Microsoft Entra Conditional Access 변경: 모든 리소스 정책 적용

소개: 왜 중요한가

Conditional Access(CA)는 MFA, 디바이스 준수, 세션 제한을 강제하는 핵심 제어입니다. Microsoft는 Secure Future Initiative의 일환으로, 로그인 시 정책 평가가 의도치 않게 회피되는 시나리오—특히 제한된 scope 집합만 요청하는 클라이언트 앱—를 줄이기 위해 CA 적용을 강화하고 있습니다.

변경 사항

현재는 **CA 정책이 “모든 리소스”**를 대상으로 하면서 리소스 제외도 포함하는 경우, 격차가 발생할 수 있습니다. 구체적으로, 사용자가 OIDC scopes만 또는 제한된 디렉터리 scopes 집합만 요청하는 클라이언트 애플리케이션을 통해 로그인하는 특정 사례에서, Microsoft는 이러한 “모든 리소스” 정책이 적용되지 않을 수 있다고 설명합니다.

이번 업데이트 이후:

• 이러한 로그인에 대해 리소스 제외가 존재하더라도 “모든 리소스”를 대상으로 하는 CA 정책이 적용됩니다.
• 목표는 애플리케이션이 요청하는 scope 집합과 무관하게 일관된 CA 적용을 보장하는 것입니다.
• 이전에는 트리거되지 않던 로그인 흐름에서 이제 사용자가 CA 챌린지(예: MFA, 디바이스 준수, 기타 액세스 제어)를 받을 수 있습니다.

롤아웃 일정

• 적용 시작: 2026년 3월 27일
• 롤아웃 방식: 모든 클라우드에 점진적으로 적용
• 완료 기간: 수주에 걸쳐 2026년 6월까지

영향 대상

다음 구성을 가진 테넌트만 영향을 받습니다.

• 모든 리소스(All cloud apps)를 대상으로 하는 Conditional Access 정책이 최소 1개 존재
• 동일 정책에 하나 이상의 리소스 제외가 포함

Microsoft는 영향을 받는 테넌트에 대해 Microsoft 365 Message Center 게시물을 통해 안내할 예정입니다.

관리자 및 최종 사용자 영향

관리자 영향

• 특히 앱이 최소 scope만 요청하도록 설계된 경우, 일부 클라이언트 애플리케이션의 로그인 결과가 변경될 수 있습니다.
• 구성된 제어에 따라, Azure AD Graph(환경/정책 이력에 해당하는 경우)를 명시적으로 대상으로 하는 정책이 결과적으로 발생하는 챌린지에 관여할 수 있습니다.

최종 사용자 영향

• 영향을 받는 애플리케이션으로 인증할 때, 기존에는 CA 적용 없이 진행되던 흐름에서 사용자에게 새로운 프롬프트(MFA, 준수 디바이스 요구 사항 등)가 표시될 수 있습니다.

권장 조치 / 다음 단계

• 대부분의 조직: 별도 조치가 필요하지 않습니다.
  • 대부분의 애플리케이션은 더 넓은 scope를 요청하며 이미 CA 적용 대상입니다.
• 테넌트에 등록된 커스텀 앱이 의도적으로 제한된 scopes만 요청하는 경우: 검토 및 테스트가 필요합니다.
  • 해당 애플리케이션이 Conditional Access 챌린지를 올바르게 처리할 수 있는지 확인하세요.
  • 처리하지 못한다면, Microsoft의 Conditional Access 개발자 가이드를 참고해 앱을 업데이트하여 인증 흐름(대화형 프롬프트, 디바이스 신호 등)을 올바르게 처리하도록 하세요.
• 운영 준비:
  • Message Center 알림을 모니터링하세요.
  • 로그인 로그와 Conditional Access 문제 해결/대상(audience) 보고를 사용해 롤아웃 중 어떤 앱과 정책이 새로운 챌린지를 유발하는지 식별하세요.

이 변경은 방어 심층(Defense-in-depth) 관점의 격차를 해소하고 “모든 리소스” Conditional Access 정책이 보다 예측 가능하게 동작하도록 하기 위한 것입니다. 따라서 적용이 테넌트에 도달하기 전에 최소 scope 기반 커스텀 앱이 있다면 선제적으로 검증해 두는 것이 좋습니다.