조건부 액세스 정책 설정

조건부 액세스는 콘텐츠에 대한 액세스 권한을 부여하기 전에 특정 조건을 충족하도록 요구하여 시스템에서 규제된 콘텐츠를 보호하는 것입니다. 가장 간단한 조건부 액세스 정책은 if-then 문입니다. 사용자가 리소스에 액세스하려는 경우 작업을 완료해야 합니다. 예를 들어 급여 관리자는 급여 애플리케이션에 액세스하려고 하며 이를 수행하려면 MFA(다단계 인증)를 수행해야 합니다.

조건부 액세스를 사용하여 다음 두 가지 주요 목표를 달성할 수 있습니다.

• 사용자가 언제 어디서나 생산성을 높일 수 있도록 합니다.
• 조직의 자산을 보호합니다.

조건부 액세스 정책을 사용하면 필요할 때 적절한 액세스 제어를 적용하여 조직을 안전하게 보호하고 필요하지 않을 때 사용자의 방해가 되지 않도록 할 수 있습니다.

사용자에게 다시 인증하라는 메시지가 표시되는 빈도는 Microsoft Entra 조건부 액세스 적응 세션 수명 정책에 따라 달라집니다. 자격 증명을 기억하는 것은 편리하지만 개인 디바이스를 사용하여 엔터프라이즈 시나리오에 대한 배포를 덜 안전하게 만들 수도 있습니다. 사용자를 보호하기 위해 클라이언트가 Microsoft Entra 다단계 인증 자격 증명을 더 자주 요청하는지 확인할 수 있습니다. 조건부 액세스 로그인 빈도를 사용하여 이 동작을 구성할 수 있습니다.

클라우드 PC에 대한 조건부 액세스 정책 할당

조건부 액세스 정책은 기본적으로 테넌트에 대해 설정되지 않습니다. 다음 플랫폼 중 하나를 사용하여 CA 정책의 대상을 클라우드 PC 자사 앱으로 지정할 수 있습니다.

• Azure. 자세한 내용은 조건부 액세스 Microsoft Entra 참조하세요.
• Microsoft Intune. 다음 단계에서는 이 프로세스를 설명합니다. 자세한 내용은 조건부 액세스와 Intune에 대해 알아보기를 참조하세요.

어떤 방법을 사용하든, 정책은 클라우드 PC 최종 사용자 포털 및 클라우드 PC 연결에 적용됩니다.

1. Microsoft Intune 관리 센터에 로그인하고 엔드포인트 보안>조건부 액세스>새 정책 만들기를 선택합니다.

2. 특정 조건부 액세스 정책의 이름을 제공합니다.

3. 사용자 아래에서 0명의 사용자 및 그룹을 선택합니다.

4. 포함 탭에서 사용자 및 그룹 검사사용자 및 그룹>>선택을 선택하고 선택한사용자 및 그룹 0개 를 선택합니다.

5. 열리는 새 창에서 CA 정책을 사용하여 대상으로 지정할 특정 사용자 또는 그룹을 검색하여 선택한 다음 선택을 선택합니다.

6. 대상 리소스에서 선택한 대상 리소스 없음을 선택합니다.

7. 포함 탭의 선택에서 앱>선택을 선택하고없음을 선택합니다.

8. 선택 창에서 보호하려는 리소스에 따라 다음 앱을 검색하여 선택합니다.

   • Windows 365(앱 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5). 일부 테넌트에서는 이 앱을 클라우드 PC라고 할 수 있습니다. 이 앱은 사용자의 리소스 목록을 검색하고 사용자가 다시 시작과 같은 클라우드 PC에서 작업을 시작할 때 사용됩니다.
   • Azure Virtual Desktop (앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07). 이 앱은 Windows Virtual Desktop으로도 나타날 수 있습니다. 이 앱은 연결 중 및 클라이언트가 서비스에 진단 정보를 보낼 때 Azure Virtual Desktop Gateway에 인증하는 데 사용됩니다.
   • Windows 클라우드 로그인 (앱 ID 270efc09-cd0d-444b-a71f-39af4910ec45). 이 앱은 프로비저닝 정책에서 Single Sign-On을 구성할 때만 필요합니다. 이 앱은 클라우드 PC에 사용자를 인증하는 데 사용됩니다.

   이러한 앱 간에 조건부 액세스 정책을 일치시킬 것을 권장합니다. 일치를 통해 정책은 일관된 환경을 위해 클라우드 PC 최종 사용자 포털, 게이트웨이 및 클라우드 PC에 대한 연결에 적용됩니다. 앱을 제외하려면 이러한 앱도 모두 선택해야 합니다.

   참고

   조건부 액세스 정책을 구성할 때 Windows 클라우드 로그인 앱이 표시되지 않으면 다음 단계를 사용하여 앱을 만듭니다. 다음과 같이 변경하려면 구독에 대한 소유자 또는 기여자 권한이 있어야 합니다.

   1. Azure Portal 로그인합니다.
   2. Azure 서비스 목록에서 구독 을 선택합니다.
   3. 구독 이름을 선택합니다.
   4. 리소스 공급자를 선택한 다음 Microsoft.DesktopVirtualization을 선택합니다.
   5. 맨 위에서 등록 을 선택합니다.

   리소스 공급자가 등록되면 정책을 적용할 앱을 선택할 때 Windows 클라우드 로그인 앱이 조건부 액세스 정책 구성에 표시됩니다. Azure Virtual Desktop을 사용하지 않는 경우 Windows 클라우드 로그인 앱을 사용할 수 있게 되면 Microsoft.DesktopVirtualization 리소스 공급자의 등록을 취소할 수 있습니다.

9. 정책을 미세 조정하려면 권한 부여에서 선택한 컨트롤 0개 를 선택합니다.

10. 권한 부여 창에서 이 정책에 > 할당된 모든 개체에 적용할 액세스 권한 부여 또는 차단 옵션을 선택합니다.

11. 정책을 먼저 테스트하려면 정책 사용에서 보고서 전용을 선택합니다. 켜 기로 설정하면 정책을 만드는 즉시 정책이 적용됩니다.

12. 만들기를 선택하여 정책을 만듭니다.

조건부 액세스 UI의 정책 보기에서 활성 및 비활성 정책 목록을 볼 수 있습니다.

로그인 빈도 구성

로그인 빈도 정책을 사용하면 Microsoft Entra 기반 리소스에 액세스할 때 사용자가 로그인해야 하는 빈도를 구성할 수 있습니다. 이 구성은 환경을 보호하는 데 도움이 될 수 있으며 로컬 OS에 MFA가 필요하지 않거나 비활성 후에 자동으로 잠기지 않을 수 있는 개인 디바이스에 특히 중요합니다. 리소스에 액세스할 때 Microsoft Entra ID 새 액세스 토큰이 요청된 경우에만 인증하라는 메시지가 사용자에게 표시됩니다.

로그인 빈도 정책은 선택한 Microsoft Entra 앱에 따라 다른 동작을 초래합니다.

사용자에게 다시 로그인하라는 메시지가 표시되는 기간을 구성하려면 다음을 수행합니다.

1. 이전에 만든 정책을 엽니다.
2. 세션에서선택한 컨트롤 0을 선택합니다.
3. 세션 창에서 로그인 빈도를 선택합니다.
4. 주기적 재인증 또는 매번을 선택합니다.
   • 주기적 다시 인증을 선택하는 경우 새 액세스 토큰이 필요한 작업을 수행할 때 사용자에게 다시 로그인하라는 메시지가 표시되는 기간의 값을 설정한 다음 선택을 선택합니다. 예를 들어 값을 1로 설정하고 단위를 Hours로 설정하려면 마지막 사용자 인증 후 1시간 이상 연결이 시작되는 경우 다단계 인증이 필요합니다.
   • 모든 시간 옵션은 클라우드 PC에 Single Sign-On을 사용하도록 설정된 경우에만 Windows Cloud Login 앱에 적용할 때만 지원됩니다. 매번 선택하면 마지막 인증 이후 5~10분 후에 새 연결을 시작할 때 다시 인증하라는 메시지가 사용자에게 표시됩니다.
5. 페이지 아래쪽에서 저장을 선택합니다.

다음 단계

RDP 디바이스 리디렉션 관리