Microsoft 365

Microsoft Entra ID. Set up tenant restrictions v2 by GPO

Pepuri 2024. 7. 6. 16:32
반응형

이번에는 Tenant 제한설정에 대해서 다루겠습니다.

조건부 액세스의 경우 회사의 계정을 개인 장치에서 접속하지 못하게 하는 것이 목적입니다.

그런데, 조건부 액세스는 다른 회사의 계정을 회사 장치에 접속하는 것을 막을 없습니다.

물론 회사 장치에서 Naver 메일도 접속 가능하고, 구글 드라이브도 접근 가능하다면, 사실 회사는 데이터 유출에 대해서는 민감하지 않으므로 포스팅은 무시하셔도 좋을 것입니다.

 

M365 사용하려면 office.com MS 관련 URL 오픈해야 합니다. , 다른 회사나 개인 계정 (outlook.com )으로 접속하는 것을 막는 개념이 Tenant Restriction (테넌트 제한)입니다.

 

Youtube 영상 (한글)

https://youtu.be/4Kr--8pq2rA

 

 

관련 기술자료

Configure tenant restrictions - Microsoft Entra ID - Microsoft Entra External ID | Microsoft Learn

 

방법은 크게 3가지가 있습니다.

1. GSA

2. 회사 프록시 장비

3. GPO

 

GSA 통한 방법은 GSA 대한 사전 이해가 필요합니다. 부분은 나중에 따로 다루도록 하겠습니다.

이번 포스팅에서는 3번째 옵션인 GPO 통한 테넌트 제한을 적용하겠습니다.

 

Step 1: Configure default tenant restrictions v2

Entra 관리 센터 > Cross-tenant access settings > cross-tenant access settings > Default settings

 

Edit tenant restrictions defaults

 

Create Policy

 

다음과 같이 Policy ID 생성됩니다. 각각의 값을 복사해 놓습니다.

 

외부 계정에 대한 차단 정책을 한다면, 아래와 같이 설정합니다. (기본값)

 

모든 외부 앱에 대해서 Block 한다면 아래와 같이 설정합니다.

 

Step 2: Enable tenant restrictions on Windows managed devices (preview)

기술 자료상에서 아래와 같은 안내사항이 있습니다.

Windows의 테넌트 제한 V2는 일부 시나리오에서 인증 및 데이터 평면을 보호하는 부분 솔루션입니다. 관리형 Windows 디바이스에서 작동하며 .NET 스택, Chrome 또는 Firefox를 보호하지 않습니다. Windows 솔루션은 Microsoft Entra 전역 보안 액세스(미리 보기)에 유니버설 테넌트 제한이 일반 공급될 때까지 임시 솔루션을 제공합니다.

-> 내용을 이해하긴 어렵지만, 향후 다른 방식으로 기능을 제공할 예정이다. 현재는 프리뷰 단계다. 정도로 이해할 있습니다.

 

최신 Windows GPO 정책에 대한 ADMX 파일을 다운로드 합니다.

Download Administrative Templates (.admx) for Windows 11 2023 Update (23H2) from Official Microsoft Download Center

 

설치하면 아래의 위치에 정책파일이 저장됩니다.

 

AD에서 정책에 배포하는 방식에 따라서 PolicyDefinitions 폴더를 적절한 위치에 필요한 언어만 복사합니다. (정책관련 부분은 AD 파트이기 때문에 여기서 다루지는 않겠습니다.)

 

DC에서 gpmc.msc 실행합니다.

 

테스트 OU에서 정책을 생성합니다. 우클릭 Edit

 

Computer Configuration > Administrative Templates > Windows Components > Tenant Restrictions

 

다음과 같이 설정합니다.

 

Edge에서 개인 계정으로 로그인 시도

 

다음과 같이 차단됨 확인

 

다른 테넌트로 로그인 시도하여도 차단되는 것을 있습니다.

 

다만 해당 GPO 아쉬운 점은 3rd Party 브라우저는 차단하지 못합니다.

Chrome이나 3rd Party 브라우저는 정책으로 URL자체를 차단해야 합니다.

만약 3rd Party 브라우저 기반까지 사용하기를 원한다면, 회사 프록시 장비나, GSA 사용해야 합니다.

부분은 다음 포스팅에서 다루겠습니다.

반응형