Microsoft 365 엔드포인트 관리
여러 사무실 위치와 연결 WAN이 있는 대부분의 엔터프라이즈 조직에는 Microsoft 365 네트워크 연결을 위한 구성이 필요합니다. 모든 추가 패킷 수준 검사 또는 처리를 무시하고 방화벽을 통해 신뢰할 수 있는 모든 Microsoft 365 네트워크 요청을 직접 전송하여 네트워크를 최적화할 수 있습니다. 이렇게 하면 대기 시간 및 경계 용량 요구 사항이 줄어듭니다. Microsoft 365 네트워크 트래픽을 식별하는 것은 사용자에게 최적의 성능을 제공하는 첫 번째 단계입니다. 자세한 내용은 Microsoft 365 네트워크 연결 원칙을 참조하세요.
Microsoft는 Microsoft 365 IP 주소 및 URL 웹 서비스를 사용하여 Microsoft 365 네트워크 엔드포인트 및 지속적인 변경 내용에 액세스하는 것이 좋습니다.
중요한 Microsoft 365 네트워크 트래픽을 관리하는 방법에 관계없이 Microsoft 365에는 인터넷 연결이 필요합니다. 연결이 필요한 다른 네트워크 엔드포인트는 Microsoft 365 IP 주소 및 URL 웹 서비스에 포함되지 않은 추가 엔드포인트에 나열됩니다.
Microsoft 365 네트워크 엔드포인트를 사용하는 방법은 엔터프라이즈 조직 네트워크 아키텍처에 따라 달라집니다. 이 문서에서는 엔터프라이즈 네트워크 아키텍처가 Microsoft 365 IP 주소 및 URL과 통합할 수 있는 여러 가지 방법을 간략하게 설명합니다. 신뢰할 네트워크 요청을 선택하는 가장 쉬운 방법은 각 사무실 위치에서 자동화된 Microsoft 365 구성을 지원하는 SD-WAN 디바이스를 사용하는 것입니다.
중요한 Microsoft 365 네트워크 트래픽의 로컬 분기 송신을 위한 SD-WAN
각 지점 위치에서 Microsoft 365 엔드포인트의 최적화 범주 또는 범주 최적화 및 허용에 대한 트래픽을 Microsoft 네트워크에 직접 라우팅하도록 구성된 SD-WAN 디바이스를 제공할 수 있습니다. 온-프레미스 데이터 센터 트래픽, 일반 인터넷 웹 사이트 트래픽 및 Microsoft 365 기본 범주 엔드포인트에 대한 트래픽을 포함한 기타 네트워크 트래픽은 보다 실질적인 네트워크 경계가 있는 다른 위치로 전송됩니다.
Microsoft는 SD-WAN 공급자와 협력하여 자동화된 구성을 사용하도록 설정하고 있습니다. 자세한 내용은 Microsoft 365 네트워킹 파트너 프로그램을 참조하세요.
중요한 Microsoft 365 트래픽의 직접 라우팅에 PAC 파일 사용
PAC 또는 WPAD 파일을 사용하여 Microsoft 365와 연결되었지만 IP 주소가 없는 네트워크 요청을 관리합니다. 일반적으로 프록시 또는 경계 장치를 통해 전송되는 네트워크 요청은 추가 지연 시간을 증가시킵니다. TLS 중단 및 검사는 가장 큰 대기 시간을 만들지만 프록시 인증 및 평판 조회와 같은 다른 서비스는 성능 저하 및 사용자 환경 저하를 일으킬 수 있습니다. 또한 이러한 경계 네트워크 장치에는 모든 네트워크 요청을 처리하기 위한 충분한 용량이 필요합니다. 직접 Microsoft 365 네트워크 요청에 대한 프록시 또는 검사 디바이스를 우회하는 것이 좋습니다.
PowerShell 갤러리 Get-PacFile 은 Microsoft 365 IP 주소 및 URL 웹 서비스에서 최신 네트워크 엔드포인트를 읽고 샘플 PAC 파일을 만드는 PowerShell 스크립트입니다. 기존 PAC 파일 관리에 통합되도록 스크립트를 수정할 수 있습니다.
참고
Microsoft 365 엔드포인트에 대한 직접 연결의 보안 및 성능 고려 사항에 대한 자세한 내용은 Microsoft 365 네트워크 연결 원칙을 참조하세요.
그림 1 - 간단한 엔터프라이즈 네트워크 경계
PAC 파일은 그림 1의 점 1에서 웹 브라우저에 배포됩니다. 중요한 Microsoft 365 네트워크 트래픽을 직접 송신하기 위해 PAC 파일을 사용하는 경우 네트워크 경계 방화벽에서 이러한 URL 뒤에 있는 IP 주소에 대한 연결을 허용해야 합니다. 이 작업은 PAC 파일에 지정된 것과 동일한 Microsoft 365 엔드포인트 범주에 대한 IP 주소를 가져오고 해당 주소를 기반으로 방화벽 ACL을 만들어서 수행됩니다. 방화벽은 그림 1의 점 3입니다.
최적화 범주 엔드포인트에 대해서만 직접 라우팅을 수행하도록 선택하는 경우 프록시 서버에 보내는 필수 허용 범주 엔드포인트를 프록시 서버에 나열하여 추가 처리를 무시해야 합니다. 예를 들어 TLS 중단 및 검사 및 프록시 인증은 최적화 및 허용 범주 엔드포인트와 호환되지 않습니다. 프록시 서버는 그림 1의 점 2입니다.
일반적인 구성은 프록시 서버에 도달한 Microsoft 365 네트워크 트래픽에 대한 대상 IP 주소에 대해 프록시 서버의 모든 아웃바운드 트래픽을 처리하지 않고 허용하는 것입니다. TLS 중단 및 검사 문제에 대한 자세한 내용은 Microsoft 365 트래픽에서 타사 네트워크 디바이스 또는 솔루션 사용을 참조하세요.
Get-PacFile 스크립트에서 생성하는 두 가지 유형의 PAC 파일이 있습니다.
유형 | 설명 |
---|---|
1 |
최적화 끝점 트래픽을 직접 보내고 기타 모든 항목을 프록시 서버에 보냅니다. |
2 |
최적화 및 허용 끝점 트레픽을 직접 보내고 기타 모든 항목을 프록시 서버에 보냅니다. 이 형식을 사용하여 지원되는 모든 Microsoft 365 트래픽을 ExpressRoute 네트워크 세그먼트로 보내고 다른 모든 트래픽을 프록시 서버로 보낼 수도 있습니다. |
다음은 PowerShell 스크립트를 호출하는 간단한 예입니다.
Get-PacFile -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
스크립트에 전달할 수 있는 매개 변수는 다음과 같습니다.
매개 변수 | 설명 |
---|---|
ClientRequestId |
이는 필수 요소이며 호출하는 클라이언트 시스템을 나타내는 웹 서비스에 전달되는 GUID입니다. |
Instance |
Microsoft 365 서비스 인스턴스는 기본적으로 Worldwide로 설정됩니다. 이는 웹 서비스에도 전달됩니다. |
TenantName |
Microsoft 365 테넌트 이름입니다. 웹 서비스에 전달되고 일부 Microsoft 365 URL에서 대체 가능한 매개 변수로 사용됩니다. |
Type |
생성할 프록시 PAC 파일의 형식입니다. |
다음은 더 많은 매개 변수를 사용하여 PowerShell 스크립트를 호출하는 또 다른 예입니다.
Get-PacFile -Type 2 -Instance Worldwide -TenantName Contoso -ClientRequestId b10c5ed1-bad1-445f-b386-b919946339a7
Microsoft 365 네트워크 트래픽의 프록시 서버 바이패스 처리
PAC 파일이 직접 아웃바운드 트래픽에 사용되지 않는 경우 프록시 서버를 구성하여 네트워크 경계에서 처리를 무시하려고 합니다. 일부 프록시 서버 공급업체는 Microsoft 365 네트워킹 파트너 프로그램에 설명된 대로 자동화된 구성을 사용하도록 설정했습니다.
이 작업을 수동으로 수행하는 경우 Microsoft 365 IP 주소 및 URL 웹 서비스에서 엔드포인트 범주 최적화 및 허용 데이터를 가져오고 이러한 처리를 무시하도록 프록시 서버를 구성해야 합니다. 최적화 및 허용 범주 엔드포인트에 대한 TLS 중단 및 검사 및 프록시 인증을 피하는 것이 중요합니다.
Microsoft 365 IP 주소 및 URL에 대한 변경 관리
네트워크 경계에 적합한 구성을 선택하는 것 외에도 Microsoft 365 엔드포인트에 대한 변경 관리 프로세스를 채택하는 것이 중요합니다. 이러한 엔드포인트는 정기적으로 변경됩니다. 변경 내용을 관리하지 않으면 사용자가 차단되거나 새 IP 주소 또는 URL이 추가된 후 성능이 저하될 수 있습니다.
Microsoft 365 IP 주소 및 URL에 대한 변경 내용은 일반적으로 매월 마지막 날에 게시됩니다. 운영, 지원 또는 보안 요구 사항으로 인해 변경 내용이 해당 일정 외에 게시되는 경우도 있습니다.
IP 주소 또는 URL이 추가되었기 때문에 조치를 취해야 하는 변경 내용이 게시되면 변경 내용이 게시된 시점부터 해당 엔드포인트에 Microsoft 365 서비스가 있을 때까지 30일 전에 알림을 받아야 합니다. 이는 유효 날짜로 반영됩니다. 이 알림 기간을 목표로 하지만 운영, 지원 또는 보안 요구 사항으로 인해 항상 가능하지는 않을 수 있습니다. IP 주소 또는 URL 제거 또는 덜 중요한 변경과 같이 연결을 유지하기 위해 즉각적인 조치가 필요하지 않은 변경 내용은 사전 알림을 포함하지 않습니다. 이러한 경우 유효 날짜는 제공되지 않습니다. 제공되는 알림과 상관없이 각 변경 내용에 대한 예상 서비스 활성 날짜를 나열합니다.
웹 서비스를 사용하여 변경 알림
Microsoft 365 IP 주소 및 URL 웹 서비스를 사용하여 변경 알림을 받을 수 있습니다. 한 시간에 한 번 /version 웹 메서드를 호출하여 Microsoft 365에 연결하는 데 사용하는 엔드포인트의 버전을 확인하는 것이 좋습니다. 사용중인 버전과 비교할 때 이 버전이 변경되면 /endpoints 웹 메소드에서 최신 끝점 데이터를 받고 선택적으로 /changes 웹 메소드와의 차이를 가져옵니다. 찾은 버전이 변경되지 않은 경우 /endpoints 또는 /changes 웹 메서드를 호출할 필요가 없습니다.
자세한 내용은 Microsoft 365 IP 주소 및 URL 웹 서비스를 참조하세요.
RSS 피드를 사용하여 변경 알림
Microsoft 365 IP 주소 및 URL 웹 서비스는 Outlook에서 구독할 수 있는 RSS 피드를 제공합니다. IP 주소 및 URL에 대한 각 Microsoft 365 서비스 인스턴스별 페이지에 RSS URL에 대한 링크가 있습니다. 자세한 내용은 Microsoft 365 IP 주소 및 URL 웹 서비스를 참조하세요.
Power Automate를 사용하여 알림 및 승인 검토 변경
매월 제공되는 네트워크 끝점 변경에 대해 수동 처리가 필요할 수도 있음을 알고 있습니다. Power Automate를 사용하여 전자 메일로 사용자에게 알리고 Microsoft 365 네트워크 엔드포인트가 변경된 경우 필요에 따라 변경에 대한 승인 프로세스를 실행하는 흐름을 만들 수 있습니다. 검토가 완료되면 흐름에서 방화벽 및 프록시 서버 관리 팀에 자동으로 변경 내용을 전자 메일로 보낼 수 있습니다.
Power Automate 샘플 및 템플릿에 대한 자세한 내용은 Power Automate를 사용하여 Microsoft 365 IP 주소 및 URL 변경에 대한 메일 수신을 참조하세요.
Microsoft 365 네트워크 엔드포인트 FAQ
Microsoft 365 네트워크 연결에 대한 질문과 대답을 참조하세요.
질문을 제출하려면 어떻게 하나요?
아래쪽에서 링크를 선택하여 문서가 도움이 되었는지 여부를 나타내고 더 이상 질문을 제출합니다. Microsoft에서는 의견을 모니터링하며 가장 자주 묻는 질문을 여기에 업데이트합니다.
내 테넌트의 위치를 확인하려면 어떻게 하나요?
테넌트 위치는 데이터 센터 맵을 사용하여 확인할 수 있습니다.
내가 Microsoft와 적절하게 피어링되고 있나요?
피어링 위치는 Microsoft와의 피어링에 자세히 설명되어 있습니다.
전 세계적으로 2,500개가 넘는 ISP 피어링 관계와 70개의 클라이언트에서 로그인을 통해 사용자의 네트워크에서 Microsoft 네트워크로 원활하게 연결할 수 있습니다. ISP의 피어링 관계가 최적인지 확인하는 데 시간을 들일 필요가 없습니다. Microsoft 네트워크에 대한 좋은 피어링 분배와 좋지 않은 피어링 분배의 몇 가지는 예가 여기에 나와 있습니다.
게시된 목록에 없는 IP 주소에 대한 네트워크 요청이 표시됩니다. 해당 주소에 대한 액세스를 제공해야 하나요?
직접 라우팅해야 하는 Microsoft 365 서버에 대한 IP 주소만 제공합니다. 이 목록은 네트워크 요청이 표시되는 모든 IP 주소의 전체 목록이 아닙니다. Microsoft 및 타사 소유의 게시되지 않은 IP 주소에 대한 네트워크 요청이 표시됩니다. 이러한 IP 주소는 동적으로 생성되거나 변경될 때 시기 적절한 통지를 방지하는 방법으로 관리됩니다. 방화벽에서 이러한 네트워크 요청에 대한 FQDN을 기준으로 액세스를 허용할 수 없는 경우 PAC 또는 WPAD 파일을 사용하여 요청을 관리합니다.
자세한 내용을 보려면 Microsoft 365와 연결된 IP를 참조하세요.
- IPv4 혹은 IPv6 같은 CIDR 계산기를 사용하여 IP 주소가 더 큰 게시된 범위에 포함되는지 확인합니다. 예를 들어 40.96.0.0/13에는 40.96이 40.103과 일치하지 않더라도 40.103.0.1 IP 주소를 포함합니다.
- whois 쿼리를 사용하여 파트너가 IP를 소유하는지 확인합니다. Microsoft가 소유한 경우 내부 파트너일 수 있습니다. 대부분의 파트너 네트워크 엔드포인트는 IP 주소가 게시되지 않는 기본 범주에 속하는 것으로 나열됩니다.
- IP 주소는 Microsoft 365 또는 종속성의 일부가 아닐 수 있습니다. Microsoft 365 네트워크 엔드포인트 게시에는 모든 Microsoft 네트워크 엔드포인트가 포함되지 않습니다.
- 인증서를 확인합니다. 브라우저를 사용하여 HTTPS://< 사용하여 IP 주소에 연결하고IP_ADDRESS> 인증서에 나열된 도메인을 확인하여 IP 주소와 연결된 도메인을 이해합니다. Microsoft 소유 IP 주소이고 Microsoft 365 IP 주소 목록에 없는 경우 IP 주소는 게시된 IP 정보 없이 MSOCDN.NET 또는 다른 Microsoft 도메인과 같은 Microsoft CDN과 연결될 수 있습니다. 인증서의 도메인이 Microsoft가 IP 주소를 나열하려고 요구하는 도메인인 경우 알려주세요.
일부 Microsoft 365 URL은 DNS의 A 레코드 대신 CNAME 레코드를 가리킵니다. CNAME 레코드로 무엇을 해야 하나요?
클라이언트 컴퓨터에는 클라우드 서비스에 연결하기 위해 하나 이상의 IP 주소가 포함된 DNS A 또는 AAAA 레코드가 필요합니다. Microsoft 365에 포함된 일부 URL은 A 또는 AAAA 레코드 대신 CNAME 레코드를 표시합니다. 이러한 CNAME 레코드는 중개자이며 체인에 몇 가지가 있을 수 있습니다. 결국 IP 주소에 대한 A 또는 AAAA 레코드로 확인됩니다. 예를 들어 궁극적으로 IP 주소 IP_1 확인되는 다음 일련의 DNS 레코드를 고려합니다.
serviceA.office.com -> CNAME: serviceA.domainA.com -> CNAME: serviceA.domainB.com -> A: IP_1
이러한 CNAME 리디렉션은 DNS의 일반적인 부분이며 클라이언트 컴퓨터에 투명하며 프록시 서버에 투명합니다. 부하 분산, 콘텐츠 배달 네트워크, 고가용성 및 서비스 인시던트 완화에 사용됩니다. Microsoft는 중간 CNAME 레코드를 게시하지 않으며, 언제든지 변경될 수 있으며 프록시 서버에서 허용된 대로 구성할 필요가 없습니다.
프록시 서버는 위의 예제에서 serviceA.office.com 초기 URL의 유효성을 검사하며 이 URL은 Microsoft 365 게시에 포함됩니다. 프록시 서버는 해당 URL의 DNS 확인을 IP 주소로 요청하고 IP_1 다시 받습니다. 중간 CNAME 리디렉션 레코드의 유효성을 검사하지 않습니다.
하드 코딩된 구성 또는 간접 Microsoft 365 FQDN 기반 허용 목록을 사용하는 것은 권장되지 않으며 Microsoft에서 지원되지 않습니다. 고객 연결 문제를 일으키는 것으로 알려져 있습니다. CNAME 리디렉션을 차단하거나 Microsoft 365 DNS 항목을 잘못 해결하는 DNS 솔루션은 DNS 재귀를 사용하도록 설정된 DNS 전달자를 통해 또는 DNS 루트 힌트를 사용하여 해결할 수 있습니다. 대부분의 타사 네트워크 경계 제품은 기본적으로 권장되는 Microsoft 365 엔드포인트를 통합하여 Microsoft 365 IP 주소 및 URL 웹 서비스를 사용하여 구성에 허용 목록을 포함합니다.
Microsoft 도메인 이름에 nsatc.net 또는 akadns.net과 같은 이름이 표시되는 이유는 무엇인가요?
Microsoft 365 및 기타 Microsoft 서비스는 Akamai 및 MarkMonitor와 같은 여러 타사 서비스를 사용하여 Microsoft 365 환경을 개선합니다. 최상의 환경을 계속 제공하기 위해 향후 이러한 서비스를 변경할 수 있습니다. 타사 도메인은 CDN과 같은 콘텐츠를 호스트하거나 지리적 트래픽 관리 서비스와 같은 서비스를 호스트할 수 있습니다. 현재 사용 중인 몇 가지 서비스는 다음과 같습니다.
*.nsatc.net 포함된 요청이 표시되면 MarkMonitor가 사용 중입니다. 이 서비스는 악의적인 동작으로부터 보호하기 위해 도메인 이름 보호 및 모니터링을 제공합니다.
ExactTarget 은 *.exacttarget.com 대한 요청이 표시되면 사용 중입니다. 이 서비스는 악의적인 동작으로부터 전자 메일 링크 관리 및 모니터링을 제공합니다.
Akamai는 다음 FQDN 중 하나를 포함하는 요청이 표시될 때 사용되고 있습니다. 이 서비스는 지역 DNS 및 콘텐츠 배달 네트워크 서비스를 제공합니다.
*.akadns.net
*.akam.net
*.akamai.com
*.akamai.net
*.akamaiedge.net
*.akamaihd.net
*.akamaized.net
*.edgekey.net
*.edgesuite.net
Microsoft 365에 대해 가능한 최소 연결이 있어야 합니다.
Microsoft 365는 인터넷을 통해 작동하도록 빌드된 서비스 제품군이므로 안정성 및 가용성 약속은 사용 가능한 많은 표준 인터넷 서비스를 기반으로 합니다. 예를 들어 대부분의 최신 인터넷 서비스를 사용하려면 연결할 수 있어야 하는 것처럼 DNS, CRL 및 CDN과 같은 표준 인터넷 서비스에 연결하여 Microsoft 365를 사용할 수 있어야 합니다.
Microsoft 365 제품군은 세 가지 기본 워크로드와 일반적인 리소스 집합을 나타내는 네 가지 주요 서비스 영역으로 나뉩니다. 이러한 서비스 영역은 트래픽 흐름을 특정 애플리케이션과 연결하는 데 사용할 수 있지만 기능이 여러 워크로드에서 엔드포인트를 사용하는 경우가 많기 때문에 이러한 서비스 영역을 효과적으로 사용하여 액세스를 제한할 수 없습니다.
서비스 영역 | 설명 |
---|---|
Exchange |
Exchange Online 및 Exchange Online Protection |
SharePoint |
SharePoint Online 및 비즈니스용 OneDrive |
비즈니스용 Skype Online 및 Microsoft Teams |
비즈니스용 Skype Online 및 Microsoft Teams |
공통 |
Microsoft 365 Pro Plus, 브라우저의 Office, Microsoft Entra ID 및 기타 일반적인 네트워크 엔드포인트 |
기본 인터넷 서비스 외에 기능을 통합하는 데만 사용되는 타사 서비스도 있습니다. 이러한 서비스는 통합에 필요하지만 Microsoft 365 엔드포인트 문서에서 선택 사항으로 표시됩니다. 즉, 엔드포인트에 액세스할 수 없는 경우 서비스의 핵심 기능이 계속 작동합니다. 필요한 모든 네트워크 엔드포인트에는 필수 특성이 true로 설정됩니다. 선택 사항인 모든 네트워크 엔드포인트에는 필수 특성이 false로 설정되고 notes 특성은 연결이 차단될 경우 예상해야 하는 누락된 기능을 자세히 설명합니다.
Microsoft 365를 사용하려고 하고 타사 서비스에 액세스할 수 없는 경우 이 문서의 필수 또는 선택 사항으로 표시된 모든 FQDN이 프록시 및 방화벽을 통해 허용되는지 확인하려고 합니다.
Microsoft 소비자 서비스에 대한 액세스를 차단하려면 어떻게 하나요?
테넌트 제한 기능은 이제 OneDrive, Hotmail 및 Xbox.com 같은 모든 MSA 앱(Microsoft 소비자 애플리케이션)의 사용을 차단할 수 있습니다. 이 기능은 login.live.com 엔드포인트에 별도의 헤더를 사용합니다. 자세한 내용은 테넌트 제한을 사용하여 SaaS 클라우드 애플리케이션에 대한 액세스 관리를 참조하세요.
방화벽에 IP 주소가 필요하며 URL을 처리할 수 없습니다. Microsoft 365용으로 구성하려면 어떻게 하나요?
Microsoft 365는 필요한 모든 네트워크 엔드포인트의 IP 주소를 제공하지 않습니다. 일부는 URL로만 제공 되며 기본값으로 분류됩니다. 필요한 기본 범주의 URL은 프록시 서버를 통해 허용해야 합니다. 프록시 서버가 없는 경우 사용자가 웹 브라우저의 주소 표시줄에 입력하는 URL에 대한 웹 요청을 구성한 방법을 확인합니다. 사용자도 IP 주소를 제공하지 않습니다. IP 주소를 제공하지 않는 Microsoft 365 기본 범주 URL은 동일한 방식으로 구성되어야 합니다.
관련 문서
Microsoft 365 IP 주소 및 URL 웹 서비스