Azure AD Conditional Access Overview

Modern 보안 경계는 조직의 네트워크를 넘어 사용자 와 장치의 Identity를 포함.

조직은 이런 Identity Signals 기반의 접근제어를 할 수 있음.

conditional-access-signal-decision-enforcement

관리자는 아래의 두 가지 주요 목표에 직면합니다:

사용자가 언제 어디서나 생산성을 높일 수 있도록 지원
조직의 자산 보호

조건부 액세스 정책을 사용하면 필요할 때 적절한 액세스 제어를 적용하여 조직의 보안을 유지할 수 있습니다.

conditional-access-overview-how-it-works

[!IMPORTANT] 조건부 액세스 정책은 1단계 인증이 완료된 후에 적용

Common Signals

User 또는 Group Membership.
IP Location 정보.
- Trusted IP address 범위
- Countries/Regions IP ranges
Device. 특정 platforms 또는 특정 상태.
Application.
계산된 실시간 위험 감지.
Microsoft Cloud App Security (MCAS). 사용자 애플리케이션 액세스 및 세션을 실시간으로 모니터링 및 제어하여 클라우드 환경 내에서 수행되는 작업에 대한 액세스를 제어하고 가시성을 높일 수 있음.

Common Decisions

액세스 차단. 가장 제한적인 결정.
액세스 권한 부여. 다음 옵션 중 하나 이상을 요구할 수 있음.
- 다단계 인증 필요
- 디바이스를 준수 상태로 표시해야 함
- 하이브리드 Azure AD 조인된 디바이스 필요
- 승인된 클라이언트 앱 필요
- 앱 보호 정책 필요(미리 보기)

Commonly Applied Policies

관리자 역할이 할당된 사용자에게 다단계 인증 요구
Azure 관리 작업 시 다단계 인증 요구
레거시 인증 프로토콜을 사용하려고 시도하는 사용자의 로그인 차단
Azure AD Multi-Factor Authentication 등록 시 신뢰할 수 있는 위치 요구
특정 위치의 액세스 차단 또는 액세스 권한 부여
위험한 로그인 동작 차단
특정 애플리케이션에는 조직에서 관리 디바이스를 사용하도록 요구

License Requirements

Azure AD Premium P1 license.

Microsoft 365 Business Premium licenses 가 있는 고객은 조건부 액세스 기능에도 액세스할 수 있음.

Sign-in Risk requires access to Identity Protection

[!NOTE] Comparing generally available features of the Free, Basic, and Premium editions

Building Azure AD Conditional Access Policy

Policy Assignments

Policy Access Controls

Common Conditional Access Policies

Security Defaults

Emergency access accounts

Manage emergency access accounts in Azure AD
Create a resilient access control management strategy with Azure Active Directory

Typical policies deployed by organizations

Additional policies