다음을 통해 공유


Windows 365 Link 대한 조건부 액세스 정책

Windows 365 Link 지원하도록 organization 환경을 설정하는 과정의 일환으로 조건부 액세스 정책이 Windows 클라우드 PC 디바이스의 로그인과 연결을 모두 수용하도록 해야 합니다. 조건부 액세스를 사용하여 Windows 365 대한 조건부 액세스 정책 설정에 설명된 대로 Windows 365 클라우드 PC에 액세스하는 데 사용되는 리소스를 보호하는 경우 별도의 조건부 액세스 정책을 사용하여 디바이스를 등록하거나 조인하는 사용자 작업을 보호해야 합니다.

  1. 사용자가 Windows 365 Link 대화형 로그인 화면에서 로그인하면 해당 계정이 디바이스 등록 서비스에 대해 인증됩니다.
  2. Windows 365 Link SSO(Single Sign-On)를 사용하여 Microsoft Graph 및 Windows 365 서비스와 같은 다른 필수 클라우드 리소스에 대해 자동으로 인증합니다.

Windows 365 클라우드 PC 디바이스에는 두 가지 인증 단계가 있습니다.

  • 대화형 로그인: 사용자가 Windows 365 Link 로그인 화면에서 로그인하면 디바이스 등록 서비스가 인증 토큰을 가져오는 데 사용됩니다.
  • 비대화형 연결: 사용자 로그인에서 가져온 토큰은 Windows 365 서비스와 같은 다른 클라우드 앱 리소스에 연결할 때 비대화형 로그인을 수행하는 데 사용됩니다.

Windows 365 Link 디바이스의 로그인은 모든 리소스(이전의 클라우드 앱) 또는 디바이스 등록 서비스 리소스를 직접 대상으로 하는 조건부 액세스 정책을 트리거하지 않습니다. 또한 비대화형 연결은 사용자에게 이러한 요구 사항을 충족하라는 메시지를 표시할 수 없습니다.

조건부 액세스 정책이 Windows 365 리소스에 할당된 경우 동일한 액세스 제어 설정을 가진 다른 정책도 디바이스를 등록하거나 조인하기 위한 사용자 작업에 적용해야 합니다. 이 정책은 대화형 로그인을 트리거하고 연결에 필요한 클레임을 가져올 수 있습니다.

일치하는 정책 집합이 없으면 연결이 중단되고 사용자가 클라우드 PC에 연결할 수 없습니다.

이러한 활동은 Entra 조건부 액세스 로그인 로그에서 확인할 수 있습니다.

  1. Microsoft Entra 관리 센터>Protection>조건부 액세스>로그인 로그에 로그인합니다.
  2. 사용자 로그인(대화형) 탭에서 필터를 사용하여 로그인 화면에서 이벤트를 찾습니다.
  3. 사용자 로그인(비대화형) 탭에서 필터를 사용하여 연결에서 이벤트를 찾습니다.

대화형 로그인을 위한 조건부 액세스 정책 만들기

  1. Microsoft Entra 관리 센터>Protection>조건부 액세스>정책에> 로그인합니다.
  2. 사용자 또는 워크로드 ID의 경우 테스트할 사용자를 선택합니다.
  3. 클라우드 앱, 작업 또는 인증 컨텍스트의 경우 모든 클라우드 앱을 선택합니다.
  4. 대상 선택 유형에서 클라우드 앱을 선택한 상태로 둡니다.
  5. 앱 선택을 선택한 다음, 사용 가능한 경우 다음 리소스를 선택합니다.
    • Windows 365(앱 ID 0af06dc6-e4b5-4f28-818e-e78e62d137a5).
    • Azure Virtual Desktop (앱 ID 9cdead84-a844-4324-93f2-b2e6bb768d07).
    • Microsoft 원격 데스크톱(앱 ID a4a365df-50f1-4397-bc59-1a1564b8bb9c).
    • Windows 클라우드 로그인 (앱 ID 270efc09-cd0d-444b-a71f-39af4910ec45).
  6. What If를 선택합니다.

적용할 각 정책을 검토하고 해당 리소스 및 세션 설정에 대한 액세스 권한을 부여하는 데 사용되는 액세스 제어를 결정합니다.

이제 동일한 액세스 제어를 사용하여 디바이스 등록을 위해 MFA를 요구하는 새 조건부 액세스 정책을 만들 수 있습니다.

  1. Microsoft Entra 관리 센터>Protection>조건부 액세스>정책에 로그인합니다.>
  2. 정책 이름을 지정합니다. 정책 이름에 의미 있는 표준을 사용하는 것이 좋습니다.
  3. 할당>사용자 아래에서 0명의 사용자 및 그룹을 선택합니다.
  4. 포함에서 모든 사용자를 선택하거나 Windows 365 Link 디바이스를 통해 로그인할 사용자 그룹을 선택합니다.
  5. 제외에서 사용자 및 그룹을> 선택하여 organization 긴급 액세스 또는 비상 계정을 선택합니다.
  6. 대상 리소스>사용자 작업에서 디바이스 등록 또는 조인을 선택합니다.
  7. 액세스 제어>권한 부여에서 What If 도구를 사용하여 이전에 찾은 것과 동일한 컨트롤을 사용합니다.
  8. 액세스 제어>세션에서 What If 도구를 사용하여 이전에 찾은 것과 동일한 컨트롤을 사용합니다.
  9. 설정을 확인하고 정책 사용을보고서 전용으로 설정합니다.
  10. 만들기를 선택합니다.
  11. 보고서 전용 모드를 사용하여 설정을 확인한 후 정책 사용 토글을 보고서 전용 에서 켜기로 변경 합니다.

잠재적 충돌을 포함하여 디바이스 등록을 위한 조건부 액세스 정책을 만드는 방법에 대한 자세한 내용은 디바이스 등록을 위한 다단계 인증 필요를 참조하세요.

조건부 액세스를 사용하여 사용자 작업에 대한 자세한 내용은 사용자 작업을 참조하세요.

Windows 365 사용되는 리소스에 대한 조건부 액세스 정책을 만드는 방법에 대한 자세한 내용은 조건부 액세스 정책 설정을 참조하세요.

다음 단계

Single Sign-On 동의 프롬프트를 표시하지 않습니다.