Intune에서 iOS/iPadOS 디바이스용 앱별 VPN(가상 사설망) 설정

Microsoft Intune에서 앱에 할당된 VPN(가상 프라이빗 네트워크)을 만들고 사용할 수 있습니다. 이 기능을 앱별 VPN이라고 합니다. Intune에서 관리되는 디바이스에서 VPN을 사용할 수 있는 관리 앱을 선택합니다. 앱별 VPN을 사용하는 경우 최종 사용자는 VPN을 통해 자동으로 연결되고 문서와 같은 조직 리소스에 액세스할 수 있습니다.

이 기능은 다음에 적용됩니다.

  • iOS 9 이상
  • iPadOS 13.0 이상

VPN이 앱당 VPN을 지원하는지 확인하려면 VPN 공급 기업의 설명서를 확인합니다.

이 문서에서는 앱당 VPN 프로필을 만들고 앱에 이 프로필을 할당하는 방법을 보여 줍니다. 이러한 단계를 사용하여 최종 사용자에 대한 원활한 앱당 VPN 환경을 만들 수 있습니다. 앱당 VPN을 지원하는 대부분의 VPN의 경우 사용자는 앱을 열면 자동으로 VPN에 연결됩니다.

일부 VPN은 앱당 VPN을 통해 사용자 이름 및 암호 인증을 허용합니다. 즉, 사용자는 VPN에 연결하려면 사용자 이름 및 암호를 입력해야 합니다.

중요

  • iOS/iPadOS에서는 IKEv2 VPN 프로필에 대해 앱별 VPN이 지원되지 않습니다.

Microsoft Tunnel 또는 Zscaler를 사용하는 앱당 VPN

Microsoft Tunnel 및 ZPA(Zscaler Private Access)는 인증을 위해 Microsoft Entra ID 통합됩니다. Tunnel 또는 ZPA를 사용하는 경우 신뢰할 수 있는 인증서 또는 SCEP 또는 PKCS 인증서 프로필(이 문서에서 설명됨)이 필요하지 않습니다.

Zscaler에 대해 앱별 VPN 프로필을 설정한 경우, 연결된 앱 중 하나를 열면 ZPA에 자동으로 연결되지 않습니다. 대신, 사용자가 Zscaler 앱에 로그인해야 합니다. 그러면 원격 액세스가 연결된 앱으로 제한됩니다.

필수 구성 요소

  • VPN 공급업체에는 특정 하드웨어 또는 라이선스와 같은 앱별 VPN에 대한 다른 요구 사항이 있을 수 있습니다. Intune에서 앱별 VPN을 설정하기 전에 먼저 관련 설명서를 확인하고 해당 필수 구성 요소를 충족해야 합니다.

  • VPN 서버에서 신뢰할 수 있는 루트 인증서 .cer 파일을 내보냅니다. 이 문서에 설명된 Intune에서 만든 신뢰할 수 있는 인증서 프로필에 이 파일을 추가합니다.

    파일을 내보내려면 다음을 수행합니다.

    1. VPN 서버에서 관리 콘솔을 엽니다.

    2. VPN 서버에서 인증서 기반 인증을 사용하는지 확인합니다.

    3. 신뢰할 수 있는 루트 인증서 파일을 내보냅니다. 확장이 있습니다 .cer .

    4. VPN 서버에 인증을 위해 인증서를 발급한 CA(인증 기관)의 이름을 추가합니다.

      해당 디바이스에서 제공된 CA가 VPN 서버의 신뢰할 수 있는 CA 목록에 있는 CA와 일치하는 경우 VPN 서버는 성공적으로 디바이스를 인증합니다.

    해당 ID를 증명하기 위해 디바이스의 프롬프트 없이 동의해야 하는 인증서가 VPN 서버에 표시됩니다. 인증서의 자동 승인을 확인하려면 Intune에서 신뢰할 수 있는 인증서 프로필을 만듭니다(이 문서). Intune 신뢰할 수 있는 인증서 프로필에는 CA(인증 기관)에서 발급한 VPN 서버의 루트 인증서(.cer 파일)가 포함되어야 합니다.

  • 정책을 만들려면 최소한 정책 및 프로필 관리자 기본 제공 역할이 있는 계정으로 Microsoft Intune 관리 센터에 로그인합니다. 기본 제공 역할에 대한 자세한 내용은 Microsoft Intune 대한 역할 기반 액세스 제어를 참조하세요.

1단계 - VPN 사용자에 대한 그룹 만들기

Microsoft Entra ID 기존 그룹을 만들거나 선택합니다. 이 그룹:

  • 앱별 VPN을 사용할 사용자 또는 디바이스를 포함해야 합니다.
  • 만든 모든 Intune 정책을 받게 됩니다.

새 그룹을 만드는 단계는 사용자 및 디바이스를 구성하는 그룹 추가로 이동합니다.

2단계 - 신뢰할 수 있는 인증서 프로필 만들기

CA에서 발급한 VPN 서버의 루트 인증서를 Intune 프로필로 가져옵니다. 이 루트 인증서는 .cer필수 구성 요소 에서 내보낸 파일입니다(이 문서). 신뢰할 수 있는 인증서 프로필은 iOS/iPadOS 디바이스가 VPN 서버에서 제공한 CA를 자동으로 신뢰하도록 합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>구성>만들기를 선택합니다.

  3. 다음 속성을 입력합니다.

    • 플랫폼: iOS/iPadOS를 선택합니다.
    • 프로필 유형: 신뢰할 수 있는 인증서를 선택합니다.
  4. 만들기를 선택합니다.

  5. 기본에서 다음 속성을 입력합니다.

    • 이름: 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어 전체 회사에 대한 iOS/iPadOS 신뢰할 수 있는 인증서 VPN 프로필이 적절한 프로필 이름일 수 있습니다.
    • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
  6. 다음을 선택합니다.

  7. 구성 설정에서 폴더 아이콘을 선택하고, VPN 관리 콘솔에서 내보낸 VPN 인증서(.cer 파일)로 이동합니다.

  8. 다음을 선택하고 프로필 만들기를 계속합니다. 자세한 내용은 VPN 프로필 만들기를 참조하세요.

    Microsoft Intune 및 Intune 관리 센터에서 iOS/iPadOS 디바이스에 대한 신뢰할 수 있는 인증서 프로필을 만듭니다.

3단계 - SCEP 또는 PKCS 인증서 프로필 만들기

2단계에서 만든 신뢰할 수 있는 루트 인증서 프로필을 사용하면 디바이스가 VPN 서버를 자동으로 신뢰할 수 있습니다.

이 단계에서는 Intune에서 SCEP 또는 PKCS 인증서 프로필을 만듭니다. SCEP 또는 PKCS 인증서를 사용하면 iOS/iPadOS VPN 클라이언트에서 VPN 서버에 자격 증명을 제공합니다. 인증서를 사용하면 디바이스에서 사용자 이름 및 암호를 확인하는 메시지 없이 자동으로 인증할 수 있습니다.

Intune에서 클라이언트 인증 인증서를 구성하고 할당하려면 다음 문서 중 하나로 이동합니다.

클라이언트 인증용 인증서를 구성해야 합니다. SCEP 인증서 프로필에서 직접 클라이언트 인증을 설정할 수 있습니다(확장 키 사용 목록>클라이언트 인증). PKCS의 경우 CA(인증 기관)의 인증서 템플릿에서 클라이언트 인증을 설정합니다.

Microsoft Intune 및 Intune 관리 센터에서 SCEP 인증서 프로필을 만듭니다. 주체 이름 형식, 키 사용량, 확장 키 사용 등을 포함합니다.

4단계 - 앱별 VPN 프로필 만들기

이 VPN 프로필에는 클라이언트 자격 증명, VPN 연결 정보 및 앱별 VPN 플래그(iOS/iPadOS 애플리케이션에서 사용하는 앱별 VPN을 사용하도록 설정)를 포함하는 SCEP 또는 PKCS 인증서가 있습니다.

  1. Microsoft Intune 관리 센터에서 디바이스구성>만들기> 선택합니다.

  2. 다음 속성을 입력하고 만들기를 선택합니다.

    • 플랫폼: iOS/iPadOS를 선택합니다.
    • 프로필 유형: VPN을 선택합니다.
  3. 기본에서 다음 속성을 입력합니다.

    • 이름: 사용자 지정 프로필에 대한 설명이 포함된 이름을 입력합니다. 나중에 쉽게 식별할 수 있도록 프로필 이름을 지정합니다. 예를 들어, myApp용 iOS/iPadOS 앱별 VPN 프로필은 적절한 프로필 이름입니다.
    • 설명: 프로필에 대한 설명을 입력합니다. 이 설정은 선택 사항이지만 권장됩니다.
  4. 구성 설정에서 다음 설정을 구성합니다.

    • 연결 형식: VPN 클라이언트 앱을 선택합니다.

    • 기본 VPN: 설정을 구성합니다. iOS/iPadOS VPN 설정이 모든 설정을 설명합니다. 앱별 VPN을 사용하는 경우 다음에 나열된 대로 속성을 구성해야 합니다.

      • 인증 방법: 인증서를 선택합니다.
      • 인증 인증서: 기존 SCEP 또는 PKCS 인증서 >확인을 선택합니다.
      • 터널링 분할: 사용 안 함을 선택하여 VPN 연결이 활성 상태일 때 모든 트래픽이 VPN 터널을 사용하도록 강제합니다.

      앱별 VPN 프로필, IP 주소 또는 FQDN, 인증 방법 및 Microsoft Intune 및 Intune 관리 센터의 분할 터널링을 보여 주는 스크린샷

      다른 설정에 대한 자세한 내용은 iOS/iPadOS VPN 설정으로 이동합니다.

    • 자동 VPN>자동 VPN 유형>앱별 VPN

      Microsoft Intune iOS/iPadOS 디바이스에서 앱별 VPN으로 설정된 자동 VPN을 보여 주는 스크린샷

  5. 다음을 선택하고 프로필 만들기를 계속합니다. 자세한 내용은 VPN 프로필 만들기를 참조하세요.

5단계 - VPN 프로필과 앱 연결

VPN 프로필을 추가한 후 앱 및 Microsoft Entra 그룹을 프로필에 연결합니다.

  1. Microsoft Intune 관리 센터에서모두 앱을> 선택합니다.

  2. 속성>할당>편집 목록에서 > 앱을 선택합니다.

  3. 필수 또는 등록된 디바이스에 사용 섹션으로 이동합니다.

  4. 그룹> 추가를 선택합니다( 이 문서에서 만든 그룹 선택) >선택을 선택합니다.

  5. VPN의 이 문서에서 사용자가 만든 앱당 VPN 프로필을 선택합니다.

    Microsoft Intune 및 Intune 관리 센터의 앱별 VPN 프로필에 앱 할당을 보여 주는 두 개의 스크린샷

  6. 확인>저장을 선택합니다.

다음 조건이 모두 존재하면 사용자가 회사 포털 앱에서 재설치를 요청하기 전까지 앱과 프로필 사이의 연결이 유지됩니다.

  • 앱이 사용 가능한 설치 의도와 함께 대상으로 지정되었습니다.
  • 프로필과 앱이 동일한 그룹으로 할당되었습니다.
  • 최종 사용자가 회사 포털 앱에서 앱 설치를 요청했습니다. 이 요청으로 인해 앱과 프로필이 디바이스에 설치됩니다.
  • 사용자가 앱 할당에서 앱당 VPN 구성을 제거하거나 변경했습니다.

다음 조건이 모두 존재하면 다음 디바이스 체크 인 시 앱과 프로필 사이의 연결이 제거됩니다.

  • 앱이 필수 설치 의도와 함께 대상으로 지정되었습니다.
  • 프로필과 앱이 동일한 그룹으로 할당되었습니다.
  • 사용자가 앱 할당에서 앱당 VPN 구성을 제거했습니다.

iOS/iPadOS 디바이스에 대한 연결 확인

앱별 VPN이 설정되고 앱과 연결되면 디바이스에서 연결이 작동하는지 확인합니다.

연결하려고 하기 전에

  • 이 문서에서 설명하는 모든 정책은 동일한 그룹에 배포해야 합니다. 그렇지 않는 경우 앱당 VPN 환경이 작동하지 않습니다.

  • Pulse Secure VPN 앱 또는 사용자 지정 VPN 클라이언트 앱을 사용하는 경우 앱 계층 또는 패킷 계층 터널링을 사용하도록 선택할 수 있습니다.

    • 앱 계층 터널링의 경우 ProviderType 값을 app-proxy로 설정합니다.
    • 앱 계층 터널링의 경우 ProviderType 값을 packet-tunnel로 설정합니다.

    올바른 값을 사용하고 있는지 확인하려면 VPN 공급 기업의 설명서를 참조하세요.

앱당 VPN을 사용하여 연결

VPN을 선택하거나 자격 증명을 입력하지 않고 연결하여 제로 터치 환경을 확인합니다. 제로 터치 환경은 다음을 의미합니다.

  • 디바이스에는 VPN 서버를 신뢰하라는 메시지가 표시되지 않습니다. 즉, 사용자에게는 동적 신뢰 대화 상자가 표시되지 않습니다.
  • 사용자가 자격 증명을 입력할 필요가 없습니다.
  • 사용자가 연결된 앱 중 하나를 열면 사용자의 디바이스가 VPN에 연결됩니다.

리소스