SharePoint Online에서 Configuration Manager에 대한 조건부 액세스
적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
참고
이 항목의 정보는 System Center 2012 Configuration Manager SP1 이상 및 System Center 2012 R2 Configuration Manager 이상에 적용됩니다.
Configuration Manager SharePoint Online 조건부 액세스 정책을 사용하여 지정한 조건에 따라 SharePoint Online에 있는 비즈니스용 OneDrive 파일에 대한 액세스를 관리합니다.
대상 사용자가 자신의 장치에 있는 OneDrive와 같은 지원되는 앱을 사용하여 파일에 연결하려고 하면 다음 평가 작업이 수행됩니다.
.jpeg "Conditional Access for SharePoint")
필수 파일에 연결하려면 OneDrive를 실행 중인 장치에서 다음을 수행해야 합니다.
Microsoft Intune에 등록된 장치 또는 도메인에 가입된 PC를 장치로 사용하도록 준비해야 합니다.
장치를 Azure Active Directory에 등록해야 합니다(이 등록은 Intune에 장치를 등록하면 자동으로 수행됨).
도메인에 가입된 PC의 경우 Azure Active Directory에 자동으로 등록하도록 설정해야 합니다.
배포된 Configuration Manager 준수 정책을 준수해야 합니다.
장치 상태는 지정한 조건에 따라 파일에 대한 액세스를 부여하거나 차단하는 Azure Active Directory에 저장됩니다.
조건이 충족되지 않으면 사용자가 로그인할 때 다음 메시지 중 하나가 표시됩니다.
장치를 Intune에 등록하지 않았거나 Azure Active Directory에 등록하지 않은 경우, 회사 포털 앱을 설치하고 등록하는 방법에 관한 지침이 포함된 메시지가 표시됩니다.
장치가 규정을 준수하지 않으면 사용자가 문제에 관한 정보를 찾을 수 있는 Intune 웹 포털 및 문제를 관리하는 방법을 알려 주는 메시지가 표시됩니다.
PC의 경우:
정책이 도메인 가입을 요구하도록 설정되어 있지만 PC가 도메인에 가입되지 않은 경우 IT 관리자에게 문의하라는 메시지가 표시됩니다.
정책이 도메인 가입 또는 규정 준수를 요구하도록 설정되어 있는 경우 PC가 요구 사항을 충족하지 않으면 회사 포털 앱을 설치하고 등록하는 방법에 대한 지침이 포함된 메시지가 표시됩니다.
다음 앱의 SharePoint Online 액세스를 차단할 수 있습니다.
Microsoft Office Mobile(Android)
Microsoft OneDrive(Android 및 iOS)
Microsoft Word(Android 및 iOS)
Microsoft Excel(Android 및 iOS)
Microsoft PowerPoint(Android 및 iOS)
Microsoft OneNote(Android 및 iOS)
SharePoint Online에 대한 조건부 액세스를 구성하는 단계
1단계: Active Directory 보안 그룹 구성
시작하기 전에 조건부 액세스 정책에 대한 Azure Active Directory 보안 그룹을 구성합니다.Office 365 관리 센터 또는 Intune 계정 포털에서 이러한 그룹을 구성할 수 있습니다. 이러한 그룹에는 정책의 대상이 되거나 정책에서 제외되는 사용자가 포함됩니다. 사용자가 정책의 대상인 경우 해당 사용자가 사용하는 각 장치가 규정을 준수해야 리소스에 액세스할 수 있습니다.
SharePoint Online 정책에 두 그룹 유형을 지정할 수 있습니다.
대상 그룹 – 정책이 적용되는 사용자 그룹을 포함합니다.
제외된 그룹 – 정책에서 제외되는 사용자 그룹을 포함합니다(선택 사항).
사용자가 두 그룹에 모두 속한 경우에는 정책에서 제외됩니다.
2단계: 규정 준수 정책 구성 및 배포
규정 준수 정책을 만들고 SharePoint Online 정책의 대상이 될 모든 장치에 배포해야 합니다.
참고
준수 정책을 Intune 그룹 또는 Configuration Manager 컬렉션에 배포하는 중에는 조건부 액세스 정책의 대상이 Azure Active Directory 보안 그룹으로 지정됩니다.
준수 정책을 구성하는 방법에 대한 자세한 내용은 Configuration Manager의 준수 정책을 참조하세요.
.jpeg "System_CAPS_important") 중요 |
|---|
준수 정책을 배포하지 않은 상태에서 SharePoint Online 정책을 사용하도록 설정하면 대상으로 지정된 모든 장치에 대한 액세스가 허용됩니다. |
준비가 되었으면 3단계를 계속합니다.
3단계: SharePoint Online 정책 구성
다음으로 관리되고 규정을 준수하는 장치만 SharePoint Online에 액세스할 수 있도록 요구하는 정책을 구성합니다. 이 정책은 Azure Active Directory에 저장됩니다.
-
Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.
-
SharePoint Online에 대한 조건적 액세스 정책 사용을 선택합니다.
-
최신 인증을 사용하는 앱에서 각 플랫폼에 대한 규정을 준수하는 장치에만 액세스를 제한하도록 선택할 수 있습니다.
.jpeg "System_CAPS_tip")
팁최신 인증을 사용하는 경우 Office 클라이언트에서 ADAL(Active Directory Authentication Library) 기반 로그인이 가능합니다.
ADAL 기반 인증을 사용하면 Office 클라이언트가 브라우저 기반 인증(수동 인증이라고도 함)을 수행할 수 있게 됩니다. 사용자는 인증 시 로그인 웹 페이지로 이동됩니다.
이 새로운 로그인 방법을 적용하는 경우 장치 준수 및 다단계 인증 수행 여부에 따라 조건부 액세스 등의 새로운 시나리오를 사용할 수 있습니다.
이 문서에는 최신 인증의 작동 방식이 자세히 나와 있습니다.
Windows PC의 경우, 해당 PC가 도메인에 가입되어 있거나 Intune에 등록되어 있고 규정을 준수해야 합니다. 다음 요구 사항을 설정할 수 있습니다.
- **장치가 도메인에 가입되어 있거나 규정을 준수해야 합니다.** 즉, PC가 도메인에 가입되어 있거나 Intune에 설정된 정책을 따라야 합니다. PC가 이러한 요구 사항을 하나라도 충족하지 않을 경우 Intune에 장치를 등록하라는 메시지가 표시됩니다. - **장치가 도메인에 가입되어 있어야 합니다.** 즉, Exchange Online에 액세스하려면 PC가 도메인에 가입되어 있어야 합니다. PC가 도메인에 가입되지 않은 경우, 메일 액세스가 차단되고 IT 관리자에게 문의하라는 메시지가 표시됩니다. - **장치가 규정을 준수해야 합니다.** 즉, PC가 Intune에 등록되어 있어야 하며 규정을 준수해야 합니다. PC가 등록되어 있지 않은 경우 등록 방법에 대한 지침이 포함된 메시지가 표시됩니다. -
홈 탭의 링크 그룹에서 Intune 콘솔에서 조건부 액세스 정책 구성을 클릭합니다.Configuration Manager와 Intune을 연결하는 데 사용되는 계정의 사용자 이름과 암호를 입력해야 할 수 있습니다.
Intune 관리 콘솔이 열립니다.
-
Microsoft Intune 관리 콘솔에서 정책 > 조건부 액세스 > SharePoint Online 정책을 클릭합니다.
-
장치가 정책을 준수하지 않는 경우 앱의 SharePoint Online 액세스 차단을 선택합니다.
-
대상 그룹에서 수정을 클릭하여 정책을 적용할 Azure Active Directory 보안 그룹을 선택합니다.
-
제외된 그룹에서 필요에 따라 수정을 클릭하여 이 정책에서 제외된 Azure Active Directory 보안 그룹을 선택합니다.
-
작업이 끝나면 저장을 클릭합니다.
조건부 액세스 정책을 배포할 필요는 없으며, 즉시 적용됩니다.
Intune 콘솔에서 정책을 모니터링하는 방법에 대한 자세한 내용은 Microsoft Intune을 사용하여 SharePoint Online 액세스 관리를 참조하세요.