Microsoft Entra ID에서 애플리케이션 프록시를 통해 원격 액세스를 위한 온-프레미스 애플리케이션 추가

Microsoft Entra ID에는 사용자가 Microsoft Entra 계정으로 로그인하여 온-프레미스 애플리케이션에 액세스할 수 있는 애플리케이션 프록시 서비스가 있습니다. 애플리케이션 프록시에 대한 자세한 내용은 애플리케이션 프록시란?을 참조하세요. 이 자습서에서는 애플리케이션 프록시와 함께 사용할 환경을 준비합니다. 환경이 준비되면 Microsoft Entra 관리 센터를 사용하여 테넌트에 온-프레미스 애플리케이션을 추가합니다.

이 자습서에서는 다음을 수행합니다.

• Windows 서버에 커넥터를 설치 및 확인하고 애플리케이션 프록시에 등록합니다.
• Microsoft Entra 테넌트에 온-프레미스 애플리케이션을 추가합니다.
• 테스트 사용자가 Microsoft Entra 계정을 사용하여 애플리케이션에 로그온할 수 있는지 확인합니다.

필수 조건

Microsoft Entra ID에 온-프레미스 애플리케이션을 추가하려면 다음이 필요합니다.

• Microsoft Entra ID P1 또는 P2 구독
• 애플리케이션 관리자 계정
• 온-프레미스 디렉터리를 사용하여 동기화된 사용자 ID 집합입니다. 또는 Microsoft Entra 테넌트에서 직접 만듭니다. ID 동기화를 사용하면 Microsoft Entra ID가 애플리케이션 프록시 게시된 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자를 미리 인증할 수 있습니다. 동기화는 SSO(Single Sign-On)를 수행하는 데 필요한 사용자 식별자 정보도 제공합니다.
• Microsoft Entra의 애플리케이션 관리에 대한 이해는 Microsoft Entra에서 엔터프라이즈 애플리케이션 보기를 참조 하세요.
• SSO(Single Sign-On)에 대한 이해는 Single Sign-On 이해(Understanding Single Sign-On)를 참조하세요.

Microsoft Entra 프라이빗 네트워크 커넥터 설치 및 확인

애플리케이션 프록시는 Microsoft Entra 개인 액세스 동일한 커넥터를 사용합니다. 커넥터를 Microsoft Entra 프라이빗 네트워크 커넥터라고 합니다. 커넥터를 설치하고 확인하는 방법을 알아보려면 커넥터를 구성하는 방법을 참조 하세요.

일반적인 설명

Microsoft Entra 애플리케이션 프록시 엔드포인트에 대한 공용 DNS 레코드는 A 레코드를 가리키는 연결된 CNAME 레코드입니다. 이러한 방식으로 레코드를 설정하면 내결함성과 유연성이 보장됩니다. Microsoft Entra 프라이빗 네트워크 커넥터는 항상 할 일기본 접미사 또는 *.servicebus.windows.net.를 사용하여 호스트 이름에 액세스합니다*.msappproxy.net. 그러나 이름 확인 중에 CNAME 레코드에는 호스트 이름 및 접미사가 다른 DNS 레코드가 포함될 수 있습니다. 이러한 차이로 인해 디바이스(설정 - 커넥터 서버, 방화벽, 아웃바운드 프록시에 따라)에서 체인의 모든 레코드를 확인하고 확인된 IP 주소에 대한 연결을 허용할 수 있는지 확인해야 합니다. 체인의 DNS 레코드는 수시로 변경될 수 있으므로 목록 DNS 레코드를 제공할 수 없습니다.

다른 지역에 커넥터를 설치하는 경우 각 커넥터 그룹에서 가장 가까운 애플리케이션 프록시 클라우드 서비스 지역을 선택하여 트래픽을 최적화해야 합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용하여 트래픽 흐름 최적화를 참조하세요.

조직에서 프록시 서버를 사용하여 인터넷에 연결하는 경우 애플리케이션 프록시에 대해 구성해야 합니다. 자세한 내용은 기존 온-프레미스 프록시 서버로 작업을 참조하세요.

Microsoft Entra ID에 온-프레미스 앱 추가

Microsoft Entra ID에 온-프레미스 애플리케이션을 추가합니다.

1. 최소한 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>애플리케이션>엔터프라이즈 애플리케이션으로 이동합니다.

3. 새 애플리케이션을 선택합니다.

4. 온-프레미스 애플리케이션 섹션에서 페이지 중간쯤에 나타나는 온-프레미스 애플리케이션 추가 단추를 선택합니다. 또는 페이지 맨 위에서 사용자 고유의 애플리케이션 만들기를 선택한 다음, 온-프레미스 애플리케이션 에 대한 보안 원격 액세스를 위해 애플리케이션 프록시 구성을 선택할 수 있습니다.

5. 사용자 고유의 온-프레미스 애플리케이션 추가 섹션에서 애플리케이션에 대해 다음 정보를 제공합니다.

   필드	설명
   이름	내 앱 및 Microsoft Entra 관리 센터에 표시되는 애플리케이션의 이름입니다.
   유지 관리 모드	유지 관리 모드를 사용하도록 설정하고 애플리케이션에 대한 모든 사용자의 액세스를 일시적으로 사용하지 않도록 설정하려면 선택합니다.
   내부 URL	프라이빗 네트워크 내부에서 애플리케이션에 액세스하기 위한 URL입니다. 나머지 서버는 게시되지 않은 반면 게시할 백 앤드 서버에 특정 경로를 제공할 수 있습니다. 이렇게 하면 다른 앱과 동일한 서버에 여러 사이트를 게시하고 각 사이트에 고유한 이름과 액세스 규칙을 부여할 수 있습니다. 경로를 게시하는 경우 애플리케이션에 필요한 이미지, 스크립트 및 스타일 시트를 모두 포함하는지 확인합니다. 예를 들어 앱이 https://yourapp/app에 있고 https://yourapp/media에 있는 이미지를 사용하는 경우 경로로 https://yourapp/을 게시해야 합니다. 이 내부 URL은 사용자에게 표시되는 방문 페이지일 필요가 없습니다. 자세한 내용은 게시된 앱에 대해 사용자 지정 홈페이지 설정을 참조하세요.
   외부 URL	사용자가 네트워크 외부에서 앱에 액세스하기 위한 주소입니다. 기본 애플리케이션 프록시를 사용하지 않으려면 기본 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 do기본s에 대해 읽어봅니다.
   사전 인증	애플리케이션 프록시가 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자를 확인하는 방법입니다. Microsoft Entra ID - 애플리케이션 프록시는 디렉터리 및 애플리케이션에 대한 권한을 인증하는 Microsoft Entra ID로 로그인하도록 사용자를 리디렉션합니다. 조건부 액세스 및 다단계 인증과 같은 Microsoft Entra 보안 기능을 활용할 수 있도록 이 옵션을 기본값으로 유지하는 것이 좋습니다. Microsoft Entra ID는 클라우드용 Microsoft Defender 앱을 통해 애플리케이션을 모니터링하는 데 필요합니다. 통과 - 사용자는 애플리케이션에 액세스하기 위해 Microsoft Entra ID에 대해 인증할 필요가 없습니다. 백 엔드에 대한 인증 요구 사항은 여전히 설정할 수 있습니다.
   커넥터 그룹	커넥터는 애플리케이션에 대한 원격 액세스를 처리하고, 커넥터 그룹은 지역, 네트워크 또는 용도별로 커넥터와 앱을 구성하는 데 도움을 줍니다. 아직 만든 커넥터 그룹이 없는 경우 앱이 Default(기본값)로 할당됩니다. 애플리케이션에서 연결에 Websocket을 사용하는 경우 그룹의 모든 커넥터는 버전 1.5.612.0 이상이어야 합니다.

6. 필요한 경우 추가 설정을 구성합니다. 대부분의 애플리케이션에서는 다음과 같은 설정을 기본 상태로 유지해야 합니다.

   필드	설명
   백 엔드 애플리케이션 시간 제한	애플리케이션의 인증 및 연결 속도가 느린 경우에만 이 값을 Long으로 설정합니다. 기본적으로 백 엔드 애플리케이션 시간 제한의 길이는 85초입니다. 길게 설정하면 백 엔드 시간 제한이 180초로 증가합니다.
   HTTP 전용 쿠키 사용	애플리케이션 프록시 쿠키에 HTTP 응답 헤더에 HTTPOnly 플래그를 포함하도록 선택합니다. 원격 데스크톱 서비스를 사용하는 경우 옵션을 선택하지 않은 상태로 유지합니다.
   영구적 쿠키 사용	옵션을 선택하지 않은 상태로 유지합니다. 이 설정은 프로세스 간에 쿠키를 공유할 수 없는 애플리케이션에만 사용합니다. 쿠키 설정에 대한 자세한 내용은 Microsoft Entra ID에서 온-프레미스 애플리케이션에 액세스하기 위한 쿠키 설정을 참조하세요.
   헤더의 URL 변환	애플리케이션이 인증 요청에 원래 호스트 헤더를 요구하지 않는 한 이 옵션을 선택된 상태로 유지합니다.
   애플리케이션 본문의 URL 변환	HTML 링크가 다른 온-프레미스 애플리케이션에 하드 코딩되고 사용자 지정 do기본s를 사용하지 않는 한 옵션을 선택하지 않은 상태로 유지합니다. 자세한 내용은 애플리케이션 프록시를 사용한 링크 변환을 참조하세요. 클라우드용 Microsoft Defender 앱을 사용하여 이 애플리케이션을 모니터링하려는 경우 선택합니다. 자세한 내용은 클라우드용 Microsoft Defender Apps 및 Microsoft Entra ID를 사용하여 실시간 애플리케이션 액세스 모니터링 구성을 참조하세요.
   백 엔드 TLS/SSL 인증서 유효성 검사	애플리케이션에 대한 백 엔드 TLS/SSL 인증서 유효성 검사를 사용하도록 설정하려면 선택합니다.

7. 추가를 선택합니다.

애플리케이션 테스트

애플리케이션이 올바르게 추가되었는지 테스트할 준비가 되었습니다. 다음 단계에서 애플리케이션에 사용자 계정을 추가하고, 로그인을 시도합니다.

테스트할 사용자 추가

애플리케이션에 사용자를 추가하기 전에 사용자 계정에 이미 회사 네트워크 내부에서 애플리케이션에 액세스할 사용 권한이 있는지 확인합니다.

테스트 사용자를 추가히려면:

1. 엔터프라이즈 애플리케이션을 선택한 후 테스트하려는 애플리케이션을 선택합니다.
2. 시작을 선택한 후 테스트할 사용자 지정을 선택합니다.
3. 사용자 및 그룹에서 사용자 추가를 선택합니다.
4. 할당 추가에서 사용자 및 그룹을 선택합니다. 사용자 및 그룹 섹션이 나타납니다.
5. 추가하려는 계정을 선택합니다.
6. 선택을 선택한 후 할당을 선택합니다.

로그온 테스트

애플리케이션에 대한 인증을 테스트하려면 다음을 수행합니다.

1. 테스트하려는 애플리케이션에서 애플리케이션 프록시를 선택합니다.
2. 페이지 맨 위에서 애플리케이션 테스트를 선택하여 애플리케이션에서 테스트를 실행하고 구성 문제가 있는지 확인합니다.
3. 애플리케이션에 대한 로그인을 테스트하려면 먼저 애플리케이션을 시작한 다음, 진단 보고서를 다운로드하여 검색된 문제에 대한 해결 지침을 검토하세요.

문제 해결은 애플리케이션 프록시 문제 및 오류 메시지 문제를 참조 하세요.

리소스 정리

완료되면 이 자습서에서 만든 리소스를 삭제해야 합니다.

문제 해결

일반적인 문제 및 문제를 해결하는 방법에 대해 알아봅니다.

애플리케이션 만들기/URL 설정

애플리케이션을 수정하는 방법에 대한 정보 및 제안에 대한 오류 세부 정보를 확인합니다. 대부분의 오류 메시지에는 제안 수정이 포함되어 있습니다. 일반적인 오류를 방지하려면 다음을 확인합니다.

• 애플리케이션 프록시 애플리케이션을 만들 수 있는 권한이 있는 관리자입니다.
• 내부 URL이 고유해야 합니다.
• 외부 URL이 고유해야 합니다.
• URL이 http 또는 https로 시작하고 "/"로 끝나야 합니다.
• URL은 IP 주소가 아닌 도메인 이름이어야 합니다.

애플리케이션을 만들 때 오류 메시지가 오른쪽 상단 모서리에 표시됩니다. 알림 아이콘을 선택하여 오류 메시지를 볼 수도 있습니다.

사용자 지정 도메인에 대한 인증서 업로드

사용자 지정 도메인을 사용하면 외부 URL의 도메인을 지정할 수 있습니다. 사용자 지정 도메인을 사용하려면 해당 도메인의 인증서를 업로드해야 합니다. 사용자 지정 도메인 및 인증서 사용에 대한 자세한 내용은 Microsoft Entra 애플리케이션 프록시에서 사용자 지정 도메인 작업을 참조하세요.

인증서를 업로드하는 데 문제가 발생하는 경우 포털에서 인증서 문제에 대한 추가 정보를 찾아보세요. 인증서의 일반적인 문제는 다음과 같습니다.

• 만료된 인증서
• 자체 서명된 인증서
• 프라이빗 키가 없는 인증서

인증서를 업로드하려고 할 때 오류 메시지가 오른쪽 상단 모서리에 표시됩니다. 알림 아이콘을 선택하여 오류 메시지를 볼 수도 있습니다.

다음 단계

• 전역 보안 액세스란?