메인을 입력한 다음 저장을 선택합니다.

    참고

    * 와일드카드 문자를 모든 문자의 자리 표시자로 사용할 수 있습니다. 도메인을 추가할 때 특정 도메인(,sub2.contoso.com) 또는 여러 도메인(sub1.contoso.com)을 추가할지 여부를 결정합니다*.contoso.com.

루트 인증서 설치

  1. 다음 단계를 반복하여 현재 CA다음 CA 자체 서명 루트 인증서를 설치합니다.

    1. 인증서를 선택합니다.
    2. 열기를 선택하고 메시지가 표시되면 다시 열기를 선택합니다.
    3. 인증서 설치를 선택합니다.
    4. 현재 사용자 또는 로컬 컴퓨터를 선택합니다.
    5. 다음 저장소에 모든 인증서를 배치한 다음 찾아보기를 선택합니다.
    6. 신뢰할 수 있는 루트 인증 기관을 선택한 다음 확인을 선택합니다.
    7. 마침을 선택합니다.

    참고

    인증서를 인식하려면 인증서를 설치한 후 브라우저를 다시 시작하고 동일한 페이지로 이동해야 합니다.

  2. 계속을 선택합니다.

  3. 테이블에서 애플리케이션을 사용할 수 있는지 확인합니다.

    Check if app is available in table

3단계: 앱이 올바르게 작동하는지 확인

애플리케이션이 프록시되고 있는지 확인하려면 먼저 애플리케이션과 연결된 브라우저에서 하드 로그아웃을 수행하거나 시크릿 모드로 새 브라우저를 엽니다.

애플리케이션을 열고 다음 검사를 수행합니다.

  • URL에 접미사가 포함되어 있는지 확인합니다..mcas
  • 사용자의 작업 프로세스에 포함된 앱 내의 모든 페이지를 방문하여 페이지가 올바르게 렌더링되는지 확인합니다.
  • 파일 다운로드 및 업로드와 같은 일반적인 작업을 수행하여 앱의 동작과 기능이 부정적인 영향을 받지 않는지 확인합니다.
  • 앱과 연결된 도메인 목록을 검토합니다. 자세한 내용은 앱의 도메인 추가를 참조하세요.

오류 또는 문제가 발생하는 경우 관리 도구 모음을 사용하여 지원 티켓을 제출하기 위한 파일 및 기록된 세션과 같은 .har 리소스를 수집합니다.

4단계: 조직에서 사용할 앱 사용

조직의 프로덕션 환경에서 앱을 사용하도록 설정할 준비가 되면 다음 단계를 수행합니다.

  1. 클라우드용 Defender 앱에서 설정 코그settings icon 3를 선택한 다음 조건부 액세스 앱 제어를 선택합니다.

  2. 앱 목록의 배포 중인 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음 , 앱 편집을 선택합니다.

  3. 조건부 액세스 앱 컨트롤에서 사용을 선택한 다음, 저장을 선택합니다.

    Enable session controls pop-up

5단계: Azure AD 정책 업데이트

  1. Azure AD 보안에서 조건부 액세스를 선택합니다.
  2. 이전에 만든 정책을 업데이트하여 필요한 관련 사용자, 그룹 및 컨트롤을 포함합니다.
  3. 세션>사용 조건부 액세스 앱 제어에서 사용자 지정 정책 사용을 선택한 경우 클라우드용 Defender 앱으로 이동하여 해당 세션 정책을 만듭니다. 자세한 내용은 세션 정책을 참조하세요.

다음 단계

참고 항목

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.