Microsoft/Azure

Azure P2S VPN 구성 - Azure AD 인증 사용

megapain 2020. 11. 11. 13:25
2020-11-10
 

참고 자료

더보기
Create an Azure Active Directory tenant for P2S OpenVPN protocol connections - https://docs.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-tenant
Azure Active Directory authentication: Configure a VPN client for P2S OpenVPN protocol connections - https://docs.microsoft.com/en-us/azure/vpn-gateway/openvpn-azure-ad-client

 

중요 - 제약 사항

  • Azure AD 인증은 OpenVPN 프로토콜에 대해서만 지원
  • Azure AD 인증 VPN 클라이언트는 Windows 10만 지원 (Version 1809. build 17763.0 이상)
  • Basic sku의 VPN Gateway는 OpenVPN 프로토콜을 지원하지 않음
 

사전 준비

  • Azure AD 테넌트가 있어야 하며, Azure AD의 전역 관리자(Global Admin) 권한이 필요합니다.
  • VPN Gateway는 이미 구성되어 있다고 가정합니다.
 

테스트 환경

아래와 같이 테스트 환경을 준비했습니다.

 
 

1. VPN Gateway에서 Azure AD 인증 사용 설정

 
Azure AD의 Directory ID를 복사합니다.
  • Azure 포털 - Azure Active Directory - Properties - Tenant ID

 
아래 URL에서 common을 Directory ID로 바꾸고, 브라우저에 붙여 넣습니다.
https://login.microsoftonline.com/common/oauth2/authorize?client_id=41b23e61-6c1e-4545-b367-cd054e0ed4b4&response_type=code&redirect_uri=https://portal.azure.com&nonce=1234&prompt=admin_consent
 
 
계정 선택 - 대상 Azure AD 전역 관리자 계정으로 로그온합니다.

 
동의함

 
Azure Active Directory - Enterprise applicaiton에 Azure VPN이 표시됩니다.

 
 

2. Point to Site VPN Gateway 설정

VPN Gateway - Point-to-site configuration - Configure now

 
Address pool : VPN Client가 사용할 IP 주소 풀
Tunnel type : OpenVPN (SSL)
Authentication type : Azure Active Directory
*Availability Zone을 지원하도록 VPN Gateway를 배포한 경우 별도의  Standard Public IP 주소가 필요
Tenant : https://login.microsoftonline.com/{AzureAD TenantID}/
Audience : Azure VPN Enterprise Application ID
Issuer : https://sts.windows.net/{AzureAD TenantID}/
*맨 뒤에 슬래시(/)를 붙여야 함. 그렇지 않으면 연결 실패함.
[Save]
참고) 완료까지 약 40분 소요

 

Download VPN client 를 클릭하여 프로필 파일 다운로드  (zip 파일이 다운로드 됨)

 

압축 파일을 해제하고, AzureVPN 폴더로 들어갑니다. 
azurevpnconfig.xml 은 VPN Client 프로필 파일입니다.
azurevpnconfig.xml에는 VPN 연결에 대한 설정이 포함되어 있으며 Azure VPN 클라이언트 애플리케이션으로 직접 가져올 수 있습니다. 또한 이 파일을 전자 메일이나 기타 수단을 통해 연결해야하는 모든 사용자에게 배포 할 수 있습니다. 사용자가 성공적으로 연결하려면 유효한 Azure AD 자격 증명이 필요합니다.

 
azurevpnconfig.xml 파일을 VPN 사용자에게 전달합니다.
 
 

3. 사용자 PC에서 VPN Client 설치

*중요 
  • Azure AD 인증 VPN 클라이언트는 Windows 10만 지원합니다.
  • Azure VPN Client 를 설치하려면 Windows 10 1809 (build 17763.0) 이상이어야 합니다.

 

사용자의 Windows 10 PC에 VPN Client 설치 파일을 다운로드 합니다.
(https://go.microsoft.com/fwlink/?linkid=2117554)

 
Windows 설정 - 개인 정보 - 백그라운드 앱에서, 백그라운드에서 앱 실행 Azure VPN Client켬(On) 상태인지 확인합니다.

 
 

4. VPN Client 프로필 가져오기

Azure VPN Client 프로그램에 프로필(azurevpnconfig.xml)을 가져옵니다.
Azure VPN Client 실행 - + - 가져오기

 

azurevpnconfig.xml 선택 후 [열기]

 
[저장]

 

 

5. VPN 연결

VPN 에 연결합니다.
[연결]

 
회사 또는 학교 계정 - [계속]

 
로그인
Azure AD 에 등록된 계정(메일 주소)을 사용하여 로그인합니다.

 
VPN이 연결됩니다.

 
Azure VM의 사설 IP 주소로 연결해봅니다.
아래는 Azure의 Windows VM에 RDP로 연결하는 화면입니다.

 

 
 

참고 - 특정 사용자에게만 P2S 연결 권한 부여 방법

 
기본적으로 P2S VPN을 구성하면 Azure AD의 모든 사용자들이 VPN으로 연결 할 수 있습니다.
특정 사용자들만 P2S VPN을 사용하도록 설정하는 방법은 아래와 같습니다.
 
1. Azure VPN Enterprise Application의 속성(Properties)에서 User assignment requiredYes 로 설정하고 저장합니다.

 
2. Azure VPN Enterprise Application의 Users and groups 에서 +Add user를 클릭하고 사용자 계정들을 추가합니다. (Azure AD가 Premium 인 경우 Group을 추가 할 수도 있습니다.)

 
등록한 사용자 계정이 아닌 경우, VPN 연결을 시도하면 아래와 같이 오류가 발생합니다.
The signed in user is not assigned to a role for the application (Azure VPN)

 
 
- 끝 -

 

저작자표시 비영리 변경금지

'Microsoft > Azure' 카테고리의 다른 글

Azure Private DNS zone 배포 및 구성  (0) 2020.11.17
ExpressRoute 구성 절차  (0) 2020.11.14
[참고] Azure VM으로 DNS 구성 후 forwarder 설정  (0) 2020.11.09
Azure Migrate : Hyper-V VM 마이그레이션 #6. 마이그레이션 완료  (0) 2020.11.08
Azure Migrate : Hyper-V VM 마이그레이션 #5. 마이그레이션  (0) 2020.11.08

'Microsoft/Azure'의 다른글

  • 현재글Azure P2S VPN 구성 - Azure AD 인증 사용

관련글

댓글

티스토리툴바