다음을 통해 공유

전역 보안 액세스를 사용하는 원본 IP 앵커링

  • 아티클

SaaS(Software-as-a-Service) 또는 LOB(기간 업무) 애플리케이션을 사용하는 조직은 액세스를 허용하기 전에 특정 네트워크 위치를 적용할 수 있습니다. 한 가지 방법은 Microsoft Entra 개인 액세스 사용하여 프라이빗 제어 네트워크를 사용하여 특정 웹 애플리케이션 트래픽을 라우팅하는 것입니다. 이 방법을 사용하면 조직에서만 사용하는 특정 송신 IP를 적용할 수 있습니다. 이 문서에서는 애플리케이션의 네트워크 기반 액세스 제어 정책을 충족하도록 프라이빗 네트워크를 통해 특정 애플리케이션 트래픽을 터널로 처리하도록 Microsoft Entra 개인 액세스 구성하는 방법을 설명합니다.

전용 IP 주소에서 트래픽을 라우팅하도록 원본 IP 앵커링 구성

전용 네트워크의 애플리케이션 적용을 사용하도록 설정하려면 Microsoft Entra 개인 액세스 사용하여 엔터프라이즈 애플리케이션을 구성합니다. 이 구성이 필요할 수 있는 예는 애플리케이션이 ID 공급자에 연결되지 않은 로컬 자격 증명으로 액세스를 허용하는 경우입니다.

이 솔루션은 애플리케이션 트래픽을 획득하고 클라이언트 디바이스에서 라우팅합니다. Microsoft의 Secure Service Edge를 통해 프라이빗 네트워크 커넥터가 있는 프라이빗 네트워크로 라우팅됩니다. 프라이빗 네트워크에서 트래픽은 인터넷 또는 사용 가능한 다른 프라이빗 연결을 사용하여 애플리케이션에 액세스할 수 있습니다. 애플리케이션은 트래픽이 허용된 송신 IP 주소에서 발생하는 것으로 간주하여 자체 네트워크 액세스 제어를 충족하는 전용 네트워크에서 액세스가 발생함을 나타냅니다.

다음 아키텍처 다이어그램에서는 예제 구성을 보여 줍니다.

예제 아키텍처 구성의 다이어그램

예제 구성에서 애플리케이션은 고객의 온-프레미스 네트워크의 송신 IP 주소인 15.4.23.54에서 시작된 연결만 허용합니다. 사용자가 애플리케이션에 액세스하려고 하면 Global Secure Access 클라이언트는 권한 부여 제어 적용(예: 조건부 액세스)이 발생할 수 있는 Microsoft의 Secure Service Edge를 통해 트래픽을 획득하고 터널합니다. 트래픽은 프라이빗 네트워크 커넥터를 사용하여 온-프레미스 네트워크로 터널됩니다. 마지막으로 트래픽은 인터넷을 사용하여 웹 애플리케이션에 연결합니다. 애플리케이션은 15.4.23.54에서 시작된 연결을 확인하고 액세스를 허용합니다.

참고 항목

SaaS 앱이 자체 네트워크 기반 컨트롤을 적용하는 경우 원본 IP 앵커링을 구성해야 합니다. 요구 사항이 ID 공급자 의 위치 적용으로 제한되는 경우 규격 네트워크 확인 으로 충분합니다. 규정 준수 네트워크 검사는 인증 계층에서 네트워크 기반 액세스 제어를 적용하고 프라이빗 네트워크를 통해 트래픽을 고정할 필요가 없도록 합니다. Global Secure Access는 트래픽을 테넌트 ID에 바인딩하여 Global Secure Access를 사용하는 다른 조직이 조건부 액세스 정책을 충족할 수 없도록 합니다.

필수 조건

원본 IP 앵커링 구성을 시작하기 전에 환경이 준비되고 규정을 준수하는지 확인합니다.

  • 자체 네트워크 기반 액세스 제어 정책을 적용하는 SaaS 애플리케이션이 있습니다.
  • 라이선스에는 Microsoft Entra Suite 또는 Microsoft Entra 개인 액세스 포함됩니다.
  • Microsoft Entra 개인 액세스 전달 프로필을 사용하도록 설정했습니다.
  • 최신 버전의 Global Secure Access 클라이언트있습니다.

프라이빗 네트워크 커넥터 배포

필수 구성 요소를 충족하는 경우 다음 단계를 수행하여 프라이빗 네트워크 커넥터를 배포합니다.

  1. 대상 웹 애플리케이션에 대한 아웃바운드 연결이 있는 프라이빗 네트워크에 프라이빗 네트워크 커넥터 를 설치합니다. 좋은 옵션은 아웃바운드 송신 IP를 제어하는 Azure Virtual Network에서 커넥터를 호스트하는 것입니다. 복원력과 고가용성을 위해 둘 이상의 커넥터를 설치하는 것이 좋습니다.
  2. 사용자가 앱에 연결할 수 있도록 커넥터의 공용 IP 주소를 SaaS 앱에 제공합니다.

프라이빗 네트워크 커넥터와 대상 웹 애플리케이션 간의 전달 프록시 배치 및 사용은 지원되지 않습니다.

원본 IP 앵커링 구성

프라이빗 네트워크 커넥터를 설치하고 구성한 후 다음 단계를 수행하여 엔터프라이즈 애플리케이션을 만듭니다.

  1. entra.microsoft.com으로 이동합니다.

  2. 전역 보안 액세스>애플리케이션 > 엔터프라이즈 애플리케이션을 선택합니다.

  3. 새 애플리케이션을 선택합니다.

  4. 애플리케이션의 이름을 입력합니다.

  5. 트래픽을 획득하고 라우팅하는 커넥터 그룹을 선택합니다.

  6. 애플리케이션 세그먼트 추가를 선택합니다.

  7. 다음 필드를 작성합니다.

    1. 대상 유형 - 정규화된 도메인 이름을 선택합니다.

    2. 정규화된 도메인 이름 - 웹 애플리케이션의 정규화된 도메인 이름을 입력합니다.

    3. 포트 -- 애플리케이션에서 HTTP를 사용하는 경우 80을 입력 합니다. 애플리케이션에서 HTTPS를 사용하는 경우 443을 입력합니다. 두 포트를 모두 입력할 수도 있습니다.

    4. 프로토콜 -- TCP를 선택합니다.

      애플리케이션 세그먼트 만들기 대화 상자의 스크린샷

  8. 적용을 선택합니다.

  9. 저장을 선택합니다.

  10. 엔터프라이즈 애플리케이션으로 다시 이동합니다. 만든 애플리케이션을 선택합니다.

  11. 사용자 및 그룹을 선택합니다.

  12. 사용자/그룹 추가를 선택합니다.

  13. 선택한 사용자 및 그룹>없음을 선택합니다.

  14. 이 애플리케이션에 할당하려는 사용자 및 그룹을 검색하여 선택합니다. 선택을 선택합니다.

  15. 할당을 선택합니다.

구성 유효성 검사

웹 애플리케이션에 대한 엔터프라이즈 애플리케이션을 구성한 후 다음 단계를 수행하여 제대로 작동하는지 확인합니다.

  1. Windows Global Secure Access 클라이언트에서 고급 진단을 엽니다.

  2. 전달 프로필을 선택합니다.

  3. 프라이빗 액세스 규칙을 확장 합니다. 웹 애플리케이션의 FQDN(정규화된 도메인 이름)이 목록에 있는지 확인합니다.

    전역 보안 액세스 - 고급 진단 - 규칙의 스크린샷.

  4. 트래픽을 선택합니다.

  5. 수집 시작을 선택합니다.

  6. 브라우저에서 웹 애플리케이션으로 이동합니다.

  7. 고급 진단으로 돌아갑니다.

  8. 수집 중지를 선택합니다 .

  9. 다음 설정의 유효성을 검사합니다.

    1. 웹 애플리케이션이 대상 FQDN 아래에 표시됩니다.

    2. 채널 필드는 Private Access입니다.

    3. 작업 필드는 Tunnel입니다.

      글로벌 보안 액세스 - 고급 진단 - 네트워크 트래픽의 스크린샷.

  10. 애플리케이션의 로그를 확인합니다(Microsoft Entra ID가 아님). 애플리케이션에서 개인 네트워크의 송신 IP와 일치하는 IP 주소에서 로그인이 표시되는지 확인합니다.

문제 해결

QUIC, IPv6 및 암호화된 DNS를 사용하지 않도록 설정했는지 확인합니다. 글로벌 보안 액세스 클라이언트에 대한 문제 해결 가이드에서 세부 정보를 찾을 수 있습니다.

다음 단계

  • 글로벌 보안 액세스 대시보드Microsoft Entra Private 및 Microsoft Entra 인터넷 액세스 서비스에서 획득한 네트워크 트래픽의 시각화를 제공합니다.