어느 위치에서든 모든 장치에서 회사 리소스에 안전하게 액세스

 

이 가이드의 활용 방법

이 가이드의 대상

이 가이드는 인프라 설계사, 엔터프라이즈 보안 전문가 및 IT와 BYOD(Bring Your Own Device)의 소비 확대 정책에 사용할 수 있는 솔루션을 파악하려는 장치 관리 전문가가 있는 기존의 IT 기업을 대상으로 합니다. 이 가이드에 설명된 종단 간 솔루션은 Microsoft Enterprise Mobility 비전의 일부입니다.

회사 소유 장치, 개인 장치 및 장치를 사용하여 온-프레미스 또는 클라우드 환경의 회사 리소스에 액세스하는 소비자 등 장치가 폭발적으로 증가하는 현재 추세로 인해 IT 담당자는 사용자 생산성과 장치의 사용 및 ID 관련 만족도를 향상시키고 회사 리소스 및 응용 프로그램에 연결하는 환경을 개선해야만 합니다. 동시에 이러한 추세는 다양한 관리 및 보안 문제를 IT 조직에 발생시켜 악의적인 의도로부터 엔터프라이즈 인프라 및 회사 데이터를 보호해야 합니다. 또한 이러한 회사는 장치 유형이나 위치에 관계없이 회사 정책에 따라 리소스에 액세스할 수 있도록 해야 합니다.

Windows Server 2012 R2의 다양한 기술을 구현하고 구성하여 현재 인프라를 확장함으로써 이러한 문제를 해결하는 종단 간 솔루션을 설정할 수 있습니다.

다음 다이어그램에서는 이 솔루션 가이드로 해결할 수 있는 문제를 보여 줍니다. 또한 개인 및 회사 장치를 사용하여 클라우드와 온-프레미스 환경에서 응용 프로그램 및 데이터에 액세스하는 방법을 사용자에게 보여 줍니다. 이러한 응용 프로그램 및 리소스는 방화벽 내부 또는 외부에 있을 수 있습니다.

이 솔루션 가이드의 내용

• 시나리오, 문제 설명 및 목표

• 이 솔루션에 대해 권장되는 설계

• 이 솔루션을 구현하는 단계

시나리오, 문제 설명 및 목표

이 섹션에서는 예제 조직에 대한 시나리오, 문제 설명 및 목표에 대해 설명합니다.

시나리오

조직은 중간 규모의 은행입니다. 이 조직에 채용된 5,000명 이상의 직원이 개인 장치(Windows RT 및 iOS 기반 장치)를 업무에 사용하고 있습니다. 현재 직원들은 이러한 장치에서 회사 리소스에 액세스할 수 있는 방법이 없습니다.

현재 인프라로는 도메인 컨트롤러에 Windows Server 2012가 설치된 Active Directory 포리스트가 있으며, 원격 액세스 서버 및 System Center를 통한 System Center Configuration Manager도 있습니다.

문제 설명

IT 팀에서 회사의 관리 팀에 제출한 최근 보고서에 따르면 더 많은 사용자가 개인 장치를 업무에 사용하기 시작했으며 회사 데이터 액세스에 대한 요구도 증가하고 있습니다. 관리 팀은 더 많은 사용자가 개인 장치를 사용하고 회사는 이러한 요구를 안전하게 수용하는 솔루션을 구현해야 한다는 시장의 이러한 추세를 이해하고 있습니다. 요약하자면 회사의 IT 팀은 다음을 수행해야 합니다.

• 직원이 회사 장치뿐만 아니라 개인 장치를 사용하여 회사 응용 프로그램과 데이터에 액세스할 수 있도록 합니다. 이러한 장치에는 PC 및 모바일 장치가 포함됩니다.

• 최종 사용자의 요구 및 이러한 장치에 대한 회사의 정책에 따라 리소스에 대한 보안 액세스를 제공해야 합니다. 장치 간 사용자 환경이 원활해야 합니다.

• 장치를 식별하고 관리해야 합니다.

조직 목표

이 가이드에서는 다음 목표를 달성하도록 회사의 인프라를 확장하는 솔루션을 종합합니다.

• 개인 및 회사 장치의 간단한 등록

• 필요한 경우 내부 리소스에 원활한 연결

• 장치 전체에서 회사 리소스에 일관된 액세스

이 솔루션에 대해 권장되는 설계

비즈니스 문제를 해결하고 앞에서 설명한 모든 목표를 충족하려면 조직에서 여러 가지 하위 시나리오를 구현해야 합니다. 이러한 각 하위 시나리오는 다음 그림에 전체적으로 표현되어 있습니다.

1. 사용자가 자신의 장치를 등록하고 Single Sign-On 환경을 사용할 수 있도록 설정

2.  회사 리소스에 대한 원활한 액세스 설정 

3. 액세스 제어 위험 관리 향상 

4. 통합 장치 관리

사용자가 자신의 장치를 등록하고 Single Sign-On 환경을 사용할 수 있도록 설정

이 솔루션 부분에는 다음과 같은 중요한 단계가 포함됩니다.

• IT 관리자는 장치를 회사의 Active Directory에 연결하고 이 연결을 원활한 2단계 인증으로 사용하도록 장치 등록을 설정할 수 있습니다. 작업 공간 연결은 사용자가 회사 디렉터리에 장치를 안전하게 등록할 수 있도록 하는 Active Directory의 새로운 기능입니다. 이 등록에서는 사용자가 회사 리소스에 액세스할 때 장치를 인증하는 데 사용할 수 있는 인증서를 장치에 제공합니다. 이 연결을 사용하여 IT 전문가는 사용자를 인증하고 회사 리소스에 액세스할 때 작업 공간 연결 장치를 사용하도록 하는 사용자 지정 액세스 정책을 구성할 수 있습니다.

• IT 관리자는 회사의 Active Directory에 연결된 장치에서 SSO(Single Sign-On)를 설정할 수 있습니다. SSO는 최종 사용자가 회사에서 제공하는 응용 프로그램에 액세스할 때 한 번 로그인하면 회사 응용 프로그램에 추가로 액세스할 때 로그인 정보를 다시 요청하지 않는 기능입니다. Windows Server 2012 R2에서는 SSO 기능이 작업 공간 연결 장치로 확장됩니다. 따라서 최종 사용자 환경이 개선되며 각 응용 프로그램에서 사용자 자격 증명을 저장하는 위험을 방지할 수 있습니다. 또한 개인 장치나 회사 소유 장치에서 암호를 수집하는 기회를 제한하는 장점도 있습니다.

다음 다이어그램에서는 작업 공간 연결의 상위 스냅숏을 제공합니다.

이러한 각 기능은 다음 표에서 자세히 설명합니다.

솔루션 디자인 요소	이 솔루션에 포함된 이유
작업 공간 연결	작업 공간 연결을 통해 사용자는 자신의 장치를 회사 디렉터리에 안전하게 등록할 수 있습니다. 이 등록에서는 사용자가 회사 리소스에 액세스할 때 장치를 인증하는 데 사용할 수 있는 인증서를 장치에 제공합니다. 자세한 내용은 HYPERLINK "https://technet.microsoft.com/library/dn280945.aspx" 회사 응용 프로그램 전체에서 SSO 및 원활한 두 번째 요소 인증을 위해 모든 장치에서 작업 공간에 연결을 참조하세요.

이 기능을 구성하는 데 필요한 서버 역할 및 기술은 다음 표에 나열되어 있습니다.

솔루션 디자인 요소	이 솔루션에 포함된 이유
Windows Server 2012 R2 스키마 업데이트가 있는 도메인 컨트롤러	AD DS(Active Directory 도메인 서비스) 인스턴스는 사용자 및 장치를 인증하고 액세스 정책 및 중앙 구성 정책을 적용하기 위해 ID 디렉터리를 제공합니다. 이 솔루션을 위한 디렉터리 서비스 인프라 설정에 대한 자세한 내용은 Windows Server 2012 R2 및 Windows Server 2012로 도메인 컨트롤러 업그레이드를 참조하세요.
장치 등록 서비스가 있는 AD FS	AD FS(Active Directory Federation Services)를 통해 관리자는 DRS(장치 등록 서비스)를 구성하고 장치에 대한 작업 공간 연결 프로토콜을 구현하여 Active Directory에 작업 공간 연결할 수 있습니다. 또한 AD FS는 장치 인증과 사용자, 장치 및 위치 조건을 포함하는 조건부 액세스 제어 정책뿐만 아니라 OAuth 인증 프로토콜로 기능이 향상되었습니다. AD FS 디자인 인프라 계획에 대한 자세한 내용은 Windows Server 2012 R2의 AD FS 디자인 가이드를 참조하세요.

도메인 컨트롤러 설정을 위한 디자인 고려 사항

이 솔루션의 경우 도메인 컨트롤러에서 Windows Server 2012 R2를 실행할 필요가 없습니다. 현재 AD DS 설치에서 스키마 업데이트만 수행하면 됩니다. 스키마 확장에 대한 자세한 내용은 Active Directory 도메인 서비스 설치를 참조하세요. 스키마는 Running Adprep.exe를 실행하여 Windows Server 2012 R2를 실행하는 도메인 컨트롤러를 설치하지 않고도 기존 도메인 컨트롤러에서 업데이트할 수 있습니다.

새로운 기능, 시스템 요구 사항 및 설치를 시작하기 전에 충족되어야 하는 필수 조건에 대한 자세한 목록은 AD DS 설치 관련 필수 구성 요소 확인 및 시스템 요구 사항을 참조하세요.

AD FS의 디자인 고려 사항

AD FS 환경을 계획하려면 AD FS 배포 목표 식별을 참조하세요.

회사 리소스에 대한 원활한 액세스 설정

오늘날의 직원들은 많이 이동하며 업무를 수행하는 위치에 관계없이 업무 수행에 필요한 응용 프로그램에 액세스할 수 있기를 바랍니다. 회사를 이러한 요구를 충족시키기 위해 VPN, 직접 액세스 및 원격 데스크톱 게이트웨이를 사용하는 등 여러 가지 전략을 채택했습니다.

그러나 Bring Your Own Device 환경에서 이러한 방법은 많은 고객에게 필요한 보안 격리 수준을 제공하지 못합니다. 이러한 요구를 충족하기 위해 웹 응용 프로그램 프록시 역할 서비스가 Windows Server RRAS(라우팅 및 원격 액세스 서비스) 역할에 포함되었습니다. 이 역할 서비스를 사용하면 회사 네트워크 외부에서 액세스할 엔터프라이즈 LOB(기간 업무) 웹 앱을 선택적으로 게시할 수 있습니다.

클라우드 폴더는 사용자가 회사 파일 서버의 파일을 자신의 장치로 동기화할 수 있는 새로운 파일 동기화 솔루션입니다. 이 동기화를 위한 프로토콜은 HTTPS 기반입니다. 따라서 웹 응용 프로그램 프록시를 통해 쉽게 게시할 수 있습니다. 즉, 사용자가 인트라넷과 인터넷에서 모두 동기화할 수 있다는 의미입니다. 또한 앞에서 설명한 동일한 AD FS 기반 인증 및 권한 부여 컨트롤을 회사 파일 동기화에 적용할 수 있습니다. 그러면 파일이 장치의 암호화된 위치에 저장됩니다. 이러한 파일은 관리를 위해 장치의 등록을 해제할 때 선택적으로 제거할 수 있습니다.

Windows Server 2012 R2에서는 DirectAccess 및 RRAS(라우팅 및 원격 액세스 서비스) VPN이 단일 원격 액세스 역할로 결합됩니다. 이 새로운 원격 액세스 서버 역할은 DirectAccess 및 VPN 기반 원격 액세스 서비스의 중앙 집중식 관리, 구성 및 모니터링을 허용합니다.

Windows Server 2012 R2에서는 조직의 IT 부서에서 세션 기반 데스크톱뿐만 아니라 개인 및 풀링된 가상(VM) 기반 데스크톱을 자유롭게 선택할 수 있는 VDI(가상 데스크톱 인프라)를 제공합니다. 또한 요구 사항에 따라 여러 가지 저장소 옵션을 IT 부서에 제공합니다.

다음 다이어그램에서는 회사 리소스에 대한 원활한 액세스를 보장하기 위해 구현할 수 있는 기술을 보여 줍니다.

회사 리소스에 대한 액세스 계획

솔루션 디자인 요소	이 솔루션에 포함된 이유
웹 응용 프로그램 프록시	Multi-Factor Authentication 및 사용자가 리소스에 연결할 때 조건부 액세스 정책을 적용하는 등 회사 리소스의 게시를 허용합니다. 자세한 내용은 웹 응용 프로그램 프록시 배포 가이드를 참조하세요.
클라우드 폴더(파일 서버)	사용자 장치와 파일의 동기화를 허용하도록 구성된 회사 환경에서 파일 서버의 중앙 위치입니다. 클라우드 폴더는 역방향 프록시를 통해 직접 게시하거나 조건부 액세스 정책 적용을 위해 웹 응용 프로그램 프록시를 통해 게시할 수 있습니다. 자세한 내용은 클라우드 폴더 개요를 참조하세요.
원격 액세스	이 새로운 원격 액세스 서버 역할은 DirectAccess 및 VPN 기반 원격 액세스 서비스의 중앙 집중식 관리, 구성 및 모니터링을 허용합니다. 또한 Windows Server 2012 DirectAccess에서는 배포 차단 문제를 해결하고 간단해진 관리 기능을 제공하는 여러 가지 업데이트 및 기능 향상을 제공합니다. 자세한 내용은 802.1X 인증된 무선 액세스 개요를 참조하세요.
VDI	VDI를 통해 조직은 회사 데이터 센터 내에서 실행되는 인프라(원격 데스크톱 연결 브로커, 원격 데스크톱 세션 호스트 및 원격 데스크톱 웹 액세스 역할 서비스)를 사용하여 내부 및 외부 위치의 개인 장치 및 회사 장치에서 액세스할 수 있도록 회사 데스크톱 및 응용 프로그램을 직원에게 제공할 수 있습니다. 자세한 내용은 가상 데스크톱 인프라를 참조하세요.

웹 응용 프로그램 프록시 배포를 위한 디자인 고려 사항

이 섹션에서는 웹 응용 프로그램 프록시를 배포하고 이 프록시를 통해 응용 프로그램을 게시하는 데 필요한 계획 단계를 소개합니다. 이 시나리오에서는 인증 및 권한 부여에 AD FS를 사용하는 등 작업 공간 연결, MFA(Multi-Factor Authentication), 다단계 액세스 제어와 같은 AD FS 기능의 이점을 활용할 수 있는 사전 인증 방법에 대해 설명합니다. 이러한 계획 단계는 웹 응용 프로그램 프록시를 통한 응용 프로그램 게시 계획에 자세히 설명되어 있습니다.

클라우드 폴더 배포를 위한 디자인 고려 사항

이 섹션에서는 클라우드 폴더 구현의 디자인 프로세스를 설명하고 소프트웨어 요구 사항, 배포 시나리오, 디자인 검사 목록 및 추가 디자인 고려 사항에 대한 정보를 제공합니다.클라우드 폴더 구현 디자인의 단계에 따라 기본 검사 목록을 만듭니다.

원격 액세스 인프라 배포를 위한 디자인 고려 사항

이 섹션에서는 기본 기능을 갖춘 단일 Windows Server 2012 원격 액세스 서버 배포를 계획하는 동안 고려해야 하는 일반적인 사항에 대해 설명합니다.

1. DirectAccess 인프라 계획: 네트워크 및 서버 토폴로지, 방화벽 설정, 인증서 요구 사항, DNS 및 Active Directory를 계획합니다.

2. DirectAccess 배포 계획: 클라이언트 및 서버 배포를 계획합니다.

액세스 제어 위험 관리 향상

Windows Server 2012 R2를 사용하면 조직은 사용자의 ID, 등록된 장치의 ID 및 사용자의 네트워크 위치(사용자가 회사 경계 내부에 있는지에 관계없음)에 따라 회사 리소스 액세스에 대한 제어를 설정할 수 있습니다. 웹 응용 프로그램 프록시에 통합된 Multi-Factor Authentication을 사용하여 IT 부서는 사용자 및 장치가 회사 환경에 연결될 때 추가 인증 계층을 활용할 수 있습니다.

손상된 사용자 계정과 관련된 위험을 쉽게 제한하려면 Windows Server 2012 R2에서 Active Directory를 사용하여 Multi-Factor Authentication을 구현하는 것이 훨씬 더 간단합니다. 플러그 인 모델을 사용하면 다양한 위험 관리 솔루션을 AD FS에 직접 구성할 수 있습니다.

Windows Server 2012 R2에서는 다음을 포함하여 AD FS의 다양한 액세스 제어 위험 관리 기능이 향상되었습니다.

• 네트워크 위치에 따라 사용자가 AD FS 보안 응용 프로그램에 액세스하기 위해 인증하는 방법을 관리하는 유연한 제어

• 사용자의 데이터, 장치 데이터 및 네트워크 위치에 따라 사용자가 Multi-Factor Authentication을 수행해야 하는지를 결정하는 유연한 정책

• SSO를 무시하고 사용자가 중요한 응용 프로그램에 액세스할 때마다 자격 증명을 제공하도록 하는 응용 프로그램별 제어

• 사용자 데이터, 장치 데이터 또는 네트워크 위치에 따라 유연한 응용 프로그램별 액세스 정책 AD FS 엑스트라넷 잠금을 통해 관리자는 인터넷의 무차별 암호 대입 공격으로부터 Active Directory 계정을 보호할 수 있습니다.

• Active Directory에서 사용할 수 없도록 설정되거나 삭제된 작업 공간 연결 장치에 대한 액세스 해지

다음 다이어그램에서는 액세스 제어 위험 완화를 개선하기 위해 향상된 Active Directory 기능을 보여 줍니다.

사용자, 장치 및 응용 프로그램에 대한 액세스 관리 및 위험 완화 구현을 위한 디자인 고려 사항

솔루션 디자인 요소	이 솔루션에 포함된 이유
작업 공간 연결(DRS[장치 등록 서비스]에서 사용)	조직은 SSO를 사용하는 장치 인증 및 2단계 인증을 통해 IT 지배 구조를 구현할 수 있습니다. 작업 공간 연결 장치를 사용하여 IT 관리자는 개인 장치 및 회사 장치를 보다 세부적으로 제어할 수 있습니다. DRS에 대한 자세한 내용은 회사 응용 프로그램 전반에서 SSO 및 연속된 두 번째 단계 인증을 위한 모든 장치의 작업 공간 연결를 참조하세요.
Multi-Factor Authentication	Azure Multi-Factor Authentication을 통해 IT 부서는 사용자와 장치의 인증과 확인 단계를 추가할 수 있습니다. 자세한 내용은 Azure Multi-Factor Authentication이란?을 참조하세요.

통합 장치 관리

단일 관리자 콘솔에서 PC 및 개인 장치를 관리하려면 IT 부서는 보안 및 액세스뿐만 아니라 적절한 전략을 제대로 사용해야 합니다. 장치 관리에는 보안 및 규정 준수 설정 지정, 소프트웨어 및 하드웨어 인벤토리 수집 또는 소프트웨어 배포가 포함됩니다. 또한 IT 부서는 장치가 손실, 도난 또는 사용 중단된 경우 모바일 장치에 저장된 회사 데이터를 삭제하여 회사를 보호하는 솔루션이 있어야 합니다.

Windows Intune의 Configuration Manager로 마이그레이션하여 모바일 장치 및 PC 관리 솔루션에서 통합 장치 관리 솔루션에 대해 자세히 설명합니다.

통합 장치 관리의 디자인 고려 사항

직원이 자신의 장치를 사용할 수 있도록 하고 회사의 데이터를 보호하는 BYOD(Bring Your Own Device) 및 통합 장치 관리 인프라를 디자인하기 전에 중요한 디자인 문제를 해결해야 합니다.

BYOD를 지원하는 인프라 디자인은 BYOD 사용자 및 장치 고려 사항에서 설명합니다. 이 문서에서 설명하는 디자인에서는 Microsoft 기반 기술을 사용합니다. 그러나 디자인 옵션 및 고려 사항은 BYOD 모델을 포함하는 데 사용되는 모든 인프라에 적용할 수 있습니다.

모바일 장치 관리를 지원하는 데 필요한 단계를 나열하는 유용한 검사 목록은 모바일 장치 관리에 대한 검사 목록을 참조하세요.

이 솔루션을 구현하는 단계

장치 등록을 사용하는 핵심 인프라 설정

다음 단계에서는 도메인 컨트롤러(AD DS), AD FS 및 장치 등록 서비스를 설정하는 단계별 프로세스를 안내합니다.

1. 도메인 컨트롤러 설정

   AD DS 역할 서비스를 설치하고 Windows Server 2012 R2의 도메인 컨트롤러가 되도록 컴퓨터의 수준을 올립니다. 그러면 AD DS 스키마가 도메인 컨트롤러 설치의 일부로 업그레이드됩니다. 자세한 내용 및 단계별 지침은 Active Directory 도메인 서비스 설치를 참조하세요. 

2. 페더레이션 서버 설치 및 구성

   Windows Server 2012 R2에서 AD FS(Active Directory Federation Services)를 사용하여 조직 및 플랫폼 경계 전체에서 배포된 ID, 인증 및 권한 부여 서비스를 웹 기반 응용 프로그램으로 확장하는 페더레이션된 ID 관리 솔루션을 구축할 수 있습니다. AD FS를 배포하여 조직의 기존 ID 관리 기능을 인터넷으로 확장할 수 있습니다. 자세한 내용 및 단계별 지침은 Windows Server 2012 R2 AD FS 배포 가이드를 참조하세요.

3. 도메인 등록 서비스 구성

   DRS는 AD FS를 설치한 후 페더레이션 서버에서 사용할 수 있습니다. DRS 구성에는 장치를 지원하도록 Active Directory 포리스트를 준비한 다음 DRS를 사용하도록 설정하는 단계가 포함됩니다. 자세한 지침은 장치 등록 서비스로 페더레이션 서버 구성을 참조하세요.

4. 웹 서버 및 샘플 클레임 기반 응용 프로그램을 설정하여 AD FS 및 장치 등록 구성 확인 및 테스트

   웹 서버 및 샘플 클레임 응용 프로그램을 설정한 다음 특정 절차에 따라 위의 단계를 확인해야 합니다. 다음 순서대로 단계를 수행합니다.

   1. 웹 서버 역할 및 Windows Identity Foundation 설치

   2. Windows Identity Foundation SDK 설치

   3. IIS에서 간단한 클레임 응용 프로그램 구성 

   4. 페더레이션 서버에서 신뢰 당사자 트러스트 만들기

5. Windows 및 iOS 장치에서 작업 공간 연결 구성 및 확인

   이 섹션에서는 Windows 장치, iOS 장치 및 환경 SSO에서 회사 리소스에 대한 작업 공간 연결을 설정하는 지침을 제공합니다.

   1. Windows 장치를 사용하여 작업 공간 연결

   2. iOS 장치를 사용하여 작업 공간 연결

회사 리소스에 대한 액세스 구성

파일 서비스 클라우드 폴더, 원격 데스크톱 서비스 가상화 및 원격 액세스를 구성해야 합니다.

1. 웹 응용 프로그램 프록시 구성

   이 섹션에서는 웹 응용 프로그램 프록시를 배포하고 이 프록시를 통해 응용 프로그램을 게시하는 데 필요한 구성 단계를 소개합니다.

   1.  웹 응용 프로그램 프록시 인프라 구성: 웹 응용 프로그램 프록시를 배포하는 데 필요한 인프라 구성 방법에 대해 설명합니다.

   2. 웹 응용 프로그램 프록시 서버 설치 및 구성: 필요한 인증서 구성, 웹 응용 프로그램 프록시 역할 서비스 설치, 웹 응용 프로그램 프록시 서버의 도메인 가입 등 웹 응용 프로그램 프록시 서버 구성 방법에 대해 설명합니다.

   3. AD FS 사전 인증을 사용하는 응용 프로그램 게시: AD FS 사전 인증을 사용하여 웹 응용 프로그램 프록시를 통해 응용 프로그램을 게시하는 방법을 설명합니다.

   4. 통과 사전 인증을 사용하는 응용 프로그램 게시: 통과 사전 인증을 사용하여 응용 프로그램을 게시하는 방법을 설명합니다.

2. 클라우드 폴더 구성

   가장 간단한 클라우드 폴더 배포는 인터넷을 통한 동기화를 지원하지 않는 단일 파일 서버(종종 동기화 서버라고도 함)이며, 테스트 랩이나 도메인에 가입된 클라이언트 컴퓨터의 동기화 솔루션으로 유용한 배포일 수 있습니다. 다음은 간단한 배포를 만들기 위해 수행해야 하는 최소 단계입니다.

   1.  파일 서버에 클라우드 폴더 설치

   2.  클라우드 폴더에 대한 보안 그룹 만들기

   3. 사용자 데이터에 대한 동기화 공유 만들기

   클라우드 폴더 배포 방법에 대한 자세한 추가 지침은 클라우드 폴더 배포를 참조하세요.

3. 원격 데스크톱 서비스 세션 가상화 구성 및 확인

   VDI 표준 배포에서는 별도의 컴퓨터에 적절한 역할 서비스를 설치할 수 있습니다. 표준 배포에서는 가상 데스크톱 및 가상 데스크톱 컬렉션을 자동으로 만들지 않아 보다 정확하게 제어할 수 있습니다.

   이 테스트 랩에서는 다음을 수행하여 세션 가상화 표준 배포를 만드는 프로세스를 안내합니다.

   • 별도의 컴퓨터에 RD 연결 브로커, RD 세션 호스트 및 RD 웹 액세스 역할 서비스 설치

   • 세션 컬렉션 만들기

   • 컬렉션의 각 RD 세션 호스트 서버에 대한 세션 기반 데스크톱 게시

   • 응용 프로그램을 RemoteApp 프로그램으로 게시

   VDI 배포를 구성하고 확인하는 자세한 단계는 원격 데스크톱 서비스 세션 가상화 표준 배포를 참조하세요.

4. 원격 액세스 구성

   Windows Server 2012에서는 DirectAccess 및 RRAS(라우팅 및 원격 액세스 서비스) VPN이 단일 원격 액세스 역할로 결합됩니다. 다음은 기본 설정으로 단일 Windows Server 2012 원격 액세스 서버를 배포하는 데 필요한 구성 단계입니다.

   1. DirectAccess 인프라 구성: 이 단계에는 네트워크 및 서버 설정, DNS 설정 및 Active Directory 설정 구성이 포함됩니다.

   2. DirectAccess 서버 구성: 이 단계에는 DirectAccess 클라이언트 컴퓨터 및 서버 설정 구성이 포함됩니다.

   3. 배포 확인: 이 단계에는 배포를 확인하는 단계가 포함됩니다.

다단계 액세스 제어 및 Multi-Factor Authentication을 설정하여 위험 관리 구성

유연하고 다양한 표현의 응용 프로그램별 권한 부여 정책을 설정하여 다단계 액세스 제어를 구성함으로써 사용자, 장치, 네트워크 위치 및 인증 상태에 따라 액세스를 허용하거나 거부할 수 있습니다. Multi-Factor Authentication을 사용하여 환경에 추가 위험 관리를 설정합니다.

1. 다단계 액세스 제어 구성 및 확인

   여기에는 다음 세 단계가 포함됩니다.

   1. 기본 AD FS 액세스 제어 메커니즘 확인

   2. 사용자 데이터를 기반으로 다단계 액세스 제어 정책 구성

   3. 다단계 액세스 제어 메커니즘 확인

2. Multi-Factor Authentication 구성 및 확인

   여기에는 다음 세 단계가 포함됩니다.

   1. 기본 AD FS 인증 메커니즘 확인 

   2. 페더레이션 서버에서 MFA 구성

   3. MFA 메커니즘 확인

통합 장치 관리 구현

엔터프라이즈에서 장치 관리를 설정하려면 다음 단계를 수행합니다.

1. System Center 2012 R2 Configuration Manager 콘솔 설치: 기본적으로 기본 사이트를 설치하면 Configuration Manager 콘솔도 기본 사이트 서버 컴퓨터에 설치됩니다. 사이트 설치 후 추가 System Center 2012 R2 Configuration Manager 콘솔을 추가 컴퓨터에 설치하여 사이트를 관리할 수 있습니다. 같은 컴퓨터에 있는 Configuration Manager 2007과 System Center 2012 R2 Configuration Manager에서 콘솔을 설치할 수 있습니다. 이 단계별 설치에서는 단일 컴퓨터를 사용하여 System Center 2012 R2 Configuration Manager가 설치된 Windows Intune을 사용하여 관리하는 모바일 장치와 기존 Configuration Manager 2007 인프라를 모두 관리할 수 있습니다. 그러나 System Center 2012 R2 Configuration Manager의 관리 콘솔을 사용하여 Configuration Manager 2007 사이트를 관리할 수 없으며, 그 반대의 경우도 마찬가지입니다. 자세한 내용은 Configuration Manager 콘솔 설치를 참조하세요.

2. 모바일 장치 등록: 등록하면 사용자, 장치 및 Windows Intune 서비스 간에 관계가 설정됩니다. 사용자가 각자의 모바일 장치를 등록합니다. 모바일 장치 등록 방법에 대한 자세한 내용은 모바일 장치 등록을 참조하세요.

3. 모바일 장치 관리: 독립 실행형 주 사이트를 설치하고 기본 구성을 마친 후 모바일 장치에 대한 관리를 구성할 수 있습니다. 다음은 구성할 수 있는 일반적인 작업입니다.

   1. 모바일 장치에 준수 설정을 적용하려면 Configuration Manager에서 모바일 장치에 대한 준수 설정을 참조하세요.

   2. 응용 프로그램을 만들고 모바일 장치에 배포하려면 Configuration Manager에서 모바일 장치용 응용 프로그램을 만들고 배포하는 방법을 참조하세요.

   3. 하드웨어 인벤토리를 구성하려면 Windows Intune 및 Configuration Manager에서 등록한 모바일 장치의 하드웨어 인벤토리 구성 방법을 참조하세요.

   4. 소프트웨어 인벤토리를 구성하려면 Configuration Manager의 소프트웨어 인벤토리 소개을 참조하세요.

   5. 모바일 장치에서 콘텐츠를 삭제하려면 Configuration Manager와 Windows Intune을 사용하여 모바일 장치를 관리하는 방법을 참조하세요.

참고 항목

콘텐츠 유형	참조
제품 평가/시작	회사 응용 프로그램 전반에 SSO 및 연속된 두 번째 단계 인증을 위한 모든 장치의 작업 공간 연결 TechNet 가상 랩: Windows Server 2012 R2: 작업 공간 연결 구현 클라우드 폴더 개요 웹 응용 프로그램 프록시 배포 가이드 802.1X 인증 무선 액세스 개요 VDI(가상 데스크톱 인프라)
계획 및 설계	웹 응용 프로그램 프록시를 통한 응용 프로그램 게시 계획 클라우드 폴더 구현 디자인 DirectAccess 인프라 계획
커뮤니티 리소스	Active Directory 팀 블로그 사용자가 다양한 장치에서 회사 리소스에 액세스하는 경우 위험을 관리하는 Active Directory IT 제어 Windows Server 2012 R2의 클라우드 폴더 소개 - 파일 캐비닛 블로그
관련 솔루션	Windows Intune을 통해 구성 관리자로 마이그레이션하여 모바일 장치 및 PC 관리 클라우드 인증을 사용하여 단일 포리스트 하이브리드 환경의 ID 관리 온-프레미스 인증을 사용하여 단일 포리스트 하이브리드 환경에 대한 ID 관리