Microsoft IdP가 아닌 카탈로그 앱에 대한 조건부 액세스 앱 제어 배포

  • 아티클
  • 읽는 데 15분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경 내용에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈이 될 것입니다. 이러한 변경 내용에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Microsoft Defender for Cloud Apps 액세스 및 세션 제어는 클라우드 앱 카탈로그의 애플리케이션 및 사용자 지정 애플리케이션에서 작동합니다. 클라우드용 Defender 앱에서 미리 온보딩된 앱 목록은 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하여 앱 보호를 참조하세요.

필수 구성 요소

  • 조직에서 조건부 액세스 앱 제어를 사용하려면 다음 라이선스가 있어야 합니다.

    • IdP(ID 공급자) 솔루션에 필요한 라이선스
    • Microsoft Defender for Cloud 앱

  • Single Sign-On을 사용하여 앱을 구성해야 합니다.

  • 앱은 다음 인증 프로토콜 중 하나를 사용해야 합니다.

    IdP 프로토콜
    Azure AD SAML 2.0 또는 OpenID Connect
    기타 SAML 2.0

카탈로그 앱을 배포하려면

다음 단계에 따라 Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어에서 제어할 카탈로그 앱을 구성합니다.

1단계: 클라우드용 Defender 앱에서 작동하도록 IdP 구성

2단계: 정책 범위가 지정된 사용자를 사용하여 각 앱에 로그인

3단계: 앱이 액세스 및 세션 컨트롤을 사용하도록 구성되어 있는지 확인

4단계: 조직에서 사용할 앱 사용

5단계: 배포 테스트

1단계: 클라우드용 Defender 앱에서 작동하도록 IdP 구성

다른 IdP 솔루션과의 통합 구성

다음 단계를 사용하여 앱 세션을 다른 IdP 솔루션에서 클라우드용 Defender 앱으로 라우팅합니다. Azure AD Azure AD 통합 구성을 참조하세요.

참고

IdP 솔루션을 구성하는 방법의 예는 다음을 참조하세요.

  1. 클라우드용 Defender 앱에서연결된 앱조건부 액세스 앱> 제어 앱을 조사>합니다.

  2. + 추가를 선택하고 팝업에서 배포하려는 앱을 선택한 다음 시작 마법사를 선택합니다.

  3. 앱 정보 페이지에서 앱의 Single Sign-On 구성 페이지에서 정보를 사용하여 양식을 작성하고 다음을 선택합니다.

    • IdP가 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 업로드 메타데이터 파일을 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 채우기 를 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱에서 SAML 인증서를 제공하는 경우 app_name> SAML 인증서 사용을 < 선택하고 인증서 파일을 업로드합니다.

    Screenshot showing app information page.

  4. ID 공급자 페이지에서 제공된 단계를 사용하여 IdP 포털에서 새 애플리케이션을 설정한 다음, 다음을 선택합니다.

    1. IdP의 포털로 이동하여 새 사용자 지정 SAML 앱을 만듭니다.
    2. 기존 <app_name> 앱의 Single Sign-On 구성을 새 사용자 지정 앱에 복사합니다.
    3. 새 사용자 지정 앱에 사용자를 할당합니다.
    4. 앱 Single Sign-On 구성 정보를 복사합니다. 이 값은 다음 단계에 필요합니다.

    Screenshot showing gather identity provider information page.

    참고

    이러한 단계는 ID 공급자에 따라 약간 다를 수 있습니다. 이 단계는 다음과 같은 이유로 권장됩니다.

    • 일부 ID 공급자는 갤러리 앱의 SAML 특성 또는 URL 속성을 변경할 수 없습니다.
    • 사용자 지정 앱을 구성하면 조직의 기존 동작을 변경하지 않고도 액세스 및 세션 제어를 사용하여 이 애플리케이션을 테스트할 수 있습니다.

  5. 다음 페이지에서 앱의 Single Sign-On 구성 페이지에서 정보를 사용하여 양식을 작성하고 다음을 선택합니다.

    • IdP가 선택한 앱에 대한 Single Sign-On 메타데이터 파일을 제공하는 경우 앱에서 업로드 메타데이터 파일을 선택하고 메타데이터 파일을 업로드합니다.
    • 또는 수동으로 데이터 채우기 를 선택하고 다음 정보를 제공합니다.
      • 어설션 소비자 서비스 URL
      • 앱에서 SAML 인증서를 제공하는 경우 app_name> SAML 인증서 사용을 < 선택하고 인증서 파일을 업로드합니다.

    Screenshot showing enter identity provider information page.

  6. 다음 페이지에서 다음 정보를 복사한 다음, 다음을 선택합니다. 다음 단계에서 정보가 필요합니다.

    • Single sign-on URL
    • 특성 및 값

    Screenshot showing gather identity providers SAML information page.

  7. IdP의 포털에서 다음을 수행합니다.

    참고

    설정은 일반적으로 IdP 포털의 사용자 지정 앱 설정 페이지에서 찾을 수 있습니다.

    1. Single Sign-On URL 필드에 앞에서 적어 둔 Single Sign-On URL을 입력합니다.

      참고

      일부 공급자는 Single Sign-On URL을 회신 URL로 참조할 수 있습니다.

    2. 이전에 기록해 두어 들은 특성과 값을 앱의 속성에 추가합니다.

      참고

      • 일부 공급자는 이를 사용자 특성 또는 클레임이라고 할 수 있습니다.
      • 새 SAML 앱을 만들 때 OKTA ID 공급자는 특성을 1024자로 제한합니다. 이 제한을 완화하려면 먼저 관련 특성 없이 앱을 만듭니다. 앱을 만든 후 편집한 다음 관련 특성을 추가합니다.
    3. 이름 식별자가 전자 메일 주소 형식인지 확인합니다.
    4. 설정을 저장합니다.

  8. 앱 변경 내용 페이지에서 다음을 수행하고 다음을 선택합니다. 다음 단계에서 정보가 필요합니다.

    • Single Sign-On URL 복사
    • 클라우드용 Defender 앱 SAML 인증서 다운로드

    Screenshot showing gather Defender for Cloud Apps SAML information page.

  9. 앱 포털의 Single Sign-On 설정에서 다음을 수행합니다.

    1. [권장] 현재 설정의 백업을 만듭니다.
    2. ID 공급자 로그인 URL 필드 값을 앞에서 적어 둔 클라우드용 Defender Apps SAML Single Sign-On URL로 바꿉니다.
    3. 이전에 다운로드한 클라우드용 Defender 앱 SAML 인증서를 업로드.
    4. 저장을 선택합니다.

    참고

    • 설정을 저장한 후 이 앱에 연결된 모든 로그인 요청이 조건부 액세스 앱 제어를 통해 라우팅됩니다.
    • 클라우드용 Defender 앱 SAML 인증서는 1년 동안 유효합니다. 만료되면 새 인증서를 생성해야 합니다.

2단계: 정책 범위가 지정된 사용자를 사용하여 각 앱에 로그인

참고

계속하기 전에 먼저 기존 세션에서 로그아웃해야 합니다.

정책을 만든 후에는 해당 정책에 구성된 각 앱에 로그인합니다. 정책에 구성된 사용자를 사용하여 로그인했는지 확인합니다.

클라우드용 Defender 앱은 로그인하는 각 새 앱에 대한 정책 세부 정보를 해당 서버에 동기화합니다. 여기에는 최대 1분이 소요될 수 있습니다.

3단계: 앱이 액세스 및 세션 컨트롤을 사용하도록 구성되었는지 확인

위의 지침은 Azure AD 직접 카탈로그 앱에 대한 기본 제공 클라우드용 Defender 앱 정책을 만드는 데 도움이 됩니다. 이 단계에서는 이러한 앱에 대한 액세스 및 세션 컨트롤이 구성되어 있는지 확인합니다.

  1. 클라우드용 Defender 앱 포털에서 설정 코그settings icon.를 선택한 다음 조건부 액세스 앱 제어를 선택합니다.

  2. 조건부 액세스 앱 제어 앱 테이블에서 사용 가능한 컨트롤 열을 살펴보고 Access Control 또는 Azure AD 조건부 액세스세션 컨트롤이 앱에 대해 표시되는지 확인합니다.

    참고

    앱에 대한 세션 제어가 표시되지 않으면 해당 특정 앱에 대해 아직 사용할 수 없습니다. 사용자 지정 앱으로 즉시 추가하거나 요청 세션 컨트롤을 클릭하여 카탈로그 앱으로 추가하라는 요청을 열 수 있습니다.

    Conditional access app control request.

4단계: 조직에서 사용할 앱 사용

조직의 프로덕션 환경에서 앱을 사용하도록 설정할 준비가 되면 다음 단계를 수행합니다.

  1. 클라우드용 Defender 앱에서 설정 코그settings icon.를 선택한 다음 조건부 액세스 앱 제어를 선택합니다.

  2. 앱 목록의 배포 중인 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음 , 앱 편집을 선택합니다.

  3. 조건부 액세스 앱 컨트롤에서 사용을 선택한 다음, 저장을 선택합니다.

    Enable session controls pop-up.

5단계: 배포 테스트

  1. 먼저 기존 세션에서 로그아웃합니다. 그런 다음, 성공적으로 배포된 각 앱에 로그인합니다. Azure AD 구성된 정책과 일치하는 사용자 또는 ID 공급자로 구성된 SAML 앱을 사용하여 로그인합니다.

  2. 클라우드용 Defender 앱 포털조사 아래에서 활동 로그를 선택하고 각 앱에 대해 로그인 활동이 캡처되었는지 확인합니다.

  3. 고급을 클릭한 다음, 원본이 액세스 제어와 같음을 사용하여 필터링할 수 있습니다.

    Filter using Azure AD conditional access.

  4. 관리되는 디바이스와 관리되지 않는 디바이스에서 모바일 및 데스크톱 앱에 로그인하는 것이 좋습니다. 이는 활동이 활동 로그에 제대로 캡처되었는지 확인하기 위한 것입니다.
    활동이 제대로 캡처되었는지 확인하려면 활동 서랍을 열도록 Single Sign-On 로그인 작업을 선택합니다. 사용자 에이전트 태그에서 디바이스가 네이티브 클라이언트(모바일 또는 데스크톱 앱)인지 또는 디바이스가 관리 디바이스(준수, 도메인 가입 또는 유효한 클라이언트 인증서)인지 여부를 제대로 반영하는지 확인합니다.

참고

배포된 후에는 조건부 액세스 앱 제어 페이지에서 앱을 제거할 수 없습니다. 앱에서 세션 또는 액세스 정책을 설정하지 않는 한, 조건부 액세스 앱 제어는 앱의 동작을 변경하지 않습니다.

다음 단계

« 이전: 조건부 액세스 앱 제어 소개

다음: 모든 앱에 대한 조건부 액세스 앱 제어 배포 »

액세스 및 세션 제어 문제 해결

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.