Azure 조건부 액세스 policy에 프록시 IP 추가
이 가이드는 Microsoft Entra ID(이전의 Azure AD)에서 프록시 또는 아웃바운드 방화벽 IP 주소를 Azure 조건부 액세스 policy에 추가하는 방법을 설명합니다.
이를 통해 다음을 수행할 수 있습니다:
- 기업 네트워크 위치에 대한 액세스 제한
- 신뢰할 수 있는 IP(예: 프록시 또는 VPN 송신 지점)에 대해 MFA 우회
- 외부 또는 신뢰할 수 없는 소스에 대해 더 엄격한 policy 적용
필수 조건
- Azure AD의 Global administrator 또는 security administrator 역할
- 프록시/방화벽의 외부(egress) IP 주소에 대한 지식
- Azure AD Premium P1 또는 P2 라이선스(조건부 액세스에는 이것이 필요함)
1단계 - Azure portal에 로그인
- https://portal.Azure.com으로 이동합니다
- Microsoft Entra ID 블레이드(이전 명칭: Azure Active Directory)를 엽니다
2단계 - 조건부 액세스로 이동
- From the side menu:
- Protection → Conditional access를 클릭합니다.
- 기존 policy를 클릭하거나 + New policy를 클릭하여 새 policy를 만드세요.
3단계 - 위치를 기준으로 조건 구성
- Under your policy:
- Conditions → Locations를 클릭합니다.
- 토글을 Yes로 설정합니다.
4단계 - 이름 있는 위치 정의
- Select locations → + Named location를 차례로 클릭합니다.
- 의미 있는 이름(예:
Trusted Proxy IP)을 입력합니다. - IP ranges에서 프록시 또는 방화벽의 공인 IP를 추가합니다.
- 이 IP를 신뢰됨으로 표시해야 하는 경우 확인란을 선택합니다(MFA 또는 디바이스 규정 준수 규칙용).
5단계 - 명명된 위치 적용
- Once the named location is saved:
- Select locations 화면으로 다시 이동합니다.
- Select either:
- 포함 → 사용자가 해당 프록시 IP에서 접속하는 경우에 만 policy를 적용하려면
- 제외 → 해당 IP에 대해 policy를 우회하려면(예: MFA에서 제외)
6단계 - policy 완료
-
assignments에서 policy를 적용할 사용자/그룹을 선택합니다.
-
access controls에서 다음을 선택합니다:
- Grant → 액세스를 차단하거나 허용
- Session → 로그인 빈도와 같은 선택적 제어
-
Enable policy를 On으로 설정합니다.
-
Create 또는 Save를 클릭합니다.
사용 사례 예시
| 시나리오 | 조건부 액세스 policy에서의 작업 |
|---|---|
| 프록시 뒤에 있는 사용자에 대해 MFA 우회 | "locations" 조건에서 프록시 IP 제외 |
| 프록시가 아닌 경우 MFA 요구 | 모든 IP를 포함한 다음 프록시 IP 제외 |
| 프록시에서만 액세스 허용 | 명명된 위치로 프록시 IP만 포함 |
테스트 및 로그
- Use sign-in logs in Microsoft Entra ID to verify:
- Azure에서 확인되는 IP가 프록시/방화벽의 송신 IP와 일치함
- 조건부 액세스 policy 결과(
Success,Failure,Not Applied등)
팁
- 여러 프록시 또는 지역별 송신 IP 뒤에 있는 경우, 해당 IP를 모두 명명된 위치에 추가하세요.
- Azure는 클라이언트 공인 IP를 읽으므로, NAT 또는 포워드 프록시는 올바른 외부 주소를 노출해야 합니다.
- IP를 기준으로 액세스를 차단할 때는 주의하세요. 항상 policy에서 제외된 비상용 계정으로 테스트하세요.