Always On VPN 정보

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10 이상

Always On VPN을 사용하면 다음을 수행할 수 있습니다.

• Windows 운영 체제 및 타사 솔루션을 통합하여 고급 시나리오 를 만듭니다. 지원되는 통합 목록은 지원되는 통합을 참조 하세요.

• 네트워크 보안을 유지 관리하여 트래픽 유형, 애플리케이션 및 인증 방법으로 연결을 제한합니다. Always On VPN 보안 기능 목록은 보안 기능을 참조 하세요.

• 사용자 및 디바이스 인증 연결에 대한 자동 트리거를 구성합니다. 자세한 내용은 커넥트ivity 기능을 참조하세요.

• 개별 애플리케이션까지 세분화된 수준에서 라우팅 정책을 만들어 네트워크를 제어합니다. 자세한 내용은 네트워킹 기능을 참조 하세요.

• 업계 표준 구성 템플릿으로 정의된 표준 XML 프로필(ProfileXML)을 사용하여 VPN 설정을 구성합니다. Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows 구성 디자이너 또는 타사 MDM(모바일 디바이스 관리) 도구를 사용하여 VPN 설정을 배포하고 관리할 수 있습니다.

지원되는 통합

Always On VPN은 엔터프라이즈 및 BYOD 시나리오를 모두 허용하도록 do기본 조인, 비도기본 조인(작업 그룹) 또는 Microsoft Entra ID 조인 디바이스를 지원합니다. Always On VPN은 모든 Windows 버전에서 사용할 수 있으며, 플랫폼 기능은 UWP VPN 플러그 인 지원을 통해 타사에서 사용할 수 있습니다.

Always On VPN은 다음 플랫폼과의 통합을 지원합니다.

• WIP(Windows Information Protection). WIP와 통합하면 네트워크 정책 적용에서 트래픽이 VPN을 통과하도록 허용되는지 여부를 결정할 수 있습니다. 사용자 프로필이 활성 상태이고 WIP 정책이 적용되면 Always On VPN이 자동으로 트리거되어 연결됩니다. 또한 WIP 정책 및 TrafficFilterList 애플리케이션 목록이 자동으로 적용되므로 WIP를 사용하는 경우 VPN 프로필에 별도로 지정 AppTriggerList 하고 규칙을 지정할 필요가 없습니다(고급 구성을 원하지 않는 한).

• 비즈니스용 Windows Hello. Always On VPN은 기본적으로 인증서 기반 인증 모드에서 비즈니스용 Windows Hello 지원합니다. 네이티브 Windows Hello 지원은 컴퓨터에 대한 로그인과 VPN에 대한 연결을 위한 원활한 Single Sign-On 환경을 제공합니다. VPN 연결에는 보조 인증(사용자 자격 증명)이 필요하지 않습니다.

• Microsoft Azure 조건부 액세스 플랫폼. Always On VPN 클라이언트는 Azure 조건부 액세스 플랫폼과 통합하여 MFA(다단계 인증), 디바이스 규정 준수 또는 둘의 조합을 적용할 수 있습니다. 조건부 액세스 정책을 준수하는 경우 Microsoft Entra ID는 IPsec(IP 보안) 인증 인증서를 단기(기본적으로 60분) 발급합니다. 그런 다음 IPSec 인증서를 사용하여 VPN 게이트웨이에 인증할 수 있습니다. 디바이스 규정 준수는 연결 준수 검사 일부로 디바이스 상태 증명 상태를 포함할 수 있는 Configuration Manager/Intune 규정 준수 정책을 사용합니다. 자세한 내용은 VPN 및 조건부 액세스를 참조 하세요.

• Microsoft Entra 다단계 인증 플랫폼. RADIUS(원격 인증 전화 접속 사용자 서비스) 서비스 및 Microsoft Entra 다단계 인증을 위한 NPS(네트워크 정책 서버) 확장과 결합된 경우 VPN 인증은 강력한 MFA를 사용할 수 있습니다.

• 타사 VPN 플러그 인. UWP(유니버설 Windows 플랫폼)를 사용하면 타사 VPN 공급자가 전체 범위의 Windows 디바이스에 대한 단일 애플리케이션을 만들 수 있습니다. UWP는 디바이스 간에 보장된 핵심 API 계층을 제공하여 커널 수준 드라이버 작성과 관련된 복잡성과 문제를 제거합니다. 현재 Pulse Secure, F5 Access, Check Point 캡슐 VPN, FortiClient, SonicWall Mobile 커넥트 및 GlobalProtect용 Windows UWP VPN 플러그 인이 있습니다.

보안 기능

Always On VPN은 VPN 게이트웨이에 도달할 때까지 인증 및 암호화가 필요한 터널 정책을 사용하여 회사 리소스에 대한 연결을 제공합니다. 기본적으로 터널 세션은 VPN 게이트웨이에서 종료되며, IKEv2 게이트웨이로도 작동하여 엔드투에지 보안을 제공합니다.

표준 VPN 인증 옵션에 대한 자세한 내용은 VPN 인증 옵션을 참조 하세요.

Always On VPN은 다음 보안 기능을 지원합니다.

• 업계 표준 IKEv2 VPN 프로토콜 지원. Always On VPN 클라이언트는 오늘날 가장 널리 사용되는 업계 표준 터널링 프로토콜 중 하나인 IKEv2를 지원합니다. 이 호환성은 타사 VPN 게이트웨이와의 상호 운용성을 최대화합니다.

• 타사 IKEv2 VPN 게이트웨이와의 상호 운용성. Always On VPN 클라이언트는 타사 IKEv2 VPN Gateway와의 상호 운용성을 지원합니다. 또한 Always On VPN 플랫폼 기능 및 이점을 희생하지 않고 사용자 지정 터널링 유형과 결합된 UWP VPN 플러그 인을 사용하여 타사 VPN 게이트웨이와의 상호 운용성을 달성할 수 있습니다.

  참고 항목

  IKEv2를 사용하는 Always On VPN 및 디바이스 터널과의 구성 및 호환성에 대해서는 게이트웨이 또는 타사 백 엔드 어플라이언스 공급업체에 문의하세요.

• IKEv2에서 SSTP로 대체합니다. VPN 프로필 내의 자동 터널/프로토콜 유형을 사용하여 방화벽 또는 프록시 서버 뒤에 있는 클라이언트에 대한 대체를 구성할 수 있습니다.

  참고 항목

  사용자 터널은 SSTP 및 IKEv2를 지원하며 디바이스 터널은 SSTP 대체를 지원하지 않고 IKEv2만 지원합니다.

• 컴퓨터 인증서 인증을 지원합니다. Always On VPN 플랫폼의 일부로 사용할 수 있는 IKEv2 프로토콜 유형은 특히 VPN 인증을 위한 컴퓨터 또는 컴퓨터 인증서 사용을 지원합니다.

  참고 항목

  IKEv2는 디바이스 터널에 대해 유일하게 지원되는 프로토콜이며 SSTP 대체에 대한 지원 옵션은 없습니다. 자세한 내용은 Always On VPN 디바이스 터널 구성을 참조 하세요.

• 트래픽 및 앱 필터. 트래픽 및 앱 방화벽 규칙을 사용하면 VPN 인터페이스에 연결할 수 있는 트래픽 및 앱을 결정하는 클라이언트 쪽 정책을 지정할 수 있습니다.

  다음 두 가지 유형의 필터링 규칙을 사용할 수 있습니다.

  • 앱 기반 규칙입니다. 앱 기반 방화벽 규칙은 지정된 애플리케이션 목록을 기반으로 하므로 이러한 앱에서 발생하는 트래픽만 VPN 인터페이스를 통해 이동하도록 허용됩니다.

  • 트래픽 기반 규칙입니다. 트래픽 기반 방화벽 규칙은 포트, 주소 및 프로토콜과 같은 네트워크 요구 사항을 기반으로 합니다. 이러한 특정 조건과 일치하는 트래픽에 대해서만 이러한 규칙을 사용하여 VPN 인터페이스를 통해 이동하도록 허용됩니다.

  참고 항목

  이러한 규칙은 디바이스에서 아웃바운드 트래픽에만 적용됩니다. 트래픽 필터를 사용하면 회사 네트워크에서 클라이언트로의 인바운드 트래픽이 차단됩니다.

• VPN 조건부 액세스. 조건부 액세스 및 디바이스 준수를 위해서는 관리 디바이스가 표준을 충족해야 VPN에 연결할 수 있습니다. VPN 조건부 액세스를 사용하면 클라이언트 인증 인증서에 Microsoft Entra 조건부 액세스 OID 1.3.6.1.4.1.311.87가 포함된 디바이스에 대한 VPN 연결을 제한할 수 있습니다. NPS 서버에서 직접 VPN 연결을 제한하는 방법을 알아보려면 네트워크 정책 서버에서 VPN 조건부 액세스 구성을 참조하세요. Microsoft Entra 조건부 액세스를 사용하여 VPN 연결을 제한하는 방법을 알아보려면 Microsoft Entra ID를 사용하여 VPN 연결에 대한 조건부 액세스를 참조하세요.

• 특정 사용자 및 디바이스에 대한 원격 액세스를 제한합니다. 보안 그룹을 사용하여 VPN 액세스를 제어하는 RADIUS를 사용할 때 세부적인 권한 부여를 지원하도록 Always On VPN을 구성할 수 있습니다.

• 사용자 로그인 전에 액세스 가능한 관리 서버를 정의합니다. 디바이스 터널을 통해 액세스할 수 있는 회사 네트워크의 관리 시스템을 제어하려면 트래픽 필터와 결합된 VPN 프로필의 디바이스 터널 기능(버전 1709 - IKEv2에만 사용 가능)을 사용합니다.

  참고 항목

  디바이스 터널 프로필에서 트래픽 필터를 켜면 디바이스 터널은 회사 네트워크에서 클라이언트로의 인바운드 트래픽을 거부합니다.

• 앱별 VPN. 앱별 VPN은 앱 기반 트래픽 필터를 사용하는 것과 비슷하지만 VPN 클라이언트의 모든 애플리케이션과 달리 VPN 연결이 특정 애플리케이션으로 제한되도록 애플리케이션 트리거를 앱 기반 트래픽 필터와 결합하는 것이 더 멀리 이동합니다. 이 기능은 앱이 시작될 때 자동으로 시작됩니다.

• 사용자 지정된 IPsec 암호화 알고리즘입니다. Always On VPN은 엄격한 정부 또는 조직 보안 정책을 충족하기 위해 RSA 및 타원 곡선 암호화 기반 사용자 지정 암호화 알고리즘을 모두 사용하도록 지원합니다.

• 네이티브 EAP(Extensible Authentication Protocol) 지원. Always On VPN은 기본적으로 EAP를 지원하므로 다양한 Microsoft 및 타사 EAP 형식 집합을 인증 워크플로의 일부로 사용할 수 있습니다. EAP는 다음 인증 유형에 따라 보안 인증을 제공합니다.

  • 사용자 이름 및 암호
  • 스마트 카드(물리적 및 가상 모두)
  • 사용자 인증서
  • 비즈니스용 Windows Hello
  • EAP RADIUS 통합을 통해 MFA 지원

  애플리케이션 공급업체는 타사 UWP VPN 플러그 인 인증 방법을 제어하지만 사용자 지정 자격 증명 유형 및 OTP 지원을 포함하여 사용 가능한 옵션 배열이 있습니다.

• PC 및 모바일 디바이스에서 2단계 인증을 비즈니스용 Windows Hello. Windows 10에서 비즈니스용 Windows Hello PC 및 모바일 디바이스에서 강력한 2단계 인증을 제공하여 암호를 대체합니다. 자세한 내용은 Windows 10에서 비즈니스용 Windows Hello 사용하여 원격 액세스 사용 설정을 참조하세요.

• Azure MFA(다단계 인증). Microsoft Entra 다단계 인증에는 Windows VPN 인증 메커니즘과 통합할 수 있는 클라우드 및 온-프레미스 버전이 있습니다. 자세한 내용은 AZURE Multi-Factor Authentication 서버와 RADIUS 인증 통합을 참조 하세요.

• TPM(신뢰할 수 있는 플랫폼 모듈) 키 증명입니다. TPM 증명 키가 있는 사용자 인증서는 TPM에서 제공하는 키의 내보내기 불가능성, 망치 방지 및 격리를 통해 백업되는 더 높은 보안 보증을 제공합니다.

Windows 10의 TPM 키 증명에 대한 자세한 내용은 TPM 키 증명을 참조하세요.

커넥트 기능

Always On VPN은 다음과 같은 연결 기능을 지원합니다.

• 애플리케이션 자동 트리거. 애플리케이션 시작 또는 네임스페이스 확인 요청에 따라 자동 트리거를 지원하도록 Always On VPN을 구성할 수 있습니다. 자동 트리거를 구성하는 방법에 대한 자세한 내용은 VPN 자동 트리거 프로필 옵션을 참조 하세요.

• 이름 기반 자동 트리거. Always On VPN을 사용하면 특정 수행기본 이름 쿼리가 VPN 연결을 트리거할 수 있도록 규칙을 정의할 수 있습니다. Windows 디바이스는 do기본 조인 및 비도(nondo기본 조인된 머신에 대한 이름 기반 트리거를 지원합니다(이전에는 nondo기본 조인된 컴퓨터만 지원됨).

• 신뢰할 수 있는 네트워크 검색. Always On VPN에는 사용자가 회사 경계 내에서 신뢰할 수 있는 네트워크에 연결된 경우 VPN 연결이 트리거되지 않도록 하기 위해 이 기능이 포함되어 있습니다. 이 기능을 이전에 멘션 트리거하는 방법과 결합하여 원활한 "필요한 경우에만 연결" 사용자 환경을 제공할 수 있습니다.

• 디바이스 터널. Always On VPN은 디바이스 또는 컴퓨터에 대한 전용 VPN 프로필을 만드는 기능을 제공합니다. 사용자가 디바이스 또는 컴퓨터에 로그온한 후에만 연결하는 사용자 터널과 달리 Device Tunnel을 사용하면 사용자가 로그인하기 전에 VPN이 연결을 설정할 수 있습니다. 디바이스 터널과 사용자 터널은 VPN 프로필과 독립적으로 작동하며 동시에 연결할 수 있으며 다른 인증 방법 및 기타 VPN 구성 설정을 적절하게 사용할 수 있습니다. 관리 아웃을 사용하여 DNS에서 클라이언트 IP 주소를 동적으로 등록하는 방법에 대한 정보를 포함하여 디바이스 터널을 구성하는 방법에 대한 자세한 내용은 Always On VPN 디바이스 터널 구성을 참조하세요.

  참고 항목

  디바이스 터널은 Windows 10 Enterprise 또는 Education 버전 1709 이상을 실행하는 기본 조인된 디바이스에서만 구성할 수 있습니다. 디바이스 터널의 타사 제어는 지원되지 않습니다.

• 커넥트ivity Assistant Always On VPN은 네이티브 네트워크 커넥트ivity Assistant와 완전히 통합되며 모든 네트워크 보기 인터페이스의 연결 상태 제공합니다. Windows 10 크리에이터스 업데이트(버전 1703)가 등장하면서 사용자 터널에 대한 VPN 연결 상태 및 VPN 연결 제어는 네트워크 플라이아웃(Windows 기본 제공 VPN 클라이언트용)을 통해 사용할 수 있습니다.

네트워킹 기능

Always On VPN은 다음과 같은 네트워킹 기능을 지원합니다.

• IPv4 및 IPv6에 대한 이중 스택 지원. Always On VPN은 기본적으로 이중 스택 접근 방식에서 IPv4 및 IPv6의 사용을 지원합니다. 다른 프로토콜에 대한 특정 종속성이 없으므로 향후 IPv6 네트워킹 요구 사항에 대한 지원과 결합된 최대 IPv4/IPv6 애플리케이션 호환성을 허용합니다.

• 애플리케이션별 라우팅 정책. 인터넷 및 인트라넷 트래픽 분리에 대한 글로벌 VPN 연결 라우팅 정책을 정의하는 것 외에도 애플리케이션별로 분할 터널 또는 강제 터널 구성의 사용을 제어하는 라우팅 정책을 추가할 수 있습니다. 이 옵션을 사용하면 VPN 터널을 통해 어떤 앱이 어떤 리소스와 상호 작용할 수 있는지 보다 세부적으로 제어할 수 있습니다.

• 제외 경로입니다. Always On VPN은 라우팅 동작을 구체적으로 제어하는 제외 경로를 지정하여 실제 네트워크 인터페이스를 통과하지 않고 VPN만 트래버스해야 하는 트래픽을 정의하는 기능을 지원합니다.

  참고 항목

  제외 경로는 LinkLocal과 같은 클라이언트와 동일한 서브넷 내의 트래픽에 대해 작동합니다. 제외 경로는 분할 터널 설정에서만 작동합니다.

• 여러 do기본 및 포리스트에 대한 지원 Always On VPN 플랫폼은 VPN 클라이언트를 수행할 필요가 없으므로 AD DS(Active Directory 도메인 Services) 포리스트 또는 할 일기본 토폴로지(또는 연결된 기능/스키마 수준)에 종속되지 않습니다기본 작동에 조인됩니다. 따라서 그룹 정책은 클라이언트 구성 중에 사용하지 않기 때문에 VPN 프로필 설정을 정의하는 종속성이 아닙니다. Active Directory 권한 부여 통합이 필요한 경우 EAP 인증 및 권한 부여 프로세스의 일부로 RADIUS를 통해 수행할 수 있습니다.

• 짧은 이름, 정규화된 do기본 이름(FQDN) 및 DNS 접미사를 사용하여 회사 리소스의 이름 확인 Always On VPN은 짧은 이름, FQDN 또는 전체 DNS 네임스페이스에 대한 회사 리소스 이름 확인을 포함하여 VPN 연결 및 IP 주소 할당 프로세스의 일부로 하나 이상의 DNS 접미사를 기본적으로 정의할 수 있습니다. Always On VPN은 네임스페이스별 해상도 세분성을 제공하기 위해 이름 확인 정책 테이블을 사용할 수도 있습니다.

  참고 항목

  이름 확인 정책 테이블을 사용할 때 짧은 이름 확인을 방해하므로 전역 접미사를 사용하지 마세요.

고가용성 기능

다음은 고가용성을 위한 추가 옵션입니다.

서버 복원력 및 부하 분산. 고가용성이 필요하거나 많은 요청을 지원하는 환경에서는 NPS(네트워크 정책 서버) 간에 부하 분산을 구성하고 원격 액세스 서버 클러스터링 사용하도록 설정하여 원격 액세스의 성능과 복원력을 높일 수 있습니다.

지리적 사이트 복원력. IP 기반 지리적 위치의 경우 Windows Server에서 DNS와 함께 전역 Traffic Manager를 사용할 수 있습니다. 보다 강력한 지리적 부하 분산을 위해 Microsoft Azure Traffic Manager와 같은 글로벌 서버 부하 분산 솔루션을 사용할 수 있습니다.

다음 단계

• VPN 서버로 원격 액세스 설치

• 자습서: Always On VPN 배포

• VPN 보안 기능: 이 항목에서는 LockDown VPN, WIP(Windows Information Protection) 통합 및 트래픽 필터에 대한 VPN 보안 지침의 개요를 제공합니다.

• VPN 자동 트리거 프로필 옵션: 이 항목에서는 앱 트리거, 이름 기반 트리거 및 Always On과 같은 VPN 자동 트리거 프로필 옵션에 대한 개요를 제공합니다.

• Always On VPN 문제 해결