Azure Virtual Desktop이 이제 공개 프리뷰로 컨텍스트 기반 리디렉션을 지원합니다. 사용자 ID, 디바이스 컴플라이언스, 네트워크 조건에 따라 클립보드, 드라이브, 프린터, USB 리디렉션 동작의 동적, 서버 측 통제를 도입합니다. 이 업데이트는 하이브리드와 BYOD 환경에서 데이터 유출 방지 접근 방식을 근본적으로 바꿉니다 — 정적이고 호스트 풀 전체의 리디렉션 정책을 연결 시점에 평가되는 세밀한, 세션 인식 결정으로 대체합니다.
이 기능이 무엇을 하는지, 어떻게 작동하는지, 그리고 왜 올해 가장 중요한 AVD 보안 업데이트 중 하나인지 살펴봅니다.
무엇이 변했는가: 정적에서 동적 리디렉션 통제로
지금까지 Azure Virtual Desktop 리디렉션 정책은 이진적 제한이 있었습니다: 주어진 호스트 풀에 연결하는 모든 사람에게 균일하게 적용되었습니다. 클립보드 복사-붙여넣기가 차단되면, 모든 디바이스의 모든 사용자에게 차단되었습니다 — 컴플라이언스한 기업 랩톱과 개인 BYOD 폰 모두에. 대안 — 관리되는 디바이스와 비관리 디바이스를 위한 별도 호스트 풀 유지 — 은 많은 조직이 비현실적으로 여기는 운영 부담과 사용자 관리 복잡성을 도입했습니다.
컨텍스트 기반 리디렉션은 세션 수준에서 인증 컨텍스트 평가를 도입하여 이를 해결합니다. 이제 IT 관리자는 각 연결의 신뢰 수준에 적응하는 리디렉션 정책을 정의할 수 있습니다:
- 컴플라이언스한, 관리되는 기업 디바이스 — 리디렉션이 정상적으로 허용
- 비관리 BYOD 또는 비컴플라이언스 디바이스 — 리디렉션이 제한 또는 차단
- 다양한 사용자 역할 — 계약자와 파트너는 정규직 직원과 다른 리디렉션 동작을 볼 수 있음
로직은 Microsoft Entra Conditional Access 인증 컨텍스트를 정책 엔진으로 사용하여 각 연결 시도에서 서버 측에서 평가됩니다.
기술 아키텍처
이 기능은 단순한 3계층 워크플로를 통해 작동합니다:
Conditional Access Authentication Context — 관리자가 Microsoft Entra ID에서 Conditional Access 정책을 생성하여, “Require compliant device” 또는 “Require managed device"와 같은 인증 컨텍스트를 정의합니다. 이 정책은 사용자 그룹에 할당되며 인증 컨텍스트가 충족되는 조건을 지정합니다.
Host Pool RDP Property Binding — Azure Virtual Desktop 호스트 풀 속성에서 관리자가 Device redirection 탭에서 개별 리디렉션(클립보드, 드라이브, 프린터, USB)을 구성합니다. 이진 활성화/비활성화 토글 대신, 관리자는 **“Dynamically configure using authentication context”**를 선택하고 적절한 인증 컨텍스트를 선택합니다.
Runtime Evaluation — 사용자가 호스트 풀에 연결할 때, Azure Virtual Desktop이 인증 컨텍스트를 평가합니다. 디바이스가 Conditional Access 정책을 충족하면(예: Intune 등록, 컴플라이언스, 정상), 리디렉션이 허용됩니다. 그렇지 않으면 리디렉션이 제한 또는 차단됩니다.
결과: 두 개의 모집단에 다른 리디렉션 동작을 제공하는 하나의 호스트 풀, 클라이언트 측 구성 불필요, 추가 세션 호스트 관리 불필요.
엔터프라이즈 IT에 왜 중요한가
타협 없는 BYOD
BYOD는 항상 AVD 배포에서 긴장 지점이었습니다. 조직은 유연성과 비용 절감을 위해 개인 디바이스를 지원하고 싶었지만, 비관리 디바이스에서 무제한 리디렉션의 데이터 유출 위험이 받아들일 수 없었습니다. 표준 해결책 — 모두 차단 — 은 더 높은 신뢰를 옵트인할 방법이 없는 관리 디바이스 사용자를 위해 사용자 경험을 저하시켰습니다.
컨텍스트 기반 리디렉션은 이 트레이드오프를 제거합니다. 이제 조직은:
- 기업 관리 디바이스를 위해 클립보드 복사-붙여넣기 허용하면서 BYOD 연결은 차단
- 컴플라이언스 하드웨어를 갖춘 데스크 워커를 위해 USB 리디렉션 활성화하면서 개인 랩톱의 원격 워커는 제한
- 컴플라이언스, 도메인 조인 엔드포인트에서만 드라이브 리디렉션 부여하면서 비관리 개인 디바이스에서는 차단
세션 호스트 이미지의 단일 세트를 갖춘 단일 호스트 풀에서 모두.
Microsoft Zero Trust 전략과의 정렬
이 기능은 Zero Trust 원칙 “결코 신뢰하지 말고, 항상 검증하며, 최소 권한을 강제하라"의 직접적 연장입니다. 이전 AVD 보안 업데이트(2025년 7월 기본 리디렉션 잠금, 토큰 보호 GA)가 정적 강화에 집중한 반면, 컨텍스트 기반 리디렉션은 동적 신뢰 평가를 도입합니다.
또한 이전에 분리되었던 Microsoft 보안 투자의 통합을 나타냅니다:
| 보안 계층 | 이전 접근 | 컨텍스트 기반 리디렉션과 함께 |
|---|---|---|
| ID | Microsoft Entra Conditional Access(인증만) | CA가 세션 동작으로 확장 |
| 디바이스 | Intune 컴플라이언스 정책(디바이스 관리) | 컴플라이언스 상태가 리디렉션 역량을 게이트 |
| 네트워크 | Conditional Access 위치 정책(어디서 연결할 수 있는가?) | 네트워크 신뢰 수준이 무엇을 할 수 있는지에 영향 |
| 세션 | 정적 RDP 속성(모두에게 균일) | 연결별 동적 RDP 평가 |
지원과 운영 부담 감소
운영적 영향을 과소평가해선 안 됩니다. 이전에 관리와 비관리 디바이스를 분할하기 위해 여러 호스트 풀을 운영하던 조직이 이제 통합할 수 있습니다. 호스트 풀 감소는 다음을 의미합니다:
- 이미지 관리 부담 감소
- 더 적은 애플리케이션 그룹을 통한 단순화된 애플리케이션 할당
- 더 낮은 모니터링과 알림 복잡성
- BYOD 사용자를 위한 더 빠른 온보딩
조직이 해야 할 일
1. 현재 리디렉션 전략 검토
기존 리디렉션 정책을 감사하세요. 보안 이유로 리디렉션을 비활성화한 호스트 풀을 식별하고, 컨텍스트 기반 통제가 컴플라이언스 디바이스를 위해 그것들을 재활성화할 수 있는지 평가하세요. 이는 기업과 BYOD 사용자의 혼합 모집단을 서비스하는 호스트 풀에 특히 관련 있습니다.
2. 라이선스가 제대로 있는지 확인
컨텍스트 기반 리디렉션은 Microsoft Entra ID P1 또는 P2에서 이용 가능한 Conditional Access 인증 컨텍스트를 필요로 합니다. 테넌트 라이선스가 구현하려는 정책을 지원하는지 검증하세요.
3. 인증 컨텍스트 아키텍처 계획
기능을 활성화하기 전에 인증 컨텍스트를 설계하세요. 일반적 구조에는 다음이 포함될 수 있습니다:
- “AVD-CompliantDevice” — Intune 등록 + 컴플라이언스 필요
- “AVD-ManagedDevice” — 하이브리드 AD 조인 또는 Entra 조인 필요
- “AVD-TrustedLocation” — 기업 네트워크 또는 신뢰된 IP 범위 필요
각 컨텍스트는 특정 리디렉션 허용에 매핑됩니다. 정책 번식을 피하기 위해 컨텍스트 수를 관리 가능하게 유지하세요.
4. 먼저 검증 호스트 풀에서 구현
프로덕션 롤아웃 전에 검증 또는 파일럿 환경에서 기능을 테스트하세요. 각 리디렉션 유형에 대해 컴플라이언스와 비컴플라이언스 디바이스 모두에서 동작을 검증하세요. Microsoft 문서는 클립보드, 드라이브, 프린터, USB 테스트를 다루는 상세한 검증 가이드를 제공합니다.
5. 사용자와 소통
BYOD 사용자는 기업 디바이스 사용자와 다른 기능을 경험할 것입니다 — 클립보드 제한, 파일 전송 제한, 프린터 가용성 차이. 사전 소통이 혼란과 지원 티켓을 방지합니다. 각 디바이스 유형이 할 수 있는 것과 없는 것을 보여주는 간단한 매트릭스 게시를 고려하세요.
6. 모니터링과 반복
Azure Virtual Desktop Insights를 사용하여 연결 패턴과 리디렉션 동작을 모니터링하세요. 다음을 주시하세요:
- 누락된 리디렉션과 관련된 지원 티켓
- Shadow-IT 우회(사용자가 서드파티 도구 활용)
- 추가 컴플라이언스 경로 또는 예외 처리 요청
변하지 않은 것
- 기존 RDP 속성 구성은 그대로 유지 — 컨텍스트 기반 리디렉션은 리디렉션 유형별로 옵트인
- 2025년 7월 기본 리디렉션 잠금(새 호스트 풀에 대해 기본적으로 리디렉션 비활성화)은 변경 없음 — 이것은 대체가 아닌 보완적 역량
- 클라이언트 측 리디렉션 강제(Group Policy와 Intune 설정 카탈로그)는 여전히 독립적으로 작동하며 서버 측 통제를 재정의하거나 보완 가능
- 비 Windows 클라이언트 — 컨텍스트 기반 리디렉션은 Windows, 웹, Android, iOS, macOS Windows App 클라이언트에 걸쳐 지원
- US 정부를 위한 AVD — 이 기능의 정부 클라우드에서의 가용성 타임라인은 아직 발표되지 않음
- 비용 — 이 기능에 대한 추가 Azure Virtual Desktop 비용은 없음(표준 라이선스와 Conditional Access P1/P2 라이선스 적용)
더 큰 그림
컨텍스트 기반 리디렉션은 Azure Virtual Desktop의 보안 이야기에서 성숙 지점을 나타냅니다. 플랫폼은 보안 여정에서 3단계를 거쳐 발전했습니다:
1단계 — 기준 강화(2024-2025): 기본 리디렉션 잠금(2025년 7월), 강제된 TLS 1.2+, 토큰 보호 GA, 그리고 RDP Shortpath 보안 개선. 이들은 균일하게 적용된 광범위한 정적 보안 통제였습니다.
2단계 — Conditional Access 통합(2025-2026): AVD 연결을 위한 Microsoft Entra 로그인 빈도, 브라우저에서 Windows App을 위한 MAM 지원, 그리고 이제 컨텍스트 기반 리디렉션. Microsoft의 ID와 보안 인프라가 원격 데스크톱 세션 계층으로 점점 더 확장됩니다.
3단계 — 적응형 보안(예상): 궤적은 진정으로 적응적인 세션 보안 — 사용자 행동 이상 탐지, 위험 점수, 위협 인텔리전스 피드를 기반으로 실시간으로 조정되는 정책 — 을 가리킵니다. 컨텍스트 기반 리디렉션은 이 진화의 기반입니다.
AVD를 주요 워크포스 플랫폼으로 평가 중인 조직에게, 이 업데이트는 오랜 우려를 다룹니다: “관리 디바이스의 경험을 저하시키지 않으면서 BYOD 접근을 어떻게 안전하게 처리할까?” 답은 이제 공개 프리뷰로 이용 가능합니다.
Azure Virtual Desktop 변경 탐색에 도움이 필요하신가요? Big Hat Group은 조직이 AVD 환경을 설계, 배포, 관리하도록 돕습니다 — 리디렉션 전략, Conditional Access 정책 아키텍처, BYOD 보안 계획 포함. 문의하세요 — 컨텍스트 기반 리디렉션이 AVD 보안 태세를 어떻게 강화할 수 있는지 평가해 보세요.
Big Hat Group은 Azure Virtual Desktop, 현대 엔드포인트 관리, Microsoft 365 배포를 전문으로 하는 Microsoft 파트너입니다.