M365. Azure AD Joined Plan (3). Conditional Access
이전글
2022.07.11 - [Azure AD/Microsoft Endpoint Manager] - M365. Azure AD Plan (2). Compliance Policy
Compliant(준수) 가 올바르게 적용되었다면, Conditional Access(CA) 를 적용할 수 있습니다.
Azure AD Join 된 장치를 사용할 사용자 or 그룹을 지정합니다.
Office 365 App을 선택합니다.
Device platform은 Windows 를 선택합니다.
Client apps 는 Browser 및 Mobile apps and desktop clients 를 선택합니다.
Access controls -> Grant -> Grant Access -> Require device to be marked as compliant
올바르게 동작하는 지 테스트를 진행하였습니다.
AAD-0639 는 Azure AD Joined + Compliant:Yes 입니다.
AAD-0639 장치는 아래와 같이 브라우저 및 App에서 정상적으로 접속이 가능합니다.
Azure AD -> Users -> Sign-in logs 에서 CA가 적용되었는지 확인할 수 있습니다.
Device Info 에서는 Compliant 및 Join Type 을 확인할 수 있습니다.
다음과 같이 onprem-1은 조건을 만족하여 올바르게 액세스 되는 것을 확인할 수 있습니다.
적용된 Conditional Access 탭에서는 적용된 CA Policy를 확인할 수 있습니다.
이번에는 차단되는 시나리오를 테스트 해보겠습니다.
Non-Autopilot 은 Azure AD Joined + Compliant:No 입니다.
Office.com에 로그인하면 다음과 같이 접속이 차단됩니다.
로그를 확인해 보도록 하겠습니다.
Compliant: No 를 근거로
조건부 액세스에서 차단된 것을 확인할 수 있습니다.
물론 Autopilot 프로세스로 장치들을 등록하는 것이 쉬운 것은 아닙니다.
다만, 해외 지사처럼 AD Join을 할 수 없는 상황이라면, Azure AD를 대안으로 생각해 볼 수 있습니다.