Microsoft Entra 인터넷 액세스 개념 증명에 대한 Microsoft의 Security Service Edge 솔루션 배포 가이드

Microsoft ID 중심 Security Service Edge 솔루션은 네트워크 및 ID 액세스 제어를 수렴하여 모든 위치, 디바이스, ID에서 모든 앱이나 리소스에 대한 액세스를 보호할 수 있습니다. 직원, 비즈니스 파트너, 디지털 워크로드에 대한 액세스 정책 관리를 사용하도록 설정하고 오케스트레이션합니다. 프라이빗 앱, SaaS 앱, Microsoft 엔드포인트에 대한 권한 또는 위험 수준이 변경되는 경우 사용자 액세스를 실시간으로 모니터링하고 조정할 수 있습니다.

악의적인 인터넷 트래픽 및 맬웨어 감염으로부터 엔터프라이즈 사용자 및 관리 디바이스를 보호하는 것은 모든 회사의 관심사입니다. Microsoft Entra 인터넷 액세스 보안 웹 게이트웨이 기능을 사용하여 Microsoft Entra 조건부 액세스와 통합하여 웹 범주 및 FQDN(정규화된 도메인 이름)에 따라 트래픽을 차단합니다.

이 문서의 지침은 프로덕션 또는 테스트 환경에서 개념 증명으로 Microsoft Entra 인터넷 액세스를 배포하는 데 도움이 됩니다. 여기에는 웹 콘텐츠 필터링 설정 및 구성이 포함됩니다. 특정 테스트 사용자 및 그룹에 대한 구성 및 테스트 범위를 지정하는 방법을 포함하는 Microsoft의 Security Service Edge 솔루션 배포 가이드 소개에서 필수 조건을 검토할 수 있습니다.

Microsoft Entra 인터넷 액세스 배포 및 테스트

초기 제품 구성 단계를 완료합니다. Microsoft Entra 인터넷 액세스 트래픽 전달 프로필을 사용하도록 설정하고 테스트 디바이스에 전역 보안 액세스 클라이언트를 설치하는 방법을 알아봅니다. 이러한 샘플 PoC 시나리오의 경우 테스트 사용자 한 명을 멤버로 사용하는 테스트 그룹이 하나 필요합니다.

• 서비스를 통해 라우팅되는 모든 인터넷 액세스 트래픽에 적용되는 기준 정책 생성
• 범주에 따라 그룹이 웹 사이트에 액세스하지 못하도록 차단
• 그룹이 FQDN을 기반으로 웹 사이트에 액세스하지 못하도록 차단
• 사용자가 차단된 웹 사이트에 액세스하도록 허용

샘플 PoC 시나리오: 서비스를 통해 라우팅되는 모든 인터넷 액세스 트래픽에 적용되는 기준 정책 생성

Microsoft 인터넷 액세스에는 조건부 액세스 정책에 연결하지 않고 모든 트래픽에 적용되는 우선순위가 65,000인 보안 프로필을 구성하는 기능이 있습니다. 다음 작업을 완료하여 이 기준 정책을 만들어 FQDN을 차단합니다.

• 웹 필터링 정책을 만들어 위험한 웹 범주에 대한 블록 규칙을 구성합니다.
• 우선순위가 65,000인 보안 프로필을 만들어 웹 필터링 정책을 그룹화하고 우선순위를 지정합니다.
• 테스트 사용자를 사용하여 차단된 사이트에 액세스 시도하여 규칙의 적용을 확인합니다.
• 에이전트를 중지하고 테스트 사용자가 이전에 차단된 사이트에 액세스할 수 있음을 확인합니다.
• 트래픽 로그에서 활동을 봅니다.

웹 필터링 정책 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>웹 콘텐츠 필터링 정책>정책 만들기>전역 보안 액세스 콘텐츠 필터링 구성으로 이동합니다.

   

2. 웹 콘텐츠 필터링 정책 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 이름: 기준 인터넷 액세스 블록 규칙.
   • 설명: 설명을 추가합니다.
   • 작업: 차단합니다.

   

3. 다음을 선택합니다.

4. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 규칙 추가를 선택합니다.

   

5. 규칙 추가 대화 상자에서 다음 세부 정보를 제공합니다.

   • 이름: 기준이 차단된 웹 범주.
   • 대상 유형: webCategory.
   • 검색: 몇 가지 위험한 범주를 선택하고 선택한 항목 목록에 있는지 확인합니다.

   

6. 추가를 선택합니다.

7. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 선택 사항을 확인합니다.

   

8. 다음을 선택합니다.

9. 웹 콘텐츠 필터링 정책 만들기>검토에서 정책 구성을 확인합니다.

10. Create policy(정책 만들기)를 선택합니다.

    

11. 정책 생성을 확인하려면 웹 콘텐츠 필터링 정책 관리 목록에서 확인합니다.

보안 정책 프로필 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>보안 프로필로 이동합니다. 프로필 만들기를 선택합니다.

   

2. 프로필 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 프로필 이름: 기준 인터넷 액세스 블록 프로필.
   • 설명: 설명을 추가합니다.
   • 상태: 사용 중입니다.
   • 우선순위: 65,000.

   

3. 다음을 선택합니다.

4. 프로필 만들기>링크 정책에서 정책 연결을 선택합니다. 기존 정책을 선택합니다.

   • 정책 연결 대화 상자에서 정책 이름을 선택하고 기준 인터넷 액세스 블록 규칙을 선택합니다.
   • 우선순위: 100.
   • 상태: 사용 중입니다.

5. 추가를 선택합니다.

6. 프로필 만들기>정책 연결에서 기준 인터넷 액세스 블록 규칙이 목록에 있는지 확인합니다.

7. 다음을 선택합니다.

8. 프로필 만들기>검토에서 프로필 구성을 확인합니다.

   

9. 프로필 만들기를 선택합니다.

차단된 사이트에 액세스 시도

1. GSA(전역 보안 액세스) 에이전트를 설치한 테스트 디바이스에 로그인합니다.

2. 시스템 트레이에서 전역 보안 액세스 클라이언트를 마우스 오른쪽 단추로 클릭합니다. 고급 진단을 선택합니다.

   

3. 전역 보안 액세스 클라이언트 - 고급 진단 대화 상자에서 트래픽을 선택합니다.

4. 네트워크 트래픽에서 수집 시작을 선택합니다.

   

5. 차단된 액세스를 확인하려면 차단한 FQDN을 엽니다. 정책이 클라이언트 디바이스에 적용되는 데 최대 20분이 걸릴 수 있습니다.

에이전트를 중지하고 복원된 액세스 확인

1. 네트워크 트래픽에서 수집 중지를 선택합니다.

2. 스크롤하여 FQDN 열기와 관련된 트래픽 및 관련 데이터를 관찰합니다.

   

3. 테스트 디바이스 > 시스템 트레이 >에서 옵션 확장 > 전역 보안 액세스 클라이언트를 오른쪽 단추로 클릭합니다. 일시 중지를 선택합니다.

   

4. 확인 알림이 표시되면 이전에 차단된 사이트를 열어 복원된 액세스를 확인합니다.

트래픽 로그에서 활동 보기

1. Microsoft Entra 관리 센터>전역 보안 액세스>모니터링에서 트래픽 로그를 선택합니다. 필요한 경우 필터 추가를 선택합니다. 사용자 계정 이름에 testuser가 포함되고 작업이 차단으로 설정된 경우 필터링합니다.
2. 트래픽이 차단된 후 허용되는 것으로 표시되는 대상 FQDN의 항목을 관찰합니다. 로그에 항목이 표시되려면 최대 20분이 지연될 수 있습니다.

샘플 PoC 시나리오: 범주에 따라 그룹이 웹 사이트에 액세스하지 못하도록 차단

Microsoft Entra 인터넷 액세스를 사용하여 범주에 따라 인터넷 사이트에 대한 액세스를 차단하거나 허용합니다. 이 영역에는 도박, 알코올, 담배 사이트가 포함됩니다. 차단 목록을 수동으로 관리할 필요는 없습니다. 다음 작업을 완료하여 테스트 사용자에게서 알코올 및 담배 사이트를 차단하도록 Microsoft Entra 인터넷 액세스를 구성합니다.

• 범주 사이트에 대한 블록 규칙을 구성합니다. 웹 필터링 정책을 만듭니다.
• 웹 필터링 정책을 그룹화하고 우선순위를 지정합니다. 보안 프로필을 만듭니다.
• 보안 프로필을 사용하도록 테스트 사용자를 사용하여 테스트 그룹을 구성합니다. 조건부 액세스 정책을 만들고 할당합니다.
• 테스트 사용자를 사용하여 차단된 사이트에 액세스하여 규칙 애플리케이션을 확인합니다.
• 에이전트를 중지하고 이전에 차단된 사이트에 대한 테스트 사용자 액세스를 확인합니다.
• 트래픽 로그에서 활동을 봅니다.

웹 필터링 정책 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>웹 콘텐츠 필터링 정책>정책 만들기>전역 보안 액세스 콘텐츠 필터링 구성으로 이동합니다.

   

2. 웹 콘텐츠 필터링 정책 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 이름: 알코올 및 담배 차단.
   • 설명: 설명을 추가합니다.
   • 작업: 차단합니다.

3. 다음을 선택합니다.

4. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 규칙 추가를 선택합니다.

5. 규칙 추가 대화 상자에서 다음 세부 정보를 제공합니다.

   • 이름: 알코올 및 담배.
   • 대상 유형: webCategory.
   • 검색: 알코올.
   • 알코올과 담배를 선택합니다.

6. 추가를 선택합니다.

7. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 다음을 선택합니다.

8. 웹 콘텐츠 필터링 정책 만들기>검토에서 정책 구성을 확인합니다.

   

9. Create policy(정책 만들기)를 선택합니다.

10. 정책 생성을 확인하려면 웹 콘텐츠 필터링 정책 관리 목록에서 확인합니다.

    

보안 정책 프로필 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>보안 프로필로 이동합니다. 프로필 만들기를 선택합니다.

   

2. 프로필 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 프로필 이름: 인터넷 액세스 프로필.
   • 설명: 설명을 추가합니다.
   • 상태: 사용 중입니다.
   • 우선순위: 1,000.

3. 다음을 선택합니다.

4. 프로필 만들기>링크 정책에서 정책 연결을 선택합니다.

5. 기존 정책을 선택합니다.

6. 정책 연결 대화 상자에서 다음 세부 정보를 제공합니다.

   • 정책 이름: 알코올 및 담배 차단.
   • 우선순위: 1,000.
   • 상태: 사용 중입니다.

7. 추가를 선택합니다.

8. 프로필 만들기>정책 연결에서 목록에서 알코올 및 담배 차단을 확인합니다.

9. 다음을 선택합니다.

10. 프로필 만들기>검토에서 프로필 구성을 확인합니다.

    

11. 프로필 만들기를 선택합니다.

조건부 액세스 정책 만들기

1. Microsoft Entra 관리 센터에서 보호>조건부 액세스로 이동합니다. 새 정책 만들기를 선택합니다.

2. 새 조건부 액세스 정책 대화 상자에서 다음 세부 정보를 구성합니다.

   • 이름: 인터넷 액세스 정책입니다.
   • 사용자 또는 워크로드 ID: 특정 사용자를 포함합니다.
   • 이 정책은 어떤 항목에 적용됩니까? 사용자 및 그룹.
   • 포함>사용자 및 그룹 선택> 사용자 및 그룹을 선택합니다.

3. 테스트 그룹 선택 > 선택을 클릭합니다.

   

4. 대상 리소스.

   • 이 정책이 적용되는 대상을 선택>전역 보안 액세스.
   • 이 정책이 적용되는 트래픽 프로필>인터넷 트래픽을 선택합니다.

   

5. 정의된 보안 프로필이 차단 기능을 정의하도록 권한 부여 컨트롤에 액세스 권한을 기본값으로 둡니다.

6. 세션 대화 상자에서 전역 보안 액세스 보안 프로필 사용을 선택합니다.

7. 인터넷 액세스 프로필을 선택합니다.

   

8. 조건부 액세스 개요>정책 사용에서 켜짐을 선택합니다. 만들기를 실행합니다.

차단된 사이트에 액세스 시도

1. GSA 에이전트를 설치한 테스트 디바이스에 로그인합니다.

2. 시스템 트레이에서 전역 보안 액세스 클라이언트를 마우스 오른쪽 단추로 클릭합니다. 고급 진단을 선택합니다.

   

3. 전역 보안 액세스 클라이언트 - 고급 진단 대화 상자에서 트래픽을 선택합니다.

4. 네트워크 트래픽에서 수집 시작을 선택합니다.

   

5. 알코올 또는 담배 사이트를 열어 차단된 액세스를 확인합니다. http 웹사이트의 경우 트래픽 거부가 표시되고 https 웹사이트의 경우 이 페이지에 연결할 수 없음 알림이 표시되어야 합니다. 정책이 클라이언트 디바이스에 적용되는 데 최대 20분이 걸릴 수 있습니다.

에이전트를 중지하고 복원된 액세스 확인

1. 네트워크 트래픽에서 수집 중지를 선택합니다.

2. 스크롤하여 FQDN 및 관련 데이터 열기와 관련된 트래픽을 관찰합니다. 채널 열의 인터넷 액세스에 유의합니다. 조건부 액세스 정책은 1시간 수명이 있는 토큰에 대한 클레임으로 작성됩니다. 새 조건부 액세스 정책이 클라이언트 디바이스에 적용되는 데 최대 1시간이 걸릴 수 있습니다. 변경 내용이 Microsoft Entra에 전파되므로 웹 필터링 정책 및 보안 프로필 변경 내용이 클라이언트 디바이스에 적용되는 데 최대 20분이 걸릴 수 있습니다.

   

3. 테스트 디바이스 > 시스템 트레이 >에서 옵션 확장 > 전역 보안 액세스 클라이언트를 오른쪽 단추로 클릭합니다. 일시 중지를 선택합니다.

   

4. 확인 알림이 표시되면 이전에 차단된 사이트를 열어 복원된 액세스를 확인합니다. GSA 클라이언트 메뉴에 액세스하는 기능은 제품이 일반 공급으로 이동할 때 관리자가 제어할 수 있습니다.

트래픽 로그에서 활동 보기

1. Microsoft Entra 관리 센터>전역 보안 액세스>모니터링에서 트래픽 로그를 선택합니다.
2. 필요한 경우 필터 추가를 선택합니다. 사용자 계정 이름에 testuser가 포함되고 작업이 차단으로 설정된 경우 필터링합니다.
3. 트래픽이 차단된 후 허용되는 것으로 표시되는 대상 FQDN의 항목을 관찰합니다. 로그에 항목이 표시되려면 최대 20분까지 지연될 수 있습니다.

샘플 PoC 시나리오: 그룹이 FQDN을 기반으로 웹 사이트에 액세스하지 못하도록 차단

경우에 따라 광범위한 웹 범주를 사용하는 대신 특정 웹 사이트를 차단해야 합니다. 다음 작업을 완료하여 FQDN에 따라 사이트에 대한 액세스를 차단합니다. 차단하려는 사이트에서 사용 중인 관련 FQDN(정규화된 도메인 이름)을 포함해야 합니다.

• 특정 FQDN에 대한 블록 규칙을 구성합니다. 웹 필터링 정책을 만듭니다.
• 웹 필터링 정책을 그룹화하고 우선순위를 지정합니다. 보안 프로필을 만듭니다.
• 보안 프로필을 사용하도록 테스트 그룹(사용자가 구성원임)을 구성합니다. 조건부 액세스 정책을 만들고 할당합니다.
• 테스트 사용자를 사용하여 차단된 사이트에 액세스하여 규칙 애플리케이션을 확인합니다.
• 에이전트를 중지하고 이전에 차단된 사이트에 대한 테스트 사용자 액세스를 확인합니다.
• 트래픽 로그에서 활동을 봅니다.

웹 필터링 정책 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>웹 콘텐츠 필터링 정책>정책 만들기>전역 보안 액세스 콘텐츠 필터링 구성으로 이동합니다.

   

2. 웹 콘텐츠 필터링 정책 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 이름: 테스트 FQDN 차단.
   • 설명: 설명을 추가합니다.
   • 작업: 차단합니다.

3. 다음을 선택합니다.

4. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 규칙 추가를 선택합니다.

5. 규칙 추가 대화 상자에서 다음 세부 정보를 제공합니다.

   • 이름: 블록 테스트 FQDN과 같은 이름을 입력합니다.
   • 대상 유형: FQDN.
   • 대상: *.domainname.com 또는 domainname.com 형식의 테스트 FQDN을 입력합니다.

6. 추가를 선택합니다.

7. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 선택 사항을 확인합니다.

8. 다음을 선택합니다.

9. 웹 콘텐츠 필터링 정책 만들기>검토에서 정책 구성을 확인합니다.

   

10. Create policy(정책 만들기)를 선택합니다.

11. 정책 생성을 확인하려면 웹 콘텐츠 필터링 정책 관리 목록에서 확인합니다.

보안 정책 프로필 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>보안 프로필로 이동합니다. 프로필 만들기를 선택합니다.

   

2. 프로필 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 프로필 이름: FQDN 인터넷 액세스 프로필 차단.
   • 설명: 설명을 추가합니다.
   • 상태: 사용 중입니다. *우선순위: 2,000.

3. 다음을 선택합니다.

4. 프로필 만들기>링크 정책에서 정책 연결을 선택합니다.

5. 기존 정책을 선택합니다.

6. 정책 연결 대화 상자에서 다음 세부 정보를 제공합니다.

   • 정책 이름: 테스트 FQDN 차단.
   • 우선순위: 100.
   • 상태: 사용 중입니다.

7. 추가를 선택합니다.

8. 링크 정책 탭에서 목록에서 테스트 FQDN 차단을 확인합니다.

9. 다음을 선택합니다.

10. 검토 탭에서 프로필 구성을 확인합니다.

    

11. 프로필 만들기를 선택합니다.

조건부 액세스 정책 만들기

1. Microsoft Entra 관리 센터에서 보호>조건부 액세스로 이동합니다. 새 정책 만들기를 선택합니다.

2. 새 조건부 액세스 정책 대화 상자에서 다음을 구성합니다.

   • 이름: FQDN 인터넷 액세스 정책.
   • 사용자 또는 워크로드 ID: 특정 사용자를 포함합니다.
   • 이 정책은 어떤 항목에 적용됩니까? 사용자 및 그룹.
   • 포함>사용자 및 그룹 선택> 사용자 및 그룹을 선택합니다.
   • 테스트 그룹을 선택합니다. 선택을 클릭합니다.

   

3. 대상 리소스>이 정책이 적용되는 대상을 선택>전역 보안 액세스.

4. 이 정책이 적용되는 트래픽 프로필>인터넷 트래픽을 선택합니다.

   

5. 세션 대화 상자에서 FQDN 인터넷 액세스 프로필 차단을 선택합니다. 인터넷 액세스 프로필을 선택합니다.

6. 조건부 액세스 개요>정책 사용에서 켜짐을 선택합니다. 만들기를 실행합니다.

   

차단된 사이트에 액세스 시도

1. GSA 에이전트를 설치한 테스트 디바이스에 로그인합니다.

2. 시스템 트레이에서 전역 보안 액세스 클라이언트를 마우스 오른쪽 단추로 클릭합니다. 고급 진단을 선택합니다.

   

3. 전역 보안 액세스 클라이언트 - 고급 진단 대화 상자에서 트래픽을 선택합니다.

4. 네트워크 트래픽에서 수집 시작을 선택합니다.

   

5. 차단된 액세스를 확인하도록 구성한 FQDN을 엽니다. http 웹사이트의 경우 액세스 거부가 표시되고 https 웹사이트의 경우 이 페이지에 연결할 수 없음 알림이 표시되어야 합니다. 정책이 클라이언트 디바이스에 적용되는 데 최대 20분이 걸릴 수 있습니다.

에이전트를 중지하고 복원된 액세스 확인

1. 네트워크 트래픽에서 수집 중지를 선택합니다.

2. 스크롤하여 FQDN 열기와 관련된 트래픽 및 관련 데이터를 관찰합니다.

   

3. 테스트 디바이스 > 시스템 트레이 >에서 옵션 확장 > 전역 보안 액세스 클라이언트를 오른쪽 단추로 클릭합니다. 일시 중지를 선택합니다.

   

4. 확인 알림이 표시되면 이전에 차단된 사이트를 열어 복원된 액세스를 확인합니다.

트래픽 로그에서 활동 보기

1. Microsoft Entra 관리 센터>전역 보안 액세스>모니터링에서 트래픽 로그를 선택합니다.
2. 필요한 경우 필터 추가를 선택합니다. 사용자 계정 이름에 testuser가 포함되고 작업이 차단으로 설정된 경우 필터링합니다.
3. 트래픽이 차단된 후 허용되는 것으로 표시되는 대상 FQDN의 항목을 관찰합니다. 로그에 항목이 표시되려면 최대 20분까지 지연될 수 있습니다.

샘플 PoC 시나리오: 차단된 웹 사이트에 사용자가 액세스할 수 있도록 허용

경우에 따라 사용자가 구성원인 그룹의 차단된 사이트에 액세스해야 하는 사용자가 있을 수 있습니다. 테스트 사용자가 차단된 사이트에 액세스할 수 있도록 테스트 그룹에 대해 구성된 블록을 재정의하려면 다음 작업을 완료합니다.

• 이전 시나리오에서 차단한 것과 동일한 FQDN에 대한 허용 규칙을 구성합니다. 웹 필터링 정책을 만듭니다.
• 웹 필터링 정책을 그룹화하고 우선순위를 지정합니다. 이전에 만든 블록 정책보다 우선순위가 높은 보안 프로필을 만듭니다.
• 보안 프로필을 사용하도록 테스트 사용자를 구성합니다. 조건부 액세스 정책을 만들고 할당합니다.
• 테스트 사용자를 사용하여 차단된 사이트에 액세스하여 규칙 애플리케이션을 확인합니다.
• 에이전트를 중지하고 이전에 차단된 사이트에 대한 테스트 사용자 액세스를 확인합니다.
• 트래픽 로그에서 활동을 봅니다.

웹 필터링 정책 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>웹 콘텐츠 필터링 정책>정책 만들기>전역 보안 액세스 콘텐츠 필터링 구성으로 이동합니다.

   

2. 웹 콘텐츠 필터링 정책 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 이름: 테스트 FQDN을 허용합니다.
   • 설명: 설명을 추가합니다.
   • 동작: 허용합니다.

3. 다음을 선택합니다.

4. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 규칙 추가를 선택합니다.

5. 규칙 추가 대화 상자에서 다음 세부 정보를 제공합니다. 추가를 선택합니다.

   • 이름: FQDN 재정의 허용과 같은 이름을 입력합니다.
   • 대상 유형: FQDN.
   • 대상: *.domainname.com 또는 domain.com 형식의 테스트 FQDN을 입력합니다. 추가를 선택합니다.

6. 웹 콘텐츠 필터링 정책 만들기>정책 규칙에서 선택 사항을 확인합니다.

7. 다음을 선택합니다.

8. 웹 콘텐츠 필터링 정책 만들기>검토에서 정책 구성을 확인합니다.

   

9. Create policy(정책 만들기)를 선택합니다.

10. 정책 생성을 확인하려면 웹 콘텐츠 필터링 정책 관리 목록에서 확인합니다.

보안 정책 프로필 만들기

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>보안>보안 프로필로 이동합니다. 프로필 만들기를 선택합니다.

   ](media/sse-deployment-guide-internet-access/security-profiles-expanded.png#lightbox)

2. 프로필 만들기>기본 사항에서 다음 세부 정보를 제공합니다.

   • 프로필 이름: FQDN 인터넷 액세스 프로필 허용입니다.
   • 설명: 설명을 추가합니다.
   • 상태: 사용 중입니다.
   • 우선순위: 500.

3. 다음을 선택합니다.

4. 프로필 만들기>링크 정책에서 정책 연결을 선택합니다.

5. 기존 정책을 선택합니다.

6. 정책 연결 대화 상자에서 다음 세부 정보를 제공합니다.

   • 정책 이름: 테스트 FQDN을 허용합니다.
   • 우선순위: 100.
   • 상태: 사용 중입니다.

7. 추가를 선택합니다.

8. 프로필 만들기>정책 연결에서 테스트 FQDN 허용을 목록에서 확인합니다.

9. 다음을 선택합니다.

10. 검토 탭에서 프로필 구성을 확인합니다.

    

11. 프로필 만들기를 선택합니다.

조건부 액세스 정책 만들기

1. Microsoft Entra 관리 센터에서 보호>조건부 액세스로 이동합니다. 새 정책 만들기를 선택합니다.

2. 새 조건부 액세스 정책 대화 상자에서 다음을 구성합니다.

   • 이름: FQDN 예외가 IA 정책을 재정의합니다.
   • 사용자 또는 워크로드 ID: 특정 사용자를 포함합니다.
   • 이 정책은 어떤 항목에 적용됩니까? 사용자 및 그룹.
   • 포함>사용자 및 그룹 선택> 사용자 및 그룹을 선택합니다.
   • 테스트 그룹을 선택합니다. 선택을 클릭합니다.

   

3. 대상 리소스>이 정책이 적용되는 대상을 선택>전역 보안 액세스.

4. 이 정책이 적용되는 트래픽 프로필>인터넷 트래픽을 선택합니다.

   

5. 세션> 전역 보안 액세스 보안 프로필을 선택하고 FQDN 인터넷 액세스 프로필 허용을 선택합니다. 선택을 클릭합니다.

6. 조건부 액세스 개요>정책 사용에서 켜짐을 선택합니다. 만들기를 실행합니다.

   

차단된 사이트에 액세스 시도

1. GSA 에이전트를 설치한 테스트 디바이스에 로그인합니다.

2. 시스템 트레이에서 전역 보안 액세스 클라이언트를 마우스 오른쪽 단추로 클릭합니다. 고급 진단을 선택합니다.

   

3. 전역 보안 액세스 클라이언트 - 고급 진단 대화 상자에서 트래픽을 선택합니다.

4. 네트워크 트래픽에서 수집 시작을 선택합니다.

   

5. 이 특정 사용자에 대한 액세스를 확인하려면 예외로 구성한 FQDN을 엽니다. 정책이 클라이언트 디바이스에 적용되는 데 최대 20분이 걸릴 수 있습니다.

에이전트를 중지하고 복원된 액세스 확인

1. 네트워크 트래픽에서 수집 중지를 선택합니다.
2. 스크롤하여 FQDN 열기와 관련된 트래픽을 관찰합니다.

트래픽 로그에서 활동 보기

1. Microsoft Entra 관리 센터>전역 보안 액세스>모니터링에서 트래픽 로그를 선택합니다. 필요한 경우 필터 추가를 선택합니다. 사용자 계정 이름에 testuser가 포함되고 작업이 차단으로 설정된 경우 필터링합니다.
2. 트래픽이 차단된 후 허용되는 것으로 표시되는 대상 FQDN의 항목을 관찰합니다. 로그에 항목이 표시되려면 최대 20분까지 지연될 수 있습니다.

다음 단계

• 개념 증명을 위한 Microsoft의 Security Service Edge 솔루션 배포 가이드 소개
• Microsoft Entra 개인 액세스 배포 및 확인
• Microsoft Traffic용 Microsoft Entra 인터넷 액세스 배포 및 확인