시나리오: 사용자 및 그룹에 따라 P2S 액세스 구성 - Microsoft Entra ID 인증

이 문서에서는 Microsoft Entra ID 인증을 사용하는 P2S(지점 및 사이트 연결) VPN 연결에 대한 사용자 및 그룹을 기반으로 액세스를 구성하는 시나리오를 안내합니다. 이 시나리오에서는 지정된 권한이 있는 여러 사용자 지정 대상 앱 ID 및 여러 P2S VPN 게이트웨이를 사용하여 이러한 유형의 액세스를 구성합니다. P2S 프로토콜 및 인증에 대한 자세한 내용은 지점 및 사이트 간 VPN 정보를 참조하세요.

이 시나리오에서 사용자는 특정 P2S VPN 게이트웨이에 연결할 수 있는 권한에 따라 다른 액세스 권한을 갖습니다. 대략적으로 워크플로는 다음과 같습니다.

1. Microsoft Entra ID 인증을 사용하여 P2S VPN에 대해 구성하려는 각 P2S VPN 게이트웨이에 대한 사용자 지정 앱을 만듭니다. 사용자 지정 앱 ID를 기록해 둡니다.
2. 사용자 지정 앱 구성에 Azure VPN 클라이언트 애플리케이션을 추가합니다.
3. 사용자 지정 앱당 사용자 및 그룹 권한을 할당합니다.
4. P2S VPN Microsoft Entra ID 인증을 위해 게이트웨이를 구성하는 경우 해당 게이트웨이를 통해 연결할 수 있도록 허용하려는 사용자와 연결된 Microsoft Entra ID 테넌트 및 사용자 지정 앱 ID를 지정합니다.
5. 클라이언트 컴퓨터의 Azure VPN 클라이언트 프로필은 사용자가 연결할 수 있는 권한이 있는 P2S VPN 게이트웨이의 설정을 사용하여 구성됩니다.
6. 사용자가 연결되면 인증되며 계정에 권한이 있는 P2S VPN 게이트웨이에만 연결할 수 있습니다.

고려 사항:

• VPN Gateway가 하나만 있는 경우 이러한 유형의 세분화된 액세스를 만들 수 없습니다.
• Microsoft Entra ID 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다. *사용자가 권한이 있는 해당 게이트웨이에 연결하도록 올바른 클라이언트 프로필 패키지 구성 설정을 사용하여 각 Azure VPN 클라이언트를 구성합니다.
• 이 연습에서 구성 단계를 사용하는 경우 첫 번째 사용자 지정 앱 ID 및 게이트웨이에 대한 단계를 계속 실행한 다음, 각 후속 사용자 지정 앱 ID 및 게이트웨이에 대해 반복하는 것이 가장 쉬울 수 있습니다.

필수 조건

• 이 시나리오에는 Microsoft Entra 테넌트가 필요합니다. 테넌트가 아직 없는 경우 Microsoft Entra ID에 새 테넌트를 만듭니다. 테넌트 ID를 기록해 둡니다. 이 값은 Microsoft Entra ID 인증을 위해 P2S VPN Gateway를 구성할 때 필요합니다.

• 이 시나리오에는 여러 VPN 게이트웨이가 필요합니다. 게이트웨이당 하나의 사용자 지정 앱 ID만 할당할 수 있습니다.

  • Microsoft Entra ID 인증 과 호환되는 두 개 이상의 작동하는 VPN 게이트웨이가 아직 없는 경우 VPN 게이트웨이 만들기 및 관리 - Azure Portal 을 참조하여 VPN 게이트웨이를 만듭니다.
  • 일부 게이트웨이 옵션은 Microsoft Entra ID 인증을 사용하는 P2S VPN Gateway와 호환되지 않습니다. 기본 SKU 및 정책 기반 VPN 형식은 지원되지 않습니다. 게이트웨이 SKU에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요. VPN 형식에 대한 자세한 내용은 VPN Gateway 설정을 참조하세요.

애플리케이션 등록

VPN Gateway를 구성할 때 지정된 사용자 지정 대상 그룹 앱 ID 값을 만들려면 애플리케이션을 등록해야 합니다. 애플리케이션을 등록합니다. 단계는 애플리케이션 등록을 참조 하세요.

• 이름 필드는 사용자 연결입니다. 이 사용자 지정 애플리케이션을 통해 연결하는 사용자 또는 그룹을 설명하는 직관적인 항목을 사용합니다.
• 나머지 설정의 경우 문서에 표시된 설정을 사용합니다.

범위 추가

범위를 추가합니다. 범위를 추가하는 것은 사용자 및 그룹에 대한 권한을 구성하는 시퀀스의 일부입니다. 단계는 API 노출 및 범위 추가를 참조하세요. 나중에 이 범위에 사용자 및 그룹 권한을 할당합니다.

• Marketing-VPN-Users와 같은 범위 이름 필드에 직관적인 항목을 사용합니다. 필요에 따라 나머지 필드를 채웁니다.
• 상태의 경우 [사용]을 선택합니다.

Azure VPN Client 애플리케이션 추가

Azure VPN 클라이언트 애플리케이션 클라이언트 ID 를 추가하고 권한 있는 범위를 지정합니다. 애플리케이션을 추가할 때 가능한 경우 Azure Public c632b3df-fb67-4d84-bdcf-b95ad541b5c8 에 대해 Microsoft에 등록된 Azure VPN 클라이언트 앱 ID를 사용하는 것이 좋습니다. 이 앱 값에는 전역 동의가 있으므로 수동으로 등록할 필요가 없습니다. 단계는 Azure VPN 클라이언트 애플리케이션 추가를 참조하세요.

Azure VPN 클라이언트 애플리케이션을 추가한 후 개요 페이지로 이동하여 애플리케이션(클라이언트) ID를 복사하여 저장합니다. P2S VPN Gateway를 구성하려면 이 정보가 필요합니다.

사용자 및 그룹 할당

게이트웨이에 연결하는 사용자 및/또는 그룹에 권한을 할당합니다. 그룹을 지정하는 경우 사용자는 그룹의 직접 구성원이어야 합니다. 중첩된 그룹은 지원되지 않습니다.

1. Microsoft Entra ID로 이동하여 엔터프라이즈 애플리케이션을 선택합니다.
2. 목록에서 등록한 애플리케이션을 찾아서 클릭하여 엽니다.
3. 관리를 확장한 다음 속성을 선택합니다. 속성 페이지에서 사용자가 로그인할 수 있도록 활성화됨이 예로 설정되어 있는지 확인합니다. 그렇지 않은 경우 값을 예로 변경합니다.
4. 할당 필요의 경우 값을 예로 변경합니다. 이 설정에 대한 자세한 내용은 애플리케이션 속성을 참조하세요.
5. 변경한 경우 페이지 맨 위에 있는 저장을 선택합니다.
6. 왼쪽 창에서 사용자 및 그룹을 선택합니다. 사용자 및 그룹 페이지에서 + 사용자/그룹 추가를 선택하여 할당 추가 페이지를 엽니다.
7. 사용자 및 그룹 아래의 링크를 클릭하여 사용자 및 그룹 페이지를 엽니다. 할당할 사용자 및 그룹을 선택한 다음, 선택을 클릭합니다.
8. 사용자 및 그룹 선택을 완료한 후 할당을 선택합니다.

P2S VPN 구성

이전 섹션의 단계를 완료한 후에는 Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성( Microsoft 등록 앱)을 계속 진행합니다.

• 각 게이트웨이를 구성할 때 적절한 사용자 지정 대상 그룹 앱 ID를 연결합니다.
• Azure VPN 클라이언트 구성 패키지를 다운로드하여 특정 게이트웨이에 연결할 수 있는 권한이 있는 사용자를 위해 Azure VPN 클라이언트를 구성합니다.

Azure VPN Client 구성

Azure VPN 클라이언트 프로필 구성 패키지를 사용하여 각 사용자의 컴퓨터에서 Azure VPN 클라이언트를 구성합니다. 클라이언트 프로필이 사용자가 연결하려는 P2S VPN 게이트웨이에 해당하는지 확인합니다.

다음 단계

• Microsoft Entra ID 인증을 위한 P2S VPN Gateway(Microsoft 등록 앱)를 구성합니다.
• 가상 네트워크에 연결하려면 클라이언트 컴퓨터에서 Azure VPN 클라이언트를 구성해야 합니다. P2S VPN 연결을 위한 VPN 클라이언트 구성을 참조하세요.
• 질문과 대답은 VPN Gateway FAQ의 지점 및 사이트 간 연결 섹션을 참조하세요.