업데이트
우리는 고객을 위해이 문제를 완화하기 위해 노력하고 있으며, 우리는 우리의 플랫폼에 변화를 출시하고있다. iPadOS 업그레이드 전의 동작과 유사하게 iPadOS에 대한 조건부 액세스 정책이 사용되고 있음을 알 수 있습니다.
이 업데이트된 동작을 확인하는 빠른 방법은 조건부 액세스 정책에 의해 보호되는 iPadOS 장치에서 Safari의 리소스에 액세스하는 것입니다. Safari와 Apple 네이티브 메일 액세스 간의 동작 차이가 있는 경우 사용자에게 Apple 네이티브 메일을 로그아웃한 다음 다시 로그인하도록 요청합니다.
이 프로세스를 자동화하려면 "로그인 빈도" 세션 컨트롤을 사용하여 임시 조건부 액세스 정책을 설정한 다음 "모바일 앱 및 데스크톱 클라이언트"로 식별되는 클라이언트 앱에 적용되는 임시 조건부 액세스 정책을 설정합니다. 이 정책에서는 장치 플랫폼을 "macOS"로 설정하고 로그인 빈도를 20시간으로 설정합니다.
이 정책을 설정하는 방법에 대한 자세한 내용은 조건부 액세스를 사용하여 인증 세션 관리 구성설명서를 참조하십시오.
참고 사항 이 정책을 설정하려면 iPadOS에서 Apple 네이티브 메일 사용자가 20시간 후에 로그인해야 합니다(이전에는 iPadOS의 최신 데스크톱 브라우저로 인해 mac 장치로 식별됨). 다시 로그인한 후 "승인된 클라이언트 앱 필요" 또는 "앱 보호 정책 필요" 권한 부여 제어를 사용하도록 설정한 경우 Apple 네이티브 메일은 회사 리소스에 액세스하지 못하도록 차단됩니다. 임시 조건부 액세스 정책을 비활성화하거나 삭제하여 사용자에게 20시간마다 로그인하라는 메시지를 표시하지 않도록 할 수 있습니다.
요약
주요 변경 에 대한 개요
애플은 2019년 9월 30일에 아이패드OS(iPad용 새로운 OS)를 출시했다. 릴리스 전에 이 릴리스에서는 조직에서 조건부 액세스 정책을 사용하는 Microsoft Azure Active Directory(Azure AD) 및 Intune 고객에게 영향을 줄 수 있는 변경 사항이 도입되었습니다. 이 통지는 Apple의 주요 변경 사항을 이해하고 조직에 미치는 영향을 평가하는 데 도움을 주기 위한 것입니다. 이 공지는 Microsoft의 권장 사항도 제공합니다.
iOS 13+로 업데이트되는 모든 iPad는 iOS에서 iPadOS로 OS를 업데이트했습니다. iPadOS는 iOS와 유사하게 행동하지만 다르게 행동하는 몇 가지 주요 앱이 있습니다. 사파리, 예를 들어, iPadOS 사용자가 전체 데스크톱 브라우저 경험을 가지고 있는지 확인하기 위해 macOS로 자신을 제시한다.
주의
조건부 액세스 정책은 OS 또는 앱별로 적용되는 경우가 많기 때문에 이러한 변경은 iPadOS로 업그레이드하는 모든 iPad 장치의 보안 및 규정 준수에 영향을 줄 수있습니다.
주요 변경의 영향을 받을 수 있는 앱
이 변경 사항은 조건부 액세스를 사용하고 iOS 앱 대신 macOS 앱으로 자신을 식별하는 앱에 영향을 줍니다. 조건부 액세스 정책을 검토할 때macOS와 iOS 간에 다른 앱 환경을 제공하는지 여부에 중점을 두어야 합니다. 또한 영향을 받는 앱 범주를 사용하는 Azure Azure AD의 조건부 액세스 정책을 검토하는 것이 좋습니다.
주요 변경 사항은 다음 시나리오에서 iPadOS를 실행하는 iPad 장치에서 조건부 액세스 정책을 적용에 영향을 줍니다.
-
Safari 브라우저를 사용한 웹 응용 프로그램 액세스
-
애플 네이티브 메일 액세스
-
Safari 뷰 컨트롤러를 사용하는 네이티브 응용 프로그램 액세스
이러한 경우 Azure AD 조건부 Access는 모든 액세스 요청을 macOS 액세스 요청으로 처리합니다.
중요
조직에 macOS 에 대한 조건부 액세스 정책이 필수적입니다. macOS에 대한 정책이 없는 경우 이전에 확인된 시나리오에 대해 조직의 리소스에 열린 액세스 조건이 발생할 수 있습니다.
다음 액세스 시나리오에는 영향을 주지 않습니다.
-
모든 Microsoft 네이티브 응용 프로그램 액세스(예: Outlook, Word 또는 Edge)
-
Safari 이외의 브라우저(예: Chrome)를 사용하여 웹 응용 프로그램 액세스
-
iOS/Microsoft ID 플랫폼 v2.0 인증 라이브러리 또는 v1.0 인증 라이브러리용인튠 앱 SDK/앱래핑 도구를사용하는 앱
Microsoft의 권장 사항을 검토하기 전에 영향을 받을 수 있는 다음 시나리오를 고려하십시오.
|
시나리오 |
결과 |
|---|---|
|
iOS 기기에서 전자 메일 액세스를 위해 "승인된 클라이언트 앱이 필요"하는 조건부 액세스 정책을 설정했으며 macOS에 대해 구성된 정책이 없습니다. |
iPadOS로 iPad가 업데이트된 후에는 앞서 설명한 대로 영향을 받는 앱 범주에 대해 승인된 클라이언트 앱 정책이 적용되지 않습니다. |
|
회사 리소스에 액세스하기 위해 iOS 장치를 사용하려면 "호환 장치 필요"라는 조건부 액세스 정책을 설정했습니다. 그러나 macOS 정책을 구성하지 않았습니다. |
iPads가 iPadOS로 업데이트된 후 사용자는 비준수 iPad에서 영향을 받는 앱 범주의 앱을 사용하여 회사 리소스에 액세스할 수 있습니다. |
|
Outlook 웹 액세스와 같은 Office365 웹 사이트에 액세스하기 위해 iOS 장치에서 "MFA필요"라는 조건부 액세스 정책을 설정했습니다. 그러나 해당 macOS 정책을 구성하지 않았습니다. |
iPads가 iPadOS로 업데이트된 후 사용자는 MFA(다단계 인증)를 묻는 메시지가 표시되지 않고 영향을 받는 앱 범주의 앱을 사용하여 이러한 Office365 웹 사이트에 액세스할 수 있습니다. |
|
iOS 장치에 대해 "호환 장치 필요"와 macOS 장치에 대해 "MFA 필요"라는 조건부 액세스 정책을 설정했습니다. |
iPads가 iPadOS로 업데이트된 후 사용자는 비준수 iPad에서 영향을 받는 앱 범주의 앱을 사용하여 회사 리소스에 액세스할 수 있습니다. |
이는 iOS에 대한 조건부 액세스 정책이 macOS의 조건부 액세스 정책과 다를 수 있는 경우의 몇 가지 예에 불과합니다. 정책에서 이러한 모든 사례를 식별해야 합니다.
마이크로소프트 권장 사항
다음 작업을 수행 하는 것이 좋습니다.
-
iPad 장치에서 액세스를 제어하는 iOS용 브라우저 기반 Azure AD CA 정책이 있는지 여부를 평가합니다. 이렇게 하면 다음 단계를 따르십시오.
-
동등한 macOS Azure AD 브라우저 액세스 정책을 만듭니다. "호환 장치 필요" 정책을 사용하는 것이 좋습니다. 이 정책은 iPad 및 Mac 장치를 Microsoft Intune(또는 MACOS 관리 도구로 선택한 경우 JAMF Pro)에 등록합니다. 또한 이 정책을 통해 브라우저 앱은 호환 장치(가장 안전한 옵션)에서만 액세스할 수 있습니다. 또한 macOS에 대한 Intune 장치 준수 정책을 만들어야 합니다.
-
브라우저 액세스를 위해 macOS 및 iPadOS에 대해 "호환 장치 필요"를 할 수 없는 경우 이러한 액세스에 대해 "MFA가 필요"하는지 확인하십시오.
-
-
iOS에 대해 사용 약관(장치당 동의) 기반 Azure AD 조건부 액세스 정책이 구성되었는지 여부를 결정합니다. 이 경우 macOS에 대해 동등한 정책을 만듭니다.
자세한 내용은 Microsoft 지원에문의하십시오.
