Intune을 사용하는 앱 기반 조건부 액세스App-based Conditional Access with Intune

Intune 앱 보호 정책을 사용하면 Intune에 등록된 디바이스에서 회사 데이터를 보호하는 데 도움이 됩니다.Intune app protection policies help protect your company data on devices that are enrolled into Intune. Intune에서 관리를 위해 등록되지 않은 직원 소유 디바이스에 대해 앱 보호 정책을 사용할 수도 있습니다.You can also use app protection policies on employee owned devices that aren't enrolled for management in Intune. 이 경우 회사에서 디바이스를 관리하지 않더라도 여전히 회사 데이터와 리소스가 보호되고 있음을 확인해야 합니다.In this case, even though your company doesn't manage the device, you still need to make sure that company data and resources are protected.

앱 기반 조건부 액세스 및 클라이언트 앱 관리에서는 Intune 앱 보호 정책을 지원하는 클라이언트 앱만 Exchange Online 및 기타 Microsoft 365 서비스에 액세스하도록 하여 보안을 강화합니다.App-based Conditional Access and client app management add a security layer by making sure only client apps that support Intune app protection policies can access Exchange online and other Microsoft 365 services.

참고

관리되는 앱은 앱 보호 정책이 적용되어 있으며 Intune을 통해 관리할 수 있는 앱입니다.A managed app is an app that has app protection policies applied to it, and can be managed by Intune.

Microsoft Outlook 앱만 Exchange Online에 액세스할 수 있도록 하려는 경우 iOS/iPadOS 및 Android에서 기본 제공 메일 앱을 차단할 수 있습니다.You can block the built-in mail apps on iOS/iPadOS and Android when you allow only the Microsoft Outlook app to access Exchange Online. 또한 Intune 앱 보호 정책이 적용되지 않은 앱은 SharePoint Online에 액세스하지 못하도록 차단할 수 있습니다.Additionally, you can block apps that don't have Intune app protection policies applied from accessing SharePoint Online.

전제 조건Prerequisites

앱 기반 조건부 액세스 정책을 만들려면 다음 항목을 준비해야 합니다.Before you create an app-based Conditional Access policy, you must have:

  • EMS(Enterprise Mobility + Security) 또는 Azure AD(Active Directory) Premium 구독Enterprise Mobility + Security (EMS) or an Azure Active Directory (AD) Premium subscription
  • 사용자에게 EMS 또는 Azure AD 라이선스가 있어야 합니다.Users must be licensed for EMS or Azure AD

자세한 내용은 Enterprise Mobility 가격 책정 또는 Azure Active Directory 가격 책정을 참조하세요.For more information, see Enterprise Mobility pricing or Azure Active Directory pricing.

지원되는 앱Supported apps

앱 기반 조건부 액세스를 지원하는 앱 목록은 Azure Active Directory 조건부 액세스 기술 참조 문서에서 확인할 수 있습니다.A list of apps that support app-based Conditional Access can be found in the Azure Active Directory Conditional Access technical reference documentation.

앱 기반 조건부 액세스에서는 LOB(기간 업무) 앱도 지원하지만, 해당 앱은 Microsoft 365 최신 인증을 사용해야 합니다.App-based Conditional Access also supports line-of-business (LOB) apps, but these apps need to use Microsoft 365 modern authentication.

앱 기반 조건부 액세스의 작동 방식How app-based Conditional Access works

이 예에서는 관리자가 앱 보호 정책을 Outlook 앱에 적용한 다음, 회사 이메일에 액세스할 때 사용할 수 있는 승인된 앱 목록에 Outlook 앱을 추가하는 조건부 액세스 규칙을 적용합니다.In this example, the admin has applied app protection policies to the Outlook app followed by a Conditional Access rule that adds the Outlook app to an approved list of apps that can be used when accessing corporate e-mail.

참고

다음 순서도는 다른 관리형 앱에도 사용할 수 있습니다.The following flowchart can be used for other managed apps.

순서도에 예시된 앱 기반 조건부 액세스 프로세스

  1. 사용자가 Outlook 앱에서 Azure AD에 인증을 시도합니다.The user tries to authenticate to Azure AD from the Outlook app.

  2. 사용자가 처음으로 인증을 시도할 때 앱 스토어로 리디렉션되며, 브로커 앱을 설치하라는 메시지가 표시됩니다.The user gets redirected to the app store to install a broker app when trying to authenticate for the first time. 브로커 앱은 iOS의 경우 Microsoft Authenticator, Android 디바이스의 경우 Microsoft 회사 포털일 수 있습니다.The broker app can be either the Microsoft Authenticator for iOS, or the Microsoft Company portal for Android devices.

    사용자가 기본 전자 메일 앱을 사용하려고 하면 앱 스토어로 리디렉션되어 Outlook 앱을 설치합니다.If users try to use a native e-mail app, they'll be redirected to the app store to then install the Outlook app.

  3. 디바이스에 브로커 앱이 설치됩니다.The broker app gets installed on the device.

  4. 브로커 앱에서 Azure AD 등록 프로세스를 시작하며, 이 프로세스에서 Azure AD에 디바이스 레코드를 만듭니다.The broker app starts the Azure AD registration process, which creates a device record in Azure AD. 이 프로세스는 MDM(모바일 디바이스 관리) 등록 프로세스와는 다르지만 조건부 액세스 정책을 디바이스에 적용하려면 이 레코드가 필요합니다.This isn't the same as the mobile device management (MDM) enrollment process, but this record is necessary so the Conditional Access policies can be enforced on the device.

  5. broker 앱은 Azure AD 디바이스 ID, 사용자, 애플리케이션을 확인합니다.The broker app confirms the Azure AD device ID, the user, and the application. 이 정보는 요청된 서비스에 대한 액세스의 유효성을 검사하기 위해 Azure AD 로그인 서버에 전달됩니다.This information is passed to the Azure AD sign-in servers to validate access to the requested service.

  6. 브로커 앱은 사용자 인증 프로세스의 일환으로 Azure AD에 앱 클라이언트 ID를 보내서 해당 앱이 정책으로 승인된 목록에 있는지를 확인합니다.The broker app sends the App Client ID to Azure AD as part of the user authentication process to check if it's in the policy approved list.

  7. Azure AD에서 사용자가 인증을 하고 정책으로 승인된 목록을 기반으로 앱을 사용하도록 허용합니다.Azure AD allows the user to authenticate and use the app based on the policy approved list. 앱이 목록에 없으면 Azure AD는 앱 액세스를 거부합니다.If the app isn't on the list, Azure AD denies access to the app.

  8. Outlook 앱이 Outlook 클라우드 서비스와 통신을 하여 Exchange Online과의 통신을 시작합니다.The Outlook app communicates with Outlook Cloud Service to initiate communication with Exchange Online.

  9. Outlook 클라우드 서비스는 Azure AD와 통신을 하여 사용자에 대한 Exchange Online 서비스 액세스 토큰을 검색합니다.Outlook Cloud Service communicates with Azure AD to retrieve Exchange Online service access token for the user.

  10. Outlook 앱이 Exchange Online과 통신을 하여 사용자의 회사 전자 메일을 검색합니다.The Outlook app communicates with Exchange Online to retrieve the user's corporate e-mail.

  11. 회사 전자 메일이 사용자의 사서함에 배달됩니다.Corporate e-mail is delivered to the user's mailbox.

회사 포털 앱은 Intune MAM(모바일 응용 프로그램 관리) 시나리오에 필요합니다.The Company Portal app is required by Intune mobile application management (MAM) scenarios. Android 디바이스에서 Authenticator 앱은 broker의 기능을 포함하며, 회사 포털 앱 이전에 Authenticator가 설치된 경우와 같은 일부 상황에서는 broker로 사용될 수 있습니다.On Android devices, the Authenticator app includes functions of the broker and might be used as the broker in some situations, such as when the Authenticator was installed before the Company Portal app.

다음 단계Next steps

앱 기반 조건부 액세스 정책 만들기Create an app-based Conditional Access policy

최신 인증이 없는 앱 차단Block apps that don't have modern authentication