2020년 3월 이후 세계 이벤트는 오피스 365과 클라우드 기반의 SaaS 서비스들의 주요 이점을 spotlight로 인도하였습니다. 그것들은 任何时候、任何地方、任何 기기에서 사용할 수 있습니다. 세계는 집에서 일을 하게 force되었기 때문에 오피스 365 앱들이 Teams, Outlook, SharePoint, OneDrive 등은 정상적인 기업 네트워크 밖에서도 간단하게 접근할 수 있었고 기업 장치가 아닌 device上古ongsio. 실제로 대부분의 오피스 365 및 Micosoft 365 구독은 사용자가 5개의 기기에 이를 설치하고 사용하기를 라이塞스 할 수 있습니다.

이러한 상황에 따라 당신의 주요 懸念 중 하나는 데이터 손실 防止이 sein. 例如, 사용자가 기업의 OneDrive 또는 우편함에 대한 인증을 개인 기기에서 行う 것에 제한이 없습니다. 그들이 그 서비스에서 호스팅 된 모든 파일과 이메일의 synchronization을 할 수 있습니다. 사용자가 그 조직을 떠날 때 로컬 복사본의 데이터는 어떻게 되나?

Azure Active Directory Conditional Access는 관리자들을 어느 정도 제어할 수 있습니다. Azure Active Directory Premium P1 라이塞스의 일부입니다. Conditional Access를 사용하면 사용자가 Azure AD 자원에 대한 접근을 허가 또는 封锁하는 조건을 어떻게 지정할 것인가요. 접근을 허가하더라도 추가적인 조치를 강제할 수 있습니다. MFA를 响應하는 것 같은 것들이 있으며, 다시 로그인하는 시간이 얼마나 되는지 지정할 수 있습니다.

Conditional Access는 기업 기기를 标识 하는 방법

우리의 사례에서는 기업 기기에서만 Office 365에 로그인할 수 있게 Conditional Access를 사용하겠습니다. 우리는 device state를 기반으로 이를 실시합니다.

Conditional Access에서 ‘기업 기기’라는 장치 상태는 없지만, 장치에 대해 두 가지를 식별하고 그것으로부터 장치가 기업 소유임을 추론할 수 있습니다:

1. 장치가 Hybrid Azure AD에 가입되어 있는가?
2. 장치가 준수되었음으로 표시되어 있는가?

Hybrid Azure AD 가입은 장치가 온프레미스 Active Directory에 가입되어 있지만 클라우드 기반 Azure AD와 동기화되어 가입된 상태를 가리킵니다. 이 상태로 장치를 만드는 방법에 대해 여기에서 다루었습니다. 이는 Windows 장치에만 적합합니다.

아래 스크린샷에서 볼 수 있듯이, Azure AD가 하이브리드 Azure AD 가입 유형을 보고합니다.

준수되었음으로 표시된 이 의미하는 바는 장치가 Intune과 같은 모바일 장치 관리 솔루션에 등록되어 있으며, 해당 MDM의 준수 요구 사항을 충족한다는 것인데, 이는 활성 방화벽 같은 요구 사항을 포함합니다. 많은 측면에서, 이는 장치의 도메인 가입만 확인하는 것보다 좋은 제어 수단이며, 보안 포지션을 보장하고 있어 제로 트러스트 전략에 유익합니다. 그러나 장치가 Intune에 등록되었는지만 확인하려는 경우에는 특정 보안 요구 사항이 없는 준수 정책을 설정할 수도 있습니다. 이 방법은 “빅4” 현대 플랫폼인 Windows 10, macOS, iOS 및 Android에 사용할 수 있습니다.

아래 스크린샷에서는 Intune이 장치 컴플라이언스 상태를 보고하는 방법을 확인할 수 있습니다.

엄밀히 말하자면, 이 상태 중 하나의 장치에 대한 올바른 용어는 관리 장치입니다. 이것은 IT 관리자가 해당 장치에 대해 일정 수준의 제어권을 갖고 있음을 의미하며, Group Policy 또는 Intune에서 설정을 적용하고 제어할 수 있는 능력을 포함합니다. 어느 상태에도 있는 장치를 미관리된 것으로 간주합니다. Intune으로의 등록 기능을 기업 장치만으로 제한했다고 가정하면, 우리는 관리 및 기업이라는 용어를 상호교환할 수 있습니다.

Azure AD는 장치 상태 기반 조건부 액세스 정책을 사용할 경우 일부 플랫폼과 브라우저에 인증서 정보를 요청할 수 있습니다. 일반적으로 이는 Apple 및 Google 플랫폼과 같은 Microsoft가 아닌 플랫폼에서 발생합니다. 장치 상태 정보는 해당 장치의 인증서에 저장되어 있으며, 모든 소프트웨어가 인증 중에 이를 Azure AD에 자동으로 제공하지 않기 때문에 발생합니다.

조건부 액세스 정책 생성

조건부 액세스 정책은 Azure AD > 보안 > 조건부 액세스에서 생성됩니다. 정책에 목표를 명확히 하는 이름을 지정하는 것이 최선의 실천 방법입니다. 이는 인증 시도에 여러 정책이 일치하는 경우, 그 모두가 적용되며 좋은 명명 규칙이 문제 해결 및 관리를 단순화합니다.정확히모두.

정책은 할당 및 액세스 제어로 분할됩니다. 할당은 정책이 로그인에 적용되기 위해 로그인에 대해 모든 것이 참임을 확인하는 체크리스트와 같습니다. 대부분의 이러한 설정에 대해 조건을 포함하거나 제외할 수 있습니다. 예를 들어, 모든 사용자를 포함하지만 IT 직원을 제외할 수 있습니다. 정책이 적용된 경우, 액세스 제어는 액세스가 거부되는지 허용되는지 및 허용된 경우 적용하거나 참임이 있어야 하는 기타 단계와 조치를 결정합니다.

Conditional Access에 진입하기 전에 그 강력함을 고려하는 것이 중요합니다. 모든 앱의 인증을 완전히 차단할 수 있는 능력을 제공하기 때문에 잘못 구성하면 중요한 사용자를 중요한 앱에서 차단하거나 모든 관리자를 차단할 수 있습니다. 모니터링하는 로그인 활동이 있는 긴급 접근 계정에 예외를 만드는 것을 고려해야 합니다. 개인적으로, 이는 Conditional Access 정책을 만들 때 수행하는 첫 번째 단계입니다.

할당

사용자 및 그룹은 정책이 적용될 대상을 제어합니다. 이 할당에 포함되지 않은 경우 해당 규칙의 대상이 아닙니다. 관리되지 않는 기기에서 Office 365 액세스를 차단하는 정책의 경우 모든 사용자를 대상으로 하지만 게스트/외부 사용자 및 긴급 접근 계정을 제외할 수 있습니다. 또는 적절한 Azure AD 그룹만 포함할 수도 있습니다.

클라우드 앱 또는 작업을(를) 선택하려면 Office 365을(를) 선택하십시오. 여러 클라우드 앱을 선택할 수 있으므로 모든 민감한 앱을 제한하는 정책을 만드는 것이 좋습니다. Conditional Access에 나열된 Office 365 앱은 사실 개별적으로 선택할 수 있는 다른 앱들의 모음입니다. 예를 들어, 이에는 Exchange Online 및 SharePoint Online도 포함되어 있지만 이러한 구성 요소 앱들만 선택할 수도 있습니다. Office 365을 선택해야 하는 이유는 서비스의 통합된 성격 때문입니다. 통합된 플랫폼을 선택함으로써 서로에게 의존하는 문제를 줄일 수 있습니다.

조건은 시그널 및 인증 속성(예: IP 주소, 운영 체제 및 앱)을 지정하는 곳입니다(대략적으로 웹 또는 클라이언트 앱 액세스를 의미함). 이 예에서는 Office 365 액세스 방법을 모두 차단할 것이므로 특정 조건을 지정하지 마십시오. 이는 모든 조건이 적용됨을 의미합니다. 그러나 일반적으로 이러한 조건들은 웹 액세스와 데스크톱 앱 액세스에 대해 다른 규칙을 갖는 데 사용됩니다.

또한 여기에서 장치 상태 조건을 알 수 있겠지만, 이 정책에는 선택하지 않을 것입니다. 왜 그렇게 하는지 계속 읽어보세요.

액세스 제어

이제 정책의 “만약 이렇게 된다면…” 요소를 처리했으니, “그럼 그렇다면…”에 대한 시간입니다. 액세스 제어는 부여 및 세션 설정으로 분할됩니다.

그랜트 패널에서, 액세스 부여를 선택하고 호환됨으로 표시해야 하는 필수 장치와 하이브리드 Azure AD 가입 장치가 필요함의 상자를 선택해주세요. 또한 이 장치가 둘 중 어느 것이든 되어야 하는지 여부를 선택할 수 있습니다. 둘 중 하나가 아니어도 되도록 해야 하는지 여부를 선택할 수 있습니다. 권장 사항은 선택한 제어 항목 중 하나 필요를 선택하여 온프레미스 도메인 가입 및 Azure AD 전용 장치 모두 액세스할 수 있도록 하는 것입니다.

우리가 여기서 한 것은 “장치에 액세스할 수 있지만 관리되는 장치여야 합니다”라고 말한 것입니다. 다른 말로 하면, “관리되는 장치가 아니면 액세스할 수 없습니다”라고도 말할 수 있습니다. 가정으로는 온프레미스 도메인 가입 프로세스가 안전하고 Intune 등록이 법인 장치에만 한정되어 있다고 가정하면, 이는 모든 Office 365 액세스를 법인 장치에 한정할 수 있게 합니다.

세션 설정은 사용자에게 액세스 권한을 부여한 후 사용자가 수행할 수 있는 작업을 제어합니다. 예를 들어, 웹 브라우저 세션에서 Exchange Online 및 SharePoint Online과 같은 서비스에서 다운로드를 차단하는 앱 강제 제한을 사용할 수 있습니다. 이를 통해 여러 가지 정책을 구성할 수 있는 방법에 대해 생각할 수 있을 것입니다: 관리되지 않는 장치에서 전체 앱에 대한 액세스를 차단하는 정책 및 웹 앱에만 액세스를 허용하고 다운로드를 금지하는 정책 등이 있을 수 있습니다.

조건부 액세스 정책을 배포하기

모든 设置이 적용되었으면 Conditional Access 정책을 보고 전용 또는 켜 상태로 사용할 수 있습니다. 보고 전용의 의도는 Azure AD サイン인 로그를 사용하여 사업장 환경에 영향을 주지 않고 무엇이 일어나지 않았을 것인지 稽核할 수 있게 합니다. 이러한 정보를 사용하여 정책의 가 implications을 이해할 수 있습니다. 예를 들어, 정책에 따라 기업 운영에 어떤 영향을 미칠지 coolerring하고, 그렇다면 사용자에게 어떤 교육을 제공해야 하는지 coolerring합니다.

그러나 我们的 경우 보고 전용 모드에서 중요한 경고가 있습니다. 이전에 언급한 것처럼 Azure AD가 기기 상태를 자동으로 克拉 shellidate하려고 인증서를 조회하는데, 某些 플랫폼은 이러한 조회를 허용하지 않습니다. 보고 전용 모드에서는 도중에 克拉 shellidate를 해야 하지만, 기기 상태 기반 설정을 포함하면 정책에서 이러한 경고가 항상 보입니다.

정책을 정확히 구성하고 사업에 부정적인 영향을 줄 것이 없다고 확신할 때, 이 상태를 켜 로 변경하면 추가 Azure AD 인증 시도에 정책이 적용됩니다.

사용자 경험

이제 사용자가 사업장 外 (Intune 준수 또는 하이브리드 Azure AD 가입) 기기에서 Office 365 자원에 접근하려고 하면 Azure AD는 그들에게 접근이 금지되었다고 지시합니다. 인タ纠察 전용 모드에서는 웹 앱 또는 전체 클라이언트 앱을 사용하여 접근하는 모든 수단에 대해 동일하게 적용됩니다. 다시 한 번, 조건을 사용하여 웹 앱과 클라이언트 앱에 대한 다른 규칙을 정의할 수 있습니다.

기업 장치에서 인증 프로세스는 사용자의 관점에서는 변하지 않습니다: 그들은 무난하게 진행할 것입니다. 해당 앱이 장치 상태를 확인할 수 없을 때의 유일한 예외는 이것이 됩니다. 이는 Office 365 스위트와 같은 제1자 앱에는 문제가 되지 않겠지만, 예를 들어 Windows에서도 제3자 브라우저에서는 문제가 될 수 있습니다. 사용자는 위 화면의 오류와 유사한 오류 메시지를 받을 수 있습니다. Windows용 Chrome은 Windows 10 계정 확장을 사용하면 장치 상태를 지원하며, 이에 반해 Chromium 기반 Edge는 기본적으로 지원합니다.

관련 기사:

• Microsoft 조건부 액세스 정책을 사용하여 Office 365 액세스 제한해야 하는 이유