다음을 통해 공유


Windows용 전역 보안 액세스 클라이언트(미리 보기)

Windows용 전역 보안 액세스 클라이언트를 설치하는 방법을 알아봅니다.

필수 조건

  • 전역 보안 액세스 클라이언트는 64비트 버전의 Windows 11 또는 Windows 10에서 지원됩니다.
    • Azure Virtual Desktop 단일 세션이 지원됩니다.
    • Azure Virtual Desktop 다중 세션은 지원되지 않습니다.
    • Windows 365가 지원됩니다.
  • 디바이스는 Microsoft Entra ID 또는 Microsoft Entra ID 하이브리드 중 하나에 조인되어야 합니다.
    • Microsoft Entra 등록 디바이스는 지원되지 않습니다.
  • 설치하려면 로컬 관리자 자격 증명이 필요합니다.
  • 미리 보기에는 Microsoft Entra ID P1 라이선스가 필요합니다. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.

알려진 제한 사항

  • RDP(원격 데스크톱 서버)의 세션과 같이 동일한 디바이스의 여러 사용자 세션은 지원되지 않습니다.
  • 일부 게스트 무선 네트워크 솔루션과 같이 종속 포털을 사용하는 네트워크에서는 클라이언트 연결이 실패할 수 있습니다. 해결 방법으로 전역 보안 액세스 클라이언트를 일시 중지할 수 있습니다.
  • 호스트 및 게스트 운영 체제 모두에 전역 보안 액세스 클라이언트가 설치된 가상 머신은 지원되지 않습니다. 클라이언트가 설치된 개별 가상 머신이 지원됩니다.
  • 전역 보안 액세스 클라이언트가 서비스에 연결할 수 없는 경우(예: 권한 부여 또는 조건부 액세스 실패로 인해) 서비스는 트래픽을 무시합니다. 트래픽은 차단되는 대신 직접 및 로컬로 전송됩니다. 이 시나리오에서는 클라이언트가 서비스에 연결할 수 없는 경우 트래픽을 차단하기 위해 규정 준수 네트워크 확인을 위한 조건부 액세스 정책을 만들 수 있습니다.
  • ARM64 아키텍처의 전역 보안 액세스 클라이언트는 아직 지원되지 않습니다. 그러나 ARM64는 로드맵에 있습니다.

사용 중인 트래픽 전달 프로필에 따라 몇 가지 다른 제한 사항이 있습니다.

트래픽 전달 프로필 제한 사항
Microsoft 365 터널링 IPv6 트래픽은 현재 지원되지 않습니다.
Microsoft 365개인 액세스 FQDN 규칙(전달 프로필)을 기반으로 네트워크 트래픽을 터널링하려면 HTTPS(보안 DNS)를 통한 DNS(Domain Name System)를 사용하지 않도록 설정해야 합니다.
Microsoft 365개인 액세스 최종 사용자 장치가 프록시 서버를 사용하도록 구성된 경우 전역 보안 액세스 클라이언트를 사용하여 터널링하려는 위치는 해당 구성에서 제외되어야 합니다. 예를 보려면 프록시 구성 예를 참조하세요.
프라이빗 액세스 프라이빗 앱의 경우 https://contosohome과(와) 같은 단일 레이블 도메인은 지원되지 않습니다. 대신 https://contosohome.contoso.com같은 FQDN(정규화된 도메인 이름)을 사용합니다. 관리자는 Windows를 통해 DNS 접미사를 추가하도록 선택할 수도 있습니다.

클라이언트 다운로드

전역 보안 액세스 클라이언트의 최신 버전은 Microsoft Entra 관리 센터에서 다운로드할 수 있습니다.

  1. Microsoft Entra 관리 센터글로벌 보안 액세스 관리자로 로그인합니다.

  2. 전역 보안 액세스(미리 보기)>연결>클라이언트 다운로드로 이동합니다.

  3. 클라이언트 다운로드를 선택합니다.

    Windows 클라이언트 다운로드 단추의 스크린샷.

클라이언트 설치

조직에서는 /quiet 스위치를 사용하여 자동으로 대화형으로 클라이언트를 설치하거나 Microsoft Intune과 같은 모바일 디바이스 관리 플랫폼을 사용하여 클라이언트를 디바이스에 배포할 수 있습니다.

  1. 전역 보안 액세스 클라이언트 설정 파일을 클라이언트 컴퓨터에 복사합니다.

  2. GlobalSecureAccessClient.exe 설치 파일을 실행합니다. 소프트웨어 사용 조건에 동의합니다.

  3. 클라이언트가 설치되고 사용자에게 Microsoft Entra 자격 증명을 사용하여 로그인하라는 메시지가 표시됩니다.

    클라이언트 설치가 완료된 후 로그인 상자를 보여주는 스크린샷이 나타납니다.

  4. 사용자가 로그인하면 연결 아이콘이 녹색으로 바뀝니다. 연결 아이콘을 두 번 클릭하면 연결된 상태를 표시하는 클라이언트 정보가 포함된 알림이 열립니다.

    클라이언트가 연결되어 있는 것을 보여 주는 스크린샷.

문제 해결

전역 보안 액세스 클라이언트 문제를 해결하려면 작업 표시줄에서 클라이언트 아이콘을 마우스 오른쪽 단추로 클릭합니다.

전역 보안 액세스 클라이언트의 상황에 맞는 메뉴를 보여 주는 스크린샷.

  • 다른 사용자로 로그인
    • 로그인 화면에서 강제로 사용자를 변경하거나 기존 사용자를 다시 인증합니다.
  • 일시 중지
    • 이 옵션을 사용하면 트래픽 터널링을 일시적으로 사용하지 않도록 설정할 수 있습니다. 이 클라이언트는 조직의 보안 태세의 일부이므로 항상 실행되도록 두는 것이 좋습니다.
    • 이 옵션은 클라이언트와 관련된 Windows 서비스를 중지합니다. 이러한 서비스가 중지되면 트래픽이 더 이상 클라이언트 컴퓨터에서 클라우드 서비스로 터널링되지 않습니다. 클라이언트가 일시 중지된 동안 네트워크 트래픽은 클라이언트가 설치되지 않은 것처럼 작동합니다. 클라이언트 컴퓨터가 다시 시작되면 서비스도 자동으로 다시 시작됩니다.
  • Resume
    • 이 옵션은 전역 보안 액세스 클라이언트와 관련된 기본 서비스를 시작합니다. 이 옵션은 문제 해결을 위해 클라이언트를 일시적으로 일시 중지한 후 다시 시작하는 데 사용됩니다. 트래픽이 클라이언트에서 클라우드 서비스로 터널링을 다시 시작합니다.
  • 다시 시작
    • 이 옵션은 클라이언트와 관련된 Windows 서비스를 중지하고 시작합니다.
  • 로그 수집
    • 지원 및 추가 문제 해결을 위해 로그를 수집합니다. 이러한 로그는 기본적으로 C:\Program Files\Global Secure Access Client\Logs에 수집되고 저장됩니다.
      • 이러한 로그에는 클라이언트 컴퓨터에 대한 정보, 서비스 관련 이벤트 로그, 적용된 트래픽 전달 프로필을 포함한 레지스트리 값이 포함됩니다.
  • 클라이언트 검사기
    • 클라이언트 구성 요소를 테스트하는 스크립트를 실행하여 클라이언트가 예상대로 구성되고 작동하는지 확인합니다.
  • 연결 진단은 클라이언트 상태와 클라이언트가 전역 보안 액세스 서비스로 터널링한 연결을 실시간으로 표시합니다.
    • 요약 탭에는 사용 중인 정책 버전, 마지막 정책 업데이트 날짜 및 시간, 클라이언트가 작동하도록 구성된 테넌트의 ID 등 클라이언트 구성에 대한 일반 정보가 표시됩니다.
      • 트래픽 전달 프로필의 대상 FQDN 일치를 기반으로 FQDN에서 획득한 새 트래픽이 성공적으로 터널링되면 호스트 이름 획득 상태가 녹색으로 변경됩니다.
    • 흐름은 최종 사용자 디바이스에서 시작되고 클라이언트에서 전역 보안 액세스 에지로 터널링되는 연결의 실시간 목록을 표시합니다. 각 연결은 새로운 행입니다.
      • 타임스탬프는 연결이 처음 설정된 시간입니다.
      • 연결 대상의 FQDN(정규화된 도메인 이름)입니다. FQDN 규칙이 아닌 전달 정책의 IP 규칙을 기반으로 연결 터널링을 결정한 경우 FQDN 열에 N/A가 표시됩니다.
      • 이 연결을 위한 최종 사용자 디바이스의 원본 포트입니다.
      • 대상 IP는 연결 대상입니다.
      • 현재는 프로토콜 TCP만 지원됩니다.
      • 연결을 시작한 프로세스 이름입니다.
      • 흐름 활성은 연결이 아직 열려 있는지 여부에 대한 상태를 제공합니다.
      • 전송된 데이터는 연결을 통해 최종 사용자 디바이스에서 보낸 바이트 수를 제공합니다.
      • 수신 데이터는 연결을 통해 최종 사용자 디바이스가 수신한 바이트 수를 제공합니다.
      • 상관 관계 ID는 클라이언트가 터널링한 각 연결에 제공됩니다. 이 ID를 사용하면 클라이언트 로그에서 연결을 추적할 수 있습니다. 클라이언트 로그는 이벤트 뷰어, ETL(이벤트 추적) 및 전역 보안 액세스 트래픽 로그로 구성됩니다.
      • 흐름 ID는 ETL 파일에 표시된 클라이언트가 사용하는 연결의 내부 ID입니다.
      • 채널 이름은 연결이 터널링되는 트래픽 전달 프로필을 식별합니다. 이 결정은 전달 프로필의 규칙에 따라 이루어집니다.
    • HostNameAcquisition은 전달 프로필의 FQDN 규칙을 기반으로 클라이언트가 획득한 호스트 이름 목록을 제공합니다. 각 호스트 이름은 새 행에 표시됩니다. 나중에 동일한 호스트 이름을 획득하면 DNS가 호스트 이름(FQDN)을 다른 IP 주소로 확인하는 경우 다른 행이 만들어집니다.
      • 타임스탬프는 연결이 처음 설정된 시간입니다.
      • 확인된 FQDN입니다.
      • 생성된 IP 주소는 클라이언트가 내부 목적으로 생성한 IP 주소입니다. 이 IP는 상대 FQDN에 설정된 연결에 대한 흐름 탭에 표시됩니다.
      • 원래 IP 주소는 FQDN을 쿼리할 때 DNS 응답의 첫 번째 IPv4 주소입니다. 최종 사용자 디바이스가 가리키는 DNS 서버가 쿼리에 대한 IPv4 주소를 반환하지 않으면 원래 IP 주소는 0.0.0.0으로 표시됩니다.
    • 서비스는 전역 보안 액세스 클라이언트와 관련된 Windows 서비스의 상태를 표시합니다. 시작된 서비스에는 녹색 상태 아이콘이 있고, 중지된 서비스에는 빨간색 상태 아이콘이 표시됩니다. 클라이언트가 작동하려면 세 가지 Windows 서비스를 모두 시작해야 합니다.
    • 채널에는 클라이언트에 할당된 트래픽 전달 프로필과 전역 보안 액세스 에지 연결 상태가 나열됩니다.

이벤트 로그

전역 보안 액세스 클라이언트와 관련된 이벤트 로그는 이벤트 뷰어의 Applications and Services/Microsoft/Windows/Global Secure Access Client/Operational 아래에서 찾을 수 있습니다. 이러한 이벤트는 클라이언트의 상태, 정책 및 연결에 관한 유용한 세부 정보를 제공합니다.

IPv6 및 보안 DNS 사용 안 함

미리 보기를 시도 중인 Windows 디바이스에서 IPv6 또는 보안 DNS를 사용하지 않도록 설정하는 데 도움이 필요한 경우 다음 스크립트가 도움을 제공합니다.

function CreateIfNotExists
{
    param($Path)
    if (-NOT (Test-Path $Path))
    {
        New-Item -Path $Path -Force | Out-Null
    }
}

$disableBuiltInDNS = 0x00

# Prefer IPv4 over IPv6 with 0x20, disable  IPv6 with 0xff, revert to default with 0x00. 
# This change takes effect after reboot. 
$setIpv6Value = 0x20
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" -Name "DisabledComponents" -Type DWord -Value $setIpv6Value

# This section disables browser based secure DNS lookup.
# For the Microsoft Edge browser.
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Microsoft\Edge"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

# For the Google Chrome browser.

CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google"
CreateIfNotExists "HKLM:\SOFTWARE\Policies\Google\Chrome"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "DnsOverHttpsMode" -Value "off"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "BuiltInDnsClientEnabled" -Type DWord -Value $disableBuiltInDNS

프록시 구성 예

제외 항목이 포함된 프록시 PAC 파일의 예:

function FindProxyForURL(url, host) {  // basic function; do not change
   if (isPlainHostName(host) ||
      dnsDomainIs(host, ".contoso.com") || //tunneled
      dnsDomainIs(host, ".fabrikam.com"))  // tunneled
      return "DIRECT";                     // If true, sets "DIRECT" connection
      else                                 // for all other destinations  
      return "PROXY 10.1.0.10:8080";  // transfer the traffic to the proxy. 
}

그런 다음 조직은 다음을 구성하여 전역 보안 액세스 클라이언트 서비스가 프록시를 사용할 수 있도록 최종 사용자 컴퓨터의 프록시 서버 구성과 일치하는 http://10.1.0.10:8080과(와) 같은 값을 가진 grpc_proxy(이)라는 시스템 변수를 만들어야 합니다.

사용 조건

Microsoft Entra 프라이빗 액세스 및 Microsoft Entra 인터넷 액세스 미리 보기 환경 및 기능의 사용에는 서비스를 획득한 계약의 미리 보기 온라인 서비스 이용 약관이 적용됩니다. 미리 보기에는 온라인 서비스용 범용 사용 약관Microsoft 제품 및 서비스 데이터 보호 부록("DPA") 및 미리 보기와 함께 제공되는 기타 고지 사항에 자세히 설명된 대로 보안, 규정 준수 및 개인 정보 보호 약정이 축소되거나 다르게 적용될 수 있습니다.

다음 단계

Microsoft Entra 인터넷 액세스를 시작하기 위한 다음 단계는 유니버설 테넌트 제한을 사용하도록 설정하는 것입니다.