Microsoft Dev Box에 대한 조건부 액세스 정책 구성

조건부 액세스는 콘텐츠에 대한 액세스 권한을 부여하기 전에 특정 기준을 충족하도록 요구하여 시스템에서 규제된 콘텐츠를 보호하는 것입니다. 가장 간단한 조건부 액세스 정책은 if-then 문입니다. 사용자가 리소스에 액세스하려면 작업을 완료해야 합니다. 조건부 액세스 정책은 조직의 디바이스를 안전하게 보호하고 환경을 준수할 수 있는 강력한 도구입니다.

이 문서에서는 조직에서 조건부 액세스 정책을 사용하여 개발 상자에 대한 액세스를 관리하는 방법의 예를 제공합니다. Microsoft Dev Box의 경우 개발 상자에 액세스할 수 있는 사용자, 개발 상자에 액세스할 수 있는 위치를 제한하도록 조건부 액세스 정책을 구성하는 것이 일반적입니다.

• 디바이스 기반 조건부 액세스

  • Microsoft Intune 및 Microsoft Entra ID는 함께 작동하여 관리되는 규격 디바이스만 Dev Box를 사용할 수 있도록 합니다. 정책에는 네트워크 액세스 제어를 기반으로 하는 조건부 액세스가 포함됩니다.
  • Intune을 사용하는 디바이스 기반 조건부 액세스에 대해 자세히 알아보기

• 앱 기반 조건부 액세스

  • Intune 및 Microsoft Entra ID는 함께 작동하여 개발자 박스 사용자만 개발자 포털과 같은 관리되는 앱에만 액세스할 수 있도록 합니다.
  • Intune을 사용하는 앱 기반 조건부 액세스에 대해 자세히 알아봅니다.

필수 조건

• Microsoft Intune 라이선스
• Microsoft Entra ID P1 라이선스

Dev Box에 대한 액세스 제공

조직은 기본적으로 아무 것도 허용하지 않는 조건부 액세스 정책으로 시작할 수 있습니다. 개발자가 연결할 수 있는 조건을 지정하여 개발 상자에 액세스할 수 있도록 하는 조건부 액세스 정책을 설정할 수 있습니다.

Microsoft Intune 또는 Microsoft Entra ID를 통해 조건부 액세스 정책을 구성할 수 있습니다. 각 경로는 구성 창으로 이동하며, 그 예는 다음 스크린샷에 나와 있습니다.

시나리오 1: 신뢰할 수 있는 네트워크에서 개발 상자에 대한 액세스 허용

Office 또는 신뢰할 수 있는 공급업체의 위치와 같은 지정된 네트워크에서만 개발 상자 액세스를 허용하려고 합니다.

위치 정의

다음 단계를 수행합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>조건부 액세스>명명된 위치로 이동합니다.

3. 생성할 위치 유형을 선택합니다.

   • 국가 위치 또는 IP 범위 위치 입니다.

4. 위치에 이름을 지정합니다.

5. IP 범위를 제공하거나 지정하는 위치에 대한 국가/지역을 선택합니다.

   • IP 범위를 선택하는 경우 선택적으로 신뢰할 수 있는 > 위치로 표시할 수 있습니다.

   • 국가/지역을 선택하는 경우 알 수 없는 영역을 포함하도록 선택할 수 있습니다.

6. 만들기를 선택합니다.

자세한 내용은 Microsoft Entra 조건부 액세스의 위치 조건은 무엇인가요?를 참조하세요.

새 정책 만들기

다음 단계를 수행합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>조건부 액세스>정책으로 이동합니다.

3. 새 정책을 선택합니다.

4. 정책에 이름을 지정합니다. 조건부 액세스 정책에 의미 있는 명명 규칙을 사용합니다.

5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.

   a. 포함에서 모든 사용자를 선택합니다.

   b. 제외에서 사용자 및 그룹을 선택하고 조직의 비상상 액세스 계정을 선택합니다.

6. 대상 리소스>클라우드 앱>포함에서 모든 클라우드 앱을 선택합니다.

7. 네트워크에서 다음을 수행합니다.

   a. 구성을 예로 설정합니다.

   b. 제외에서 선택한 네트워크 및 위치를 선택합니다.

   c. 조직에 대해 만든 위치를 선택합니다.

   d. 선택을 선택합니다.

8. 액세스 제어>에서 액세스 차단을 선택하고 선택을 선택합니다.

9. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.

10. 만들기를 선택하여 프로젝트를 만듭니다.

보고서 전용 모드를 사용하여 정책이 예상대로 작동하는지 확인합니다. 정책이 제대로 작동하는지 확인한 다음 사용하도록 설정합니다.

액세스를 차단하도록 조건부 액세스 정책을 구성하는 방법에 대한 자세한 내용은 조건부 액세스: 위치로 액세스 차단을 참조하세요.

시나리오 2: 개발자 포털에 대한 액세스 허용

개발자 포털에 대한 개발자 액세스만 허용하려고 합니다. 개발자는 개발자 포털을 통해 개발 상자에 액세스하고 관리해야 합니다.

새 정책 만들기

다음 단계를 수행합니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 보호>조건부 액세스>정책으로 이동합니다.

3. 새 정책을 선택합니다.

4. 정책에 이름을 지정합니다. 조건부 액세스 정책에 의미 있는 명명 규칙을 사용합니다.

5. 할당 아래에서 사용자 또는 워크로드 ID를 선택합니다.

   a. 포함에서 Dev Box 사용자를 선택합니다.

   b. 제외에서 사용자 및 그룹을 선택하고 조직의 비상상 액세스 계정을 선택합니다.

6. 대상 리소스>Cloud 앱>포함에서 Microsoft 개발자 포털, Fidalgo 데이터 평면 공용, Windows Azure Service Management API를 선택합니다.

7. 액세스 제어>에서 액세스 허용을 선택하고 선택을 선택합니다.

8. 설정을 확인하고 정책 사용을 보고 전용으로 설정합니다.

9. 만들기를 선택하여 정책을 만들어 사용하도록 설정합니다.

보고서 전용 모드를 사용하여 정책이 예상대로 작동하는지 확인합니다. 정책이 제대로 작동하는지 확인한 다음 사용하도록 설정합니다.

Dev Box에 필요한 앱

다음 표에서는 Microsoft Dev Box와 관련된 앱에 대해 설명합니다. 이러한 앱을 허용하거나 차단하여 조직의 요구에 맞게 조건부 액세스 정책을 사용자 지정할 수 있습니다.

요구 사항에 따라 앱을 허용할 수 있습니다. 예를 들어 DevCenter REST API, Azure CLI 또는 Dev Portal을 사용하여 Fidalgo Dataplane Public에서 개발 상자 관리를 허용하도록 허용할 수 있습니다. 다음 표에서는 일반적인 시나리오에서 사용되는 앱을 나열합니다.

App	개발자 포털에서 개발 상자에 로그인하고 개발 상자 관리	개발 상자 관리(만들기/삭제/중지 등)	브라우저를 통해 연결	원격 데스크톱을 통해 연결
Microsoft 개발자 포털
Fidalgo Dataplane Public
Windows Azure Service Management API
Windows 365
Azure Virtual Desktop
Microsoft 원격 데스크톱

조건부 액세스 정책 구성에 대한 자세한 내용은 조건부 액세스: 사용자, 그룹 및 워크로드 ID를 참조하세요.

관련 콘텐츠

• 조건부 액세스 정책의 사용자 및 그룹
• 조건부 액세스 정책의 클라우드 앱, 작업 및 인증 컨텍스트
• 조건부 액세스 정책의 네트워크