조건부 액세스 정책이 지속적 액세스 평가를 사용 중지함

사용자가 Microsoft Entra ID를 통해 애플리케이션 또는 API에 인증하면 정해진 만료 시간이 있는 액세스 토큰을 받게 됩니다. 하지만 이 토큰이 만료되면 해당 사용자는 Entra ID에 다시 문의하여 토큰을 새로 고쳐야 합니다. Entra ID가 갱신을 거부하고 액세스를 차단할 기회는 이 시점에만 주어집니다. 거부의 원인은 사용자의 보안 태세가 변경(예: 승인되지 않은 네트워크나 위험한 IP 주소로 전환, 고위험 활동 탐지 등)되어서일 수도 있고 사용자 상태가 변경(예: 사용 중지된 계정)되어서일 수도 있습니다. 문제는 이러한 중대한 상황에 거의 실시간으로 대응해야 함에도 불구하고, 새로 고칠 때까지는 액세스 토큰 무효화를 트리거할 수 없다는 사실입니다.

Microsoft에서는 이 문제를 해결하기 위해 지속적 액세스 평가(CAE) 보안 기능을 구현해 이 공백을 메우려고 했습니다.

CAE는 기본적으로 사용으로 설정되어 있지만 조건부 액세스 정책을 통해 사용 중지할 수 있습니다. Tenable에서는 이 보안 기능을 사용 중지하면 위험하다고 간주하기 때문에, CAE를 사용 중지하는 모든 조건부 액세스 정책을 발견 사항으로 플래그합니다.

Tenable과 Microsoft에서는 CAE를 사용 중지하는 유효한 이유를 문서화하지 않았습니다. 따라서 CAE를 사용 중지한 조건부 액세스 정책이 의도적이었는지, 아니면 다른 문제를 해결하려 시도하는 중에 우발적으로 초래된 것인지 조사하는 것이 매우 중요합니다.

정당한 사례인 경우, Tenable에서는 조건부 액세스 정책의 할당 섹션을 사용하여 범위를 줄이도록 권장합니다. 이를 위해, 정책을 "모든 사용자"에게 적용하기보다 문제 있는 특정 사용자 또는 그룹만 포함하거나 제외해야 합니다.

그렇지 않으면 Tenable에서는 조건부 액세스 정책을 사용 중지하거나 삭제할 것을 권장합니다(특히 해당하는 대상이 없는 경우).

이름: 조건부 액세스 정책이 지속적 액세스 평가를 사용 중지함

코드명: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure