Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성 - 수동으로 등록된 앱
이 문서는 Microsoft Entra ID 인증을 위한 P2S(지점 및 사이트 간) VPN Gateway를 구성하고 Azure VPN Client를 수동으로 등록하는 데 도움이 됩니다. 이 형식의 구성은 OpenVPN 프로토콜 연결에만 지원됩니다.
새로운 Microsoft 등록 VPN 클라이언트 앱에 대한 단계에서 이러한 형식의 P2S VPN Gateway 구성을 만들 수도 있습니다. 최신 버전을 사용하면 Azure VPN Client를 Microsoft Entra 테넌트에 등록하는 단계가 바이패스됩니다. 또한 더 많은 클라이언트 운영 체제를 지원합니다. 그러나 모든 대상 그룹 값이 지원되는 것은 아닙니다. 지점 및 사이트 간 프로토콜 및 인증에 대한 자세한 내용은 VPN Gateway 지점 및 사이트 간 VPN 정보를 참조하세요. 사용자 지정 대상 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 사용자 지정 대상 그룹 만들기 또는 수정을 참조 하세요.
참고 항목
가능하면 새 Microsoft 등록 VPN 클라이언트 앱 지침을 대신 사용하는 것이 좋습니다.
필수 조건
이 문서의 단계에는 Microsoft Entra 테넌트가 필요합니다. Microsoft Entra 테넌트가 없는 경우 새 테넌트 만들기 문서의 단계를 사용하여 새로 만들 수 있습니다. 디렉터리를 만들 때 다음 필드를 확인하세요.
- 조직 구성 이름
- 초기 도메인 이름
기존 P2S 게이트웨이가 이미 있는 경우 이 문서의 단계는 Microsoft Entra ID 인증을 위한 게이트웨이를 구성하는 데 도움이 됩니다. 새 VPN Gateway를 만들 수도 있습니다. 이 문서에는 새 게이트웨이를 만드는 링크가 포함되어 있습니다.
참고 항목
Microsoft Entra ID 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다.
Microsoft Entra 테넌트 사용자 만들기
새로 만든 Microsoft Entra 테넌트에 두 개의 계정을 만듭니다. 단계는 새 사용자 추가 또는 삭제를 참조하세요.
- 클라우드 애플리케이션 관리자 역할
- 사용자 계정
클라우드 애플리케이션 관리자 역할은 Azure VPN 앱 등록에 대한 동의를 부여하는 데 사용됩니다. 사용자 계정을 사용하여 OpenVPN 인증을 테스트할 수 있습니다.
계정 중 하나를 클라우드 애플리케이션 관리자 역할에 할당합니다. 단계에 대해서는 Microsoft Entra ID를 사용하여 사용자에게 관리자 및 비관리자 역할 할당을 참조하세요.
Azure VPN 애플리케이션 권한 부여
클라우드 애플리케이션 관리자 역할이 할당된 사용자로 Azure Portal에 로그인합니다.
다음으로 조직에 대한 관리자 동의를 부여합니다. 이렇게 하면 Azure VPN 애플리케이션이 로그인하여 사용자 프로필을 읽을 수 있습니다. 브라우저의 주소 표시줄에서 배포 위치와 관련된 URL을 복사하여 붙여넣습니다.
공공 사업
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
Azure Government
https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
Microsoft Cloud Germany
https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
21Vianet에서 운영하는 Microsoft Azure
https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
참고 항목
동의를 제공하기 위해 Microsoft Entra 테넌트에 기본이 아닌 클라우드 적용 관리자 계정을 사용하는 경우 "common"을 URL의 Microsoft Entra 테넌트 ID로 바꿉니다. 다른 특정 경우에도 "common"을 테넌트 ID로 바꾸어야 할 수도 있습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.
메시지가 표시되면 클라우드 애플리케이션 관리자 역할이 있는 계정을 선택합니다.
요청된 사용 권한 페이지에서 수락을 선택합니다.
Microsoft Entra ID로 이동합니다. 왼쪽 창에서 엔터프라이즈 애플리케이션을 클릭합니다. Azure VPN이 나열됩니다.
VPN Gateway 구성
Important
Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.
인증에 사용할 디렉터리의 테넌트 ID를 찾습니다. Active Directory 페이지의 속성 섹션에 나열되어 있습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.
작동하는 지점-사이트 간 환경이 아직 없는 경우 지침에 따라 환경을 만듭니다. 지점 및 사이트 간 VPN 만들기를 참조하여 지점 및 사이트 간 VPN 게이트웨이를 만듭니다. VPN Gateway를 만들 때 OpenVPN에 대해 기본 SKU가 지원되지 않습니다.
가상 네트워크 게이트웨이로 이동합니다. 왼쪽 창에서 지점 및 사이트 간 구성을 클릭합니다.
다음 값을 구성 합니다.
- 주소 풀: 클라이언트 주소 풀
- 터널 유형: OpenVPN(SSL)
- 인증 유형: Microsoft Entra ID
Microsoft Entra ID 값의 경우 테넌트, 대상 그룹 및 발급자 값에 대해 다음 지침을 사용합니다. {TenantID}를 테넌트 ID로 바꾸고, 이 값을 바꿀 때 예에서 {}을 제거하도록 주의해야 합니다.
테넌트: Microsoft Entra 테넌트에 대한 TenantID입니다. 구성에 해당하는 테넌트 ID를 입력합니다. 테넌트 URL 끝에
\
(백슬래시)가 없는지 확인합니다. 슬래시는 허용됩니다.- Azure 공용 AD:
https://login.microsoftonline.com/{TenantID}
- Azure Government AD:
https://login.microsoftonline.us/{TenantID}
- Azure 독일 AD:
https://login-us.microsoftonline.de/{TenantID}
- 중국 21Vianet AD:
https://login.chinacloudapi.cn/{TenantID}
- Azure 공용 AD:
대상 그룹: “Azure VPN”Microsoft Entra Enterprise App의 애플리케이션 ID입니다.
- Azure Public:
41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government:
51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure 독일:
538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet에서 운영하는 Microsoft Azure:
49f817b6-84ae-4cc0-928c-73f27289b3aa
- Azure Public:
발급자: 보안 토큰 서비스의 URL 발급자 값의 끝에 후행 슬래시를 포함합니다. 그렇지 않으면 연결이 실패할 수 있습니다. 예시:
https://sts.windows.net/{TenantID}/
설정 구성이 완료되면 페이지 위쪽에서 저장을 클릭합니다.
Azure VPN Client 프로필 구성 패키지 다운로드
이 섹션에서는 Azure VPN Client 프로필 구성 패키지를 생성하고 다운로드합니다. 이 패키지에는 클라이언트 컴퓨터에서 Azure VPN Client 프로필을 구성하는 데 사용할 수 있는 설정이 포함되어 있습니다.
지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 클릭합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다.
클라이언트 구성 zip 파일을 사용할 수 있으면 브라우저에 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.
다운로드한 zip 파일을 추출합니다.
압축 해제된 "AzureVPN" 폴더로 이동합니다.
‘azurevpnconfig.xml’ 파일의 위치를 기록합니다. azurevpnconfig.xml에는 VPN 연결 설정이 포함되어 있습니다. 또한 이메일 또는 다른 방법을 통해 연결해야 하는 모든 사용자에게 이 파일을 배포할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Microsoft Entra ID 자격 증명이 필요합니다.
다음 단계
- 가상 네트워크에 연결하려면 클라이언트 컴퓨터에서 Azure VPN 클라이언트를 구성해야 합니다. P2S VPN 연결을 위한 VPN 클라이언트 구성- Windows 또는 P2S VPN 연결을 위한 VPN 클라이언트 구성- macOS를 참조하세요.
- 질문과 대답은 VPN Gateway FAQ의 지점 및 사이트 간 연결 섹션을 참조하세요.