Microsoft Entra ID 사용하여 VPN 연결에 대한 조건부 액세스 구성

이 가이드에서는 Microsoft Entra 조건부 액세스 사용하여 VPN 사용자에게 리소스에 대한 액세스 권한을 부여하는 방법을 보여 줍니다. VPN(가상 사설망) 연결에 Microsoft Entra 조건부 액세스 사용하면 VPN 연결을 보호할 수 있습니다. 조건부 액세스는 Microsoft Entra 연결된 애플리케이션에 대한 액세스 규칙을 만드는 데 사용할 수 있는 정책 기반 평가 엔진입니다.

Prerequisites

VPN에 대한 조건부 액세스 구성을 시작하기 전에 다음 필수 구성 요소를 완료합니다.

EAP-TLS를 사용하여 CRL(인증서 해지 목록) 확인 무시

NPS(네트워크 정책 서버)가 인증서 체인(루트 인증서 포함)의 해지 검사를 완료하지 않으면 EAP-TLS 클라이언트가 연결할 수 없습니다. Microsoft Entra ID 사용자가 발급한 클라우드 인증서는 수명이 1시간인 수명이 짧은 인증서이므로 CRL이 없습니다. CRL이 없는 경우를 무시하도록 NPS에서 EAP를 구성해야 합니다. 인증 방법은 EAP-TLS이므로 EAP\13 아래에 이 레지스트리 값만 추가하면 됩니다. 다른 EAP 인증 방법을 사용하는 경우 해당 메서드 아래에 레지스트리 값도 추가합니다.

이 섹션에서는 IgnoreNoRevocationCheckNoRevocationCheck를 추가합니다. 기본적으로 IgnoreNoRevocationCheckNoRevocationCheck 는 0(사용 안 함)으로 설정됩니다.

NPS CRL 레지스트리 설정에 대한 자세한 내용은 네트워크 정책 서버 인증서 해지 목록 확인 레지스트리 설정 구성을 참조하세요.

Important

Windows 라우팅 및 RRAS(원격 액세스 서버)가 NPS를 사용하여 두 번째 NPS에 대한 RADIUS 호출을 프록시하는 경우 두 서버에서 IgnoreNoRevocationCheck=1 설정해야 합니다.

이 레지스트리 변경을 구현하지 않으면 PEAP에서 클라우드 인증서를 사용하는 IKEv2 연결이 실패하지만 온-프레미스 CA에서 발급된 클라이언트 인증 인증서를 사용하는 IKEv2 연결은 계속 작동합니다.

  1. NPS에서 regedit.exe 엽니다.

  2. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13으로 이동하십시오.

  3. 편집 > 새로 만들기를 선택하고 DWORD(32비트) 값을 선택합니다. IgnoreNoRevocationCheck를 입력합니다.

  4. IgnoreNoRevocationCheck를 두 번 클릭하고 값 데이터를 1로 설정합니다.

  5. 새로 만들기 편집 > 을 선택하고 DWORD(32비트) 값을 선택합니다. NoRevocationCheck를 입력합니다.

  6. NoRevocationCheck를 두 번 클릭하고 값 데이터를 1로 설정합니다.

  7. 확인을 선택하고 서버를 다시 부팅합니다. RRAS 및 NPS 서비스를 다시 시작하는 것만으로는 충분하지 않습니다.

레지스트리 경로 EAP 확장
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\13 EAP-TLS
HKLM\SYSTEM\CurrentControlSet\Services\RasMan\PPP\EAP\25 PEAP

Microsoft Entra ID 사용하여 VPN 인증을 위한 루트 인증서 만들기

이 섹션에서는 Microsoft Entra ID 사용하여 VPN 인증을 위한 조건부 액세스 루트 인증서를 구성합니다. 첫 번째 인증서를 만들 때 Microsoft Entra ID 테넌트에 VPN Server라는 클라우드 앱을 자동으로 만듭니다. 관리자는 VPN 연결이 완전히 작동하기 전에 이 애플리케이션에 대한 관리자 동의를 한 번 부여해야 합니다. VPN 연결에 대한 조건부 액세스를 구성하려면 다음 단계를 완료합니다.

  1. Azure 포털에서 VPN 인증서를 만듭니다.

  2. VPN 인증서를 다운로드합니다.

  3. VPN 및 NPS 서버에 인증서를 배포합니다.

Important

Azure 포털에서 VPN 인증서를 만들 때 Microsoft Entra ID 즉시 VPN 클라이언트에 수명이 짧은 인증서를 발급하기 시작합니다. VPN 클라이언트에 대한 자격 증명 유효성 검사와 관련된 문제를 방지하려면 VPN 인증서를 VPN 서버에 즉시 배포하는 것이 중요합니다.

사용자가 VPN 연결을 시도하면 VPN 클라이언트가 Windows 클라이언트에서 WAM(웹 계정 관리자)을 호출합니다. WAM은 VPN Server 클라우드 앱을 호출합니다. 조건부 액세스 정책의 조건 및 제어가 충족되면 Microsoft Entra ID WAM에 단기(1시간) 인증서의 형태로 토큰을 발급합니다. WAM은 사용자의 인증서 저장소에 인증서를 배치하고 VPN 클라이언트에 제어를 전달합니다.

그런 다음, VPN 클라이언트는 자격 증명 유효성 검사를 위해 Microsoft Entra ID 발급한 인증서를 VPN으로 보냅니다. 

Note

Microsoft Entra ID VPN 연결 창에서 가장 최근에 만든 인증서를 발급자로 사용합니다. Microsoft Entra 조건부 액세스 VPN 연결 리프 인증서는 이제 KB5014754 도입된 인증서 기반 인증 요구 사항인 강력한 인증서 매핑을 지원합니다. 이제 VPN 연결 리프 인증서에는 onPremisesSecurityIdentifier 특성에서 가져온 사용자 SID의 인코딩된 버전이 포함된 SID 확장 (1.3.6.1.4.311.25.2)이 포함됩니다.

루트 인증서 만들기

  1. Azure 포털에 글로벌 관리자 계정으로 로그인합니다.

  2. 왼쪽 메뉴에서 Microsoft Entra ID 선택합니다.

  3. Microsoft Entra ID 페이지의 관리 섹션에서 Security 선택합니다.

  4. 보안 페이지의 보호 섹션에서 조건부 액세스를 선택합니다.

  5. 조건부 액세스 | 정책 페이지의 관리 섹션에서 VPN 연결을 선택합니다.

  6. VPN 연결 페이지에서 새 인증서를 선택합니다.

  7. 페이지에서 다음을 수행합니다.

    1. 선택 기간의 경우 1년, 2년 또는 3년을 선택합니다.
    2. 선택하고생성합니다.

  8. 테넌트에서 만든 첫 번째 VPN 인증서의 경우 VPN Server 애플리케이션에 대한 관리자 동의를 요청하는 경고 배너가 나타납니다. 관리자 동의 부여(전역 관리자 역할 필요)를 선택하고 요청된 권한을 수락합니다. 테넌트당 한 번만 이 작업을 수행해야 합니다. 후속 인증서 작업에는 다시 동의가 필요하지 않습니다.

Note

동의 배너가 표시되지 않으면 VPN Server 애플리케이션에 필요한 권한이 있습니다.

조건부 액세스 정책 구성

이 섹션에서 VPN 연결에 대한 조건부 액세스 정책을 구성합니다. VPN 연결 창에서 첫 번째 루트 인증서를 만들 때 테넌트에 VPN Server 클라우드 애플리케이션을 자동으로 만듭니다.

VPN 사용자 그룹에 할당하고 클라우드 앱을 VPN Server로 범위 지정하는 조건부 액세스 정책을 만듭니다.

  • 사용자: VPN 사용자
  • 클라우드 앱: VPN Server
  • 권한 부여(액세스 제어): 다단계 인증이 필요합니다. 원하는 경우 다른 컨트롤을 사용할 수 있습니다.

절차: 이 단계에서는 가장 기본적인 조건부 액세스 정책 만들기에 대해 설명합니다. 원하는 경우 조건 및 컨트롤을 더 추가할 수 있습니다.

  1. 조건부 액세스 페이지의 위쪽 도구 모음에서 추가를 선택합니다.

    도구 모음에 추가 단추가 강조 표시된 조건부 액세스 페이지의 스크린샷

  2. 페이지의 이름 상자에 정책의 이름을 입력합니다. 예를 들어 VPN 정책을 입력합니다.

    할당이 구성되기 전에 입력할 준비가 된 이름 필드를 보여 주는 조건부 액세스 새 정책 화면의 스크린샷.

  3. 할당 섹션에서 사용자 및 그룹을 선택합니다.

    사용자 및 그룹 옵션의 스크린샷.

  4. 사용자 및 그룹 페이지에서 다음을 수행합니다.

    사용자 및 그룹 선택 옵션이 강조 표시된 사용자 및 그룹 페이지의 스크린샷

    1. 사용자 및 그룹 선택을 선택합니다.

    2. 선택.

    3. 선택 페이지에서 VPN 사용자 그룹을 선택한 후, 선택을 클릭합니다.

    4. 사용자 및 그룹 페이지에서 완료를 선택합니다.

  5. 페이지에서 다음을 수행합니다.

    클라우드 앱을 선택한 후 선택 가능한 앱 옵션을 강조 표시하는 할당 인터페이스의 스크린샷

    1. 할당 섹션에서 클라우드 앱을 선택합니다.

    2. 클라우드 앱 페이지에서 앱선택을 선택합니다.

    3. 선택.

    4. 선택 페이지에서 VPN 서버를 선택합니다.

  6. [새] 페이지에서 [권한 부여] 페이지를 열려면 [컨트롤] 섹션에서 [권한 부여]를 선택합니다.

    승인 옵션의 스크린샷.

  7. Grant 페이지에서 작업을 수행합니다.

    정책 설정의 일부로 강조 표시된 다단계 인증 필요를 보여 주는 권한 부여 컨트롤의 스크린샷

    1. 다단계 인증 필요를 선택합니다.

    2. 선택.

  8. [새] 페이지에서 [정책 활성화][켜기]로 설정합니다.

    정책 사용이 켜진 새 페이지의 스크린샷.

  9. 페이지에서 만들기를 선택합니다.

온-프레미스 AD에 조건부 액세스 루트 인증서 배포

이 섹션에서는 신뢰할 수 있는 루트 인증서를 VPN 인증을 위한 온-프레미스 AD에 배포합니다.

  1. VPN 연결 페이지에서 인증서 다운로드를 선택합니다.

    Note

    base64 인증서 다운로드 옵션은 배포를 위해 base64 인증서가 필요한 일부 구성에 사용할 수 있습니다.

  2. 엔터프라이즈 관리자 권한으로 도메인에 가입된 컴퓨터에 로그인하고 관리자 명령 프롬프트에서 다음 명령을 실행하여 클라우드 루트 인증서를 Enterprise NTauth 저장소에 추가합니다.

    Note

    VPN 서버가 Active Directory 도메인에 조인되지 않은 환경의 경우 클라우드 루트 인증서를 Trusted Root Authentication Authorities 저장소에 수동으로 추가해야 합니다.

    Command Description
    certutil -dspublish -f VpnCert.cer RootCA CN=AIA 및 CN=Certification Authorities 컨테이너 아래에 두 개의 Microsoft VPN 루트 CA gen 1 컨테이너를 생성하고, 각 루트 인증서를 두 Microsoft VPN 루트 CA gen 1 컨테이너의 cACertificate 속성 값으로 게시합니다.
    certutil -dspublish -f VpnCert.cer NTAuthCA CN=AIACN=인증 기관 컨테이너 아래 하나의 CN=NTAuthCertificates 컨테이너를 만들고, 각 루트 인증서를 CN=NTAuthCertificates 컨테이너의 cACertificate 특성 값으로 게시합니다.
    gpupdate /force Windows 서버 및 클라이언트 컴퓨터에 루트 인증서 추가를 신속하게 처리합니다.

  3. 루트 인증서가 Enterprise NTauth 스토어에 있고 신뢰할 수 있는 것으로 표시되는지 확인합니다.

    1. 인증 기관 관리 도구가 설치된 엔터프라이즈 관리자 권한이 있는 서버에 로그인합니다.

      Note

      기본적으로 인증 기관 관리 도구 는 인증 기관 서버에 설치됩니다. Server 관리자에서 역할 관리 도구의 일부로 다른 멤버 서버에 설치할 수 있습니다.

    2. 시작 메뉴에서 pkiview.msc를 입력하여 Enterprise PKI 대화 상자를 엽니다.

    3. Enterprise PKI를 마우스 오른쪽 단추로 클릭하고 AD 컨테이너 관리를 선택합니다.

    4. 각 Microsoft VPN 루트 CA gen 1 인증서가 다음 아래에 있는지 확인합니다.

      • NTAuthCertificates
      • AIA 컨테이너
      • 인증 기관 컨테이너

Windows 10 디바이스에 대한 OMA-DM 기반 VPNv2 프로필 만들기

이 섹션에서는 Intune을 사용하여 VPN 디바이스 구성 정책을 배포하여 OMA-DM 기반 VPNv2 프로필을 만듭니다.

  1. Azure 포털에서 Intune>Device Configuration>프로파일을 선택하고, Intune을 사용하여 VPN 클라이언트를 구성하면서 만든 VPN 프로필을 선택합니다.

  2. 정책 편집기에서 속성>설정>기본 VPN을 선택합니다. VPN 클라이언트에 검색된 첫 번째 인증서를 사용하는 대신 사용자의 인증서 저장소에서 Microsoft Entra 조건부 액세스 인증서를 검색하는 데 필요한 논리를 제공하는 필터를 포함하도록 기존 EAP Xml 확장합니다.

    Note

    이 필터가 없으면 VPN 클라이언트가 온-프레미스 인증 기관에서 발급한 사용자 인증서를 검색하여 VPN 연결이 실패할 수 있습니다.

    인증서 필터링을 위해 TLSExtensions 및 EKUMapping이 추가된 EAP XML 편집기를 표시하는 Intune VPN 프로필 설정의 스크린샷

  3. </AcceptServerName></EapType>으로 끝나는 섹션을 찾아 다음 두 값 사이에 다음 문자열을 삽입하여 VPN 클라이언트에 Microsoft Entra 조건부 액세스 인증서를 선택하는 논리를 제공합니다.

    <TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>

  4. 조건부 액세스 창에서 이 VPN 연결에 대한 조건부 액세스를사용으로 설정합니다.

    이 설정을 사용하도록 설정하면 VPNv2 프로필 XML에서 DeviceCompliance<Enabled><true>/Enabled< 설정이 변경>됩니다.

    Azure 포털의 조건부 액세스 창 스크린샷으로, 이 VPN 연결에 대한 조건부 액세스가 사용 상태로 설정되어 있습니다.

  5. 확인을 선택합니다.

  6. 할당을 선택합니다. 포함 탭에서 포함할 그룹 선택을 선택합니다.

  7. 이 정책을 받는 올바른 그룹을 선택하고 저장을 선택합니다.

    조건부 액세스 정책의 할당 섹션 스크린샷으로, 포함 탭과 그룹 선택 옵션을 보여줍니다.

클라이언트에서 MDM 정책 동기화 강제 적용

VPN 프로필이 클라이언트 디바이스에 표시되지 않는 경우 설정>네트워크 및 인터넷>VPN에서 MDM 정책을 강제로 동기화할 수 있습니다.

  1. 도메인에 가입된 클라이언트 컴퓨터에 VPN 사용자 그룹의 구성원으로 로그인합니다.

  2. 시작 메뉴에서 계정을 입력하고 Enter 키를 누릅니.

  3. 왼쪽 탐색 창에서 회사 또는 학교 액세스를 선택합니다.

  4. 회사 또는 학교 액세스에서 \domain< MDM에 >연결을 선택하고 정보를 선택합니다.

  5. 동기화를 선택하고 설정>네트워크 및 인터넷>VPN 아래에 VPN 프로필이 표시되는지 확인합니다.

관련 콘텐츠

  • Last updated on