Microsoft Entra용 조건부 액세스 최적화 에이전트에는 조직에서 안전하고 효율적으로 새 조건부 액세스 정책을 배포하는 데 도움이 되는 단계별 롤아웃 기능이 포함되어 있습니다. Microsoft Entra의 이 Microsoft 보안 코필로트 기능을 사용하면 관리자가 정책을 점진적으로 도입하고, 영향을 모니터링하고, 중단을 최소화할 수 있습니다. 이 단계적 롤아웃 기능은 최종 사용자에게 광범위한 중단의 가능성을 최소화하고 수동 분석 및 계획의 필요성을 줄이기 위해 새로운 정책을 점진적으로 배포하여 몇 주 동안의 노력을 절약할 수 있도록 합니다. 조건부 액세스 최적화 에이전트의 모든 측면과 마찬가지로 관리자는 그룹 선택 및 출시 속도와 같은 정책 변경 내용을 완전히 제어합니다. 투명성을 유지하기 위해 출시 계획에 대한 명확한 추론도 제공됩니다.
이 문서에서는 단계적 롤아웃 프로세스의 작동 방식을 설명하고, 필수 구성 요소를 간략하게 설명하고, 원활한 배포를 보장하는 데 도움이 되는 기본 제공 세이프가드에 대해 설명합니다.
필수 조건
- Microsoft Entra ID P1 라이선스 이상이 있어야 합니다.
- 사용 가능한 SCU(보안 컴퓨팅 단위)가 있어야 합니다.
- 보안 읽기 권한자 및 전역 읽기 권한자 역할은 에이전트 및 제안을 볼 수 있지만 어떤 작업도 수행할 수 없습니다.
- 조건부 액세스 관리자, 보안 관리자 및 전역 관리자 역할은 에이전트를 보고 제안에 대한 조치를 취할 수 있습니다.
- 테넌트에는 에이전트가 단계적 롤아웃 계획을 생성하기 위해 현재 조건부 액세스 정책에 사용되는 정의된 그룹이 5개 이상 있어야 합니다.
작동 방식
조건부 액세스 최적화 에이전트가 보고서 전용 모드에서 새 정책을 만들 때 단계적 롤아웃을 사용하여 정책을 켜는 것이 좋습니다. 에이전트는 로그인 데이터 및 기존 정책을 분석하여 단계적 롤아웃 계획을 정의합니다.
모든 사용자에게 적용하고 켜야 하는 정책은 단계적 롤아웃에 적합합니다. 롤아웃 계획에는 5개의 개별 단계가 있으므로 롤아웃 계획을 적용하려면 5개 이상의 그룹이 있어야 합니다. 사용할 그룹을 결정하기 위해 에이전트는 이전에 사용되었거나 현재 조건부 액세스 정책에 사용된 그룹을 확인합니다. 에이전트는 해당 그룹을 확인하여 다른 조건부 액세스 정책이 영향을 미치는 방식을 확인하여 잠재적인 영향을 측정합니다. 에이전트는 그룹의 크기를 살펴본 다음 이러한 모든 요소를 사용하여 낮은 영향 그룹으로 시작하여 더 높은 영향 그룹으로 끝나는 단계에 그룹을 할당합니다.
단계적 롤아웃 프로세스에는 다음 세 단계가 있습니다.
각 단계에 포함된 그룹 및 각 단계 사이의 일 수를 검토하고 단계적 롤아웃 전후에 변경할 수 있습니다. 롤아웃하는 동안 언제든지 에이전트에서 계획을 실행하도록 선택하거나 계획의 각 단계를 수동으로 실행할 수 있습니다.
계획 실행 방법 또는 계획을 변경한 경우와 관계없이 첫 번째 단계가 시작되면 첫 번째 단계에 포함된 그룹에 대해 새 정책이 만들어지고 켜집니다. 원래 보고서 전용 모드 정책은 그대로 유지됩니다.
에이전트가 단계적 롤아웃을 사용하여 보고서 전용 정책을 만듭니다.
에이전트는 보고서 전용 정책을 만들고 별도의 단계별 롤아웃 계획을 작성합니다. 출시 계획에는 소규모의 저위험 그룹으로 시작하여 더 큰 고위험 그룹으로 진행하는 5단계가 포함됩니다.
에이전트의 제안 목록에서 에이전트 열에서 수행한 작업에서 제안된 단계별 롤아웃을 찾습니다.
관리자가 롤아웃 계획을 검토, 편집 및 수락합니다.
관리자는 각 단계에 포함된 그룹, 각 단계의 타이밍 및 계획 실행 방법을 포함하여 계획의 세부 정보를 검토해야 합니다.
Microsoft Entra 관리 센터에 최소한 보안 관리자로 로그인합니다.
조건부 액세스 최적화 에이전트로 이동하여 단계적 롤아웃을 포함하는 정책 제안에 대한 제안 검토 단추를 선택합니다.
정책 세부 정보 페이지에서 검토 단계를 선택합니다.
그룹 편집을 선택하여 단계에 포함된 그룹을 편집합니다.
자동 롤아웃 단계 단추에서 아래쪽 화살표를 선택하여 실행 모드를 선택합니다.
- 자동으로 단계 롤아웃: 에이전트는 타이밍 및 영향 신호에 따라 각 단계를 자동으로 롤아웃합니다.
- 수동 롤아웃 단계: 관리자는 롤아웃의 각 단계를 수동으로 진행합니다.
팁 (조언)
자동 및 수동 롤아웃 계획을 사용하여 언제든지 개입할 수 있습니다. 또한 롤아웃 중에 언제든지 실행 모드를 변경할 수 있습니다.
단계 간 시간을 조정하려면 다음을 수행합니다.
- 조건부 액세스 최적화 에이전트에서 설정 탭으로 이동합니다.
- 단계별 롤아웃 섹션에서 각 단계 사이의 일수를 조정합니다.
- 저장 단추를 선택하여 변경 내용을 적용합니다.
자세한 내용은 단계별 롤아웃 설정을 검토하세요.
에이전트 또는 관리자가 승인된 롤아웃 계획을 실행합니다.
단계적 롤아웃을 관리하는 데 사용할 수 있는 옵션은 자동 및 수동 실행에 대해 다릅니다.
단계 자동 롤아웃
자동 롤아웃을 선택한 경우 에이전트는 첫 번째 단계의 모든 그룹에 적용되는 사용 가능한 새 정책을 만들어 계획을 자동으로 실행합니다. 롤아웃이 시작되면 여러 컨트롤이 롤아웃을 관리하는 것처럼 보입니다.
에이전트는 정의된 일정에 따라 다음 단계에서 그룹에 정책을 배포합니다. 단계적 롤아웃 중에 언제든지 계획 실행을 일시 중지하거나 나머지 단계를 수동으로 롤아웃하도록 선택할 수 있습니다.
롤아웃의 각 단계 간에 계속 모니터링하여 정책이 예상한 작업을 수행하는지 확인할 수 있습니다. 정책이 롤아웃되는 동안 원래 보고서 전용 정책은 나머지 단계에서 보고서 전용 모드로 유지됩니다. 단계적 롤아웃이 완료되면 에이전트는 다음에 실행할 때 보고서 전용 정책을 삭제하는 것이 좋습니다. 따라서 정리된 정책 목록을 유지할 수 있습니다.
수동으로 단계 롤아웃
단계별 롤아웃 계획을 수동으로 실행하도록 선택한 경우 각 단계를 관리하는 몇 가지 옵션이 제공됩니다.
롤아웃의 각 단계를 진행하려면 다음 단계로 이동을 선택해야 합니다. 어떤 단계에서든 이전 단계로 되돌리거나 에이전트가 나머지 단계를 자동으로 롤아웃하도록 선택할 수 있습니다.
기본 제공 세이프가드
단계적 롤아웃이 시작되면 정책의 권한 부여 컨트롤을 업데이트할 수 없습니다. 권한 부여 컨트롤을 변경하면 단계적 롤아웃이 취소됩니다. 모든 단계에서 10개 이상의% 로그인이 새 정책에 의해 차단되면 롤아웃이 즉시 일시 중지됩니다. 세부 정보를 검토하고 잠재적으로 수정할 수 있도록 관리자에게 알림을 받습니다.
자주 묻는 질문
단계적 롤아웃 기능은 어떻게 작동하나요?
각 단계가 적용되는 그룹을 선택한 후 에이전트는 첫 번째 단계의 그룹만 포함하는 중복 조건부 액세스 정책을 만듭니다. 원래 조건부 액세스 정책은 보고서 전용 모드로 유지되며 모든 사용자를 대상으로 하므로 데이터를 계속 수집할 수 있습니다. 배포가 다음 단계로 진행되면 그룹 일괄 처리가 활성화된 조건부 액세스 정책에 추가됩니다. 에이전트는 각 단계가 이 정책과 연결된 로그인에 미치는 영향을 모니터링합니다. 성공률이%90 미만으로 떨어지면 단계적 롤아웃이 중지되고 활성화된 정책이 보고서 전용 모드로 다시 배치됩니다. 그런 다음 로그를 검토하여 단계적 롤아웃을 다시 시도하기 전에 로그인이 실패한 이유를 확인할 수 있습니다.
단계적 롤아웃을 켜야 하나요?
단계적 롤아웃 기능은 기본적으로 켜져 있습니다. 이 기능을 해제하려면 조건부 액세스 최적화 에이전트 페이지의 설정 탭으로 이동합니다. 단계적 롤아웃에서 토글을 해제로 전환합니다.