Active Directory Federation Services를 사용하여 조직 데이터에 대한 액세스 제어

이 문서에서는 온-프레미스, 하이브리드 및 클라우드 시나리오에서 AD FS를 사용하여 액세스 제어에 대한 개요를 제공합니다.

온-프레미스 리소스에 대한 AD FS 및 조건부 액세스

Active Directory Federation Services가 도입된 이후 권한 부여 정책을 사용하여 요청 및 리소스의 특성에 따라 사용자가 리소스에 액세스하도록 제한하거나 허용할 수 있습니다. AD FS가 버전에서 버전으로 이동함에 따라 이러한 정책을 구현하는 방법이 변경되었습니다. 버전별 액세스 제어 기능에 대한 자세한 내용은 다음을 참조하세요.

• Windows Server 2016의 AD FS에서 액세스 제어 정책
• Windows Server 2012 R2의 AD FS에서 액세스 제어

하이브리드 조직의 AD FS 및 조건부 액세스

AD FS는 하이브리드 시나리오에서 조건부 액세스 정책의 온-프레미스 구성 요소를 제공합니다. AD FS 기반 권한 부여 규칙은 AD FS에 직접 페더레이션된 온-프레미스 애플리케이션과 같은 비 Microsoft Entra 리소스에 사용해야 합니다. 클라우드 구성 요소는 Microsoft Entra 조건부 액세스에서 제공합니다. Microsoft Entra 커넥트 두 항목을 연결하는 컨트롤 플레인을 제공합니다.

예를 들어 클라우드 리소스에 대한 조건부 액세스를 위해 Microsoft Entra ID를 사용하여 디바이스를 등록하는 경우 Microsoft Entra 커넥트 디바이스 쓰기 저장 기능을 사용하면 AD FS 정책을 사용하고 적용하기 위해 온-프레미스에서 디바이스 등록 정보를 사용할 수 있습니다. 이렇게 하면 온-프레미스 및 클라우드 리소스 모두에 대한 제어 정책에 액세스하는 일관된 접근 방식이 있습니다.

Office 365용 클라이언트 액세스 정책의 진화

많은 사용자가 AD FS에서 클라이언트 액세스 정책을 사용하여 클라이언트 위치 및 사용 중인 클라이언트 응용 프로그램의 유형과 같은 요인에 따라 Office 365 및 기타 Microsoft Online 서비스에 대한 액세스를 제한합니다.

• Windows Server 2012 R2 AD FS의 클라이언트 액세스 정책
• AD FS 2.0의 클라이언트 액세스 정책

이러한 정책의 몇 가지 예는 다음과 같습니다.

• Office 365에 대한 모든 엑스트라넷 클라이언트 액세스 차단
• Exchange Active Sync용 Exchange Online에 액세스하는 디바이스를 제외하고 Office 365에 대한 모든 엑스트라넷 클라이언트 액세스 차단

이러한 정책의 기본 요구 사항은 권한 있는 클라이언트, 데이터를 캐시하지 않는 애플리케이션 또는 원격으로 사용하지 않도록 설정할 수 있는 디바이스만 리소스에 액세스할 수 있도록 하여 데이터 유출 위험을 완화하는 것입니다.

위에서 설명한 AD FS에 대한 정책은 문서화된 특정 시나리오에서 작동하지만 일관되게 사용할 수 없는 클라이언트 데이터에 따라 달라지므로 제한 사항이 있습니다. 예를 들어 클라이언트 애플리케이션의 ID는 Exchange Online 기반 서비스에서만 사용할 수 있으며 SharePoint Online과 같은 리소스에는 사용할 수 없으며, 브라우저 또는 Word 또는 Excel과 같은 '두꺼운 클라이언트'를 통해 동일한 데이터에 액세스할 수 있습니다. 또한 AD FS는 SharePoint Online 또는 Exchange Online과 같이 액세스 중인 Office 365 내의 리소스를 인식하지 못합니다.

이러한 제한 사항을 해결하고 정책을 사용하여 Office 365 또는 기타 Microsoft Entra ID 기반 리소스의 비즈니스 데이터에 대한 액세스를 관리하는 보다 강력한 방법을 제공하기 위해 Microsoft는 Microsoft Entra 조건부 액세스를 도입했습니다. Microsoft Entra 조건부 액세스 정책은 특정 리소스 또는 Microsoft Entra ID의 Office 365, SaaS 또는 사용자 지정 응용 프로그램 내의 모든 또는 모든 리소스에 대해 구성할 수 있습니다. 이러한 정책은 디바이스 신뢰, 위치 및 기타 요소를 피벗합니다.

Microsoft Entra 조건부 액세스에 대한 자세한 내용은 Microsoft Entra ID의 조건부 액세스를 참조 하세요.

이러한 시나리오를 사용하도록 설정하는 주요 변경 사항은 Office 클라이언트, Skype, Outlook 및 브라우저에서 동일한 방식으로 작동하는 사용자 및 디바이스를 인증하는 새로운 방법인 최신 인증입니다.

다음 단계

클라우드 및 온-프레미스에서 액세스를 제어하는 방법에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft Entra ID의 조건부 액세스
• AD FS 2016의 액세스 제어 정책