콘텐츠로 이동

디렉터리 서비스 설정

사용자 그룹을 관리하려면 디렉터리 서비스가 필요합니다.

Microsoft Azure AD 또는 Active Directory를 사용할 수 있습니다. 어떤 것을 사용할지 결정하는 데 도움이 되도록 다음을 고려하십시오.

  • Azure AD를 사용하는 경우, Azure AD를 ID 공급자로 사용할 수도 있습니다.

  • Active Directory를 사용하는 경우 Okta와 같은 별도의 ID 공급자가 필요합니다.

Sophos 지침에서 Microsoft Azure AD를 설정하는 방법을 보여줍니다.

Azure AD를 사용하여 사용자를 관리하려면 Azure AD 테넌트를 만들고 ZTNA 응용 프로그램을 등록하고 사용자 그룹을 설정해야 합니다.

Azure AD 계정이 이미 있어야 합니다.

참고

최신 도움말은 Microsoft의 Azure AD 설명서를 확인하는 것이 좋습니다.

Azure AD 테넌트 만들기

  1. Azure 포털에 로그인합니다.
  2. Azure Active Directory를 선택합니다.

    Azure 포털

  3. Azure AD 개요에서 테넌트 만들기를 클릭합니다.

    Azure AD 개요

  4. 기본 사항 탭에서 Azure Active Directory를 선택합니다. 그리고 나서 다음: 구성을 클릭합니다.

    Azure AD의 테넌트 기본 사항 탭

  5. 구성 탭에서 조직 및 도메인 이름 세부 정보를 입력합니다. 다음: 검토 + 만들기를 클릭합니다.

    Azure AD의 테넌트 구성 탭

  6. 다음 페이지에서 설정을 검토하고 만들기를 클릭합니다.

    Azure AD에서 테넌트를 만들기 위한 최종 화면

ZTNA 앱 등록

  1. 관리 > 앱 등록을 선택하고 신규 등록을 클릭합니다.

    Azure AD의 앱 등록 페이지

  2. 응용 프로그램 등록 페이지에서 다음과 같이 하십시오.

    1. 이름을 입력하십시오.
    2. 지원되는 기본 계정 유형을 수락합니다.
    3. 리디렉션 URI를 설정합니다. 이 URI는 인증 응답이 전송되는 주소입니다. ZTNA 게이트웨이 도메인 이름(FQDN)을 포함해야 합니다. URI의 예: gw.mycompany.net/oauth2/callback

      여러 게이트웨이 FQDN을 추가할 수 있습니다. 언제든지 FQDN을 더 추가할 수도 있습니다.

    4. 등록을 클릭합니다.

      Azure AD에 응용 프로그램 페이지 등록

  3. 관리 > API 권한을 선택합니다. 그런 다음 권한 추가를 클릭합니다.

    Azure AD의 API 권한 페이지

  4. API 권한 요청에서 사용자 그룹을 읽는 데 필요한 권한을 Sophos Central에 부여합니다. 다음과 같이 Microsoft Graph API 권한을 추가해야 합니다.

    위임된 권한을 선택하고 다음을 추가합니다.

    • Directory.Read.All
    • Group.Read.All
    • openID
    • 프로필(프로필은 openID 권한 집합에 있음)
    • User.Read
    • User.Read.All

    응용 프로그램 권한을 선택하고 다음을 추가합니다.

    • Directory.Read.All

    위임된 권한은 로그인한 사용자가 실행하는 앱을 위한 것입니다. 응용 프로그램 권한을 사용하면 사용자 로그인 없이 서비스를 실행할 수 있습니다.

    API 권한 요청 페이지

  5. 현재, 다른 페이지에서 사용할 수 있는 하나의 Azure AD Graph API 권한도 필요합니다. 이 권한을 찾아서 추가하려면 다음과 같이 하십시오.

    1. API 선택에서 내 조직에서 사용하는 API로 이동합니다.
    2. Windows Azure Active Directory를 검색합니다.

      API 권한 검색

    3. Azure Active Directory Graph 권한 목록을 보려면 검색 결과를 클릭합니다.

    4. 응용 프로그램 권한을 선택합니다.
    5. 권한 추가를 클릭하고 Directory.ReadWrite.All을 추가합니다.

    이 권한은 Sophos Central이 Microsoft Graph API로 완전히 전환될 때까지 필요합니다.

  6. API 권한 페이지에서 이제 추가한 권한을 볼 수 있습니다. 관리자 동의 부여를 클릭하여 권한에 필요한 동의를 제공합니다.

    완료된 API 권한

  7. 앱의 개요 페이지에서 다음 세부 정보를 기록해 둡니다. 이 정보는 나중에 필요합니다.

    • Client ID
    • 테넌트 ID

    Azure AD의 앱 세부 정보

  8. 인증서 및 암호를 클릭합니다. 클라이언트 암호를 만든 후 해당 클라이언트 암호 을 기록해 두고 안전하게 저장하십시오.

    경고

    클라이언트 암호는 다시 표시되지 않습니다. 나중에 복구할 수 없습니다.

    Azure AD의 새 클라이언트 암호

Azure AD 사용자 그룹 만들기

참고

이 섹션에서는 새 사용자 그룹을 만든다고 가정합니다. 기존 그룹을 사용할 수 있지만 보안을 설정해야 합니다. Azure AD에서 만든 그룹은 자동으로 보안이 설정되지만 Microsoft 365 포털에서 만들거나 AD에서 가져온 그룹은 그렇지 않습니다.

Azure AD에서 사용자 그룹을 만들려면 다음과 같이 하십시오.

  1. 디렉터리에 대한 전역 관리자 계정을 사용하여 Azure 포털에 로그인합니다.
  2. Azure Active Directory를 선택합니다.
  3. Active Directory 페이지에서 그룹을 선택합니다. 새 그룹을 클릭합니다.

    Azure AD의 그룹 페이지 스크린샷

  4. 새 그룹 대화 상자에서 필드를 채웁니다.

    1. 그룹 유형을 선택합니다. 이 예에서는 Microsoft 365입니다.
    2. 그룹 이름을 입력합니다.
    3. 그룹 이메일 주소를 입력하거나 표시된 기본 주소를 수락합니다.
    4. 멤버십 유형을 선택합니다. 할당됨을 사용하여 특정 사용자를 선택하고 고유한 권한을 부여할 수 있습니다.
    5. 만들기를 클릭합니다.

      그룹이 만들어졌습니다.

    Azure AD의 새 그룹 대화 상자 스크린샷

  5. 새 그룹 페이지에서 구성원을 클릭합니다. 그러고 나서 다음을 수행합니다.

    1. 구성원 추가를 클릭합니다.
    2. 원하는 사용자를 검색한 후 클릭합니다.
    3. 완료되면 선택을 클릭합니다.

    Azure AD의 구성원 탭 스크린샷

    다음으로, Sophos Central로 이동하여 사용자 그룹을 Azure AD와 동기화합니다.