다음을 통해 공유

Microsoft Entra ID 인증에 대한 P2S 사용자 VPN 구성 – Microsoft 등록 앱

  • 아티클

이 문서는 Microsoft Entra ID 인증 및 새 Microsoft 등록 Azure VPN 클라이언트 앱 ID를 사용하는 Virtual WAN에 대한 지점 및 사이트 간의 사용자 VPN 연결을 구성하는 데 도움이 됩니다.

참고 항목

이 문서의 단계는 새로운 Microsoft 등록 Azure VPN Client 앱 ID 및 연결된 대상 그룹 값을 사용하는 Microsoft Entra ID 인증에 적용됩니다. 이 문서는 테넌트에 대해 수동으로 등록된 이전 Azure VPN Client 앱에는 적용되지 않습니다. 수동으로 등록된 Azure VPN 클라이언트 단계는 수동으로 등록된 VPN 클라이언트를 사용하여 P2S 사용자 VPN 구성을 참조 하세요.

이제 Virtual WAN은 최신 버전의 Azure VPN 클라이언트에 대한 새 Microsoft 등록 앱 ID 및 해당 대상 그룹 값을 지원합니다. 새 대상 그룹 값을 사용하여 P2S 사용자 VPN VPN Gateway를 구성하는 경우 Microsoft Entra 테넌트에 대한 Azure VPN 클라이언트 앱 수동 등록 프로세스를 건너뜁니다. 앱 ID는 이미 만들어져 있으며 테넌트는 추가 등록 단계 없이 자동으로 사용할 수 있습니다. 이 프로세스는 전역 관리자 역할을 통해 앱에 권한을 부여하거나 권한을 할당할 필요가 없기 때문에 Azure VPN Client를 수동으로 등록하는 것보다 더 안전합니다.

이전에는 Azure VPN Client 앱을 Microsoft Entra 테넌트에 수동으로 등록(통합)해야 했습니다. 클라이언트 앱을 등록하면 Azure VPN Client 애플리케이션의 ID를 나타내는 앱 ID가 만들어지며 전역 관리자 역할을 사용하여 권한을 부여해야 합니다. 애플리케이션 개체 형식 간의 차이점을 더 잘 이해하려면 애플리케이션이 Microsoft Entra ID에 추가되는 방법과 이유를 참조하세요.

가능하면 테넌트에 Azure VPN 클라이언트 앱을 수동으로 등록하는 대신 Microsoft에 등록된 Azure VPN 클라이언트 앱 ID 및 해당 대상 그룹 값을 사용하여 새 P2S 사용자 VPN Gateway를 구성하는 것이 좋습니다. 이전에 Microsoft Entra ID 인증을 사용하는 P2S 사용자 VPN 게이트웨이를 구성한 경우 게이트웨이 및 클라이언트를 업데이트하여 새 Microsoft 등록 앱 ID를 활용할 수 있습니다. Linux 클라이언트를 연결하려면 P2S 게이트웨이를 새 대상 그룹 값으로 업데이트해야 합니다. Linux용 Azure VPN Client는 이전 대상 그룹 값과 호환되지 않습니다.

고려 사항

  • P2S 사용자 VPN 게이트웨이는 하나의 대상 그룹 값만 지원할 수 있습니다. 여러 대상 그룹 값을 동시에 지원할 수 없습니다.

  • 현재 최신 Microsoft 등록 앱 ID는 수동으로 등록된 이전 앱만큼 많은 대상 그룹 값을 지원하지 않습니다. Azure Public 또는 사용자 지정 이외의 대상 그룹 값이 필요한 경우 이전에 수동으로 등록한 방법 및 값을 사용합니다.

  • Linux용 Azure VPN Client는 수동으로 등록된 앱에 맞는 이전 대상 그룹 값을 사용하도록 구성된 P2S 게이트웨이와 이전 버전과 호환되지 않습니다. 그러나 Linux용 Azure VPN 클라이언트는 사용자 지정 대상 그룹 값을 지원합니다.

  • Linux용 Azure VPN Client는 다른 Linux 배포판 및 릴리스에서 작동할 수 있지만 Linux용 Azure VPN Client는 다음 릴리스에서만 지원됩니다.

    • Ubuntu 20.04
    • Ubuntu 22.04

  • macOS 및 Windows용 Azure VPN 클라이언트의 최신 버전은 수동으로 등록된 앱과 일치하는 이전 대상 그룹 값을 사용하도록 구성된 P2S 게이트웨이와 이전 버전과 호환됩니다. 이러한 클라이언트는 사용자 지정 대상 그룹 값도 지원합니다.

Azure VPN 클라이언트 대상 그룹 값

다음 표에는 각 앱 ID에 대해 지원되는 Azure VPN Client 버전과 사용 가능한 해당 대상 그룹 값이 나와 있습니다.

앱 ID 지원되는 대상 그룹 값 지원되는 클라이언트
Microsoft 등록 - Azure Public: c632b3df-fb67-4d84-bdcf-b95ad541b5c8 - Linux
- Windows
- macOS
수동으로 등록됨 - Azure Public: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure 독일: 538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet에서 운영하는 Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
사용자 지정 <custom-app-id> - Linux
- Windows
- macOS

참고 항목

Microsoft Entra ID 인증은 OpenVPN® 프로토콜 연결에 대해서만 지원되며 Azure VPN Client가 필요합니다.

이 문서에서는 다음 방법을 설명합니다.

  • 가상 WAN 만들기
  • 사용자 VPN 구성 만들기
  • Virtual WAN 사용자 VPN 프로필 다운로드
  • 가상 허브 만들기
  • 허브를 편집하여 P2S 게이트웨이 추가
  • 가상 허브에 가상 네트워크 연결
  • 사용자 VPN 클라이언트 구성 다운로드 및 적용
  • 가상 WAN 보기

Virtual WAN 다이어그램의 스크린샷.

시작하기 전에

구성을 시작하기 전에 다음 조건을 충족했는지 확인합니다.

  • 연결하려는 가상 네트워크가 있습니다. 온-프레미스 네트워크의 어떤 서브넷도 연결하려는 가상 네트워크 서브넷과 중첩되지 않는지 확인합니다. Azure Portal에서 가상 네트워크를 만들려면 빠른 시작을 참조하세요.

  • 가상 네트워크에 가상 네트워크 게이트웨이가 없습니다. 가상 네트워크에 게이트웨이(VPN 또는 ExpressRoute)가 있으면 모든 게이트웨이를 제거해야 합니다. 이 구성 단계는 가상 네트워크를 Virtual WAN 가상 허브 게이트웨이에 연결하는 데 도움이 됩니다.

  • 허브 지역의 IP 주소 범위를 확보합니다. 허브는 Virtual WAN에서 만들고 사용하는 가상 네트워크입니다. 허브에 지정하는 주소 범위는 연결하는 기존 가상 네트워크와 겹칠 수 없습니다. 온-프레미스에 연결하는 주소 범위와도 겹칠 수 없습니다. 온-프레미스 네트워크 구성에 있는 IP 주소 범위를 잘 모른다면 세부 정보를 알고 있는 다른 사람의 도움을 받으세요.

  • 이 구성에는 Microsoft Entra ID 테넌트가 필요합니다. 테넌트가 없는 경우 새 테넌트 만들기의 지침에 따라 만들 수 있습니다.

  • 사용자 지정 대상 그룹 값을 사용하려면 사용자 지정 대상 그룹 앱 ID 만들기 또는 수정을 참조하세요.

가상 WAN 만들기

브라우저에서 Azure 포털 로 이동하고 Azure 계정으로 로그인합니다.

  1. 포털의 리소스 검색 표시줄에서 검색 상자에 Virtual WAN을 입력하고 Enter를 선택합니다.

  2. 결과에서 Virtual WAN을 선택합니다. Virtual WAN 페이지에서 + 만들기를 선택하여 WAN 만들기 페이지를 엽니다.

  3. WAN 만들기 페이지의 기본 사항 탭에서 필드를 입력합니다. 사용자 환경에 적용할 예제 값을 수정합니다.

    기본 탭이 선택된 WAN 만들기 창을 보여 주는 스크린샷

    • 구독: 사용할 구독을 선택합니다.
    • 리소스 그룹: 새로 만들거나 기존 항목을 사용합니다.
    • 리소스 그룹 위치: 드롭다운에서 리소스 위치를 선택합니다. WAN은 전역 리소스이며 특정 지역에 상주하지 않습니다. 그러나 사용자가 만든 WAN 리소스를 관리하고 찾으려면 지역을 선택해야 합니다.
    • 이름: 가상 WAN을 호출할 이름을 입력합니다.
    • 유형: 기본 또는 표준. 표준을 선택합니다. 기본을 선택하는 경우 기본 가상 WAN에는 기본 허브만 포함될 수 있습니다. 기본 허브는 사이트 간 연결에만 사용할 수 있습니다.

  4. 필드 작성을 완료한 후 페이지 하단에서 검토 + 만들기를 선택합니다.

  5. 유효성 검사를 통과하면 만들기를 클릭하여 Virtual WAN을 만듭니다.

사용자 VPN 구성 만들기

사용자 VPN 구성은 원격 클라이언트 연결에 대한 매개 변수를 정의합니다. 사용할 사용자 VPN 구성을 지정해야 하므로 P2S 설정으로 가상 허브를 구성하기 전에 사용자 VPN 구성을 만드는 것이 중요합니다.

Important

Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.

  1. Virtual WAN으로 이동합니다. 왼쪽 창에서 연결을 확장하고 사용자 VPN 구성 페이지를 선택합니다. 사용자 VPN 구성 페이지에서 +사용자 VPN 구성 만들기를 클릭합니다.

  2. 기본 페이지에서 다음 매개 변수를 지정합니다.

    • 구성 이름 - 사용자 VPN 구성을 호출하려는 이름을 입력합니다. 예를 들어 TestConfig1입니다.
    • 터널 유형의 드롭다운에서 OpenVPN을 선택합니다.

  3. 페이지 맨 위에서 Azure Active Directory를 클릭합니다. 포털에서 엔터프라이즈 애플리케이션의 Microsoft Entra ID 페이지에서 필요한 값을 볼 수 있습니다.

    Microsoft Entra ID 페이지의 스크린샷. 다음 값을 구성합니다.

    • Azure Active Directory - 예를 선택합니다.
    • 대상 그룹 - Microsoft에 등록된 Azure VPN 클라이언트 앱 ID, Azure Public에 c632b3df-fb67-4d84-bdcf-b95ad541b5c8해당하는 값을 입력합니다. 이 필드에는 사용자 지정 대상 그룹도 지원됩니다.
    • 발급자 - 입력 https://sts.windows.net/<your Directory ID>/합니다.
    • AAD 테넌트 - Microsoft Entra 테넌트에 대한 TenantID를 입력합니다. Microsoft Entra 테넌트 URL의 끝에 없는지 / 확인합니다.

  4. 만들기를 클릭하여 사용자 VPN 구성을 만듭니다. 연습 뒷부분에서 이 구성을 선택합니다.

빈 허브 만들기

다음으로, 가상 허브를 만듭니다. 이 섹션의 단계에서는 나중에 P2S 게이트웨이를 추가할 수 있는 빈 가상 허브를 만듭니다. 그러나 허브를 구성할 때마다 허브 설정이 빌드되기를 기다려야 하기 때문에 게이트웨이와 함께 허브를 만드는 것이 항상 훨씬 더 효율적입니다.

데모를 위해 먼저 빈 허브를 만든 다음, 다음 섹션에서 P2S 게이트웨이를 추가합니다. 그러나 허브를 구성하는 동시에 다음 섹션에서 P2S 게이트웨이 설정을 통합하도록 선택할 수 있습니다.

  1. 사용자가 만든 가상 WAN으로 이동합니다. Virtual WAN 왼쪽 창의 연결에서 허브를 선택합니다.

  2. Hubs 페이지에서 +새 Hub를 선택하여 가상 허브 만들기 페이지를 엽니다.

    스크린샷은 기본 탭이 선택된 가상 허브 만들기 창을 보여줍니다.

  3. 가상 허브 만들기 페이지의 기본 사항 탭에서 다음 필드를 완료합니다.

    • 지역: 가상 허브를 배포할 지역을 선택합니다.
    • 이름: 가상 허브에 지정할 이름입니다.
    • 허브 프라이빗 주소 공간: CIDR 표기법으로 된 허브의 주소 범위입니다. 허브를 만들기 위한 최소 주소 공간은 /24입니다.
    • 가상 허브 용량: 드롭다운에서 선택합니다. 자세한 내용은 가상 허브 설정을 참조하세요.
    • 허브 라우팅 기본 설정: 이 필드를 변경할 특정 필요가 없는 한 기본값인 ExpressRoute 로 설정을 그대로 둡니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조하세요.

설정을 구성한 후 검토 + 만들기를 클릭하여 유효성을 검사한 다음 허브를 만듭니다. 허브를 만드는 데 최대 30분이 걸릴 수 있습니다.

허브에 P2S 게이트웨이 추가

이 섹션에서는 기존 가상 허브에 게이트웨이를 추가하는 방법을 보여 줍니다. 허브를 업데이트하는 데 최대 30분이 걸릴 수 있습니다.

  1. Virtual WAN으로 이동합니다. 왼쪽 창에서 설정을 확장하고 허브를 선택합니다.

  2. 편집할 허브의 이름을 클릭합니다.

  3. 페이지 위쪽에서 가상 허브 편집을 클릭하여 가상 허브 편집 페이지를 엽니다.

  4. 가상 허브 편집 페이지에서 VPN 사이트에 대한 VPN 게이트웨이 포함지점 및 사이트 간 게이트웨이 포함 확인란을 선택하여 설정을 표시합니다. 그런 다음 값을 구성합니다.

    가상 허브 편집을 보여 주는 스크린샷

    • 게이트웨이 배율 단위: 게이트웨이 배율 단위를 선택합니다. 배율 단위는 사용자 VPN 게이트웨이의 집계 용량을 나타냅니다. 40 이상의 게이트웨이 배율 단위를 선택하는 경우 클라이언트 주소 풀을 적절하게 계획합니다. 이 설정이 클라이언트 주소 풀에 영향을 주는 방법에 대한 자세한 내용은 클라이언트 주소 풀 정보를 참조하세요. 게이트웨이 배율 단위에 대한 자세한 내용은 FAQ를 참조하세요.
    • 사용자 VPN 구성: 이전에 만든 구성을 선택합니다.
    • 주소 풀 매핑에 대한 사용자 그룹: 주소 풀을 지정합니다. 이 설정에 대한 자세한 내용은 P2S 사용자 VPN에 대한 사용자 그룹 및 IP 주소 풀 구성을 참조하세요.

  5. 설정을 구성한 후 확인을 클릭하여 허브를 업데이트합니다. 허브를 업데이트하는 데 최대 30분이 걸릴 수 있습니다.

허브에 가상 네트워크 연결

이 섹션에서는 가상 허브와 가상 네트워크 간에 연결을 만듭니다.

  1. Azure Portal에서 Virtual WAN으로 이동합니다. 왼쪽 창에서 가상 네트워크 연결을 선택합니다.

  2. 가상 네트워크 연결 페이지에서 + 연결 추가를 선택합니다.

  3. 연결 추가 페이지에서 연결 설정을 구성합니다. 라우팅 설정에 대한 자세한 내용은 라우팅 정보를 참조하세요.

    • 연결 이름: 연결 이름을 지정합니다.
    • Hubs - 이 연결과 연결할 허브를 선택합니다.
    • 구독: 구독을 확인합니다.
    • 리소스 그룹: 연결할 가상 네트워크가 포함된 리소스 그룹을 선택합니다.
    • 가상 네트워크 - 이 허브에 연결할 가상 네트워크를 선택합니다. 선택한 가상 네트워크에는 기존의 가상 네트워크 게이트웨이를 사용할 수 없습니다.
    • 없음으로 전파: 기본적으로 아니요로 설정됩니다. 스위치를 로 변경하면 경로 테이블로 전파레이블로 전파에 대한 구성 옵션을 구성에 사용할 수 없게 됩니다.
    • 경로 테이블 연결: 드롭다운에서 연결할 경로 테이블을 선택할 수 있습니다.
    • 레이블에 전파: 레이블은 경로 테이블의 논리적 그룹입니다. 이 설정의 경우 드롭다운에서 선택합니다.
    • 정적 경로: 필요한 경우 정적 경로를 구성합니다. 네트워크 가상 어플라이언스에 대한 정적 경로를 구성합니다(해당되는 경우). 가상 WAN은 가상 네트워크 연결의 고정 경로에 대해 다음 홉 IP를 1개 지원합니다. 예를 들어, 수신 및 송신 트래픽 흐름에 대해 별도의 가상 어플라이언스가 있는 경우 별도의 VNet에 가상 어플라이언스를 추가하고 VNet을 가상 허브에 연결하는 것이 가장 좋습니다.
    • 이 VNet 내의 워크로드에 대해 다음 홉 IP 바이패스: 이 설정을 사용하면 NVA를 통해 모든 트래픽을 강제하지 않고도 NVA 및 기타 워크로드를 동일한 VNet에 배포할 수 있습니다. 이 설정은 새 연결을 구성할 때만 구성할 수 있습니다. 이미 만든 연결에 대해 이 설정을 사용하려면 연결을 삭제한 다음 새 연결을 추가합니다.
    • 고정 경로 전파: 이 설정은 현재 롤아웃 중입니다. 이 설정을 사용하면 고정 경로 섹션에 정의된 고정 경로를 전파하여 경로 테이블에 전파에 지정된 테이블을 라우팅할 수 있습니다. 또한 레이블에 전파로 지정된 레이블이 있는 경로 테이블에 경로가 전파됩니다. 이러한 경로는 기본 경로 0/0을 제외하고 허브 간에 전파될 수 있습니다.

  4. 구성할 설정을 완료했으면 만들기를 클릭하여 연결을 만듭니다.

사용자 VPN 프로필 다운로드

VPN 클라이언트에 필요한 모든 구성 설정은 VPN 클라이언트 구성 zip 파일에 포함되어 있습니다. zip 파일의 설정을 통해 VPN 클라이언트를 쉽게 구성할 수 있습니다. 생성하는 VPN 클라이언트 구성 파일은 게이트웨이의 사용자 VPN 구성과 연관됩니다. 전역(WAN 수준) 프로필 또는 특정 허브에 대한 프로필을 다운로드할 수 있습니다. 자세한 내용 및 추가 지침은 전역 및 허브 프로필 다운로드를 참조하세요. 다음 단계에서는 전역 WAN 수준 프로필을 다운로드하는 단계를 안내합니다.

  1. WAN 수준 전역 프로필 VPN 클라이언트 구성 패키지를 생성하려면 Virtual WAN(가상 허브 아님)으로 이동합니다.

  2. 왼쪽 창에서 사용자 VPN 구성을 선택합니다.

  3. 프로필을 다운로드하려는 구성을 선택합니다. 동일한 프로필에 할당된 여러 허브가 있는 경우 해당 프로필을 확장하여 허브를 표시한 다음, 이 프로필을 사용하는 허브 중 하나를 선택합니다.

  4. 가상 WAN 사용자 VPN 프로필 다운로드를 선택합니다.

  5. 다운로드 페이지에서 EAPTLS를 선택한 다음, 프로필 생성 및 다운로드를 선택합니다. 클라이언트 구성 설정이 포함된 프로필 패키지(zip 파일)가 생성되고 컴퓨터에 다운로드됩니다. 패키지의 내용은 구성에 대한 인증 및 터널 옵션에 따라 달라집니다.

Azure VPN Client 구성

다음으로 프로필 구성 패키지를 검사하고, 클라이언트 컴퓨터에 대해 Azure VPN Client를 구성하고, Azure에 연결합니다. 다음 단계 섹션에 나열된 문서를 참조하세요.

다음 단계

Azure VPN Client 구성 VPN Gateway 클라이언트 설명서의 단계를 사용하여 Virtual WAN용 Azure VPN 클라이언트를 구성할 수 있습니다.