Microsoft Entra Domain Services 관리형 도메인의 내부 애플리케이션에 대한 보안 액세스를 위해 Microsoft Entra 애플리케이션 프록시 배포

Microsoft Entra Domain Services를 사용하여 온-프레미스에서 실행되는 레거시 애플리케이션을 Azure로 리프트 앤 시프트할 수 있습니다. 그러면 Microsoft Entra 애플리케이션 프록시를 통해 Domain Services 관리형 도메인의 내부 애플리케이션 부분을 안전하게 게시하여 원격 작업자를 지원할 수 있으므로 인터넷을 통해 액세스할 수 있습니다.

Microsoft Entra 애플리케이션 프록시를 처음 사용하고 더 알아보고 싶은 경우 내부 애플리케이션에 안전한 원격 액세스 제공하는 방법을 참조하세요.

이 문서에서는 관리되는 도메인의 애플리케이션에 대한 보안 액세스를 제공하기 위해 Microsoft Entra 개인 네트워크 커넥터를 만들고 구성하는 방법을 보여 줍니다.

시작하기 전에

이 문서를 완료하는 데 필요한 리소스와 권한은 다음과 같습니다.

• 활성화된 Azure 구독.
  • Azure 구독이 없는 경우 계정을 만듭니다.
• 온-프레미스 디렉터리 또는 클라우드 전용 디렉터리와 동기화되어 구독과 연결된 Microsoft Entra 테넌트.
  • 필요한 경우 Microsoft Entra 테넌트를 만들거나Azure 구독을 계정에 연결합니다.
  • Microsoft Entra 애플리케이션 프록시를 사용하려면 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다.
• Microsoft Entra 테넌트에서 사용하도록 설정되고 구성된 Microsoft Entra Domain Services 관리되는 도메인입니다.
  • 필요한 경우 Microsoft Entra Domain Services 관리되는 도메인을 만들고 구성합니다.

도메인 조인 Windows VM 만들기

사용자 환경에서 실행 중인 애플리케이션으로 트래픽을 라우팅하려면 Microsoft Entra 개인 네트워크 커넥터 구성 요소를 설치합니다. 이 Microsoft Entra 개인 네트워크 커넥터는 관리되는 도메인 조인 Windows Server VM(가상 머신)에 설치되어야 합니다. 일부 애플리케이션의 경우 커넥터가 설치된 여러 서버를 배포할 수 있습니다. 이 배포 옵션을 선택하면 가용성이 높아지고 더 많은 인증 부하를 처리하는 데 도움이 됩니다.

Microsoft Entra 개인 네트워크 커넥터를 실행하는 VM은 관리되는 도메인과 동일하거나 피어링된 가상 네트워크에 있어야 합니다. 그런 다음 애플리케이션 프록시를 사용하여 게시하는 애플리케이션을 호스트하는 VM도 동일한 Azure 가상 네트워크에 배포해야 합니다.

Microsoft Entra 개인 네트워크 커넥터용 VM을 만들려면 다음 단계를 완료합니다.

1. 사용자 지정 OU를 만듭니다. 이 사용자 지정 OU를 관리할 수 있는 권한을 관리되는 도메인 내의 사용자에게 위임할 수 있습니다. Microsoft Entra 애플리케이션 프록시 및 애플리케이션을 실행하는 VM은 기본 Microsoft Entra DC 컴퓨터 OU가 아닌 사용자 지정 OU의 일부여야 합니다.
2. Microsoft Entra 개인 네트워크 커넥터를 실행하는 가상 머신과 애플리케이션을 실행하는 가상 머신을 관리되는 도메인에 도메인 조인합니다. 이전 단계의 사용자 지정 OU에 이러한 컴퓨터 계정을 만듭니다.

Microsoft Entra 개인 네트워크 커넥터 다운로드

Microsoft Entra 개인 네트워크 커넥터를 다운로드하려면 다음 단계를 수행합니다. 다운로드한 설정 파일은 다음 섹션의 애플리케이션 프록시 VM에 복사됩니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 엔터프라이즈 애플리케이션을 검색하여 선택합니다.

3. 왼쪽 메뉴에서 애플리케이션 프록시를 선택합니다. 첫 번째 커넥터를 만들고 애플리케이션 프록시를 사용하도록 설정하려면 커넥터 다운로드 링크를 선택합니다.

4. 다운로드 페이지에서 사용 조건 및 개인정보처리방침에 동의한 후 사용 약관 동의 및 다운로드를 선택합니다.

   

Microsoft Entra 개인 네트워크 커넥터 설치 및 등록

Microsoft Entra 개인 네트워크 커넥터로 사용할 준비가 된 VM을 사용하여 이제 Microsoft Entra 관리 센터에서 다운로드한 설치 파일을 복사하고 실행합니다.

1. Microsoft Entra 개인 네트워크 커넥터 설정 파일을 VM에 복사합니다.

2. MicrosoftEntraPrivateNetworkConnectorInstaller.exe와 같은 설치 파일을 실행합니다. 소프트웨어 사용 조건에 동의합니다.

3. 설치하는 동안 Microsoft Entra 디렉터리의 애플리케이션 프록시에 커넥터를 등록하라는 메시지가 표시됩니다.

   • 이러한 기능을 관리하려면 전역 관리자가 필요합니다.

     참고 항목

     커넥터를 등록하는 데 사용되는 계정은 애플리케이션 프록시 서비스를 사용할 수 있는 동일한 디렉터리에 있어야 합니다.

     예를 들어, Microsoft Entra 도메인이 contoso.com인 경우 계정은 admin@contoso.com 또는 해당 도메인의 다른 유효한 별칭이어야 합니다.

   • 커넥터를 설치하는 VM에 Internet Explorer 강화된 보안 구성이 켜져 있으면 등록 화면이 차단될 수 있습니다. 액세스를 허용하려면 오류 메시지의 지침에 따라 설치하는 동안 Internet Explorer 보안 강화를 끕니다.

   • 커넥터 등록에 실패한 경우 애플리케이션 프록시 문제 해결을 참조하세요.

4. 설정 종료 시 아웃바운드 프록시를 사용하는 환경에 대한 노트가 표시됩니다. 아웃바운드 프록시를 통해 작동하도록 Microsoft Entra 개인 네트워크 커넥터를 구성하려면 C:\Program Files\Microsoft Entra private network connector\ConfigureOutBoundProxy.ps1과 같은 제공된 스크립트를 실행합니다.

5. 다음 예제와 같이 Microsoft Entra 관리 센터의 애플리케이션 프록시 페이지에 새 커넥터가 활성 상태로 나열됩니다.

   

참고 항목

Microsoft Entra 애플리케이션 프록시를 통해 인증하는 애플리케이션에 고가용성을 제공하려면 여러 VM에 커넥터를 설치할 수 있습니다. 관리되는 도메인에 조인된 다른 서버에 커넥터를 설치하려면 이전 섹션에 나열된 것과 동일한 단계를 반복합니다.

리소스 기반 Kerberos 제한 위임 사용

IWA(Windows 통합 인증)를 사용하여 애플리케이션에 Single Sign-On을 사용하려면 Microsoft Entra 개인 네트워크 커넥터에 사용자를 가장하고 사용자를 대신하여 토큰을 보내고 받을 수 있는 권한을 부여합니다. 이러한 권한을 부여하려면 관리되는 도메인에서 리소스에 액세스하도록 커넥터에 대한 KCD(Kerberos 제한 위임)를 구성합니다. 관리되는 도메인에서 도메인 관리자 권한이 없기 때문에 관리되는 도메인에서는 기존 계정 수준의 KCD를 구성할 수 없습니다. 대신 리소스 기반 KCD를 사용합니다.

자세한 내용은 Microsoft Entra Domain Services에서 KCD(Kerberos 제한 위임) 구성을 참조하세요.

참고 항목

다음 PowerShell cmdlet을 실행하려면 Microsoft Entra 테넌트에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정에 로그인해야 합니다.

개인 네트워크 커넥터 VM 및 애플리케이션 VM에 대한 컴퓨터 계정은 리소스 기반 KCD를 구성할 수 있는 권한이 있는 사용자 지정 OU에 있어야 합니다. 기본 제공 Microsoft Entra DC 컴퓨터 컨테이너의 컴퓨터 계정에 대해서는 리소스 기반 KCD를 구성할 수 없습니다.

Get-ADComputer를 사용하여 Microsoft Entra 개인 네트워크 커넥터가 설치된 컴퓨터에 대한 설정을 검색합니다. 도메인 조인 관리 VM에서 Microsoft Entra DC 관리자 그룹의 구성원인 사용자 계정으로 로그인하고 다음 cmdlet을 실행합니다.

다음 예제에서는 appproxy.aaddscontoso.com이라는 컴퓨터 계정에 대한 정보를 가져옵니다. 이전 단계에서 구성된 Microsoft Entra 애플리케이션 프록시 VM에 대한 고유한 컴퓨터 이름을 제공합니다.

$ImpersonatingAccount = Get-ADComputer -Identity appproxy.aaddscontoso.com

Microsoft Entra 애플리케이션 프록시 뒤에서 앱을 실행하는 각 애플리케이션 서버에 대해 리소스 기반 KCD를 구성하려면 Set-ADComputer PowerShell cmdlet을 사용합니다. 다음 예에서는 Microsoft Entra 개인 네트워크 커넥터에 appserver.aaddscontoso.com 컴퓨터를 사용할 수 있는 권한이 부여됩니다.

Set-ADComputer appserver.aaddscontoso.com -PrincipalsAllowedToDelegateToAccount $ImpersonatingAccount

여러 Microsoft Entra 개인 네트워크 커넥터를 배포하는 경우 각 커넥터 인스턴스에 대해 리소스 기반 KCD를 구성해야 합니다.

다음 단계

Domain Services와 통합된 Microsoft Entra 애플리케이션 프록시를 사용하여 사용자가 액세스할 수 있는 애플리케이션을 게시합니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용하여 애플리케이션 게시를 참조하세요.