Share via

Microsoft Entra 애플리케이션 프록시로 사용자 지정 도메인 구성

  • 아티클

Microsoft Entra 애플리케이션 프록시를 통해 애플리케이션을 게시하는 경우 사용자를 위한 외부 URL을 만듭니다. 이 URL은 기본 do기본yourtenant.msappproxy.net를 가져옵니다. 예를 들어 Contoso라는 테넌트에 Expenses라는 앱을 게시하는 경우 외부 URL은 https:\//expenses-contoso.msappproxy.net입니다. 대신 고유한 do기본 이름을 사용하려는 경우 애플리케이션에 msappproxy.net대한 사용자 지정 do기본 구성할 수 있습니다.

사용자 지정 도메인의 이점

가능하면 앱에 사용자 지정 도메인을 설정하는 것이 좋습니다. 사용자 지정 도메인을 사용하는 이유는 다음과 같습니다.

  • 앱 간의 링크는 회사 네트워크 외부에서도 작동합니다. 사용자 지정이 없으면기본 앱이 애플리케이션 프록시 외부의 대상에 대한 내부 링크를 하드 코딩하고 링크가 외부에서 확인할 수 없는 경우 중단됩니다. 내부 및 외부 URL이 동일한 경우 이 문제를 방지합니다. 사용자 지정 도메인을 사용할 수 없는 경우 이 문제를 해결하는 다른 방법을 알아보려면 Microsoft Entra 애플리케이션 프록시로 게시된 앱에 대해 하드코딩된 링크 리디렉션을 참조하세요.

  • 사용자는 네트워크 내부 또는 외부에서 동일한 URL을 사용하여 앱에 액세스하기 때문에 더 쉬운 환경을 제공합니다. 다른 내부 및 외부 URL을 학습하거나 현재 위치를 추적할 필요가 없습니다.

  • 브랜딩을 제어하고 원하는 URL을 만들 수 있습니다. 사용자 지정 do기본는 사용자가 친숙한 이름을 msappproxy.net보고 대신 사용하기 때문에 사용자의 신뢰를 구축하는 데 도움이 될 수 있습니다.

  • 일부 구성은 사용자 지정 do기본s에서만 작동합니다. 예를 들어 SAML(Security Assertion Markup Language)을 사용하는 앱에 대한 사용자 지정 do기본s가 필요합니다. SAML은 AD FS(Active Directory Federation Services)를 사용하지만 WS-Federation을 사용할 수 없는 경우에 사용됩니다. 자세한 내용은 애플리케이션 프록시에서 클레임 인식 앱 작업을 참조하세요.

내부 및 외부 URL을 일치시킬 수 없는 경우 사용자 지정 do기본s를 사용하는 것은 중요하지 않습니다. 그러나 여전히 다른 이점을 활용할 수 있습니다.

DNS 구성 옵션

요구 사항에 따라 DNS 구성을 설정하기 위한 몇 가지 옵션이 있습니다.

동일한 내부 및 외부 URL, 서로 다른 내부 및 외부 동작

내부 사용자가 애플리케이션 프록시를 통해 전달되지 않도록 하려면 분할 브레인 DNS설정할 수 있습니다. 분할 DNS 인프라는 호스트 위치에 따라 이름 확인을 지시합니다. 내부 호스트는 내부 do기본 이름 서버로, 외부 호스트는 외부 do기본 이름 서버로 전달됩니다.

Split-brain DNS

다른 내부 및 외부 URL

내부 및 외부 URL이 다른 경우 분할 브레인 동작을 구성하지 마세요. 사용자 라우팅은 URL을 사용하여 결정됩니다. 이 경우 외부 DNS만 변경하고 외부 URL을 애플리케이션 프록시 엔드포인트로 라우팅합니다.

외부 URL에 대해 사용자 지정 도메인을 선택하면 외부 DNS 공급자에 추가해야 하는 CNAME 항목이 알림 표시줄에 표시됩니다. 앱의 애플리케이션 프록시 페이지로 이동하여 언제든지 이 정보를 볼 수 있습니다.

사용자 지정 도메인 설정 및 사용

사용자 지정 도메인을 사용하도록 온-프레미스 앱을 구성하려면 확인된 Microsoft Entra 사용자 지정 도메인, 사용자 지정 도메인에 대한 PFX 인증서 및 구성할 온-프레미스 앱이 필요합니다.

Important

사용자는 기본 사용자 지정 작업을 리디렉션하는 DNS 레코드를 msappproxy.net 기본기본. 나중에 애플리케이션 또는 테넌트 삭제를 선택하는 경우 현수 DNS 레코드의 오용을 방지하기 위해 애플리케이션 프록시에 대한 연결된 DNS 레코드도 삭제해야 합니다.

사용자 지정 도메인 만들기 및 확인

사용자 지정 도메인을 만들고 확인하려면 다음을 수행합니다.

  1. 최소한 애플리케이션 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>설정>도메인 이름으로 이동합니다.
  3. 사용자 지정 도메인 추가를 선택합니다.
  4. 사용자 지정 도메인 이름을 입력하고 도메인 추가를 선택합니다.
  5. 도메인 페이지에서 도메인에 대한 TXT 레코드 정보를 복사합니다.
  6. 도메인 등록자로 이동하여 복사한 DNS 정보에 따라 도메인에 대한 새 TXT 레코드를 만듭니다.
  7. 도메인을 등록한 후 Microsoft Entra ID의 도메인 페이지에서 확인을 선택합니다. do기본 상태 확인되면 애플리케이션 프록시를 비롯한 모든 Microsoft Entra 구성에서 do기본 사용할 수 있습니다.

자세한 지침은 Microsoft Entra 관리 센터를 사용하여 사용자 지정 도메인 이름 추가를 참조하세요.

사용자 지정 도메인을 사용하도록 앱 구성

사용자 지정으로 애플리케이션 프록시를 통해 앱을 게시하려면 다음을 수행합니다기본.

  1. 새 앱의 경우 Microsoft Entra 관리 센터에서 ID>애플리케이션>엔터프라이즈 애플리케이션>애플리케이션 프록시로 이동합니다.

  2. 새 애플리케이션을 선택합니다. 온-프레미스 애플리케이션 섹션에서 온-프레미스 애플리케이션 추가를 선택합니다.

    엔터프라이즈 애플리케이션에 이미 있는 앱의 경우 목록에서 선택한 다음, 왼쪽 탐색 영역에서 애플리케이션 프록시를 선택합니다.

  3. 애플리케이션 프록시 설정 페이지에서 고유한 온-프레미스 애플리케이션을 추가하는 경우 이름을 입력합니다.

  4. 내부 URL 필드에 앱에 대한 내부 URL을 입력합니다.

  5. 외부 URL 필드에서 목록을 드롭다운하고 사용하려는 사용자 지정 도메인을 선택합니다.

  6. 추가를 선택합니다.

    Select custom domain

  7. 도메인에 인증서가 이미 있는 경우 인증서 필드에 인증서 정보가 표시됩니다. 그렇지 않은 경우 인증서 파일을 선택합니다.

    Click to upload a certificate

  8. SSL 인증서 페이지에서 PFX 인증서 파일을 찾아 선택합니다. 인증서에 대한 암호를 입력하고 인증서 업로드를 선택합니다. 인증서에 대한 자세한 내용은 사용자 지정 도메인에 대한 인증서 섹션을 참조하세요. 인증서가 유효하지 않거나 암호에 문제가 있는 경우 오류 메시지가 표시됩니다. 애플리케이션 프록시 FAQ에는 시도할 수 있는 몇 가지 문제 해결 단계가 포함되어 있습니다.

    Upload Certificate

    사용자 지정 도메인은 인증서를 한 번만 업로드하면 됩니다. 그 후에는 다른 앱에 사용자 지정 도메인을 사용할 때 업로드된 인증서가 자동으로 적용됩니다.

  9. 인증서를 추가한 경우 애플리케이션 프록시 페이지에서 저장을 선택합니다.

  10. 애플리케이션 프록시 페이지의 알림 표시줄에서 DNS 영역에 추가해야 하는 CNAME 항목을 확인합니다.

    Add CNAME DNS entry

  11. Microsoft Entra 관리 센터를 사용하여 DNS 레코드 및 레코드 집합 관리의 지침에 따라 Azure DNS에서 새 외부 URL을 do기본 리디렉션하는 msappproxy.net DNS 레코드를 추가합니다. 다른 DNS 공급자를 사용하는 경우 공급업체에 문의하여 지침을 확인하세요.

    Important

    do기본 가리키는 CNAME 레코드를 msappproxy.net 올바르게 사용하고 있는지 확인합니다. IP 주소나 서버 DNS 이름은 고정되어 있지 않고 서비스의 복원력에 영향을 미칠 수 있으므로 레코드가 IP 주소나 서버 DNS 이름을 가리키지 않아야 합니다.

  12. DNS 레코드가 올바르게 구성되었는지 검사 위해 nslookup 명령을 사용하여 외부 URL에 연결할 수 있고 msapproxy.net 할 일기본 별칭으로 표시되는지 확인합니다.

이제 애플리케이션이 사용자 지정 도메인을 사용하도록 설정됩니다. 애플리케이션을 테스트하거나 릴리스하기 전에 애플리케이션에 사용자를 할당해야 합니다.

앱의 도메인을 변경하려면 앱의 애플리케이션 프록시 페이지에서 외부 URL의 드롭다운 목록에서 다른 도메인을 선택합니다. 필요한 경우 업데이트된 도메인에 대한 인증서를 업로드하고 DNS 레코드를 업데이트합니다. 외부 URL의 드롭다운 목록에 원하는 사용자 지정 도메인이 표시되지 않는 경우 확인이 진행되지 않을 수 있습니다.

애플리케이션 프록시에 대한 자세한 지침은 자습서: Microsoft Entra ID의 애플리케이션 프록시를 통해 원격 액세스를 위한 온-프레미스 애플리케이션 추가를 참조하세요.

사용자 지정 도메인에 대한 인증서

인증서는 사용자 지정 도메인에 대한 보안 TLS 연결을 만듭니다.

인증서 형식

PFX 인증서를 사용하여 필수 중간 인증서가 모두 포함되어 있는지 확인해야 합니다. 인증서에 프라이빗 키가 포함되어 있어야 합니다.

가장 일반적인 인증서 서명 방법은 SAN(주체 대체 이름)과 같이 지원됩니다.

와일드카드가 외부 URL과 일치하는 한, 와일드카드 인증서를 사용할 수 있습니다. 와일드카드 애플리케이션에 대한 와일드카드 인증서를 사용해야 합니다. 인증서를 사용하여 하위 도메인에도 액세스하려는 경우 하위 도메인 와일드카드를 동일한 인증서의 주체 대체 이름으로 추가해야 합니다. 예를 들어 주체 대체 이름으로 추가 *.apps.adventure-works.com 하지 않으면 *.adventure-works.com 대한 인증서가 *.apps.adventure-works.com 실패합니다.

인증서 체인이 클라이언트 디바이스에 설치되어 있는 경우 고유한 PKI(공개 키 인프라)에서 발급한 인증서를 사용할 수 있습니다. Microsoft Intune은 이러한 인증서를 관리되는 디바이스에 배포할 수 있습니다. 관리되지 않는 디바이스의 경우 이러한 인증서를 수동으로 설치해야 합니다.

프라이빗 루트 CA(인증 기관)도 클라이언트 머신에 푸시해야 하므로 많은 문제가 발생할 수 있으므로 프라이빗 루트 CA(인증 기관)를 사용하지 않는 것이 좋습니다.

인증서 관리

모든 인증서 관리는 개별 애플리케이션 페이지를 통해 관리됩니다. 애플리케이션의 애플리케이션 프록시 페이지로 이동하여 인증서 필드에 액세스합니다.

인증서 를 업로드하는 경우 새 앱에서 인증서를 사용합니다. 사용 하도록 구성 된 경우. 그러나 인증서를 업로드할 때 이미 있던 앱에 대해 인증서를 다시 업로드해야 합니다.

인증서가 만료되면 다른 인증서를 업로드하라는 경고를 받습니다. 인증서가 해지되면 앱에 액세스할 때 보안 경고가 사용자에게 표시될 수 있습니다. 앱에 대한 인증서를 업데이트하려면 앱에 대한 애플리케이션 프록시 페이지로 이동하고 인증서를 선택한 후, 새 인증서를 업로드합니다. 다른 앱에서 사용하지 않는 이전 인증서는 자동으로 삭제됩니다.

다음 단계