Microsoft Global Secure Access 개념 증명 지침: Microsoft Entra Internet Access 구성

이 문서 시리즈의 PoC(개념 증명) 지침은 Microsoft Entra Internet Access, Microsoft Entra Private Access 및 Microsoft 트래픽 프로필을 사용하여 Microsoft Global Secure Access를 학습, 배포 및 테스트하는 데 도움이 됩니다.

자세한 지침은 Microsoft Global Secure Access 개념 증명 지침소개로 시작하고, Microsoft Entra Private Access 구성하기계속 진행하며, 이 문서로 마무리됩니다.

이 문서는 보안 웹 게이트웨이 역할을 하도록 Microsoft Entra Internet Access를 구성하는 데 도움이 됩니다. 이 솔루션을 사용하면 인터넷 트래픽을 허용하거나 차단하도록 웹 콘텐츠를 필터링하는 정책을 구성할 수 있습니다. 그런 다음 조건부 액세스 정책을 통해 사용자에게 적용되는 보안 프로필로 해당 정책을 그룹화할 수 있습니다.

메모

우선 순위 순서로 규칙 및 정책을 적용합니다. 자세한 지침은 정책 처리 논리참조하세요.

Microsoft Entra Internet Access 구성

Microsoft Entra Internet Access를 구성하려면 Global Secure Access 웹 콘텐츠 필터링구성하는 방법을 참조하세요. 다음과 같은 고수준 단계의 수행을 위한 지침을 제공합니다.

1. 인터넷 트래픽 전달을 사용하도록 설정합니다.
2. 웹 콘텐츠를 필터링하는 정책을 만듭니다.
3. 보안 프로필을 만듭니다.
4. 보안 프로필을 조건부 액세스 정책에 연결합니다.
5. 트래픽 전달 프로필에 사용자 또는 그룹을 할당합니다.

사용 사례 구성

웹 콘텐츠 필터링 정책, 보안 프로필 및 조건부 액세스 정책을 사용하여 Microsoft Entra Internet Access 사용 사례를 구성하고 테스트합니다. 다음 섹션에서는 특정 지침과 함께 예제 사용 사례를 제공합니다.

메모

Microsoft는 아직 사용할 수 없는 TLS(전송 계층 보안) 검사가 필요하기 때문에 현재 URL 차단 및 허용을 지원하지 않습니다.

서비스를 통해 라우팅되는 모든 인터넷 트래픽에 적용되는 기준 프로필 만들기

조건부 액세스 정책을 적용할 필요 없이 환경의 모든 트래픽을 보호하기 위해 기준 프로필 사용하려면 다음 단계를 수행합니다.

1. 사용자 기반에서 FQDN(정규화된 도메인 이름) 또는 웹 범주를 허용하거나 차단하는 규칙을 포함하는 웹 콘텐츠 필터링하기 위한 정책을 만듭니다. 예를 들어 모든 소셜 미디어 사이트를 차단하는 소셜 네트워킹 범주를 차단하는 규칙을 만듭니다.

2. 웹 콘텐츠를 필터링하는 정책을 기준 프로필에 연결합니다. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>보안 프로필>기준 프로필.

3. 테스트 디바이스에 로그인하고 차단된 사이트에 액세스하려고 합니다.

4. 트래픽 로그 활동을 확인하여 대상 FQDN에 대한 항목이 차단된 것으로 표시되는지 확인합니다. 필요한 경우 필터 추가하여 테스트 사용자의 사용자 계정 이름 결과를 필터링합니다.

범주에 따라 그룹이 웹 사이트에 액세스하지 못하도록 차단

1. 웹 범주를 차단하는 규칙을 포함하는 웹 콘텐츠 필터링하기 위한 정책을 만듭니다. 예를 들어 모든 소셜 미디어 사이트를 차단하는 소셜 네트워킹 범주를 차단하는 규칙을 만듭니다.

2. 정책을 그룹화하고 우선 순위를 지정하는 보안 프로필 만듭니다. 웹 콘텐츠를 필터링하는 정책을 이 프로필에 연결합니다.

3. 사용자에게 보안 프로필을 적용하는 조건부 액세스 정책 만듭니다.

4. 테스트 디바이스에 로그인하고 차단된 사이트에 액세스하려고 합니다. http 웹사이트에 대해 DeniedTraffic을(를) 보고, https 웹사이트에 대해 이 페이지에 연결할 수 없습니다 알림을 볼 수 있어야 합니다. 새로 할당된 정책이 적용되는 데 최대 90분이 걸릴 수 있습니다. 기존 정책의 변경 내용을 적용하는 데 최대 20분이 걸릴 수 있습니다.

5. 트래픽 로그 활동을 확인하여 대상 FQDN에 대한 항목이 차단된 것으로 표시되는지 확인합니다. 필요한 경우, 테스트 사용자의 결과를 사용자 계정 이름 기준으로 필터링하기 위해 필터 추가을 사용하세요.

그룹이 FQDN을 기반으로 웹 사이트에 액세스하지 못하도록 차단

1. FQDN(URL 아님)을 차단하는 규칙을 포함하는 웹 콘텐츠 필터링하기 위한 정책을 만듭니다.

2. 정책을 그룹화하고 우선 순위를 지정하는 보안 프로필 만듭니다. 웹 콘텐츠를 필터링하는 정책을 이 프로필에 연결합니다.

3. 사용자에게 보안 프로필을 적용하는 조건부 액세스 정책 만듭니다.

4. 테스트 디바이스에 로그인하고 차단된 FQDN에 액세스하려고 합니다. http 웹 사이트에 대해 DeniedTraffic을(를) 볼 수 있어야 하며, https 웹 사이트에 대해 이 페이지에 연결할 수 없습니다 알림을 받아야 합니다. 새로 할당된 정책이 적용되는 데 최대 90분이 걸릴 수 있습니다. 기존 정책의 변경 내용을 적용하는 데 최대 20분이 걸릴 수 있습니다.

5. 트래픽 로그 활동을 확인하여 대상 FQDN에 대한 항목이 차단된 것으로 표시되는지 확인합니다. 필요한 경우 필터 추가하여 테스트 사용자의 사용자 계정 이름 결과를 필터링합니다.

사용자가 차단된 웹 사이트에 액세스하도록 허용

1. FQDN을 허용하는 규칙을 포함하는 웹 콘텐츠 필터링하기 위한 정책을 만듭니다.

2. 웹 콘텐츠 필터링을 위한 정책을 그룹화하고 우선 순위를 지정하는 보안 프로필 만듭니다. 이 허용된 프로필에 차단된 프로필보다 높은 우선 순위를 지정합니다. 예를 들어 차단된 프로필이 우선 순위 500으로 설정된 경우 허용되는 프로필을 400으로 설정합니다.

3. 차단된 FQDN에 액세스해야 하는 사용자에게 보안 프로필을 적용하는 조건부 액세스 정책 만듭니다.

4. 테스트 디바이스에 로그인하고 허용된 FQDN에 액세스하려고 합니다. 새로 할당된 정책이 적용되는 데 최대 90분이 걸릴 수 있습니다. 기존 정책의 변경 내용을 적용하는 데 최대 20분이 걸릴 수 있습니다.

5. 트래픽 로그 활동을 확인하여 대상 FQDN에 대한 항목이 허용된 것으로 표시되는지 확인합니다. 필요한 경우 테스트 사용자의 사용자 계정 이름에 대해 필터 추가를 사용하여 결과를 필터링합니다.

Microsoft 트래픽 전달 프로필 사용 및 관리

Microsoft 트래픽을 보호하는 기능은 Microsoft Entra Internet Access의 주요 기능입니다. 자동으로 구성된 Microsoft 트래픽 프로필 을 신속하게 배포할 수 있으며, 여기에는 트래픽 전달 규칙이 포함됩니다. 그런 다음 이러한 규칙을 사용하여 Microsoft Entra ID와 통합된 모든 애플리케이션에 대한 Microsoft 트래픽(예: SharePoint Online 및 Exchange Online)과 인증 트래픽을 보호하고 모니터링할 수 있습니다. 알려진 제한 사항이있습니다.

1. Microsoft 트래픽 프로필사용하도록 설정합니다.

2. 프로필에 사용자 및 그룹을 할당합니다.

3. 필요한 경우 규정 준수 네트워크 검사를 적용하도록 조건부 액세스 정책을 구성합니다.

4. 테스트 디바이스에 로그인하고 SharePoint Online 및 Exchange Online에 액세스합니다.

5. 트래픽 로그에서 활동을 확인하여 Global Secure Access가 액세스를 활성화했는지 확인합니다. 로그인 로그에서 전역 보안 액세스 예표시되는지 확인합니다.

범용 테넌트 제한 구현

유니버설 테넌트 제한 회사 관리 디바이스 및 네트워크에서 관리되지 않는 ID를 통해 외부 테넌트에 대한 액세스를 제어할 수 있습니다. 외부 테넌트에 대한 모든 트래픽을 차단하거나 허용하여 테넌트 제한 v1을 사용하여 인증 평면에서 이 제한을 적용할 수 있습니다.

이 시나리오에서는 일반적으로 트래픽을 회사 네트워크 프록시로 라우팅해야 합니다. 범용 테넌트 제한을 통해 조직은 애플리케이션별 수준에서 액세스를 제한하고, 인증 평면 외에도 데이터 평면에 대한 보호를 확장하며, 네트워크 대기 시간을 줄이기 위해 트래픽을 고정할 필요가 없습니다.

Microsoft 트래픽 프로필을 사용하도록 설정한 후 다음 단계에 따라 범용 테넌트 제한을 구현합니다.

1. 테넌트 제한 v2설정하기. 조직에서 현재 테넌트 제한 v1을 사용하는 경우 테넌트 제한 v2 마이그레이션하기 위한가이드를 검토합니다.

2. 전역 보안 액세스 신호를 테넌트 제한용으로 사용하도록 설정합니다.

3. 테스트 디바이스에 로그인하고 유효한 자격 증명이 있는 다른 테넌트의 SharePoint Online 또는 Exchange Online 리소스에 액세스합니다.

4. 인증 평면 보호의 유효성을 검사합니다.

5. 데이터 평면 보호를 유효성 검사합니다.

문제 해결

PoC에 문제가 있는 경우 다음 문서를 통해 문제 해결, 로깅 및 모니터링에 도움이 될 수 있습니다.

• 전역 보안 액세스 FAQ
• Microsoft Entra 프라이빗 네트워크 커넥터 설치하는 문제 해결
• 전역 보안 액세스 클라이언트 문제 해결: 진단
• 글로벌 보안 액세스 클라이언트 문제 해결: 상태 점검 탭
• 글로벌 보안 액세스를 사용한 분산 파일 시스템 문제 해결
• 글로벌 보안 액세스 로그 및 모니터링
• "Global Secure Access" 통합 문서 사용법

관련 콘텐츠

• Microsoft Global Secure Access 개념 증명 지침 소개
• Microsoft Entra Private Access 구성하기
• Microsoft Global Secure Access 배포 가이드 소개
• Microsoft Entra Private Access 대한 Microsoft Global Secure Access 배포 가이드
• Microsoft Entra Internet Access 대한 Microsoft Global Secure Access 배포 가이드
• Microsoft 트래픽에 대한 Microsoft Global Secure Access 배포 가이드