랩: Microsoft Entra 조건부 액세스

이 랩에 해당하는 Learn 학습 내용은 다음과 같습니다.

학습 경로: Microsoft Entra의 기능 설명
모듈: Microsoft Entra의 액세스 관리 기능 설명
단원: 조건부 액세스 설명

랩 시나리오

이 랩에서는 관리자와 사용자 측면에서 조건부 액세스 MFA를 살펴봅니다. 구체적으로는 관리자로 로그인하여 사용자가 Microsoft 관리 포털에 액세스할 때 다단계 인증을 진행하도록 요구하는 정책을 만듭니다. 사용자 측면에서는 MFA에 등록하는 프로세스를 포함한 조건부 액세스 정책의 영향을 확인할 수 있습니다.

예상 시간: 30분

작업 1

이 작업에서는 관리자로 로그인하여 Debra Berger 사용자의 암호를 재설정합니다. 이 단계를 진행해야 후속 작업에서 해당 사용자로 처음 로그인할 수 있습니다.

Microsoft Edge를 엽니다. 주소 표시줄에 https://entra.microsoft.com을 입력하고 관리자 자격 증명을 사용하여 로그인합니다.
1. 로그인 창에 admin@WWLxZZZZZZ.onmicrosoft.com을 입력하고(여기서 ZZZZZZ는 랩 호스팅 공급자가 제공한 고유 테넌트 ID) 다음을 선택합니다.
2. 랩 호스팅 공급자가 제공한 관리자 암호를 입력합니다. 로그인을 선택합니다.
3. 랩 호스터에 따라 테넌트에 처음 로그인하는 경우 MFA 등록 프로세스를 완료하라는 메시지가 표시될 수 있습니다. , 화면의 프롬프트에 따라 MFA를 설정합니다.
4. 로그인하면 Microsoft 365 관리 센터 페이지로 이동됩니다.
왼쪽 탐색 창에서 ID > 사용자를 차례로 확장하고 모든 사용자를 선택합니다.
사용자 목록에서 Debra Berger를 선택합니다.
페이지 위쪽에서 암호 재설정을 선택합니다. 이전에 Debra Berger로 로그인한 적이 없어 이 사용자의 암호를 알 수 없으므로 암호를 재설정해야 합니다.
암호 재설정 창이 열리면 암호 재설정을 선택합니다. 중요: 다음 작업에서 사용자로 로그인하려면 새 암호가 필요하므로 새 암호를 적어 두세요.
페이지 오른쪽 위에서 X를 선택하여 암호 재설정 창을 닫은 후 페이지 오른쪽 위에서 X를 선택하여 Debra Berger로 로그인되어 있는 창을 닫습니다.
왼쪽 탐색 패널에서 홈을 선택하여 Microsoft Entra 관리 센터로 돌아옵니다.
이 창을 열어 둡니다.

작업 2

이 작업에서는 Microsoft Entra ID에서 조건부 액세스 정책을 만드는 프로세스를 진행합니다.

브라우저 탭을 열고 Microsoft Entra 관리 센터 홈 페이지로 이동합니다. 이전에 브라우저 탭을 닫았다면 Microsoft Edge를 열고 주소 표시줄에 https://entra.microsoft.com 을 입력한 후 ALH에서 제공한 Microsoft 365 관리자 자격 증명으로 로그인합니다.
왼쪽 탐색 창에서 보호를 확장하고 조건부 액세스를 선택합니다.
조건부 액세스 개요 페이지가 표시됩니다. 개요 페이지로 이동하면 시작 탭이 선택되어 있습니다(밑줄이 그어져 있음). 개요 탭을 선택합니다. 여기에 정책 요약 및 일반 경고를 보여주는 타일이 표시됩니다. 왼쪽 탐색 패널에서 정책을 선택합니다.
왼쪽 탐색 패널에서 정책을 선택합니다. 이 화면에는 기존 조건부 액세스 정책의 목록이 표시됩니다. + 새 정책을 선택합니다.
이름 필드에 관리 포털 차단을 입력합니다.
사용자에서 선택된 사용자 및 그룹 0개를 선택합니다.
이제 사용자 또는 그룹 포함 또는 제외 옵션이 표시됩니다. 포함이 선택되어 있는지(밑줄이 표시되어 있는지) 확인합니다.
사용자 및 그룹 선택 옵션을 선택하고 사용자 및 그룹을 선택합니다. 사용자 및 그룹 선택 창이 열립니다.
검색 창에 Debra를 입력합니다. 검색 창 아래에서 Debra Berger를 선택하고 페이지 아래쪽의 선택 단추를 누릅니다. 일반적으로는 그룹의 사용자에게 정책을 할당해야 합니다. 이 랩에서는 편의상 특정 사용자에게 정책을 할당하겠습니다.
대상 리소스에서 선택한 대상 리소스 없음을 선택합니다.
이 정책을 적용할 항목을 선택합니다. 아래의 필드에서 드롭다운 화살표를 선택하고 사용 가능한 옵션을 확인합니다. 기본 설정인 클라우드 앱을 그대로 유지합니다. 포함 탭에 밑줄이 표시되어 있는지 확인합니다. 앱 선택을 선택하고 선택 아래에서 없음을 선택합니다. 클라우드 앱 선택 창이 열립니다.
Microsoft 관리 포털을 선택한 다음 페이지 아래쪽에서 선택 키를 누릅니다. 경고를 확인합니다.
네트워크에서 모든 네트워크 또는 위치를 선택합니다. 옵션을 검토하되 아직 어떤 옵션도 선택하지 마세요.
조건에서 조건 0개 선택됨을 선택합니다. 구성할 수 있는 다양한 옵션을 살펴봅니다. 정책을 통해 사용자 위험, 로그인 위험, 디바이스 플랫폼, 위치, 클라이언트 앱, 디바이스용 필터를 비롯한 조건에서 생성되는 신호에 따라 사용자 액세스를 제어할 수 있습니다. 여기서는 이러한 구성 가능 옵션을 살펴보되 조건은 설정하지 않습니다.
이제 액세스 컨트롤을 설정합니다. 허용 아래에서 컨트롤 0개 선택됨을 선택합니다.
허용 창이 열립니다. 액세스 차단을 선택합니다. 페이지 아래쪽의 선택을 누릅니다.
페이지 아래쪽의 정책 사용에서 켜기를 선택한 다음 만들기를 선택합니다.
왼쪽 탐색 창에서 정책을 선택합니다. 방금 만든 관리자 포털 차단 정책이 조건부 액세스 정책 목록에 표시되어야 합니다(필요한 경우 페이지 상단의 명령줄에서 새로 고침 아이콘을 선택합니다).
화면 오른쪽 위의 이메일 주소 옆에 있는 사용자 아이콘을 선택한 후 로그아웃을 선택하여 로그아웃합니다. 그런 다음 브라우저 창을 모두 닫습니다.

작업 3

이 작업에서는 사용자인 Debra Berger의 측면에서 조건부 액세스 정책의 영향을 확인할 수 있습니다. 먼저 조건부 액세스 정책에 포함되지 않은 애플리케이션에 로그인합니다(Microsoft 365 포털: https://login.microsoftonline.com)). 그런 다음 조건부 액세스 정책에 포함되어 있는 애플리케이션을 대상으로 같은 프로세스를 반복합니다(Azure Portal: https://portal.azure.com)). 이 정책은 Azure Portal을 비롯한 Microsoft 관리 포털 액세스를 차단한다는 점에 유의하세요. 참고: 보안상의 이유로 모든 포털에 액세스하는 모든 사용자 계정은 MFA를 사용해야 합니다. MFA 요구 사항은 이 랩 연습과 별개입니다.

Microsoft Edge를 엽니다. 주소 표시줄에 https://login.microsoftonline.com을 입력합니다.
1. DebraB@WWLxZZZZZZ.onmicrosoft.com으로 로그인하고(여기서 ZZZZZZ는 랩 호스팅 공급자가 제공한 고유 테넌트 ID) 다음을 선택합니다.
2. 이전 작업에서 적어 둔 암호를 입력합니다. 로그인을 선택합니다.
3. 관리자가 암호를 재설정할 때 제공된 암호는 임시 암호이므로 업데이트해야 합니다. 현재 암호와 새 암호를 차례로 입력하고 확인을 위해 새 암호를 다시 입력합니다. 작업을 완료하려면 필요하므로 새 암호를 적어 둡니다.
4. Debra Berger로 로그인하는 것은 이번이 처음이므로 MFA를 설정하라는 메시지가 표시될 수 있습니다. 화면의 프롬프트에 따라 MFA를 설정합니다.
5. 로그인 상태를 유지할지 묻는 메시지가 표시되면 예를 선택합니다. Microsoft 365 계정에 로그인했습니다.
이제 조건부 액세스 정책 기준을 충족하는 애플리케이션에 로그인을 시도해 보겠습니다. 새 브라우저 탭을 열고 Azure의 관리 포털인 https://portal.azure.com을 입력합니다. “액세스 권한이 없습니다.”라는 팝업 창이 나타납니다. 이는 모든 Microsoft 관리 포털에 대한 액세스를 차단하는 조건부 액세스 정책의 결과입니다.
화면 오른쪽 위의 이메일 주소 옆에 있는 사용자 아이콘을 선택한 후 로그아웃을 선택하여 로그아웃합니다. 그런 다음 브라우저 창을 모두 닫습니다.

검토

이 랩에서는 정책에 포함된 모든 사용자의 Microsoft 관리 포털 액세스를 차단하는 조건부 액세스 정책 설정 프로세스를 수행했습니다. 그런 다음, 사용자로서 Azure Portal에 액세스할 때 조건부 액세스 정책의 영향을 경험했습니다.