다음을 통해 공유


전역 보안 액세스를 위한 빠른 액세스를 구성하는 방법

전역 보안 액세스를 사용하면 Microsoft Entra 개인 액세스의 트래픽에 포함할 특정 FQDN(정규화된 도메인 이름) 또는 프라이빗 리소스의 IP 주소를 정의할 수 있습니다. 그러면 조직의 직원이 사용자가 지정한 앱과 사이트에 액세스할 수 있습니다. 이 문서에서는 Microsoft Entra 개인 액세스에 대한 빠른 액세스를 구성하는 방법을 설명합니다.

필수 조건

빠른 액세스를 구성하려면 다음이 필요합니다.

빠른 액세스에 필요한 Microsoft Entra 프라이빗 네트워크 커넥터 그룹을 관리하려면 다음이 있어야 합니다.

  • Microsoft Entra ID의 애플리케이션 관리자 역할
  • Microsoft Entra ID P1 또는 P2 라이선스

알려진 제한 사항

빠른 액세스와 앱별 액세스 간에 앱 세그먼트가 겹치지 않도록 합니다.

IP 주소를 통한 개인 액세스 대상으로의 트래픽 터널링은 최종 사용자 디바이스 로컬 서브넷 외부의 IP 범위에 대해서만 지원됩니다.

현재 프라이빗 액세스 트래픽은 전역 보안 액세스 클라이언트를 통해서만 획득할 수 있습니다. 원격 네트워크는 개인 액세스 트래픽 전달 프로필에 할당할 수 없습니다.

GSA 클라이언트는 터널을 통해 프라이빗 DNS 접미사에 대한 DNS 쿼리를 라우팅하는 NRPT 정책을 만듭니다. 경우에 따라 NRPT 정책을 만들지 못합니다. Get-DNSClientNRPTPolicy를 사용하여 확인합니다. 이 문제는 NRPT 설정을 적용하는 형식이 잘못된 GPO 때문에 발생합니다. 이 스크립트를 사용하여 잘못된 정책을 식별하고 관련 설정을 다른 정책으로 이동한 후 삭제합니다. 스크립트를 편집하고 환경에 따라 변수를 수정하세요. https://github.com/microsoft/GlobalSecureAccess/blob/main/website/content/FindDNSNRPTGPO.ps1

대략적인 단계

빠른 액세스 설정을 구성하는 것은 Microsoft Entra 개인 액세스를 활용하는 주요 구성 요소입니다. 빠른 액세스를 처음 구성하면 개인 액세스가 새로운 엔터프라이즈 애플리케이션을 만듭니다. 이 새로운 앱의 속성은 개인 액세스와 작동하도록 자동으로 구성됩니다.

빠른 액세스를 구성하려면 하나 이상의 활성 Microsoft Entra 애플리케이션 프록시 커넥터가 있는 커넥터 그룹이 있어야 합니다. 커넥터 그룹은 이 새 애플리케이션에 대한 트래픽을 처리합니다. 빠른 액세스와 개인 네트워크 커넥터 그룹이 구성되면 앱에 대한 액세스 권한을 부여해야 합니다.

요약하면 전체적인 과정은 다음과 같습니다.

  1. 하나 이상의 활성 개인 네트워크 커넥터가 있는 커넥터 그룹을 만듭니다.
  2. 빠른 액세스를 구성합니다.
  3. 앱에 사용자 및 그룹을 할당합니다.
  4. 조건부 액세스 정책을 구성합니다.
  5. 개인 액세스 트래픽 전달 프로필을 사용하도록 설정합니다.

개인 네트워크 커넥터 그룹 만들기

빠른 액세스를 구성하려면 하나 이상의 활성 프라이빗 네트워크 커넥터가 있는 커넥터 그룹이 있어야 합니다.

아직 커넥터 그룹을 설정하지 않은 경우 빠른 액세스를 위한 커넥터 구성을 참조하세요.

참고 항목

이전에 커넥터를 설치한 경우 최신 버전을 다시 설치합니다. 업그레이드할 때 기존 커넥터를 제거하고 관련 폴더를 모두 삭제합니다.

개인 액세스에 필요한 최소 커넥터 버전은 1.5.3417.0입니다.

빠른 액세스 구성

빠른 액세스 페이지에서 빠른 액세스 앱의 이름을 제공하고, 커넥터 그룹을 선택하고, FQDN 및 IP 주소가 포함된 애플리케이션 세그먼트를 추가합니다. 세 단계를 모두 동시에 완료하거나 초기 설정이 완료된 후 애플리케이션 세그먼트를 추가할 수 있습니다.

이름 및 커넥터 그룹

  1. 적절한 역할로 Microsoft Entra 관리 센터에 로그인합니다.
  2. 전역 보안 액세스>애플리케이션>빠른 액세스로 이동합니다.
  3. 이름을 입력합니다. 빠른 액세스라는 이름을 사용하는 것이 좋습니다.
  4. 드롭다운 메뉴에서 커넥터 그룹을 선택합니다.
  5. FQDN, IP 주소 및 프라이빗 DNS 접미사 없이 "빠른 액세스" 앱을 만들려면 저장을 선택합니다.

빠른 액세스 애플리케이션 세그먼트 추가

빠른 액세스 애플리케이션 세그먼트를 추가할 때 포함할 FQDN과 IP 주소를 정의합니다. 빠른 액세스 앱을 만들거나 업데이트할 때 이러한 리소스를 추가합니다.

FQDN(정규화된 도메인 이름), IP 주소 및 IP 주소 범위를 추가할 수 있습니다. 각 애플리케이션 세그먼트 내에서 여러 포트 및 포트 범위를 추가할 수 있습니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.

  2. 전역 보안 액세스>애플리케이션>빠른 액세스로 이동합니다.

  3. 빠른 액세스 애플리케이션 세그먼트 추가를 선택합니다.

  4. 열리는 애플리케이션 세그먼트 만들기 패널에서 대상 유형을 선택합니다.

  5. 선택한 대상 유형에 대한 적절한 세부 정보를 입력합니다. 선택한 항목에 따라 후속 필드가 그에 따라 변경됩니다.

    • IP 주소:
      • 네트워크에서 디바이스를 식별하는 IPv4(인터넷 프로토콜 버전 4) 주소(예: 192.168.2.1)입니다.
      • 포함할 포트를 제공합니다.
    • 정규화된 도메인 이름(와일드카드 FQDN 포함):
      • DNS(Domain Name System)에서 컴퓨터나 호스트의 정확한 위치를 지정하는 도메인 이름입니다.
      • 포함할 포트를 제공합니다.
      • NetBIOS는 지원되지 않습니다. 예를 들어 contoso/app1 대신 contoso.local/app1을 사용합니다.
    • IP 주소 범위(CIDR):
      • 클래스리스 CIDR(도메인 간 라우팅)은 IP 주소 범위를 나타냅니다. IP 주소 뒤에 서브넷 마스크의 네트워크 비트 수를 나타내는 접미사가 붙습니다.
      • 예를 들어 192.168.2.0/24에서 IP 주소의 첫 24비트는 네트워크 주소를 나타내고 나머지 8비트는 호스트 주소를 나타냅니다.
      • 시작 주소, 네트워크 마스크 및 포트를 제공합니다.
    • IP 주소 범위(IP~IP):
      • 시작 IP(예: 192.168.2.1)에서 끝 IP(예: 192.168.2.10까지의 IP 주소 범위입니다.
      • IP 주소 시작, 끝 및 포트를 제공합니다.
  6. 포트와 프로토콜을 입력하고 적용을 선택합니다.

    • 여러 포트를 쉼표로 구분합니다.
    • 하이픈을 사용하여 포트 범위를 지정합니다.
    • 변경 내용을 적용하면 값 사이의 공백이 제거됩니다.
    • 예들 들어 400-500, 80, 443입니다.

    여러 포트가 추가된 앱 세그먼트 만들기 패널의 스크린샷입니다.

    다음 표에는 가장 일반적으로 사용되는 포트와 관련 네트워킹 프로토콜이 나와 있습니다.

    포트 프로토콜
    22 SSH(보안 셸):
    80 HTTP(Hypertext Transfer Protocol)
    443 HTTPS(Hypertext Transfer Protocol Secure)
    445 SMB(서버 메시지 블록) 파일 공유
    3389 RDP(원격 데스크톱 프로토콜)
  7. 완료되면 저장을 선택합니다.

참고 항목

빠른 액세스 앱에 최대 500개의 애플리케이션 세그먼트를 추가할 수 있습니다.

빠른 액세스 앱과 개인 액세스 앱 간에 FQDN, IP 주소 및 IP 범위를 겹치지 마세요.

프라이빗 DNS 접미사 추가

Microsoft Entra 개인 액세스 대한 프라이빗 DNS 지원을 통해 내부 DNS 서버를 쿼리하여 내부 도메인 이름에 대한 IP 주소를 확인할 수 있습니다. 예를 들어 살펴보겠습니다. 내부 IP 범위가 10.8.0.0~10.8.255.255라고 가정해 보겠습니다. 빠른 액세스 애플리케이션 정의에서 이 범위를 구성합니다. 사용자가 웹 브라우저에 https://benefits을(를) 입력할 때 IP 10.8.0.5에서 응답하는 웹 애플리케이션에 액세스하기를 원합니다. 그러나 애플리케이션에 대한 FQDN을 구성하고 싶지 않습니다. 프라이빗 DNS 사용하여 전역 보안 액세스 클라이언트가 요청을 올바르게 라우팅하는 방법을 알 수 있도록 해당 DNS 접미사를 구성합니다.

또한 프라이빗 DNS 사용하여 도메인 컨트롤러에 Kerberos 인증을 구성하여 Kerberos 리소스에 대한 SSO(Single Sign-On) 환경을 제공할 수 있습니다. SSO 환경을 만드는 방법에 대한 자세한 내용은 Microsoft Entra 개인 액세스를 통해 리소스에 대한 SSO(Single Sign-On)에 Kerberos 사용을 참조하세요.

프라이빗 DNS에 사용할 DNS 접미사를 추가합니다.

  1. 프라이빗 DNS 탭을 선택합니다.
  2. 프라이빗 DNS를 사용하도록 설정하려면 확인란을 선택합니다.
  3. DNS 접미사 추가를 선택합니다.
  4. DNS 접미사를 입력한 다음 추가를 선택합니다.

사용자 및 그룹 할당

빠른 액세스를 구성하면 사용자를 대신하여 새로운 엔터프라이즈 앱이 만들어집니다. 사용자 및/또는 그룹을 앱에 할당하여 만든 빠른 액세스 앱에 대한 액세스 권한을 부여해야 합니다.

빠른 액세스에서 속성을 보거나 엔터프라이즈 애플리케이션으로 이동하여 빠른 액세스 앱을 검색할 수 있습니다.

Enterprise 애플리케이션 페이지에서 앱을 찾으려면 원하는 앱을 필터링하지 않도록 모든 필터를 지웁니다.

  1. 빠른 액세스에서 애플리케이션 설정 편집을 선택합니다.

    애플리케이션 설정 편집 스크린샷.

  2. 사이드 메뉴에서 사용자 및 그룹을 선택합니다.

  3. 필요에 따라 사용자 및 그룹을 추가합니다.

참고 항목

사용자는 앱에 직접 할당되거나 앱에 할당된 그룹에 할당되어야 합니다. 중첩된 그룹은 지원되지 않습니다.

조건부 액세스 정책은 빠른 액세스 앱에 적용될 수 있습니다. 조건부 액세스 정책을 적용하면 애플리케이션, 사이트 및 서비스에 대한 액세스를 관리하기 위한 더 많은 옵션이 제공됩니다.

조건부 액세스 정책 만들기는 개인 액세스 앱에 대한 조건부 액세스 정책을 만드는 방법에서 자세히 다룹니다.

Microsoft Entra 개인 액세스 사용

빠른 액세스 앱을 구성하고, 프라이빗 리소스를 추가하고, 사용자를 앱에 할당하고 나면 전역 보안 액세스의 트래픽 전달 영역에서 개인 액세스 프로필을 사용하도록 설정할 수 있습니다. 빠른 액세스를 구성하기 전에 프로필을 사용하도록 설정할 수 있지만 앱과 프로필이 구성되지 않으면 전달할 트래픽이 없습니다. 개인 액세스 트래픽 전달 프로필을 활성화하는 방법에 대한 자세한 내용은 개인 액세스 트래픽 전달 프로필을 관리하는 방법을 참조하세요.

다음 단계