Azure vWAN을 사용하여 원격 네트워크 연결 시뮬레이션

이 문서에서는 vWAN(원격 가상 광역 네트워크)을 사용하여 원격 네트워크 연결을 시뮬레이션하는 방법을 설명합니다. Azure VNG(가상 네트워크 게이트웨이)를 사용하여 원격 네트워크 연결을 시뮬레이션하려면 Azure VNG를 사용하여 원격 네트워크 연결 시뮬레이션 문서를 참조하세요.

필수 조건

이 프로세스의 단계를 완료하려면 다음 필수 구성 요소가 있어야 합니다.

• Azure Portal에서 리소스를 만들 수 있는 Azure 구독 및 권한.
• 가상 광역 네트워크(vWAN)에 대한 기본적인 이해.
• 사이트 간 VPN 연결 관련 기초 지식.
• 전역 보안 액세스 관리자 역할이 부여된 Microsoft Entra 테넌트.
• Azure 가상 데스크톱 또는 Azure 가상 머신에 대한 기본적인 이해

이 문서에서는 이미지 및 단계의 값과 함께 다음 예시 값을 사용합니다. 사용자마다의 요구 사항에 따라 이 설정은 자유롭게 구성할 수 있습니다.

• 구독: Visual Studio Enterprise
• 리소스 그룹 이름: GlobalSecureAccess_Documentation
• 지역: 미국 중남부

대략적인 단계

Azure vWAN을 사용하여 원격 네트워크를 만드는 단계를 수행하려면 Azure Portal과 Microsoft Entra 관리 센터에 대한 액세스 권한이 모두 필요합니다. 쉽게 전환하려면 Azure와 Microsoft Entra를 별도의 탭에서 열어 둡니다. 특정 리소스는 배포하는 데에는 30분 이상 걸릴 수 있으므로 이 프로세스를 완료하려면 최소 2시간의 여유를 두세요. 미리 알림: 계속 실행되는 리소스에는 요금이 부과될 수 있습니다. 테스트를 완료하거나 프로젝트가 끝날 때 더 이상 필요하지 않은 리소스를 제거하는 것이 좋습니다.

1. Azure Portal에서 vWAN 설정
   1. vWAN 만들기
   2. 사이트 간 VPN 게이트웨이로 가상 허브 만들기가상 허브는 배포하는 데에는 약 30분이 걸립니다.
   3. VPN 게이트웨이 정보 가져오기
2. Microsoft Entra 관리 센터에서 원격 네트워크 만들기
3. Microsoft 게이트웨이를 사용하여 VPN 사이트 만들기
   1. VPN 사이트 만들기
   2. 사이트 간 연결 만들기사이트 간 연결의 배포에는 약 30분이 걸립니다.
   3. Microsoft Azure Portal에서 border gateway protocol 연결 및 학습된 경로 확인
   4. Microsoft Entra 관리 센터에서 연결 확인
4. 테스트를 위한 보안 기능 구성
   1. 가상 네트워크 만들기
   2. vWAN에 가상 네트워크 연결 추가
   3. Azure Virtual Desktop 만들기Azure Virtual Desktop의 배포에는 데 약 30분이 걸립니다. Bastion은 30분이 더 걸립니다.
5. AVD(Azure Virtual Desktop)를 사용하여 보안 기능 테스트
   1. 테넌트 제한 테스트
   2. 원본 IP 복원 테스트

Azure Portal에서 vWAN 설정

vWAN을 설정하려면 다음 세 단계를 수행해야 합니다.

1. vWAN 만들기
2. 사이트 간 VPN 게이트웨이로 가상 허브 만들기
3. VPN 게이트웨이 정보 가져오기

vWAN 만들기

Azure에서 리소스에 연결할 vWAN을 만듭니다. vWAN에 대한 자세한 내용은 vWAN 개요를 참조하세요.

1. Microsoft Azure Portal의 검색 리소스 표시줄에서 검색 상자에 vWAN을 입력하고 Enter를 선택합니다.
2. 결과에서 vWANs를 선택합니다. vWANs 페이지에서 + 만들기를 선택하여 WAN 만들기 페이지를 엽니다.
3. WAN 만들기 페이지의 기본 탭에서 필드를 입력합니다. 사용자 환경에 적용할 예제 값을 수정합니다.
   • 구독: 사용할 구독을 선택합니다.
   • 리소스 그룹: 새로 만들거나 기존 항목을 사용합니다.
   • 리소스 그룹 위치: 드롭다운에서 리소스 위치를 선택합니다. WAN은 전역 리소스이며 특정 지역에 상주하지 않습니다. 하지만 관리할 지역을 선택하고 생성된 WAN 리소스를 찾아야 합니다.
   • 이름: vWAN을 호출할 이름을 입력합니다.
   • 유형: 기본 또는 표준. 표준을 선택합니다. 기본을 선택하는 경우 기본 vWANs에는 기본 허브만 포함될 수 있습니다. 기본 허브는 사이트 간 연결에만 사용할 수 있습니다.
4. 필드를 채운 후 페이지 하단에서 검토 + 만들기를 선택합니다.
5. 유효성 검사가 통과되면 만들기 단추를 선택합니다.

VPN 게이트웨이로 가상 허브 만들기

다음으로, 사이트 간 VPN(가상 사설망) 게이트웨이를 사용하여 가상 허브를 만듭니다.

1. 새 vWAN 내의 연결에서 허브를 선택합니다.
2. + 새 허브를 선택합니다.
3. 가상 허브 만들기 페이지의 기본 탭에서 환경에 따라 필드를 채웁니다.
   • 지역: 가상 허브를 배포할 지역을 선택합니다.
   • 이름: 가상 허브에 지정할 이름입니다.
   • 허브 개인 주소 공간: 이 예시에서는 10.101.0.0/24를 사용합니다. 허브를 만들려면 주소 범위는 클래스 없는 도메인 간 라우팅(CIDR) 표기법을 사용해야 하며 최소 주소 공간은 /24여야 합니다.
   • 가상 허브 용량: 이 예시에서는 2 라우팅 인프라 단위, 3Gbps 라우터, 2000개 VM 지원을 선택합니다. 자세한 내용은 가상 허브 설정을 참조하세요.
   • 허브 라우팅 기본 설정: 기본값으로 둡니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조하세요.
   • 다음: 사이트 대 사이트>를 선택합니다.
4. 사이트 간 탭에서 다음 필드를 완료합니다.
   • 예를 선택하여 사이트 간 (VPN 게이트웨이)을 만듭니다.
   • AS 번호: AS 번호 필드는 편집할 수 없습니다.
   • 게이트웨이 배율 단위: 이 예시에서는 1 배율 단위 - 500Mbps x 2를 선택합니다. 이 값은 가상 허브에서 생성되는 VPN Gateway의 집계 처리량과 일치해야 합니다.
   • 라우팅 기본 설정: 이 예시에서는 Azure와 인터넷 간에 트래픽을 라우팅하는 방법에 대해 Microsoft 네트워크를 선택합니다. Microsoft 네트워크 또는 ISP(인터넷 서비스 공급자)를 통한 라우팅 기본 설정에 대한 자세한 내용은 라우팅 기본 설정 문서를 참조하세요.
5. 나머지 탭 옵션을 기본값으로 설정하고 검토 + 만들기를 선택하여 유효성을 검사합니다.
6. 만들기를 선택하여 허브 및 게이트웨이를 만듭니다. 이 프로세스는 최대 30분 정도 걸릴 수 있습니다.
7. 30분 후 새로 고침을 클릭하여 허브 페이지에서 허브를 확인한 다음 리소스로 이동을 선택하여 리소스로 이동합니다.

VPN 게이트웨이 정보 가져오기

Microsoft Entra 관리 센터에서 원격 네트워크를 만들려면 이전 단계에서 만든 가상 허브에 대한 VPN 게이트웨이 정보를 보고 기록해야 합니다.

1. 새 vWAN 내의 연결에서 허브를 선택합니다.
2. 가상 허브를 선택합니다.
3. VPN(사이트 간)을 선택합니다.
4. 가상 허브 페이지에서 VPN Gateway 링크를 선택합니다.
5. VPN Gateway 페이지에서 JSON 보기를 선택합니다.
6. 이후 단계에서 참조를 위해 JSON 텍스트를 파일에 복사합니다. 다음 단계의 Microsoft Entra 관리 센터에서 사용할 ASN(자치 시스템 번호), 디바이스 IP 주소 및 디바이스 BGP(Border Gateway Protocol) 주소를 기록해 둡니다.

      "bgpSettings": {
           "asn": 65515,
           "peerWeight": 0,
           "bgpPeeringAddresses": [
               {
                   "ipconfigurationId": "Instance0",
                   "defaultBgpIpAddresses": [
                       "10.101.0.12"
                   ],
                   "customBgpIpAddresses": [],
                   "tunnelIpAddresses": [
                       "203.0.113.250",
                       "10.101.0.4"
                   ]
               },
               {
                   "ipconfigurationId": "Instance1",
                   "defaultBgpIpAddresses": [
                       "10.101.0.13"
                   ],
                   "customBgpIpAddresses": [],
                   "tunnelIpAddresses": [
                       "203.0.113.251",
                       "10.101.0.5"
                   ]
               }
           ]
       }
   
   

팁

ASN 값은 변경할 수 없습니다.

Microsoft Entra 관리 센터에서 원격 네트워크 만들기

이 단계에서는 VPN 게이트웨이의 네트워크 정보를 사용하여 Microsoft Entra 관리 센터에서 원격 네트워크를 만듭니다. 첫 번째 단계는 원격 네트워크의 이름과 위치를 제공하는 것입니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 전역 보안 액세스>연결>원격 네트워크로 이동합니다.
3. 원격 네트워크 만들기 단추를 선택하고 세부 정보를 제공합니다.
   • 이름: 이 예시에서는 Azure_vWAN 사용합니다.
   • 지역: 이 예시에서는 미국 중남부를 선택합니다.
4. 다음: 연결을 선택하여 연결 탭으로 이동합니다.
5. 연결 탭에서 원격 네트워크에 대한 디바이스 링크를 추가합니다. VPN 게이트웨이의 Instance0에 대한 링크 1개와 VPN 게이트웨이의 Instance1에 대한 다른 링크를 만듭니다.
   1. + 링크 추가를 선택합니다.
   2. JSON 보기에서 VPN 게이트웨이의 Instance0 구성을 사용하여 링크 추가 양식의 일반 탭에 있는 필드를 작성합니다.

      • 링크 이름: CPE(Customer Premises Equipment)의 이름입니다. 이 예시에서는 Instance0입니다.

      • 디바이스 유형: 드롭다운 목록에서 디바이스 옵션을 선택합니다. 기타로 설정합니다.

      • 디바이스 IP 주소: 디바이스의 공용 IP 주소입니다. 이 예시에서는 203.0.113.250을 사용합니다.

      • 디바이스 BGP 주소: CPE의 BGP(Border Gateway Protocol) IP 주소를 입력합니다. 이 예시에서는 10.101.0.4를 사용합니다.

      • 디바이스 ASN: CPE의 ASN(자치 시스템 번호)을 제공합니다. 이 예시에서 ASN은 65515입니다.

      • 중복: 중복 없음으로 설정합니다.

      • 영역 중복 로컬 BGP 주소: 이 선택적 필드는 영역 중복을 선택하는 경우에만 표시됩니다.

        • CPE가 상주하는 온-프레미스 네트워크의 일부가 아니며 로컬 BGP 주소와 다른 BGP IP 주소를 입력합니다.

      • 대역폭 용량(Mbps): 터널 대역폭을 지정합니다. 이 예시에서는 250Mbps로 설정합니다.

      • 로컬 BGP 주소: 192.168.10.10과 같이 CPE가 상주하는 온-프레미스 네트워크의 일부가 아닌 BGP IP 주소를 사용합니다.

        • 사용할 수 없는 예약된 값은 유효한 BGP 주소 목록을 참조하세요.

        

   3. 다음 버튼을 선택하여 세부 정보 탭을 확인합니다. 기본 설정을 유지합니다.
   4. 다음 버튼을 선택하여 보안 탭을 봅니다.
   5. PSK(미리 공유한 키)를 입력합니다. CPE에서 동일한 비밀 키를 사용해야 합니다.
   6. 저장 단추를 선택합니다.

자세한 내용은 원격 네트워크 디바이스 링크를 관리하는 방법을 참조하세요.

1. 위의 단계를 반복하여 VPN Gateway의 Instance1 구성을 사용하여 두 번째 디바이스 링크를 만듭니다.
   1. + 링크 추가를 선택합니다.
   2. JSON 보기에서 VPN 게이트웨이의 Instance1 구성을 사용하여 링크 추가 양식의 일반 탭에 있는 필드를 작성합니다.
      • 링크 이름: Instance1
      • 디바이스 유형: 기타
      • 디바이스 IP 주소: 203.0.113.251
      • 디바이스 BGP 주소: 10.101.0.5
      • 디바이스 ASN: 65515
      • 중복: 중복 없음
      • 대역폭 용량(Mbps): 250Mbps
      • 로컬 BGP 주소: 192.168.10.11
   3. 다음 버튼을 선택하여 세부 정보 탭을 확인합니다. 기본 설정을 유지합니다.
   4. 다음 버튼을 선택하여 보안 탭을 봅니다.
   5. PSK(미리 공유한 키)를 입력합니다. CPE에서 동일한 비밀 키를 사용해야 합니다.
   6. 저장 단추를 선택합니다.
2. 트래픽 프로필 탭으로 이동하여 원격 네트워크에 연결할 트래픽 프로필을 선택합니다.
3. Microsoft 365 트래픽 프로필을 선택합니다.
4. 검토 + 만들기를 선택합니다.
5. 원격 네트워크 만들기를 선택합니다.

원격 네트워크 페이지로 이동하여 새 원격 네트워크의 세부 정보를 봅니다. 1개의 하위 지역과 2개의 링크가 있어야 합니다.

1. 연결 세부 정보에서 구성 보기 링크를 선택합니다.
2. 향후 단계에서 참조를 위해 원격 네트워크 구성 텍스트를 파일에 복사합니다. 각 링크(Instance0 및 Instance1)의 엔드포인트, ASN 및 BGP 주소를 기록해 둡니다.

      {
     "id": "68d2fab0-0efd-48af-bb17-d793f8ec8bd8",
     "displayName": "Instance0",
     "localConfigurations": [
       {
         "endpoint": "203.0.113.32",
         "asn": 65476,
         "bgpAddress": "192.168.10.10",
         "region": "southCentralUS"
       }
     ],
     "peerConfiguration": {
       "endpoint": "203.0.113.250",
       "asn": 65515,
       "bgpAddress": "10.101.0.4"
     }
   },
   {
     "id": "26500385-b1fe-4a1c-a546-39e2d0faa31f",
     "displayName": "Instance1",
     "localConfigurations": [
       {
         "endpoint": "203.0.113.34",
         "asn": 65476,
         "bgpAddress": "192.168.10.11",
         "region": "southCentralUS"
       }
     ],
     "peerConfiguration": {
       "endpoint": "203.0.113.251",
       "asn": 65515,
       "bgpAddress": "10.101.0.5"
     }
   }
   

Microsoft 게이트웨이를 사용하여 VPN 사이트 만들기

이 단계에서는 VPN 사이트를 만들고 VPN 사이트를 허브와 연결한 다음 연결의 유효성을 검사합니다.

VPN 사이트 만들기

1. Microsoft Azure Portal에서 이전 단계에서 만든 가상 허브에 로그인합니다.
2. 연결>VPN(사이트 간)으로 이동합니다.
3. + 새 VPN 사이트 만들기를 선택합니다.
4. VPN 사이트 만들기 페이지의 기본 탭에서 필드를 완성합니다.
5. 링크 탭으로 이동합니다. 각 링크에 대해 "세부 정보 보기" 단계에 명시된 원격 네트워크 구성에서 Microsoft 게이트웨이 구성을 입력합니다.
   • 링크 이름: 이 예시에서는 Instance0, Instance1입니다.
   • 링크 속도: 이 예시에서는 두 링크 모두에 대해 250입니다.
   • 링크 공급자 이름: 두 링크 모두에 대해 기타로 설정합니다.
   • 링크 IP 주소/FQDN: 엔드포인트 주소를 사용합니다. 이 예시에서는 203.0.113.32, 203.0.113.34입니다.
   • BGP 주소 연결: BGP 주소, 192.168.10.10, 192.168.10.11을 사용합니다.
   • 링크 ASN: ASN을 사용합니다. 이 예시에서는 두 링크 모두에 대해 65476입니다.
6. 검토 + 만들기를 선택합니다.
7. 만들기를 선택합니다.

사이트 간 연결 만들기

이 단계에서는 이전 단계의 VPN 사이트를 허브와 연결합니다. 다음으로, 기본 허브 연결을 제거합니다.

1. 연결>VPN(사이트 간)으로 이동합니다.
2. 기본 허브 연결: 이 허브에 연결됨 필터를 제거하려면 X를 선택하여 VPN 사이트가 사용 가능한 VPN 사이트 목록에 표시되도록 합니다.
3. 목록에서 VPN 사이트를 선택하고 VPN 사이트 연결을 선택합니다.
4. Connect 사이트 양식에서 Microsoft Entra 관리 센터에 사용된 것과 동일한 PSK(사전 공유 키)를 입력합니다.
5. 연결을 선택합니다.
6. 약 30분 후에 VPN 사이트가 업데이트되어 연결 프로비전 상태와 연결 상태 모두에 대한 성공 아이콘을 표시합니다.

Microsoft Azure Portal에서 BGP 연결 및 학습된 경로 확인

이 단계에서는 BGP 대시보드를 사용하여 사이트 rks 게이트웨이에서 학습하는 학습된 경로 목록을 확인합니다.

1. 연결>VPN(사이트 간)으로 이동합니다.
2. 이전 단계에서 생성한 VPN 사이트를 선택합니다.
3. BGP 대시보드를 선택합니다.

BGP 대시보드에는 BGP 피어(VPN 게이트웨이 및 VPN 사이트)가 나열되며, 이 피어의 연결 상태는 연결됨이어야 합니다.

4. 학습된 경로 목록을 보려면 사이트 간 게이트웨이가 학습 중인 경로를 선택합니다.

학습된 경로 목록은 사이트 간 게이트웨이가 Microsoft 365 트래픽 프로필에 나열된 Microsoft 365 경로를 학습하고 있음을 보여줍니다.

다음 이미지는 사이트 간 게이트웨이에서 학습한 경로와 일치해야 하는 Microsoft 365 프로필에 대한 트래픽 프로필 정책 및 규칙을 보여줍니다.

Microsoft Entra 관리 센터에서 연결 확인

Microsoft Entra 관리 센터에서 원격 네트워크 상태 로그를 확인하여 연결 상태를 확인합니다.

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>모니터>원격 네트워크 상태 로그로 이동합니다.
2. 필터 추가를 선택합니다.
3. 원본 IP를 선택하고 VPN Gateway의 Instance0 또는 Instance1 IP 주소에 대한 원본 IP 주소를 입력합니다. 적용을 선택합니다.
4. 연결은 "원격 네트워크 활성"이어야 합니다.

tunnelConnected 또는 BGPConnected로 필터링하여 유효성을 검사할 수도 있습니다. 자세한 내용은 원격 네트워크 상태 로그란?을 참조하세요.

테스트를 위한 보안 기능 구성

이 단계에서는 가상 네트워크를 구성하고, vWAN에 가상 네트워크 연결을 추가하고, Azure Virtual Desktop을 만들어 테스트를 준비합니다.

가상 네트워크 만들기

이 단계에서는 Azure Portal을 사용하여 가상 네트워크를 만듭니다.

1. Azure Portal에서 가상 네트워크를 검색하여 선택합니다.
2. 가상 네트워크 페이지에서 + 만들기를 선택합니다.
3. 구독, 리소스 그룹, 가상 네트워크 이름 및 하위 지역을 포함한 기본 탭을 완료합니다.
4. 다음을 선택하여 보안 탭으로 이동합니다.
5. Azure Bastion 섹션에서 Bastion 사용을 선택합니다.
   • Azure Bastion 호스트 이름을 입력합니다. 이 예시에서는 Virtual_network_01-bastion을 사용합니다.
   • Azure Bastion 공용 IP 주소를 선택합니다. 이 예시에서는 (새) 기본값을 선택합니다.
6. 다음을 선택하여 IP 주소 탭 탭으로 이동합니다. 하나 이상의 IPv4 또는 IPv6 주소 범위를 사용하여 가상 네트워크의 주소 공간을 구성합니다.

팁

중첩되는 주소 공간을 사용하지 마세요. 예를 들어, 이전 단계에서 만든 가상 허브가 주소 공간 10.0.0.0/16을 사용하는 경우, 이 가상 네트워크는 주소 공간 10.2.0.0/16으로 생성합니다. 7. 검토 + 만들기를 선택합니다. 유효성 검사를 통과하면 만들기를 선택합니다.

vWAN에 가상 네트워크 연결 추가

이 단계에서는 가상 네트워크를 vWAN에 연결합니다.

1. 이전 단계에서 만든 vWAN을 열고 연결>가상 네트워크 연결로 이동합니다.
2. + 연결 추가를 클릭합니다.
3. 이전 섹션에서 만든 가상 허브 및 가상 네트워크에서 값을 선택하여 연결 추가 양식을 작성합니다.
   • 연결 이름: VirtualNetwork
   • 허브: hub1
   • 구독: Contoso Azure 구독
   • 리소스 그룹: GlobalSecureAccess_Documentation
   • Virtual network: VirtualNetwork
4. 나머지 필드는 기본값으로 설정한 상태로 두고 만들기를 선택합니다.

Azure Virtual Desktop 만들기

이 단계에서는 가상 데스크톱을 만들고 Bastion을 사용하여 호스팅합니다.

1. Azure Portal에서 Azure Virtual Desktop을 검색하여 선택합니다.
2. Azure Virtual Desktop 페이지에서 호스트 풀 만들기를 선택합니다.
3. 다음을 작성하여 기본 탭을 완료합니다.
   • 호스트 풀 이름. 이 예시에서는 VirtualDesktops입니다.
   • Azure Virtual Desktop 개체의 위치. 이 경우 미국 중남부입니다.
   • 기본 설정 앱 그룹 유형: 데스크톱을 선택합니다.
   • 호스트 풀 유형: 풀을 선택합니다.
   • 부하 분산 알고리즘: 폭 우선을 선택합니다.
   • 최대 세션 제한: 2를 선택합니다.
4. 다음: 가상 머신을 선택합니다.
5. 다음을 작성하여 Virtual Machines 탭을 완료합니다.
   • 가상 머신 추가: 예
   • 원하는 리소스 그룹. 이 예시에서는 GlobalSecureAccess_Documentation입니다.
   • 이름 접두사: avd
   • 가상 머신 유형: Azure 가상 머신을 선택합니다.
   • 가상 머신 위치: 미국 중남부.
   • 가용성 옵션: 인프라 중복이 필요하지 않습니다를 선택합니다.
   • 보안 유형: 신뢰할 수 있는 시작 가상 머신을 선택합니다.
   • 보안 부팅 사용: 예
   • vTPM 사용: 예
   • 이미지: 이 예시에서는 Windows 11 Enterprise 멀티 세션 + Microsoft 365 앱 버전 22H2를 선택합니다.
   • 가상 머신 크기: 표준 D2s v3, vCPU 2개, 8GB 메모리를 선택합니다.
   • VM 수: 1
   • 가상 네트워크: 이전 단계인 VirtualNetwork에서 만든 가상 네트워크를 선택합니다.
   • 가입할 도메인: Microsoft Entra ID를 선택합니다.
   • 관리자 계정 자격 증명을 입력합니다.
6. 다른 옵션은 기본값은 유지하고 검토 + 만들기를 선택합니다.
7. 유효성 검사를 통과하면 만들기를 선택합니다.
8. 약 30분 후에 호스트 풀이 업데이트되어 배포가 완료되었음을 표시합니다.
9. Microsoft Azure 홈으로 이동하여 가상 머신을 선택합니다.
10. 이전 단계에서 만든 가상 머신을 선택합니다.
11. 연결>Bastion을 통해 연결을 선택합니다.
12. Bastion 배포를 선택합니다. 시스템이 Bastion 호스트를 배포하는 데 약 30분이 걸립니다.
13. Bastion이 배포된 후 Azure Virtual Desktop을 만드는 데 사용되는 것과 동일한 관리자 자격 증명을 입력합니다.
14. 연결을 선택합니다. 가상 데스크톱이 시작됩니다.

AVD(Azure Virtual Desktop)를 사용하여 보안 기능 테스트

이 단계에서는 AVD를 사용하여 가상 네트워크에 대한 액세스 제한을 테스트합니다.

테넌트 제한 테스트

테스트하기 전에 가상 네트워크에서 테넌트 제한을 사용하도록 설정합니다.

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>설정>세션 관리로 이동합니다.
2. 네트워크에서 테넌트 제한을 적용하려면 태그 지정 활성화로 토글을 켜기로 설정합니다.
3. 저장을 선택합니다.
4. ID>외부 ID>교차 테넌트 액세스 설정으로 이동하여 테넌트 간 액세스 정책을 수정할 수 있습니다. 자세한 내용은 테넌트 간 액세스 개요 문서를 참조하세요.
5. 사용자가 관리되는 디바이스에서 외부 계정으로 로그인하지 못하도록 하는 기본 설정을 유지합니다.

테스트하려면 다음을 수행합니다.

1. 이전 단계에서 만든 Azure Virtual Desktop 가상 머신에 로그인합니다.
2. www.office.com으로 이동하여 내부 조직 ID로 로그인합니다. 이 테스트는 성공적으로 통과해야 합니다.
3. 외부 계정을 사용하여 이전 단계를 반복합니다. 이 테스트는 차단된 액세스로 인해 실패해야 합니다.
   

원본 IP 복원 테스트

테스트하기 전에 조건부 액세스를 사용하도록 설정합니다.

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>설정>세션 관리로 이동합니다.
2. 적응형 액세스 탭을 선택합니다.
3. 조건부 액세스에서 전역 보안 액세스 사용 토글을 켜짐으로 설정합니다.
4. 저장을 선택합니다. 자세한 내용은 원본 IP 복원 문서를 참조하세요.

테스트하려면(옵션 1): 이전 섹션의 테넌트 제한 테스트를 반복합니다.

1. 이전 단계에서 만든 Azure Virtual Desktop 가상 머신에 로그인합니다.
2. www.office.com으로 이동하여 내부 조직 ID로 로그인합니다. 이 테스트는 성공적으로 통과해야 합니다.
3. 외부 계정을 사용하여 이전 단계를 반복합니다. 오류 메시지의 원본 IP 주소가 Microsoft Entra에 요청을 프록시하는 Microsoft SSE 대신 VPN 게이트웨이 공용 IP 주소에서 제공되므로 이 테스트는 실패합니다.
   

테스트하려면(옵션 2):

1. Microsoft Entra 관리 센터에서 전역 보안 액세스>모니터>원격 네트워크 상태 로그로 이동합니다.
2. 필터 추가를 선택합니다.
3. 원본 IP를 선택하고 VPN 게이트웨이 공용 IP 주소를 입력합니다. 적용을 선택합니다.

시스템은 지점의 CPE(고객 프레미스 장비) IP 주소를 복원합니다. VPN 게이트웨이는 CPE를 나타내므로 상태 로그는 프록시의 IP 주소가 아닌 VPN 게이트웨이의 공용 IP 주소를 표시합니다.

불필요한 리소스 제거

테스트를 완료하거나 프로젝트가 끝날 때 더 이상 필요하지 않은 리소스를 제거하는 것이 좋습니다. 계속 실행되는 리소스에는 요금이 부과될 수 있습니다. 리소스를 개별적으로 삭제하거나 리소스 그룹을 삭제하여 전체 리소스 세트를 삭제할 수 있습니다.