액세스 검토를 사용하여 조건부 액세스 정책에서 제외된 사용자 관리

이상적인 환경에서 모든 사용자는 조직의 리소스에 대한 액세스를 보호하는 액세스 정책을 따릅니다. 그러나 경우에 따라 예외가 있는 비즈니스 사례가 있습니다. 이 문서에서는 제외가 필요할 수 있는 상황의 몇 가지 예제를 설명합니다. IT 관리자는 Microsoft Entra 액세스 검토를 사용하여 이 작업을 관리하고, 정책 예외의 감독을 방지하고, 감사자에게 정기적으로 이러한 예외를 검토했다는 증명을 제공해야 합니다.

정책에서 사용자를 제외하는 이유는?

관리자로서 Microsoft Entra 조건부 액세스를 사용하여 MFA(다단계 인증)를 요구하고 특정 네트워크 또는 디바이스에 대한 인증 요청을 제한하기로 했다고 가정하겠습니다. 배포 계획 중에 모든 사용자가 이러한 요구 사항을 충족하지는 못할 수도 있다는 것을 알게 됩니다. 예를 들어 내부 네트워크의 일부가 아니라 원격 사무실에서 작업하는 사용자가 있을 수 있습니다. 또한 지원되지 않는 디바이스가 교체될 때까지 기다리는 동안 사용자에게 해당 디바이스를 사용하여 연결하는 사용자를 지원해야 할 수도 있습니다. 간단히 말해서 회사에서 이와 같은 사용자가 로그인하고 작업을 수행할 수 있도록 조건부 액세스 정책에서 해당 사용자를 제외해야 합니다.

또 다른 예로 조건부 액세스에서 명명된 위치를 사용하여 사용자가 테넌트에 액세스하도록 허용하지 않으려는 국가 및 지역 집합을 지정할 수 있습니다.

일부 사용자는 이와 같이 차단된 국가/지역에서 로그인하는 타당한 이유가 있을 수 있습니다. 예를 들어 사용자가 출장 중에 회사 리소스에 액세스해야 할 수 있습니다. 이러한 경우 이러한 국가/지역을 차단하는 조건부 액세스 정책은 정책에서 제외된 사용자 전용 클라우드 보안 그룹을 사용할 수 있습니다. 여행하는 동안 액세스해야 하는 사용자는 Microsoft Entra 셀프 서비스 그룹 관리를 사용하여 그룹에 자신을 추가할 수 있습니다.

또 다른 예로 대부분의 사용자에 대한 레거시 인증을 차단하는 조건부 액세스 정책이 있을 수 있습니다. 그러나 일부 사용자가 반드시 레거시 인증 방법을 사용하여 특정 리소스에 액세스해야 하는 경우 이러한 사용자를 레거시 인증 방법을 차단하는 정책에서 제외할 수 있습니다.

제외하기 어려운 이유는?

Microsoft Entra ID에서는 사용자 집합에 조건부 액세스 정책의 범위를 지정할 수 있습니다. Microsoft Entra 역할, 개별 사용자 또는 게스트를 선택하여 제외를 구성할 수도 있습니다. 제외를 구성하면 제외된 사용자에게 정책 의도가 적용되지 않는다는 점에 유의해야 합니다. 사용자 목록을 사용하거나 레거시 온-프레미스 보안 그룹을 사용하여 제외를 구성하는 경우 제외를 제한적으로만 볼 수 있습니다. 결과적으로 다음이 수행됩니다.

• 사용자는 제외된 것을 알지 못할 수 있습니다.

• 사용자는 정책을 우회하기 위해 보안 그룹에 가입할 수 있습니다.

• 제외된 사용자가 이전에는 제외 적용 대상이었지만 더 이상은 아닐 수 있습니다.

대부분 제외를 처음 구성할 때 정책을 우회하는 짧은 사용자 명단이 있습니다. 시간이 지남에 따라 제외에 점점 더 많은 사용자가 추가되면서 이 목록이 증가합니다. 특정 시점에 해당 목록을 검토하고 이러한 사용자 각각이 여전히 제외 자격에 해당하는지 확인해야 합니다. 기술적 관점에서 제외 목록을 관리하는 것은 비교적 간단하지만, 비즈니스 의사 결정을 하는 사용자를 정하고 모두 감사 가능하게 하는 방법을 찾는 것이 복잡할 수 있습니다. 그러나 Microsoft Entra 그룹을 사용하여 제외를 구성하는 경우 액세스 검토를 보정 컨트롤로 사용하여 가시성을 확보하고 제외된 사용자 수를 줄일 수 있습니다.

조건부 액세스 정책에서 제외 그룹을 만드는 방법

다음 단계에 따라 해당 그룹에 적용되지 않는 Microsoft Entra 그룹 및 조건부 액세스 정책을 만듭니다.

제외 그룹 만들기

1. 최소한 사용자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>그룹>모든 그룹으로 이동합니다.

3. + 새 그룹을 선택합니다.

4. 그룹 형식 목록에서 보안을 선택합니다. 이름 및 설명을 지정합니다.

5. 멤버 자격 형식을 할당됨으로 설정해야 합니다.

6. 이 제외 그룹의 일부인 사용자를 선택한 다음, 만들기를 선택합니다.

그룹을 제외하는 조건부 액세스 정책 만들기

이제 이 제외 그룹을 사용하는 조건부 액세스 정책을 만들 수 있습니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>조건부 액세스로 이동합니다.

3. 새 정책 만들기를 선택합니다.

4. 정책에 이름을 지정합니다. 조직에서 정책 이름에 의미 있는 표준을 만드는 것이 좋습니다.

5. 할당에서 사용자 및 그룹을 선택합니다.

6. 포함 탭에서 모든 사용자를 선택합니다.

7. 제외에서 사용자 및 그룹을 선택하고 만든 제외 그룹을 선택합니다.

   참고 항목

   모범 사례로 테넌트가 잠기지 않았는지 테스트하는 경우 정책에서 하나 이상의 관리자 계정을 제외하는 것이 좋습니다.

8. 조직의 요구 사항에 따라 조건부 액세스 정책을 계속 설정합니다.

조건부 액세스 정책에서 제외를 관리하기 위해 액세스 검토를 사용할 수 있는 두 가지 예제를 살펴보겠습니다.

예제 1: 차단된 국가/지역에서 액세스하는 사용자에 대한 액세스 검토

특정 국가/지역으로부터 액세스를 차단하는 조건부 액세스 정책이 있다고 가정하겠습니다. 여기에는 정책에서 제외된 그룹이 포함됩니다. 그룹의 멤버를 검토하는 권장되는 액세스 검토는 다음과 같습니다.

1. 검토는 매주 진행됩니다.

2. 이 제외 그룹을 최신 상태로 유지하기 위해 검토가 종료되지 않습니다.

3. 이 그룹의 모든 구성원은 검토할 범위에 있습니다.

4. 각 사용자는 이렇게 차단된 국가/지역에서 액세스되어야 하는지를 스스로 증명해야 하므로 그룹의 구성원이어야 합니다.

5. 사용자가 검토 요청에 응답하지 않는 경우 그룹에서 자동으로 제거되며 이 국가/지역을 여행하는 동안 테넌트에 더 이상 액세스할 수 없습니다.

6. 사용자가 액세스 검토의 시작 및 완료를 알 수 있도록 메일 알림을 사용합니다.

예제 2: 레거시 인증을 사용하여 액세스하는 사용자에 대한 액세스 검토

레거시 인증 및 이전 버전의 클라이언트를 사용하여 사용자에 대한 액세스를 차단하는 조건부 액세스 정책이 있고 여기에는 정책에서 제외된 한 그룹이 있다고 가정하겠습니다. 그룹의 멤버를 검토하는 권장되는 액세스 검토는 다음과 같습니다.

1. 이 검토는 되풀이 검토여야 합니다.

2. 그룹의 모든 사용자가 검토되어야 합니다.

3. 비즈니스 단위 소유자를 선택한 검토자로 나열하도록 구성할 수 없습니다.

4. 결과를 자동으로 적용하고 레거시 인증 방법을 계속 사용하도록 승인되지 않은 사용자를 제거합니다.

5. 대규모 그룹의 검토자가 쉽게 결정할 수 있도록 권장 사항을 사용하도록 설정하는 것이 유용할 수 있습니다.

6. 사용자가 액세스 검토의 시작 및 완료를 알 수 있도록 메일 알림을 사용합니다.

액세스 검토 결과 및 감사 로그

이제 그룹, 조건부 액세스 정책 및 액세스 검토를 모두 준비했으므로 이러한 검토의 결과를 모니터링하고 추적하겠습니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>액세스 검토로 이동합니다.

3. 제외 정책을 만든 대상 그룹과 함께 사용 중인 액세스 검토를 선택합니다.

4. 결과를 선택하여 목록에 유지되도록 승인된 사용자 및 제거된 사용자를 확인합니다.

   

5. 감사 로그를 선택하여 검토하는 동안 수행된 작업을 확인합니다.

IT 관리자인 경우 경우에 따라 정책에 대한 제외 그룹을 관리하는 작업을 피할 수 없습니다. 그러나 이러한 그룹을 유지 관리하고, 비즈니스 소유자 또는 사용자가 정기적으로 검토하고, 이러한 변경 내용을 감사하는 작업은 액세스 검토를 사용하여 더욱 간편해졌습니다.

다음 단계

• 그룹 또는 애플리케이션의 액세스 검토 만들기
• Microsoft Entra ID의 조건부 액세스란?