리소스 제외가 있는 정책에 대한 적용 개선

개요

Microsoft Entra ID 모든 리소스를 대상으로 하고 하나 이상의 리소스 제외 포함하는 조건부 액세스 정책에 대한 향상된 적용 모델을 배포하고 있습니다. 이렇게 변경하면 기준 범위만 요청하는 로그인이 다른 리소스 액세스와 동일한 조건부 액세스 보호를 받습니다.

이전에는 리소스 제외가 있을 때 특정 낮은 권한 범위가 정책 적용에서 자동으로 제외되었습니다. 이 변경으로 해당 범위는 이제 디렉터리 액세스로 평가되며 조건부 액세스 정책의 적용을 받습니다.

자세한 기술 배경은 모든 리소스 정책에 리소스 제외가 있는 경우 새 조건부 액세스 동작을 참조하세요.

영향을 받는 사람

이 변경 내용은 다음 조건이 모두 충족되는 경우 테넌트에 영향을 줍니다.

• 모든 리소스를 대상으로 하는 조건부 액세스 정책이 하나 이상 있습니다.
• 이러한 정책에는 하나 이상의 리소스 제외가 있습니다.
• 테넌트 사용자는 기준 범위만 요청하는 애플리케이션을 통해 로그인합니다.

정책이 리소스 제외 없이 모든 리소스를 대상으로 하는 경우 이 변경 내용은 영향을 주지 않습니다.

기준 범위란?

"기준 범위는 다음 범위 집합을 포괄하는 용어입니다."

• OIDC(OpenID Connect) 범위: email, , offline_accessopenidprofile
• 기준 디렉터리 범위: User.Read,User.Read.All, User.ReadBasic.All, People.ReadPeople.Read.All, GroupMember.Read.AllMember.Read.Hidden

변경 내용

롤아웃 후, 이전에는 조건부 접근 통제 조치 없이도 액세스할 수 있었던 다음 시나리오에서 이제 조건부 접근 통제 요구(예: 다단계 인증 또는 기기 준수)를 유발할 수 있습니다.

• 기준 범위만 요청하는 공용 클라이언트 애플리케이션(예: 데스크톱 앱)입니다. 예를 들어, 사용자는 Visual Studio Code 데스크톱 클라이언트에 로그인합니다. 이 클라이언트는 openid 및 profile 범위를 요청하며, Azure CLI는 User.Read만 요청합니다.
• 모든 리소스 정책에서 제외되고 기준 디렉터리 범위만 요청하는 기밀 클라이언트 애플리케이션(예: 웹앱). 예를 들어, User.Read 및 People.Read만 요청하는 정책에서 제외된 웹 애플리케이션.

정확한 문제는 모든 리소스를 대상으로 하거나 명시적으로 리소스로 Windows Azure Active Directory(Microsoft Entra ID 디렉터리)를 대상으로 하는 정책에 구성된 액세스 제어에 따라 달라집니다.

변경되지 않는 내용

• 애플리케이션(퍼블릭 또는 기밀)이 기준 범위를 초과하는 범위를 요청하는 경우(예: Mail.Read) 애플리케이션은 이미 조건부 액세스 적용을 받습니다. 이 동작은 변경되지 않습니다.
• 모든 리소스 정책에서 제외되고 OIDC 범위만 요청하는 기밀 클라이언트 애플리케이션의 경우 변경이 필요하지 않습니다.

수행할 내용

다음 표를 사용하여 애플리케이션에 필요한 작업을 확인합니다.

영향을 평가하는 방법

적용 변경 미리 보기

롤아웃이 시작되기 전에 향상된 적용 동작을 미리 볼 수 있습니다.

1. Microsoft Entra 관리 센터에 최소한 조건부 액세스 관리자로 로그인을 하십시오.
2. 조건부 액세스에서 기준 범위 설정 에 액세스합니다. 미리 보기 설정을 보려면 이 직접 링크가 필요합니다.
3. 디폴트 대상 리소스(Windows Azure Active Directory)를 선택합니다.
4. 저장을 선택합니다.

레거시 동작으로 되돌리려면 기준 범위 설정에서 다시 설정을 선택합니다.

사용자 지정 대상 리소스를 선택하지 않으면 기준 범위에 대한 기본 대상 리소스로 Windows Azure Active Directory 따라 롤아웃이 단계적으로 적용됩니다.

사용자 지정 대상 리소스를 사용하여 영향을 받는 애플리케이션 식별

기준 범위 설정을 사용하여 테넌트에서 영향을 받는 애플리케이션을 식별할 수 있습니다. 미리 보기 설정을 사용하도록 설정하면 애플리케이션이 기준 범위를 요청하는 로그인 이벤트는 로그인 로그에서 사용자 지정 애플리케이션을 조건부 액세스 대상 그룹으로 나열합니다. 자세한 내용은 조건부 액세스의 로그인 문제 해결을 참조하세요.

영향을 받는 애플리케이션에 대한 쿼리

다음 Microsoft Graph 쿼리를 사용하여 기준 범위만 요청하는 애플리케이션을 나열합니다.

https://graph.microsoft.com/beta/auditLogs/signIns?$filter=conditionalAccessAudiences/any(a:a eq '<your-custom-app-id>')&$select=appId,appDisplayName

사용자 지정 애플리케이션의 앱 ID로 대체 <your-custom-app-id> 합니다.

수일 동안 이 쿼리의 결과는 기준 범위만 요청하는 클라이언트 애플리케이션 목록을 제공합니다.

기준 범위 설정을 사용하여 레거시 동작 유지

기준 범위 설정은 사용자 지정 테넌트 소유 애플리케이션을 기준 범위의 대상 리소스로 사용할 수 있는 테넌트 수준 구성입니다. 특정 모든 리소스 정책에서 이 사용자 지정 애플리케이션을 제외하면 레거시 동작을 유지할 수 있습니다.

이 설정을 사용해야 하는 사용자

레거시 동작을 유지해야 하는 특정 시나리오가 있는 경우 이 설정을 사용합니다. 예제 시나리오에는 다음이 포함됩니다.

• 모든 리소스 정책에는 규격 디바이스 부여 제어가 필요합니다. 관리되지 않는 디바이스에서 액세스할 수 있어야 하므로 이 정책에서 제외되는 애플리케이션입니다.
• 앱 보호 정책 부여 제어가 필요한 모든 리소스 정책: Intune SDK와 통합되지 않고 앱 보호 정책을 충족할 수 없는 클라이언트 애플리케이션.
• 블록 제어를 사용하는 모든 리소스 정책: 블록 정책에서 제외해야 하는 클라이언트 애플리케이션입니다.
• 준수 디바이스 요구 사항에서 제외해야 하는 공용 클라이언트: 특정 보안 및 규정 준수 이유로 인해.

자주 묻는 질문(FAQ)

출시 전에 적용 변경 사항을 미리 보려면 어떻게 해야 하나요?

https://aka.ms/BaselineScopesSettingsUX 이동하여 디폴트 대상 리소스(Windows Azure Active Directory)를 선택하고 사용 선택합니다. 이 설정은 향상된 동작을 즉시 적용합니다. 되돌리려면 다시 설정을 선택합니다. 자세한 내용은 적용 변경 미리 보기를 참조하세요.

롤아웃 후 레거시 동작은 어떻게 유지할 수 있나요?

기준 범위 설정을 사용하여 사용자 지정 테넌트 소유 애플리케이션을 기준 범위의 대상 리소스로 할당한 다음, 모든 리소스 정책에서 해당 애플리케이션을 제외합니다. 자세한 내용은 기준 범위 설정을 사용하여 레거시 동작 유지를 참조하세요.

모든 애플리케이션을 업데이트해야 하나요?

아니요. 기준 범위만을 요청하고 특정 리소스를 제외하는 모든 리소스 정책의 영향을 받는 애플리케이션만 주의해야 합니다. 기준을 초과하는 범위(예 Mail.Read: )를 요청하는 애플리케이션은 이미 조건부 액세스 적용을 받으며 이 변경의 영향을 받지 않습니다.

관련 콘텐츠

• 조건부 액세스: 대상 리소스
• 조건부 액세스 개발자 지침
• 조건부 액세스 관련 로그인 문제 해결