Microsoft Entra 배포 시나리오 - 앱당 MFA를 사용하여 온-프레미스 앱에 대한 원격 액세스 현대화

다음 배포 시나리오에서는 5개의 Microsoft Entra 제품군 제품을 모두 결합하고 테스트하는 방법에 대한 자세한 지침을 제공합니다.

• Microsoft Entra ID 보호
• Microsoft Entra ID 거버넌스
• Microsoft Entra 확인된 ID(프리미엄 기능)
• Microsoft Entra 인터넷 액세스
• Microsoft Entra 개인 액세스

이 가이드에서는 Microsoft Entra Suite의 가치와 해당 기능을 함께 사용하는 방법을 보여주는 시나리오에 대해 설명합니다.

• Microsoft Entra 배포 시나리오 소개
• Microsoft Entra 배포 시나리오 - 모든 앱에서 인력 및 게스트 온보딩, ID 및 액세스 수명 주기 거버넌스
• Microsoft Entra 배포 시나리오 - 비즈니스 요구 사항에 따라 인터넷 액세스 보호

시나리오: 빠른 액세스를 사용하여 원격 액세스 현대화

이 섹션에서는 가상의 조직인 Contoso가 기존 VPN 솔루션을 업그레이드하는 시나리오에 대해 Microsoft Entra Suite 제품을 구성하는 방법을 설명합니다. 확장성이 뛰어난 새로운 클라우드 기반 솔루션을 통해 SASE(Secure Access Service Edge)로 이동할 수 있습니다. 이 목표를 달성하기 위해 Microsoft Entra 인터넷 액세스, Microsoft Entra 개인 액세스 및 Microsoft Entra ID Protection을 배포합니다.

Microsoft Entra 개인 액세스 개인 회사 리소스에 대한 보안 액세스를 사용자에게 제공합니다(사무실이든 원격으로 작업하든). Microsoft Entra 개인 액세스 TCP/IP 포트 및 프로토콜과 관계없이 모든 프라이빗 리소스에 대한 액세스를 확장하기 위해 Microsoft Entra 애플리케이션 프록시를 기반으로 합니다.

원격 사용자는 VPN 솔루션을 요구하지 않고 모든 디바이스 및 네트워크에서 하이브리드 및 다중 클라우드 환경, 개인 네트워크 및 데이터 센터에서 프라이빗 앱에 연결할 수 있습니다. 이 서비스는 기존 VPN 솔루션보다 세분화된 보안을 위해 CA(조건부 액세스) 정책을 기반으로 앱별 적응형 액세스를 제공합니다.

Microsoft Entra ID Protection IAM(클라우드 기반 ID 및 액세스 관리)은 사용자 ID 및 자격 증명을 손상으로부터 보호하는 데 도움이 됩니다.

이 시나리오에 설명된 대로 Contoso 솔루션에 대해 이러한 개략적인 단계를 복제할 수 있습니다.

1. Microsoft Entra Suite에 가입합니다. 원하는 네트워크 및 보안 설정에 대한 Microsoft Entra Internet 및 Private Access를 사용하도록 설정하고 구성합니다.
2. 사용자 디바이스에 Microsoft Global Secure Access 클라이언트를 배포하고 프라이빗 네트워크에 커넥터를 Microsoft Entra 개인 액세스. Contoso 네트워크의 앱 및 리소스에 액세스하려면 다중 클라우드 IaaS(Internet-as-a-Service) 기반 가상 네트워크를 포함합니다.
3. 프라이빗 앱을 글로벌 보안 액세스 앱으로 설정합니다. 적절한 사용자 및 그룹을 할당합니다. 해당 앱 및 사용자에 대한 조건부 액세스 정책을 설정합니다. 이 설정을 사용하면 액세스가 필요한 사용자 및 그룹에만 액세스를 허용하여 최소 액세스를 달성할 수 있습니다.
4. 관리자가 조직을 안전하고 안전하게 유지하기 위해 위험을 조사하고 수정할 수 있도록 Microsoft Entra ID Protection을 사용하도록 설정합니다. 위험을 조건부 액세스와 같은 도구로 공급하여 액세스 결정을 내리고 조사를 위해 SIEM(보안 정보 및 이벤트 관리) 도구로 다시 공급할 수 있습니다.
5. Microsoft Entra 인터넷 액세스, Microsoft Entra 개인 액세스 및 Microsoft Entra ID Protection의 향상된 로그 및 분석을 사용하여 네트워크 및 보안 상태를 추적하고 평가합니다. 이 구성은 SOC(보안 운영 센터) 팀이 위협을 신속하게 감지하고 검사하여 에스컬레이션을 방지하는 데 도움이 됩니다.

Microsoft Entra Suite 솔루션은 VPN에 비해 다음과 같은 이점을 제공합니다.

• 보다 쉽고 통합된 관리
• VPN 비용 절감
• 보안 및 가시성 향상
• 보다 원활한 사용자 환경 및 효율성
• SASE에 대한 준비

빠른 액세스를 사용하는 원격 액세스에 대한 요구 사항

이 섹션에서는 시나리오 솔루션에 대한 요구 사항을 정의합니다.

빠른 액세스를 사용하여 원격 액세스에 대한 권한

전역 보안 액세스 기능과 상호 작용하는 관리자는 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할이 필요합니다.

CA(조건부 액세스) 정책 구성에는 조건부 액세스 관리자 또는 보안 관리자 역할이 필요합니다. 일부 기능에는 다른 역할이 필요할 수도 있습니다.

빠른 액세스를 사용하는 원격 액세스를 위한 필수 구성 요소

이 시나리오를 성공적으로 배포하고 테스트하려면 다음 필수 구성 요소를 구성합니다.

1. Microsoft Entra ID P1 라이선스가 있는 Microsoft Entra 테넌트. Microsoft Entra ID 보호를 테스트하도록 Microsoft Entra ID를 구성합니다. 라이선스를 구입하거나 평가판 라이선스를 얻습니다.
   • 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할의 사용자 한 명이 Microsoft의 Security Service Edge 기능을 구성합니다.
   • 테넌트에서 하나 이상의 클라이언트 테스트 사용자
2. 다음 구성을 사용하는 Windows 클라이언트 디바이스 한 개:
   • Windows 10/11 64 비트 버전
   • Microsoft Entra 조인 또는 하이브리드 조인
   • 인터넷에 연결되어 있고 회사 네트워크 액세스 또는 VPN이 없음
3. 클라이언트 디바이스에 전역 보안 액세스 클라이언트를 다운로드하여 설치합니다. Windows용 전역 보안 액세스 클라이언트 문서는 필수 조건 및 설치를 설명합니다.
4. Microsoft Entra 개인 액세스 테스트하려면 리소스 서버로 작동하도록 Windows 서버를 구성합니다.
   • Windows Server 2012 R2 이상
   • 파일 공유
5. Microsoft Entra 개인 액세스 테스트하려면 커넥터 서버로 작동하도록 Windows 서버를 구성합니다.
   • Windows Server 2012 R2 이상
   • Microsoft Entra 서비스에 대한 네트워크 연결
   • 포트 80 및 443 이 아웃바운드 트래픽에 대해 열립니다.
   • 필요한 URL에 대한 액세스 허용
6. 커넥터 서버와 애플리케이션 서버 간의 연결을 설정합니다. 애플리케이션 서버에서 테스트 애플리케이션에 대한 액세스(예: 성공적인 파일 공유 액세스)를 확인합니다.

이 다이어그램은 Microsoft Entra 개인 액세스 배포하고 테스트하기 위한 최소 아키텍처 요구 사항을 보여 줍니다.

빠른 액세스를 사용하여 원격 액세스를 위한 전역 보안 액세스 구성

이 섹션에서는 Microsoft Entra 관리 센터를 통해 전역 보안 액세스를 활성화합니다. 그런 다음 이 시나리오에 필요한 초기 구성을 설정합니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 전역 보안 액세스>시작>테넌트에서 전역 보안 액세스 활성화로 이동합니다. 활성화를 선택하여 SSE 기능을 사용합니다.
3. 전역 보안 액세스>연결>트래픽 전달로 이동합니다. 개인 액세스 프로필을 전환합니다. 트래픽 전달을 사용하면 Microsoft의 Security Service Edge 솔루션 서비스를 통해 터널링할 네트워크 트래픽 유형을 구성할 수 있습니다. 트래픽 전달 프로필을 설정하여 트래픽 유형을 관리합니다.

   • Microsoft 365 액세스 프로필은 Microsoft 365용 Microsoft Entra 인터넷 액세스에 사용됩니다.

   • 개인 액세스 프로필은 Microsoft Entra 개인 액세스에 사용됩니다.

   • 인터넷 액세스 프로필은 Microsoft Entra 인터넷 액세스에 사용됩니다. Microsoft의 Security Service Edge 솔루션은 전역 보안 액세스 클라이언트가 설치된 클라이언트 디바이스에서만 트래픽을 캡처합니다.

     

빠른 액세스를 사용하여 원격 액세스를 위한 글로벌 보안 액세스 클라이언트 설치

Microsoft 365용 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스는 Windows 디바이스에서 전역 보안 액세스 클라이언트를 사용합니다. 이 클라이언트는 네트워크 트래픽을 수집하여 Microsoft의 Security Service Edge 솔루션으로 전달합니다. 다음 설치 및 구성 단계를 완료합니다.

1. Windows 디바이스가 Microsoft Entra 조인 또는 하이브리드 조인 상태인지 확인합니다.

2. 로컬 관리자 권한으로 Microsoft Entra 사용자 역할을 사용하여 Windows 디바이스에 로그인합니다.

3. 최소한 전역 보안 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

4. 전역 보안 액세스>연결>클라이언트 다운로드로 이동합니다. 클라이언트 다운로드를 선택합니다. 설치를 완료합니다.

   

5. Windows 작업 표시줄에서 전역 보안 액세스 클라이언트는 처음에 연결이 끊어진 상태로 표시됩니다. 몇 초 후에 자격 증명을 묻는 메시지가 표시되면 테스트 사용자의 자격 증명을 입력합니다.

6. Windows 작업 표시줄에서 전역 보안 액세스 클라이언트 아이콘을 마우스로 가리키고 연결됨 상태를 확인합니다.

빠른 액세스를 사용하여 원격 액세스를 위한 커넥터 서버 설정

커넥터 서버는 Microsoft의 Security Service Edge Solution과 회사 네트워크의 게이트웨이로 통신합니다. 이 서버는 80 및 443을 통한 아웃바운드 연결을 사용하며 인바운드 포트는 필요하지 않습니다. Microsoft Entra 프라이빗 액세스에 대한 커넥터를 구성하는 방법을 참조하세요. 다음 구성 단계를 완료합니다.

1. 커넥터 서버에서 Microsoft Entra 관리 센터에 전역 보안 액세스 관리자 이상으로 로그인합니다.

2. 전역 보안 액세스>연결>커넥터로 이동합니다. 프라이빗 네트워크 커넥터 사용을 선택합니다.

   

3. 커넥터 서비스 다운로드를 선택합니다.

4. 설치 마법사에 따라 커넥터 서버에 커넥터 서비스를 설치합니다. 메시지가 표시되면 테넌트 자격 증명을 입력하여 설치를 완료합니다.

5. 커넥터 서버는 커넥터에 표시될 때 설치됩니다.

이 시나리오에서는 하나의 커넥터 서버에서 기본 커넥터 그룹을 사용합니다. 프로덕션 환경에서는 여러 커넥터 서버가 있는 커넥터 그룹을 만듭니다. 커넥터 그룹을 사용하여 별도의 네트워크에 앱을 게시하는 방법에 대한 자세한 지침을 참조하세요.

빠른 액세스를 사용하여 원격 액세스를 위한 보안 그룹 만들기

이 시나리오에서는 보안 그룹을 사용하여 프라이빗 액세스 애플리케이션에 권한을 할당하고 조건부 액세스 정책을 대상으로 합니다.

1. Microsoft Entra 관리 센터에서 새 클라우드 전용 보안 그룹을 만듭니다.
2. 테스트 사용자를 멤버로 추가합니다.

빠른 액세스를 사용하여 원격 액세스를 위한 프라이빗 리소스 확인

이 시나리오에서는 파일 공유 서비스를 샘플 리소스로 사용합니다. 모든 프라이빗 애플리케이션 또는 리소스를 사용할 수 있습니다. 애플리케이션이 Microsoft Entra 개인 액세스 사용하여 게시하는 데 사용하는 포트 및 프로토콜을 알아야 합니다.

게시할 파일 공유가 있는 서버를 식별하고 해당 IP 주소를 기록해 둡니다. 파일 공유 서비스는 포트 445/TCP를 사용합니다.

빠른 액세스를 사용하여 원격 액세스를 위한 애플리케이션 게시

Microsoft Entra 개인 액세스 모든 포트를 사용하는 TCP(전송 제어 프로토콜) 애플리케이션을 지원합니다. 인터넷을 통해 파일 서버(TCP 포트 445)에 연결하려면 다음 단계를 완료합니다.

1. 커넥터 서버에서 파일 서버의 파일 공유에 액세스할 수 있는지 확인합니다.

2. 최소한 전역 보안 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

3. 글로벌 보안 액세스>애플리케이션 엔터프라이즈 애플리케이션>+ 새 애플리케이션으로> 이동하세요.

   

4. 이름(예: FileServer1)을 입력합니다. 기본 커넥터 그룹을 선택합니다. +애플리케이션 세그먼트 추가를 선택합니다. 애플리케이션 서버의 IP 주소 와 포트 441을 입력합니다.

   

5. 저장 적용>을 선택합니다. 애플리케이션이 엔터프라이즈 애플리케이션에 있는지 확인합니다.

6. > > 으로 이동합니다. 새 애플리케이션을 선택합니다.

7. 사용자 및 그룹을 선택합니다. 이전에 만든 보안 그룹을 인터넷에서 이 파일 공유에 액세스하는 테스트 사용자와 함께 추가합니다.

빠른 액세스를 사용하여 원격 액세스를 위해 게시된 애플리케이션 보호

이 섹션에서는 사용자의 위험이 높아지면 새 애플리케이션에 대한 액세스를 차단하는 CA(조건부 액세스) 정책을 만듭니다.

1. 최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 보호>조건부 액세스>정책으로 이동합니다.
3. 새 정책을 선택합니다.
4. 이름을 입력하고 사용자를 선택합니다. 사용자 및 그룹을 선택합니다. 이전에 만든 보안 그룹을 선택합니다.
5. 대상 리소스> 및 이전에 만든 애플리케이션(예: FileServer1)을 선택합니다.
6. 조건>> 선택합니다. 높음 및 중간 위험 수준을 선택합니다. 완료를 선택합니다.
7. 권한 부여>액세스>
8. 정책을 사용하도록 설정/해제합니다.
9. 설정을 검토합니다.
10. 만들기를 실행합니다.

빠른 액세스를 사용하여 원격 액세스에 대한 액세스 유효성 검사

이 섹션에서는 위험이 없는 동안 사용자가 파일 서버에 액세스할 수 있는지 확인합니다. 위험이 감지될 때 액세스가 차단되는지 확인합니다.

1. 이전에 Global Secure Access 클라이언트를 설치한 디바이스에 로그인합니다.

2. \\\IP_address 를 실행하여 파일 서버에 액세스하고 파일 공유를 찾아볼 수 있는지 확인합니다.

   

3. 원하는 경우 Microsoft Entra ID Protection의 위험 검색 시뮬레이트 지침에 따라 사용자 위험을 시뮬레이션합니다. 사용자 위험을 중간 또는 높음으로 높이려면 여러 번 시도해야 할 수 있습니다.

4. 파일 서버에 액세스하여 액세스가 차단되어 있는지 확인합니다. 블록 적용을 위해 최대 1시간을 기다려야 할 수 있습니다.

5. 이전에 로그인 로그를 사용하여 만든 조건부 액세스 정책이 액세스를 차단하는지 확인합니다. ZTNA 네트워크 액세스 클라이언트 - 프라이빗 애플리케이션에서 비대화형 로그인 로그를 엽니다. 이전에 리소스 이름으로 만든 Private Access 애플리케이션 이름에서 로그를 봅니다.

시나리오: 앱당 원격 액세스 현대화

이 섹션에서는 가상의 조직인 Contoso가 사이버 보안 사례를 변환하는 시나리오에 대해 Microsoft Entra Suite 제품을 구성하는 방법에 대해 설명합니다. 명시적으로 확인하고, 최소 권한을 사용하며, 모든 애플리케이션 및 리소스에서 위반을 가정하는 제로 트러스트 원칙을 채택합니다. 검색 프로세스에서 최신 인증을 사용하지 않고 회사 네트워크(지점 또는 VPN을 사용하여 원격으로)에 대한 연결에 의존하는 여러 비즈니스 애플리케이션을 식별했습니다.

이 시나리오에 설명된 대로 Contoso 솔루션에 대해 이러한 개략적인 단계를 복제할 수 있습니다.

1. 명시적으로 확인하려면 애플리케이션별로 회사 네트워크에 액세스하도록 Microsoft Entra ID Private Access를 구성합니다. 조건부 액세스 및 Microsoft Entra ID Protection 에서 제공하는 통합된 액세스 제어 집합을 사용하여 Microsoft 365 및 기타 클라우드 애플리케이션에서 사용하는 ID, 엔드포인트 및 위험 신호에 따라 회사 네트워크에 대한 액세스 권한을 부여합니다.
2. 최소 권한을 적용하려면 Microsoft Entra ID 거버넌스를 사용하여 필요한 애플리케이션과 함께 앱별 네트워크 액세스를 포함하는 액세스 패키지를 만듭니다. 이 접근 방식은 조인자/이동자/휴가자 수명 주기에 걸쳐 작업 기능에 맞춰진 직원에게 회사 네트워크에 대한 액세스 권한을 부여합니다.

이 변환의 일환으로 SecOps 팀은 보안 위협을 보다 잘 식별하기 위해 보다 풍부하고 응집력 있는 보안 분석을 달성합니다. 솔루션을 함께 사용할 경우의 이점은 다음과 같습니다.

• 향상된 보안 및 가시성. 애플리케이션 및 데이터 민감도 및 위치뿐만 아니라 사용자 및 디바이스의 ID 및 컨텍스트에 따라 세분화되고 적응형 액세스 정책을 적용합니다. 보강된 로그 및 분석을 사용하여 네트워크 및 보안 상태에 대한 인사이트를 확보하여 위협을 감지하고 보다 신속하게 대응합니다.
• 온-프레미스 애플리케이션에 대한 최소 권한 액세스 애플리케이션에 필요한 것만 회사 네트워크에 대한 액세스를 줄입니다. 작업 함수에 맞춰 액세스 할당 및 제어는 조인자/이동자/이탈자 주기를 통해 진화합니다. 이 방법은 횡적 이동 공격 벡터의 위험을 줄입니다.
• 생산성을 향상시킵니다. 사용자가 조직에 가입할 때 애플리케이션 및 네트워크에 대한 액세스를 응집력 있게 설정하여 첫날에 갈 준비가 되도록 합니다. 사용자는 필요한 정보, 그룹 멤버 자격 및 애플리케이션에 올바르게 액세스할 수 있습니다. 조직 내 이동자에 대한 셀프 서비스 기능은 사용자가 조직을 떠날 때 액세스 해지를 보장합니다.

앱당 원격 액세스에 대한 요구 사항

이 섹션에서는 시나리오 솔루션에 대한 요구 사항을 정의합니다.

앱당 원격 액세스 권한

전역 보안 액세스 기능과 상호 작용하는 관리자는 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할이 필요합니다.

ID 거버넌스 구성에는 최소한 ID 거버넌스 관리자 역할이 필요합니다.

앱당 원격 액세스에 대한 라이선스

이 시나리오의 모든 단계를 구현하려면 전역 보안 액세스 및 Microsoft Entra ID Governance 라이선스가 필요합니다. 라이선스를 구입하거나 평가판 라이선스를 얻을 수 있습니다. 글로벌 보안 액세스 라이선스에 대한 자세한 내용은 글로벌 보안 액세스란?의 라이선스 섹션을 참조하세요.

앱당 원격 액세스에 대한 사용자

이 시나리오의 단계를 구성하고 테스트하려면 다음 사용자가 필요합니다.

• 권한에 정의된 역할이 있는 Microsoft Entra 관리자
• 클라우드 동기화를 구성하고 샘플 리소스에 대한 액세스를 구성하는 온-프레미스 Active Directory 관리자(파일 서버)
• 클라이언트 디바이스에서 테스트를 수행하기 위해 동기화된 일반 사용자

프라이빗 액세스 필수 구성 요소

이 시나리오를 성공적으로 배포하고 테스트하려면 이러한 필수 구성 요소를 구성합니다.

1. 다음 구성을 사용하는 Windows 클라이언트 디바이스 한 개:
   • Windows 10/11 64 비트 버전
   • Microsoft Entra 조인 또는 하이브리드 조인
   • 인터넷에 연결되어 있고 회사 네트워크 액세스 또는 VPN이 없음
2. 클라이언트 디바이스에 전역 보안 액세스 클라이언트를 다운로드하여 설치합니다. Windows용 전역 보안 액세스 클라이언트 문서는 필수 조건 및 설치를 설명합니다.
3. Microsoft Entra 개인 액세스 테스트하려면 리소스 서버로 작동하도록 Windows 서버를 구성합니다.
   • Windows Server 2012 R2 이상
   • 파일 공유
4. Microsoft Entra 개인 액세스 테스트하려면 커넥터 서버로 작동하도록 Windows 서버를 구성합니다.
   • Windows Server 2012 R2 이상
   • Microsoft Entra 서비스에 대한 네트워크 연결
   • 포트 80 및 443 이 아웃바운드 트래픽에 대해 열립니다.
   • 필요한 URL에 대한 액세스 허용
5. 커넥터 서버와 애플리케이션 서버 간의 연결을 설정합니다. 애플리케이션 서버에서 테스트 애플리케이션에 액세스할 수 있는지 확인합니다(예: 파일 공유 액세스 성공).

이 다이어그램은 Microsoft Entra 개인 액세스 배포하고 테스트하기 위한 최소 아키텍처 요구 사항을 보여 줍니다.

앱당 원격 액세스를 위한 프라이빗 리소스 확인

이 시나리오에서는 파일 공유 서비스를 샘플 리소스로 사용합니다. 모든 프라이빗 애플리케이션 또는 리소스를 사용할 수 있습니다. 애플리케이션이 Microsoft Entra 개인 액세스 사용하여 게시하는 데 사용하는 포트 및 프로토콜을 알아야 합니다.

게시하려는 파일 공유가 있는 서버를 식별하고 해당 IP 주소를 기록해 둡니다. 파일 공유 서비스는 포트 445/TCP를 사용합니다.

앱당 원격 액세스를 위한 전역 보안 액세스 구성

Microsoft Entra 관리 센터를 통해 전역 보안 액세스를 활성화하고 이 시나리오에 필요한 초기 구성을 만듭니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 전역 보안 액세스>시작>테넌트에서 전역 보안 액세스 활성화로 이동합니다. 활성화를 선택하여 테넌트에서 SSE 기능을 사용하도록 설정합니다.
3. 전역 보안 액세스>연결>트래픽 전달로 이동합니다. 개인 액세스 프로필을 전환합니다. 트래픽 전달을 사용하면 Microsoft의 Security Service Edge 솔루션 서비스를 통해 터널링할 네트워크 트래픽 유형을 구성할 수 있습니다. 트래픽 전달 프로필을 설정하여 트래픽 유형을 관리합니다.

   • Microsoft 365 액세스 프로필은 Microsoft 365용 Microsoft Entra 인터넷 액세스에 사용됩니다.

   • 개인 액세스 프로필은 Microsoft Entra 개인 액세스에 사용됩니다.

   • 인터넷 액세스 프로필은 Microsoft Entra 인터넷 액세스에 사용됩니다. Microsoft의 Security Service Edge 솔루션은 전역 보안 액세스 클라이언트가 설치된 클라이언트 디바이스에서만 트래픽을 캡처합니다.

     

앱당 원격 액세스를 위한 전역 보안 액세스 클라이언트 설치

Microsoft 365용 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스는 Windows 디바이스에서 전역 보안 액세스 클라이언트를 사용합니다. 이 클라이언트는 네트워크 트래픽을 확보하여 Microsoft의 Security Service Edge 솔루션으로 전달합니다. 다음 설치 및 구성 단계를 완료합니다.

1. Windows 디바이스가 Microsoft Entra ID 조인 또는 하이브리드 조인되었는지 확인합니다.

2. 로컬 관리자 권한으로 Microsoft Entra ID 사용자 역할을 사용하여 Windows 디바이스에 로그인합니다.

3. 최소한 전역 보안 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

4. 전역 보안 액세스>연결>클라이언트 다운로드로 이동합니다. 클라이언트 다운로드를 선택합니다. 설치를 완료합니다.

   

5. Windows 작업 표시줄에서 전역 보안 액세스 클라이언트는 처음에 연결이 끊어진 상태로 표시됩니다. 몇 초 후에 자격 증명을 묻는 메시지가 표시되면 테스트 사용자의 자격 증명을 입력합니다.

6. Windows 작업 표시줄에서 전역 보안 액세스 클라이언트 아이콘을 마우스로 가리키고 연결됨 상태를 확인합니다.

앱당 원격 액세스를 위한 커넥터 서버 설정

커넥터 서버는 Microsoft의 Security Service Edge 솔루션과 회사 네트워크의 게이트웨이로 통신합니다. 이 서버는 80 및 443을 통한 아웃바운드 연결을 사용하며 인바운드 포트는 필요하지 않습니다. Microsoft Entra 개인 액세스 커넥터를 구성하는 방법을 알아봅니다. 다음 구성 단계를 완료합니다.

1. 커넥터 서버에서 Microsoft Entra 관리 센터에 전역 보안 액세스 관리자 이상으로 로그인합니다.

2. 전역 보안 액세스>연결>커넥터로 이동합니다. 프라이빗 네트워크 커넥터 사용을 선택합니다.

   

3. 커넥터 서비스 다운로드를 선택합니다.

4. 설치 마법사에 따라 커넥터 서버에 커넥터 서비스를 설치합니다. 메시지가 표시되면 테넌트 자격 증명을 입력하여 설치를 완료합니다.

5. 커넥터 서버는 커넥터에 표시될 때 설치됩니다.

이 시나리오에서는 하나의 커넥터 서버에서 기본 커넥터 그룹을 사용합니다. 프로덕션 환경에서는 여러 커넥터 서버가 있는 커넥터 그룹을 만듭니다. 커넥터 그룹을 사용하여 별도의 네트워크에 앱을 게시하는 방법에 대한 자세한 지침을 참조하세요.

Private Access 애플리케이션 보안 그룹 만들기

이 시나리오에서는 보안 그룹을 사용하여 프라이빗 액세스 애플리케이션에 권한을 할당하고 조건부 액세스 정책을 대상으로 합니다.

1. Microsoft Entra 관리 센터에서 새 클라우드 전용 보안 그룹을 만듭니다.
2. 테스트 사용자를 멤버로 추가합니다.

앱당 원격 액세스를 위한 애플리케이션 게시

Microsoft Entra 개인 액세스 모든 포트를 사용하는 TCP(전송 제어 프로토콜) 애플리케이션을 지원합니다. 인터넷을 통해 파일 서버(TCP 포트 445)에 연결하려면 다음 단계를 완료합니다.

1. 커넥터 서버에서 파일 서버의 파일 공유에 액세스할 수 있는지 확인합니다.

2. 최소한 전역 보안 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

3. 글로벌 보안 액세스>애플리케이션 엔터프라이즈 애플리케이션>+ 새 애플리케이션으로> 이동하세요.

   

4. 이름(예: FileServer1)을 입력합니다. 기본 커넥터 그룹을 선택합니다. +애플리케이션 세그먼트 추가를 선택합니다. 애플리케이션 서버의 IP 주소 와 포트 441을 입력합니다.

   

5. 저장 적용>을 선택합니다. 애플리케이션이 엔터프라이즈 애플리케이션에 있는지 확인합니다.

6. > > 으로 이동합니다. 새 애플리케이션을 선택합니다.

7. 사용자 및 그룹을 선택합니다. 이전에 만든 보안 그룹을 인터넷에서 이 파일 공유에 액세스하는 테스트 사용자와 함께 추가합니다.

앱당 원격 액세스에 대한 액세스 거버넌스 구성

이 섹션에서는 이 솔루션의 구성 단계를 설명합니다.

권한 관리 카탈로그 만들기

다음 단계에 따라 권한 관리 카탈로그를 만듭니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>카탈로그를 찾아보세요.

3. +새 카탈로그를 선택합니다.

   

4. 카탈로그의 고유 이름을 입력하고 설명을 제공합니다. 요청자는 액세스 패키지의 세부 정보에서 이 정보를 확인합니다.

5. 내부 사용자에 대한 액세스 패키지를 이 카탈로그에 만들려면 외부 사용자>을 선택합니다.

   

6. 카탈로그에서 리소스를 추가할 카탈로그를 엽니다. 리소스+> 선택합니다.

   

7. 유형을 선택한 다음 그룹 및 팀, 애플리케이션 또는 SharePoint 사이트를 선택합니다.

8. 이전에 만든 애플리케이션(예: FileServer1) 및 보안 그룹(예: 재무 팀 파일 공유)을 선택하고 추가합니다. 추가를 선택합니다.

Active Directory에 그룹 프로비전

Microsoft Entra Cloud Sync를 사용하여 Active Directory에 그룹 프로비저닝하는 것이 좋습니다. 연결 동기화를 사용하는 경우 구성을 클라우드 동기화로 전환합니다. Microsoft Entra ID의 Microsoft Entra Cloud Sync에 대한 필수 구성 요소 및 Microsoft Entra 프로비저닝 에이전트 문서를 설치하는 방법은 자세한 지침을 제공합니다. Microsoft Entra Connect Sync의 그룹 쓰기 저장 v2는 2024년 6월 30일 이후에 더 이상 사용할 수 없습니다.

다음 단계에 따라 Microsoft Entra Cloud 동기화를 구성합니다.

1. 최소한 하이브리드 ID 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다.

3. 새 구성을 선택합니다.

4. Microsoft Entra ID를 AD 동기화로를선택합니다.

   

5. 구성에서 도메인을 선택합니다. 필요에 따라 암호 해시 동기화 사용을 선택합니다.

6. 만들기를 실행합니다.

   

7. 구성을 시작하려면 범위 지정 필터 추가(범위 지정 필터 추가 아이콘 옆) 또는 범위 지정 필터(관리 아래)를 선택합니다.

8. 그룹 선택 옵션에서 선택한 보안 그룹을 선택합니다. 개체 편집을 선택합니다. 이전에 만든 Microsoft Entra ID 보안 그룹(예: 재무 팀 파일 공유)을 추가합니다. 이 그룹을 사용하여 수명 주기 워크플로를 사용하여 온-프레미스 애플리케이션에 대한 액세스를 관리하고 이후 단계에서 패키지에 액세스합니다.

   

온-프레미스 파일 서버에 대한 액세스 할당

1. 선택한 파일 서버에서 파일 공유를 만듭니다.
2. Active Directory에 프로비전한 Microsoft Entra ID 보안 그룹(예: 재무 팀 파일 공유)에 읽기 권한을 할당합니다.

앱당 원격 액세스를 위한 액세스 패키지 만들기

다음 단계에 따라 권한 관리에서 액세스 패키지를 만듭니다.

1. 최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.

3. 새 액세스 패키지를 선택합니다.

4. 기본 사항의 경우 액세스 패키지에 이름(예: Finance Apps 액세스 패키지)을 지정합니다. 이전에 만든 카탈로그를 지정합니다.

5. 리소스 역할의 경우 이전에 추가한 리소스(예: FileServer1 앱 및 Finance Team File Share 보안 그룹)를 선택합니다.

6. 역할에서 Finance Team 파일 공유에 대한 멤버 및 FileServer1 앱의 사용자를 선택합니다.

   

7. 요청에서 디렉터리에 있는 사용자의 경우를 선택합니다. 또는 게스트 사용자에 대한 액세스 패키지를 사용하도록 설정합니다(별도의 시나리오에서 설명).

8. 특정 사용자 및 그룹을 선택한 경우 사용자 및 그룹 추가를 선택합니다.

9. 사용자 및 그룹 선택에서 사용자를 선택하지 마세요. 나중에 액세스를 요청하는 사용자를 테스트합니다.

10. 선택 사항:승인 섹션에서 사용자가 이 액세스 패키지를 요청할 때 승인이 필요한지 여부를 지정합니다.

11. 선택 사항: 요청자 정보에서 질문을 선택합니다. 요청자에게 물어보려는 질문을 입력합니다. 이 질문을 표시 문자열이라고 합니다. 지역화 옵션을 추가하려면 지역화 추가를 선택합니다.

12. 수명 주기에서 액세스 패키지에 대한 사용자의 할당이 만료되는 시점을 지정합니다. 사용자가 할당을 확장할 수 있는지 여부를 지정합니다. 만료 섹션에서 액세스 패키지 할당 만료를 날짜, 일수, 시간 또는 없음으로 설정합니다.

13. 만들기를 실행합니다.

    

수명 주기 워크플로 만들기

이 섹션에서는 조인 및 휴가 워크플로를 만들고 요청 시 워크플로를 실행하는 방법을 설명합니다.

조인자 워크플로 만들기

조인자 워크플로를 만들려면 다음 단계를 수행합니다.

1. 최소한 수명 주기 워크플로 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>수명 주기 워크플로>워크플로 만들기로 이동합니다.

3. 워크플로를 선택하려면 신입 사원 등록을 선택합니다.

   

4. 기본 사항의 경우 워크플로 표시 이름 및 설명에 대한 재무인 신입 사원 온보딩을 입력합니다. 다음을 선택합니다.

5. 범위> 규칙 구성의 경우 속성, 연산자 및 값 값을 입력합니다. 범위의 식을 속성>에 재무 값 이 있는 사용자로만 변경합니다. 테스트 사용자가 워크플로 범위에 있도록 Finance 문자열로 속성을 채우는지 확인합니다.

   

6. 작업 검토에서 작업 추가를 선택하여 템플릿에 작업을 추가합니다. 이 시나리오에서는 요청 사용자 액세스 패키지 할당을 추가 합니다.

7. 기본 사항의 경우 사용자 액세스 패키지 할당 요청을 선택합니다. 이 작업에 이름을 할당합니다(예: Finance Access 패키지 할당). 정책을 선택합니다.

8. 구성에서 이전에 만든 액세스 패키지를 선택합니다.

9. 선택 사항: 다음과 같이 다른 조인자 작업을 추가합니다. 이러한 작업 중 일부의 경우 수명 주기 워크플로 API를 사용하여 작업 첫날 전에 직원 온보딩 작업을 자동화하는 데 설명된 대로 관리자 및 전자 메일과 같은 중요한 특성이 사용자에게 제대로 매핑되었는지 확인합니다.

   • 사용자 계정 사용
   • 그룹 또는 팀에 사용자 추가
   • 환영 이메일 보내기
   • TAP 생성 및 이메일 보내기

10. 일정 사용을 선택합니다.

    

11. 검토 + 만들기를 선택합니다.

휴가 워크플로 만들기

휴가 워크플로를 만들려면 다음 단계를 수행합니다.

1. 최소한 수명 주기 워크플로 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>수명 주기 워크플로>워크플로 만들기로 이동합니다.

3. 워크플로 선택에서 직원 오프보딩을 선택합니다.

   

4. 기본 사항에서 직원 오프보드를 입력합니다. 재무를 워크플로의 표시 이름 및 설명으로 입력합니다. 다음을 선택합니다.

5. 범위> 규칙 구성에서 속성, 연산자 및 값 값을 입력합니다. 범위의 식을 속성>에 재무 값 이 있는 사용자로만 변경합니다. 테스트 사용자가 워크플로 범위에 있도록 Finance 문자열로 속성을 채우는지 확인합니다.

   

6. 작업 검토에서 작업 추가를 선택하여 템플릿에 작업을 추가합니다. 이 시나리오에서는 요청 사용자 액세스 패키지 할당을 추가 합니다.

7. 선택 사항: 다음과 같은 다른 휴가 작업을 추가합니다.

   • 사용자 계정 사용 안 함
   • 모든 그룹에서 사용자 제거
   • 모든 Teams에서 사용자 제거

8. 일정을 사용하도록 설정/해제합니다.

   

9. 검토 + 생성를 선택합니다.

참고 항목

수명 주기 워크플로는 시간 기반 특성과 오프셋 값을 결합하는 정의된 트리거에 따라 자동으로 실행됩니다. 예를 들어 특성이 -1이고 employeeHireDateoffsetInDays -1인 경우 워크플로는 직원 고용 날짜 하루 전에 트리거되어야 합니다. 값의 범위는 -180~180일입니다. 값 employeeHireDate 이며 employeeLeaveDateTime 사용자에 대한 Microsoft Entra ID 내에서 설정해야 합니다. 수명 주기 워크플로 에 대한 특성을 동기화하는 방법은 특성 및 프로세스에 대한 자세한 정보를 제공합니다.

요청 시 조인자 워크플로 실행

자동화된 일정을 기다리지 않고 이 시나리오를 테스트하려면 주문형 수명 주기 워크플로를 실행합니다.

1. 이전에 만든 조인자 워크플로를 시작합니다.

2. 최소한 수명 주기 워크플로 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

3. ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.

4. 워크플로에서 신입 사원 온보딩을 선택합니다. 이전에 만든 재무입니다.

5. 주문형 실행을 선택합니다.

6. 사용자 선택에서 사용자 추가를 선택합니다.

7. 사용자 추가 시 주문형 워크플로를 실행할 사용자를 선택합니다.

8. 추가를 선택합니다.

9. 선택 사항을 확인합니다. 워크플로 실행을 선택합니다.

10. 워크플로 기록을 선택하여 작업 상태를 확인합니다.

    

11. 모든 작업이 완료되면 사용자가 액세스 패키지에서 선택한 애플리케이션에 액세스할 수 있는지 확인합니다. 이 단계에서는 사용자가 첫날에 필요한 앱에 액세스하는 조인자 시나리오를 완료합니다.

앱당 원격 액세스에 대한 액세스 유효성 검사

이 섹션에서는 조직에 합류하는 재무 팀의 새 멤버를 시뮬레이션합니다. 사용자 액세스 권한을 Finance Team 파일 공유에 자동으로 할당하고 Microsoft Entra 개인 액세스 사용하여 파일 서버에 대한 원격 액세스를 할당합니다.

이 섹션에서는 할당된 리소스에 대한 액세스를 확인하는 옵션에 대해 설명합니다.

액세스 패키지 할당 확인

액세스 패키지 할당 상태를 확인하려면 다음 단계를 수행합니다.

1. 사용자로 로그인합니다 myaccess.microsoft.com.

2. 액세스 패키지, 활성을 선택하여 이전에 요청한 액세스 패키지(예: Finance Access Package)를 확인합니다.

   

앱 액세스 확인

앱 액세스를 확인하려면 다음 단계를 수행합니다.

1. 사용자로 로그인합니다 myaccess.microsoft.com.

2. 앱 목록에서 이전에 만든 앱(예: Finance App)을 찾아서 액세스합니다.

   

그룹 멤버 자격 확인

그룹 멤버 자격을 확인하려면 다음 단계를 수행합니다.

1. 사용자로 로그인합니다 myaccess.microsoft.com.

2. 내가 속한 그룹을 선택합니다. 이전에 만든 그룹의 멤버 자격(예: 재무 회계)을 확인합니다.

   

Teams 멤버 자격 확인

Teams 멤버 자격을 확인하려면 다음 단계를 수행합니다.

1. 사용자로 Teams에 로그인합니다.

2. 이전에 만든 팀의 멤버 자격(예: 재무 계정)을 확인합니다.

   

원격 액세스 확인

파일 서버에 대한 사용자 액세스를 확인하려면 다음 단계를 수행합니다.

1. GSA(전역 보안 액세스) 에이전트를 설치한 디바이스에 로그인합니다.

2. \를\\IP_address 실행하고 파일 공유에 대한 액세스의 유효성을 검사합니다.

   

요청 시 휴가 워크플로 실행

1. 최소한 수명 주기 워크플로 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID 거버넌스>수명 주기 워크플로>워크플로로 이동합니다.

3. 워크플로에서 휴가 단계에서 만든 직원 - 재무 워크플로 오프보드를 선택합니다.

4. 주문형 실행을 선택합니다.

5. 사용자 선택에서 사용자 추가를 선택합니다.

6. 사용자 추가 시 주문형 워크플로를 실행할 사용자를 선택합니다.

7. 추가를 선택합니다.

8. 선택 사항을 확인하고 워크플로 실행을 선택합니다.

9. 워크플로 기록을 선택하여 작업 상태를 확인합니다.

   

10. 모든 작업이 완료되면 액세스 패키지에서 선택한 애플리케이션에 대한 모든 액세스에서 사용자가 제거되었는지 확인합니다.

액세스 제거 유효성 검사

휴가 워크플로를 실행한 후 앱 액세스 확인 및 원격 액세스 확인 섹션의 단계를 반복하여 재무 애플리케이션, 재무 팀, SharePoint 사이트 및 파일 공유에 대한 사용자 액세스 제거를 확인합니다. 이 단계에서는 사용자가 이러한 리소스에 액세스할 수 없도록 철저하게 확인합니다.

관련 콘텐츠

• Microsoft Entra ID Governance에 대해 알아보기
• Microsoft Entra ID 보호란?
• Microsoft Entra ID Protection 배포 계획
• 전역 보안 액세스 시작
• Microsoft Entra 개인 액세스 및 Microsoft Entra 인터넷 액세스용 전역 보안 액세스 클라이언트에 대해 알아보기
• Microsoft Entra 개인 액세스에 대한 자세한 정보
• Microsoft Entra 인터넷 액세스에 대해 알아보기