이 도움말에는 컨텍스트 인식 액세스의 일반적인 사용 사례에 관한 설명과 기본 모드에서 개발된 샘플 구성이 포함되어 있습니다.
고급 모드(CEL 편집기 사용)에서 개발된 액세스 수준의 예는 고급 모드의 컨텍스트 인식 액세스 예를 참고하세요.
계약업체가 회사 네트워크를 통해서만 액세스하도록 허용
많은 회사에서는 계약업체가 회사 리소스에 액세스하지 못하도록 제한하려 합니다. 예를 들어 일반적인 사용자 지원 전화 서비스를 제공하기 위해 계약업체를 활용하는 회사나 고객센터 및 콜센터 서비스 제공업체가 여기에 해당합니다. 정규직 직원과 마찬가지로 계약업체가 컨텍스트 인식 액세스 정책의 적용을 받으려면 지원되는 라이선스를 보유하고 있어야 합니다.
다음의 예에서 계약업체는 특정 범위 내의 기업 IP 주소를 통해서만 회사 리소스에 액세스할 수 있습니다.
액세스 수준 이름 | 계약업체_액세스 |
다음 경우에 계약업체가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 | IP 서브넷 74.125.192.0/18 |
액세스 수준 할당 | 계약업체용 조직 단위 계약업체에서 사용하는 모든 앱 |
알려진 계정 도용 IP 주소를 통한 액세스 차단
회사의 리소스가 침해당하지 않도록 알려진 고위험 소스에 대한 액세스를 차단하는 회사가 많습니다.
다음의 예에서는 74.125.195.105라는 IP 주소가 차단됩니다. 사용자의 세션이 다른 IP 주소에서 시작된 경우 사용자가 회사 리소스에 액세스할 수 있습니다. 여러 개의 IP 주소와 범위를 지정할 수 있습니다.
액세스 수준 이름 | 고위험군_차단 |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족하지 않음 |
조건 1 속성 | IP 서브넷 74.125.195.105 |
액세스 수준 할당 | 최상위 조직 단위 모든 앱 |
특정 위치를 통한 액세스 허용 또는 거부
기업 또는 파트너 소유의 원격 사무실로 정기적으로 출장을 가는 직원이 있는 경우, 해당 직원이 회사 리소스에 액세스할 수 있는 지리적 위치를 지정할 수 있습니다.
예를 들어 영업 담당자 그룹이 오스트레일리아 및 인도 고객을 정기적으로 방문한다면 해당 그룹의 액세스를 홈 오피스 및 오스트레일리아와 인도로 제한할 수 있습니다. 출장 중에 다른 국가로 개인적으로 여행을 간 경우, 이러한 국가에서는 회사 리소스에 액세스할 수 없습니다.
이 예에서 영업 그룹은 미국(홈 오피스), 오스트레일리아, 인도에서만 회사 리소스에 액세스할 수 있습니다.
액세스 수준 이름 | 영업팀_액세스 |
다음 경우에 영업팀이 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 | 지리적 출처 미국, 오스트레일리아, 인도 |
액세스 수준 할당 | 영업 담당자 그룹 영업 담당자가 사용하는 모든 앱 |
사용자가 조건을 충족하지 못할 경우 해당 사용자를 지정하여 특정 국가로부터의 액세스를 거부하는 정책을 만들 수도 있습니다. 액세스를 차단하고자 하는 국가를 명시하면 됩니다.
할당 시 여러 액세스 수준을 선택하는 대신 중첩된 액세스 수준 사용
특정 조직 단위 또는 그룹 및 애플리케이션(또는 애플리케이션 집합)에 액세스 수준을 할당하려는 경우 애플리케이션 수 또는 액세스 수준 수를 줄이라는 오류 메시지가 표시될 수도 있습니다.
이 오류를 방지하려면 여러 액세스 수준을 단일 액세스 수준으로 중첩하여 할당 중 사용된 액세스 수준의 수를 줄일 수 있습니다. 중첩된 액세스 수준에서는 여러 조건이 OR 연산자로 결합되며, 이때 각 조건에는 개별 액세스 수준이 포함됩니다.
이 예시에서는 USWest, USEast, USCentral이 3개의 별도 액세스 수준입니다. 사용자가 USWest, USEast, USCentral 액세스 수준 중 하나라도 충족하는 경우 애플리케이션에 액세스할 수 있도록 하려면, OR 연산자를 사용하여 USRegions라 불리는 중첩된 단일 액세스 수준을 만들 수 있습니다. 액세스 수준 할당 시, 조직 단위 또는 그룹의 애플리케이션에 USRegions 액세스 수준을 할당합니다.
액세스 수준 이름 |
USRegions |
다음 경우에 사용자가 액세스할 수 있음 |
속성을 충족함 |
조건 1 속성 (조건당 1개의 액세스 수준만 있음) |
액세스 수준 USWest |
다음으로 조건 1과 조건 2 결합 |
OR |
다음 경우에 사용자가 액세스할 수 있음 |
속성을 충족함 |
조건 2 속성 |
액세스 수준 USEast |
다음으로 조건 2와 조건 3 결합 |
OR |
다음 경우에 사용자가 액세스할 수 있음 |
속성을 충족함 |
조건 3 속성 |
액세스 수준 USCentral |
휴대기기는 제외하고 데스크톱에 대해서만 회사 소유 기기 요구
회사는 회사 소유 데스크톱 기기를 요구하고 회사 소유 휴대기기는 요구하지 않을 수 있습니다.
먼저 다음과 같이 데스크톱 기기용 액세스 수준을 만듭니다.
액세스 수준 이름 |
모든 데스크톱_액세스 |
다음 경우에 사용자가 액세스할 수 있음 |
속성을 충족함 |
조건 1 속성 |
기기 정책
기기 암호화 = 지원되지 않음 기기 OS macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
그런 다음 다음과 같이 휴대기기용 액세스 수준을 만듭니다.
액세스 수준 이름 |
모든 휴대기기_액세스 |
다음 경우에 사용자가 액세스할 수 있음 |
속성을 충족함 |
조건 1 속성 |
기기 OS iOS = 0.0.0 Android = 0.0.0 |
기본 기기 보안 요구
오늘날 대부분의 기업에서는 직원들이 암호화되어 있으며 최소한의 운영체제 버전을 충족하는 기기를 사용해 회사 리소스에 액세스할 것을 요구합니다. 일부 회사에서는 직원에게 회사 소유의 기기를 사용하기를 요구하기도 합니다.
이러한 정책을 모든 조직 단위를 대상으로 구성할 수도 있고, 회사 임원이나 재무팀, 인사팀과 같이 민감한 정보를 다루는 조직 단위에만 적용되도록 구성할 수도 있습니다.
정책을 구성하는 방법에는 기기 암호화, 최소 운영체제 버전, 회사 소유 기기 등 여러 가지가 있으며 저마다 장단점이 있습니다.
모든 보안 요구사항을 포함하는 하나의 액세스 수준
예를 들어 사용자 기기가 암호화되어 있으며 회사 소유이지만 운영체제 버전이 규정을 준수하지 않는 경우 사용자 액세스가 거부됩니다.
장점: 설정이 용이합니다. 이 액세스 수준을 앱에 할당하면 사용자가 모든 요구사항을 충족해야 합니다.
단점: 서로 다른 조직 단위에 별도로 보안 요구사항을 할당하려면 각각의 보안 요구사항마다 별도의 액세스 수준을 만들어야 합니다.
액세스 수준 이름 | 기기_보안 |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 (하나의 조건에 모든 속성을 추가할 수도 있고 세 개의 조건을 만든 뒤 AND를 사용해 합칠 수도 있음) |
기기 정책 기기 OS |
별도의 액세스 수준 3개
예를 들어 암호화된 기기를 사용하고 있으나 개인 기기에서는 오래된 버전의 운영체제를 실행하는 사용자에게도 액세스 권한이 주어집니다.
장점: 액세스 수준을 세분화하는 방식입니다. 액세스 수준을 서로 다른 조직 단위에 개별적으로 할당할 수 있습니다.
단점: 사용자가 액세스 수준의 조건 중 하나만 충족해도 액세스할 수 있습니다.
액세스 수준 이름 | 기기_암호화 |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 |
기기 정책 |
액세스 수준 이름 | 회사_소유_기기 |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 |
기기 정책 |
액세스 수준 이름 | 최소_OS |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 |
기기 정책 |
액세스 수준이 중첩된 단일 액세스 수준
앱에 4번째 액세스 수준을 할당한 경우 사용자가 액세스 권한을 얻으려면 3개의 서로 중첩된 액세스 수준 중 각각의 액세스 수준의 조건을 충족해야 합니다. 액세스 수준 간의 관계는 논리적 AND입니다.
예를 들어 암호화된 기기를 사용하고 있으나 개인 기기에서는 오래된 버전의 운영체제를 실행하는 사용자의 액세스는 거부됩니다.
장점: 액세스 수준 1, 2, 3,을 통해 보안 요구사항을 별도로 분리할 수 있으므로 유연성을 확보할 수 있습니다. 액세스 수준 4를 사용하면 모든 보안 요구사항을 적용해 정책을 강화할 수도 있습니다.
단점: 액세스 수준 1, 2, 3은 앱에 직접 할당되지 않으므로 액세스 수준 4에서 거부된 액세스만 감사 로그에서 확인됩니다(액세스 수준 1, 2, 3은 확인되지 않음).
위의 '별도의 액세스 수준 3개'에서 설명된 대로 '기기_암호화', '회사_소유_기기', '최소_OS'라는 3개의 액세스 수준을 만듭니다. 그런 다음 3개의 조건을 포함하는 4번째 액세스 수준인 '기기_보안'을 만듭니다. 각 조건은 속성으로 액세스 수준을 갖습니다. 조건당 1개의 액세스 수준 속성만 추가할 수 있습니다.
액세스 수준 이름 | 기기_보안 |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 (조건당 1개의 액세스 수준만 허용됨) |
액세스 수준 기기_암호화 |
다음으로 조건 1과 조건 2 결합 | AND |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 | 액세스 수준 회사_소유_기기 |
다음으로 조건 2와 조건 3 결합 | AND |
다음 경우에 사용자가 액세스할 수 있음 | 속성을 충족함 |
조건 1 속성 | 액세스 수준 최소_OS |