다음을 통해 공유

Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성

이 문서는 새 Microsoft 등록 Azure VPN 클라이언트 앱 ID를 사용하여 Microsoft Entra ID 인증을 위한 P2S(지점 간) VPN 게이트웨이를 구성하는 데 도움이 됩니다.

VPN Gateway는 이제 새로운 Microsoft 등록 앱 ID와 최신 버전의 Azure VPN Client에 대한 해당 대상 그룹 값을 지원합니다. 새 대상 그룹 값을 사용하여 P2S VPN Gateway를 구성하는 경우 Microsoft Entra 테넌트에 대해 이전에 필요한 Azure VPN 클라이언트 앱 수동 등록 프로세스를 건너뜁니다. 앱 ID는 이미 만들어져 있으며 테넌트는 추가 등록 단계 없이 자동으로 사용할 수 있습니다. 이 프로세스는 클라우드 앱 관리자 역할을 통해 앱에 권한을 부여하거나 권한을 할당할 필요가 없으므로 Azure VPN 클라이언트를 수동으로 등록하는 것보다 더 안전합니다. 애플리케이션 개체 형식 간의 차이점을 더 잘 이해하려면 애플리케이션이 Microsoft Entra ID에 추가되는 방법과 이유를 참조하세요.

  • 수동으로 구성된 Azure VPN 클라이언트 앱의 대상 그룹 값을 사용하여 P2S 사용자 VPN 게이트웨이를 구성하는 경우 게이트웨이 및 클라이언트 설정을 쉽게 변경 하여 새 Microsoft 등록 앱 ID를 활용할 수 있습니다. Linux 클라이언트를 연결하려면 P2S 게이트웨이를 새 대상 그룹 값으로 업데이트해야 합니다. Linux용 Azure VPN Client는 이전 대상 그룹 값과 호환되지 않습니다.
  • 사용자 지정 대상 그룹 값을 만들거나 수정하려면 P2S VPN에 대한 사용자 지정 대상 그룹 앱 ID 만들기를 참조하세요.
  • 사용자 및 그룹을 기반으로 P2S에 대한 액세스를 구성하거나 제한하려면 시나리오: 사용자 및 그룹을 기반으로 P2S VPN 액세스 구성을 참조하세요.

고려 사항

  • P2S VPN Gateway는 하나의 대상 그룹 값만 지원할 수 있습니다. 여러 대상 그룹 값을 동시에 지원할 수 없습니다.

  • Linux용 Azure VPN Client는 수동으로 등록된 앱에 맞는 이전 대상 그룹 값을 사용하도록 구성된 P2S 게이트웨이와 이전 버전과 호환되지 않습니다. 그러나 Linux용 Azure VPN Client는 사용자 지정 대상 그룹 값을 지원합니다.

  • Linux용 Azure VPN Client는 다른 Linux 배포판 및 릴리스에서 작동할 수 있지만 Linux용 Azure VPN Client는 다음 릴리스에서만 지원됩니다.

    • Ubuntu 20.04
    • Ubuntu 22.04

  • Windows용 Azure VPN 클라이언트가 다른 운영 체제 버전에서 작동할 수 있지만 Windows용 Azure VPN 클라이언트는 다음 릴리스에서만 지원됩니다.

    • 지원되는 Windows 릴리스: Windows 10, X64 프로세서의 Windows 11.
    • WINDOWS용 Azure VPN 클라이언트는 ARM 프로세서에서 실행되는 시스템에서 지원되지 않습니다.

  • 최신 버전의 macOS 및 Windows용 Azure VPN 클라이언트는 수동으로 등록된 앱일치하는 이전 대상 그룹 값을 사용하는 P2S 게이트웨이와의 하위 호환성을 지원합니다. 이러한 클라이언트는 사용자 지정 대상 그룹 값도 지원합니다.

Azure VPN 클라이언트 대상 그룹 값

다음 표에는 각 앱 ID에 대해 지원되는 Azure VPN Client 버전과 사용 가능한 해당 대상 그룹 값이 나와 있습니다.

앱 ID 지원되는 대상 그룹 값 지원되는 클라이언트
Microsoft 등록 대상 값 c632b3df-fb67-4d84-bdcf-b95ad541b5c8은 다음에 적용됩니다.
- Azure 공용
- Azure Government
- Azure 독일
- 21Vianet에서 운영하는 Microsoft Azure		 - Linux
- Windows
- macOS
수동으로 등록됨 - Azure 공용: 41b23e61-6c1e-4545-b367-cd054e0ed4b4
- Azure Government: 51bb15d4-3a4f-4ebf-9dca-40096fe32426
- Azure 독일: 538ee9e6-310a-468d-afef-ea97365856a9
- 21Vianet에서 운영하는 Microsoft Azure: 49f817b6-84ae-4cc0-928c-73f27289b3aa		 - Windows
- macOS
사용자 지정 <custom-app-id> - Linux
- Windows
- macOS

지점 및 사이트 간 워크플로

Microsoft Entra ID 인증을 사용하여 P2S 연결을 성공적으로 구성하려면 일련의 단계가 필요합니다.

이 문서는 다음 작업을 수행하는 데 도움이 됩니다.

  1. 테넌트를 확인합니다.
  2. 적절한 필수 설정으로 VPN Gateway를 구성합니다.
  3. VPN 클라이언트 구성 패키지를 생성하고 다운로드합니다.

다음 단계 섹션의 문서는 다음을 수행하는 데 도움이 됩니다.

  1. 클라이언트 컴퓨터에 Azure VPN Client를 다운로드합니다.
  2. VPN 클라이언트 구성 패키지의 설정을 사용하여 클라이언트를 구성합니다.
  3. 연결.

필수 구성 요소

이 문서에서는 다음 필수 조건을 가정합니다.

  • VPN Gateway

    • 특정 게이트웨이 옵션은 Microsoft Entra ID 인증을 사용하는 P2S VPN Gateway와 호환되지 않습니다. VPN Gateway는 기본 SKU 또는 정책 기반 VPN 형식을 사용할 수 없습니다. 게이트웨이 SKU에 대한 자세한 내용은 게이트웨이 SKU 정보를 참조하세요. VPN 형식에 대한 자세한 내용은 VPN Gateway 설정을 참조하세요.

    • Microsoft Entra ID 인증과 호환되는 작동하는 VPN Gateway가 아직 없는 경우 VPN Gateway 만들기 및 관리 - Azure Portal을 참조하세요. 호환되는 VPN Gateway를 만든 다음 이 문서로 돌아와 P2S 설정을 구성합니다.

  • Microsoft Entra 테넌트

VPN 클라이언트 주소 풀 추가

클라이언트 주소 풀은 사용자가 지정한 개인 IP 주소 범위입니다. 지점 및 사이트 간 VPN을 통해 연결하는 클라이언트는 동적으로 이 범위의 IP 주소를 수신합니다. 연결하는 온-프레미스 위치 또는 연결하려는 가상 네트워크와 겹치지 않는 개인 IP 주소 범위를 사용합니다. 여러 프로토콜을 구성하고 SSTP가 프로토콜 중 하나인 경우 구성된 주소 풀이 구성된 프로토콜 간에 동일하게 분할됩니다.

  1. Azure Portal에서 VPN Gateway로 이동합니다.
  2. 게이트웨이 페이지의 왼쪽 창에서 지점 및 사이트 간 구성을 선택합니다.
  3. 지점 및 사이트 간의 구성 페이지에서 지금 구성을 클릭합니다.
  4. 지점 및 사이트 간의 구성 페이지에 주소 풀에 대한 구성 상자가 표시됩니다.
  5. 주소 풀 상자에 사용하려는 개인 IP 주소 범위를 추가합니다. 예를 들어 주소 범위를 172.16.201.0/24추가하는 경우 연결 VPN 클라이언트는 이 범위에서 IP 주소 중 하나를 받습니다. 최소 서브넷 마스크는 활성/수동 구성의 경우 29비트이고 활성/활성 구성의 경우 28비트입니다.

범위를 추가한 후 다음 섹션으로 계속 이동하여 필요한 나머지 설정을 구성합니다.

터널 형식 및 인증 구성

중요합니다

Azure Portal에서는 Azure Active Directory 필드를 Entra로 업데이트하는 중입니다. 참조된 Microsoft Entra ID가 표시되고 포털에 해당 값이 아직 표시되지 않는 경우 Azure Active Directory 값을 선택할 수 있습니다.

  1. 인증에 사용할 디렉터리의 테넌트 ID를 찾습니다. 테넌트 ID를 찾는 데 도움이 필요하면 Microsoft Entra 테넌트 ID를 찾는 방법을 참조하세요.

  2. 터널 형식 및 인증 값을 구성합니다.

    터널 형식, 인증 유형 및 Microsoft Entra 설정에 대한 설정을 보여 주는 스크린샷.

    다음 값을 구성 합니다.

    • 주소 풀: 클라이언트 주소 풀
    • 터널 유형: OpenVPN(SSL)
    • 인증 유형: Microsoft Entra ID

    Microsoft Entra ID 값의 경우 테넌트, 대상 그룹발급자 값에 대해 다음 지침을 사용합니다. {Microsoft ID Entra 테넌트 ID}를 테넌트 ID로 바꾸고, 이 값을 바꿀 때 예에서 {}을 제거하도록 주의해야 합니다.

    • 테넌트: Microsoft Entra ID 테넌트의 TenantID입니다. 구성에 해당하는 테넌트 ID를 입력합니다. 테넌트 URL 끝에 \(백슬래시)가 없는지 확인합니다. 슬래시는 허용됩니다.

      • Azure 공용: https://login.microsoftonline.com/{TenantID}
      • Azure Government: https://login.microsoftonline.us/{TenantID}
      • Azure 독일: https://login-us.microsoftonline.de/{TenantID}
      • 중국 21Vianet: https://login.chinacloudapi.cn/{TenantID}

    • 대상 그룹: Microsoft에 등록된 Azure VPN Client 앱 ID에 해당하는 값입니다. 이 필드에는 사용자 지정 대상 그룹도 지원됩니다.

      • c632b3df-fb67-4d84-bdcf-b95ad541b5c8

    • 발급자: 보안 토큰 서비스의 URL입니다. 발급자 값의 끝에 후행 슬래시를 포함합니다. 그렇지 않으면 연결이 실패할 수 있습니다. 예제:

      • https://sts.windows.net/{Microsoft ID Entra Tenant ID}/

  3. Azure VPN Client 애플리케이션에 대한 관리자 동의 부여를 클릭할 필요가 없습니다. 이 링크는 이전 대상 그룹 값을 사용하는 수동으로 등록된 VPN 클라이언트에만 해당됩니다. Azure Portal에서 페이지가 열립니다.

  4. 설정 구성이 완료되면 페이지 위쪽에서 저장을 클릭합니다.

VPN 클라이언트 프로필 구성 패키지 다운로드

이 섹션에서는 Azure VPN Client 프로필 구성 패키지를 생성하고 다운로드합니다. 이 패키지에는 클라이언트 컴퓨터에서 Azure VPN Client 프로필을 구성하는 데 사용할 수 있는 설정이 포함되어 있습니다.

  1. 지점 및 사이트 간 구성 페이지의 맨 위에서 VPN 클라이언트 다운로드를 클릭합니다. 클라이언트 구성 패키지를 생성하는 데 몇 분이 소요됩니다.

  2. 클라이언트 구성 zip 파일을 사용할 수 있으면 브라우저에 표시됩니다. 게이트웨이와 동일한 이름이 지정됩니다.

  3. 다운로드한 zip 파일을 추출합니다.

  4. 압축 해제된 "AzureVPN" 폴더로 이동합니다.

  5. ‘azurevpnconfig.xml’ 파일의 위치를 기록합니다. azurevpnconfig.xml에는 VPN 연결 설정이 포함되어 있습니다. 또한 이메일 또는 다른 방법을 통해 연결해야 하는 모든 사용자에게 이 파일을 배포할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Microsoft Entra ID 자격 증명이 필요합니다.

Azure VPN Client 구성

다음으로 프로필 구성 패키지를 검사하고, 클라이언트 컴퓨터에 대해 Azure VPN Client를 구성하고, Azure에 연결합니다. 다음 단계 섹션에 나열된 문서를 참조하세요.

다음 단계

Azure VPN Client 구성