이 섹션에서는 조건부 액세스를 올바르게 구현하기 위해 수행해야 하는 모든 단계를 안내합니다.
시작하기 전에
경고
등록된 Microsoft Entra 디바이스는 이 시나리오에서 지원되지 않습니다. Intune에 등록된 디바이스만 지원됩니다.
모든 디바이스가 Intune에 등록되어 있는지 확인해야 합니다. 다음 옵션 중 원하는 옵션을 사용하여 Intune에 디바이스를 등록할 수 있습니다.
- IT 관리: 자동 등록을 사용하도록 설정하는 방법에 대한 자세한 내용은 Windows 자동 등록 사용을 참조하세요.
- 최종 사용자: Intune에서 Windows 10 및 Windows 11 디바이스를 등록하는 방법에 대한 자세한 내용은 Intune에서 Windows 디바이스 등록을 참조하세요.
- 최종 사용자 대안: Microsoft Entra 도메인 가입에 대한 자세한 내용은 방법: Microsoft Entra 조인 구현 계획을 참조하세요.
Microsoft Defender 포털, Intune 포털 및 Microsoft Entra 관리 센터에서 수행해야 하는 단계가 있습니다.
이러한 포털에 액세스하고 조건부 액세스를 구현하는 데 필요한 역할을 기록해 두는 것이 중요합니다.
- Microsoft Defender 포털 - 통합을 켜려면 적절한 역할로 포털에 로그인해야 합니다. 사용 권한 옵션을 참조하세요.
- Intune - 관리 권한이 있는 보안 관리자 권한으로 포털에 로그인해야 합니다.
- Microsoft Entra 관리 센터 - 보안 관리자 또는 조건부 액세스 관리자로 로그인해야 합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.
Intune 관리 및 Microsoft Entra 조인된 Windows 10 및 Windows 11 디바이스를 사용하는 Microsoft Intune 환경이 필요합니다.
조건부 액세스를 사용하도록 설정하려면 다음 단계를 수행합니다.
- 1단계: Microsoft Defender XDR Microsoft Intune 연결 켜기
- 2단계: Intune에서 엔드포인트용 Defender 통합 켜기
- 3단계: Intune에서 규정 준수 정책 만들기
- 4단계: 정책 할당
- 5단계: Microsoft Entra 조건부 액세스 정책 만들기
1단계: Microsoft Intune 연결 켜기
탐색 창에서 설정>엔드포인트>일반>고급 기능>Microsoft Intune 연결을 선택합니다.
Microsoft Intune 설정을 켜기로 전환 합니다.
기본 설정 저장을 클릭합니다.
2단계: Intune에서 엔드포인트용 Defender 통합 켜기
Intune 포털에 로그인
엔드포인트 보안>엔드포인트용 Microsoft Defender 선택합니다.
Windows 10.0.15063+ 디바이스를 연결하여 Advanced Threat Protection을 켜기로 Microsoft Defender.
저장을 클릭합니다.
3단계: Intune에서 규정 준수 정책 만들기
Azure Portal모든 서비스를 선택하고 Intune을 필터링한 다음 Microsoft Intune을 선택합니다.
디바이스 준수>정책>정책 정책 만들기를 선택합니다.
이름 및 설명을 입력합니다.
플랫폼에서Windows 10 이상을 선택합니다.
디바이스 상태 설정에서 디바이스가 디바이스 위협 수준 또는 아래에 있어야 하려면 필요를 기본 설정 수준으로 설정합니다.
- 보안됨: 가장 안전한 수준입니다. 디바이스는 기존 위협을 가질 수 없으며 회사 리소스에 계속 액세스할 수 없습니다. 어떠한 위협이든 확인되는 디바이스는 비규격으로 평가됩니다.
- 낮음: 낮은 수준의 위협만 있는 디바이스는 규격 디바이스입니다. 중간 또는 높은 위협 수준이 있는 디바이스는 규정을 준수하지 않습니다.
- 보통: 낮음 또는 보통 수준의 위협이 있는 디바이스는 규격 디바이스입니다. 높은 수준의 위협이 검색되는 경우 해당 디바이스는 비규격으로 간주됩니다.
- 높음: 이 수준은 가장 안전하지 않으며 모든 위협 수준을 허용합니다. 따라서 위협 수준이 높거나 중간 또는 낮은 디바이스는 규정을 준수하는 것으로 간주됩니다.
확인을 선택하고 만들기를 선택하여 변경 내용을 저장하고 정책을 만듭니다.
4단계: 정책 할당
Azure Portal모든 서비스를 선택하고 Intune을 필터링한 다음 Microsoft Intune을 선택합니다.
디바이스 준수>정책을> 선택하여 엔드포인트용 Microsoft Defender 준수 정책을 선택합니다.
과제를 선택합니다.
Microsoft Entra 그룹을 포함하거나 제외하여 정책을 할당합니다.
그룹에 정책을 배포하려면 저장을 선택합니다. 정책의 대상이 되는 사용자 디바이스는 규정 준수를 평가합니다.
5단계: Microsoft Entra 조건부 액세스 정책 만들기
- Microsoft Entra 관리 센터에 조건부 액세스 관리자로 로그인합니다.
- Entra ID>조건부 액세스>정책으로 이동합니다.
- 새 정책을 선택합니다.
- 정책 이름을 지정합니다. 조직에서는 정책 이름에 대한 의미 있는 표준을 만드는 것이 좋습니다.
-
할당에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 모든 사용자를 선택합니다.
- 제외에서 다음을 수행합니다.
-
사용자 및 그룹 선택
- organization 긴급 액세스 또는 비상 계정을 선택합니다.
- Microsoft Entra Connect 또는 Microsoft Entra Connect Cloud Sync와 같은 하이브리드 ID 솔루션을 사용하는 경우 디렉터리 역할을 선택한 다음 디렉터리 동기화 계정을 선택합니다.
-
사용자 및 그룹 선택
- 대상 리소스 리소스>(이전의 클라우드 앱)>포함에서 모든 리소스(이전의 '모든 클라우드 앱')를 선택합니다.
-
액세스 제어 권한부여에서 >
- 준수 상태로 표시된 디바이스 필요를 선택합니다.
- 선택을 선택합니다.
- 설정을 확인하고 정책 사용을보고서 전용으로 설정합니다.
- 만들기를 선택하여 정책을 사용하도록 설정합니다.
정책 영향 또는 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용에서 켜기로 이동합니다.
참고
Microsoft Entra 조건부 액세스 정책에서 승인된 클라이언트 앱, 앱 보호 정책 및 규격 디바이스(디바이스를 규격으로 표시해야 합니다) 컨트롤과 함께 엔드포인트용 Microsoft Defender 앱을 사용할 수 있습니다. 조건부 액세스를 설정하는 동안 엔드포인트용 Microsoft Defender 앱에는 제외가 필요하지 않습니다. Android & iOS의 엔드포인트용 Microsoft Defender(앱 ID - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3)은 승인된 앱이 아니지만 세 가지 권한 부여 권한 모두에 디바이스 보안 상태를 보고할 수 있습니다.
자세한 내용은 Intune에서 조건부 액세스로 엔드포인트용 Microsoft Defender에 대한 규정 준수 적용을 참조하세요.
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.