Intune에서 사용할 수 있는 조건부 액세스 정책에는 디바이스 기반 조건부 액세스와 앱 기반 조건부 액세스의 두 가지 유형이 있습니다. 각 정책을 지원하려면 관련 Intune 정책을 구성해야 합니다. Intune 정책이 적용되고 배포되면 조건부 액세스를 사용하여 Exchange에 대한 액세스를 허용 또는 차단하고, 네트워크에 대한 액세스를 제어하거나, Mobile Threat Defense 솔루션과 통합하는 등의 작업을 수행할 수 있습니다.
이 문서에 있는 정보는 Intune 모바일 디바이스 규정 준수 기능 및 Intune 모바일 애플리케이션 관리(MAM) 기능 사용 방법의 이해에 도움이 됩니다.
참고
조건부 액세스는 Microsoft Entra ID P1 또는 P2 라이선스에 포함된 Microsoft Entra 기능입니다. Intune은 솔루션에 모바일 디바이스 호환성과 모바일 앱 관리 기능을 추가하여 이 기능을 향상합니다. Intune에서 액세스하는 조건부 액세스 노드는 Microsoft Entra ID에서 액세스한 것과 동일한 노드입니다.
디바이스 기반 조건부 액세스
Intune 및 Microsoft Entra ID는 관리 및 규격 디바이스만 organization 이메일, Microsoft 365 서비스, SaaS(Software as a Service) 앱 및 온-프레미스 앱에 액세스할 수 있도록 함께 작동합니다. 또한 도메인에 가입된 컴퓨터 또는 Intune에 등록된 모바일 디바이스만 Microsoft 365 서비스에 액세스할 수 있도록 Microsoft Entra ID로 정책을 설정할 수 있습니다.
Intune을 사용하면 디바이스 규정 준수 정책을 배포하여 디바이스가 예상 구성 및 보안 요구 사항을 충족하는지 확인합니다. 규정 준수 정책 평가는 디바이스의 규정 준수 상태 결정하며 이는 Intune 및 Microsoft Entra ID 모두에 보고됩니다. 조건부 액세스 정책은 디바이스의 규정 준수 상태 사용하여 해당 디바이스에서 organization 리소스에 대한 액세스를 허용하거나 차단할지 여부를 결정할 수 있는 Microsoft Entra ID입니다.
Exchange Online 및 기타 Microsoft 365 제품에 대한 디바이스 기반 조건부 액세스 정책은 Microsoft Intune 관리 센터를 통해 구성됩니다.
Intune 디바이스 준수에 대해 자세히 확인해 보세요.
Microsoft Entra ID에서 조건부 액세스를 사용하는 지원되는 브라우저에 대해 자세히 알아봅니다.
참고
사용자가 Android 개인 소유 회사 프로필 디바이스의 브라우저 앱에서 액세스하는 콘텐츠에 대해 디바이스 기반 액세스를 사용하도록 설정하면 2021년 1월 이전에 등록한 사용자는 다음과 같이 브라우저 액세스를 사용하도록 설정해야 합니다.
- 회사 포털 앱을 시작합니다.
- 단추에서 설정 페이지로 이동합니다.
- 브라우저 액세스 사용 섹션에서 사용 단추를 탭합니다.
- 브라우저 앱을 닫았다가 다시 시작합니다.
이렇게 하면 브라우저 앱에서 액세스할 수 있지만 앱 내에서 열리는 브라우저 WebView에는 액세스할 수 없습니다.
Microsoft Intune 제어를 위해 조건부 액세스에서 사용할 수 있는 애플리케이션
Microsoft Entra 관리 센터에서 조건부 액세스를 구성하는 경우 다음 두 가지 애플리케이션 중에서 선택할 수 있습니다.
- Microsoft Intune - 이 애플리케이션은 Microsoft Intune 관리 센터 및 데이터 원본에 대한 액세스를 제어합니다. Microsoft Intune 관리 센터 및 데이터 원본을 대상으로 지정하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다.
- Microsoft Intune 등록 - 이 애플리케이션은 등록 워크플로를 제어합니다. 등록 프로세스를 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다. 자세한 내용은 Intune 디바이스 등록에 다단계 인증 필요를 참조하세요.
네트워크 액세스 제어 기준 조건부 액세스
Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.
사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.
- 자세한 내용은 Intune과 NAC 통합을 참조하세요.
디바이스 위험 기준 조건부 액세스
Intune은 보안 솔루션을 제공하는 Mobile Threat Defense 공급업체와의 제휴를 통해 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 검색합니다.
Intune과 Mobile Threat Defense 통합의 작동 방식
모바일 디바이스에 Mobile Threat Defense 에이전트가 설치되어 있으면 해당 에이전트는 모바일 디바이스 자체에서 위협이 발견되었는지를 보고하는 준수 상태 메시지를 Intune으로 다시 보냅니다.
Intune과 Mobile Threat Defense 통합은 디바이스 위험 기반 조건부 액세스를 결정할 때 중요한 요인으로 작용합니다.
- Intune Mobile Threat Defense에 대해 자세히 알아보세요.
Windows PC에 대한 조건부 액세스
PC에 대한 조건부 액세스는 모바일 디바이스에 사용할 수 있는 것과 유사한 기능을 제공합니다. 이 항목에서는 Intune으로 PC를 관리할 때 조건부 액세스를 사용할 수 있는 방식을 설명합니다.
회사 소유
하이브리드 조인 Microsoft Entra: 이 옵션은 AD 그룹 정책 또는 Configuration Manager 통해 PC를 이미 관리하는 방식에 합리적으로 익숙한 조직에서 일반적으로 사용됩니다.
Microsoft Entra 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 주로 온-프레미스 인프라 사용을 줄이기 위해 클라우드 서비스를 사용) 또는 클라우드 전용(온-프레미스 인프라 없음)을 원하는 조직을 위한 것입니다. Microsoft Entra 조인은 하이브리드 환경에서 잘 작동하므로 클라우드 및 온-프레미스 앱과 리소스 모두에 액세스할 수 있습니다. 디바이스는 Microsoft Entra ID에 조인하고 회사 리소스에 액세스할 때 조건부 액세스 조건으로 사용할 수 있는 Intune에 등록됩니다.
BYOD(Bring Your Own Device)
- 작업 공간 연결 및 Intune 관리: 이 경우 사용자는 개인 디바이스에 연결하여 회사 리소스 및 서비스에 액세스할 수 있습니다. 작업 공간 연결을 사용하여 디바이스를 Intune MDM에 등록하면 디바이스 수준 정책을 수신할 수 있습니다. 이러한 방식은 조건부 액세스 기준을 평가할 수 있는 다른 옵션입니다.
Microsoft Entra ID의 장치 관리 대해 자세히 알아보세요.
앱 기반 조건부 액세스
Intune과 Microsoft Entra ID는 함께 작동하여 관리되는 앱만 회사 전자 메일 또는 기타 Microsoft 365 서비스에 액세스할 수 있도록 합니다. Intune을 사용하는 앱 기반 조건부 액세스에 대해 자세히 알아보세요.