관리 사용자에 대한 액세스 및 세션 제어 문제 해결
이 문서에서는 클라우드용 Microsoft Defender 앱 관리자에게 관리자가 경험한 일반적인 액세스 및 세션 제어 문제를 조사하고 해결하는 방법에 대한 지침을 제공합니다.
참고 항목
프록시 기능과 관련된 모든 문제 해결은 Microsoft Edge를 사용하여 브라우저 내 보호를 위해 구성되지 않은 세션에만 관련됩니다.
최소 요구 사항 확인
문제 해결을 시작하기 전에 환경이 액세스 및 세션 제어에 대한 다음과 같은 최소 일반 요구 사항을 충족하는지 확인합니다.
| 요구 사항 | 설명 |
|---|---|
| 라이선싱 | 클라우드용 Microsoft Defender 앱에 대한 유효한 라이선스가 있는지 확인합니다. |
| SSO(Single Sign-On) | 지원되는 SSO 솔루션 중 하나를 사용하여 앱을 구성해야 합니다. - SAML 2.0 또는 OpenID 커넥트 2.0을 사용하는 Microsoft Entra ID - SAML 2.0을 사용하는 비 Microsoft IdP |
| 브라우저 지원 | 세션 컨트롤은 다음 브라우저의 최신 버전에서 브라우저 기반 세션에 사용할 수 있습니다. - Microsoft Edge - Google Chrome - 모질라 파이어폭스 - Apple Safari Microsoft Edge에 대한 브라우저 내 보호에는 회사 프로필로 로그인한 사용자를 비롯한 특정 요구 사항도 있습니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조 하세요. |
| 가동 중지 시간 | 클라우드용 Defender 앱을 사용하면 구성 요소가 제대로 작동하지 않는 등의 서비스 중단이 있는 경우 적용할 기본 동작을 정의할 수 있습니다. 예를 들어 일반 정책 컨트롤을 적용할 수 없는 경우 사용자가 잠재적으로 중요한 콘텐츠에 대한 작업을 수행하지 못하도록 강화(차단) 또는 우회(허용)하도록 선택할 수 있습니다. 시스템 가동 중지 시간 동안 기본 동작을 구성하려면 Microsoft Defender XDR에서 설정> 조건부 액세스 앱 제어>기본 동작>허용 또는 액세스 차단으로 이동합니다. |
브라우저 내 보호 요구 사항
Microsoft Edge에서 브라우저 내 보호를 사용 중이고 역방향 프록시에서 계속 제공되는 경우 다음 추가 요구 사항을 충족하는지 확인합니다.
이 기능은 Defender XDR 설정에서 켜져 있습니다. 자세한 내용은 브라우저 내 보호 설정 구성을 참조 하세요.
사용자가 다루는 모든 정책은 비즈니스용 Microsoft Edge에서 지원됩니다. 비즈니스용 Microsoft Edge에서 지원하지 않는 다른 정책에서 사용자를 제공하는 경우 항상 역방향 프록시에서 제공됩니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조 하세요.
지원되는 운영 체제, ID 플랫폼 및 Edge 버전을 포함하여 지원되는 플랫폼을 사용하고 있습니다. 자세한 내용은 브라우저 내 보호 요구 사항을 참조 하세요.
관리자 문제 해결 참조
다음 표를 사용하여 문제를 해결하려는 문제를 찾습니다.
네트워크 조건 문제
발생할 수 있는 일반적인 네트워크 조건 문제는 다음과 같습니다.
브라우저 페이지로 이동할 때 발생하는 네트워크 오류
앱에 대한 클라우드용 Defender 앱 액세스 및 세션 제어를 처음 설정하는 경우 발생할 수 있는 일반적인 네트워크 오류는 다음과 같습니다. 이 사이트는 안전하지않으며 인터넷 연결이 없습니다. 이러한 메시지는 일반적인 네트워크 구성 오류를 나타낼 수 있습니다.
권장되는 단계
환경과 관련된 Azure IP 주소 및 DNS 이름을 사용하여 클라우드용 Defender 앱에서 작동하도록 방화벽을 구성합니다.
- 클라우드용 Defender Apps 데이터 센터의 다음 IP 주소 및 DNS 이름에 대한 아웃바운드 포트 443을 추가합니다.
- 디바이스 및 브라우저 세션 다시 시작
- 로그인이 예상대로 작동하는지 확인합니다.
브라우저의 인터넷 옵션에서 TLS 1.2를 사용하도록 설정합니다. 예시:
브라우저 단계 Microsoft Internet Explorer 1. Internet Explorer 열기
2. 도구>인터넷 옵션>고급 탭 선택
3. 보안에서 TLS 1.2를 선택합니다.
4. 적용을 선택한 다음 확인을 선택합니다.
5. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Microsoft Edge/Edge Chromium 1. 작업 표시줄에서 검색을 열고 "인터넷 옵션"을 검색합니다.
2. 인터넷 옵션 선택
3. 보안에서 TLS 1.2를 선택합니다.
4. 적용을 선택한 다음 확인을 선택합니다.
5. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Google Chrome 1. Google Chrome 열기
2. 오른쪽 위에서 자세히(세로 점 3개) >설정
3. 아래쪽에서 고급 선택
4. 시스템에서 프록시 설정 열기를 선택합니다.
5. 고급 탭의 보안 아래에서 TLS 1.2를 선택합니다.
6. 확인 선택
7. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Mozilla Firefox 1. 모질라 파이어폭스 열기
2. 주소 표시줄에서 "about:config"를 검색합니다.
3. 검색 상자에서 "TLS"를 검색합니다.
4. security.tls.version.min 항목을 두 번 클릭합니다.
5. TLS 1.2를 최소 필수 버전으로 적용하려면 정수 값을 3으로 설정합니다.
6. 저장 선택(값 상자 오른쪽에 검사 표시)
7. 브라우저를 다시 시작하고 앱에 액세스할 수 있는지 확인합니다.Safari Safari 버전 7 이상에서 사용하는 경우 TLS 1.2가 자동으로 사용하도록 설정됩니다.
클라우드용 Defender 앱은 TLS(전송 계층 보안) 프로토콜 1.2+를 사용하여 동급 최고의 암호화를 제공합니다.
- TLS 1.2+를 지원하지 않는 네이티브 클라이언트 앱 및 브라우저는 세션 제어를 사용하여 구성할 때 액세스할 수 없습니다.
- TLS 1.1 이하를 사용하는 SaaS 앱은 클라우드용 Defender 앱으로 구성된 경우 TLS 1.2+를 사용하는 것으로 브라우저에 표시됩니다.
팁
세션 컨트롤은 모든 운영 체제의 모든 주요 플랫폼에 있는 모든 브라우저에서 작동하도록 빌드되지만 Microsoft Edge, Google Chrome, Mozilla Firefox 또는 Apple Safari의 최신 버전을 지원합니다. 모바일 또는 데스크톱 앱에 대한 액세스를 차단하거나 허용할 수 있습니다.
느린 로그인
프록시 체인 및 nonce 처리는 로그인 성능이 저하될 수 있는 몇 가지 일반적인 문제입니다.
권장되는 단계
로그인하는 동안 속도가 느려질 수 있는 요소를 제거하도록 환경을 구성합니다. 예를 들어 방화벽 또는 전달 프록시 체인을 구성하여 둘 이상의 프록시 서버를 연결하여 의도한 페이지로 이동할 수 있습니다. 또한 속도 저하에 영향을 주는 다른 외부 요인이 있을 수 있습니다.
- 사용자 환경에서 프록시 연결이 발생하는지 여부를 식별합니다.
- 가능한 경우 전방 프록시를 제거합니다.
일부 앱은 인증 중에 nonce 해시를 사용하여 재생 공격을 방지합니다. 기본적으로 클라우드용 Defender 앱은 앱이 nonce를 사용한다고 가정합니다. 작업 중인 앱이 nonce를 사용하지 않는 경우 클라우드용 Defender 앱에서 이 앱에 대한 nonce 처리를 사용하지 않도록 설정합니다.
- Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다.
- 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
- 앱 목록의 구성 중인 앱이 표시되는 행에서 행 끝에 있는 세 개의 점을 선택한 다음 앱에 대한 편집을 선택합니다.
- Nonce 처리를 선택하여 섹션을 확장한 다음 nonce 처리 사용의 선택을 취소합니다.
- 앱에서 로그아웃하고 모든 브라우저 세션을 닫습니다.
- 브라우저를 다시 시작하고 앱에 다시 로그인합니다. 로그인이 예상대로 작동하는지 확인합니다.
네트워크 조건에 대한 추가 고려 사항
네트워크 조건 문제를 해결하는 동안 클라우드용 Defender 앱 프록시에 대한 다음 참고 사항도 고려합니다.
세션이 다른 데이터 센터로 라우팅되는지 확인합니다. 클라우드용 Defender 앱은 전 세계 Azure 데이터 센터를 사용하여 지리적 위치를 통해 성능을 최적화합니다.
즉, 사용자의 세션은 트래픽 패턴 및 해당 위치에 따라 지역 외부에서 호스트될 수 있습니다. 그러나 개인 정보를 보호하기 위해 이러한 데이터 센터에는 세션 데이터가 저장되지 않습니다.
프록시 성능: 성능 기준 파생은 다음과 같이 클라우드용 Defender 앱 프록시 외부의 여러 요인에 따라 달라집니다.
- 이 프록시를 사용하여 계열에 있는 다른 프록시 또는 게이트웨이
- 사용자가 들어오는 위치
- 대상 리소스가 있는 위치
- 페이지의 특정 요청
일반적으로 모든 프록시는 대기 시간을 추가합니다. 클라우드용 Defender 앱 프록시의 장점은 다음과 같습니다.
Azure do기본 컨트롤러의 글로벌 가용성을 사용하여 사용자를 가장 가까운 노드로 지리적으로 지정하고 왕복 거리를 줄입니다. Azure do기본 컨트롤러는 전 세계 서비스가 거의 없는 규모로 지리적 위치를 지정할 수 있습니다.
Microsoft Entra 조건부 액세스와의 통합을 사용하여 모든 상황에서 모든 사용자가 아닌 프록시하려는 세션만 서비스에 라우팅합니다.
디바이스 식별 문제
클라우드용 Defender 앱은 디바이스의 관리 상태를 식별하기 위한 다음 옵션을 제공합니다.
- Microsoft Intune 규정 준수
- 하이브리드 Microsoft Entra Do기본 조인됨
- 클라이언트 인증서
자세한 내용은 조건부 액세스 앱 제어를 사용하여 ID 관리 디바이스를 참조하세요.
발생할 수 있는 일반적인 디바이스 식별 문제는 다음과 같습니다.
- 잘못된 Intune 규격 또는 Microsoft Entra 하이브리드 조인 디바이스
- 클라이언트 인증서가 필요한 경우 메시지를 표시하지 않습니다.
- 클라이언트 인증서는 로그인할 때마다 메시지를 표시합니다.
- 추가 고려 사항
잘못된 Intune 규격 또는 Microsoft Entra 하이브리드 조인 디바이스
Microsoft Entra 조건부 액세스를 사용하면 Intune 규격 및 Microsoft Entra 하이브리드 조인 디바이스 정보를 클라우드용 Defender 앱에 직접 전달할 수 있습니다. 클라우드용 Defender 앱에서 디바이스 상태를 액세스 또는 세션 정책에 대한 필터로 사용합니다.
자세한 내용은 Microsoft Entra ID의 디바이스 관리 소개를 참조하세요.
권장되는 단계
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 디바이스 ID를 선택합니다. 이 페이지에는 클라우드용 Defender 앱에서 사용할 수 있는 디바이스 식별 옵션이 표시됩니다.
Intune 규격 디바이스 식별 및 Microsoft Entra 하이브리드 조인 식별의 경우 구성 보기를 선택하고 서비스가 설정되어 있는지 확인합니다. 서비스는 Microsoft Entra ID와 Intune에서 각각 자동으로 동기화됩니다.
하이브리드 Azure AD 조인, Intune 규격 또는 둘 다와 동일한 디바이스 태그 필터를 사용하여 액세스 또는 세션 정책을 만듭니다.
브라우저에서 정책 필터에 따라 Microsoft Entra 하이브리드 조인 또는 Intune 규격인 디바이스에 로그인합니다.
이러한 디바이스의 활동이 로그를 채우고 있는지 확인합니다. 클라우드용 Defender 앱의 활동 로그 페이지에서 정책 필터에 따라 하이브리드 Azure AD 조인, Intune 규격 또는 둘 다와 동일한 디바이스 태그를 필터링합니다.
클라우드용 Defender 앱 활동 로그에 활동이 채워지지 않는 경우 Microsoft Entra ID로 이동하여 다음 단계를 수행합니다.
로그인 모니터링>아래에서 로그에 로그인 활동이 있는지 확인합니다.
로그인한 디바이스에 대한 관련 로그 항목을 선택합니다.
세부 정보 창의 디바이스 정보 탭에서 디바이스가 관리(하이브리드 Azure AD 조인) 또는 규격(Intune 규격)인지 확인합니다.
상태를 확인할 수 없는 경우 다른 로그 항목을 시도하거나 Microsoft Entra ID에서 디바이스 데이터가 올바르게 구성되었는지 확인합니다.
조건부 액세스의 경우 일부 브라우저에는 확장 설치와 같은 추가 구성이 필요할 수 있습니다. 자세한 내용은 조건부 액세스 브라우저 지원을 참조하세요.
로그인 페이지에 디바이스 정보가 아직 표시되지 않는 경우 Microsoft Entra ID에 대한 지원 티켓을 엽니다.
클라이언트 인증서가 필요한 경우 메시지를 표시하지 않습니다.
디바이스 식별 메커니즘에서는 클라이언트 인증서를 사용하여 관련 디바이스에서 인증을 요청할 수 있습니다. PEM 인증서 형식으로 서식이 지정된 X.509 루트 또는 중간 CA(인증 기관) 인증서를 업로드할 수 있습니다.
인증서에는 CA의 공개 키가 포함되어야 하며, 이 키는 세션 중에 제시된 클라이언트 인증서에 서명하는 데 사용됩니다. 자세한 내용은 Microsoft Entra 없이 디바이스 관리 확인을 참조 하세요.
권장되는 단계
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 디바이스 ID를 선택합니다. 이 페이지에는 클라우드용 Defender 앱에서 사용할 수 있는 디바이스 식별 옵션이 표시됩니다.
X.509 루트 또는 중간 CA 인증서를 업로드했는지 확인합니다. 인증 기관에 서명하는 데 사용되는 CA 인증서를 업로드해야 합니다.
유효한 클라이언트 인증서와 동일한 디바이스 태그 필터를 사용하여 액세스 또는 세션 정책을 만듭니다.
클라이언트 인증서가 다음과 같은지 확인합니다.
- PKCS #12 파일 형식(일반적으로 .p12 또는 .pfx 파일 확장명)을 사용하여 배포됨
- 테스트에 사용하는 디바이스의 디바이스 저장소가 아닌 사용자 저장소에 설치됨
브라우저 세션을 다시 시작합니다.
보호된 앱에 로그인하는 경우:
- 다음 URL 구문으로 리디렉션되었는지 확인합니다.
<https://*.managed.access-control.cas.ms/aad_login> - iOS를 사용하는 경우 Safari 브라우저를 사용하고 있는지 확인합니다.
- Firefox를 사용하는 경우 Firefox의 자체 인증서 저장소에도 인증서를 추가해야 합니다. 다른 모든 브라우저는 동일한 기본 인증서 저장소를 사용합니다.
- 다음 URL 구문으로 리디렉션되었는지 확인합니다.
클라이언트 인증서가 브라우저에 표시되는지 확인합니다.
표시되지 않으면 다른 브라우저를 사용해 보세요. 대부분의 주요 브라우저는 클라이언트 인증서 검사 수행을 지원합니다. 그러나 모바일 및 데스크톱 앱은 종종 이 검사 지원하지 않을 수 있는 기본 제공 브라우저를 사용하므로 이러한 앱에 대한 인증에 영향을 줍니다.
이러한 디바이스의 활동이 로그를 채우고 있는지 확인합니다. 클라우드용 Defender 앱의 활동 로그 페이지에서 유효한 클라이언트 인증서와 동일한 디바이스 태그에 필터를 추가합니다.
그래도 프롬프트가 표시되지 않으면 지원 티켓을 열고 다음 정보를 포함합니다.
- 문제가 발생한 브라우저 또는 네이티브 앱의 세부 정보
- 운영 체제 버전(예: iOS/Android/Windows 10)
- 프롬프트가 Microsoft Edge Chromium에서 작동하는지 언급
클라이언트 인증서는 로그인할 때마다 메시지를 표시합니다.
새 탭을 연 후 클라이언트 인증서가 팝업되는 경우 인터넷 옵션 내에 숨겨진 설정 때문일 수 있습니다. 브라우저에서 설정을 확인합니다. 예시:
Microsoft Internet Explorer에서:
- Internet Explorer를 열고 도구>인터넷 옵션>고급 탭을 선택합니다.
- 보안에서 인증서가 하나만 있는 경우 클라이언트 인증서 선택을 요청하지 않음을 선택합니다. [확인 적용>]을> 선택합니다.
- 브라우저를 다시 시작하고 추가 프롬프트 없이 앱에 액세스할 수 있는지 확인합니다.
Microsoft Edge/Edge Chromium에서:
- 작업 표시줄에서 검색을 열고 인터넷 옵션을 검색 합니다.
- 인터넷 옵션>보안>로컬 인트라넷>사용자 지정 수준을 선택합니다.
- 인증서가 하나만 있는 경우 기타 클라이언트 인증서 선택을 묻는 메시지를 표시하지 않고 사용 안 함을 선택합니다.>
- 확인 적용>확인을> 선택합니다.
- 브라우저를 다시 시작하고 추가 프롬프트 없이 앱에 액세스할 수 있는지 확인합니다.
디바이스 식별에 대한 추가 고려 사항
디바이스 식별 문제를 해결하는 동안 클라이언트 인증서에 대한 인증서 해지를 요구할 수 있습니다.
CA에서 해지한 인증서는 더 이상 신뢰할 수 없습니다. 이 옵션을 선택하려면 모든 인증서가 CRL 프로토콜을 통과해야 합니다. 클라이언트 인증서에 CRL 엔드포인트가 없는 경우 관리되는 디바이스에서 연결할 수 없습니다.
앱을 온보딩할 때 발생하는 문제
액세스 및 세션 제어를 위해 다음 유형의 앱을 온보딩할 수 있습니다.
카탈로그 앱: 세션 컨트롤 레이블에 표시된 대로 기본적으로 세션 컨트롤 과 함께 제공되는 앱입니다.
모든(사용자 지정) 앱: LOB(사용자 지정 LOB) 또는 온-프레미스 앱은 관리자가 세션 컨트롤에 온보딩할 수 있습니다.
예시:
앱을 온보딩할 때 프록시 배포 가이드를 주의 깊게 따랐는지 확인합니다. 자세한 내용은 다음을 참조하세요.
- 세션 컨트롤을 사용하여 카탈로그 앱 배포
- 세션 컨트롤을 사용하여 Microsoft Entra 애플리케이션 프록시를 통해 호스트되는 사용자 지정 LOB 앱, 비구성 SaaS 앱 및 온-프레미스 앱 배포
앱을 온보딩하는 동안 발생할 수 있는 일반적인 시나리오는 다음과 같습니다.
- 조건부 액세스 앱 제어 앱 페이지에 앱이 표시되지 않음
- 앱 상태: 설치 계속
- 네이티브 앱에 대한 컨트롤을 구성할 수 없습니다.
- 앱이 인식되지 않음 페이지가 나타납니다.
- 요청 세션 제어 옵션이 나타납니다.
- 추가 고려 사항
조건부 액세스 앱 제어 앱 페이지에 앱이 표시되지 않음
조건부 액세스 앱 제어에 앱을 온보딩하는 경우 최종 배포 단계는 최종 사용자가 앱으로 이동하도록 하는 것입니다. 앱이 예상대로 표시되지 않는 경우 이 섹션의 단계를 수행합니다.
권장되는 단계
앱이 ID 공급자에 따라 다음 조건부 액세스 앱 필수 조건을 충족하는지 확인합니다.
Microsoft Entra ID:
- 클라우드용 Defender 앱 라이선스 외에 Microsoft Entra ID P1에 대한 유효한 라이선스가 있는지 확인합니다.
- 앱에서 SAML 2.0 또는 OpenID 커넥트 프로토콜을 사용하는지 확인합니다.
- Microsoft Entra ID의 앱 SSO인지 확인합니다.
비 Microsoft:
- 유효한 클라우드용 Defender 앱 라이선스가 있는지 확인합니다.
- 중복 앱을 만듭니다.
- 앱에서 SAML 프로토콜을 사용하는지 확인합니다.
- 앱을 완전히 온보딩했으며 앱의 상태 커넥트 있는지 확인합니다.
Microsoft Entra 정책의 세션 아래에서 세션이 클라우드용 Defender 앱으로 라우팅되도록 해야 합니다. 이렇게 하면 다음과 같이 앱이 조건부 액세스 앱 제어 앱 페이지에 표시되도록 할 수 있습니다.
- 조건부 액세스 앱 컨트롤 이 선택되어 있습니다.
- 기본 제공 정책 드롭다운 에서 모니터만 선택됨
새 시크릿 모드를 사용하거나 다시 로그인하여 새 브라우저 세션에서 앱으로 이동해야 합니다.
앱 상태: 설치 계속
앱의 상태 다를 수 있으며 계속 설정, 커넥트 또는 활동 없음을 포함할 수 있습니다.
타사 IdP(ID 공급자)를 통해 연결된 앱의 경우 설정이 완료되지 않은 경우 앱에 액세스할 때 설치 계속 상태 있는 페이지가 표시됩니다. 다음 단계를 사용하여 설치를 완료합니다.
권장되는 단계
설치 계속을 선택합니다.
배포 가이드를 살펴보고 모든 단계를 완료했는지 확인합니다. 다음 참고 사항에 특히 주의하세요.
- 새 사용자 지정 SAML 앱을 만들어야 합니다. 갤러리 앱에서 사용할 수 없는 URL 및 SAML 특성을 변경하려면 이 앱이 필요합니다.
- ID 공급자가 엔터티 ID 또는 대상 그룹이라고도 하는 동일한 식별자의 재사용을 허용하지 않는 경우 원래 앱의 식별자를 변경합니다.
네이티브 앱에 대한 컨트롤을 구성할 수 없습니다.
네이티브 앱은 추론적으로 검색할 수 있으며 액세스 정책을 사용하여 모니터링하거나 차단할 수 있습니다. 네이티브 앱에 대한 컨트롤을 구성하려면 다음 단계를 사용합니다.
권장되는 단계
액세스 정책에서 클라이언트 앱 필터를 추가하고 모바일 및 데스크톱과 동일하게 설정합니다.
작업에서 차단을 선택합니다.
필요에 따라 사용자가 파일을 다운로드할 수 없을 때 받는 차단 메시지를 사용자 지정합니다. 예를 들어 이 메시지를 사용자 지정하려면 웹 브라우저를 사용하여 이 앱에 액세스해야 합니다.
컨트롤이 예상대로 작동하는지 테스트하고 유효성을 검사합니다.
앱이 인식되지 않음 페이지가 나타납니다.
클라우드용 Defender 앱은 다음을 통해 31,000개 이상의 앱을 인식할 수 있습니다.클라우드 앱 카탈로그.
Microsoft Entra SSO를 통해 구성되고 지원되는 앱 중 하나가 아닌 사용자 지정 앱을 사용하는 경우 앱이 인식 되지 않습니다. 이 문제를 해결하려면 조건부 액세스 앱 제어에서 앱을 구성해야 합니다.
권장되는 단계
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
배너에서 새 앱 보기를 선택합니다.
새 앱 목록에서 등록할 앱을 찾고, 기호를 + 선택한 다음, 추가를 선택합니다.
- 앱 이 사용자 지정 앱 인지 표준 앱인지 선택합니다.
- 마법사를 계속 진행하여 구성 중인 앱에 대해 지정된 사용자 정의 do기본s가 올바른지 확인합니다.
앱이 조건부 액세스 앱 제어 앱 페이지에 표시되는지 확인합니다.
요청 세션 제어 옵션이 나타납니다.
앱을 추가한 후 세션 제어 요청 옵션이 표시될 수 있습니다. 카탈로그 앱에만 기본 제공 세션 컨트롤이 있기 때문에 이 문제가 발생합니다. 다른 앱의 경우 자체 온보딩 프로세스를 거쳐야 합니다.
권장되는 단계
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다.
조건부 액세스 앱 제어에서 앱 온보딩/기본 테넌스를 선택합니다.
앱을 온보딩할 사용자의 사용자 계정 이름 또는 전자 메일을 입력한 다음 저장을 선택합니다.
배포하는 앱으로 이동합니다. 표시되는 페이지는 앱이 인식되는지 여부에 따라 달라집니다. 표시되는 페이지에 따라 다음 중 하나를 수행합니다.
인식할 수 없습니다. 앱을 구성하라는 메시지가 표시되는 앱이 인식되지 않는 페이지가 표시됩니다. 다음 단계를 수행합니다.
- 조건부 액세스 앱 제어에 앱을 추가합니다.
- 앱에 대한 do기본s를 추가한 다음 앱으로 돌아가 페이지를 새로 고칩니다.
- 앱에 대한 인증서를 설치합니다.
인식됩니다. 앱이 인식되면 앱 구성 프로세스를 계속하라는 온보딩 페이지가 표시됩니다. 자세한 내용은 Microsoft Entra ID를 사용하여 사용자 지정 앱에 대한 조건부 액세스 앱 제어 배포를 참조하세요.
앱이 올바르게 작동하는 데 필요한 모든 작업기본으로 앱이 구성되었는지 확인합니다. 추가 do기본를 구성하려면 앱에 대한 do기본s를 추가한 다음 앱 페이지로 돌아갑니다.
앱 온보딩에 대한 추가 고려 사항
앱 온보딩 문제를 해결하는 동안 조건부 액세스 앱 제어의 앱은 Microsoft Entra 앱과 일치하지 않습니다.
Microsoft Entra ID 및 클라우드용 Defender 앱의 앱 이름은 제품이 앱을 식별하는 방법에 따라 다를 수 있습니다.
클라우드용 Defender 앱은 앱의 할 일기본 사용하여 앱을 식별하고 31,000개가 넘는 앱이 있는 클라우드 앱 카탈로그에 추가합니다. 각 앱 내에서 do기본 하위 집합을 보거나 추가할 수 있습니다.
반면 Microsoft Entra ID는 서비스 주체를 사용하여 앱을 식별합니다. 자세한 내용은 Microsoft Entra ID의 앱 및 서비스 주체 개체를 참조하세요.
실제로 이러한 차이는 Microsoft Entra ID에서 SharePoint Online을 선택하는 것은 앱이 모두 do기본 사용하기 sharepoint.com 때문에 클라우드용 Defender 앱에서 Word Online 및 Teams와 같은 앱을 선택하는 것과 동일하다는 것을 의미합니다.
액세스 및 세션 정책을 만들 때 발생하는 문제
클라우드용 Defender 앱은 다음과 같은 구성 가능한 정책을 제공합니다.
- 액세스 정책: 브라우저, 모바일 및/또는 데스크톱 앱에 대한 액세스를 모니터링하거나 차단하는 데 사용됩니다.
- 세션 정책. 브라우저에서 데이터 반입 및 반출 시나리오를 방지하기 위해 특정 작업을 모니터링, 차단 및 수행하는 데 사용됩니다.
클라우드용 Defender 앱에서 이러한 정책을 사용하려면 먼저 Microsoft Entra 조건부 액세스에서 정책을 구성하여 세션 컨트롤을 확장해야 합니다.
Microsoft Entra 정책의 Access 컨트롤에서 세션>사용 조건부 액세스 앱 컨트롤을 선택합니다.
기본 제공 정책(모니터 전용 또는 다운로드 차단)을 선택하거나 사용자 지정 정책을 사용하여 클라우드용 Defender 앱에서 고급 정책을 설정합니다.
선택을 선택하여 계속합니다.
이러한 정책을 구성하는 동안 발생할 수 있는 일반적인 시나리오는 다음과 같습니다.
- 조건부 액세스 정책에서는 조건부 액세스 앱 제어 옵션을 볼 수 없습니다.
- 정책을 만들 때 오류 메시지: 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다.
- 앱에 대한 세션 정책을 만들 수 없음
- 검사 방법을 선택할 수 없습니다. 데이터 분류 서비스
- 작업을 선택할 수 없습니다. 보호
- 추가 고려 사항
조건부 액세스 정책에서는 조건부 액세스 앱 제어 옵션을 볼 수 없습니다.
세션을 클라우드용 Defender 앱으로 라우팅하려면 조건부 액세스 앱 제어 세션 컨트롤을 포함하도록 Microsoft Entra 조건부 액세스 정책을 구성해야 합니다.
권장되는 단계
조건부 액세스 정책에 조건부 액세스 앱 제어 옵션이 표시되지 않는 경우 Microsoft Entra ID P1에 대한 유효한 라이선스와 유효한 클라우드용 Defender 앱 라이선스가 있는지 확인합니다.
정책을 만들 때 오류 메시지: 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다.
액세스 또는 세션 정책을 만들 때 다음 오류 메시지가 표시될 수 있습니다. 조건부 액세스 앱 제어를 사용하여 배포된 앱이 없습니다. 이 오류는 앱이 배포되지 않았음을 나타냅니다.
권장되는 단계
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다. 커넥트 앱에서 조건부 액세스 앱 제어 앱을 선택합니다.
연결된 앱이 없다는 메시지가 표시되면 다음 가이드를 사용하여 앱을 배포합니다.
앱을 배포하는 동안 문제가 발생하는 경우 앱을 온보딩할 때 발생하는 문제를 참조하세요.
앱에 대한 세션 정책을 만들 수 없음
사용자 지정 앱을 추가한 후 조건부 액세스 앱 제어 앱 페이지에 세션 제어 요청 옵션이 표시될 수 있습니다.
참고 항목
카탈로그 앱에는 기본 제공 세션 컨트롤이 있습니다. 다른 앱의 경우 자체 온보딩 프로세스를 거쳐야 합니다. 자세한 내용은 미리 온보딩된 앱을 참조 하세요.
권장되는 단계
세션 제어에 앱을 배포합니다. 자세한 내용은 세션 컨트롤을 사용하여 Microsoft Entra 애플리케이션 프록시를 통해 호스트되는 사용자 지정 기간 업무 앱, 비구성 SaaS 앱 및 온-프레미스 앱 배포를 참조하세요.
세션 정책을 만들고 앱 필터를 선택합니다.
이제 앱이 드롭다운 목록에 나열되어 있는지 확인합니다.
검사 방법을 선택할 수 없습니다. 데이터 분류 서비스
세션 정책에서 제어 파일 다운로드(검사 포함) 세션 제어 유형을 사용하는 경우 데이터 분류 서비스 검사 방법을 사용하여 실시간으로 파일을 검색하고 구성한 조건과 일치하는 중요한 콘텐츠를 검색할 수 있습니다.
데이터 분류 서비스 검사 방법을 사용할 수 없는 경우 다음 단계를 사용하여 문제를 조사합니다.
권장되는 단계
세션 컨트롤 형식이 Control 파일 다운로드로 설정되어 있는지 확인합니다(검사 포함).
참고 항목
데이터 분류 서비스 검사 방법은 제어 파일 다운로드(검사 포함) 옵션에만 사용할 수 있습니다.
해당 지역에서 데이터 분류 서비스 기능을 사용할 수 있는지 확인합니다.
- 해당 지역에서 기능을 사용할 수 없는 경우 기본 제공 DLP 검사 방법을 사용합니다.
- 해당 지역에서 기능을 사용할 수 있지만 여전히 데이터 분류 서비스 검사 방법을 볼 수 없는 경우 지원 티켓을 엽니다.
작업을 선택할 수 없습니다. 보호
세션 정책에서 제어 파일 다운로드(검사 포함) 세션 제어 유형을 사용하는 경우 모니터 및 차단 작업 외에도 보호 작업을 지정할 수 있습니다. 이 작업을 사용하면 조건, 콘텐츠 검사 또는 둘 다에 따라 파일에 권한을 암호화하거나 적용하는 옵션을 사용하여 파일 다운로드를 허용할 수 있습니다.
보호 작업을 사용할 수 없는 경우 다음 단계를 사용하여 문제를 조사합니다.
권장되는 단계
보호 작업을 사용할 수 없거나 회색으로 표시된 경우 AIP(Azure Information Protection) Premium P1 라이선스가 있는지 확인합니다. 자세한 내용은 Microsoft Purview Information Protection 통합을 참조 하세요.
보호 작업을 사용할 수 있지만 적절한 레이블이 표시되지 않는 경우
클라우드용 Defender 앱의 메뉴 모음에서 설정 아이콘 >Microsoft Information Protection을 선택하고 통합이 사용하도록 설정되어 있는지 확인합니다.
Office 레이블의 경우 AIP 포털에서 통합 레이블 지정이 선택되어 있는지 확인합니다.
앱 온보딩에 대한 추가 고려 사항
앱 온보딩 문제를 해결하는 동안 몇 가지 추가 사항을 고려해야 합니다.
Microsoft Entra 조건부 액세스 정책 설정의 차이점 이해: "모니터 전용", "다운로드 차단" 및 "사용자 지정 정책 사용"
Microsoft Entra 조건부 액세스 정책에서 기본 제공 클라우드용 Defender 앱 컨트롤인 모니터 전용 및 다운로드 차단을 구성할 수 있습니다. 이러한 설정은 Microsoft Entra ID로 구성된 클라우드 앱 및 조건에 대해 클라우드용 Defender 앱 프록시 기능을 적용하고 적용합니다.
더 복잡한 정책의 경우 클라우드용 Defender 앱에서 액세스 및 세션 정책을 구성할 수 있는 사용자 지정 정책 사용을 선택합니다.
액세스 정책의 "모바일 및 데스크톱" 클라이언트 앱 필터 옵션 이해
클라우드용 Defender 앱 액세스 정책에서 클라이언트 앱 필터가 모바일 및 데스크톱으로 설정되지 않는 한 결과 액세스 정책이 브라우저 세션에 적용됩니다.
그 이유는 이 필터를 사용하는 부산물일 수 있는 사용자 세션을 실수로 프록시하지 않도록 하기 위한 것입니다.
관리 보기 도구 모음으로 진단 및 문제 해결
관리 보기 도구 모음은 화면 맨 아래에 있으며 관리 사용자가 조건부 액세스 앱 제어 문제를 진단하고 해결할 수 있는 도구를 제공합니다.
관리 보기 도구 모음을 보려면 Microsoft Defender XDR 설정의 앱 온보딩/기본 테넌트 목록에 특정 관리자 사용자 계정을 추가해야 합니다.
앱 온보딩/기본 테넌트 목록에 사용자를 추가하려면 다음을 수행합니다.
Microsoft Defender XDR에서 설정>Cloud Apps를 선택합니다.
아래로 스크롤하고 조건부 액세스 앱 컨트롤 아래에서 앱 온보딩/기본 테넌스를 선택합니다.
추가하려는 관리자 사용자의 보안 주체 이름 또는 전자 메일 주소를 입력합니다.
이러한 사용자가 프록시된 세션 내에서 조건부 액세스 앱 제어를 무시하도록 사용하도록 설정한 다음 저장을 선택합니다.
예시:
다음에 나열된 사용자 중 한 명이 관리자인 지원되는 앱에서 새 세션을 시작하면 브라우저 아래쪽에 관리 보기 도구 모음이 표시됩니다.
예를 들어 다음 이미지는 브라우저에서 OneNote를 사용할 때 브라우저 창 아래쪽에 표시되는 관리 보기 도구 모음을 보여 줍니다.
다음 섹션에서는 관리 보기 도구 모음을 사용하여 테스트하고 문제를 해결하는 방법을 설명합니다.
테스트 모드
관리자 사용자는 최신 릴리스가 모든 테넌트에 완전히 롤아웃되기 전에 예정된 프록시 버그 수정을 테스트할 수 있습니다. 릴리스 주기 속도를 높이기 위해 Microsoft 지원 팀에 버그 수정에 대한 피드백을 제공합니다.
테스트 모드에서는 관리자 사용자만 버그 수정에 제공된 변경 내용에 노출됩니다. 다른 사용자에게는 영향을 주지 않습니다.
- 테스트 모드를 켜려면 관리 보기 도구 모음에서 테스트 모드를 선택합니다.
- 테스트를 마쳤으면 테스트 모드 종료를 선택하여 일반 기능으로 돌아갑니다.
프록시 세션 무시
애플리케이션에 액세스하거나 로드하는 데 어려움이 있는 경우 프록시 없이 애플리케이션을 실행하여 조건부 액세스 프록시에 문제가 있는지 확인할 수 있습니다.
프록시를 무시하려면 관리 보기 도구 모음에서 환경 우회를 선택합니다. URL에 접미사가 없는지 확인하여 세션이 무시되는지 확인합니다.
조건부 액세스 프록시는 다음 세션에서 다시 사용됩니다.
자세한 내용은 클라우드용 Microsoft Defender 앱 조건부 액세스 앱 제어 및 비즈니스용 Microsoft Edge를 사용한 브라우저 내 보호(미리 보기)를 참조하세요.
세션 기록
Microsoft 지원 엔지니어에게 세션 기록을 전송하여 문제의 근본 원인 분석을 지원할 수 있습니다. 관리 보기 도구 모음을 사용하여 세션을 기록합니다.
참고 항목
모든 개인 데이터는 기록에서 제거됩니다.
세션을 기록하려면 다음을 수행합니다.
관리 보기 도구 모음에서 레코드 세션을 선택합니다. 메시지가 표시되면 계속을 선택하여 약관에 동의합니다. 예시:
세션 시뮬레이션을 시작하는 데 필요한 경우 앱에 로그인합니다.
시나리오 녹화를 마치면 관리 보기 도구 모음에서 기록 중지를 선택해야 합니다.
기록된 세션을 보려면 다음을 수행합니다.
녹음을 완료한 후 관리 보기 도구 모음에서 세션 녹음/녹화를 선택하여 기록된 세션을 봅니다. 이전 48시간의 기록된 세션 목록이 표시됩니다. 예시:
녹음/녹화를 관리하려면 파일을 선택한 다음 필요에 따라 삭제 또는 다운로드를 선택합니다. 예시:
다음 단계
자세한 내용은 최종 사용자에 대한 액세스 및 세션 제어 문제 해결을 참조 하세요.