Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성

  • 아티클

이 문서는 Microsoft Entra ID 인증을 위한 Microsoft Entra 테넌트 및 P2S(지점 및 사이트 간) VPN Gateway 설정을 구성하는 데 도움이 됩니다. 지점 및 사이트 간 프로토콜 및 인증에 대한 자세한 내용은 VPN Gateway 지점 및 사이트 간 VPN 정보를 참조하세요. Microsoft Entra ID 인증을 사용하여 인증하려면 지점 및 사이트 간 구성에 OpenVPN 터널 형식을 포함해야 합니다.

참고 항목

Microsoft Entra 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다.

필수 조건

이 문서의 단계에는 Microsoft Entra 테넌트가 필요합니다. Microsoft Entra 테넌트가 없는 경우 새 테넌트 만들기 문서의 단계를 사용하여 새로 만들 수 있습니다. 디렉터리를 만들 때 다음 필드를 확인하세요.

  • 조직 구성 이름
  • 초기 도메인 이름

기존 P2S 게이트웨이가 이미 있는 경우 이 문서의 단계는 Microsoft Entra ID 인증을 위한 게이트웨이를 구성하는 데 도움이 됩니다. 새 VPN Gateway를 만들 수도 있습니다. 이 문서에는 새 게이트웨이를 만드는 링크가 포함되어 있습니다.

Microsoft Entra 테넌트 사용자 만들기

  1. 새로 만든 Microsoft Entra 테넌트에 두 개의 계정을 만듭니다. 단계는 새 사용자 추가 또는 삭제를 참조하세요.

    • 전역 관리자 계정
    • 사용자 계정

    전역 관리자 계정은 Azure VPN 앱 등록에 대한 동의 허용에 사용됩니다. 사용자 계정을 사용하여 OpenVPN 인증을 테스트할 수 있습니다.

  2. 계정 중 하나에 전역 관리자 역할을 할당합니다. 단계에 대해서는 Microsoft Entra ID를 사용하여 사용자에게 관리자 및 비관리자 역할 할당을 참조하세요.

Azure VPN 애플리케이션 권한 부여

  1. 전역 관리자 역할이 할당된 사용자로 Azure Portal에 로그인합니다.

  2. 다음으로 조직에 대한 관리자 동의를 부여합니다. 이렇게 하면 Azure VPN 애플리케이션이 로그인하여 사용자 프로필을 읽을 수 있습니다. 브라우저의 주소 표시줄에서 배포 위치와 관련된 URL을 복사하여 붙여넣습니다.

    공공 사업

    https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent

    Azure Government

    https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent

    Microsoft Cloud Germany

    https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent

    21Vianet에서 운영하는 Microsoft Azure

    https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent

    참고 항목

    동의를 제공하기 위해 Microsoft Entra 테넌트의 기본이 아닌 전역 관리자 계정을 사용하는 경우 URL에서 "common"을 Microsoft Entra 테넌트 ID로 바꿉니다. 다른 특정 경우에도 "common"을 테넌트 ID로 바꾸어야 할 수도 있습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.

  3. 메시지가 표시되면 전역 관리자 역할이 있는 계정을 선택합니다.

  4. 요청된 사용 권한 페이지에서 수락을 선택합니다.

  5. Microsoft Entra ID로 이동합니다. 왼쪽 창에서 엔터프라이즈 애플리케이션을 클릭합니다. Azure VPN이 나열됩니다.

    Azure VPN이 나열된 엔터프라이즈 애플리케이션 페이지의 스크린샷.

VPN Gateway 구성

Important

Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.

  1. 인증에 사용할 디렉터리의 테넌트 ID를 찾습니다. Active Directory 페이지의 속성 섹션에 나열되어 있습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.

  2. 작동하는 지점-사이트 간 환경이 아직 없는 경우 지침에 따라 환경을 만듭니다. 지점 및 사이트 간 VPN 만들기를 참조하여 지점 및 사이트 간 VPN 게이트웨이를 만듭니다. VPN Gateway를 만들 때 OpenVPN에 대해 기본 SKU가 지원되지 않습니다.

  3. 가상 네트워크 게이트웨이로 이동합니다. 왼쪽 창에서 지점 및 사이트 간 구성을 클릭합니다.

    터널 형식, 인증 유형 및 Microsoft Entra 설정에 대한 설정을 보여 주는 스크린샷.

    다음 값을 구성 합니다.

    • 주소 풀: 클라이언트 주소 풀
    • 터널 유형: OpenVPN(SSL)
    • 인증 유형: Microsoft Entra ID

    Microsoft Entra ID 값의 경우 테넌트, 대상 그룹발급자 값에 대해 다음 지침을 사용합니다. {TenantID}를 테넌트 ID로 바꾸고, 이 값을 바꿀 때 예에서 {}을 제거하도록 주의해야 합니다.

    • 테넌트: Microsoft Entra 테넌트에 대한 TenantID입니다. 구성에 해당하는 테넌트 ID를 입력합니다. 테넌트 URL 끝에 \(백슬래시)가 없는지 확인합니다. 슬래시는 허용됩니다.

      • Azure 공용 AD: https://login.microsoftonline.com/{TenantID}
      • Azure Government AD: https://login.microsoftonline.us/{TenantID}
      • Azure 독일 AD: https://login-us.microsoftonline.de/{TenantID}
      • 중국 21Vianet AD: https://login.chinacloudapi.cn/{TenantID}

    • 대상 그룹: “Azure VPN”Microsoft Entra Enterprise App의 애플리케이션 ID입니다.

      • Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
      • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
      • Azure 독일: 538ee9e6-310a-468d-afef-ea97365856a9
      • 21Vianet에서 운영하는 Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa

    • 발급자: 보안 토큰 서비스의 URL 발급자 값의 끝에 후행 슬래시를 포함합니다. 그렇지 않으면 연결이 실패할 수 있습니다. 예시:

      • https://sts.windows.net/{TenantID}/

  4. 설정 구성이 완료되면 페이지 위쪽에서 저장을 클릭합니다.

Azure VPN Client 프로필 구성 패키지 다운로드

이 섹션에서는 Azure VPN Client 프로필 구성 패키지를 생성하고 다운로드합니다. 이 패키지에는 클라이언트 컴퓨터에서 Azure VPN Client 프로필을 구성하는 데 사용할 수 있는 설정이 포함되어 있습니다.

  1. 지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 클릭합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다.

  2. 클라이언트 구성 zip 파일을 사용할 수 있으면 브라우저에 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.

  3. 다운로드한 zip 파일을 추출합니다.

  4. 압축 해제된 "AzureVPN" 폴더로 이동합니다.

  5. ‘azurevpnconfig.xml’ 파일의 위치를 기록합니다. azurevpnconfig.xml에는 VPN 연결 설정이 포함되어 있습니다. 또한 이메일 또는 다른 방법을 통해 연결해야 하는 모든 사용자에게 이 파일을 배포할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Microsoft Entra 자격 증명이 필요합니다. 자세한 내용은 Microsoft Entra 인증에 대한 Azure VPN Gateway 프로필 구성 파일을 참조하세요.

다음 단계