전역 보안 액세스를 위한 고객 구내 장비 구성

IPSec 터널은 양방향 통신입니다. 글로벌 보안 액세스에서 원격 네트워크에 디바이스 링크를 추가하면 통신의 한 쪽이 설정됩니다. 프로세스 중에 Microsoft Entra 관리 센터에 공용 IP 주소와 BGP(Border Gateway Protocol) 주소를 입력하여 네트워크 구성에 대해 알립니다.

이 문서에서는 통신 채널의 다른 쪽을 설정하는 단계에 대해 설명합니다.

필수 조건

CPE(고객 프레미스 장비)를 구성하려면 다음이 있어야 합니다.

• Microsoft Entra ID의 글로벌 보안 액세스 관리자 역할.
• 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
• CPE를 구성하려면 글로벌 보안 액세스 온보딩 프로세스를 완료해야 합니다.

고객 프레미스 장비를 구성하는 방법

Microsoft Entra 관리 센터를 사용하거나 Microsoft Graph API를 사용하여 CPE를 설정할 수 있습니다. 원격 네트워크를 만들고 디바이스 링크 정보를 추가하면 구성 세부 정보가 생성됩니다. 이러한 세부 정보는 CPE를 구성하는 데 필요합니다.

Microsoft Entra 관리 센터

1. Microsoft Entra 관리 센터에 글로벌 보안 액세스 관리자로 로그인합니다.

2. 전역 보안 액세스>연결>원격 네트워크로 이동합니다.

3. 구성해야 하는 원격 네트워크에 대한 구성 보기를 선택합니다.

   

4. 열리는 패널에서 Microsoft의 공용 IP 주소 endpoint를 찾아서 저장합니다.

   

5. CPE의 기본 인터페이스에 이전 단계에서 저장한 IP 주소를 입력합니다. 이 단계에서는 IPSec 터널 구성을 완료합니다.

다음 다이어그램은 디바이스 구성 세부 정보의 각 주요 섹션을 강조 표시합니다. 각 섹션에 대한 텍스트 설명은 다이어그램을 따릅니다.

• branchId와 branchName은 원격 네트워크 세부 정보를 나타냅니다.
• displayName은 디바이스 링크 이름입니다.
• endpoint, asn, bgpAddress, region은 Microsoft 연결 세부 정보를 나타냅니다. CPE에 이러한 세부 정보를 입력합니다.
• 영역 중복 디바이스 링크의 경우에는 두 번째 세부 정보 집합이 생성됩니다.
• PeerConfiguration과 후속 세부 정보는 CPE 연결 세부 정보를 나타냅니다.
• 더 많은 디바이스를 구성한 경우 해당 세부 정보가 따라옵니다.

Important

디바이스 링크에 대해 지정한 암호화 프로필은 CPE에서 지정한 것과 일치해야 합니다. 디바이스 링크를 구성할 때 “기본” IKE 정책을 선택한 경우에는 원격 네트워크 구성 문서에 설명된 구성을 사용합니다.

Microsoft Graph API

다음 지침에 따라 원격 네트워크에 대한 연결 정보를 다운로드합니다.

1. Graph Explorer에 로그인합니다.

2. 드롭다운에서 HTTP 메서드로 GET를 선택합니다.

3. API 버전을 베타로 설정합니다.

4. 다음 쿼리를 실행하여 원격 네트워크와 해당 디바이스 링크를 나열합니다.

   GET https://graph.microsoft.com/beta/networkaccess/connectivity/branches
   

5. 다음 쿼리를 실행하여 {branchSiteId}를 원격 네트워크의 ID로, {deviceLinkId}를 디바이스 링크의 ID로 바꾸어 연결 정보를 가져옵니다.

   GET https://graph.microsoft.com/beta/networkAccess/connectivity/branches/{branchSiteId}/deviceLinks/{deviceLinkId}
   

응답의 세부 정보는 Microsoft Entra 관리 센터에서 찾은 디바이스 구성 세부 정보와 유사합니다.

다음 단계

• 원격 네트워크를 관리하는 방법
• 원격 네트워크 디바이스 링크를 관리하는 방법