사용자 및 그룹에 따라 액세스하기 위해 P2S 구성 - Microsoft Entra 인증

P2S에 대한 인증 방법으로 Microsoft Entra ID를 사용하는 경우 다른 사용자 및 그룹에 대해 서로 다른 액세스를 허용하도록 P2S를 구성할 수 있습니다. 다양한 사용자 세트가 서로 다른 VPN Gateway에 연결할 수 있도록 하려면 AD에 여러 앱을 등록하고 다른 VPN Gateway에 연결하면 됩니다. 이 문서는 P2S Microsoft Entra 인증을 위해 Microsoft Entra 테넌트를 설정하고 Microsoft Entra ID에서 여러 앱을 만들고 등록하여 다른 사용자 및 그룹에 대해 서로 다른 액세스를 허용하도록 도와줍니다. 지점 및 사이트 간 프로토콜 및 인증에 대한 자세한 내용은 지점 및 사이트 간 VPN 정보를 참조하세요.

참고 항목

Microsoft Entra 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다.

Microsoft Entra 테넌트

이 문서의 단계에는 Microsoft Entra 테넌트가 필요합니다. Microsoft Entra 테넌트가 없는 경우 새 테넌트 만들기 문서의 단계를 사용하여 새로 만들 수 있습니다. 디렉터리를 만들 때 다음 필드를 확인하세요.

• 조직 구성 이름
• 초기 도메인 이름

새 Microsoft Entra 테넌트를 만듭니다.

1. 새로 만든 Microsoft Entra 테넌트에 두 개의 계정을 만듭니다. 단계는 새 사용자 추가 또는 삭제를 참조하세요.

   • 전역 관리자 계정
   • 사용자 계정

   전역 관리자 계정은 Azure VPN 앱 등록에 대한 동의 허용에 사용됩니다. 사용자 계정을 사용하여 OpenVPN 인증을 테스트할 수 있습니다.

2. 계정 중 하나에 전역 관리자 역할을 할당합니다. 단계는 Microsoft Entra ID를 사용하여 사용자에게 관리자 및 비관리자 역할 할당을 참조하세요.

Azure VPN 애플리케이션 권한 부여

1. 전역 관리자 역할이 할당된 사용자로 Azure Portal에 로그인합니다.

2. 다음으로 조직에 대한 관리자 동의를 부여합니다. 이렇게 하면 Azure VPN 애플리케이션이 로그인하여 사용자 프로필을 읽을 수 있습니다. 브라우저의 주소 표시줄에서 배포 위치와 관련된 URL을 복사하여 붙여넣습니다.

   공공 사업

   https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
   

   Azure Government

   https://login.microsoftonline.us/common/oauth2/authorize?client_id=51bb15d4-3a4f-4ebf-9dca-40096fe32426&response_type=code&redirect_uri=https://portal.azure.us&nonce=1234&prompt=admin_consent
   

   Microsoft Cloud Germany

   https://login-us.microsoftonline.de/common/oauth2/authorize?client_id=538ee9e6-310a-468d-afef-ea97365856a9&response_type=code&redirect_uri=https://portal.microsoftazure.de&nonce=1234&prompt=admin_consent
   

   21Vianet에서 운영하는 Microsoft Azure

   https://login.chinacloudapi.cn/common/oauth2/authorize?client_id=49f817b6-84ae-4cc0-928c-73f27289b3aa&response_type=code&redirect_uri=https://portal.azure.cn&nonce=1234&prompt=admin_consent
   

   참고 항목

   동의를 제공하기 위해 Microsoft Entra 테넌트의 기본이 아닌 전역 관리자 계정을 사용하는 경우 URL에서 "common"을 Microsoft Entra 테넌트 ID로 바꿉니다. 다른 특정 경우에도 "common"을 테넌트 ID로 바꾸어야 할 수도 있습니다. 테넌트 ID를 찾는 방법에 대한 도움말은 Microsoft Entra 테넌트 ID 찾는 방법을 참조하세요.

3. 메시지가 표시되면 전역 관리자 역할이 있는 계정을 선택합니다.

4. 요청된 사용 권한 페이지에서 수락을 선택합니다.

5. Microsoft Entra ID로 이동합니다. 왼쪽 창에서 엔터프라이즈 애플리케이션을 클릭합니다. Azure VPN이 나열됩니다.

   

추가 애플리케이션 등록

이 섹션에서는 다양한 사용자 및 그룹에 대한 추가 애플리케이션을 등록할 수 있습니다. 단계를 반복하여 보안 요구 사항에 필요한 만큼의 애플리케이션을 만듭니다. 각 애플리케이션은 VPN 게이트웨이에 연결되며 다른 사용자 세트를 가질 수 있습니다. 하나의 애플리케이션만 게이트웨이에 연결할 수 있습니다.

범위 추가

1. Azure Portal에서 Microsoft Entra ID를 선택합니다.

2. 왼쪽 창에서 앱 등록을 선택합니다.

3. 앱 등록 페이지 상단에서 + 신규 등록을 선택합니다.

4. 애플리케이션 등록 페이지에서 이름을 입력합니다. 예를 들어 MarketingVPN입니다. 나중에 언제든지 이름을 변경할 수 있습니다.

   • 원하는 지원 계정 유형을 선택합니다.
   • 페이지의 맨 아래에서 등록을 클릭합니다.

5. 새 앱이 등록되면 왼쪽 창에서 API 노출을 클릭합니다. 그런 다음, + 범위 추가를 클릭합니다.

   • 범위 추가 페이지에서 기본 애플리케이션 ID URI를 그대로 둡니다.
   • 저장 후 계속을 클릭합니다.

6. 페이지가 범위 추가 페이지로 돌아갑니다. 필수 필드를 입력하고 상태가 활성화됨인지 확인합니다.

   

7. 필드 작성이 완료되면 범위 추가를 클릭합니다.

클라이언트 애플리케이션 추가

1. API 노출 페이지에서 + 클라이언트 애플리케이션 추가를 클릭합니다.

2. 클라이언트 애플리케이션 추가 페이지에서 클라이언트 ID에 대해 클라우드에 따라 다음 값을 입력합니다.

   • Azure 공용: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
   • Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
   • Azure 독일: 538ee9e6-310a-468d-afef-ea97365856a9
   • 21Vianet에서 운영하는 Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa

3. 포함할 권한 있는 범위에에 대한 확인란을 선택합니다. 그런 다음, 애플리케이션 추가를 클릭합니다.

   

4. 애플리케이션 추가를 클릭합니다.

애플리케이션(클라이언트) ID 복사

VPN 게이트웨이에서 인증을 사용하도록 설정하는 경우 지점 및 사이트 간 구성에 대한 대상 그룹 값을 입력하려면 애플리케이션(클라이언트) ID 값이 필요합니다.

1. 개요 페이지로 이동합니다.

2. 개요 페이지에서 애플리케이션(클라이언트) ID를 복사하고 나중에 이 값에 액세스할 수 있도록 저장합니다. VPN 게이트웨이를 구성하려면 이 정보가 필요합니다.

   

애플리케이션에 사용자 할당

애플리케이션에 사용자를 할당합니다. 그룹을 지정하는 경우 사용자는 그룹의 직접 구성원이어야 합니다. 중첩된 그룹은 지원되지 않습니다.

1. Microsoft Entra ID로 이동하여 엔터프라이즈 애플리케이션을 선택합니다.
2. 목록에서 방금 등록한 애플리케이션을 찾아서 클릭하여 엽니다.
3. 속성을 클릭합니다. 속성 페이지에서 사용자가 로그인할 수 있도록 활성화됨이 예로 설정되어 있는지 확인합니다. 그렇지 않은 경우 값을 예로 변경합니다.
4. 할당 필요의 경우 값을 예로 변경합니다. 이 설정에 대한 자세한 내용은 애플리케이션 속성을 참조하세요.
5. 변경한 경우 저장을 클릭하여 설정을 저장합니다.
6. 왼쪽 창에서 사용자 및 그룹을 클릭합니다. 사용자 및 그룹 페이지에서 + 사용자/그룹 추가를 클릭하여 할당 추가 페이지를 엽니다.
7. 사용자 및 그룹 아래의 링크를 클릭하여 사용자 및 그룹 페이지를 엽니다. 할당할 사용자 및 그룹을 선택한 다음, 선택을 클릭합니다.
8. 사용자 및 그룹 선택을 완료한 후 할당을 클릭합니다.

게이트웨이에 대한 인증 구성

Important

Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.

이 단계에서는 가상 네트워크 게이트웨이에 대한 P2S Microsoft Entra 인증을 구성합니다.

1. 가상 네트워크 게이트웨이로 이동합니다. 왼쪽 창에서 지점 및 사이트 간 구성을 클릭합니다.

   

   다음 값을 구성 합니다.

   • 주소 풀: 클라이언트 주소 풀
   • 터널 유형: OpenVPN(SSL)
   • 인증 유형: Microsoft Entra ID

   Microsoft Entra ID 값의 경우 테넌트, 대상 그룹 및 발급자 값에 대해 다음 지침을 사용합니다.

   • 테넌트: https://login.microsoftonline.com/{TenantID}
   • 대상 그룹 ID: 애플리케이션(클라이언트) ID에 해당하는 이전 섹션에서 만든 값을 사용합니다. "Azure VPN" Microsoft Entra 엔터프라이즈 앱의 애플리케이션 ID를 사용하지 마세요. 사용자가 만들고 등록한 애플리케이션 ID를 사용하세요. "Azure VPN" Microsoft Entra 엔터프라이즈 앱의 애플리케이션 ID를 사용하는 경우 VPN 게이트웨이(액세스를 설정하는 기본 방법)에 대한 액세스 권한을 사용자가 만들고 등록한 애플리케이션에 할당한 사용자에게만 부여하는 대신 모든 사용자에게 부여합니다.
   • 발급자: https://sts.windows.net/{TenantID} 발급자 값의 경우 끝에 후행 /을 포함해야 합니다.

2. 설정 구성이 완료되면 페이지 위쪽에서 저장을 클릭합니다.

Azure VPN Client 프로필 구성 패키지 다운로드

이 섹션에서는 Azure VPN Client 프로필 구성 패키지를 생성하고 다운로드합니다. 이 패키지에는 클라이언트 컴퓨터에서 Azure VPN Client 프로필을 구성하는 데 사용할 수 있는 설정이 포함되어 있습니다.

1. 지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 클릭합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다.

2. 클라이언트 구성 zip 파일을 사용할 수 있으면 브라우저에 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.

3. 다운로드한 zip 파일을 추출합니다.

4. 압축 해제된 "AzureVPN" 폴더로 이동합니다.

5. ‘azurevpnconfig.xml’ 파일의 위치를 기록합니다. azurevpnconfig.xml에는 VPN 연결 설정이 포함되어 있습니다. 또한 이메일 또는 다른 방법을 통해 연결해야 하는 모든 사용자에게 이 파일을 배포할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Microsoft Entra 자격 증명이 필요합니다. 자세한 내용은 Microsoft Entra 인증에 대한 Azure VPN 클라이언트 프로필 구성 파일을 참조하세요.

다음 단계

• 가상 네트워크에 연결하려면 클라이언트 컴퓨터에서 Azure VPN 클라이언트를 구성해야 합니다. P2S VPN 연결을 위한 VPN 클라이언트 구성을 참조하세요.
• 질문과 대답은 VPN Gateway FAQ의 지점 및 사이트 간 연결 섹션을 참조하세요.