Intune에 대한 Exchange 온-프레미스 액세스 구성

아티클
11/10/2023

중요

온-프레미스 Intune Exchange 커넥터에 대한 지원은 2024년 2월 19일에 종료됩니다. 이 날짜 이후에는 Exchange 커넥터가 더 이상 Intune과 동기화되지 않습니다. Exchange 커넥터를 사용하는 경우 2024년 2월 19일 이전에 다음 작업 중 하나를 수행하는 것이 좋습니다.

이 문서에서는 디바이스 준수를 기반으로 Exchange 온-프레미스에 대한 조건부 액세스를 구성하는 방법을 설명합니다.

Exchange Online Dedicated 환경이 있고 신규 또는 기존 구성 상태인지를 확인해야 하는 경우 계정 관리자에게 문의하세요. Exchange 온-프레미스 또는 레거시 Exchange Online Dedicated 환경에 대한 메일 액세스를 제어하려면 Intune에서 Exchange 온-프레미스에 대한 조건부 액세스를 구성합니다.

시작하기 전에

조건부 액세스를 구성하기 전에 다음 구성이 있는지 확인합니다.

Exchange 버전이 Exchange 2010 SP3 이상입니다. Exchange Server CAS(클라이언트 액세스 서버) 배열이 지원됩니다.
Intune을 온-프레미스 Exchange에 연결하는 Exchange Active Sync 온-프레미스 Exchange 커넥터를 설치했고 사용합니다.

중요

Intune은 구독당 여러 개의 온-프레미스 Exchange Connector를 지원합니다. 그러나 각 온-프레미스 Exchange 커넥터는 단일 Intune 테넌트별로 다르며 다른 테넌트에서는 사용할 수 없습니다. 둘 이상의 온-프레미스 Exchange 조직이 있는 경우 각 Exchange 조직에 대해 별도의 커넥터를 설정할 수 있습니다.
컴퓨터에서 Exchange Server와 통신할 수 있는 한 해당되는 모든 컴퓨터에 온-프레미스 Exchange 조직에 대한 커넥터를 설치할 수 있습니다.
이 커넥터는 Exchange CAS 환경을 지원합니다. Intune은 Exchange CAS 서버에 직접 커넥터를 설치하는 것을 지원합니다. 커넥터 때문에 서버에서 추가 로드가 발생하므로 별도의 컴퓨터에 설치하는 것이 좋습니다. 커넥터를 구성할 때는 커넥터가 Exchange CAS 서버 중 하나와 통신하도록 설정해야 합니다.
Exchange ActiveSync는 인증서 기반 인증 또는 사용자 자격 증명 항목으로 구성되어야 합니다.
조건부 액세스 정책이 구성되고 사용자를 대상으로 지정한 경우 사용자가 자신의 이메일에 연결하기 전에 사용하는 디바이스는 다음과 같아야 합니다.
- Intune에 등록되어 있거나 도메인에 가입된 PC여야 합니다.
- Microsoft Entra ID 등록되었습니다. 또한 클라이언트 Exchange ActiveSync ID는 Microsoft Entra ID 등록해야 합니다.
Microsoft Entra DRS(디바이스 등록 서비스)는 Intune 및 Microsoft 365 고객에 대해 자동으로 활성화됩니다. ADFS 디바이스 등록 서비스를 이미 배포한 고객의 온-프레미스 Active Directory에는 등록된 디바이스가 표시되지 않습니다. Windows PC 및 디바이스에는 적용되지 않습니다.
해당 디바이스에 배포된 디바이스 준수 정책을 준수해야 합니다.
디바이스가 조건부 액세스 설정을 충족하지 않으면 사용자가 로그인할 때 다음 메시지 중 하나가 표시됩니다.
- 디바이스가 Intune에 등록되지 않았거나 Microsoft Entra ID 등록되지 않은 경우 회사 포털 앱을 설치하고, 디바이스를 등록하고, 전자 메일을 활성화하는 방법에 대한 지침이 포함된 메시지가 표시됩니다. 또한 이 프로세스는 디바이스의 Exchange ActiveSync ID를 Microsoft Entra ID 디바이스 레코드와 연결합니다.
- 디바이스가 규정을 준수하지 않으면 사용자를 Intune 회사 포털 웹 사이트 또는 회사 포털 앱으로 디렉션한다는 메시지가 표시됩니다. 회사 포털에서 문제에 대한 정보와 이를 해결하는 방법을 찾을 수 있습니다.

모바일 디바이스에 대한 지원

iOS/iPadOS의 기본 메일 앱 - 조건부 액세스 정책을 만들려면 조건부 액세스 정책 만들기를 참조하세요.
Android 4 이상의 Gmail과 같은 EAS 메일 클라이언트 - 조건부 액세스 정책을 만들려면 조건부 액세스 정책 만들기를 참조하세요.
Android Enterprise Personally-Owned 회사 프로필 디바이스의 EAS 메일 클라이언트 - Android Enterprise용Gmail 및 Nine Work만 Android Enterprise 개인 소유 회사 프로필 디바이스에서 지원됩니다. 조건부 액세스가 Android Enterprise 개인 소유 회사 프로필에서 작동하려면 Gmail 또는 Android Enterprise용 Nine Work 앱에 대한 이메일 프로필을 배포하고 필수 설치로 해당 앱을 배포해야 합니다. 앱을 배포한 후 디바이스 기반 조건부 액세스를 설정할 수 있습니다.
Android 디바이스 관리자의 EAS 메일 클라이언트 - 조건부 액세스 정책을 만들려면 조건부 액세스 정책 만들기를 참조하세요.

중요

Microsoft Intune 2024년 8월 30일에 GMS(Google Mobile Services)에 액세스할 수 있는 디바이스에서 Android 디바이스 관리자 관리에 대한 지원을 종료합니다. 해당 날짜 이후에는 디바이스 등록, 기술 지원, 버그 수정 및 보안 수정을 사용할 수 없습니다. 현재 디바이스 관리자 관리를 사용하는 경우 지원이 종료되기 전에 Intune에서 다른 Android 관리 옵션으로 전환하는 것이 좋습니다. 자세한 내용은 GMS 디바이스에서 Android 디바이스 관리자에 대한 지원 종료를 참조하세요.

Android Enterprise 개인 소유 회사 프로필 디바이스에 대한 조건부 액세스를 설정하려면

Microsoft Intune 관리 센터에 로그인합니다.
Gmail 또는 Nine Work 앱을 필수로 배포합니다.
디바이스>구성으로 이동하여 *만들기를 선택합니다.
프로필의 이름 및 설명을 입력합니다.
플랫폼에서 Android 엔터프라이즈를 선택하고 프로필 유형에서 메일을 선택합니다.
메일 프로필 설정을 구성합니다.
작업이 완료되면 확인>만들기를 선택하여 변경 내용을 저장합니다.
메일 프로필을 만든 후에 그룹에 할당합니다.
디바이스 기반 조건부 액세스를 설정합니다.

참고

Android 및 iOS/iPadOS용 Microsoft Outlook은 Exchange 온-프레미스 커넥터를 통해 사용할 수 없습니다. 온-프레미스 사서함에 대해 iOS/iPadOS 및 Android용 Outlook에서 Microsoft Entra 조건부 액세스 정책 및 Intune 앱 보호 정책을 활용하려면 iOS/iPadOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.

PC 지원

현재 Windows 8.1 이상에서 네이티브 메일 애플리케이션을 지원합니다(Intune을 사용하여 MDM에 등록된 경우).

중요

2022년 10월 22일, Microsoft Intune Windows 8.1 실행하는 디바이스에 대한 지원을 종료했습니다. 이러한 디바이스의 기술 지원 및 자동 업데이트는 사용할 수 없습니다.

현재 Windows 8.1 사용하는 경우 Windows 10/11 디바이스로 이동하는 것이 좋습니다. Microsoft Intune Windows 10/11 클라이언트 디바이스를 관리하는 기본 제공 보안 및 디바이스 기능이 있습니다.

Exchange 온-프레미스 액세스 구성

Exchange 커넥터의 새로운 설치 지원이 2020년 7월부터 중단되어 커넥터 설치 패키지를 더 이상 다운로드할 수 없습니다. 대신 Exchange HMA(하이브리드 최신 인증)를 사용하세요.

Exchange 온-프레미스 액세스 제어를 설정하려면 다음 절차를 사용하기 전에 Exchange 온-프레미스에 대한 Intune 온-프레미스 Exchange Connector를 하나 이상 설치하고 구성해야 합니다.

Microsoft Intune 관리 센터에 로그인합니다.
테넌트 관리>Exchange 액세스로 이동한 다음 Exchange 온-프레미스 액세스를 선택합니다.
Exchange 온-프레미스 액세스 창에서 Exchange 온-프레미스 액세스 제어 사용에 대해 예를 선택합니다.
할당에서 포함할 그룹 선택을 선택한 다음 액세스를 구성할 하나 이상의 그룹을 선택합니다.

선택한 그룹의 구성원에게는 그러한 구성원에게 적용되는 Exchange 온-프레미스 액세스용 조건부 액세스 정책이 있습니다. 이 정책을 받는 사용자는 Intune에 디바이스를 등록하고 준수 프로필을 준수해야 Exchange 온-프레미스에 액세스할 수 있습니다.
그룹을 제외하려면 제외할 그룹 선택을 선택한 다음 디바이스 등록 요구 사항에서 제외되는 하나 이상의 그룹을 선택하고 Exchange 온-프레미스에 액세스하기 전에 준수 프로필을 준수합니다.

저장을 선택하여 구성을 저장하고 Exchange 액세스 창으로 돌아갑니다.
그런 다음 Intune 온-프레미스 Exchange Connector 구성을 구성합니다. 관리 센터에서 테넌트 관리>Exchange Access>Exchange ActiveSync 온-프레미스 커넥터를 선택한 다음 구성하려는 Exchange organization 대한 커넥터를 선택합니다.
사용자 알림에서 편집을 선택하여 사용자 알림 메시지를 수정할 수 있는 조직 편집 워크플로를 엽니다.

디바이스가 비규격이고 Exchange 온-프레미스에 액세스하려는 사용자에게 전송되는 기본 전자 메일 메시지를 수정합니다. 메시지 템플릿에는 마크업 언어가 사용됩니다. 입력할 때 메시지의 미리 보기도 볼 수 있습니다.

검토 + 저장을 선택한 다음 저장을 선택하여 편집 내용을 저장하면 Exchange 온-프레미스 액세스의 구성이 완료됩니다.

팁

마크업 언어에 대한 자세한 내용은 이 Wikipedia 문서를 참조하세요.
그런 다음 Advanced Exchange ActiveSync 액세스 설정을 선택하여 디바이스 액세스 규칙을 구성하는 고급 Exchange ActiveSync 액세스 설정 워크플로를 엽니다.
- 관리되지 않는 디바이스 액세스의 경우 조건부 액세스 또는 기타 규칙의 영향을 받지 않는 디바이스의 액세스에 대한 전역 기본 규칙을 설정합니다.
  - 액세스 허용 - 모든 디바이스에서 Exchange 온-프레미스에 즉시 액세스할 수 있습니다. 이전 절차에 포함된 것으로 구성한 그룹의 사용자에게 속한 디바이스는 이후에 준수 정책을 준수하지 않거나 Intune에 등록되지 않은 것으로 평가되는 경우 차단됩니다.
  - 액세스 차단 및 격리 – 모든 디바이스가 Exchange 온-프레미스에 초기 액세스하지 못하도록 즉시 차단합니다. 이전 절차에 포함된 것으로 구성한 그룹의 사용자에게 속한 디바이스는 Intune에서 디바이스를 등록한 후에 액세스를 받고 준수 상태로 평가됩니다.
    
    이 설정은 Samsung Knox 표준을 실행하는 Android 디바이스에서 지원됩니다. 다른 Android 디바이스는 이 설정을 지원하지 않으며 항상 차단됩니다.
- 디바이스 플랫폼 예외에서 추가를 선택한 다음 사용자 환경의 필요에 따라 세부 정보를 지정합니다.
  
  관리되지 않는 디바이스 액세스 설정이 차단됨으로 설정된 경우 등록되고 준수 상태에 있는 디바이스는 차단에 대한 플랫폼 예외가 있는 경우에도 허용됩니다.
확인을 선택하여 편집 내용을 저장합니다.
검토 + 저장을 선택한 다음 저장을 선택하여 Exchange 조건부 액세스 정책을 저장합니다.