온-프레미스 디바이스 기반 조건부 액세스 계획

이 문서에서는 온-프레미스 디렉터리가 Azure AD Connect를 사용 하 여 Azure AD에 연결 되는 하이브리드 시나리오의 장치를 기반으로 하는 조건부 액세스 정책에 대해 설명 합니다.

AD FS 및 하이브리드 조건부 액세스

AD FS는 하이브리드 시나리오에서 조건부 액세스 정책의 온-프레미스 구성 요소를 제공합니다. 클라우드 리소스에 대 한 조건부 액세스를 위해 Azure AD에 장치를 등록 하는 경우 Azure AD Connect 장치 쓰기 백 기능을 사용 하 여 온-프레미스에서 장치 등록 정보를 사용 하 여 AD FS 정책을 사용 하 고 적용 합니다. 이러한 방식으로 온-프레미스 및 클라우드 리소스 모두에 대 한 액세스 제어 정책에 대 한 일관 된 접근 방식을 사용할 수 있습니다.

조건부 액세스

등록 된 장치의 유형

등록 된 장치에는 세 가지 종류가 있습니다. 이러한 장치는 모두 Azure AD에서 장치 개체로 표시 되며 온-프레미스 AD FS를 사용 하는 조건부 액세스에도 사용할 수 있습니다.

설명 회사 또는 학교 계정 추가 Azure AD 조인 Windows 10 도메인 가입
설명 사용자는 회사 또는 학교 계정을 BYOD 장치에 대화형으로 추가 합니다. 참고: 회사 또는 학교 계정 추가는 Windows 8/8.1의 Workplace Join에 대 한 대체 항목입니다. 사용자는 Windows 10 작업 장치를 Azure AD에 연결 합니다. Windows 10 도메인에 가입 된 장치는 Azure AD에 자동으로 등록 됩니다.
사용자가 장치에 로그인 하는 방법 회사 또는 학교 계정으로 Windows 로그인이 없습니다. Microsoft 계정를 사용 하 여 로그인 합니다. 장치를 등록 한 (회사 또는 학교) 계정으로 Windows 로그인 합니다. AD 계정을 사용 하 여 로그인 합니다.
장치를 관리 하는 방법 MDM 정책 (추가 Intune 등록 포함) MDM 정책 (추가 Intune 등록 포함) 그룹 정책, Configuration Manager
Azure AD 트러스트 유형 작업 공간 연결 됨 Azure AD 가입 도메인 가입
W10 설정 위치 계정 > > 계정 설정 회사 또는 학교 계정 추가 > Azure AD > 조인에 대 한 설정 > 시스템 > 도메인 >에 대 한 > > 시스템 설정
또한 iOS 및 Android 디바이스에서 사용할 수 있습니까? 아니요 아니요

장치를 등록 하는 다양 한 방법에 대 한 자세한 내용은 다음을 참조 하세요.

Windows 10 사용자 및 디바이스 Sign on와 다른 점은 이전 버전

Windows 10 및 AD FS 2016에 대해 알고 있어야 하는 장치 등록 및 인증에는 몇 가지 새로운 측면이 있습니다 (특히, 이전 릴리스의 장치 등록과 "작업 공간 연결"에 대해 잘 알고 있는 경우).

첫째, Windows 10 및 Windows Server 2016에서 AD FS에서 디바이스 등록 및 인증 더 이상 오로지 기반는 X509 인증서 사용자입니다. 더 나은 보안과 보다 원활한 사용자 환경을 제공 하는 새롭고 강력한 프로토콜이 있습니다. 주요 차이점은 Windows 10 도메인 조인과 Azure AD 조인의 경우 X509 컴퓨터 인증서와 PRT 라는 새 자격 증명이 있습니다. 여기 및 여기에서 모든 정보를 읽을 수 있습니다.

두 번째 Windows 10 및 AD FS 2016는 여기여기에서 읽을 수 있는 Microsoft Passport for Work를 사용 하 여 사용자 인증을 지원 합니다.

AD FS 2016는 PRT와 Passport 자격 증명을 기반으로 원활한 장치 및 사용자 SSO를 제공 합니다. 이 문서의 단계를 사용 하 여 이러한 기능을 사용 하도록 설정 하 고 작동 하는지 확인할 수 있습니다.

장치 Access Control 정책

장치는 다음과 같은 간단한 AD FS 액세스 제어 규칙에서 사용할 수 있습니다.

  • 등록 된 장치 에서만 액세스 허용
  • 장치가 등록 되지 않은 경우 multi-factor authentication 필요

그런 다음 이러한 규칙을 네트워크 액세스 위치 및 multi-factor authentication과 같은 다른 요소와 결합 하 여 다음과 같은 다양 한 조건부 액세스 정책을 만들 수 있습니다.

  • 등록 되지 않은 장치에 대해 특정 그룹의 구성원을 제외 하 고 회사 네트워크 외부에서 액세스 하는 multi-factor authentication 필요

AD FS 2016를 사용 하면 특정 장치 신뢰 수준 ( 인증 됨, 관리 됨 또는 규정 준수)을 요구 하도록 특별히 이러한 정책을 구성할 수 있습니다.

AD FS 액세스 제어 정책 구성에 대 한 자세한 내용은 AD FS의 액세스 제어 정책을 참조 하세요.

인증 된 장치

인증 된 장치는 MDM에 등록 되지 않은 장치 (Windows 10의 경우 intune 및 타사 mdms, iOS 및 Android 용 intune에만 해당)입니다.

인증 된 장치에는 값이 FALSEisManaged AD FS 클레임이 있습니다. (등록 되지 않은 장치는이 클레임을 받지 않습니다.) 인증 된 장치 및 등록 된 모든 장치에는 값이 TRUE 인 isknown AD FS 클레임이 포함 됩니다.

관리 되는 장치:

관리 되는 장치는 MDM에 등록 된 장치를 등록 합니다.

관리 되는 장치에는 값이 TRUE 인 isManaged AD FS 클레임이 있습니다.

장치 호환 (MDM 또는 그룹 정책 사용)

규격 장치는 MDM에 등록 되었지만 MDM 정책과 호환 되는 등록 된 장치입니다. 준수 정보는 MDM을 사용 하 여 시작 되며 Azure AD에 기록 됩니다.

호환 디바이스 갖습니다는 isCompliant AD FS 클레임 값을 가진 TRUE 합니다.

AD FS 2016 장치 및 조건부 액세스 클레임의 전체 목록은 참조를 참조 하세요.

참조

새 AD FS 2016 및 장치 클레임의 전체 목록