다음 단계는 조직 내에서 디바이스 코드 흐름 및 인증 전송을 사용하는 방법을 제한하는 조건부 액세스 정책을 만드는 데 도움이 됩니다.
디바이스 코드 흐름 정책
참고
보안 태세를 강화하기 위해 최대한 디바이스 코드 흐름을 차단하거나 제한하는 것이 좋습니다.
항상 조직에 미칠 수 있는 영향을 확인하기 위해 보고서 전용 모드 로 정책을 구성하는 것부터 시작해야 합니다.
조직은 디바이스 코드 흐름에서 일방적인 블록에 최대한 근접하는 것이 좋습니다. 조직은 디바이스 코드 흐름의 기존 사용을 감사하고 여전히 필요한지 확인하는 정책을 만드는 것을 고려해야 합니다.
디바이스 코드 흐름을 사용하지 않는 조직의 경우 다음 조건부 액세스 정책을 사용하여 차단을 수행할 수 있습니다.
- Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.
- Protection>조건부 액세스>정책으로 이동합니다.
- 새 정책을 선택합니다.
-
할당에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 정책 범위 내로 사용하려는 사용자를 선택합니다(모든 사용자가 권장).
-
제외:
- 사용자 및 그룹을 선택하고 조직의 비상 액세스 또는 비상 계정, 그리고 이 제외 목록에 포함되어야 하며 정기적으로 감사를 받아야 하는 기타 필요한 사용자를 선택합니다.
- 대상 리소스>리소스 (이전 명칭: 클라우드 앱)>포함에서 정책에 포함할 앱을 선택하세요 (모든 리소스 (이전 명칭: '모든 클라우드 앱') 권장).
-
조건>인증 흐름에서구성을 예로 설정합니다.
- 디바이스 코드 흐름을 선택합니다.
- 완료를 선택합니다.
-
액세스 제어 권한>부여에서 액세스 차단을 선택합니다.
- 선택
- 설정을 확인하고 정책 사용 설정을 보고서 전용으로 설정합니다.
- 만들기를 선택하여 정책을 사용하도록 설정합니다.
관리자는 정책 영향 또는 보고서 전용 모드를 사용하여 정책 설정을 평가한 후 정책 사용 토글을 보고서 전용 에서 켜기로 이동할 수 있습니다.
인증 전송 정책
조건부 액세스의 인증 흐름 조건을 사용하여 기능을 관리합니다. 사용자가 PC에서 모바일 디바이스로 인증을 전송하지 않으려면 인증 전송 을 차단할 수 있습니다. 예를 들어 특정 그룹이 개인 디바이스에서 Outlook을 사용할 수 없는 경우입니다. 인증 전송 차단은 다음 조건부 액세스 정책을 사용하여 수행할 수 있습니다.
- Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인합니다.
- 보호>조건부 액세스로 이동합니다.
- 새 정책 만들기를 선택합니다.
-
할당에서 사용자 또는 워크로드 ID를 선택합니다.
- 포함에서 인증 전송을 차단하려는 모든 사용자 또는 사용자 그룹을 선택합니다.
-
제외:
- 사용자 및 그룹을 선택하고 조직의 비상 액세스 또는 비상 계정, 그리고 이 제외 목록에 포함되어야 하며 정기적으로 감사를 받아야 하는 기타 필요한 사용자를 선택합니다.
- 대상 리소스>리소스(이전의 클라우드 앱)>포함에서 인증 전송을 차단하려는 모든 리소스(이전의 '모든 클라우드 앱') 또는 앱을 선택합니다.
-
조건>인증 흐름에서구성을 예로 설정
- 인증 전송을 선택합니다.
- 완료를 선택합니다.
-
액세스 제어 권한>부여에서 액세스 차단을 선택합니다.
- 선택
- 설정을 확인하고 정책을 활성화함으로 설정합니다.
- 만들기를 선택하여 정책을 사용하도록 설정합니다.