글로벌 보안 액세스를 위한 애플리케이션 검색(미리 보기)

중요하다

애플리케이션 검색은 현재 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.

애플리케이션 검색을 통해 관리자는 회사 네트워크 내에서 애플리케이션 사용에 대한 포괄적인 가시성을 얻을 수 있습니다. 관리자는 액세스하는 애플리케이션과 누구를 식별하여 정확한 세분화 및 최소 권한 액세스로 프라이빗 애플리케이션을 만들 수 있으므로 불필요한 액세스를 최소화할 수 있습니다.

빠른 액세스를 사용하면 기존 VPN 솔루션과 마찬가지로 광범위한 IP 범위 및 와일드카드 FQDN을 게시하여 Private Access에 빠르게 온보딩할 수 있습니다. 그런 다음, 빠른 액세스에서 애플리케이션별 게시로 전환하여 각 애플리케이션에 대한 제어 및 세분성을 높일 수 있습니다. 예를 들어 조건부 액세스 정책을 만들고 애플리케이션당 사용자 할당을 설정할 수 있습니다.

이 문서에서는 애플리케이션 검색을 사용하여 사용자가 액세스하는 애플리케이션(빠른 액세스를 통해)을 검색하고 별도의 프라이빗 애플리케이션을 만드는 프로세스를 안내합니다.

필수 구성 요소

• Microsoft Entra 테넌트가 Microsoft Entra Private Access에 온보딩되었습니다.
• 빠른 액세스사용하여 구성된 Microsoft Entra 테넌트입니다.
• Global Secure Access 클라이언트(Windows, macOS, Android, iOS)로 구성된 디바이스입니다.

애플리케이션 검색

사용자가 지난 30일 동안 Global Secure Access 클라이언트를 통해 액세스한 빠른 액세스의 모든 애플리케이션 세그먼트 목록을 보려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 전역 보안 액세스 관리자로 로그인합니다.
2. 전역 보안 액세스>애플리케이션>애플리케이션 검색으로 이동합니다.

기본적으로 애플리케이션 검색 보기는 사용자 수에 따라 애플리케이션 세그먼트를 내림차순으로 정렬합니다. 이 기본 정렬 순서는 가장 많이 사용되는 애플리케이션 세그먼트를 목록의 맨 위로 이동하여 관리자에게 더 잘 표시되도록 합니다.

관리자는 시간 범위를 조정하고, 다른 필터를 추가하고, 각 열에 따라 애플리케이션 세그먼트를 정렬할 수 있습니다. 관리자는 사용자별로 필터링하여 특정 사용자가 액세스한 애플리케이션 세그먼트 목록을 볼 수도 있습니다. 검색 필드에서 관리자는 FQDN(정규화된 도메인 이름), IP 주소 및 포트 주소를 필터링할 수 있습니다.

각 애플리케이션 세그먼트에 사용할 수 있는 열은 다음과 같습니다.

• 대상 FQDN: 애플리케이션 세그먼트의 FQDN입니다.
• 대상 IP: 애플리케이션 세그먼트의 IP입니다.
• 전송 프로토콜: 애플리케이션 세그먼트의 전송 프로토콜입니다. 프라이빗 액세스는 현재 TCP(Transmission Control Protocol) 및 UDP(사용자 데이터그램 프로토콜)를 지원합니다.
• 대상 포트: 애플리케이션 세그먼트의 포트입니다.
• 사용자: 애플리케이션 세그먼트에 액세스한 사용자 수입니다.
• 트랜잭션: 애플리케이션 세그먼트에 대한 트랜잭션(연결) 수입니다.
• 디바이스 - 애플리케이션 세그먼트에 액세스하는 데 사용된 디바이스 수입니다.
• 보낸 바이트: 사용자 디바이스가 애플리케이션 세그먼트에 보낸 데이터의 총 바이트입니다.
• 수신 바이트: 사용자 디바이스가 애플리케이션 세그먼트에서 받은 데이터의 총 바이트입니다.
• 마지막 액세스: 애플리케이션 세그먼트에 액세스한 시간 범위의 마지막 시간입니다.
• 첫 번째 액세스: 시간 범위 내에서 애플리케이션 세그먼트가 처음으로 액세스된 시점입니다.

새 애플리케이션 만들기

애플리케이션 검색을 사용하여 주 테이블의 검색된 애플리케이션 세그먼트를 기반으로 새 Microsoft Entra ID 애플리케이션을 만듭니다. 새 애플리케이션에 애플리케이션 세그먼트를 추가하려면 다음을 수행합니다.

1. 애플리케이션 검색 목록에서 만들려는 애플리케이션에 해당하는 하나 이상의 애플리케이션 세그먼트를 선택합니다.
   1. 한 애플리케이션에서 하나의 애플리케이션 세그먼트를 사용하는 경우가 많습니다. 예를 들어:
      • 파일 서버(예: filesrv.contoso.com, TCP, 445)
      • 포털(예: internalportal.contoso.com, TCP, 443)
   2. 그러나 경우에 따라 단일 애플리케이션은 여러 서버(FQDN/IP)에 걸쳐 여러 포트, 프로토콜 또는 범위를 사용합니다. 이 경우 여러 애플리케이션 세그먼트를 선택하고 다른 세그먼트를 수동으로 추가할 수도 있습니다. 예를 들어:
      • 특정 AD 사이트에서 ADDS 서비스 게시: dc1.contoso.com 및 dc2.contoso.com, TCP, 88, 135, 137, 138, 389, 445, 464, 636, 3268, 3269 및 Netlogon dc1.contoso.com 및 dc2.contoso.com에 대한 고정된 높은 포트, UDP, 88, 123, 389, 464.
   3. ADDS 포트의 포괄적인 목록은 Active Directory 도메인 및 트러스트대한 방화벽을 구성하는 방법을 참조하세요.
2. 새 애플리케이션에 추가를 선택합니다. 전역 보안 액세스 애플리케이션 만들기 화면이 열리고 선택한 애플리케이션 세그먼트가 표시됩니다.
   1. 애플리케이션에 이름 지정하고 해당 커넥터 그룹선택합니다.
   2. 애플리케이션 세그먼트를 수동으로 추가하거나 삭제할 수도 있습니다.
   3. 변경 내용을 적용하려면 저장을 선택합니다.
3. 새 애플리케이션에 할당된 사용자 및 그룹을 조정하여 적절한 사용자에 대한 액세스를 사용하도록 설정합니다.
   1. 응용 프로그램을 만든 후, 할당을 설정한 다음 할당 을 세부 조정해야 합니다. 이러한 방식으로 목록에는 최소 권한 원칙에 따라 새 애플리케이션에 액세스해야 하는 사용자 그룹만 포함됩니다.
   2. 엔터프라이즈 애플리케이션의 경우:
      1. 전역 보안 액세스 애플리케이션>Enterprise 애플리케이션>사용자 및 그룹>을 찾습니다.
      2. 만든 애플리케이션을 선택합니다.
      3. 필요에 따라 사용자 및 그룹 할당을 수정합니다.

중요하다

글로벌 보안 액세스는 빠른 액세스보다 더 높은 개별 정의 애플리케이션의 트래픽 우선 순위를 지정합니다. 즉, 빠른 액세스에서 특정 전역 보안 액세스 앱으로 애플리케이션 세그먼트를 이동하면 해당 애플리케이션 세그먼트로 라우팅된 모든 트래픽이 애플리케이션 구성에 따라 라우팅됩니다. 애플리케이션 세그먼트가 빠른 액세스로 정의된 범위 내에서 유지되더라도 새 애플리케이션에 대한 트래픽은 빠른 액세스를 통해 라우팅되지 않습니다. 따라서 서비스 중단을 방지하기 위해 애플리케이션 검색을 통해 만든 새 애플리케이션은 빠른 액세스에서 할당된 모든 사용자 및 그룹을 상속합니다(생성 시). 새 애플리케이션의 유효성을 검사한 후에는 애플리케이션 내에서 정의된 애플리케이션 세그먼트에 연결해야 하는 사용자만 애플리케이션의 사용 권한을 다시 지정해야 합니다.

4. (선택 사항) 추가 보안을 위해 회사의 보안 정책에 따라 조건부 액세스 정책을 설정할 수 있습니다. 예를 들어 사용자가 중요한 애플리케이션에 액세스할 때 MFA(다단계 인증) 및 디바이스 준수를 요구할 수 있습니다.

메모

애플리케이션 세그먼트는 사용자가 새 애플리케이션에 로그인하고 리소스에 액세스할 때까지 애플리케이션을 만든 후에도 애플리케이션 검색 주 테이블에 유지됩니다. 나중에 애플리케이션 검색 주 테이블은 사용자 상호 작용에 관계없이 업데이트됩니다.

기존 애플리케이션에 추가

애플리케이션 검색을 사용하여 기존 프라이빗 애플리케이션에 애플리케이션 세그먼트를 추가할 수 있습니다. 기존 애플리케이션에 애플리케이션 세그먼트를 추가하려면 다음을 수행합니다.

1. 애플리케이션 검색 목록에서 하나 이상의 애플리케이션 세그먼트를 선택합니다.
2. 기존 애플리케이션에 를 추가를 선택합니다.
3. 세그먼트를 추가할 기존 프라이빗 애플리케이션을 선택합니다. Edit Global Secure Access 애플리케이션 화면이 열리고, 기존 애플리케이션의 속성, 선택한 애플리케이션 세그먼트(상태 보류 중인)와 이전에 구성된 애플리케이션 세그먼트(상태 성공)가 표시됩니다.
4. 구성을 검토하고 이름, 커넥터 그룹및 애플리케이션 세그먼트를 수정하고 필요한 수정을 합니다.
5. 변경 내용을 적용하려면 저장을 선택합니다.

애플리케이션 세그먼트의 세부 정보 보기

프라이빗 애플리케이션을 만들기 전에 애플리케이션 세그먼트의 다른 세부 정보를 검토할 수 있습니다.

1. 애플리케이션 검색 테이블에서 탐색하려는 애플리케이션 세그먼트에 대한 대상 FQDN 또는 대상 IP을 선택합니다.
2. 사용량 탭은 기본적으로 시간에 따른 사용자 그래프로 설정됩니다. 그래프를 설정하여 트랜잭션, 디바이스,보낸 바이트 및 시간에 따라 받은 바이트의 분포를 표시할 수 있습니다. 시간 범위 설정을 조정하여 시간 범위를 변경할 수도 있습니다.
3. 사용자 탭에는 지난 30일 동안 선택한 애플리케이션 세그먼트에 액세스한 사용자 목록이 표시됩니다.
   

중요하다

선택한 애플리케이션 세그먼트를 온보딩한 후 Entra 애플리케이션에 할당하려는 사용자 및 그룹에 대한 결정을 알리려면 사용자 목록을 사용합니다.

관련 콘텐츠

• Global Secure Access의 빠른 액세스를 구성하는 방법