[M365] Intune, Conditional Access(조건부 액세스) 기본 설정 가이드

 

안녕하세요. 홍사미미미입니다. 

 

많은 기업에서 Microsoft의 M365 라이선스(E3, E5)를 구매해서 사용하고 계시죠?

(최근에는 E7 라이선스까지 출시했다고 하더라구요. E5 + Copilot 인 것 같던데..)

 

오늘 진행할 내용!

CA, 조건부액세스 라는 정책인데, 이름을 보면 혹시 감이 오시나요?ㅎㅎ

바로 M365에서 제공하는 EntraID(구 AzureAD)의 강력한 보안 기능입니다.

Intune 관리 센터에서도 접근이 가능합니다.

 

 

회사에서 원하는 조건을 충족하면 사내 시스템에 접근할 수 있도록 해주는 보안 정책입니다. :)

내부 인트라넷, 회사 메신저 등등을 예로 들 수 있을 것 같네요.

 

M365 웹 관리콘솔에서 동작을 할 수 있습니다.

 

https://intune.microsoft.com

Microsoft Intune admin center

 

해당 URL에 접근 후 로그온을 진행합니다.

 

아래 순차적인 경로로 '클릭' '클릭'해서 이동해주시면 됩니다.

Microsoft Intune 관리 센터 - 엔드포인트 보안 - 조건부 액세스

 

 

조건부 액세스에서 정책 항목의 기본적인 내용에 대해서 설명드릴게요.

 

 

 

 

새로 만들기에 들어오면 정책의 이름을 지정해줍니다.

1번

저는 홍사미 테스트라고 지었지만, 실제로는 네임규칙을 만드는게 좋습니다.

다양한 담당자가 운영할테니 직관적으로 보여야 관리가 용이합니다.

 

TIP! 이름명 예를 보여드릴게요. 

*승인-모든 인터넷(앱)-MFA 인증

 

2번

어떤 사용자에 적용할지에 대한 선택 항목입니다.

전 인원 / 그룹 / 각각의 인원 또는 예외처리 대상자 등을 지정할 수 있습니다.

 

 

 

3번

대상 리소스를 지정합니다.

정책에 설정될 리소스를 지정하는 내용이며, 모든 리소스가 될 수도 있고 지정한 리소스가 될수 있습니다.

회사에서 사용하고 있는 제품 또는 MS 솔루션 제품군 등을 지정할 수 있습니다.

(Outlook, teams, etc..)

 

 

4번

네트워크로 조건을 설정할 수 있습니다.

회사 내부 IP 대역에서만 사용할 수 있도록 설정하면 Public에서는 내부 리소스에 접근이 불가능합니다.

 

TIP, VPN 연결대역을 설정해서 외부에서는 VPN 연결하였을 때만 동작할 수 있도록 설정할 수 있습니다.

 

 

 

 

5번

조건! (어떠한 조건에서 접근할 수 있을지 설정할 수 있습니다.)

"위치"항목이 기존 네트워크의 역할을 했었는데, 해당 기능이 외부로 나오는 것이 아닐까 생각됩니다 ^^; (제 생각)

 

조건 ex) 디바이스 플랫폼 = 안드로이드, iOS, Windows, macOS 등 을 설정해서

해당 정책을 받을 디바이스 조건을 구성할 수 있습니다.

 

 

 

마지막으로 6번

 

해당 정책을 허용 메뉴를 보면

접근을 "허용" 또는 "차단"으로 설정해서 인가된 디바이스만 연결이 되도록 구성할 수 있습니다.

조건은 여러가지가 있으며, MFA가 꼭 필요하다 또는 Hybrid join이 된 단말기만 인가하겠다 등등

 

회사 상황에 맞는 허용조건을 명시하면 좋을 것 같습니다.

 

 

정말 많은 기능들이 내재되어 있고 이 기능들을 선택에 따라 "연결"과 "적용"이 달라집니다.

 

테스트하기 전에 회사 내부에서 필요한 정책 및 보안 내용을 잘 정립한 후

그 내용을 바탕으로 구성이 가능 유무를 확인해서 알맞은 설정 후 확인해보시길 바랍니다 :)

 

기본적인 MFA로 2차인증만 하겠다, 아니면 MAM을 사용하겠다, Hybrid 단말기여야 한다 등등.

 

각각의 체크 박스란의 하나의 체크가 큰 영향력을 가지므로

관리자 분들은 신중하게 고민하고 테스트 후 적용하시는 것을 권장드립니다.