소개

제로 트러스트 보안 모델 소개

제로 트러스트 보안 모델은 조직 네트워크 내 리소스에 액세스할 때 "절대 신뢰하지 말고 항상 확인하라"는 아이디어를 장려하는 프레임워크입니다. 이는 네트워크 내부 또는 외부에 있는 모든 사용자와 기기를 신뢰할 수 없는 것으로 취급해야 하며 리소스에 대한 액세스 권한을 부여받기 전에 신원과 행동의 합법성을 증명해야 한다고 가정합니다.

가상 데스크톱 환경에서 보안의 중요성

Azure Virtual Desktop(AVD) 컨텍스트에서 Zero Trust 모델은 Microsoft 서비스와 타사 방화벽을 결합하여 구현할 수 있습니다 .

Azure AD는 사용자 ID를 설정하고 액세스 제어를 시행하는 데 사용할 수 있으며, Azure AD Identity Protection은 의심스러운 활동을 모니터링하고 관리자에게 잠재적인 위협에 대해 경고하는 데 사용할 수 있습니다. 또한, 가상 데스크톱 환경의 보안을 강화하는 데 활용할 수 있는 다른 Azure 서비스도 있습니다.

AVD에서 Zero Trust 모델을 구현하는 데 활용할 수 있는 Azure 서비스:

ID 및 액세스 관리

• Azure 조건부 액세스(Azure AD CA): 이 서비스를 통해 관리자는 사용자가 AVD 리소스에 액세스할 수 있는 조건을 지정하는 정책을 설정할 수 있습니다.
• Azure 다중 인증 요소(MFA): MFA를 사용하면 사용자가 AVD 리소스에 액세스하기 전에 휴대폰으로 전송되는 코드와 같은 추가 인증 요소를 제공하도록 요구할 수 있습니다.
• Azure AD Identity Protection: 이 서비스는 조직을 ID 기반 위협으로부터 보호하는 데 도움이 됩니다. 고급 머신 러닝과 행동 분석을 사용하여 손상된 계정, 위험한 로그인, 의심스러운 IP 주소와 같이 조직의 ID에 대한 잠재적 위협을 식별하고 완화합니다.

데이터 및 위협 보호

• Azure Disk Encryption: 이 기능을 사용하면 Azure에서 실행되는 가상 머신(VM)의 OS 및 데이터 디스크를 암호화할 수 있습니다. Windows의 산업 표준 BitLocker 기능과 Linux의 DM-Crypt 기능을 사용하여 OS 및 데이터 디스크에 대한 볼륨 암호화를 제공합니다.
• Microsoft Information Protection(MIP): 이 서비스는 AVD 내의 중요한 데이터를 분류하고 보호하는 데 사용할 수 있습니다.
• Windows Information Protection(WIP): 이 서비스는 데이터 유출 및 민감한 정보에 대한 무단 액세스로부터 보호하는 데 도움이 됩니다. Azure Virtual Desktop(AVD)에서 WIP를 사용하여 세션 호스트의 데이터를 보호하고 사용자가 민감한 데이터에 적절하게 액세스할 수 있도록 할 수 있습니다.
• Azure Advanced Threat Protection(ATP): AVD 환경에서 지능형 위협 및 공격을 식별하고 완화하여 AVD 리소스의 전반적인 보안 태세를 개선하는 데 도움이 됩니다.

AVD에서 Zero Trust 모델을 구현함으로써 조직은 가상 데스크톱 리소스에 대한 무단 액세스 위험을 크게 줄이고 승인된 사용자만 중요한 데이터에 액세스할 수 있도록 할 수 있습니다.

보안 및 규정 준수

• 클라우드용 Microsoft Defender: 이 서비스를 사용하면 보안 및 규정 준수 권장 사항을 구현하고 보안 활동의 진행 상황과 효과를 추적할 수 있습니다.
• Azure 방화벽: Azure 방화벽을 구현하여 외부 위협으로부터 보호하고 AVD 리소스에 대한 액세스를 제어합니다.
• Azure 네트워크 보안 그룹(NSG): AVD 리소스에 대한 인바운드 및 아웃바운드 네트워크 트래픽을 제어하는 ​​데 사용할 수 있습니다.
• Azure Bastion: 이 서비스는 Azure의 가상 머신에 안전하고 원활한 RDP 및 SSH 액세스를 제공합니다. 브라우저를 사용하여 가상 머신에 연결할 수 있으므로 인바운드 포트를 열거나 VPN을 사용하여 리소스에 액세스할 필요가 없습니다.
• Azure Policy: Azure의 이 서비스를 사용하면 Azure 리소스 전반에 걸쳐 규정 준수 및 거버넌스 표준을 적용하고 리소스가 조직 표준을 준수하여 배포되도록 할 수 있습니다.

모니터링

• Azure Sentinel: 이 서비스는 AVD 리소스, Azure AD, Azure Defender의 로그를 포함한 다양한 소스에서 데이터를 수집, 분석, 저장하여 Azure Virtual Desktop(AVD) 환경을 모니터링하고 보호하는 데 사용할 수 있습니다.
• Azure Log 분석 : 이 서비스를 사용하면 AVD 리소스의 로그 데이터를 수집하고 분석할 수 있으며 리소스의 성능과 상태를 중앙에서 볼 수 있습니다.
• Azure Monitor: 이 서비스는 AVD 환경을 모니터링, 문제 해결 및 최적화하기 위한 도구와 기능 세트를 제공합니다. 세션 호스트 및 사용자 세션과 같은 AVD 리소스에서 원격 측정 데이터를 수집하고 분석할 수 있습니다.
• Azure Alerts: 이 서비스를 사용하면 Azure 리소스의 특정 조건에 대한 알림을 만들고, 관리하고, 수신할 수 있으며, 리소스를 모니터링하고 리소스 임계값을 초과하거나 보안 위반이 감지되는 등 특정 조건이 발생하면 조치를 취할 수 있습니다.

AVD를 위한 ID 및 액세스 관리 모범 사례

Azure Virtual Desktop 세션에서 사용자 액세스 제어

권한 모음인 Azure Virtual Desktop에서 사용할 수 있는 여러 가지 기본 제공 역할이 있습니다. Azure Virtual Desktop(AVD) 세션에서 사용자 액세스를 제어하려면 다음 단계를 따르세요.

새로운 역할 할당을 추가합니다.

1. Azure Portal로 이동하여 AVD 리소스 그룹으로 이동합니다.
2. "액세스 제어(IAM)"를 선택 하고 새로운 역할 할당을 추가합니다.
3. Azure Virtual Desktop에 대한 기본 제공 역할 중 하나를 선택하세요.

• 가상 머신 사용자 로그인
• 가상 머신 관리자 로그인
• 데스크톱 가상화 사용자
• 데스크톱 가상화 전원 켜기 끄기 기여자

• 

1. 원하는 사용자에게 할당합니다.

Azure Virtual Desktop을 관리하고 제어하기 위한 RBAC 역할

다음은 Azure Virtual Desktop(AVD)을 관리하고 제어하는 ​​데 사용할 수 있는 일부 RBAC 역할 표입니다.

MFA 및 Azure AD 조건부 액세스 정책 설정:

Azure AD 조건부 액세스 구성

1. Azure Portal로 이동하여 "Azure Active Directory" 서비스로 이동합니다.
2. "조건부 액세스"를 선택 하고 새 정책을 만듭니다.
3. 다중 요소 인증 요구 또는 특정 위치에서의 액세스 차단 등 원하는 액세스 제어를 구성합니다 .

4. 

액세스 제어를 테스트합니다.

1. 액세스 제어를 받는 사용자로 AVD 세션에 로그인합니다.
2. 예상대로 액세스 제어가 적용되는지 확인하세요.

이러한 단계를 따르면 세션 호스트에 대한 액세스를 제한하고 권한이 있는 사용자만 로그인할 수 있도록 할 수 있습니다. 이렇게 하면 세션 호스트에 대한 무단 액세스를 방지하고 데이터를 보호하는 데 도움이 될 수 있습니다.

AVD에서 SSO 및 비밀번호 없는 인증 활성화

Microsoft Azure Virtual Desktop(AVD)의 최신 업그레이드를 통해 이제 사용자는 SSO(Single Sign-On) 및 암호 없는 인증을 통해 서비스에 액세스할 수 있습니다. 이 기능은 현재 공개 미리보기 상태이며 Azure AD로 활성화할 수 있습니다. 또한 Microsoft의 David Belanger가 최근 블로그 게시물에서 설명한 대로 사용자는 암호 없는 인증을 위해 Windows Hello 및 FIDO2 키와 같은 보안 장치를 활용할 수 있습니다.

참고: 이러한 기능은 현재 미리 보기 상태이며 Windows 11 22H2 Enterprise Preview(모노 및 멀티 세션)에서만 사용할 수 있습니다. X64 Gen 2를 세션 호스트로 사용합니다.

Azure Virtual Desktop에 대한 SSO 구성:

1. Azure AD에 가입되었거나 하이브리드에 가입된(Active Directory) 가상 머신을 사용하고 있는지 확인하세요. SSO는 Azure AD Domain Services에 가입된 가상 머신을 지원하지 않습니다.
2. 하이브리드 조인 VM을 사용하는 경우 먼저 Kerberos 지원을 위해 Azure AD를 활성화합니다( https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key-on-premises#create-a-kerberos-server-object )
3. 최신 버전의 Windows Desktop Client를 사용하세요( https://docs.microsoft.com/en-us/azure/virtual-desktop/user-documentation/connect-windows-7-10#install-the-windows-desktop-client )
4. Azure AD 인증을 " RDP는 Azure AD 인증을 사용하여 로그인을 시도합니다 " 로 설정하여 RDP 속성을 사용자 지정합니다.

5. 

6. Or set the enablerdsaadauth RDP properties to 1 like this enablerdsaadauth:i:1

7. 

8.  
9. The first time the user logs onto the session host, they will be prompted to authenticate with Azure AD and allow the remote desktop connection.

10. 

11. Azure AD will remember up to 15 hosts for 30 days before a new authentication prompt

Configure Passwordless for Azure Virtual Desktop:

1. Use Windows Hello for Business to enable passwordless authentication
2. In addition to the session host-supported version listed above, use one of these versions as your local OS

• Windows 11 Enterprise single or multi-session with the 2022-09 Cumulative Updates for Windows 11 Preview (KB5017383) or later installed.
• Windows 10 Enterprise single or multi-session, versions 20H2 or later with the 2022-09 Cumulative Updates for Windows 10 Preview (KB5017380) or later installed.
• Windows Server 2022 with the 2022-09 Cumulative Update for Microsoft server operating system preview (KB5017381) or later installed.

1. Edit the RDP properties to configure the WebAuth redirection option to “WebAuth requests in the remote session are redirected to the local computer”

2. 

3. Or set the redirectwebauthn RDP properties to 1 like this redirectwebauthn:i:1

4. 

5. To enable FIDO2 keys, configure it as an authentication method for your users – see https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key#enable-fido2-security-key-method

Note that you need to make sure that you are using the correct version of Windows and RDP properties to enable these features on AVD.

For more information check:

• https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless
• https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-overview

Control session behavior, and more using RDP properties for AVD

To control device redirection and Remote Desktop Protocol (RDP) properties for Azure Virtual Desktop (AVD), you can follow these steps:

Configure RDP properties from AVD Portal

You can centrally set Remote Desktop Protocol (RDP) properties in Azure Virtual Desktop to control how connections behave. These properties include options for device redirection, display settings, session behavior, and more. For further details, refer to the documentation on customizing RDP properties for a host pool.

To configure RDP properties in the Azure portal:

1. Sign into the select Azure Virtual Desktop.
2. At the Azure Virtual Desktop page, select host pools in the menu on the left side of the screen.
3. Select the name of the host pool you want to update.
4. Select RDP Properties in the menu on the left side of the screen.
5. Set the property you want.

6. 

Also, you can open the Advanced tab and add your RDP properties in a semicolon-separated format like the below.

For more information, see Supported RDP properties with Azure Virtual Desktop – Azure Virtual Desktop | Microsoft Learn

Set up Group Policy for Device and Resource Redirection:

1. Open the Group Policy Management Console on a domain controller.
2. Create a new GPO and link it to the organizational unit (OU) or domain containing the AVD users.
3. Configure device redirection:
4. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection”.
5. Enable or disable the desired device redirection policies like:

• Allow audio and video playback redirection
• Allow audio recording redirection
• Allow time zone redirection
• Do not allow COM port redirection
• Do not allow Clipboard redirection
• Do not allow LPT port redirection
• Do not allow smart card device redirection
• Do not allow supported Plug and Play device redirection

• 

1. Save

Set up Group Policy for Remote Desktop Session Host:

1. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host”.
2. Enable or disable the desired RDP properties like:

• Set client connection encryption level
• Set time limit for active but idle Remote Desktop Services sessions

• 

Test the policies.

1. Log in to an AVD session as a user who is subject to the policies.
2. Verify that the policies are enforced as expected and that the device redirection and RDP properties are as desired.

By following these steps, you can control device redirection and RDP properties for AVD. This can help improve the security and efficiency of your AVD environment by

Set up screen locks for idle sessions for AVD users

To set up screen locks for idle sessions for Azure Virtual Desktop (AVD) users, you can follow these steps:

1. Set up Group Policy:
2. Open the Group Policy Management Console on a domain controller.
3. Create a new GPO and link it to the organizational unit (OU) or domain containing the AVD users.

Configure the screen lock policy:

1. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Control Panel > Personalization”.
2. Enable the “Force specific screen saver” policy and set the desired screen saver (e.g. “LockedScreen.scr”).

3. 

4. Enable the “Password protect the screen saver” policy.

5. 

Configure the idle timeout:

1. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits”.
2. Enable the “Set time limit for active but idle Remote Desktop Services sessions” policy and set the desired idle timeout.

3. 

Test the policies:

1. Log in to an AVD session as a user who is subject to the policies.
2. Verify that the policies are enforced as expected and that the screen lock is activated after the specified idle timeout.

By following these steps, you can set up screen locks for idle sessions for AVD users. This can help improve the security of your AVD environment by requiring users to reauthenticate after a period of inactivity.

Set maximum inactive time and session end policies for AVD Users

To create a Group Policy object (GPO) to establish maximum inactive time and disconnection policies for Azure Virtual Desktop (AVD) users, you can follow these steps:

1. Set up Group Policy:
2. Open the Group Policy Management Console on a domain controller.
3. Create a new GPO and link it to the organizational unit (OU) or domain containing the AVD users.

Configure the maximum inactive time policy:

1. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits”.
2. Enable the “Set time limit for disconnected sessions” policy and set the desired maximum inactive time.

3. 

Configure the session end policy:

1. In the GPO, go to “Computer Configuration > Policies > Administrative Templates > Windows Components > > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits”.
2. Enable the “End session when time limits are reached ” policy.

3. 

Test the policies:

1. Log in to an AVD session as a user who is subject to the policies.
2. Verify that the policies are enforced as expected and that the maximum inactive time and disconnection behavior are as desired.

By following these steps, you can create a GPO to set the maximum inactive time and session end policies for AVD users. This can help improve the security and efficiency of your AVD environment by limiting the amount of time that users can be inactive or disconnected before their sessions are terminated.

Enable External identity to access your AVD

Azure Virtual Desktop currently doesn’t support external identities, you could think about creating user account in your AD for External identities with limited access to separated AVD Resources

• The user must be sourced from the same Active Directory that’s connected to Azure AD. Azure Virtual Desktop does not support B2B or MSA accounts.
• The UPN you use to subscribe to Azure Virtual Desktop must exist in the Active Directory domain the VM is joined to.
•  

Data encryption and Threat Protection best practice for AVD

Enable Azure Disk Encryption for Session host disks

When deploying Session host (virtual machines) in Microsoft Azure, they are not enabled with Bitlocker by default. To address this issue and comply with corporate security policies, Azure Disk Encryption (ADE) can be utilized. ADE provides volume encryption for Azure VMs through the use of Bitlocker or DM-Crypt.

TPM이 없으므로 ADE는 데이터를 암호화하기 위한 비밀이 필요합니다. 이 비밀은 비밀을 안전하게 저장하고 액세스하기 위한 클라우드 기반 서비스인 Azure Key Vault에서 가져옵니다. 이 비밀의 보호를 보장하기 위해 Azure Key Vault에서 키를 생성하거나 외부 하드웨어 보안 모듈(HSM) 장치에서 가져올 수 있습니다. Windows Azure VM을 암호화하기 위한 두 서비스의 구성을 살펴보겠습니다.

Azure 키 자격 증명 모음을 만듭니다.

1. Azure Portal에서 "리소스 만들기"를 선택합니다.
2. 검색 상자에 "Key Vault"를 입력합니다.
3. Key Vault 섹션에서 "만들기"를 선택하세요
4. 키 볼트 만들기 섹션에서 다음 정보를 제공합니다.

• 이름: 고유한 이름이 필요합니다.
• 구독: 구독을 선택하세요.
• 리소스 그룹에서 "새로 만들기"를 선택하고 리소스 그룹 이름을 입력합니다.
• 위치 풀다운 메뉴에서 위치를 선택하세요.
• 다른 옵션은 기본값으로 둡니다.

1. "만들기"를 선택하여 볼트 만들기를 완료합니다.

2. 

Azure에 자격 증명 모음을 만들려면 고유한 이름을 제공하고 올바른 구독, 위치 및 리소스 그룹을 선택해야 합니다.

Azure Key Vault 구성:

1. Azure Key Vault로 이동하여 "액세스 정책"을 선택하여 Azure Disk Encryption에 대한 액세스를 구성합니다.
2. 액세스 정책에서 볼륨 암호화를 위한 Azure Disk Encryption이 활성화되어 있는지 확인하세요.

3. 

4. 다음으로 키가 필요합니다. 이를 위해 Azure Key Vault의 Keys로 이동합니다. Generate/Import를 선택합니다.
5. 액세스 정책 메뉴에서 데이터를 보호하기 위해 사용할 수 있는 두 가지 옵션이 있습니다. Microsoft에서 관리하는 키를 생성하거나 조직에 독점적인 키를 가져오는 것입니다. 민감한 정보의 경우, 자신의 키를 가져오는 것이 좋습니다.
6. 이 예제의 목적을 위해 키가 생성됩니다. 현재 Windows Server 2022 및 Windows 11에는 최신 버전의 BitLocker가 포함되어 있으며 현재 RSA 2048비트 키 암호화 키와 작동하지 않습니다. 해결될 때까지 Microsoft는 RSA 3072 또는 RSA 4096비트 키를 사용하는 것이 좋습니다.

7. 

8. 이제 Azure Key Vault가 구성되었으며 Azure Disk Encryption에 사용할 준비가 되었습니다.

Azure 디스크 암호화 사용

1. Azure Disk Encryption을 활성화하려면 Azure VM이 전원이 켜진 상태여야 합니다. 계속하려면 Azure VM으로 이동하여 "디스크"를 선택한 다음 "추가 설정"을 선택합니다.

2. 

3. 추가 설정에서 암호화할 디스크를 선택한 다음 적절한 키 자격 증명 모음, 키 및 버전을 선택합니다.

4. 

5. Azure Disk Encryption에서 설정을 적용하면 Azure VM에서 Bitlocker가 활성화되고 디스크 암호화가 시작됩니다.

6. 

Microsoft Purview를 사용하여 Azure Files Share에서 AVD 데이터 관리

필수 조건

데이터 카탈로그에 Azure Files 계정을 등록하고 필수 조건을 충족하려면 다음 단계를 따르세요. https://learn.microsoft.com/en-us/azure/purview/register-scan-azure-files-storage-source#prerequisites

Microsoft Purview를 사용하여 Azure Files를 스캔하고 데이터를 분류합니다.

1. Microsoft Purview 거버넌스 포털 의 왼쪽 창에서 데이터 맵 탭을 선택합니다 .
2. 등록한 Azure Files 소스를 선택하세요.
3. "새로운 스캔"을 선택하세요.
4. 데이터 소스에 연결할 계정 키 자격 증명을 선택하세요.
5. 목록에서 적절한 항목을 선택하여 특정 데이터베이스에 대한 스캔 범위를 지정합니다.
6. 스캔 규칙 세트를 선택합니다. 시스템 기본값, 기존 사용자 정의 규칙 세트 중에서 선택하거나 인라인으로 새 규칙 세트를 만들 수 있습니다.

7. 

8. 스캔 트리거를 선택하세요. 반복되거나 스캔을 한 번 실행하도록 일정을 설정할 수 있습니다.
9. 스캔 결과를 검토하고 "저장 및 실행"을 선택하세요.

기존 스캔 보기:

1. Microsoft Purview 거버넌스 포털 로 이동합니다 .
2. 왼쪽 창에서 데이터 맵 탭을 선택합니다.
3. 원하는 데이터 소스를 선택합니다. "최근 스캔"에서 해당 데이터 소스의 기존 스캔 목록을 볼 수 있고, "스캔" 탭에서 모든 스캔을 볼 수 있습니다.
4. 결과를 보고 싶은 스캔을 선택하세요. 이 페이지에는 모든 이전 스캔 실행과 각 스캔 실행의 상태 및 메트릭이 표시됩니다.
5. 스캔 실행 세부 정보를 자세히 확인하려면 실행 ID를 클릭하세요.

자세한 내용은 이 문서를 확인하세요: https://learn.microsoft.com/en-us/azure/purview/register-scan-azure-files-storage-source

사용자가 AVD에서 데이터를 복사하고 전송하는 방법을 제어합니다.

Azure Virtual Desktop(AVD)에서 사용자가 데이터를 복사하고 전송하는 방법을 제어하려면 다음 단계를 따르세요.

1. 그룹 정책 설정:
2. 도메인 컨트롤러에서 그룹 정책 관리 콘솔을 엽니다.
3. 새로운 GPO를 만들고 이를 AVD 사용자가 포함된 조직 단위(OU) 또는 도메인에 연결합니다.

클립보드 리디렉션 구성:

1. GPO에서 "컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > 장치 및 리소스 리디렉션"으로 이동합니다.
2. 원하는 대로 "클립보드 리디렉션 허용 안 함" 정책을 활성화하거나 비활성화합니다.

3. 

파일 전송 구성:

1. GPO에서 "컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > 장치 및 리소스 리디렉션"으로 이동합니다.
2. 원하는 대로 "드라이브 리디렉션 허용 안 함" 정책을 활성화하거나 비활성화합니다.

3. 

정책 테스트:

1. 정책이 적용되는 사용자로 AVD 세션에 로그인합니다.
2. 정책이 예상대로 적용되는지, 클립보드 리디렉션 및 파일 전송이 원하는 대로 제어되는지 확인하세요.

이러한 단계를 따르면 사용자가 AVD에서 데이터를 복사하고 전송하는 방법을 제어할 수 있습니다. 이는 특히 무단 데이터 전송을 방지하거나 사용자가 세션 호스트와 로컬 장치 간에 복사하여 붙여넣을 수 있는 데이터 양을 제한하는 데 유용할 수 있습니다.

사용자 세션에서 로컬 및 원격 드라이브에 대한 액세스 제한

사용자 세션에서 로컬 및 원격 드라이브에 대한 액세스를 제한하려면 다음 단계를 따르세요.

1. 그룹 정책 설정:
2. 도메인 컨트롤러에서 그룹 정책 관리 콘솔을 엽니다.
3. 새로운 GPO를 만들고 사용자가 포함된 조직 단위(OU) 또는 도메인에 연결합니다.

드라이브 리디렉션 구성:

1. GPO에서 "컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > 장치 및 리소스 리디렉션"으로 이동합니다.
2. 원하는 대로 "드라이브 리디렉션 허용 안 함" 정책을 활성화하거나 비활성화합니다.

3. 

매핑된 드라이브 구성:

1. GPO에서 "사용자 구성 > 기본 설정 > Windows 설정 > 드라이브 맵"으로 이동합니다.
2. 새 드라이브 매핑을 만들고 원하는 드라이브 문자, 네트워크 경로 및 기타 설정을 구성합니다.
   

드라이브 제한 사항을 테스트하세요.

1. 드라이브 제한이 적용되는 사용자로 사용자 세션에 로그인합니다.
2. 예상대로 드라이브 제한이 적용되는지, 매핑된 드라이브가 원하는 대로 사용 가능한지 확인하세요.

이러한 단계를 따르면 사용자 세션에서 로컬 및 원격 드라이브에 대한 액세스를 제한하여 환경의 보안 및 효율성을 개선하는 데 도움이 됩니다. 이는 로컬 또는 원격 드라이브의 데이터에 대한 무단 액세스를 방지하거나 사용자가 이러한 드라이브에서 액세스할 수 있는 데이터 양을 제한하는 데 특히 유용할 수 있습니다.

AVD에 대한 화면 캡처 보호 활성화

Azure Virtual Desktop에서 화면 캡처 보호를 사용하려면 다음 클라이언트 중 하나를 사용해야 합니다.

• Windows 데스크톱 클라이언트는 전체 데스크톱에 대해서만 화면 캡처 보호를 지원합니다.
• macOS 클라이언트(버전 10.7.0 이상)는 RemoteApp과 전체 데스크톱 모두에 대한 화면 캡처 보호 기능을 지원합니다.

Azure Virtual Desktop의 화면 캡처 보호 기능에 액세스하려면 올바른 클라이언트를 사용하는 것이 중요합니다.

Azure Virtual Desktop에서 화면 캡처 보호를 구성하려면 아래 단계를 따르세요.

1. Azure Virtual Desktop 정책 템플릿 파일(AVDGPTemplate.cab)을 다운로드합니다: https://aka.ms/avdgpo 그리고 cab 파일과 zip 아카이브의 내용을 추출합니다.
2. terminalserver-avd.admx 파일을 %windir%\PolicyDefinitions 폴더 로 복사합니다 .
3. en-us\terminalserver-avd.adml 파일을 %windir%\PolicyDefinitions\en-us 폴더로 복사합니다.
4. 그룹 정책 편집기를 열고 컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > Azure Virtual Desktop으로 이동합니다. 하나 이상의 Azure Virtual Desktop 정책이 표시되어야 합니다.

5. 

6. "화면 캡처 보호 사용" 정책을 열고 "사용"으로 설정합니다.
7. Active Directory 도메인의 그룹 정책 Central Store에 관리 템플릿을 설치할 수도 있습니다. 자세한 내용은 여기를 확인하세요: https://learn.microsoft.com/en-us/troubleshoot/windows-client/group-policy/create-and-manage-central-store

AVD에 대한 Windows Defender 애플리케이션 제어 구현

Windows Defender Application Control은 Windows 10 Professional 및 Enterprise 환경에서 애플리케이션과 DLL을 허용 목록에 추가하는 방법입니다.

Microsoft Mobile Device Management(Intune)를 사용하여 Azure Virtual Desktop(AVD) 세션 호스트에서 Windows Defender Application Control을 구현하려면 다음 단계 중 하나를 따르세요.

1. Endpoint Manager Portal 에서 장치 > 구성 프로필을 선택합니다.
2. 프로필 만들기 > 프로필: Windows 10 이상을 클릭하세요.
3. 프로필 유형: 템플릿 > 템플릿 이름: Endpoint Protection을 선택합니다.
4. 기본 탭에서 정책의 이름을 제공합니다.
5. 구성 설정 탭에서 (Microsoft Defender 응용 프로그램 제어 구성)을 확장합니다.
6. 애플리케이션 제어 코드 무결성 강화
7. 좋은 평판을 가진 신뢰할 수 있는 앱 활성화

8. 

9. 할당 탭에서(AVD 사용자에 대한 대상 그룹 선택) 다음을 생성합니다.

참고: Intelligent Security Graph에서 정의한 Windows 구성 요소, Microsoft 스토어 앱 및 신뢰할 수 있는 앱만 실행할 수 있습니다.

강조된 단계에 따라 WDAC 정책을 배포하면 AVD 세션 호스트에서 Windows Defender Application Control을 효과적으로 구현하여 가상 데스크톱 리소스에서 실행이 허용되는 애플리케이션을 제어하여 맬웨어 및 기타 위협으로부터 보호하는 데 도움이 됩니다. 이를 통해 AVD 환경의 보안 및 안정성을 개선하는 데 도움이 될 수 있습니다.

AVD를 위한 보안 및 규정 준수 모범 사례

AVD를 위한 네트워크 보안 구성

AVD의 트래픽에 대한 Azure 네트워크 보안 그룹(NSG) 규칙:

다음은 Azure Virtual Desktop(AVD)의 인바운드 및 아웃바운드 트래픽에 대한 몇 가지 예시 NSG(네트워크 보안 그룹) 규칙 표입니다.

이는 AVD에 필요할 수 있는 NSG 규칙의 몇 가지 예일 뿐입니다. 특정 보안 및 네트워킹 요구 사항을 충족하도록 AVD 환경에 맞게 NSG 규칙을 사용자 지정할 수 있습니다.

Azure Firewall을 사용하여 Azure Virtual Desktop을 보호하세요

Azure Virtual Desktop(AVD) 사용자를 위해 내부 방화벽과 사용자 정의 경로(UDR)를 사용하려면 다음 단계를 따르세요.

내부 방화벽을 설정하세요:

1. Azure Portal로 이동하여 가상 네트워크 로 이동합니다 .
2. AVD 가상 네트워크를 선택하세요.
3. 최소 /26의 주소 범위를 갖는 AzureFirewallSubnet 이라는 서브넷을 만듭니다 .

4. 

5. AzureFirewallManagementSubnet 이라는 이름의 전용 서브넷을 추가로 생성해야 하며 (최소 서브넷 크기 /26) 자체의 연결된 공용 IP 주소가 필요합니다.

6. 

7. AVD 가상 네트워크로 돌아가서 "방화벽" 탭을 클릭합니다.
8. 새로운 방화벽 추가를 클릭합니다.

9. 

10. 방화벽 이름과 지역을 설정합니다.

11. 

12. 원하는 방화벽 SKU를 선택하세요
13. 기본 설정으로 새 방화벽 정책을 만들고 AVD 가상 네트워크를 선택합니다.
14. 방화벽 서비스를 위한 공용 IP와 방화벽 관리를 위한 공용 IP를 생성합니다.

15. 

16. 검토 및 생성

방화벽 규칙 구성:

1. 방화벽 관리자 로 이동 | Azure 방화벽 정책
2. 이전 단계에서 만든 내부 방화벽 정책을 선택합니다 .
3. 네트워크 규칙 , DNAT 규칙 , 애플리케이션 규칙 등 원하는 방화벽 설정을 선택합니다 .
4. 이 예에서는 네트워크 규칙 과 애플리케이션 규칙을 구성합니다.
5. 네트워크 규칙을 선택 하고 규칙 컬렉션을 추가합니다.
6. 이 네트워크 규칙 컬렉션에서는 가상 머신에서 Windows 정품 인증 서비스로 Active Directory 도메인 서비스(ADDS) 및 KMS 액세스 서버 서브넷 범위 (172.20.1.0/24) 의 DNS 액세스를 허용하는 새 규칙을 만듭니다 .

7. 

8. 애플리케이션 규칙 컬렉션을 만들고 WindowsVirtualDesktop FQDN 태그를 활성화하는 규칙을 추가합니다 . 소스 IP 주소 범위는 호스트 풀 가상 네트워크이고 프로토콜은 https이며 대상은 WindowsVirtualDesktop 입니다 .
9. WindowsUpdate FQDN 태그를 활성화하기 위한 또 다른 규칙을 추가합니다 . 소스 IP 주소 범위는 호스트 풀 가상 네트워크이고, 프로토콜은 https, http이며, 대상은 WindowsUpdate 입니다 .

10. 

UDR 설정:

1. Azure Portal로 이동하여 경로 테이블 로 이동합니다 .
2. 새로운 경로 테이블을 생성합니다.

3. 

4. 원하는 서브넷(예: AVD 및 ADDS 서브넷)을 연결합니다.

5. 

6. 

7. 원하는 경로(예: AVD 및 ADDS 서브넷 또는 Azure Firewall에 대한 경로)를 만듭니다.

8. 

9. 

방화벽과 UDR을 테스트합니다.

1. 사용자로 AVD 세션에 로그인하고 방화벽과 UDR이 예상대로 작동하는지 확인합니다.

이러한 단계를 따르면 AVD 사용자를 위한 내부 방화벽과 UDR을 사용하여 가상 데스크톱 환경의 보안과 연결성을 개선하는 데 도움이 됩니다. 내부 방화벽은 원치 않는 트래픽을 차단하는 데 도움이 되고 UDR은 원하는 대로 트래픽을 라우팅하는 데 도움이 될 수 있습니다. 이는 특히 AVD 사용자를 온프레미스 리소스에 연결하거나 가상 데스크톱 네트워크를 분할하는 데 유용할 수 있습니다.

AVD 호스트 세션 및 사용자 액세스를 제어하기 위해 적용할 수 있는 방화벽 정책

다음은 Azure Virtual Desktop(AVD) 호스트 세션 및 사용자 액세스를 제어하는 ​​데 적용할 수 있는 일부 방화벽 정책 표입니다.

이러한 방화벽 정책을 구현하면 AVD 호스트 리소스에서 사용자 인터넷 액세스를 더욱 제어할 수 있습니다. 이를 통해 규정 준수 요구 사항을 충족하고, 승인되지 않았거나 부적절한 웹사이트나 서비스의 사용을 방지하고, 보안 위협으로부터 보호하는 데 도움이 될 수 있습니다.

사용자에게 안전한 아웃바운드 인터넷 액세스를 허용하세요

사용자에게 아웃바운드 인터넷 액세스를 허용하려면 Azure Firewall 애플리케이션과 네트워크 규칙을 더 만들어야 할 수도 있습니다.

Microsoft 365와 같이 허용 대상의 잘 정의된 목록이 있는 경우 Azure Firewall 애플리케이션 및 네트워크 규칙을 사용하여 최종 사용자 트래픽을 대상으로 직접 라우팅합니다. Office 365 IP 주소 및 URL 웹 서비스에 대한 자세한 내용은 이 모듈의 끝에 나열된 리소스를 참조하세요. 제어 평면 및 핵심 종속 서비스에 대한 아웃바운드 액세스를 허용하는 필수 규칙은 다음 링크를 참조하세요. https://learn.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop?tabs=azure#host-pool-outbound-access-to-azure-virtual-desktop

AVD 세션 호스트에 대한 관리자 액세스를 위해 Azure Bastion과 JIT(Just-In-Time)를 구성합니다.

필수 조건:

• Azure 구독.
• 필요한 RBAC 역할이 있는 Azure 관리자 계정.
• 기존 Azure Bastion 호스트.
• 기존 가상 네트워크(VNet)와 연관된 네트워크 보안 그룹(NSG)이 있는 서브넷.
• 기존 가상 머신(VM)이 위 서브넷에 연결되어 있습니다.
• 서버용 디펜더 플랜 2

Azure Virtual Desktop(AVD) 세션 호스트에 대한 관리 액세스를 위해 Azure Bastion 및 Just-In-Time(JIT)을 구성하려면 다음 단계를 따르세요.

JIT 설정:

1. 클라우드용 Microsoft Defender 페이지(블레이드)에서 워크로드 보호를 선택합니다.
2. Defender for Cloud 범위 페이지에서 고급 보호 영역까지 아래로 스크롤하여 Just-in-time VM 액세스를 선택합니다.

3. 

4. Just-in-time VM 액세스 페이지에서 구성되지 않음 탭을 클릭합니다.
5. JIT로 보호하려는 VM을 선택하고 VM에서 JIT 사용 버튼을 클릭합니다.

6. 

Azure Bastion 설정:

1. Azure Portal에 로그인합니다.
2. 가상 네트워크 로 이동하여 AVD VNET을 선택하세요.
3. 가상 네트워크 페이지의 왼쪽 창에서 Bastion을 선택하여 Bastion 페이지를 엽니다.
4. Bastion 페이지에서 기본값을 사용하여 Azure Bastion 만들기를 선택합니다 .

5. 

적절한 권한을 할당하세요.

• 필요한 허가:
  
  • 대상 VM의 리더 역할.
  • VM의 개인 IP를 사용하는 네트워크 인터페이스(NIC)에서 리더 역할입니다.
  • Azure Bastion 리소스에 대한 독자 역할입니다.
  • 대상 가상 머신의 가상 네트워크(VNet)에서의 리더 역할
  원하는 수준에서 이러한 역할의 범위를 지정할 수 있습니다.
  
  • 경영 그룹

1. 신청
2. 리소스 그룹
3. 의지

• 필요한 인바운드 포트:
  

1. Windows VM의 경우 – RDP(3389)
2. Linux VM의 경우 – SSH(22)

AVD 세션 호스트에 연결:

1. Azure Portal로 이동하여 AVD 세션 호스트에 연결하고 Azure 가상 머신의 연결 페이지 에서 세션 호스트를 선택합니다 .
2. 연결을 클릭하고 연결하려는 VM 유형(Windows 또는 Linux)에 따라 RDP 또는 SSH를 선택합니다.

3. 

4. 연결 페이지 상단에는 연결하기 전에 액세스 요청을 선택해야 한다는 설명이 있습니다.

5. 

6. 그렇게 하려면 아래로 스크롤하여 액세스 요청을 클릭하세요.

7. 

8. 접속을 요청하고 연결 이유를 제공하라는 메시지가 표시됩니다.
9. VM에 대한 요청이 승인되면(약 1분 정도 소요될 수 있음) Bastion 탭을 클릭합니다.
10. 그런 다음 Bastion 사용을 클릭합니다.
11. Bastion 페이지에서 필요한 인증 자격 증명을 입력한 다음 연결을 클릭합니다.

12. 

13. JIT 지원 Bastion 세션을 모니터링하고 관리하려면 Azure Bastion 리소스로 이동하여 Azure Bastion 페이지에서 세션을 선택하면 됩니다.

이러한 단계를 따르면 AVD 세션 호스트에 대한 관리 액세스를 위해 Azure Bastion 및 JIT를 구성하여 권한이 있는 사용자가 가상 ​​데스크톱 리소스를 원격으로 관리하고 문제를 해결할 수 있습니다. 이를 통해 AVD 환경의 보안과 효율성을 개선하는 데 도움이 될 수 있습니다.

Azure Virtual Desktop용 Azure 정책

Azure Policy 기본 제공 정의를 사용하여 작업 영역, 애플리케이션 그룹, 호스트 풀과 같은 Azure Virtual Desktop(AVD) 리소스에 대한 진단 설정을 구성하려면 다음 단계를 따르세요.

Azure 정책 설정:

1. Azure Portal로 이동하여 " Azure Policy " 서비스로 이동합니다.
2. "정의"를 선택 하고 원하는 진단 정책을 검색합니다(예: "구독에 대한 쓰기 권한이 있는 계정의 경우 MFA를 활성화해야 함").

3. 

4. 정책을 클릭하고 "할당"을 선택합니다.

정책 구성:

1. "정책 할당" 블레이드에서 대상 범위(예: 특정 구독 또는 특정 리소스 그룹)를 선택합니다.

2. 

3. 수정 탭에서 관리 ID를 만들거나 기존 관리 ID를 선택합니다.

4. 

5. 검토 및 생성

정책 테스트:

1. Azure Policy Compliance 블레이드 로 이동 하여 생성된 정책 중 비준수 정책이 있는지 확인하세요.
2. 정책을 클릭해서 수정을 실행하세요.

이러한 단계를 따르면 Azure Policy 기본 제공 정의를 사용하여 AVD 리소스에 대한 진단 설정을 구성할 수 있습니다. 이를 통해 적절한 진단 데이터가 수집되고 저장되도록 하여 가상 데스크톱 환경의 모니터링 및 문제 해결을 개선하는 데 도움이 될 수 있습니다. Azure Policy 서비스를 사용하여 진단 설정 구성을 자동화하고 AVD 리소스 전체에 일관되게 적용되도록 할 수 있습니다.

AVD에 대한 Azure 정책 목록

다음은 Azure Virtual Desktop(AVD)에 적용할 수 있는 일부 Azure 정책 표입니다.

이러한 Azure 정책을 구현하면 AVD 환경의 보안, 규정 준수 및 관리를 개선할 수 있습니다. 정책을 사용하여 조직 정책을 시행하고, 무단 액세스 및 리소스 삭제를 방지하고, AVD 리소스가 필요한 표준을 충족하는지 확인할 수 있습니다.

Azure Virtual Desktop용 Microsoft Defender for Cloud

Azure Virtual Desktop(AVD)에 추가 규정 준수 표준을 적용하기 위해 Microsoft Defender for Cloud를 사용하려면 다음 단계를 따르세요.

1. AVD에 대해 Microsoft Defender for Cloud 활성화:

• Azure Portal에 로그인합니다.
• 클라우드용 Microsoft Defender를 검색하여 선택합니다.
• 클라우드용 Defender 메뉴에서 환경 설정을 선택합니다.
• 보호하려는 구독 또는 작업 공간을 선택하세요.
• 모든 Defender for Cloud 플랜을 활성화하려면 모두 사용을 선택하고, Defender 플랜을 서버에만 활성화하려면 모두 사용을 선택하세요.

• 

• 저장을 선택하세요.

플랜을 비활성화하려면 플랜을 끄세요. 플랜에서 사용하는 확장 프로그램은 제거되지 않지만, 잠시 후 확장 프로그램이 데이터 수집을 중단합니다.

이러한 단계를 따르면 Microsoft Defender for Cloud를 사용하여 AVD에 추가 규정 준수 표준을 적용할 수 있습니다. Microsoft Defender for Cloud는 가상 데스크톱 환경이 보안, 데이터 보호 및 거버넌스와 관련된 것과 같은 다양한 규정 준수 요구 사항을 충족하도록 보장하는 데 도움이 될 수 있습니다. 이는 특히 규정 요구 사항을 충족하거나 고객 또는 파트너에게 규정 준수를 입증하는 데 유용할 수 있습니다.

AVD에 대한 Microsoft Defender 보안 점수

Azure Virtual Desktop(AVD)에 대한 Microsoft Defender 보안 점수를 개선하려면 다음 단계를 따르세요.

클라우드용 Microsoft Defender 설정:

• Azure Portal로 이동하여 "Microsoft Defender for Cloud" 서비스로 이동합니다.
• 원하는 정책과 설정을 구성하는 것을 포함하여 Microsoft Defender for Cloud를 설정하기 위한 메시지를 따릅니다.

보안 점수 검토:

• "보안 자세" 블레이드 로 이동합니다 .
• Azure, AWS, GCP 등의 환경별로 "보안 점수"를 검토합니다.
• 건강에 해로운 리소스를 검증합니다.

• 

보안 점수 권장 사항을 검토하세요.

• "권장 사항" 탭을 클릭하면 보안 점수를 개선하기 위한 권장 사항 목록을 볼 수 있습니다.

• 

• 권장 사항을 검토하고 보안 점수를 개선하기 위해 권장 사항을 구현하는 것을 고려하세요.

• 

이러한 단계를 따르면 AVD에 대한 Microsoft Defender Secure Score를 개선할 수 있습니다. Secure Score는 ID 보호, 데이터 보호, 장치 보안 등과 같은 다양한 요소를 고려하여 AVD 환경의 보안 상태를 반영하는 복합 점수입니다. Secure Score 권장 사항을 구현하면 AVD 환경의 전반적인 보안 상태를 개선하고 Secure Score를 높이는 데 도움이 될 수 있습니다.

AVD 호스트 세션에 대한 Defender 권장 사항

다음은 Azure Virtual Desktop(AVD) 호스트 세션에 적용할 수 있는 Microsoft Defender for Cloud에 대한 몇 가지 권장 사항 표입니다.

Microsoft Defender for Cloud에서 볼 수 있는 권장 사항 목록은 다음 링크에서 확인하세요. https://learn.microsoft.com/en-us/azure/defender-for-cloud/recommendations-reference

Azure Virtual Desktop에 대한 규정 준수 표준

Azure Virtual Desktop(AVD)에 적용할 수 있는 많은 규정 준수 표준이 있습니다. 다음은 몇 가지 예의 표입니다.

비즈니스 요구 사항에 따라 이러한 규정 준수 표준 중 하나를 AVD에 적용하면 AVD 환경이 데이터 보안, 개인 정보 보호 및 규정 준수 요구 사항을 충족하는지 확인할 수 있습니다. 이를 통해 민감한 정보를 보호하고 업계 또는 조직의 규제 요구 사항을 충족하는 데 도움이 될 수 있습니다.

Defender for Cloud에서 사용 가능한 규정 준수 표준의 전체 목록은 다음 링크에서 확인하세요: https://learn.microsoft.com/en-us/azure/defender-for-cloud/update-regulatory-compliance-packages#what-regulatory-compliance-standards-are-available-in-defender-for-cloud

AVD에 대한 세션 호스트 보안 구성

GPO를 사용하여 세션 호스트에서 원치 않는 소프트웨어가 실행되는 것을 방지합니다.

세션 호스트에서 원치 않는 소프트웨어가 실행되는 것을 방지하려면 다음 단계를 따르세요.

그룹 정책 설정:

1. 도메인 컨트롤러에서 그룹 정책 관리 콘솔을 엽니다.
2. 새로운 GPO를 만들고 세션 호스트가 있는 조직 단위(OU) 또는 도메인에 연결합니다.

소프트웨어 제한 사항 구성:

1. GPO에서 "컴퓨터 구성 > 정책 > 보안 설정 > 소프트웨어 제한 정책"으로 이동합니다.
2. 새로운 소프트웨어 제한 정책을 만듭니다.

3. 

4. 소프트웨어 제한 정책이 생성되면 이제 몇 가지 새로운 GPO 폴더와 옵션이 생긴 것을 확인할 수 있습니다.
5. Enforcement GPO 옵션을 편집하여 관리자 권한을 부여하는 동시에 관리자가 아닌 사용자가 승인되지 않은 소프트웨어를 실행하지 못하도록 제한합니다. Enforcement를 마우스 오른쪽 버튼으로 클릭하고 Properties를 선택한 다음 제공된 스크린샷에 설명된 단계를 따르면 최적의 결과를 얻을 수 있습니다.

6. 

7. 

8. 원하는 설정을 구성합니다(예: 특정 실행 파일에 대한 "허용되지 않음" 규칙 또는 신뢰할 수 있는 위치에 대한 "제한 없음" 규칙).

9. 

정책 테스트:

1. 정책이 적용되는 사용자로 세션 호스트에 로그인합니다.
2. 원치 않는 소프트웨어를 실행해 보고 예상대로 차단되는지 확인하세요.
   

이러한 단계를 따르면 세션 호스트에서 원치 않는 소프트웨어가 실행되는 것을 방지하여 환경의 보안과 안정성을 개선하는 데 도움이 됩니다. 이는 특히 맬웨어나 무단 소프트웨어가 세션 호스트에서 실행되는 것을 방지하는 데 유용할 수 있습니다.

Azure VM(AVD 세션 호스트)에 신뢰할 수 있는 실행 배포

Azure Virtual Desktop(AVD) 세션 호스트에 신뢰할 수 있는 실행을 배포하는 데 사용할 수 있는 PowerShell 스크립트는 다음과 같습니다.

이러한 단계를 따르면 AVD 세션 호스트에 대해 Trusted Launch를 활성화하여 가상 데스크톱 환경의 보안을 개선하는 데 도움이 됩니다. Trusted Launch는 검증된 부트 로더, OS 커널 및 드라이버로 가상 머신을 안전하게 배포하고, 가상 머신의 키, 인증서 및 비밀을 안전하게 보호하고, 전체 부트 체인의 무결성에 대한 통찰력과 확신을 얻고, 워크로드가 신뢰할 수 있고 검증 가능한지 확인하는 데 도움이 됩니다.

PowerShell 스크립트를 사용하여 AVD에 Defender를 설치하고 활성화합니다.

Azure Virtual Desktop(AVD) 세션 호스트에서 Microsoft Defender for Cloud를 활성화하고 설치하는 데 사용할 수 있는 PowerShell 스크립트는 다음과 같습니다.

이 스크립트를 사용하려면 다음 자리 표시자를 사용자 고유의 값으로 바꿔야 합니다.

• $subscriptionId: AVD 리소스가 포함된 Azure 구독의 ID입니다.
• $resourceGroupName: AVD 리소스가 포함된 리소스 그룹의 이름입니다.
• $location: # 예: “동남아시아” 또는 “미국 중부”
• $vmName: 세션 호스트 또는 VM 이름
• $settingString = '{“AntimalwareEnabled”: true}: # 기본 정책으로 Antimalware 활성화

이미지에 OS 및 애플리케이션 업데이트 적용

이미지에 OS 및 애플리케이션 업데이트를 적용하려면 다음 단계를 따르세요.

1. 기본 이미지 생성:
   

• 가상 머신이나 실제 컴퓨터에 원하는 운영 체제와 애플리케이션을 설치합니다.
• 사용자 계정을 설정하고 필요한 드라이버를 설치하는 등 원하는 대로 이미지를 구성합니다.

1. 기본 이미지의 스냅샷이나 백업을 만듭니다.
   

• 업데이트 프로세스 중에 문제가 발생하는 경우를 대비해 원본 이미지의 사본을 보관할 수 있도록 기본 이미지의 스냅샷을 찍거나 백업을 만드세요.

1. 업데이트 설치:
   

• 기본 이미지에 연결하고 사용 가능한 OS 및 애플리케이션 업데이트를 설치합니다.
• Windows Update나 기타 업데이트 도구(예: Windows Server Update Services)를 사용하여 업데이트를 설치할 수 있습니다.

1. 업데이트를 테스트하세요:
   

• 업데이트된 이미지를 테스트하여 모든 업데이트가 올바르게 설치되었는지, 이미지가 예상대로 작동하는지 확인합니다.

1. 업데이트된 이미지를 캡처하세요:
   

• 업데이트가 성공적으로 설치되고 이미지가 예상대로 작동하는 경우 업데이트된 이미지를 캡처하세요.
• Sysprep이나 ImageX와 같은 도구를 사용하여 이미지를 캡처할 수 있습니다.

1. Azure Compute Gallery에 이미지를 저장합니다.
   

• 갤러리 세부 정보를 확인하려면 갤러리를 선택하거나 새로 만들기를 선택하여 새 갤러리를 만드세요.
• 운영 체제 상태에서 일반 또는 특수를 선택하세요.
• 이미지 정의를 선택하거나 새로 만들기를 선택하고 이름과 정보를 제공하세요.
• 이미지 버전 번호를 입력하세요. 이것이 이 이미지의 첫 번째 버전인 경우 1.0.0을 입력하세요.

이러한 단계를 따르면 이미지에 OS 및 애플리케이션 업데이트를 적용하여 이미지가 최신 상태이고 완전히 패치되었는지 확인할 수 있습니다. 이를 통해 프로덕션에 배포할 때 이미지가 안전하고 신뢰할 수 있는지 확인하는 데 도움이 될 수 있습니다.

AVD에 대한 모범 사례 모니터링

Azure Virtual Desktop용 Azure Monitor 및 Log Analytics

Azure Monitor와 Log Analytics는 Azure Virtual Desktop(AVD) 환경을 모니터링하고 문제를 해결하는 데 사용할 수 있는 도구입니다.

Azure Monitor는 Azure 리소스에 대한 실시간 모니터링 및 알림을 제공하는 서비스입니다. 이를 통해 관리자는 AVD 리소스에 대한 메트릭, 로그 및 알림을 보고 특정 조건에 따라 사용자 지정 알림 및 알림을 설정할 수 있습니다.

Log Analytics는 관리자가 AVD 리소스 및 기타 Azure 서비스에서 로그 데이터를 수집하고 분석할 수 있도록 하는 서비스입니다. 추세를 식별하고, 문제를 감지하고, 보고서를 생성하는 데 사용할 수 있는 검색 가능한 데이터 저장소를 제공합니다.

Azure Monitor와 Log Analytics는 함께 AVD 환경을 모니터링하고 문제 해결하기 위한 강력한 툴셋을 제공합니다. 이를 사용하여 성능 문제를 식별하고, 리소스 사용량을 추적하고, 보안 위협을 감지하는 등의 작업을 수행할 수 있습니다.

AVD에 Azure Monitor와 Log Analytics를 사용하려면 관리자는 다음을 수행할 수 있습니다.

• Azure Monitor를 사용하여 가상 머신 및 세션 호스트 풀과 같은 AVD 리소스에 대한 모니터링을 활성화합니다.
• AVD 리소스에서 로그와 메트릭을 수집하여 Log Analytics로 전송하도록 Azure Monitor를 구성합니다.
• Log Analytics를 사용하여 로그 데이터를 검색하고 분석하고, 사용자 정의 쿼리와 보고서를 만들고, 알림과 알림을 설정하세요.

AVD용 Azure Monitor와 Log Analytics를 사용하면 관리자는 가상 데스크톱 환경의 성능과 상태를 파악하고 문제를 사전에 식별하여 해결할 수 있습니다.

로그 분석을 생성하고 AVD 인사이트를 활성화하여 로그를 수집합니다.

Log Analytics 작업 공간을 만들고 AVD 인사이트를 활성화하여 로그를 수집하려면 다음 단계를 따르세요.

Log Analytics 작업 공간 만들기:

1. Azure Portal로 이동하여 "Log Analytics 작업 영역" 서비스로 이동합니다.
2. "만들기" 버튼을 클릭하여 새 Log Analytics 작업 공간을 만듭니다.
3. 리소스 그룹, 위치, 가격 책정 단계를 포함하여 작업 공간을 만들기 위한 메시지를 따르세요.

4. 

AVD 인사이트 활성화:

1. Azure Portal로 이동하여 Azure Virtual Desktop 으로 이동합니다 .
2. 통찰력을 클릭하세요 .
3. 대상 하위 섹션, 리소스 그룹 및 호스트 풀을 선택하세요 .
4. 그런 다음 구성 통합 문서 를 클릭하세요 .

5. 

6. 호스트 풀에 대한 진단 설정 에서 이전 단계에서 만든 Log Analytics 작업 공간을 선택 하고 호스트 풀 구성을 클릭합니다.

7. 

8. Deploy Template Blade에서 Deploy를 클릭합니다.

9. 

10. 호스트 풀에 대한 진단 설정 으로 돌아가서 작업 공간 섹션 을 클릭하고 선택한 작업 공간에 대한 Log Analytics 작업 공간 구성을 클릭합니다 .

11. 

12. Deploy Template Blade에서 Deploy를 클릭합니다.

13. 

Azure Virtual Desktop Insights 검토:

1. Azure Portal로 이동하여 Azure Virtual Desktop 으로 이동합니다.
2. 왼쪽 메뉴에서 "통찰력(미리보기)"을 선택하세요.

3. 

4. 위의 스크린샷에서 볼 수 있듯이 세션과 사용자 로그 및 데이터가 인사이트 페이지에 표시되기 시작합니다. 여기서 해당 정보를 모니터링 및 문제 해결에 활용할 수 있습니다.

수집된 로그를 검토하세요:

1. Azure Portal로 이동하여 Log Analytics 작업 영역 으로 이동합니다 .
2. 왼쪽 메뉴에서 "로그"를 선택하세요.
3. 검색 창을 사용하여 수집된 로그(예: "WVDFeeds", "WVDConnections" 또는 "WVDSessionHostManagement")를 검색합니다.
4. 수집된 데이터를 확인하려면 로그를 검토하세요.
   

AVD Insights의 고급 구성을 위한 몇 가지 추가 사항은 다음과 같습니다.

1. 사용자 정의 로그 구성: Log Analytics 작업 영역에서 사용자 정의 로그 쿼리를 생성하여 사용자 정의 로그를 수집하도록 AVD 인사이트를 구성할 수 있습니다. 이는 특정 데이터를 수집하거나 기본 AVD 로그에 포함되지 않은 데이터를 분석하는 데 유용할 수 있습니다.
2. 알림 구성: 수집된 로그를 사용하여 Log Analytics 작업 영역에서 알림을 만들 수 있습니다. 예를 들어, 특정 오류가 기록되거나 특정 임계값에 도달할 때(예: 실패한 연결 수) 트리거되는 알림을 만들 수 있습니다.
3. Power BI 통합 사용: Power BI 통합을 사용하여 수집된 로그를 보다 상호 작용적이고 사용자 친화적인 방식으로 시각화할 수 있습니다. 이는 이해 관계자에게 데이터를 제시하거나 데이터의 추세와 패턴을 식별하는 데 유용할 수 있습니다.
4. Azure Monitor 통합 사용: Azure Monitor 통합을 사용하면 수집된 로그를 Azure Monitor 경고 및 대시보드의 데이터 소스로 사용할 수 있습니다. 이는 AVD 환경의 상태와 성능을 실시간으로 모니터링하는 데 유용할 수 있습니다.

이러한 고급 기능을 구성하면 AVD 환경을 모니터링하고 분석하기 위한 AVD 인사이트의 기능과 유용성을 개선할 수 있습니다. 이러한 기능은 AVD 환경의 사용 패턴과 성능을 더 잘 이해하고 잠재적인 문제나 문제점을 식별하고 대응하는 데 도움이 될 수 있습니다.

AVD에 대한 감사 로그를 수집할 수 있는 표입니다.

Azure Virtual Desktop(AVD)에 대해 수집할 수 있는 모든 감사 로그 표는 다음과 같습니다.

Azure Virtual Desktop에 대한 알림 만들기

Azure Virtual Desktop(AVD)에 대한 알림을 만들고 구성하려면 다음 단계를 따르세요.

알림 생성:

1. Azure Portal로 이동하여 " 알림 " 서비스로 이동합니다.
2. "알림 규칙"을 선택하고 새로운 알림 규칙을 만듭니다.
3. 범위를 선택하세요

4. 

5. 특정 조건이 충족될 때(예: 세션 호스트가 오프라인이 되거나 문제가 감지될 때) 알림 규칙이 트리거되도록 구성합니다.

6. 

7. 쿼리 결과 검증

8. 

9. 이메일 보내기, Azure Automation 런북 트리거 등 알림에 대한 원하는 작업을 선택합니다.

10. 

알림 테스트:

1. 사용자로 AVD 세션에 로그인하고 경고 조건(예: 호스트 전원 끄기)을 트리거합니다.
2. 경고가 발생했는지, 그리고 원하는 조치가 취해졌는지 확인하세요.

이러한 단계에 따라 Microsoft Azure에서 알림과 자동화된 응답을 구성하여 AVD의 전반적인 규정 준수를 보장할 수 있습니다.

알림에는 Azure Virtual Desktop 환경에 적용할 수 있는 아이디어가 나열되어 있습니다.

Azure Virtual Desktop(AVD)에 적용할 수 있는 많은 경고가 있어 환경의 상태와 성능을 모니터링할 수 있습니다. 다음은 몇 가지 예의 표입니다.

이러한 추가 알림을 구성하면 AVD 환경의 모니터링 및 관리를 더욱 강화할 수 있습니다. 알림을 사용하여 잠재적인 문제나 문제점을 식별하고 대응하여 AVD 환경이 원활하고 효율적으로 작동하도록 할 수 있습니다. 또한 보안 침해가 감지되면 알림을 트리거하는 등 규정 준수 요구 사항을 충족하기 위해 알림을 사용할 수도 있습니다.

Azure Virtual Desktop용 Azure Sentinel

Azure Sentinel은 조직이 실시간으로 위협을 탐지하고 대응할 수 있도록 돕는 클라우드 네이티브 보안 정보 및 이벤트 관리(SIEM) 플랫폼입니다. AVD 리소스, Azure AD, Azure Defender의 로그를 포함한 다양한 소스에서 데이터를 수집, 분석 및 저장하여 Azure Virtual Desktop(AVD) 환경을 모니터링하고 보호하는 데 사용할 수 있습니다.

AVD에 Azure Sentinel을 사용하는 주요 이점은 다음과 같습니다.

• 실시간 위협 탐지: Azure Sentinel은 기계 학습 알고리즘을 사용하여 실시간으로 데이터를 분석하고 잠재적인 위협에 대해 관리자에게 경고합니다.
• 중앙 집중식 로그 관리: Azure Sentinel은 AVD 리소스에서 생성된 모든 로그에 대한 단일 보기를 제공하므로 관리자가 보안 이벤트를 더 쉽게 추적하고 분석할 수 있습니다.
• 다른 Azure 서비스와의 통합: Azure Sentinel은 Azure Defender 및 Azure AD와 같은 다른 Azure 보안 서비스와 통합되어 AVD 환경의 보안 태세를 포괄적으로 볼 수 있습니다.
• 자동화된 대응: Azure Sentinel은 탐지된 위협에 대응하여 액세스 차단이나 리소스 격리 등의 조치를 자동으로 수행하도록 구성할 수 있습니다.

Azure Virtual Desktop 데이터를 Microsoft Sentinel에 연결

Azure Virtual Desktop 데이터 연결

Azure Virtual Desktop 데이터를 Microsoft Sentinel로 푸시하려면 이전 섹션( 로그 분석 만들기 및 AVD Insights를 활성화하여 로그 수집 )에서 제공한 지침을 따르세요.

Azure Private Link를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure PaaS Services(예: Azure Storage 및 SQL Database)와 Azure 호스팅 고객 소유/파트너 서비스에 액세스할 수 있습니다.

가상 네트워크와 서비스 사이의 트래픽은 Microsoft 백본 네트워크를 통해 이동합니다. 서비스를 공용 인터넷에 더 이상 노출할 필요가 없습니다. 가상 네트워크에 자체 프라이빗 링크 서비스를 만들어서 고객에게 제공할 수도 있습니다. Azure Private Link를 사용한 설치 및 소비는 Azure PaaS, 고객 소유 및 공유 파트너 서비스에서 일관적입니다.

Azure Private Link는 다음과 같은 이점이 있습니다.

• Azure 플랫폼의 프라이빗 액세스 서비스: 프라이빗 엔드포인트를 사용하여 가상 네트워크를 Azure에서 애플리케이션 구성 요소로 사용할 수 있는 모든 서비스에 연결합니다. 서비스 공급자는 자체 가상 네트워크에서 서비스를 렌더링할 수 있으며, 소비자는 로컬 가상 네트워크에서 이러한 서비스에 액세스할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다.
• 온-프레미스 및 피어링된 네트워크: 프라이빗 엔드포인트를 사용하여 온-프레미스에서 ExpressRoute 개인 피어링, VPN 터널 및 피어링된 가상 네트워크를 통해 Azure에서 실행되는 서비스에 액세스할 수 있습니다. 서비스에 연결하기 위해 ExpressRoute Microsoft 피어링을 구성하거나 인터넷을 트래버스할 필요가 없습니다. Private Link는 워크로드를 Azure로 안전하게 마이그레이션하는 방법을 제공합니다.
• 데이터 유출 방지: 프라이빗 엔드포인트는 전체 서비스가 아닌 PaaS 리소스의 인스턴스에 매핑됩니다. 소비자는 특정 리소스에만 연결할 수 있습니다. 서비스의 다른 리소스에 대한 액세스는 차단됩니다. 이 메커니즘은 데이터 유출 위험을 방지합니다.
• Global Reach: 다른 지역에서 실행되는 서비스에 비공개로 연결합니다. 소비자의 가상 네트워크는 A 지역에 있으며, B 지역의 Private Link 뒤에 있는 서비스에 연결할 수 있습니다.
• 사용자 고유의 서비스로 확장: 동일한 환경과 기능을 사용하여 자체 서비스를 Azure의 소비자에게 비공개로 렌더링할 수 있습니다. 서비스를 표준 Azure Load Balancer 뒤에 배치하여 Private Link에 사용할 수 있습니다. 그러면 소비자는 자체 가상 네트워크에서 프라이빗 엔드포인트를 사용하여 서비스에 직접 연결할 수 있습니다. 승인 호출 흐름을 사용하여 연결 요청을 관리할 수 있습니다. Azure Private Link는 다른 Microsoft Entra 테넌트에 속하는 소비자 및 서비스에 대해 작동합니다.

Private Link를 지원하는 Azure 서비스에 대한 자세한 내용은 Azure Private Link 가용성을 참조하세요.

최신 알림은 Azure Private Link 업데이트 페이지를 확인하세요.

Azure Private Link는 Azure Monitor와 통합되었습니다. 이 조합을 통해 다음을 수행할 수 있습니다.

• 스토리지 계정에 로그를 보관합니다.
• 이벤트를 Event Hubs로 스트리밍합니다.
• Azure Monitor 로깅이 가능합니다.

Azure Monitor에서 다음 정보에 액세스할 수 있습니다.

• 프라이빗 엔드포인트:
  • 프라이빗 엔드포인트에서 처리한 데이터(수신/송신)
• Private Link 서비스:
  • Private Link 서비스에서 처리한 데이터(수신/송신)
  • NAT 포트 가용성

가격 책정에 대한 자세한 내용은 Azure Private Link 가격 책정을 참조하세요.

FAQ는 Azure Private Link FAQ를 참조하세요.

제한은 Azure Private Link 제한을 참조하세요.

SLA는 Azure Private Link에 대한 SLA를 참조하세요.

Azure 네트워크 보안 그룹을 사용하여 Azure 가상 네트워크의 Azure 리소스 간의 네트워크 트래픽을 필터링할 수 있습니다. 네트워크 보안 그룹에는 여러 종류의 Azure 리소스에서 오는 인바운드 트래픽 또는 이러한 리소스로 나가는 아웃바운드 네트워크 트래픽을 허용하거나 거부하는 보안 규칙이 포함됩니다. 규칙마다 원본 및 대상, 포트, 프로토콜을 지정할 수 있습니다.

이 문서에서는 네트워크 보안 그룹 규칙의 속성, 적용되는 기본 보안 규칙 및 강화된 보안 규칙을 만들기 위해 수정할 수 있는 규칙 속성을 설명합니다.

네트워크 보안 그룹은 Azure 구독 제한 내에서 필요한 개수 만큼 규칙을 포함합니다. 각 규칙은 다음 속성을 지정합니다.

보안 규칙은 5-튜플(원본, 원본 포트, 대상, 대상 포트, 프로토콜) 정보를 기반으로 평가 및 적용됩니다. 우선 순위와 방향이 같은 두 개의 보안 규칙을 만들 수 없습니다. 기존 연결에 대한 흐름 레코드가 만들어집니다. 통신은 흐름 레코드의 연결 상태에 따라 허용 또는 거부됩니다. 흐름 레코드는 네트워크 보안 그룹의 상태 저장을 허용합니다. 예를 들어 포트 80을 통해 모든 주소에 대한 아웃바운드 보안 규칙을 지정하는 경우 아웃바운드 트래픽에 대한 응답에 인바운드 보안 규칙을 지정하지 않아도 됩니다. 통신이 외부에서 시작된 경우 인바운드 보안 규칙을 지정하기만 하면 됩니다. 반대의 경우도 마찬가지입니다. 포트를 통해 인바운드 트래픽이 허용되는 경우 포트를 통해 트래픽에 응답하도록 아웃바운드 보안 규칙을 지정하지 않아도 됩니다.

연결을 허용한 보안 규칙을 제거해도 기존 연결이 중단되지 않을 수 있습니다. 네트워크 보안 그룹 규칙을 수정하면 새 연결에만 영향을 줍니다. 네트워크 보안 그룹에서 새 규칙을 만들거나 기존 규칙을 업데이트하는 경우 새 연결에만 적용됩니다. 기존 연결은 새 규칙으로 재평가되지 않습니다.

한 네트워크 보안 그룹에 만들 수 있는 보안 규칙 수에는 제한이 있습니다. 자세한 내용은 Azure 제한을 참조하세요.

Azure는 사용자가 만드는 각 네트워크 보안 그룹에 다음과 같은 기본 규칙을 만듭니다.

원본 및 대상 열에서 VirtualNetwork, AzureLoadBalancer 및 인터넷은 IP 주소가 아닌 서비스 태그입니다. 프로토콜 열에서 모두는 TCP, UDP 및 ICMP를 포함합니다. 규칙을 만들 때 TCP, UDP, ICMP 또는 모두를 지정할 수 있습니다. 소스 및 대상 열에서 0.0.0.0/0은 모든 주소를 나타냅니다. Azure Portal, Azure CLI 또는 PowerShell과 같은 클라이언트는 이 식에 * 또는 모두를 사용할 수 있습니다.

기본 규칙을 제거할 수 없지만 더 높은 우선 순위의 규칙을 만들어서 재정의할 수 있습니다.

보강된 보안 규칙은 가상 네트워크에 대한 보안 정의를 간소화하여 더 적은 규칙으로 크고 복잡한 네트워크 보안 정책을 정의할 수 있도록 합니다. 여러 포트, 여러 명시적 IP 주소 및 범위를 이해하기 쉬운 단일 보안 규칙으로 결합할 수 있습니다. 규칙의 원본, 대상 및 포트 필드에서 보강된 규칙을 사용합니다. 보안 규칙 정의를 간단히 유지 관리하려면 보강된 보안 규칙을 서비스 태그 또는 애플리케이션 보안 그룹과 결합합니다. 한 규칙에서 지정할 수 있는 주소, 범위 및 포트 수가 제한됩니다. 자세한 내용은 Azure 제한을 참조하세요.

서비스 태그는 지정된 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하는 데 도움이 됩니다.

자세한 내용은 Azure 서비스 태그를 참조하세요. Storage 서비스 태그를 사용하여 네트워크 액세스를 제한하는 방법에 대한 예제는 PaaS 리소스에 대한 네트워크 액세스 제한을 참조하세요.

애플리케이션 보안 그룹을 사용하면 네트워크 보안을 애플리케이션 구조의 자연 확장으로 구성하여 가상 머신을 그룹화하고 해당 그룹에 따라 네트워크 보안 정책을 정의할 수 있습니다. 명시적 IP 주소를 수동으로 유지 관리하지 않고 대규모 보안 정책을 재사용할 수 있습니다. 자세한 내용은 애플리케이션 보안 그룹을 참조하세요.

• 호스트 노드의 가상 IP: DHCP, DNS, IMDS, 상태 모니터링과 같은 기본 인프라 서비스는 가상화된 호스트 IP 주소 168.63.129.16 및 169.254.169.254를 통해 제공됩니다. 이러한 IP 주소는 Microsoft에 속하며, 이 용도로 모든 지역에서 유일하게 사용되는 가상화된 IP 주소입니다. 기본적으로 이러한 서비스는 각 서비스에 특정한 서비스 태그로 대상이 지정되지 않는 한 구성된 네트워크 보안 그룹의 적용을 받지 않습니다. 이 기본 인프라 통신을 재정의하기 위해 네트워크 보안 그룹 규칙에서 AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM과 같은 서비스 태그를 사용하여 트래픽을 거부하는 보안 규칙을 만들 수 있습니다. 네트워크 트래픽 필터링을 진단하고 네트워크 라우팅을 진단하는 방법을 알아봅니다.
• 라이선싱(키 관리 서비스): 가상 머신에서 실행되는 Windows 이미지는 사용이 허가되어 있어야 합니다. 사용 허가를 위해 라이선스 요청이 이러한 쿼리를 처리하는 키 관리 서비스 호스트 서버로 전송됩니다. 요청은 1688 포트를 통해 아웃바운드로 수행됩니다. 기본 경로 0.0.0.0/0 구성을 사용한 배포에 대해 이 플랫폼 규칙은 사용하지 않도록 설정됩니다.
• 부하가 분산된 풀의 가상 머신: 적용되는 원본 포트와 주소 범위는 부하 분산 장치가 아닌 원래 컴퓨터에서 가져옵니다. 대상 포트와 주소 범위는 부하 분산 장치가 아닌 대상 컴퓨터에서 가져옵니다.
• Azure 서비스 인스턴스: HDInsight, 애플리케이션 서비스 환경 및 Virtual Machine Scale Sets와 같은 몇 가지 Azure 서비스의 인스턴스는 가상 네트워크 서브넷에 배포됩니다. 가상 네트워크에 배포할 수 있는 서비스의 전체 목록은 Azure 서비스에 대한 가상 네트워크를 참조하세요. 서브넷에 네트워크 보안 그룹을 적용하기 전에 각 서비스의 포트 요구 사항을 숙지합니다. 서비스에 필요한 포트를 거부하면 서비스가 제대로 작동하지 않습니다.
• 아웃바운드 전자 메일 보내기: 인증된 SMTP 릴레이 서비스(일반적으로 587 TCP 포트를 통해 연결되지만 종종 다른 방법도 사용)를 활용하여 Azure Virtual Machines에서 전자 메일을 보내는 것이 좋습니다. SMTP 릴레이 서비스는 타사 전자 메일 공급자에서 메시지를 거부할 가능성을 최소화하기 위해 보낸 사람 신뢰도를 특수화합니다. 이러한 SMTP 릴레이 서비스는 Exchange Online Protection 및 SendGrid를 포함하지만 여기에 제한되지 않습니다. SMTP 릴레이 서비스는 구독 유형에 관계 없이 Azure에서 제한되지 않고 사용할 수 있습니다.
  • 기업계약: 표준 기업계약 구독에 배포된 VM의 경우 TCP 포트 25의 아웃바운드 SMTP 연결이 차단되지 않습니다. 그러나 외부 도메인은 VM에서 들어오는 이메일을 수락한다는 보장이 없습니다. 외부 도메인에서 이메일을 거부하거나 필터링하는 경우 외부 도메인의 이메일 서비스 공급자에게 문의하여 문제를 해결해야 합니다. 이러한 문제는 Azure 지원에서 다루지 않습니다.이 차단에서 구독을 제외하고 VM이 중지되었다가 다시 시작되면 해당 구독의 모든 VM은 제외됩니다. 예외는 요청된 구독에만 적용되고 인터넷으로 직접 라우팅되는 VM 트래픽에만 적용됩니다.
  • Enterprise 개발/테스트 구독의 경우 기본적으로 포트 25가 차단됩니다. 이 차단을 제거하는 것이 가능합니다. 차단을 제거하도록 요청하려면 Azure Portal의 Azure Virtual Network 리소스에 대한 진단 및 해결 설정 페이지의 이메일을 보낼 수 없음(SMTP-포트 25) 섹션으로 이동하여 진단을 실행합니다. 그러면 정규화된 엔터프라이즈 개발/테스트 구독이 자동으로 제외됩니다.
  • 종량제: 모든 리소스에서 아웃바운드 포트 25 통신이 차단되었습니다. 요청이 승인되지 않았기 때문에 제한 제거를 요청할 수 없습니다. 가상 머신에서 이메일을 보내야 하는 경우 SMTP 릴레이 서비스를 사용해야 합니다.
  • MSDN, Azure Pass, Azure in Open, Education 및 평가판: 모든 리소스에서 아웃바운드 포트 25 통신이 차단되었습니다. 요청이 승인되지 않았기 때문에 제한 제거를 요청할 수 없습니다. 가상 머신에서 이메일을 보내야 하는 경우 SMTP 릴레이 서비스를 사용해야 합니다.
  • 클라우드 서비스 공급자: 모든 리소스에서 아웃바운드 포트 25 통신이 차단되었습니다. 요청이 승인되지 않았기 때문에 제한 제거를 요청할 수 없습니다. 가상 머신에서 이메일을 보내야 하는 경우 SMTP 릴레이 서비스를 사용해야 합니다.
• 2017년 11월 15일까지 Azure 구독을 만든 경우 SMTP 릴레이 서비스를 사용할 수 있을 뿐만 아니라 TCP 포트 25를 통해 직접 전자 메일을 보낼 수 있습니다. 2017년 11월 15일 이후에 구독을 만든 경우 포트 25를 통해 직접 전자 메일을 보낼 수 없습니다. 포트 25를 통한 아웃바운드 통신 동작은 다음과 같이 구독 형식에 따라 다릅니다.

• 가상 네트워크에 배포하고 네트워크 보안 그룹이 연결된 Azure 리소스에 대한 자세한 내용은 Azure 서비스용 가상 네트워크 통합을 참조하세요
• 네트워크 보안 그룹을 사용하여 트래픽을 평가하는 방법에 대한 자세한 내용은 네트워크 보안 그룹의 작동 방법을 참조하세요.
• 네트워크 보안 그룹을 만들어 본 경험이 전혀 없는 경우 빠른 자습서를 완료하여 직접 경험해 볼 수 있습니다.
• 네트워크 보안 그룹에 익숙하고 네트워크 보안 그룹을 관리해야 하는 경우 네트워크 보안 그룹 관리를 참조하세요.
• 통신에 문제가 있고 네트워크 보안 그룹 문제를 해결해야 하는 경우 가상 머신 네트워크 트래픽 필터 문제 진단을 참조하세요.
• 네트워크 보안 그룹 흐름 로그를 사용하여 연결된 네트워크 보안 그룹이 있는 리소스와 주고 받는 네트워크 트래픽을 분석하는 방법을 알아보세요.