전역 보안 액세스(전역 보안 액세스) 애플리케이션을 사용하여 앱별 액세스를 구성하는 방법
Microsoft Entra 개인 액세스는 조직의 내부 리소스에 대한 보안 액세스를 제공합니다. 전역 보안 액세스 애플리케이션을 만들고 보호하려는 내부 프라이빗 리소스를 지정합니다. 전역 보안 액세스 애플리케이션을 구성하면 내부 리소스에 대한 앱별 액세스가 만들어집니다. 전역 보안 액세스(전역 보안 액세스) 애플리케이션은 앱별로 리소스에 액세스하는 방법을 관리하는 보다 자세한 기능을 제공합니다.
이 문서에서는 전역 보안 액세스 애플리케이션을 사용하여 앱별 액세스를 구성하는 방법을 설명합니다.
필수 조건
전역 보안 액세스 앱을 구성하려면 다음이 필요합니다.
- Microsoft Entra ID의 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할
- 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
전역 보안 액세스 앱에 필요한 Microsoft Entra 개인 네트워크 커넥터 그룹을 관리하려면 다음이 필요합니다.
- Microsoft Entra ID의 애플리케이션 관리자 역할
- Microsoft Entra ID P1 또는 P2 라이선스
알려진 제한 사항
이 기능에는 하나 이상의 알려진 제한 사항이 있습니다. 이 기능의 알려진 문제 및 제한 사항에 대한 자세한 내용은 전역 보안 액세스대한 알려진 제한 사항을 참조하세요.
대략적인 단계
앱별 액세스는 새로운 전역 보안 액세스 앱을 만들어 구성됩니다. 앱을 만들고, 커넥터 그룹을 선택하고, 네트워크 액세스 세그먼트를 추가합니다. 이러한 설정은 사용자 및 그룹을 할당할 수 있는 개별 앱을 구성합니다.
앱별 액세스를 구성하려면 하나 이상의 활성 Microsoft Entra 애플리케이션 프록시 커넥터가 있는 커넥터 그룹이 있어야 합니다. 이 커넥터 그룹은 이 새 애플리케이션에 대한 트래픽을 처리합니다. 커넥터를 사용하면 네트워크 및 커넥터별로 앱을 격리할 수 있습니다.
요약하면 전체적인 과정은 다음과 같습니다.
하나 이상의 활성 개인 네트워크 커넥터가 있는 커넥터 그룹을 만듭니다.
- 커넥터 그룹이 이미 있는 경우 최신 버전을 사용하고 있는지 확인합니다.
개인 네트워크 커넥터 그룹 만들기
전역 보안 액세스 앱을 구성하려면 하나 이상의 활성 개인 네트워크 커넥터가 있는 커넥터 그룹이 있어야 합니다.
아직 커넥터를 설정하지 않은 경우 커넥터 구성을 참조하세요.
참고 항목
이전에 커넥터를 설치한 경우 최신 버전을 다시 설치합니다. 업그레이드할 때 기존 커넥터를 제거하고 관련 폴더를 모두 삭제합니다.
개인 액세스에 필요한 최소 커넥터 버전은 1.5.3417.0입니다.
전역 보안 액세스 애플리케이션 만들기
새 앱을 만들려면 이름을 제공하고 커넥터 그룹을 선택한 다음 애플리케이션 세그먼트를 추가합니다. 앱 세그먼트에는 서비스를 통해 터널링하려는 FQDN(정규화된 도메인 이름)과 IP 주소가 포함됩니다. 세 단계를 모두 동시에 완료하거나 초기 설정이 완료된 후 추가할 수 있습니다.
이름 및 커넥터 그룹 선택
적절한 역할로 Microsoft Entra 관리 센터에 로그인합니다.
글로벌 보안 액세스>> 엔터프라이즈 애플리케이션으로 이동합니다.
새 애플리케이션을 선택합니다.
앱의 이름을 입력합니다.
드롭다운 메뉴에서 커넥터 그룹을 선택합니다.
Important
애플리케이션을 만들려면 하나 이상의 활성 커넥터가 있어야 합니다. 커넥터에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해(Understand the Microsoft Entra Private Network Connector)를 참조하세요.
프라이빗 리소스를 추가하지 않고 앱을 만들려면 페이지 하단의 저장 단추를 선택합니다.
애플리케이션 세그먼트 추가
애플리케이션 세그먼트 추가 프로세스에서는 전역 보안 액세스 앱의 트래픽에 포함할 FQDN과 IP 주소를 정의합니다. 앱을 만들 때 사이트를 추가하고 나중에 돌아와서 더 추가하거나 편집할 수 있습니다.
FQDN(정규화된 도메인 이름), IP 주소 및 IP 주소 범위를 추가할 수 있습니다. 각 애플리케이션 세그먼트 내에서 여러 포트 및 포트 범위를 추가할 수 있습니다.
Microsoft Entra 관리 센터에 로그인합니다.
글로벌 보안 액세스>> 엔터프라이즈 애플리케이션으로 이동합니다.
새 애플리케이션을 선택합니다.
애플리케이션 세그먼트 추가를 선택합니다.
열리는 애플리케이션 세그먼트 만들기 패널에서 대상 유형을 선택합니다.
선택한 대상 유형에 대한 적절한 세부 정보를 입력합니다. 선택한 항목에 따라 후속 필드가 그에 따라 변경됩니다.
-
IP 주소:
- 네트워크에서 디바이스를 식별하는 IPv4(인터넷 프로토콜 버전 4) 주소(예: 192.168.2.1)입니다.
- 포함할 포트를 제공합니다.
-
정규화된 도메인 이름(와일드카드 FQDN 포함):
- DNS(Domain Name System)에서 컴퓨터나 호스트의 정확한 위치를 지정하는 도메인 이름입니다.
- 포함할 포트를 제공합니다.
- NetBIOS는 지원되지 않습니다. 예를 들어
contoso.local/app1
대신contoso/app1.
을(를) 사용합니다.
-
IP 주소 범위(CIDR):
- CIDR(클래스 없는 도메인 간 라우팅)은 IP 주소 뒤에 서브넷 마스크의 네트워크 비트 수를 나타내는 접미사가 오는 IP 주소 범위를 나타냅니다.
- 예를 들어 192.168.2.0/24에서 IP 주소의 첫 24비트는 네트워크 주소를 나타내고 나머지 8비트는 호스트 주소를 나타냅니다.
- 시작 주소, 네트워크 마스크 및 포트를 제공합니다.
-
IP 주소 범위(IP~IP):
- 시작 IP(예: 192.168.2.1)에서 끝 IP(예: 192.168.2.10까지의 IP 주소 범위입니다.
- IP 주소 시작, 끝 및 포트를 제공합니다.
-
IP 주소:
포트를 입력하고 적용 단추를 선택합니다.
- 여러 포트를 쉼표로 구분합니다.
- 하이픈을 사용하여 포트 범위를 지정합니다.
- 변경 내용을 적용하면 값 사이의 공백이 제거됩니다.
- 예들 들어
400-500, 80, 443
입니다.
다음 표에는 가장 일반적으로 사용되는 포트와 관련 네트워킹 프로토콜이 나와 있습니다.
포트 프로토콜 22
Secure Shell (SSH)
80
Hypertext Transfer Protocol (HTTP)
443
Hypertext Transfer Protocol Secure (HTTPS)
445
Server Message Block (SMB) file sharing
3389
Remote Desktop Protocol (RDP)
저장을 선택합니다.
참고 항목
앱에 최대 500개의 애플리케이션 세그먼트를 추가할 수 있습니다.
빠른 액세스 앱과 개인 액세스 앱 간에 FQDN, IP 주소 및 IP 범위를 겹치지 마세요.
사용자 및 그룹 할당
사용자 및/또는 그룹을 앱에 할당하여 만든 앱에 대한 액세스 권한을 부여해야 합니다. 자세한 내용은 애플리케이션에 사용자 및 그룹 할당을 참조하세요.
- Microsoft Entra 관리 센터에 로그인합니다.
- 글로벌 보안 액세스>> 엔터프라이즈 애플리케이션으로 이동합니다.
- 애플리케이션을 검색하여 선택합니다.
- 사이드 메뉴에서 사용자 및 그룹을 선택합니다.
- 필요에 따라 사용자 및 그룹을 추가합니다.
참고 항목
사용자는 앱에 직접 할당되거나 앱에 할당된 그룹에 할당되어야 합니다. 중첩된 그룹은 지원되지 않습니다.
애플리케이션 세그먼트 업데이트
언제든지 앱에 포함된 FQDN 및 IP 주소를 추가하거나 업데이트할 수 있습니다.
- Microsoft Entra 관리 센터에 로그인합니다.
- 글로벌 보안 액세스>> 엔터프라이즈 애플리케이션으로 이동합니다.
- 애플리케이션을 검색하여 선택합니다.
- 사이드 메뉴에서 네트워크 액세스 속성을 선택합니다.
- 새 FQDN 또는 IP 주소를 추가하려면 애플리케이션 세그먼트 추가를 선택합니다.
- 기존 앱을 편집하려면 대상 유형 열에서 선택합니다.
전역 보안 액세스 클라이언트를 통한 액세스 사용 또는 사용 안 함
전역 보안 액세스 클라이언트를 사용하여 전역 보안 액세스 앱에 대한 액세스를 사용하거나 사용하지 않도록 설정할 수 있습니다. 이 옵션은 기본적으로 선택되어 있지만 사용하지 않도록 설정할 수 있으므로 앱 세그먼트에 포함된 FQDN 및 IP 주소가 서비스를 통해 터널링되지 않습니다.
조건부 액세스 정책 할당
앱별 액세스에 대한 조건부 액세스 정책은 각 앱의 애플리케이션 수준에서 구성됩니다. 조건부 액세스 정책은 다음 두 위치에서 만들어지고 애플리케이션에 적용될 수 있습니다.
- 글로벌 보안 액세스>> 엔터프라이즈 애플리케이션으로 이동합니다. 애플리케이션을 선택한 다음 사이드 메뉴에서 조건부 액세스를 선택합니다.
- 보호>조건부 액세스>정책으로 이동합니다. +새 정책 만들기를 선택합니다.
자세한 내용은 개인 액세스 앱에 조건부 액세스 정책 적용을 참조하세요.
Microsoft Entra 개인 액세스 사용
앱을 구성하고, 프라이빗 리소스를 추가하고, 사용자를 앱에 할당한 후에는 개인 액세스 트래픽 전달 프로필을 사용하도록 설정할 수 있습니다. 전역 보안 액세스 앱을 구성하기 전에 프로필을 사용하도록 설정할 수 있지만 앱과 프로필을 구성하지 않으면 전달할 트래픽이 없습니다.
- Microsoft Entra 관리 센터에 로그인합니다.
- 전역 보안 액세스>연결>트래픽 전달로 이동합니다.
- 개인 액세스 프로필 토글을 선택합니다.
이 다이어그램은 원격 데스크톱 프로토콜을 사용하여 프라이빗 네트워크의 서버에 연결하려고 할 때 Microsoft Entra 개인 액세스 작동하는 방법을 보여 줍니다.
Step | Description |
---|---|
1 | 사용자는 대상 서버에 매핑되는 FQDN에 대한 RDP 세션을 시작합니다. GSA 클라이언트는 트래픽을 가로채서 SSE Edge로 터널합니다. |
2 | SSE Edge는 사용자가 애플리케이션 및 조건부 액세스 정책에 할당되었는지 여부와 같이 Microsoft Entra ID에 저장된 정책을 평가합니다. |
3 | 사용자에게 권한이 부여되면 Microsoft Entra ID는 Private Access 애플리케이션에 대한 토큰을 발급합니다. |
4 | 트래픽이 릴리스되어 애플리케이션의 액세스 토큰과 함께 Private Access 서비스로 계속 진행됩니다. |
5 | Private Access 서비스는 액세스 토큰의 유효성을 검사하고 연결이 프라이빗 액세스 백 엔드 서비스로 조정됩니다. |
6 | 연결이 프라이빗 네트워크 커넥터로 조정됩니다. |
7 | 프라이빗 네트워크 커넥터는 DNS 쿼리를 수행하여 대상 서버의 IP 주소를 식별합니다. |
8 | 프라이빗 네트워크의 DNS 서비스는 응답을 보냅니다. |
9 | 프라이빗 네트워크 커넥터는 트래픽을 대상 서버로 전달합니다. RDP 세션이 협상된 후(RDP 인증 포함) 설정됩니다. |
다음 단계
Microsoft Entra 개인 액세스를 시작하기 위한 다음 단계는 개인 액세스 트래픽 전달 프로필을 사용하도록 설정하는 것입니다.
개인 액세스에 대한 자세한 내용은 다음 문서를 참조하세요.