Intune 사용할 수 있는 조건부 액세스 정책 유형에는 디바이스 기반 및 앱 기반의 두 가지 유형이 있습니다. 이 문서에서는 두 형식 모두에 대한 일반적인 시나리오를 다룹니다.
이 문서의 정보는 Intune 모바일 디바이스 준수 기능과 Intune MAM(모바일 애플리케이션 관리) 기능을 모두 사용하는 방법을 이해하는 데 도움이 될 수 있습니다.
참고
조건부 액세스는 Microsoft Entra ID P1 또는 P2 라이선스에 포함된 Microsoft Entra 기능입니다. Microsoft Intune 관리 센터에서 액세스하는 조건부 액세스 노드는 Microsoft Entra ID 액세스한 것과 동일한 노드입니다.
Microsoft Intune 제어를 위해 조건부 액세스에서 사용할 수 있는 애플리케이션
Microsoft Entra 관리 센터 조건부 액세스를 구성하는 경우 다음 두 가지 애플리케이션 중에서 선택할 수 있습니다.
- Microsoft Intune - 이 애플리케이션은 Microsoft Intune 관리 센터 및 데이터 원본에 대한 액세스를 제어합니다. Microsoft Intune 관리 센터 및 데이터 원본을 대상으로 지정하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다.
- Microsoft Intune 등록 - 이 애플리케이션은 등록 워크플로를 제어합니다. 등록 프로세스를 대상으로 하려는 경우 이 애플리케이션에 대한 권한 부여/제어를 구성합니다. 자세한 내용은 Intune 디바이스 등록에 다단계 인증 필요를 참조하세요.
디바이스 기반 조건부 액세스
Intune 및 Microsoft Entra ID 함께 작동하여 관리 및 규격 디바이스만 organization 이메일, Microsoft 365 서비스, SaaS(Software as a Service) 앱 및 온-프레미스 앱에 액세스할 수 있는지 확인합니다. 또한 Intune 등록된 도메인 가입 컴퓨터 또는 모바일 디바이스만 Microsoft 365 서비스에 액세스할 수 있도록 Microsoft Entra ID 정책을 설정할 수 있습니다.
Intune을 사용하면 디바이스 규정 준수 정책을 배포하여 디바이스가 예상 구성 및 보안 요구 사항을 충족하는지 확인합니다. 규정 준수 정책 평가는 Intune 및 Microsoft Entra ID 보고되는 디바이스의 규정 준수 상태 결정합니다. 조건부 액세스 정책은 디바이스의 규정 준수 상태 사용하여 해당 디바이스에서 organization 리소스에 대한 액세스를 허용하거나 차단할지 여부를 결정할 수 Microsoft Entra ID 있습니다.
Exchange Online 및 기타 Microsoft 365 제품에 대한 디바이스 기반 조건부 액세스 정책은 Microsoft Intune 관리 센터를 통해 구성됩니다.
Microsoft Entra ID 조건부 액세스를 사용하여 관리되는 디바이스 필요에 대해 자세히 알아봅니다.
Intune 디바이스 준수에 대해 자세히 확인해 보세요.
Microsoft Entra ID 조건부 액세스를 사용하는 지원되는 브라우저에 대해 자세히 알아보세요.
다음 시나리오는 디바이스 기반 조건부 액세스를 기반으로 하여 특정 컨텍스트에서 적용되는 방식을 보여 줍니다.
네트워크 액세스 제어 기준 조건부 액세스
Intune은 Cisco ISE, Aruba Clear Pass, Citrix NetScaler 등의 파트너 제품과 통합되어 Intune 등록 및 디바이스 준수 상태에 따른 액세스 제어 기능을 제공합니다.
사용 중인 디바이스가 관리되는지 여부와 Intune 디바이스 준수 정책을 준수하는지 여부에 따라 사용자가 회사 Wi-Fi 또는 VPN 리소스에 대한 액세스가 허용되거나 거부될 수 있습니다.
- 자세한 내용은 Intune과 NAC 통합을 참조하세요.
디바이스 위험 기준 조건부 액세스
Intune 모바일 디바이스에서 맬웨어, 트로이 목마 및 기타 위협을 탐지하는 보안 솔루션을 제공하는 모바일 위협 방어 공급업체와 파트너입니다. 모바일 디바이스에 모바일 위협 방어 에이전트가 설치된 경우 에이전트는 위협이 발견되면 규정 준수 상태 메시지를 Intune 보고로 다시 보냅니다. 이 통합은 디바이스 위험에 따라 조건부 액세스 결정에 영향을 줍니다.
- Intune Mobile Threat Defense에 대해 자세히 알아보세요.
Windows PC에 대한 조건부 액세스
PC에 대한 조건부 액세스는 모바일 디바이스에 사용할 수 있는 것과 유사한 기능을 제공합니다. Intune 사용하여 PC를 관리할 때 사용할 수 있는 옵션은 다음과 같습니다.
회사 소유
하이브리드 조인 Microsoft Entra: 이 옵션은 AD 그룹 정책 또는 구성 관리자 통해 PC를 이미 관리하는 방식에 합리적으로 익숙한 조직에서 일반적으로 사용됩니다.
Microsoft Entra 도메인 가입 및 Intune 관리: 이 시나리오는 클라우드 우선(즉, 주로 온-프레미스 인프라의 사용을 줄이기 위해 클라우드 서비스를 사용) 또는 클라우드 전용(온-프레미스 인프라 없음)을 원하는 조직을 위한 것입니다. Microsoft Entra 조인은 하이브리드 환경에서 잘 작동하므로 클라우드 및 온-프레미스 앱과 리소스 모두에 액세스할 수 있습니다. 디바이스는 Microsoft Entra ID 조인하고 회사 리소스에 액세스할 때 조건부 액세스 조건으로 사용할 수 있는 Intune 등록됩니다.
BYOD(Bring Your Own Device)
- 작업 공간 연결 및 Intune 관리: 이 경우 사용자는 개인 디바이스에 연결하여 회사 리소스 및 서비스에 액세스할 수 있습니다. 작업 공간 연결을 사용하여 디바이스를 Intune MDM에 등록하면 디바이스 수준 정책을 수신할 수 있습니다. 이러한 방식은 조건부 액세스 기준을 평가할 수 있는 다른 옵션입니다.
Microsoft Entra ID 장치 관리 대해 자세히 알아보세요.
앱 기반 조건부 액세스
앱 기반 조건부 액세스는 디바이스 수준이 아닌 앱 수준에서 액세스를 보호하므로 등록되지 않은 디바이스에 적합합니다. 다음 문서에서는 Intune 대한 앱 기반 조건부 액세스 시나리오를 다룹니다.