Microsoft Intune용 Microsoft Tunnel

  • 아티클

Microsoft Tunnel은 Microsoft Intune용 VPN 게이트웨이 솔루션으로, Linux의 컨테이너에서 실행되고 최신 인증 및 조건부 액세스를 사용하여 iOS/iPadOS 및 Android Enterprise 디바이스의 온-프레미스 리소스에 액세스할 수 있습니다.

이 문서에서는 핵심 Microsoft Tunnel, 작동 방식 및 해당 아키텍처를 소개합니다.

Microsoft Tunnel을 배포할 준비가 되면 Microsoft Tunnel의 필수 조건을 확인한 다음 Microsoft Tunnel을 구성합니다.

Microsoft Tunnel을 배포한 후 모바일 애플리케이션 관리용 Microsoft Tunnel (MAM용 터널)을 추가하도록 선택할 수 있습니다. MAM용 Tunnel은 Microsoft Tunnel VPN 게이트웨이를 확장하여 Android 또는 iOS를 실행하고 Microsoft Intune 등록되지 않은 디바이스를 지원합니다. MAM용 터널은 Microsoft Intune 플랜 2 또는 Microsoft Intune Suite 테넌트에서 추가 기능 라이선스로 추가할 때 사용할 수 있습니다.

참고

Microsoft Tunnel은 FIPS(Federal Information Processing Standard) 규격 알고리즘을 사용하지 않습니다.

Microsoft 다운로드 센터에서 Microsoft Tunnel 배포 가이드 v2를 다운로드합니다.

Microsoft Tunnel 개요

Microsoft Tunnel Gateway는 Linux 서버에서 실행되는 컨테이너에 설치됩니다. Linux 서버는 온-프레미스 환경의 물리적 상자이거나 온-프레미스 또는 클라우드에서 실행되는 가상 머신일 수 있습니다. Tunnel을 구성하려면 엔드포인트용 Microsoft Defender Microsoft Tunnel 클라이언트 앱으로 배포하고 Intune VPN 프로필을 iOS 및 Android 디바이스에 배포합니다. 클라이언트 앱 및 VPN 프로필을 사용하면 디바이스가 터널을 사용하여 회사 리소스에 연결할 수 있습니다. 터널이 클라우드에서 호스트되는 경우 Azure ExpressRoute와 같은 솔루션을 사용하여 온-프레미스 네트워크를 클라우드로 확장해야 합니다.

Microsoft Intune 관리 센터를 통해 다음을 수행합니다.

  • Linux 서버에서 실행하는 Microsoft Tunnel 설치 스크립트를 다운로드합니다.
  • Microsoft Tunnel Gateway의 IP 주소, DNS 서버 및 포트와 같은 요소를 구성합니다.
  • 디바이스에 VPN 프로필을 배포하여 터널을 사용하도록 합니다.
  • 디바이스에 엔드포인트용 Microsoft Defender(Tunnel 클라이언트 앱)를 배포합니다.

엔드포인트용 Defender 앱, iOS/iPadOS 및 Android Enterprise장치를 통해 다음을 수행합니다.

  • Microsoft Entra ID를 사용하여 터널에 인증합니다.
  • AD FS(Active Directory Federation Services)를 사용하여 터널에 인증합니다.
  • 조건부 액세스 정책에 따라 평가됩니다. 디바이스가 규정을 준수하지 않으면 VPN 서버 또는 온-프레미스 네트워크에 액세스할 수 없습니다.

Microsoft Tunnel을 지원하기 위해 여러 Linux 서버를 설치하고 사이트라는 논리 그룹으로 서버를 결합할 수 있습니다. 각 서버는 단일 사이트에 참가할 수 있습니다. 사이트를 구성할 때 디바이스가 터널에 액세스할 때 사용할 연결 지점을 정의합니다. 사이트에는 사용자가 정의하고 사이트에 할당하는 서버 구성 이 필요합니다. 서버 구성은 사용자가 해당 사이트에 추가하는 각 서버에 적용되므로 추가 서버 구성이 간소화됩니다.

터널을 사용하도록 디바이스에 지시하려면 Microsoft Tunnel에 대한 VPN 정책을 만들고 배포합니다. 이 정책은 연결 유형에 Microsoft Tunnel을 사용하는 디바이스 구성 VPN 프로필입니다.

터널에 대한 VPN 프로필의 특징은 다음과 같습니다.

  • 최종 사용자에게 표시되는 VPN 연결의 식별 이름입니다.
  • VPN 클라이언트가 연결하는 사이트입니다.
  • VPN 프로필이 사용되는 앱과 상시 사용 여부를 정의하는 앱별 VPN 구성. 항상 켜면 VPN이 자동으로 연결되고 사용자가 정의하는 앱에만 사용됩니다. 앱이 정의되지 않은 경우 상시 사용 연결은 디바이스의 모든 네트워크 트래픽에 대한 액세스 권한을 터널에 제공합니다.
  • 앱별 VPN 및 TunnelOnly 모드를 지원하도록 구성된 엔드포인트용 Microsoft Defender 있는 iOS 디바이스의 경우 터널을 사용하려면 디바이스에서 Microsoft Defender 열거나 로그인할 필요가 없습니다. 대신 사용자가 디바이스의 회사 포털 또는 액세스에 유효한 토큰이 있는 다단계 인증을 사용하는 다른 앱에 로그인하면 앱별 터널 VPN이 자동으로 사용됩니다. TunnelOnly 모드는 iOS/iPadOS에서 지원되며 Defender 기능을 사용하지 않도록 설정하여 터널 기능만 남깁니다.
  • 터널에 대한 수동 연결(사용자가 VPN을 시작하고 연결 선택).
  • 특정 FQDN 또는 IP 주소의 조건이 충족될 때 VPN 사용을 허용하는 주문형 VPN 규칙입니다. (iOS/iPadOS)
  • 프록시 지원(iOS/iPadOS, Android 10 이상)

서버 구성에는 다음이 포함됩니다.

  • IP 주소 범위 – Microsoft Tunnel에 연결하는 디바이스에 할당된 IP 주소입니다.
  • DNS 서버 - DNS 서버 디바이스에서 서버에 연결할 때 사용해야 합니다.
  • DNS 접미사 검색.
  • 분할 터널링 규칙 – 포함 및 제외 경로에서 공유되는 최대 500개 규칙입니다. 예를 들어 300개 포함 규칙을 만드는 경우 최대 200개 제외 규칙을 사용할 수 있습니다.
  • 포트 – Microsoft Tunnel Gateway가 수신 대기하는 포트입니다.

사이트 구성에는 다음이 포함됩니다.

  • 터널을 사용하는 디바이스의 연결 지점인 공용 IP 주소 또는 FQDN. 이 주소는 개별 서버 또는 부하 분산 서버의 IP 또는 FQDN이 될 수 있습니다.
  • 사이트의 각 서버에 적용되는 서버 구성.

Linux 서버에 터널 소프트웨어를 설치할 때 서버를 사이트에 할당합니다. 설치 항목은 관리 센터 내에서 다운로드할 수 있는 스크립트를 사용합니다. 스크립트를 시작하면 서버가 참가할 사이트 지정을 포함하여 사용자 환경에 대한 작업을 구성하라는 메시지가 표시됩니다.

Microsoft Tunnel을 사용하려면 디바이스가 엔드포인트용 Microsoft Defender 앱을 설치해야 합니다. iOS/iPadOS 또는 Android 앱 스토어에서 적절한 앱을 다운로드하고 사용자에게 배포하세요.

아키텍처

Microsoft Tunnel Gateway는 Linux 서버에서 실행되는 컨테이너에서 실행됩니다.

Microsoft Tunnel Gateway 아키텍처 그림

구성 요소:

  • A – Microsoft Intune
  • B- Microsoft Entra ID입니다.
  • C – Podman 또는 Docker CE가 있는 Linux 서버(Podman 또는 Docker가 필요한 버전에 대한 자세한 내용은 Linux 서버 요구 사항 참조)
    • C.1 - Microsoft Tunnel Gateway
    • C.2 – 관리 에이전트
    • C.3 – 인증 플러그 인 – Microsoft Entra 인증하는 권한 부여 플러그 인입니다.
  • D – 부하 분산 장치를 나타낼 수 있는 Microsoft Tunnel의 공용 IP 또는 FQDN
  • E – 모바일 애플리케이션 관리용 Tunnel을 사용하여 MDM(모바일 장치 관리) 등록된 디바이스 또는 등록되지 않은 모바일 디바이스.
  • F – 방화벽
  • G – 내부 프록시 서버(선택 사항)
  • H – 회사 네트워크
  • I – 공용 인터넷

작업:

  • 1 - Intune 관리자가 서버 구성사이트를 구성합니다. 서버 구성은 사이트와 연결됩니다.
  • 2 - Intune 관리자는 Microsoft Tunnel Gateway를 설치하고 인증 플러그 인은 Microsoft Entra 사용하여 Microsoft Tunnel Gateway를 인증합니다. Microsoft Tunnel Gateway 서버가 사이트에 할당됩니다.
  • 3 - 관리 에이전트가 Intune과 통신하여 서버 구성 정책을 검색하고 Intune에 원격 분석 로그를 보냅니다.
  • 4 - Intune 관리자가 VPN 프로필 및 Defender 앱을 만들어 디바이스에 배포합니다.
  • 5 - 디바이스가 Microsoft Entra 인증합니다. 조건부 액세스 정책이 평가됩니다.
  • 6 - 분할 터널 사용:
    • 6.a - 일부 트래픽이 공용 인터넷으로 직접 이동합니다.
    • 6.b - 일부 트래픽이 Tunnel의 공용 IP 주소로 이동합니다. VPN 채널은 포트 443을 통해 TCP, TLS, UDP 및 DTLS를 사용합니다. 이 트래픽을 사용하려면 인바운드 및 아웃바운드 방화벽 포트 를 열어야 합니다.
  • 7 - 터널은 트래픽을 내부 프록시(선택 사항) 및/또는 회사 네트워크로 라우팅합니다. IT 관리자는 터널 게이트웨이 서버 내부 인터페이스의 트래픽이 내부 회사 리소스(IP 주소 범위 및 포트)로 성공적으로 라우팅될 수 있는지 확인해야 합니다.

참고

  • 터널 게이트웨이는 클라이언트를 사용하여 두 채널을 유지 관리합니다. TCP 및 TLS를 통해 컨트롤 채널이 설정됩니다. 백업 데이터 채널로도 사용됩니다. 그런 다음 기본 데이터 채널 역할을 하는 DTLS(Datagram TLS, UDP를 통한 TLS 구현)를 사용하여 UDP 채널을 설정할 것으로 보입니다. UDP 채널이 설정되지 않았거나 일시적으로 사용할 수 없는 경우 TCP/TLS를 통한 백업 채널이 사용됩니다. 기본적으로 포트 443은 TCP와 UDP 모두에 사용되지만 Intune 서버 구성 - 서버 포트 설정을 통해 사용자 정의할 수 있습니다. 기본 포트(443)를 변경할 경우 인바운드 방화벽 규칙이 사용자 지정 포트에 맞게 조정되어야 합니다.

  • 할당된 클라이언트 IP 주소(Tunnel에 대한 서버 구성IP 주소 범위 설정)는 네트워크의 다른 장치에서 볼 수 없습니다. Microsoft Tunnel Gateway는 PAT(포트 주소 변환)를 사용합니다. PAT는 서버 구성의 여러 개인 IP 주소가 포트를 사용하여 단일 IP(다대일)로 매핑되는 NAT(네트워크 주소 변환) 유형입니다. 클라이언트 트래픽은 Linux 서버 호스트의 원본 IP 주소를 가집니다.

중단 및 검사:

많은 기업 네트워크는 프록시 서버, 방화벽, SSL 차단 및 검사, 심층 패킷 검사, 데이터 손실 방지 시스템과 같은 기술을 사용하여 인터넷 트래픽에 대한 네트워크 보안을 시행합니다. 이러한 기술은 일반 인터넷 요청에 대한 중요한 위험 완화를 제공하지만 Microsoft Tunnel Gateway 및 Intune 서비스 끝점에 적용할 경우 성능, 확장성 및 최종 사용자 환경의 품질을 크게 저하시킬 수 있습니다.

다음 정보는 중단 및 검사가 지원되지 않는 위치를 간략하게 설명합니다. 참조는 이전 섹션의 아키텍처 다이어그램에 대한 것입니다.

  • 다음 영역에서는 중단 및 검사가 지원되지 않습니다.

    • Tunnel Gateway는 SSL 중단 및 검사, TLS 중단 및 검사 또는 클라이언트 연결에 대한 심층 패킷 검사를 지원하지 않습니다.
    • 방화벽, 프록시, 부하 분산 장치 또는 Tunnel Gateway로 이동하는 클라이언트 세션을 종료하고 검사하는 기술의 사용은 지원되지 않으며 클라이언트 연결이 실패합니다. (아키텍처 다이어그램의 F, DC 참조).
    • Tunnel Gateway가 인터넷 액세스에 아웃바운드 프록시를 사용하는 경우 프록시 서버는 중단을 수행하고 검사할 수 없습니다. Tunnel Gateway 관리 에이전트는 Intune에 연결할 때 TLS 상호 인증을 사용하기 때문입니다(아키텍처 다이어그램에서 3 참조). 프록시 서버에서 중단 및 검사가 활성화된 경우 프록시 서버를 관리하는 네트워크 관리자는 이러한 Intune 엔드포인트에 대한 승인 목록에 터널 게이트웨이 서버 IP 주소 및 FQDN(정규화된 도메인 이름)을 추가해야 합니다.

추가 세부 정보:

  • 조건부 액세스는 VPN 클라이언트에서 수행되며, Microsoft Tunnel Gateway 클라우드 앱을 기반으로 합니다. 비규격 디바이스는 Microsoft Entra ID에서 액세스 토큰을 받지 못하며 VPN 서버에 액세스할 수 없습니다. Microsoft Tunnel로 조건부 액세스를 사용하는 방법에 대한 자세한 내용은 Microsoft Tunnel로 조건부 액세스 사용을 참조하세요.

  • 관리 에이전트는 Azure 앱 ID/비밀 키를 사용하여 Microsoft Entra ID에 대해 권한이 부여됩니다.

다음 단계