다음을 통해 공유

조건부 액세스 문제 해결

  • 아티클

이 문서에서는 사용자가 조건부 액세스로 보호되는 리소스에 액세스하지 못하거나 사용자가 보호된 리소스에 액세스할 수 있지만 차단되어야 하는 경우 수행할 작업을 설명합니다.

Intune 및 조건부 액세스를 사용하면 Exchange Online 및 SharePoint Online과 같은 Microsoft 365 서비스 및 기타 다양한 서비스에 대한 액세스를 보호할 수 있습니다. 이 기능을 사용하면 Intune에 등록되고 Intune 또는 Microsoft Entra ID에서 설정한 조건부 액세스 규칙을 준수하는 디바이스만 회사 리소스에 액세스할 수 있도록 할 수 있습니다.

조건부 액세스에 대한 요구 사항

조건부 액세스가 작동하려면 다음 요구 사항을 충족해야 합니다.

  • 디바이스는 MDM(모바일 디바이스 관리)에 등록하고 Intune에서 관리해야 합니다.

  • 사용자와 디바이스는 모두 할당된 Intune 준수 정책을 준수해야 합니다.

  • 기본적으로 사용자에게 디바이스 준수 정책이 할당되어야 합니다. 이는 Intune 관리 포털의 디바이스> 준수 정책 설정에 있는 준수 정책이 할당되지 않은 설정 표시 디바이스의 구성에 따라 달라질 수 있습니다.

  • 사용자가 Outlook이 아닌 디바이스의 네이티브 메일 클라이언트를 사용하는 경우 장치에서 Exchange ActiveSync를 활성화해야 합니다. iOS/iPadOS 및 Android Knox 디바이스에 대해 자동으로 발생합니다.

  • 온-프레미스 Exchange의 경우 Intune Exchange 커넥터를 올바르게 구성해야 합니다. 자세한 내용은 Microsoft Intune에서 Exchange 커넥터 문제 해결을 참조 하세요.

  • 온-프레미스 Skype의 경우 하이브리드 최신 인증을 구성해야 합니다. 하이브리드 최신 인증 개요를 참조하세요.

Azure Portal 및 디바이스 인벤토리 보고서에서 각 디바이스에 대해 이러한 조건을 볼 수 있습니다.

디바이스가 규정을 준수한다고 표시되지만 사용자가 여전히 차단됨

  • 사용자에게 적절한 규정 준수 평가를 위해 할당된 Intune 라이선스가 있는지 확인합니다.

  • 비 Knox Android 디바이스는 사용자가 수신하는 격리 전자 메일에서 지금 시작 링크를 클릭할 때까지 액세스 권한이 부여되지 않습니다. 이는 사용자가 Intune에 이미 등록된 경우에도 적용됩니다. 사용자가 휴대폰의 링크가 포함된 전자 메일을 받지 못하는 경우 PC를 사용하여 전자 메일에 액세스하고 디바이스의 전자 메일 계정으로 전달할 수 있습니다.

  • 디바이스를 처음 등록하거나 업데이트하는 경우 디바이스에 대한 규정 준수 정보 및 특성을 등록하는 데 다소 시간이 걸릴 수 있습니다. 잠시 기다린 다음 다시 시도하십시오.

  • iOS/iPadOS 디바이스의 경우 기존 전자 메일 프로필이 해당 사용자에게 할당된 Intune 관리자가 만든 전자 메일 프로필의 배포를 차단하여 디바이스를 비준수로 만들 수 있습니다. 이 시나리오에서 회사 포털 앱은 수동으로 구성된 전자 메일 프로필 때문에 규정을 준수하지 않는다는 사실을 사용자에게 알리고 사용자에게 해당 프로필을 제거하라는 메시지를 표시합니다. 사용자가 기존 전자 메일 프로필을 제거하면 Intune 전자 메일 프로필을 성공적으로 배포할 수 있습니다. 이 문제를 방지하려면 등록하기 전에 디바이스에서 기존 전자 메일 프로필을 제거하도록 사용자에게 지시합니다.

  • 디바이스가 확인 준수 상태에서 중단되어 사용자가 다른 체크 인을 시작하지 못할 수 있습니다. 이 상태의 디바이스가 있는 경우:

    • 디바이스가 최신 버전의 회사 포털 앱을 사용하고 있는지 확인합니다.
    • 장치를 다시 시작합니다.
    • 문제가 다른 네트워크(예: 셀룰러, Wi-Fi 등)에서 지속되는지 확인합니다.

    문제가 계속되면 Microsoft Intune에서 지원 받기에 설명된 대로 Microsoft 지원 문의하세요.

  • 특정 Android 디바이스는 암호화된 것처럼 보일 수 있지만 회사 포털 앱은 이러한 디바이스를 암호화되지 않은 것으로 인식하고 비준수로 표시합니다. 이 시나리오에서는 회사 포털 앱에 디바이스에 대한 시작 암호를 설정하라는 알림이 표시됩니다. 알림을 탭하고 기존 PIN 또는 암호를 확인한 후 보안 시작 화면에서 디바이스를 시작하려면 PIN 필요 옵션을 선택한 다음, 회사 포털 앱에서 디바이스에 대한 준수 확인 단추를 탭합니다. 이제 디바이스가 암호화된 것으로 검색됩니다.

    참고 항목

    일부 디바이스 제조업체는 사용자가 설정한 PIN 대신 기본 PIN을 사용하여 디바이스를 암호화합니다. Intune은 기본 PIN을 안전하지 않은 것으로 사용하는 암호화를 보고 사용자가 기본이 아닌 새 PIN을 만들 때까지 해당 디바이스를 비규격으로 표시합니다.

  • 등록되고 규정을 준수하는 Android 디바이스는 회사 리소스에 처음 액세스하려고 할 때 여전히 차단되고 격리 알림을 받을 수 있습니다. 이 경우 회사 포털 앱이 실행되고 있지 않은지 확인한 다음 격리 전자 메일에서 지금 시작 링크를 선택하여 평가를 트리거합니다. 조건부 액세스를 처음 사용하도록 설정한 경우에만 이 작업을 수행해야 합니다.

  • 등록된 Android 디바이스는 사용자에게 "인증서를 찾을 수 없음"을 묻는 메시지를 표시하고 Microsoft 365 리소스에 대한 액세스 권한을 부여하지 않을 수 있습니다. 사용자는 다음과 같이 등록된 디바이스에서 브라우저 액세스 사용 옵션을 사용하도록 설정해야 합니다.

    1. 회사 포털 앱을 엽니다.
    2. 삼중 점(...) 또는 하드웨어 메뉴 단추에서 설정 페이지로 이동합니다.
    3. 브라우저 액세스 사용 단추를 선택합니다.
    4. Chrome 브라우저에서 Microsoft 365에서 로그아웃하고 Chrome을 다시 시작합니다.

  • 데스크톱 애플리케이션은 웹 브라우저 또는 인증 브로커에 표시되는 인증 프롬프트를 사용하는 최신 인증 방법을 사용해야 합니다. 암호를 직접 보내는 스크립트는 인증 브로커를 사용하는 경우에만 디바이스의 ID 증명을 제공할 수 있습니다.

디바이스가 차단되고 격리 이메일이 수신되지 않음

  • 디바이스가 Intune 관리 콘솔에 Exchange ActiveSync 디바이스로 있는지 확인합니다. 그렇지 않은 경우 Exchange Connector 문제로 인해 디바이스 검색이 실패할 수 있습니다. 자세한 내용은 Intune Exchange 커넥터 문제 해결을 참조하세요.

  • Exchange Connector가 디바이스를 차단하기 전에 활성화(격리) 이메일을 보냅니다. 디바이스가 오프라인 상태이면 활성화 이메일을 받지 못할 수 있습니다.

  • 디바이스의 전자 메일 클라이언트가 폴링 대신 푸시를 사용하여 전자 메일을 검색하도록 구성되어 있는지 확인합니다. 이 경우 사용자가 전자 메일을 놓칠 수 있습니다. 폴링으로 전환하고 디바이스가 전자 메일을 수신하는지 확인합니다.

디바이스가 규정을 준수하지 않았지만 사용자가 차단되지 않음

  • Windows PC의 경우 조건부 액세스는 네이티브 전자 메일 앱, 최신 인증을 사용하는 Office 2013 또는 Office 2016만 차단합니다. 이전 버전의 Outlook 또는 Windows PC에서 모든 메일 앱을 차단하려면 방법: 조건부 액세스를 사용하여 Microsoft Entra ID에 대한 레거시 인증 차단에 따라 Microsoft Entra Device Registration 및 AD FS(Active Directory Federation Services) 구성이 필요합니다.

  • Intune에서 디바이스를 선택적으로 초기화하거나 사용 중지하는 경우 사용 중지 후 몇 시간 동안 계속 액세스할 수 있습니다. Exchange는 6시간 동안 액세스 권한을 캐시하기 때문입니다. 이 시나리오에서는 사용 중지된 디바이스에서 데이터를 보호하는 다른 방법을 고려합니다.

  • Surface Hub, 대량 등록 및 DEM 등록 Windows 디바이스는 Intune에 대한 라이선스가 할당된 사용자가 로그인할 때 조건부 액세스를 지원할 수 있습니다. 그러나 올바른 평가를 위해 준수 정책을 디바이스 그룹(사용자 그룹이 아님)에 배포해야 합니다.

  • 규정 준수 정책 및 조건부 액세스 정책에 대한 할당을 확인합니다. 사용자가 정책이 할당된 그룹에 없거나 제외된 그룹에 있는 경우 사용자는 차단되지 않습니다. 할당된 그룹의 사용자에 대한 디바이스만 준수를 확인합니다.

비규격 디바이스가 차단되지 않음

디바이스가 규정을 준수하지 않지만 계속 액세스할 수 있는 경우 다음 작업을 수행합니다.

  • 대상 및 제외 그룹을 검토합니다. 사용자가 올바른 대상 그룹에 있지 않거나 제외 그룹에 있는 경우 차단되지 않습니다. 대상 그룹에 있는 사용자의 디바이스만 준수를 확인합니다.

  • 디바이스가 검색되고 있는지 확인합니다. Exchange 커넥터가 사용자가 Exchange 2013 서버에 있는 동안 Exchange 2010 CAS를 가리키고 있나요? 이 경우 사용자가 대상 그룹에 있더라도 기본 Exchange 규칙이 Allow인 경우 Intune은 Exchange에 대한 디바이스의 연결을 인식할 수 없습니다.

  • Exchange에서 디바이스 존재/액세스 상태 확인:

    • 이 PowerShell cmdlet을 사용하여 사서함에 대한 모든 모바일 디바이스 목록을 가져옵니다. 'Get-MobileDeviceStatistics -mailbox mbx'. 디바이스가 나열되지 않으면 Exchange에 액세스하지 않습니다. 자세한 내용은 Exchange PowerShell 문서를 참조 하세요.

    • 디바이스가 나열된 경우 'Get-CASmailbox -identity:'upn' | fl' cmdlet을 사용하여 액세스 상태에 대한 자세한 정보를 얻고 해당 정보를 Microsoft 지원. 자세한 내용은 Exchange PowerShell 문서를 참조 하세요.

앱 기반 조건부 액세스를 사용하는 로그인 오류

Intune 앱 보호 정책을 사용하면 Intune에서 관리하지 않는 디바이스에서도 앱 수준에서 회사 데이터를 보호할 수 있습니다. 사용자가 보호된 애플리케이션에 로그인할 수 없는 경우 앱 기반 조건부 액세스 정책에 문제가 있을 수 있습니다. 자세한 지침은 조건부 액세스 관련 로그인 문제 해결을 참조하세요.