엔드포인트 통합

엔드포인트는 조직의 리소스 및 애플리케이션에 액세스하는 디바이스입니다. 최신 작업 공간은 회사 네트워크의 내부와 외부에서 액세스를 요청하는 다양한 디바이스를 포함하고 있습니다.

엔드포인트에 대한 제로 트러스트 솔루션은 디바이스에서 실행되는 애플리케이션을 포함하여 작업 데이터에 액세스하는 디바이스의 보안을 확인하는 것입니다. 파트너는 Microsoft의 엔드포인트 솔루션과 통합하여 디바이스 및 앱 보안을 확인하고, 최소 권한 정책을 적용하고, 위반에 대비할 수 있습니다.

이 지침은 Microsoft 제품과 통합하여 엔드포인트 보안 솔루션을 향상하려는 소프트웨어 공급자 및 기술 파트너를 위한 것입니다.

엔드포인트용 제로 트러스트 통합 가이드

이 통합 가이드에는 다음 제품과 통합하는 방법에 대한 지침이 포함되어 있습니다.

  • 엔드포인트용 Microsoft Defender - 엔터프라이즈 네트워크에서 지능형 위협을 방지, 탐지, 조사 및 대응할 수 있도록 도와줍니다.
  • Microsoft Endpoint Manager - 직원이 사용하는 디바이스와 이러한 디바이스에서 실행되는 애플리케이션을 보호하고 보안을 제공합니다.

엔드포인트에 대한 Microsoft Defender

Microsoft Defender For Endpoint는 엔터프라이즈 네트워크가 고급 위협을 방지, 검색, 조사 및 대응하는 데 도움이 되도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다. 엔드포인트 동작 센서, 클라우드 보안 분석 및 위협 인텔리전스를 조합하여 사용합니다.

엔드포인트용 Defender는 타사 애플리케이션을 지원하여 플랫폼의 탐지, 조사 및 위협 인텔리전스 기능을 향상합니다. 또한 파트너는 개방형 프레임워크와 풍부하고 완전한 API 세트를 기반으로 기존 보안 제품을 확장하여 확장 프로그램을 빌드하고 엔드포인트용 Defender와 통합할 수 있습니다.

엔드포인트용 Microsoft Defender 파트너 기회 및 시나리오 페이지에는 지원되는 여러 가지 통합 범주가 설명되어 있습니다. 또한 통합 시나리오에 대한 다른 아이디어로는 다음이 포함될 수 있습니다.

  • 위협 수정 간소화: 엔드포인트용 Microsoft Defender는 즉시 또는 운영자의 도움을 받아 경고를 해결할 수 있습니다. 파트너는 머신 격리, 파일 격리와 같은 엔드포인트 응답 작업을 활용하여 관리형 엔드포인트에서 IoC를 차단할 수 있습니다.
  • 네트워크 액세스 제어와 디바이스 보안 결합: 위험 또는 노출 점수를 사용하여 네트워크 및 애플리케이션 액세스에 대한 정책을 구현하고 적용할 수 있습니다.

엔드포인트용 Defender 솔루션 파트너가 되려면 엔드포인트용 Microsoft Defender 파트너 되기에서 찾은 단계를 수행하고 완료해야 합니다.

Microsoft Endpoint Manager

Microsoft Intune 및 Microsoft Configuration Manager를 포함하고 있는 Microsoft Endpoint Manager는 직원이 사용하는 디바이스와 이러한 디바이스에서 실행되는 애플리케이션을 보호하고 보안을 제공합니다. Endpoint Manager에는 직원이 회사 보안 정책을 충족하는 디바이스에서 애플리케이션과 데이터에 액세스하도록 하는 디바이스 규정 준수 정책이 포함되어 있습니다. 완전 관리형 디바이스와 직원 소유 디바이스 모두에 애플리케이션 기반 보안 제어를 제공하는 애플리케이션 보호 정책도 포함되어 있습니다.

ISV는 Microsoft Endpoint Manager와 통합하려면 Microsoft Graph 및 Microsoft Endpoint Manager 애플리케이션 관리 SDK를 사용해야 합니다. Endpoint Manager를 Graph API와 통합하면 관리자 콘솔에서 제공하는 똑같은 기능을 Endpoint Manager(Intune)에 사용할 수 있습니다. 디바이스 규정 준수 상태, 규정 준수 정책 구성, 애플리케이션 보호 정책 설정 등의 정보는 Graph API를 통해 찾을 수 있습니다. 또한 Endpoint Manager의 작업을 자동화하여 고객의 제로 트러스트 스토리를 더욱 개선할 수 있습니다. Microsoft Graph에서 Intune 사용에 대한 일반 지침은 Microsoft Graph 설명서 리포지토리에서 찾을 수 있습니다. 여기서는 제로 트러스트에 관련된 시나리오를 집중적으로 다룹니다.

Microsoft Graph, Microsoft Graph data connect, and Microsoft Graph connectors enable extending Microsoft 365 experiences and building intelligent apps.

디바이스가 보안 및 규정 준수 표준을 따르는지 확인

ISV 솔루션은 Endpoint Manager의 디바이스 규정 준수 및 정책 정보를 활용하여 제로 트러스트의 명시적으로 확인 원칙을 지원할 수 있습니다. Endpoint Manager의 사용자 및 디바이스에 대한 규정 준수 데이터를 통해 ISV의 애플리케이션은 애플리케이션 사용과 관련된 디바이스의 위험 상태를 확인할 수 있습니다. 이러한 확인을 통해 ISV는 서비스를 사용하는 디바이스가 고객의 보안 및 규정 준수 표준과 정책을 준수하도록 합니다.

ISV는 Microsoft Graph API를 사용하여 RESTful API 세트를 통해 Endpoint Manager(Intune)와 통합할 수 있습니다. 이러한 API는 Endpoint Manager 콘솔에서 Intune의 모든 작업, 데이터 및 활동을 살펴보고, 만들고, 관리하고, 배포하고, 보고하는 데 사용하는 것과 동일합니다. 제로 트러스트 이니셔티브를 지원하는 ISV의 관심을 끄는 것은 디바이스 규정 준수 상태를 살펴보고 규정 준수 규칙 및 정책을 구성하는 기능입니다. 제로 트러스트 구성 및 규정 준수를 위해 Azure AD 및 Endpoint Manager를 사용하기 위한 Microsoft의 권장 사항: 제로 트러스트를 사용한 보안 엔드포인트를 참조하세요. Endpoint Manager의 규정 준수 규칙은 Azure Active Directory를 통해 디바이스 기반 조건부 액세스를 지원하기 위한 기반입니다. 또한 ISV는 조건부 액세스 기능 및 API를 확인하여 사용자 및 디바이스 규정 준수와 조건부 액세스에 대한 시나리오를 완료하는 방법을 이해해야 합니다.

ISV로서 가장 좋은 것은, 애플리케이션이 클라우드 애플리케이션으로 Microsoft Graph API에 연결하고 서비스 간 연결을 설정하는 것입니다. 다중 테넌트 애플리케이션은 ISV에게 중앙 집중식 애플리케이션 정의 및 제어를 제공하고, 고객이 테넌트 데이터에 대해 작동하는 ISV 애플리케이션에 개별적으로 동의할 수 있도록 합니다. 단일 또는 다중 테넌트 Azure AD 애플리케이션을 등록하고 만드는 방법에 대한 Azure Active Directory의 테넌시 정보를 검토하세요. 애플리케이션 인증에서 Azure AD를 Single Sign-On에 활용할 수 있습니다.

애플리케이션을 만든 후에는 Microsoft Graph API를 사용하여 디바이스 및 규정 준수 정보에 액세스해야 합니다. Microsoft Graph 사용에 대한 설명서는 Microsoft Graph 개발자 센터에서 찾을 수 있습니다. Graph API는 데이터 액세스 및 쿼리에 대한 ODATA 표준을 따르는 RESTful API 세트입니다.

디바이스 규정 준수 상태 가져오기

Visualization of the data flow checking if a device is compliant. End user devices feed threat info to a mobile threat defense partner. The devices also provide compliance policy state to Intune and an mobile device management partners. Next, the mobile threat defence partner supplies a risk assessment to the Intune cloud service. Intune and the mobile device management partner provide compliance status to the same service. Finally, the Intune cloud service provides a calculated compliance state to Azure Active Directory, which then supplies a device compliance status via the Microsoft Graph API to the ISV's solution.

이 다이어그램은 디바이스 규정 준수 정보가 디바이스에서 ISV 솔루션으로 전달되는 흐름을 보여줍니다. 최종 사용자 디바이스는 Intune, MTD(모바일 위협 방어) 파트너 또는 MDM(모바일 디바이스 관리) 규정 준수 파트너로부터 정책을 받습니다. 디바이스에서 규정 준수 정보가 수집되면 Intune은 각 디바이스의 전반적인 규정 준수 상태를 계산하여 Azure AD에 저장합니다. Microsoft Graph API를 사용하면 솔루션에서 디바이스 규정 준수 상태를 읽고 응답하여 제로 트러스트 원칙을 적용할 수 있습니다.

Intune에 등록하면 디바이스 규정 준수 상태를 비롯한 추가 디바이스 세부 정보가 포함된 디바이스 레코드가 Intune에 만들어집니다. Intune은 디바이스 규정 준수 상태를 Azure AD에 전달하며, Azure AD도 마찬가지로 각 디바이스와 함께 규정 준수 상태를 저장합니다. https://graph.microsoft.com/v1.0/deviceManagement/managedDevices 에서 GET을 사용하면 테넌트에 대해 등록된 모든 디바이스와 규정 준수 상태를 볼 수 있습니다. https://graph.microsoft.com/v1.0/devices 를 쿼리하여 등록된 Azure AD와 등록된 디바이스 및 규정 준수 상태 목록을 가져올 수도 있습니다.

예를 들어, 이 요청은 다음과 같습니다.

GET https://graph.microsoft.com/v1.0/users/{usersId}/managedDevices/{managedDeviceId} 

다음을 반환합니다.

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 5095

{
 "value": {
  "@odata.type": "#microsoft.graph.managedDevice",
  "id": "705c034c-034c-705c-4c03-5c704c035c70",
  "userId": "User Id value",
  "deviceName": "Device Name value",
  "managedDeviceOwnerType": "company",
  "enrolledDateTime": "2016-12-31T23:59:43.797191-08:00",
  "lastSyncDateTime": "2017-01-01T00:02:49.3205976-08:00",
  "complianceState": "compliant",
…
}

규정 준수 정책, 해당 배포, 해당 규정 준수 정책에 대한 사용자 및 디바이스 상태 목록을 검색할 수도 있습니다. Graph를 호출하여 규정 준수 정책 정보를 얻는 방법에 대한 정보는 Get deviceCompliancePolicy - Microsoft Graph v1.0에서 시작됩니다. 디바이스 규정 준수 정책 및 사용 방법에 대한 유용한 배경 정보는 Microsoft Intune의 디바이스 규정 준수 정책 - Azure에 있습니다.

특정 정책을 확인한 후에는 특정 규정 준수 정책을 설정하는 데 필요한 디바이스 상태를 가져오는 쿼리를 수행할 수 있습니다. 예를 들어 잠금 시 암호를 요구하도록 규정 준수 정책을 배포했다고 가정하고, 해당 설정의 특정 상태에 대해 Get deviceComplianceSettingState를 쿼리합니다. 그러면 디바이스가 암호 잠금 설정을 준수하는지 아니면 준수하지 않는지 표시됩니다. 이 방법은 고객이 배포한 다른 디바이스 규정 준수 정책에도 사용할 수 있습니다.

규정 준수 정보는 Azure AD 조건부 액세스 기능의 기반입니다. Intune은 규정 준수 정책에 따라 디바이스 규정 준수를 확인하고 규정 준수 상태를 Azure AD에 씁니다. 그러면 고객은 사용자가 규정 비준수 디바이스에서 회사 데이터에 액세스하지 못하도록 차단하는 조치를 포함하여 조건부 액세스 정책을 사용하여 규정 비준수에 대해 어떤 조치를 취할 것인지 결정합니다.

디바이스 규정 준수를 조건부 액세스와 통합하는 방법에 대한 추가 정보는 Microsoft Intune의 디바이스 규정 준수 정책을 참조하세요.

최소 권한 액세스 원칙 준수

또한 Endpoint Manager와 통합된 ISV는 애플리케이션이 최소 권한 액세스를 적용하기 위한 제로 트러스트 원칙을 지원하는지 확인하려고 합니다. Endpoint Manager와 통합하면 위임된 권한 또는 애플리케이션 권한의 두 가지 중요한 액세스 제어 방법이 지원됩니다. ISV의 애플리케이션은 권한 모델 중 하나를 사용해야 합니다. 위임된 권한을 사용하면 애플리케이션이 액세스할 수 있는 특정 개체를 Endpoint Manager에서 세밀하게 제어할 수 있지만, 관리자가 자격 증명을 사용하여 로그인해야 합니다. 반면, 애플리케이션 권한을 사용하면 ISV의 앱은 개별 개체가 아닌 데이터 및 개체의 클래스에 액세스하거나 제어할 수 있지만, 사용자의 로그인을 요구하지 않습니다.

애플리케이션을 단일 테넌트 또는 다중 테넌트(기본 설정) 애플리케이션으로 만드는 것 외에도, Endpoint Manager 정보에 액세스하고 Endpoint Manager에 대한 작업을 수행하는 데 필요한 위임된 권한 또는 애플리케이션 권한을 선언해야 합니다. 권한을 사용하는 방법에 대한 자세한 내용은 빠른 시작: 웹 API에 액세스하도록 앱 구성을 참조하세요.

다음 단계