다음을 통해 공유

Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성 – Microsoft 등록 앱

  • 아티클

이 문서는 새로운 Microsoft 등록 Azure VPN Client 앱 ID를 사용하여 Microsoft Entra ID 인증을 위한 P2S(지점 및 사이트 간) VPN Gateway를 구성하는 데 도움이 됩니다.

참고 항목

이 문서의 단계는 새로운 Microsoft 등록 Azure VPN Client 앱 ID 및 연결된 대상 그룹 값을 사용하는 Microsoft Entra ID 인증에 적용됩니다. 이 문서는 테넌트에 대해 수동으로 등록된 이전 Azure VPN Client 앱에는 적용되지 않습니다. 수동으로 등록된 Azure VPN Client 단계는 수동으로 등록된 VPN 클라이언트를 사용하여 P2S 구성을 참조하세요.

VPN Gateway는 이제 새로운 Microsoft 등록 앱 ID와 최신 버전의 Azure VPN Client에 대한 해당 대상 그룹 값을 지원합니다. 새 대상 그룹 값을 사용하여 P2S VPN Gateway를 구성하는 경우 Microsoft Entra 테넌트에 대한 Azure VPN Client 앱 수동 등록 프로세스를 건너뜁니다. 앱 ID는 이미 만들어져 있으며 테넌트는 추가 등록 단계 없이 자동으로 사용할 수 있습니다. 이 프로세스는 전역 관리자 역할을 통해 앱에 권한을 부여하거나 권한을 할당할 필요가 없기 때문에 Azure VPN Client를 수동으로 등록하는 것보다 더 안전합니다.

이전에는 Azure VPN Client 앱을 Microsoft Entra 테넌트에 수동으로 등록(통합)해야 했습니다. 클라이언트 앱을 등록하면 Azure VPN Client 애플리케이션의 ID를 나타내는 앱 ID가 만들어지며 전역 관리자 역할을 사용하여 권한을 부여해야 합니다. 애플리케이션 개체 형식 간의 차이점을 더 잘 이해하려면 애플리케이션이 Microsoft Entra ID에 추가되는 방법과 이유를 참조하세요.

가능하면 Azure VPN Client 앱을 테넌트에 수동으로 등록하지 않고 Microsoft에 등록된 Azure VPN Client 앱 ID 및 해당 대상 그룹 값을 사용하여 새 P2S 게이트웨이를 구성하는 것이 좋습니다. Microsoft Entra ID 인증을 사용하는 이전에 구성한 Azure VPN Gateway가 있는 경우 게이트웨이와 클라이언트를 업데이트하여 새로운 Microsoft 등록 앱 ID를 활용할 수 있습니다. Linux 클라이언트를 연결하려면 P2S 게이트웨이를 새 대상 그룹 값으로 업데이트해야 합니다. Linux용 Azure VPN Client는 이전 대상 그룹 값과 호환되지 않습니다. 새 대상 그룹 값을 사용하기 위해 업데이트하려는 기존 P2S 게이트웨이가 있는 경우 P2S VPN Gateway의 대상 그룹 변경을 참조하세요.

고려 사항 및 제한 사항:

  • P2S VPN Gateway는 하나의 대상 그룹 값만 지원할 수 있습니다. 여러 대상 그룹 값을 동시에 지원할 수 없습니다.

  • 현재 최신 Microsoft 등록 앱 ID는 수동으로 등록된 이전 앱만큼 많은 대상 그룹 값을 지원하지 않습니다. Azure Public 또는 사용자 지정 이외의 대상 그룹 값이 필요한 경우 이전에 수동으로 등록한 방법 및 값을 사용합니다.

  • Linux용 Azure VPN Client는 수동으로 등록된 앱에 맞는 이전 대상 그룹 값을 사용하도록 구성된 P2S 게이트웨이와 이전 버전과 호환되지 않습니다. Linux용 Azure VPN Client는 사용자 지정 대상 그룹 값을 지원합니다.

  • Linux용 Azure VPN Client는 다른 Linux 배포판 및 릴리스에서 작동할 수 있지만 Linux용 Azure VPN Client는 다음 릴리스에서만 지원됩니다.

    • Ubuntu 20.04
    • Ubuntu 22.04

  • macOS 및 Windows용 Azure VPN Client는 수동으로 등록된 앱에 맞는 이전 대상 그룹 값을 사용하도록 구성된 P2S 게이트웨이와 이전 버전과 호환됩니다. 이러한 클라이언트에서는 사용자 지정 대상 그룹 값을 사용할 수도 있습니다.

다음 표에는 각 앱 ID에 대해 지원되는 Azure VPN Client 버전과 사용 가능한 해당 대상 그룹 값이 나와 있습니다.

앱 ID 지원되는 대상 그룹 값 지원되는 클라이언트
Microsoft 등록 - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
수동으로 등록됨 - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure 독일: 538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet에서 운영하는 Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
사용자 지정 <custom-app-id> - Linux
- Windows
- macOS

지점 및 사이트 간 워크플로

Microsoft Entra ID 인증을 사용하여 P2S 연결을 성공적으로 구성하려면 일련의 단계가 필요합니다.

이 문서는 다음 작업을 수행하는 데 도움이 됩니다.

  1. 테넌트를 확인합니다.
  2. 적절한 필수 설정으로 VPN Gateway를 구성합니다.
  3. VPN 클라이언트 구성 패키지를 생성하고 다운로드합니다.

다음 단계 섹션의 문서는 다음을 수행하는 데 도움이 됩니다.

  1. 클라이언트 컴퓨터에 Azure VPN Client를 다운로드합니다.
  2. VPN 클라이언트 구성 패키지의 설정을 사용하여 클라이언트를 구성합니다.
  3. 연결.

필수 조건

이 문서에서는 다음 필수 조건을 가정합니다.

  • VPN Gateway

    • 특정 게이트웨이 옵션은 Microsoft Entra ID 인증을 사용하는 P2S VPN Gateway와 호환되지 않습니다. VPN Gateway는 기본 SKU 또는 정책 기반 VPN 형식을 사용할 수 없습니다. 게이트웨이 SKU에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요. VPN 형식에 대한 자세한 내용은 VPN Gateway 설정을 참조하세요.

    • Microsoft Entra ID 인증과 호환되는 작동하는 VPN Gateway가 아직 없는 경우 VPN Gateway 만들기 및 관리 - Azure Portal을 참조하세요. 호환되는 VPN Gateway를 만든 다음 이 문서로 돌아와 P2S 설정을 구성합니다.

  • Microsoft Entra 테넌트

VPN 클라이언트 주소 풀 추가

클라이언트 주소 풀은 사용자가 지정한 개인 IP 주소 범위입니다. 지점 및 사이트 간 VPN을 통해 연결하는 클라이언트는 동적으로 이 범위의 IP 주소를 수신합니다. 연결 원본이 되는 온-프레미스 위치 또는 연결 대상이 되는 VNet과 겹치지 않는 개인 IP 주소 범위를 사용합니다. 여러 프로토콜을 구성하고 SSTP가 프로토콜 중 하나인 경우 구성된 주소 풀이 구성된 프로토콜 간에 동일하게 분할됩니다.

  1. Azure Portal에서 VPN Gateway로 이동합니다.

  2. 게이트웨이 페이지의 왼쪽 창에서 지점 및 사이트 간 구성을 선택합니다.

  3. 지금 구성을 클릭하여 구성 페이지를 엽니다.

    지점 및 사이트 간 구성 페이지 - 주소 풀의 스크린샷

  4. 지점-사이트 간 구성 페이지의 주소 풀 상자에서 사용하려는 개인 IP 주소 범위를 추가합니다. VPN 클라이언트는 동적으로 지정된 범위에서 IP 주소를 수신합니다. 최소 서브넷 마스크는 활성/수동 구성의 경우 29비트이고 활성/활성 구성의 경우 28비트입니다.

  5. 추가 설정을 구성하려면 다음 섹션을 계속 진행합니다.

터널 형식 및 인증 구성

Important

Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.

  1. 인증에 사용할 디렉터리의 테넌트 ID를 찾습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.

  2. 터널 형식 및 인증 값을 구성합니다.

    터널 형식, 인증 유형 및 Microsoft Entra 설정에 대한 설정을 보여 주는 스크린샷.

    다음 값을 구성 합니다.

    • 주소 풀: 클라이언트 주소 풀
    • 터널 유형: OpenVPN(SSL)
    • 인증 유형: Microsoft Entra ID

    Microsoft Entra ID 값의 경우 테넌트, 대상 그룹발급자 값에 대해 다음 지침을 사용합니다. {Microsoft ID Entra 테넌트 ID}를 테넌트 ID로 바꾸고, 이 값을 바꿀 때 예에서 {}을 제거하도록 주의해야 합니다.

    • 테넌트: Microsoft Entra ID 테넌트의 TenantID입니다. 구성에 해당하는 테넌트 ID를 입력합니다. 테넌트 URL 끝에 \(백슬래시)가 없는지 확인합니다. 슬래시는 허용됩니다.

      • Azure Public: https://login.microsoftonline.com/{Microsoft ID Entra Tenant ID}

    • 대상 그룹: Microsoft에 등록된 Azure VPN Client 앱 ID에 해당하는 값입니다. 이 필드에는 사용자 지정 대상 그룹도 지원됩니다.

      • Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • 발급자: 보안 토큰 서비스의 URL 발급자 값의 끝에 후행 슬래시를 포함합니다. 그렇지 않으면 연결이 실패할 수 있습니다. 예시:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. Azure VPN Client 애플리케이션에 대한 관리자 동의 부여를 클릭할 필요가 없습니다. 이 링크는 이전 대상 그룹 값을 사용하는 수동으로 등록된 VPN 클라이언트에만 해당됩니다. Azure Portal에서 페이지가 열립니다.

  4. 설정 구성이 완료되면 페이지 위쪽에서 저장을 클릭합니다.

VPN 클라이언트 프로필 구성 패키지 다운로드

이 섹션에서는 Azure VPN Client 프로필 구성 패키지를 생성하고 다운로드합니다. 이 패키지에는 클라이언트 컴퓨터에서 Azure VPN Client 프로필을 구성하는 데 사용할 수 있는 설정이 포함되어 있습니다.

  1. 지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 클릭합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다.

  2. 클라이언트 구성 zip 파일을 사용할 수 있으면 브라우저에 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.

  3. 다운로드한 zip 파일을 추출합니다.

  4. 압축 해제된 "AzureVPN" 폴더로 이동합니다.

  5. ‘azurevpnconfig.xml’ 파일의 위치를 기록합니다. azurevpnconfig.xml에는 VPN 연결 설정이 포함되어 있습니다. 또한 이메일 또는 다른 방법을 통해 연결해야 하는 모든 사용자에게 이 파일을 배포할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Microsoft Entra 자격 증명이 필요합니다.

Azure VPN Client 구성

다음으로 프로필 구성 패키지를 검사하고, 클라이언트 컴퓨터에 대해 Azure VPN Client를 구성하고, Azure에 연결합니다. 다음 단계 섹션에 나열된 문서를 참조하세요.

다음 단계

Azure VPN Client 구성