Microsoft Intune로 Windows 10 이상 클라이언트에 Always On VPN 프로필 배포

본 안내 문서에서는 Intune을 활용하여 Always On VPN 프로필을 생성하고 배포하는 절차를 안내합니다.

그러나 사용자 지정 VPN profileXML을 만들려면 Intune을 사용하여 ProfileXML 적용의 지침을 따릅니다.

필수 조건

Intune은 Microsoft Entra 사용자 그룹을 사용하므로 다음을 수행해야 합니다.

• 인증을 위해 사용자 및 디바이스 인증서를 발급할 수 있는 프라이빗 키 인프라 (PKI)가 있는지 확인합니다. Intune용 인증서에 대한 자세한 내용은, Microsoft Intune에서 인증에 인증서 사용을 참조 하세요.

• VPN 사용자와 연결된 Microsoft Entra 사용자 그룹을 만들고 필요에 따라 그룹에 새 사용자를 할당합니다.

• VPN 사용자에게 VPN 서버 연결 권한이 있는지 확인합니다.

확장할 수 있는 인증 프로토콜 (EAP) 구성 XML 만들기

이 섹션에서는 확장할 수 있는 인증 프로토콜 (EAP) 구성 XML을 만듭니다.

1. 텍스트 편집기로 다음 XML 문자열을 복사합니다.

   Important

   다음 태그에서 'true'에 대한 대문자 혹은 소문자의 다른 조합은 VPN 프로필의 부분 구성을 생성합니다.

   <AlwaysOn>true</AlwaysOn>
   <RememberCredentials>true</RememberCredentials>

   <EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><EapMethod><Type xmlns="http://www.microsoft.com/provisioning/EapCommon">25</Type><VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId><VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType><AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId></EapMethod><Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig"><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>25</Type><EapType xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV1"><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><FastReconnect>true</FastReconnect><InnerEapOptional>false</InnerEapOptional><Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1"><Type>13</Type><EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1"><CredentialsSource><CertificateStore><SimpleCertSelection>true</SimpleCertSelection></CertificateStore></CredentialsSource><ServerValidation><DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation><ServerNames>NPS.contoso.com</ServerNames><TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b </TrustedRootCA></ServerValidation><DifferentUsername>false</DifferentUsername><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">true</AcceptServerName></EapType></Eap><EnableQuarantineChecks>false</EnableQuarantineChecks><RequireCryptoBinding>false</RequireCryptoBinding><PeapExtensions><PerformServerValidation xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</PerformServerValidation><AcceptServerName xmlns="http://www.microsoft.com/provisioning/MsPeapConnectionPropertiesV2">true</AcceptServerName></PeapExtensions></EapType></Eap></Config></EapHostConfig>
   

2. 샘플 XML의 <ServerNames>NPS.contoso.com</ServerNames>를 인증이 이루어지는 도메인에 가입된 NPS의 FQDN으로 바꿉니다.

3. 샘플에서 <TrustedRootCA>5a 89 fe cb 5b 49 a7 0b 1a 52 63 b7 35 ee d7 1c c2 68 be 4b</TrustedRootCA>를 두 위치에서 온-프레미스 루트 인증 기관의 인증서 지문으로 바꿉니다.

   Important

   아래 <TrustedRootCA></TrustedRootCA> 섹션에서 샘플 지문을 사용하지 마세요. TrustedRootCA는 RRAS 및 NPS 서버에 관한 서버 인증 인증서를 발급한 온-프레미스 루트 인증 기관의 인증서 지문이어야 합니다. 클라우드 루트 인증서 또는 중간 발급 CA 인증서의 지문을 사용하는 것은 허용되지 않습니다.

4. 다음 섹션에서 사용하기 위해 XML을 저장합니다.

Always On VPN 구성 정책 생성하기

1. Microsoft Endpoint Manager 관리 센터에 로그인합니다.

2. 디바이스>구성 프로필로 이동합니다.

3. + 프로필 만들기를 선택합니다.

4. 플랫폼에 대해 Windows 10 이상을 선택합니다.

5. 프로필 유형에서, 템플릿을 선택합니다.

6. 템플릿 이름의 경우, VPN을 선택합니다.

7. 만들기를 실행합니다.

8. 기본 사항 탭의 경우:

   • VPN 프로필 이름과 설명(선택 사항)을 입력합니다.

9. 구성 설정 탭의 경우:

   1. 사용자/디바이스 범위에서 이 VPN 프로필을 사용의 경우, 사용자를 선택합니다.

   2. 연결 형식:의 경우, IKEv2를 선택합니다.

   3. 연결 이름: VPN 연결 이름을 입력하세요. 예를 들어, Contoso AutoVPN을 입력합니다.

   4. 서버:의 경우 VPN 서버 주소 및 설명을 추가합니다. 기본 서버의 경우, 기본 서버를 True로 설정합니다.

   5. 내부 DNS를 사용하여 IP 주소를 등록하려면, 비활성화를 선택합니다.

   6. 항상 켜기:의 경우 활성화를 선택하세요.

   7. 각 로그온 시 자격 증명 기억의 경우 보안 정책에 적합한 값을 선택합니다.

   8. 인증 방식의 경우, EAP를 선택하세요.

   9. EAP XML의 경우, EAP XML 만들기에 저장한 XML을 선택합니다.

   10. 디바이스 터널의 경우 비활성화를 선택하세요. 디바이스 터널 에 대한 자세한 내용은, Windows 10에서 VPN 디바이스 터널 구성을 참조하세요.

   11. IKE 보안 연결 매개 변수의 경우

       • 분할 터널링을 활성화로 설정.
       • 신뢰할 수 있는 네트워크 검색을 구성합니다. DNS 접미사를 찾으려면, 현재 네트워크에 연결되어 있고 도메인 프로필이 적용된 시스템에서 Get-NetConnectionProfile > Name 을 사용할 수 있습니다(NetworkCategory:DomainAuthenticated).

   12. 환경에 추가 구성이 필요하지 않은 한 나머지 설정을 기본값으로 둡니다. Intune 에 대한 EAP 프로필 설정에 대한 자세한 내용은 Windows 10/11 및 Windows Holographic 디바이스 설정을 참조하여 Intune을 사용하여 VPN 연결을 추가합니다.

   13. 다음을 선택합니다.

10. 범위 태그 탭의 경우, 기본 설정을 그대로 두고 다음을 선택합니다.

11. 할당 탭의 경우:

    1. 그룹 추가를 선택하고, VPN 사용자 그룹을 추가합니다.

    2. 다음을 선택합니다.

12. 적용 가능성 규칙 탭의 경우, 기본 설정을 그대로 두고 다음을 선택합니다.

13. 검토 + 만들기 탭의 경우, 모든 설정을 검토한 다음, 만들기를 선택합니다.

Intune과 Always On VPN 구성 정책 동기화하기

구성 정책을 테스트하려면 Windows 10+ 클라이언트 컴퓨터에 VPN 사용자로 로그인한 다음 Intune과 동기화합니다.

1. 시작 메뉴에서, 설정을 선택합니다.

2. 설정에서 계정을 선택하고 회사 또는 학교 액세스를 선택합니다.

3. Microsoft Entra ID에 연결할 계정을 선택하고 정보를 선택합니다.

4. 아래로 이동하고 동기화를 선택하여 Intune 정책 평가 및 검색을 강제로 적용합니다.

5. 동기화가 완료되면 설정을 닫습니다. 동기화 후에는 조직의 VPN 서버에 연결할 수 있어야 합니다.

다음 단계

• Always On VPN을 설정하는 방법에 대한 자세한 자습서는 자습서: Always On VPN에 대한 인프라 설정을 참조하세요.

• Microsoft Configuration Manager를 사용해 Always On VPN 프로필을 구성하는 방법을 알아보려면 Microsoft Configuration Manager를 사용하여 Windows 클라이언트에 Always On VPN 프로필 배포 를 참조하세요.

• 구성 서비스 공급자 (CSP)에 대한 Always on VPN 구성 옵션에 대한 자세한 내용은 VPNv2 구성 서비스 공급자 를 참조하세요.

• Microsoft Intune에서 VPN 배포 문제를 해결하려면 Microsoft Intune의 VPN 프로필 문제 해결을 참조하세요.