다음을 통해 공유

Microsoft Entra 개인 액세스 및 Microsoft Entra 애플리케이션 프록시에 대한 프라이빗 네트워크 커넥터를 구성하는 방법

  • 아티클

커넥트는 프라이빗 네트워크의 서버에 배치되고 전역 보안 액세스 서비스에 대한 아웃바운드 연결을 용이하게 하는 경량 에이전트입니다. 백 엔드 리소스 및 애플리케이션에 액세스할 수 있는 Windows Server에 커넥트ors를 설치해야 합니다. 커넥터를 커넥터 그룹으로 나누고, 각 그룹이 특정 애플리케이션에 대한 트래픽을 처리하게 만들 수 있습니다. 커넥터에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해(Understand Microsoft Entra Private Network Connector)를 참조 하세요.

필수 조건

Microsoft Entra ID에 프라이빗 리소스 및 애플리케이션을 추가하려면 다음이 필요합니다.

사용자 ID는 온-프레미스 디렉터리에서 동기화되거나 Microsoft Entra 테넌트 내에서 직접 생성되어야 합니다. ID 동기화를 사용하면 Microsoft Entra ID가 애플리케이션 프록시 게시된 애플리케이션에 대한 액세스 권한을 부여하기 전에 사용자를 미리 인증하고 SSO(Single Sign-On)를 수행하는 데 필요한 사용자 식별자 정보를 가질 수 있습니다.

Windows Server

Microsoft Entra 프라이빗 네트워크 커넥터에는 Windows Server 2012 R2 이상을 실행하는 서버가 필요합니다. 서버에 프라이빗 네트워크 커넥터를 설치합니다. 이 커넥터 서버는 Microsoft Entra 개인 액세스 서비스 또는 애플리케이션 프록시 서비스와 게시하려는 프라이빗 리소스 또는 애플리케이션에 연결해야 합니다.

  • 사용자 환경의 고가용성을 위해 둘 이상의 Windows Server를 사용하는 것이 좋습니다.
  • 커넥터에 필요한 최소 .NET 버전은 v4.7.1 이상입니다.
  • 자세한 내용은 프라이빗 네트워크 커넥터를 참조 하세요.
  • 자세한 내용은 설치된 .NET Framework 버전 확인을 참조하세요.

Important

Windows Server 2019 이상에서 Microsoft Entra 애플리케이션 프록시와 함께 Microsoft Entra 프라이빗 네트워크 커넥터를 사용하는 경우 HTTP 2.0을 사용하지 않도록 설정합니다.

HTTP2 Kerberos 제한 위임WinHttp 제대로 작동하도록 구성 요소에서 프로토콜 지원을 사용하지 않도록 설정합니다. 이는 지원되는 운영 체제의 이전 버전에서는 기본적으로 사용되지 않습니다. 다음 레지스트리 키를 추가하고 서버를 다시 시작하면 Windows Server 2019 이상에서 사용하지 않도록 설정됩니다. 컴퓨터 전체 레지스트리 키입니다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp]
"EnableDefaultHTTP2"=dword:00000000

다음 명령을 사용하여 PowerShell을 통해 키를 설정할 수 있습니다.

Set-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\' -Name EnableDefaultHTTP2 -Value 0

Warning

Microsoft Entra 암호 보호 프록시를 배포한 경우, 같은 컴퓨터에 Microsoft Entra 애플리케이션 프록시와 Microsoft Entra 암호 보호 프록시를 함께 설치하지 마세요. Microsoft Entra 애플리케이션 프록시 및 Microsoft Entra 암호 보호 프록시는 서로 다른 버전의 Microsoft Entra Connect 에이전트 업데이터 서비스를 설치합니다. 이러한 서로 다른 버전은 동일한 머신에 함께 설치하면 호환되지 않습니다.

TLS(전송 계층 보안) 요구 사항

프라이빗 네트워크 커넥터를 설치하기 전에 Windows 커넥터 서버에 TLS 1.2를 사용하도록 설정해야 합니다.

TLS 1.2를 사용하도록 설정하려면:

  1. 레지스트리 키를 설정합니다.

    Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SchUseStrongCrypto"=dword:00000001

  2. 서버를 다시 시작합니다.

참고 항목

Microsoft는 다른 루트 CA(인증 기관)의 TLS 인증서를 사용하도록 Azure 서비스를 업데이트하 고 있습니다. 이렇게 변경하는 이유는 현재 CA 인증서가 CA/브라우저 포럼 기준 요구 사항 중 하나를 준수하지 않기 때문입니다. 자세한 내용은 Azure TLS 인증서 변경을 참조하세요.

커넥터 서버에 대한 권장 사항

  • 커넥터와 애플리케이션 간의 성능을 최적화합니다. 애플리케이션 서버와 가까운 커넥터 서버를 물리적으로 찾습니다. 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용하여 트래픽 흐름 최적화를 참조하세요.
  • 커넥터 서버와 웹 애플리케이션 서버가 동일한 Active Directory에 있는지 확인합니다기본 트러스트할 기본 범위를 지정합니다. 동일한 도메인 또는 트러스팅 도메인에 서버를 배치하는 것은 IWA(Windows 통합 인증) 및 KCD(Kerberos 제한된 위임)에서 SSO(Single Sign-On)을 사용하기 위한 요구 사항입니다. 커넥터 서버와 웹 애플리케이션 서버가 서로 다른 Active Directory에 있는 경우 기본 Single Sign-On에 리소스 기반 위임을 사용합니다.

온-프레미스 환경 준비

먼저 Azure 데이터 센터와 통신하도록 설정하여 Microsoft Entra 애플리케이션 프록시를 위한 환경을 준비합니다. 경로에 방화벽이 있는 경우 열려 있는지 확인합니다. 방화벽이 열려 있으면 커넥터가 애플리케이션 프록시에 대해 HTTPS(TCP) 요청을 수행할 수 있습니다.

Important

Azure Government 클라우드용 커넥터를 설치하는 경우 필수 구성 요소설치 단계를 따릅니다. 이렇게 하려면 다른 URL 세트에 액세스하도록 설정하고 설치를 실행하기 위한 추가 매개 변수가 필요합니다.

포트 열기

아웃바운드 트래픽에 대한 다음 포트를 엽니다.

포트 번호 사용 방법
80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록) 다운로드
443 애플리케이션 프록시 서비스와의 모든 아웃바운드 통신

방화벽이 원래 사용자에 따라 트래픽에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 80 및 443 포트를 엽니다.

URL에 대한 액세스 허용

다음 URL에 대한 액세스를 허용합니다.

URL Port 사용 방법
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 커넥터와 애플리케이션 프록시 클라우드 서비스 간의 통신
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 커넥터는 이러한 URL을 사용하여 인증서를 확인합니다.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS 커넥터는 등록 프로세스 동안 다음과 같은 URL을 사용합니다.
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 80/HTTP 커넥터는 등록 프로세스 동안 다음과 같은 URL을 사용합니다.

방화벽 또는 프록시에서 도메인 접미사에 따라 액세스 규칙을 구성할 수 있는 경우 *.msappproxy.net, *.servicebus.windows.net 및 위의 기타 URL에 대한 연결을 허용할 수 있습니다. 그렇지 않은 경우 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드에 대한 액세스를 허용해야 합니다. IP 범위는 매주 업데이트됩니다.

Important

Microsoft Entra 프라이빗 네트워크 커넥터와 Microsoft Entra 애플리케이션 프록시 클라우드 서비스 간의 아웃바운드 TLS 통신에서 모든 형태의 인라인 검사 및 종료를 방지합니다.

커넥터 설치 및 등록

개인 액세스를 사용하려면 Microsoft Entra 개인 액세스에 사용 중인 각 Windows 서버에 커넥터를 설치합니다. 커넥터는 온-프레미스 애플리케이션 서버에서 Global Secure Access로의 아웃바운드 연결을 관리하는 에이전트입니다. 또한 Microsoft Entra Connect와 같은 다른 인증 에이전트가 설치되어 있는 서버에 커넥터를 설치할 수 있습니다.

참고 항목

개인 액세스에 필요한 최소 커넥터 버전은 1.5.3417.0입니다. 버전 1.5.3437.0부터 설치(업그레이드)를 성공적으로 수행하려면 .NET 버전 4.7.1 이상이 필요합니다.

커넥터를 설치하려면 다음을 수행합니다.

  1. 애플리케이션 프록시를 사용하는 디렉터리의 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

    • 예를 들어, 테넌트 도메인이 contoso.com이면 관리자는 admin@contoso.com 또는 해당 도메인에 있는 다른 관리자 별칭이어야 합니다.

  2. 오른쪽 위 모서리에서 사용자 이름을 선택합니다. 애플리케이션 프록시를 사용하는 디렉터리에 로그인했는지 확인합니다. 디렉터리를 변경해야 할 경우 디렉터리 전환을 선택하고 애플리케이션 프록시를 사용하는 디렉터리를 선택합니다.

  3. Global Secure Access(미리 보기)>연결>커넥터로 이동합니다.

  4. 커넥터 서비스 다운로드를 선택합니다.

    앱 프록시 페이지의 커넥터 서비스 다운로드 단추 스크린샷

  5. 서비스 약관을 참고하세요. 준비가 되면 약관 동의 및 다운로드를 선택합니다.

  6. 창의 맨 아래에서 실행을 선택하여 커넥터를 설치합니다. 설치 마법사가 열립니다.

  7. 마법사의 지침에 따라 서비스를 설치합니다. Microsoft Entra 테넌트에 대한 애플리케이션 프록시에서 커넥터를 등록하라는 메시지가 나타나면 전역 관리자 자격 증명을 제공합니다.

    • IE(Internet Explorer)의 경우: IE 보안 강화 구성이 켜기로 설정되어 있으면 등록 화면이 표시되지 않을 수 있습니다. 액세스하려면 오류 메시지의 지침에 따릅니다. Internet Explorer 보안 강화 구성이 꺼짐으로 설정되어 있는지 확인하세요.

알아야 할 사항

이전에 커넥터를 설치한 경우 최신 버전을 다시 설치합니다. 업그레이드할 때 기존 커넥터를 제거하고 관련 폴더를 모두 삭제합니다. 이전에 릴리스된 버전 및 변경 내용에 대한 정보를 보려면 애플리케이션 프록시: 버전 릴리스 내역을 참조하세요.

온-프레미스 애플리케이션에서 둘 이상의 Windows Server가 설치되도록 선택하려는 경우 각 서버에서 커넥터를 설치하고 등록해야 합니다. 커넥터를 커넥터 그룹으로 구성할 수 있습니다. 자세한 내용은 커넥터 그룹을 참조 하세요.

커넥터, 용량 계획 및 최신 상태를 유지하는 방법에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해를 참조 하세요.

참고 항목

Microsoft Entra 개인 액세스 다중 지역 커넥터를 지원하지 않습니다. 커넥터의 클라우드 서비스 인스턴스는 기본 지역과 다른 지역에 커넥터가 설치되어 있더라도 Microsoft Entra 테넌트(또는 가장 가까운 지역)와 동일한 지역에서 선택됩니다.

설치 및 등록 확인

Global Secure Access 포털 또는 Windows Server를 사용하여 새 커넥터가 올바르게 설치되었는지 확인할 수 있습니다.

애플리케이션 프록시 문제 해결에 대한 자세한 내용은 애플리케이션 프록시 애플리케이션 문제 디버그를 참조하세요.

Microsoft Entra 관리 센터를 통해 설치 확인

커넥터가 설치되고 올바르게 등록되었는지 확인하려면:

  1. 애플리케이션 프록시를 사용하는 디렉터리의 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. Global Secure Access(미리 보기)>연결>커넥터로 이동

    • 모든 커넥터 및 커넥터 그룹이 이 페이지에 나타납니다.

  3. 커넥터를 검토하여 세부 정보를 확인합니다.

    • 커넥터가 아직 확장되지 않은 경우 커넥터를 확장하여 세부 정보를 확인합니다.
    • 활성 녹색 레이블은 커넥터 서비스에 연결할 수 있음을 나타냅니다. 그러나 레이블이 녹색인 경우에도 네트워크 문제로 인해 커넥터에서 메시지를 수신하지 않도록 차단할 수 있습니다.

    커넥터 그룹 및 커넥터 그룹 세부 정보의 스크린샷.

커넥터 설치에 대한 자세한 도움말은 커넥터 문제 해결을 참조 하세요.

Windows 서버를 통해 설치 확인

커넥터가 설치되고 올바르게 등록되었는지 확인하려면:

  1. Windows 키를 선택하고 services.msc를 입력하여 Windows Services Manager를 엽니다.

  2. 다음 서비스의 상태가 실행 중인지 확인합니다.

    • Microsoft Entra 프라이빗 네트워크 커넥터 는 연결을 사용하도록 설정합니다.
    • Microsoft Entra 프라이빗 네트워크 커넥터 업데이트는 자동화된 업데이트 서비스입니다.
    • 업데이터에서 새 버전의 커넥터가 있는지 확인하고 필요에 따라 커넥터를 업데이트합니다.

    Windows Services Manager의 프라이빗 네트워크 커넥터 및 커넥터 업데이트 서비스 스크린샷

  3. 서비스의 상태가 실행 중이 아닌 경우 각 서비스를 마우스 오른쪽 단추로 클릭하고 시작을 선택합니다.

커넥터 그룹 만들기

원하는 수 만큼 커넥터 그룹을 만들려면 다음을 수행합니다.

  1. Global Secure Access(미리 보기)>연결>커넥터로 이동합니다.
  2. 새 커넥터 그룹을 선택합니다.
  3. 새 커넥터 그룹에 이름을 지정한 다음 드롭다운 메뉴를 사용하여 이 그룹에 속하는 커넥터를 선택합니다.
  4. 저장을 선택합니다.

커넥터 그룹에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 그룹 이해를 참조하세요.

사용 조건

Microsoft Entra 프라이빗 액세스 및 Microsoft Entra 인터넷 액세스 미리 보기 환경 및 기능의 사용에는 서비스를 획득한 계약의 미리 보기 온라인 서비스 이용 약관이 적용됩니다. 미리 보기에는 온라인 서비스용 범용 사용 약관Microsoft 제품 및 서비스 데이터 보호 부록("DPA") 및 미리 보기와 함께 제공되는 기타 고지 사항에 자세히 설명된 대로 보안, 규정 준수 및 개인 정보 보호 약정이 축소되거나 다르게 적용될 수 있습니다.

다음 단계

Microsoft Entra 개인 액세스를 시작하기 위한 다음 단계는 빠른 액세스 또는 Global Secure Access 애플리케이션을 구성하는 것입니다.