Microsoft Intune에서 iOS 및 iPadOS 장치에 VPN 설정 추가
Microsoft Intune에는 iOS/iPadOS 디바이스에 배포할 수 있는 많은 VPN 설정이 포함되어 있습니다. 이러한 설정은 조직의 네트워크에 대한 VPN 연결을 만들고 구성하는 데 사용됩니다. 이 문서에서는 이러한 설정에 대해 설명합니다. 일부 설정은 Citrix, Zscaler 등과 같은 일부 VPN 클라이언트에서만 사용할 수 있습니다.
이 기능은 다음에 적용됩니다.
- iOS/iPadOS
시작하기 전에
-
Outlook과 같은 일부 Microsoft 365 서비스는 타사 또는 파트너 VPN을 사용하여 성능이 좋지 않을 수 있습니다. 타사 또는 파트너 VPN을 사용하고 대기 시간 또는 성능 문제가 발생하는 경우 VPN을 제거합니다.
VPN을 제거하면 동작이 해결되면 다음을 수행할 수 있습니다.
- 가능한 해결을 위해 타사 또는 파트너 VPN과 협력하세요. Microsoft는 타사 또는 파트너 VPN에 대한 기술 지원을 제공하지 않습니다.
- Outlook 트래픽에 VPN을 사용하지 마세요.
- VPN을 사용해야 하는 경우 분할 터널 VPN을 사용합니다. 또한 Outlook 트래픽이 VPN을 바이패스하도록 허용합니다.
자세한 내용을 보려면 다음으로 이동하세요.
최신 인증 및 조건부 액세스를 사용하여 온-프레미스 리소스에 액세스하기 위해 이러한 디바이스가 필요한 경우 분할 터널링을 지원하는 Microsoft Tunnel을 사용할 수 있습니다.
참고
이러한 설정은 사용자 등록을 제외한 모든 등록 유형에 사용할 수 있습니다. 사용자 등록은 앱별 VPN으로 제한됩니다. 등록 유형에 대한 자세한 내용은 iOS/iPadOS 등록을 참조하세요.
사용 가능한 설정은 선택한 VPN 클라이언트에 따라 달라집니다. 일부 설정은 특정 VPN 클라이언트에서만 사용할 수 있습니다.
이러한 설정은 Apple VPN 페이로드 를 사용합니다(Apple 웹 사이트 열기).
연결 유형
다음 공급업체 목록에서 VPN 연결 유형을 선택합니다.
검사점 캡슐 VPN
Cisco Legacy AnyConnect
Cisco Legacy AnyConnect 앱 버전 4.0.5x 이하에 적용됩니다.
Cisco AnyConnect
Cisco AnyConnect 앱 버전 4.0.7x 이상에 적용됩니다.
SonicWall Mobile Connect
F5 Access Legacy
F5 Access 앱 버전 2.1 이하에 적용됩니다.
F5 Access
F5 Access 앱 버전 3.0 이상에 적용됩니다.
Palo Alto Networks GlobalProtect(레거시)
Palo Alto Networks GlobalProtect 앱 버전 4.1 이하에 적용됩니다.
Palo Alto Networks GlobalProtect
Palo Alto Networks GlobalProtect 앱 버전 5.0 이상에 적용됩니다.
Pulse Secure
Cisco(IPSec)
Citrix VPN
Citrix SSO
Zscaler
조건부 액세스를 사용하거나 사용자가 Zscaler 로그인 화면을 무시하도록 허용하려면 ZPA(Zscaler Private Access)를 Microsoft Entra 계정과 통합해야 합니다. 자세한 단계는 Zscaler 설명서를 참조하세요.
NetMotion 이동성
IKEv2
IKEv2 설정 (이 문서에서)은 속성을 설명합니다.
Microsoft Tunnel
Tunnel 클라이언트 기능을 포함하는 엔드포인트용 Microsoft Defender 앱에 적용됩니다.
사용자 지정 VPN
참고
Cisco, Citrix, F5 및 Palo Alto는 레거시 클라이언트가 iOS 12 이상에서 작동하지 않는다고 발표했습니다. 가능한 한 빨리 새 앱으로 마이그레이션해야 합니다. 자세한 내용은 Microsoft Intune 지원 팀 블로그를 참조하세요.
기본 VPN 설정
연결 이름: 최종 사용자는 사용 가능한 VPN 연결 목록을 디바이스를 검색할 때 이 이름을 볼 수 있습니다.
사용자 지정 도메인 이름 (Zscaler만 해당): 사용자가 속한 도메인으로 Zscaler 앱의 로그인 필드를 미리 채우세요. 예를 들어 사용자 이름이
Joe@contoso.net
이면 앱이contoso.net
열릴 때 도메인이 필드에 정적으로 나타납니다. 도메인 이름을 입력하지 않으면 Microsoft Entra ID에서 UPN의 도메인 부분이 사용됩니다.VPN 서버 주소: 디바이스가 연결하는 VPN 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름)입니다. 예를 들어 또는 를 입력합니다
192.168.1.1
vpn.contoso.com
.조직의 클라우드 이름 (Zscaler만 해당): 조직이 프로비전되는 클라우드 이름을 입력합니다. Zscaler에 로그인하는 데 사용하는 URL의 이름은 입니다.
인증 방법: 디바이스가 VPN 서버에 인증하는 방법을 선택합니다.
인증서: 인증 인증서에서 기존 SCEP 또는 PKCS 인증서 프로필을 선택하여 연결을 인증합니다. 인증서 구성은 인증서 프로필에 대한 몇 가지 지침을 제공합니다.
사용자 이름 및 암호: 최종 사용자는 VPN 서버에 로그인하려면 사용자 이름과 암호를 입력해야 합니다.
참고
사용자 이름 및 암호가 Cisco IPsec VPN의 인증 방법으로 사용되는 경우 사용자 지정 Apple Configurator 프로필을 통해 SharedSecret을 제공해야 합니다.
파생 자격 증명: 사용자의 스마트 카드에서 파생된 인증서를 사용합니다. 파생 자격 증명 발급자를 구성하지 않으면 Intune에서 하나를 추가하라는 메시지를 표시합니다. 자세한 내용은 Microsoft Intune에서 파생 자격 증명 사용을 참조하세요.
제외된 URL (Zscaler만 해당): Zscaler VPN에 연결된 경우 나열된 URL은 Zscaler 클라우드 외부에서 액세스할 수 있습니다. 최대 50개 URL을 추가할 수 있습니다.
분할 터널링: 사용하거나 사용하지 않도록 설정하여 디바이스가 트래픽에 따라 사용할 연결을 결정할 수 있도록 합니다. 예를 들어 호텔의 사용자는 VPN 연결을 사용하여 작업 파일에 액세스하지만 일반 웹 검색을 위해 호텔의 표준 네트워크를 사용합니다.
VPN 식별자 (사용자 지정 VPN, Zscaler 및 Citrix): 사용 중인 VPN 앱의 식별자이며 VPN 공급자가 제공합니다.
조직의 사용자 지정 VPN 특성(사용자 지정 VPN , Zscaler 및 Citrix)에 대한 키/값 쌍을 입력합니다. VPN 연결을 사용자 지정하는 키 및 값을 추가하거나 가져옵니다. 이러한 값은 일반적으로 VPN 공급자가 제공합니다.
NAC(네트워크 액세스 제어) 사용 (Cisco AnyConnect, Citrix SSO, F5 Access): 동의함을 선택하면 디바이스 ID가 VPN 프로필에 포함됩니다. 이 ID는 네트워크 액세스를 허용하거나 방지하기 위해 VPN에 대한 인증에 사용할 수 있습니다.
ISE와 함께 Cisco AnyConnect를 사용하는 경우 다음을 수행해야 합니다.
- 아직 통합하지 않은 경우 Cisco Identity Services 엔진 관리자 가이드에서 MICROSOFT Intune을 MDM 서버로 구성에서 설명한 대로 NAC용 Intune과 ISE를 통합합니다.
- VPN 프로필에서 NAC를 사용하도록 설정합니다.
중요
NAC(네트워크 액세스 제어) 서비스는 더 이상 사용되지 않으며 CR 서비스(Compliance Searchal Service)인 Microsoft의 최신 NAC 서비스로 대체됩니다. Cisco ISE 내에서 변경을 지원하기 위해 Intune은 디바이스 ID 형식을 변경했습니다. 따라서 원래 NAC 서비스를 사용하는 기존 프로필의 작동이 중지됩니다.
CR 서비스를 사용하고 VPN 연결에서 가동 중지 시간을 방지하려면 동일한 VPN 디바이스 구성 프로필을 다시 배포합니다. 프로필에 대한 변경이 필요하지 않습니다. 다시 배포하기만 하면 됩니다. 디바이스가 Intune 서비스와 동기화되고 VPN 구성 프로필을 받으면 CR 서비스 변경 내용이 디바이스에 자동으로 배포됩니다. 또한 VPN 연결은 계속 작동해야 합니다.
게이트웨이에서 Citrix SSO를 사용하는 경우 다음을 수행해야 합니다.
- Citrix Gateway 12.0.59 이상을 사용하고 있는지 확인합니다.
- 사용자가 디바이스에 Citrix SSO 1.1.6 이상을 설치했는지 확인합니다.
- NaC용 Intune과 Citrix Gateway를 통합합니다. Microsoft Intune/Enterprise Mobility Suite와 NetScaler 통합(LDAP+OTP 시나리오) Citrix 배포 가이드를 참조하세요.
- VPN 프로필에서 NAC를 사용하도록 설정합니다.
F5 Access를 사용하는 경우 다음을 수행해야 합니다.
- F5 BIG-IP 13.1.1.5 이상을 사용하고 있는지 확인합니다.
- NAC용 Intune과 BIG-IP를 통합합니다. 개요: 엔드포인트 관리 시스템을 사용하여 디바이스 상태 검사에 대한 APM 구성 F5 가이드를 참조하세요.
- VPN 프로필에서 NAC를 사용하도록 설정합니다.
디바이스 ID를 지원하는 VPN 파트너의 경우 Citrix SSO와 같은 VPN 클라이언트가 ID를 가져올 수 있습니다. 그런 다음 Intune을 쿼리하여 디바이스가 등록되었는지, VPN 프로필이 규격인지 규격인지 여부를 확인할 수 있습니다.
- 이 설정을 제거하려면 프로필을 다시 만들고 동의함 을 선택하지 마세요. 그런 다음 프로필을 다시 할당합니다.
NetMotion Mobility VPN 특성에 대한 키 및 값 쌍을 입력 합니다(NetMotion Mobility에만 해당): 키 및 값 쌍을 입력하거나 가져옵니다. 이러한 값은 VPN 공급자가 제공할 수 있습니다.
Microsoft Tunnel 사이트 (Microsoft Tunnel에만 해당): 기존 사이트를 선택합니다. VPN 클라이언트는 이 사이트의 공용 IP 주소 또는 FQDN에 연결합니다.
자세한 내용은 Intune용 Microsoft Tunnel을 참조하세요.
IKEv2 설정
이러한 설정은 연결 유형>IKEv2를 선택할 때 적용됩니다.
Always-On VPN: 사용하도록 설정 하면 VPN 클라이언트가 VPN에 자동으로 연결되고 다시 연결됩니다. 사용자가 디바이스를 잠그거나, 디바이스를 다시 시작하거나, 무선 네트워크가 변경되면 항상 VPN 연결이 연결되거나 즉시 연결됩니다. 사용 안 함(기본값)으로 설정하면 모든 VPN 클라이언트에 대해 항상 사용 중인 VPN을 사용할 수 없습니다. 사용하도록 설정하면 다음도 구성합니다.
네트워크 인터페이스: 모든 IKEv2 설정은 선택한 네트워크 인터페이스에만 적용됩니다. 옵션은 다음과 같습니다.
- Wi-Fi 및 셀룰러 (기본값): IKEv2 설정은 디바이스의 Wi-Fi 및 셀룰러 인터페이스에 적용됩니다.
- 셀룰러: IKEv2 설정은 디바이스의 셀룰러 인터페이스에만 적용됩니다. Wi-Fi 인터페이스를 사용하지 않도록 설정하거나 제거한 디바이스에 배포하는 경우 이 옵션을 선택합니다.
- Wi-Fi: IKEv2 설정은 디바이스의 Wi-Fi 인터페이스에만 적용됩니다.
VPN 구성을 사용하지 않도록 설정하는 사용자: 사용을 사용하면 사용자가 항상 VPN을 끌 수 있습니다. 사용 안 함 (기본값)을 사용하면 사용자가 해제할 수 없습니다. 이 설정의 기본값은 가장 안전한 옵션입니다.
음성 메일: 항상 사용 중인 VPN을 사용하도록 설정하면 음성 메일 트래픽에서 발생하는 작업을 선택합니다. 옵션은 다음과 같습니다.
- VPN을 통해 네트워크 트래픽 강제 적용(기본값): 이 설정이 가장 안전한 옵션입니다.
- 네트워크 트래픽이 VPN 외부로 전달되도록 허용
- 네트워크 트래픽 삭제
AirPrint: Always-On VPN이 사용하도록 설정된 경우 AirPrint 트래픽에서 발생하는 작업을 선택합니다. 옵션은 다음과 같습니다.
- VPN을 통해 네트워크 트래픽 강제 적용(기본값): 이 설정이 가장 안전한 옵션입니다.
- 네트워크 트래픽이 VPN 외부로 전달되도록 허용
- 네트워크 트래픽 삭제
셀룰러 서비스: iOS 13.0 이상에서 항상 켜져 있는 VPN을 사용하도록 설정하면 셀룰러 트래픽에서 발생하는 작업을 선택합니다. 옵션은 다음과 같습니다.
- VPN을 통해 네트워크 트래픽 강제 적용(기본값): 이 설정이 가장 안전한 옵션입니다.
- 네트워크 트래픽이 VPN 외부로 전달되도록 허용
- 네트워크 트래픽 삭제
기본이 아닌 포로 네트워킹 앱의 트래픽이 VPN 외부로 전달되도록 허용: 포로 네트워크는 일반적으로 레스토랑과 호텔에서 발견되는 Wi-Fi 핫스팟을 나타냅니다. 옵션은 다음과 같습니다.
아니요: VPN 터널을 통해 모든 CN(Captive Networking) 앱 트래픽을 강제로 수행합니다.
예, 모든 앱: 모든 CN 앱 트래픽이 VPN을 무시하도록 허용합니다.
예, 특정 앱: 트래픽이 VPN을 우회할 수 있는 CN 앱 목록을 추가 합니다. CN 앱의 번들 식별자를 입력합니다. 예를 들어
com.contoso.app.id.package
을(를) 입력합니다.Intune에 추가된 앱의 번들 ID를 가져오려면 Intune 관리 센터를 사용할 수 있습니다.
Captive Websheet 앱에서 VPN 외부로 전달되는 트래픽: Captive WebSheet는 Captive 로그온을 처리하는 기본 제공 웹 브라우저입니다. 사용을 사용하면 브라우저 앱 트래픽이 VPN을 우회할 수 있습니다. 사용 안 함 (기본값)은 WebSheet 트래픽이 항상 사용 중인 VPN을 사용하도록 강제합니다. 기본값은 가장 안전한 옵션입니다.
NAT(네트워크 주소 변환) 유지 간격(초): VPN에 계속 연결하려면 디바이스가 활성 상태로 유지되도록 네트워크 패킷을 보냅니다. 20-1440에서 이러한 패킷이 전송되는 빈도에 대한 값을 초 단위로 입력합니다. 예를 들어 의
60
값을 입력하여 60초마다 네트워크 패킷을 VPN으로 보냅니다. 기본적으로 이 값은 초로110
설정됩니다.디바이스가 절전 모드일 때 NAT 유지를 하드웨어에 오프로드: 디바이스가 절전 모드인 경우 사용 (기본값)에는 NAT가 연속적으로 유지 패킷을 전송하므로 디바이스가 VPN에 연결된 상태로 유지됩니다. 사용하지 않도록 설정 하면 이 기능이 꺼집니다.
원격 식별자: IKEv2 서버의 네트워크 IP 주소, FQDN, UserFQDN 또는 ASN1DN을 입력합니다. 예를 들어 또는 를 입력합니다
10.0.0.3
vpn.contoso.com
. 일반적으로 연결 이름과 동일한 값을 입력합니다(이 문서에서). 그러나 IKEv2 서버 설정에 따라 달라집니다.로컬 식별자: 디바이스에서 디바이스 FQDN 또는 IKEv2 VPN 클라이언트의 주체 일반 이름을 입력합니다. 또는 이 값을 비워 둘 수 있습니다(기본값). 일반적으로 로컬 식별자는 사용자 또는 디바이스 인증서의 ID와 일치해야 합니다. IKEv2 서버는 클라이언트 ID의 유효성을 검사할 수 있도록 일치하는 값이 필요할 수 있습니다.
클라이언트 인증 유형: VPN 클라이언트가 VPN에 인증하는 방법을 선택합니다. 옵션은 다음과 같습니다.
- 사용자 인증 (기본값): 사용자 자격 증명이 VPN에 인증됩니다.
- 컴퓨터 인증: 디바이스 자격 증명이 VPN에 인증됩니다.
인증 방법: 서버로 보낼 클라이언트 자격 증명 유형을 선택합니다. 옵션은 다음과 같습니다.
인증서: 기존 인증서 프로필을 사용하여 VPN에 인증합니다. 이 인증서 프로필이 사용자 또는 디바이스에 이미 할당되어 있는지 확인합니다. 그렇지 않으면 VPN 연결이 실패합니다.
-
인증서 유형: 인증서에서 사용하는 암호화 유형을 선택합니다. VPN 서버가 이 유형의 인증서를 허용하도록 구성되어 있는지 확인합니다. 옵션은 다음과 같습니다.
- RSA (기본값)
- ECDSA256
- ECDSA384
- ECDSA521
-
인증서 유형: 인증서에서 사용하는 암호화 유형을 선택합니다. VPN 서버가 이 유형의 인증서를 허용하도록 구성되어 있는지 확인합니다. 옵션은 다음과 같습니다.
공유 비밀 (컴퓨터 인증에만 해당): VPN 서버로 보낼 공유 비밀을 입력할 수 있습니다.
- 공유 비밀: PSK(사전 공유 키)라고도 하는 공유 비밀을 입력합니다. 값이 VPN 서버에 구성된 공유 비밀과 일치하는지 확인합니다.
서버 인증서 발급자 일반 이름: VPN 서버가 VPN 클라이언트에 인증할 수 있도록 허용합니다. 디바이스의 VPN 클라이언트로 전송되는 VPN 서버 인증서의 인증서 발급자 CN(일반 이름)을 입력합니다. CN 값이 VPN 서버의 구성과 일치하는지 확인합니다. 그렇지 않으면 VPN 연결이 실패합니다.
서버 인증서 일반 이름: 인증서 자체에 대한 CN을 입력합니다. 비워 두면 원격 식별자 값이 사용됩니다.
데드 피어 검색 속도: VPN 클라이언트가 VPN 터널이 활성 상태인지 확인하는 빈도를 선택합니다. 옵션은 다음과 같습니다.
- 구성되지 않음: iOS/iPadOS 시스템 기본값을 사용합니다. 이 기본값은 중간을 선택하는 것과 같을 수 있습니다.
- 없음: 데드 피어 검색을 사용하지 않도록 설정합니다.
- 낮음: 30분마다 유지 메시지를 보냅니다.
- 보통 (기본값): 10분마다 유지 메시지를 보냅니다.
- 높음: 60초마다 유지 메시지를 보냅니다.
TLS 버전 범위 최소: 사용할 최소 TLS 버전을 입력합니다. ,
1.1
또는 을 입력합니다.1.0
1.2
공백으로 두면 의1.0
기본값이 사용됩니다. 사용자 인증 및 인증서를 사용하는 경우 이 설정을 구성해야 합니다.TLS 버전 범위 최대: 사용할 최대 TLS 버전을 입력합니다. ,
1.1
또는 을 입력합니다.1.0
1.2
공백으로 두면 의1.2
기본값이 사용됩니다. 사용자 인증 및 인증서를 사용하는 경우 이 설정을 구성해야 합니다.완벽한 전방 비밀: 사용을 선택하여 완벽한 전방 비밀(PFS)을 켭니다. PFS는 세션 키가 손상된 경우 영향을 줄이는 IP 보안 기능입니다. 사용 안 함 (기본값)은 PFS를 사용하지 않습니다.
인증서 해지 확인: 사용을 선택하여 VPN 연결이 성공하도록 허용하기 전에 인증서가 해지되지 않았는지 확인합니다. 이 검사는 최선의 노력입니다. 인증서가 해지되었는지 확인하기 전에 VPN 서버 시간이 초과되면 액세스 권한이 부여됩니다. 사용 안 함 (기본값)은 해지된 인증서를 확인하지 않습니다.
IPv4/IPv6 내부 서브넷 특성 사용: 일부 IKEv2 서버는 또는
INTERNAL_IP6_SUBNET
특성을 사용합니다INTERNAL_IP4_SUBNET
. 사용하도록 설정하면 VPN 연결에서 이러한 특성을 사용하도록 강제 적용합니다. 사용 안 함 (기본값)은 VPN 연결이 이러한 서브넷 특성을 사용하도록 강제하지 않습니다.MOBIKE(모바일 및 멀티호밍): MOBIKE를 사용하면 VPN 클라이언트가 VPN 서버와의 보안 연결을 다시 생성하지 않고도 IP 주소를 변경할 수 있습니다. 사용 (기본값)은 MOBIKE를 켜며, 네트워크 간 이동 시 VPN 연결을 향상시킬 수 있습니다. 비활성화 하면 MOBIKE가 꺼집니다.
리디렉션: VPN 서버에서 리디렉션 요청을 받은 경우 사용 (기본값)은 IKEv2 연결을 리디렉션합니다. 사용하지 않도록 설정 하면 VPN 서버에서 리디렉션 요청을 받은 경우 IKEv2 연결이 리디렉션되지 않습니다.
최대 전송 단위: 1-65536에서 MTU(최대 전송 단위)를 바이트 단위로 입력합니다. 구성되지 않음으로 설정하거나 비워 두면 Intune은 이 설정을 변경하거나 업데이트하지 않습니다. 기본적으로 Apple은 이 값을 1280으로 설정할 수 있습니다.
이 설정은 다음에 적용됩니다.
- iOS/iPadOS 14 이상
보안 연결 매개 변수: VPN 서버와 보안 연결을 만들 때 사용할 매개 변수를 입력합니다.
암호화 알고리즘: 원하는 알고리즘을 선택합니다.
- DES(DES)
- 3DES
- AES-128
- AES-256(기본값)
- AES-128-GCM
- AES-256-GCM
참고
암호화 알고리즘을 또는
AES-256-GCM
로AES-128-GCM
설정하면 기본값이AES-256
사용됩니다. 이는 알려진 문제이며 향후 릴리스에서 해결될 예정입니다. ETA가 없습니다.무결성 알고리즘: 원하는 알고리즘을 선택합니다.
- SHA1-96
- SHA1-160
- SHA2-256(기본값)
- SHA2-384
- SHA2-512
Diffie-Hellman 그룹: 원하는 그룹을 선택합니다. 기본값은 그룹
2
입니다.수명 (분): 키가 회전될 때까지 보안 연결이 활성 상태로 유지되는 기간을 입력합니다. 와 사이의
10
전체 값을 입력합니다1440
(1440분은 24시간). 기본값은 입니다1440
.
자식 보안 연결 매개 변수: iOS/iPadOS를 사용하면 IKE 연결 및 모든 자식 연결에 대해 별도의 매개 변수를 구성할 수 있습니다. VPN 서버와 자식 보안 연결을 만들 때 사용되는 매개 변수를 입력합니다.
암호화 알고리즘: 원하는 알고리즘을 선택합니다.
- DES(DES)
- 3DES
- AES-128
- AES-256(기본값)
- AES-128-GCM
- AES-256-GCM
참고
암호화 알고리즘을 또는
AES-256-GCM
로AES-128-GCM
설정하면 기본값이AES-256
사용됩니다. 이는 알려진 문제이며 향후 릴리스에서 해결될 예정입니다. ETA가 없습니다.
무결성 알고리즘: 원하는 알고리즘을 선택합니다.
- SHA1-96
- SHA1-160
- SHA2-256(기본값)
- SHA2-384
- SHA2-512
또한 다음을 구성합니다.
-
Diffie-Hellman 그룹: 원하는 그룹을 선택합니다. 기본값은 그룹
2
입니다. -
수명 (분): 키가 회전될 때까지 보안 연결이 활성 상태로 유지되는 기간을 입력합니다. 와 사이의
10
전체 값을 입력합니다1440
(1440분은 24시간). 기본값은 입니다1440
.
자동 VPN
자동 VPN 유형: 구성하려는 VPN 유형( 주문형 VPN 또는 앱별 VPN)을 선택합니다. 하나의 옵션만 사용해야 합니다. 둘 다 동시에 사용하면 연결 문제가 발생합니다.
구성되지 않음 (기본값): Intune은 이 설정을 변경하거나 업데이트하지 않습니다.
주문형 VPN: 주문형 VPN은 규칙을 사용하여 VPN 연결을 자동으로 연결하거나 연결을 끊습니다. 디바이스가 VPN에 연결하려고 하면 일치하는 도메인 이름과 같이 사용자가 만든 매개 변수 및 규칙에서 일치 항목을 찾습니다. 일치하는 항목이 있으면 선택한 작업이 실행됩니다.
예를 들어 디바이스가 회사 Wi-Fi 네트워크에 연결되어 있지 않은 경우에만 VPN 연결이 사용되는 조건을 만들 수 있습니다. 또는 디바이스가 입력한 DNS 검색 도메인에 액세스할 수 없는 경우 VPN 연결이 시작되지 않습니다.
주문형 규칙>추가: 추가 를 선택하여 규칙을 추가합니다. 기존 VPN 연결이 없는 경우 이러한 설정을 사용하여 주문형 규칙을 만듭니다. 규칙과 일치하는 항목이 있는 경우 디바이스는 선택한 작업을 수행합니다.
다음을 수행하려고 합니다. 디바이스 값과 주문형 규칙 간에 일치하는 항목이 있는 경우 디바이스에서 수행할 작업을 선택합니다. 옵션은 다음과 같습니다.
VPN 설정: 디바이스 값과 주문형 규칙 간에 일치하는 항목이 있으면 디바이스가 VPN에 연결됩니다.
VPN 연결 끊기: 디바이스 값과 주문형 규칙 간에 일치하는 항목이 있으면 VPN 연결이 끊어집니다.
각 연결 시도 평가: 디바이스 값과 주문형 규칙 간에 일치하는 항목이 있는 경우 연결 여부 선택 설정을 사용하여 각 VPN 연결 시도에 대해 수행되는 작업을 결정합니다.
필요한 경우 연결: 디바이스가 내부 네트워크에 있거나 내부 네트워크에 설정된 VPN 연결이 이미 있는 경우 주문형 VPN이 연결되지 않습니다. 이러한 설정은 사용되지 않습니다.
기존 VPN 연결이 없는 경우 각 VPN 연결 시도에 대해 사용자가 DNS 도메인 이름을 사용하여 연결해야 하는지 여부를 결정합니다. 이 규칙은 사용자가 이러한 도메인에 액세스하려고 할 때 목록의 도메인에 만 적용됩니다. 다른 모든 도메인은 무시됩니다.
사용자가 이러한 도메인에 액세스하려고 하면: 와 같은
contoso.com
하나 이상의 DNS 도메인을 입력합니다. 사용자가 이 목록의 도메인에 연결하려고 하면 디바이스는 DNS를 사용하여 사용자가 입력한 도메인을 확인합니다. 도메인이 확인되지 않으면 내부 리소스에 대한 액세스 권한이 없음을 의미하며 요청 시 VPN에 연결됩니다. 도메인이 확인되면 내부 리소스에 대한 액세스 권한이 이미 있으므로 VPN에 연결되지 않습니다.참고
사용자가 이러한 도메인에 액세스하려고 할 때 설정이 비어 있으면 디바이스는 네트워크 연결 서비스(Wi-Fi/이더넷)에 구성된 DNS 서버를 사용하여 도메인을 확인합니다. 이러한 DNS 서버는 공용 서버라는 개념입니다.
사용자가 이러한 도메인에 액세스하려고 할 때 목록의 도메인은 내부 리소스입니다. 내부 리소스는 공용 DNS 서버에 없으며 확인할 수 없습니다. 따라서 디바이스는 VPN에 연결됩니다. 이제 VPN 연결의 DNS 서버를 사용하여 도메인이 확인되고 내부 리소스를 사용할 수 있습니다.
디바이스가 내부 네트워크에 있는 경우 도메인이 확인되고 내부 도메인을 이미 사용할 수 있으므로 VPN 연결이 만들어지지 않습니다. 내부 네트워크에 이미 있는 디바이스에서 VPN 리소스를 낭비하지 않으려는 경우
사용자가 이러한 도메인에 액세스하려고 할 때 설정이 채워지면 이 목록의 DNS 서버를 사용하여 목록의 도메인을 확인합니다.
아이디어는 첫 번째 글머리 기호와 반대입니다(사용자가 이러한 도메인에 액세스하려고 하면 설정이 비어 있음). 예를 들어 사용자가 이러한 도메인에 액세스하려고 할 때 목록에는 내부 DNS 서버가 있습니다. 외부 네트워크의 디바이스는 내부 DNS 서버로 라우팅할 수 없습니다. 이름 확인 시간이 초과되고 디바이스가 주문형 VPN에 연결됩니다. 이제 내부 리소스를 사용할 수 있습니다.
이 정보는 사용자가 이러한 도메인에 액세스하려고 할 때 목록의 도메인에 만 적용됩니다. 다른 모든 도메인은 공용 DNS 서버로 확인됩니다. 디바이스가 내부 네트워크에 연결되면 목록의 DNS 서버에 액세스할 수 있으며 VPN에 연결할 필요가 없습니다.
다음 DNS 서버를 사용하여 이러한 도메인을 확인합니다(선택 사항): 과 같은
10.0.0.22
하나 이상의 DNS 서버 IP 주소를 입력합니다. 입력하는 DNS 서버는 사용자가 이러한 도메인에 액세스하려고 할 때 설정에서 도메인을 확인하는 데 사용됩니다.이 URL에 연결할 수 없는 경우 VPN을 강제로 연결합니다. 선택 사항입니다. 규칙이 테스트로 사용하는 HTTP 또는 HTTPS 검색 URL을 입력합니다. 예를 들어
https://probe.Contoso.com
을(를) 입력합니다. 이 URL은 사용자가 이러한 도메인에 액세스하려고 할 때 설정에서 도메인에 액세스하려고 할 때마다 검색됩니다. 사용자에게 URL 문자열 프로브 사이트가 표시되지 않습니다.URL에 연결할 수 없거나 200 HTTP 상태 코드를 반환하지 않아 프로브가 실패하면 디바이스가 VPN에 연결됩니다.
URL은 내부 네트워크에서만 액세스할 수 있습니다. URL에 액세스할 수 있는 경우 VPN 연결이 필요하지 않습니다. URL에 액세스할 수 없는 경우 디바이스는 외부 네트워크에 있으며 요청 시 VPN에 연결됩니다. VPN 연결이 설정되면 내부 리소스를 사용할 수 있습니다.
연결 안 함: 각 VPN 연결 시도에 대해 사용자가 입력한 도메인에 액세스하려고 하면 디바이스가 VPN에 연결되지 않습니다.
-
사용자가 이러한 도메인에 액세스하려고 하면: 와 같은
contoso.com
하나 이상의 DNS 도메인을 입력합니다. 사용자가 이 목록의 도메인에 연결하려고 하면 VPN 연결이 만들어지지 않습니다. 이 목록에 없는 도메인에 연결하려고 하면 디바이스가 VPN에 연결됩니다.
-
사용자가 이러한 도메인에 액세스하려고 하면: 와 같은
무시: 디바이스 값과 주문형 규칙 간에 일치하는 항목이 있으면 VPN 연결이 무시됩니다.
제한하려는 항목: 다음 설정에서 VPN 설정, VPN연결 끊기 또는 무시를 선택한 다음 규칙이 충족해야 하는 조건을 선택합니다. 옵션은 다음과 같습니다.
-
특정 SSID: 규칙이 적용되는 하나 이상의 무선 네트워크 이름을 입력합니다. 이 네트워크 이름은 SSID(서비스 집합 식별자)입니다. 예를 들어
Contoso VPN
을(를) 입력합니다. -
특정 검색 도메인: 규칙이 적용되는 하나 이상의 DNS 도메인을 입력합니다. 예를 들어
contoso.com
을(를) 입력합니다. - 모든 도메인: 조직의 모든 도메인에 규칙을 적용하려면 이 옵션을 선택합니다.
-
특정 SSID: 규칙이 적용되는 하나 이상의 무선 네트워크 이름을 입력합니다. 이 네트워크 이름은 SSID(서비스 집합 식별자)입니다. 예를 들어
그러나 이 URL 프로브가 성공한 경우에만 선택 사항입니다. 규칙이 테스트로 사용하는 URL을 입력합니다. 예를 들어
https://probe.Contoso.com
을(를) 입력합니다. 디바이스가 리디렉션 없이 이 URL에 액세스하는 경우 VPN 연결이 시작됩니다. 그리고 디바이스가 대상 URL에 연결됩니다. 사용자에게 URL 문자열 프로브 사이트가 표시되지 않습니다.예를 들어 URL은 디바이스가 VPN을 통해 대상 URL에 연결하기 전에 VPN이 사이트에 연결하는 기능을 테스트합니다.
사용자가 자동 VPN을 사용하지 않도록 설정하지 못하도록 차단: 옵션:
- 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
- 예: 사용자가 자동 VPN을 끌 수 없습니다. 사용자가 자동 VPN을 사용하도록 설정하고 실행하도록 강제합니다.
- 아니요: 사용자가 자동 VPN을 끌 수 있습니다.
이 설정은 다음에 적용됩니다.
- iOS 14 이상
- iPadOS 14 이상
앱별 VPN: 이 VPN 연결을 특정 앱과 연결하여 앱별 VPN을 사용하도록 설정합니다. 앱이 실행되면 VPN 연결이 시작됩니다. 앱 소프트웨어 또는 프로그램을 할당할 때 VPN 프로필을 앱과 연결할 수 있습니다. 자세한 내용은 앱을 할당하고 모니터링하는 방법을 참조하세요.
앱별 VPN은 IKEv2 연결에서 지원되지 않습니다. 자세한 내용은 iOS/iPadOS 디바이스에 대한 앱별 VPN 설정을 참조하세요.
공급자 유형: Pulse Secure 및 사용자 지정 VPN에만 사용할 수 있습니다.
Pulse Secure 또는 사용자 지정 VPN에서 앱별 VPN 프로필을 사용하는 경우 앱 계층 터널링(앱 프록시) 또는 패킷 수준 터널링(패킷 터널)을 선택합니다.
- app-proxy: 앱 계층 터널링에 대해 이 옵션을 선택합니다.
- packet-tunnel: 패킷 계층 터널링에 대해 이 옵션을 선택합니다.
어떤 옵션을 사용할지 잘 모르는 경우 VPN 공급자의 설명서를 확인합니다.
이 VPN을 트리거하는 Safari URL: 하나 이상의 웹 사이트 URL을 추가합니다. 디바이스에서 Safari 브라우저를 사용하여 이러한 URL을 방문하면 VPN 연결이 자동으로 설정됩니다. 예를 들어
contoso.com
을(를) 입력합니다.연결된 도메인: 이 VPN 연결에 사용할 VPN 프로필에 연결된 도메인을 입력합니다.
자세한 내용은 연결된 도메인을 참조하세요.
제외된 도메인: 앱별 VPN이 연결되면 VPN 연결을 무시할 수 있는 도메인을 입력합니다. 예를 들어
contoso.com
을(를) 입력합니다. 도메인에 대한 트래픽은contoso.com
VPN이 연결된 경우에도 공용 인터넷을 사용합니다.사용자가 자동 VPN을 사용하지 않도록 설정하지 못하도록 차단: 옵션:
- 구성되지 않음: Intune에서 이 설정을 변경하거나 업데이트하지 않습니다.
- 예: 사용자가 VPN 프로필 설정 내에서 주문형 연결 토글을 끌 수 없습니다. 사용자가 앱별 VPN 또는 주문형 규칙을 사용하도록 설정하고 실행하도록 강제합니다.
- 아니요: 사용자가 앱별 VPN 및 주문형 규칙을 사용하지 않도록 설정하는 주문형 연결 토글을 끌 수 있습니다.
이 설정은 다음에 적용됩니다.
- iOS 14 이상
- iPadOS 14 이상
앱별 VPN
이러한 설정은 다음 VPN 연결 유형에 적용됩니다.
- Microsoft Tunnel
설정:
앱별 VPN: 사용은 특정 앱을 이 VPN 연결에 연결합니다. 앱이 실행되면 트래픽이 VPN 연결을 통해 자동으로 라우팅됩니다. 소프트웨어를 할당할 때 VPN 프로필을 앱과 연결할 수 있습니다. 자세한 내용은 앱을 할당하고 모니터링하는 방법을 참조하세요.
자세한 내용은 Intune용 Microsoft Tunnel을 참조하세요.
이 VPN을 트리거하는 Safari URL: 하나 이상의 웹 사이트 URL을 추가합니다. 디바이스에서 Safari 브라우저를 사용하여 이러한 URL을 방문하면 VPN 연결이 자동으로 설정됩니다. 예를 들어
contoso.com
을(를) 입력합니다.연결된 도메인: 이 VPN 연결에 사용할 VPN 프로필에 연결된 도메인을 입력합니다.
자세한 내용은 연결된 도메인을 참조하세요.
제외된 도메인: 앱별 VPN이 연결되면 VPN 연결을 무시할 수 있는 도메인을 입력합니다. 예를 들어
contoso.com
을(를) 입력합니다. 도메인에 대한 트래픽은contoso.com
VPN이 연결된 경우에도 공용 인터넷을 사용합니다.
프록시
프록시를 사용하는 경우 다음 설정을 구성합니다.
-
자동 구성 스크립트: 파일을 사용하여 프록시 서버를 구성합니다. 구성 파일을 포함하는 프록시 서버 URL을 입력합니다. 예를 들어
http://proxy.contoso.com/pac
을(를) 입력합니다. -
주소: 프록시 서버의 IP 주소 또는 정규화된 호스트 이름을 입력합니다. 예를 들어 또는 를 입력합니다
10.0.0.3
vpn.contoso.com
. -
포트 번호: 프록시 서버와 연결된 포트 번호를 입력합니다. 예를 들어
8080
을(를) 입력합니다.
다음 단계
프로필이 만들어지지만 아직 아무 작업도 수행하지 않을 수 있습니다. 프로필을 할당하고 해당 상태를 모니터링합니다.
Android, Android Enterprise, macOS 및 Windows 디바이스에서 VPN 설정을 구성합니다.