향상된 보안 하이브리드 메시징 인프라 - 모바일 액세스

Azure Active Directory
Microsoft 365
Office 365

이 문서에서는 Microsoft Exchange에 액세스하는 Outlook 모바일 클라이언트에 대한 다단계 인증을 구현하는 방법을 보여 줍니다. 사용자 사서함이 있는 Microsoft Exchange의 두 가지 가능성에 해당하는 두 가지 아키텍처가 있습니다.

아키텍처(Exchange Online)

Outlook 모바일 액세스 시나리오에서 보안 강화를 위한 아키텍처를 보여 주는 다이어그램 사용자의 사서함이 Exchange Online.

이 시나리오에서 사용자는 최신 인증을 지원하는 모바일 클라이언트를 사용해야 합니다. Microsoft 지원하는 Outlook 모바일(iOS용 Outlook/Android용 Outlook)을 권장합니다. 다음 워크플로에서는 Outlook 모바일을 사용합니다.

워크플로(Exchange Online)

  1. 사용자가 전자 메일 주소를 입력하여 Outlook 프로필 구성을 시작합니다. Outlook 모바일은 자동 검색 서비스에 연결합니다.
  2. AutoDetect 서비스는 사서함을 가져오기 위해 Exchange Online 익명 자동 검색 V2 요청을 수행합니다. Exchange Online Exchange Online 가리키는 사서함의 ActiveSync URL 주소가 포함된 302 리디렉션 응답을 사용하여 회신합니다. 이러한 유형의 요청 예제는 여기에서 확인할 수 있습니다.
  3. 이제 AutoDetect 서비스에 사서함 콘텐츠의 엔드포인트에 대한 정보가 있으므로 인증 없이 ActiveSync를 호출할 수 있습니다.
  4. 여기에 있는 연결 흐름에 설명된 대로 Exchange는 401 챌린지 응답으로 응답합니다. 여기에는 클라이언트가 액세스 토큰을 가져오는 데 사용해야 하는 Azure AD 엔드포인트를 식별하는 권한 부여 URL이 포함됩니다.
  5. AutoDetect 서비스는 Azure AD 권한 부여 엔드포인트를 클라이언트에 반환합니다.
  6. 클라이언트는 Azure AD 연결하여 인증을 완료하고 로그인 정보(이메일)를 입력합니다.
  7. 도메인이 페더레이션되면 요청이 웹 애플리케이션 프록시 리디렉션됩니다.
  8. 웹 애플리케이션 프록시 인증 요청을 AD FS에 프록시합니다. 사용자에게 로그인 페이지가 표시됩니다.
  9. 사용자가 자격 증명을 입력하여 인증을 완료합니다.
  10. 사용자가 Azure AD 다시 리디렉션됩니다.
  11. Azure AD Azure 조건부 액세스 정책을 적용합니다.
  12. 정책은 디바이스가 Microsoft Endpoint Manager에 등록된 경우 사용자의 디바이스 상태에 따라 제한을 적용하고, 애플리케이션 보호 정책을 적용하거나, 다단계 인증을 적용할 수 있습니다. 여기에 설명된 구현 단계에서 이러한 유형의 정책에 대한 자세한 예제를 찾을 수 있습니다.
  13. 사용자는 모든 정책 요구 사항을 구현하고 다단계 인증 요청을 완료합니다.
  14. Azure AD 클라이언트에 액세스 및 새로 고침 토큰을 반환합니다.
  15. 클라이언트는 액세스 토큰을 사용하여 Exchange Online 연결하고 사서함 콘텐츠를 검색합니다.

구성(Exchange Online)

레거시 인증(다이어그램의 빨간색 파선)을 통해 Exchange Online ActiveSync에 액세스하려는 시도를 차단하려면 Outlook 모바일 서비스에서 사용하는 프로토콜에 대한 레거시 인증을 사용하지 않도록 설정하는 인증 정책을 만들어야 합니다. 특히 자동 검색, ActiveSync 및 Outlook 서비스를 사용하지 않도록 설정해야 합니다. 해당 인증 정책 구성은 다음과 같습니다.

AllowBasicAuthAutodiscover: False

AllowBasicAuthActiveSync: False

AllowBasicAuthOutlookService: False

인증 정책을 만든 후 파일럿 사용자 그룹에 할당할 수 있습니다. 그런 다음 테스트 후 모든 사용자에 대한 정책을 확장할 수 있습니다. 조직 수준에서 정책을 적용하려면 명령을 사용합니다 Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . 이 구성에는 Exchange Online PowerShell을 사용해야 합니다.

페더레이션된 도메인의 경우 조건부 액세스 정책을 사용하는 대신 다단계 인증을 트리거하도록 AD FS를 구성할 수 있습니다. 그러나 연결을 제어하고 조건부 액세스 정책 수준에서 제한을 적용하는 것이 좋습니다.

아키텍처(Exchange 온-프레미스)

Outlook 모바일 액세스 시나리오에서 보안 강화를 위한 아키텍처를 보여 주는 다이어그램 사용자의 사서함이 Exchange 온-프레미스에 있습니다.

이 시나리오에서는 하이브리드 최신 인증 사용에 설명된 대로 최신 인증을 지원하는 모바일 클라이언트를 사용해야 합니다. Microsoft 지원하는 Outlook 모바일(iOS용 Outlook/Android용 Outlook)을 권장합니다. 다음 워크플로에서는 Outlook 모바일을 사용합니다.

워크플로(Exchange 온-프레미스)

  1. 사용자가 전자 메일 주소를 입력하여 Outlook 프로필 구성을 시작합니다. Outlook 모바일은 자동 검색 서비스에 연결합니다.
  2. AutoDetect 서비스는 사서함을 가져오기 위해 Exchange Online 익명 자동 검색 V2 요청을 수행합니다.
  3. 사서함이 온-프레미스에 있으면 Exchange Online 자동 검색에서 사서함의 ActiveSync URL 주소를 검색하는 데 사용할 수 있는 온-프레미스 자동 검색 URL이 포함된 302 리디렉션 응답으로 회신합니다.
  4. AutoDetect는 이전 단계에서 받은 온-프레미스 URL을 사용하여 사서함을 가져오기 위해 Exchange 온-프레미스에 익명 자동 검색 v2 요청을 만듭니다. Exchange 온-프레미스는 Exchange 온-프레미스를 가리키는 사서함에 대한 ActiveSync URL 주소를 반환합니다. 이러한 유형의 요청 예제는 여기에서 확인할 수 있습니다.
  5. 이제 AutoDetect 서비스에 사서함 콘텐츠의 엔드포인트에 대한 정보가 있으므로 인증 없이 온-프레미스 ActiveSync 엔드포인트를 호출할 수 있습니다. 여기에 있는 연결 흐름에 설명된 대로 Exchange는 401 챌린지 응답으로 응답합니다. 여기에는 클라이언트가 액세스 토큰을 가져오는 데 사용해야 하는 Azure AD 엔드포인트를 식별하는 권한 부여 URL이 포함됩니다.
  6. AutoDetect 서비스는 Azure AD 권한 부여 엔드포인트를 클라이언트에 반환합니다.
  7. 클라이언트는 Azure AD 연결하여 인증을 완료하고 로그인 정보(이메일)를 입력합니다.
  8. 도메인이 페더레이션되면 요청이 웹 애플리케이션 프록시 리디렉션됩니다.
  9. 웹 애플리케이션 프록시 인증 요청을 AD FS에 프록시합니다. 사용자에게 로그인 페이지가 표시됩니다.
  10. 사용자가 자격 증명을 입력하여 인증을 완료합니다.
  11. 사용자가 Azure AD 다시 리디렉션됩니다.
  12. Azure AD Azure 조건부 액세스 정책을 적용합니다.
  13. 정책은 디바이스가 Microsoft Endpoint Manager에 등록된 경우 사용자의 디바이스 상태에 따라 제한을 적용하고, 애플리케이션 보호 정책을 적용하거나, 다단계 인증을 적용할 수 있습니다. 여기에 설명된 구현 단계에서 이러한 유형의 정책에 대한 자세한 예제를 찾을 수 있습니다.
  14. 사용자는 모든 정책 요구 사항을 구현하고 다단계 인증 요청을 완료합니다.
  15. Azure AD 클라이언트에 액세스 및 새로 고침 토큰을 반환합니다.
  16. 클라이언트는 액세스 토큰을 사용하여 Exchange Online 연결하고 온-프레미스 사서함 콘텐츠를 검색합니다. 여기에 설명된 대로 캐시에서 콘텐츠를 제공해야 합니다. 이를 위해 클라이언트는 사용자의 액세스 토큰 및 온-프레미스 ActiveSync 엔드포인트를 포함하는 프로비저닝 요청을 발급합니다.
  17. Exchange Online 프로비전 API는 제공된 토큰을 입력으로 사용합니다. API는 Active Directory에 대한 On-Behalf-of 호출을 통해 온-프레미스 사서함에 액세스하기 위한 두 번째 액세스 및 새로 고침 토큰 쌍을 가져옵니다. 이 두 번째 액세스 토큰은 클라이언트를 Exchange Online 온-프레미스 ActiveSync 네임스페이스 엔드포인트의 대상 그룹으로 범위가 지정됩니다.
  18. 사서함이 프로비전되지 않은 경우 프로비전 API는 사서함을 만듭니다.
  19. 프로비전 API는 온-프레미스 ActiveSync 엔드포인트에 대한 보안 연결을 설정합니다. API는 두 번째 액세스 토큰을 인증 메커니즘으로 사용하여 사용자의 메시징 데이터를 동기화합니다. 새로 고침 토큰은 사용자가 개입하지 않고 백그라운드에서 데이터를 동기화할 수 있도록 새 액세스 토큰을 생성하기 위해 주기적으로 사용됩니다.
  20. 데이터가 클라이언트에 반환됩니다.

구성(Exchange 온-프레미스)

레거시 인증(다이어그램의 빨간색 파선)을 통해 Exchange 온-프레미스 ActiveSync에 액세스하려는 시도를 차단하려면 Outlook 모바일 서비스에서 사용하는 프로토콜에 대한 레거시 인증을 사용하지 않도록 설정하는 인증 정책을 만들어야 합니다. 특히 자동 검색 및 ActiveSync를 사용하지 않도록 설정해야 합니다. 해당 인증 정책 구성은 다음과 같습니다.

BlockLegacyAuthAutodiscover: True

BlockLegacyAuthActiveSync: True

다음은 이 인증 정책을 만들기 위한 명령의 예입니다.

New-AuthenticationPolicy -Name BlockLegacyActiveSyncAuth -BlockLegacyAuthActiveSync -BlockLegacyAuthAutodiscover

인증 정책을 만든 후 명령을 사용하여 Set-User user01 -AuthenticationPolicy <name_of_policy> 먼저 파일럿 사용자 그룹에 할당할 수 있습니다. 테스트 후 모든 사용자를 포함하도록 정책을 확장할 수 있습니다. 조직 수준에서 정책을 적용하려면 명령을 사용합니다 Set-OrganizationConfig -DefaultAuthenticationPolicy <name_of_policy> . 이 구성에는 Exchange 온-프레미스 PowerShell을 사용해야 합니다.

또한 일관성을 달성하고 Outlook 클라이언트에서만 액세스를 허용하는 단계를 수행해야 합니다. 조직에서 유일하게 승인된 클라이언트로 Outlook 모바일을 허용하려면 최신 인증을 지원하는 Outlook 모바일 클라이언트가 아닌 클라이언트의 연결 시도를 차단해야 합니다. 다음 단계를 완료하여 Exchange 온-프레미스 수준에서 이러한 시도를 차단해야 합니다.

  • 다른 모바일 디바이스 클라이언트 차단:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  • Exchange Online 온-프레미스에 연결할 수 있도록 허용:

    If ((Get-ActiveSyncOrganizationSettings).DefaultAccessLevel -ne "Allow") {New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "OutlookService" -AccessLevel Allow}
    
  • iOS 및 Android용 Outlook에 대한 기본 인증 차단:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
    

이러한 단계에 대한 자세한 내용은 iOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.

페더레이션된 도메인의 경우 조건부 액세스 정책을 사용하는 대신 다단계 인증을 트리거하도록 AD FS를 구성할 수 있습니다. 그러나 연결을 제어하고 조건부 액세스 정책 수준에서 제한을 적용하는 것이 좋습니다.

구성 요소

  • Azure AD. Azure AD Microsoft 클라우드 기반 ID 및 액세스 관리 서비스입니다. EvoSTS(Azure AD 사용하는 보안 토큰 서비스)를 기반으로 하는 최신 인증을 제공합니다. 온-프레미스에서 Exchange Server 인증 서버로 사용됩니다.
  • multi-Factor Authentication을 Azure AD. 다단계 인증은 로그인 프로세스 중에 휴대폰의 코드 또는 지문 스캔과 같은 다른 형태의 식별을 요청하는 프로세스입니다.
  • 조건부 액세스를 Azure AD. 조건부 액세스는 Azure AD 다단계 인증과 같은 조직 정책을 적용하는 데 사용하는 기능입니다.
  • AD FS. AD FS를 사용하면 보안 및 엔터프라이즈 경계 간에 향상된 보안으로 디지털 ID 및 권한 권한을 공유하여 페더레이션 ID 및 액세스 관리를 수행할 수 있습니다. 이러한 아키텍처에서는 페더레이션 ID가 있는 사용자의 로그인을 용이하게 하는 데 사용됩니다.
  • 웹 애플리케이션 프록시. 웹 애플리케이션 프록시 AD FS를 사용하여 웹 애플리케이션에 대한 액세스를 미리 인증합니다. AD FS 프록시로도 작동합니다.
  • 엔드포인트 관리자. Intune Endpoint Manager의 일부이며 100% 클라우드 기반 MDM(모바일 디바이스 관리) 및 모바일 애플리케이션 관리 도구입니다. 하이브리드 최신 인증을 사용하도록 설정하면 모든 온-프레미스 모바일 사용자는 Microsoft 365 또는 Office 365 기반으로 하는 아키텍처를 통해 iOS 및 Android용 Outlook을 사용할 수 있습니다. 따라서 Intune 앱 보호 정책을 사용하여 회사 데이터를 보호하는 것이 중요합니다.
  • Exchange Server. Exchange Server 온-프레미스에서 사용자 사서함을 호스트합니다. 이러한 아키텍처에서는 Azure AD 사용자에게 발급된 토큰을 사용하여 사서함에 대한 액세스 권한을 부여합니다.
  • Active Directory 서비스. Active Directory 서비스는 디바이스 및 사용자를 포함하여 도메인의 멤버에 대한 정보를 저장합니다. 이러한 아키텍처에서 사용자 계정은 Active Directory 서비스에 속하며 Azure AD 동기화됩니다.

대안

Outlook 모바일 대신 최신 인증을 지원하는 타사 모바일 클라이언트를 사용할 수 있습니다. 이 대안을 선택하는 경우 공급업체는 지원을 담당합니다.

시나리오 정보

EMI(엔터프라이즈 메시징 인프라)는 조직의 핵심 서비스입니다. 더 오래되고 덜 안전한 인증 및 권한 부여 방법에서 최신 인증으로 전환하는 것은 원격 작업이 일반적인 세계에서 중요한 과제입니다. 메시징 서비스 액세스에 대한 다단계 인증 요구 사항을 구현하는 것은 이러한 문제를 해결하는 가장 효과적인 방법 중 하나입니다.

이 문서에서는 Azure AD Multi-Factor Authentication을 사용하여 Outlook 모바일 액세스 시나리오에서 보안을 강화하는 데 도움이 되는 두 가지 아키텍처에 대해 설명합니다.

이러한 시나리오는 다음 문서에 설명되어 있습니다.

  • 사용자의 사서함이 Exchange Online 때 Outlook 모바일 액세스
  • 사용자의 사서함이 Exchange 온-프레미스에 있는 경우 Outlook 모바일 액세스

두 아키텍처 모두 iOS용 Outlook과 Android용 Outlook을 모두 다룹니다.

다른 하이브리드 메시징 시나리오에서 다단계 인증을 적용하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

이 문서에서는 IMAP 또는 POP와 같은 다른 프로토콜에 대해 설명하지 않습니다. 일반적으로 이러한 시나리오는 이러한 프로토콜을 사용하지 않습니다.

일반 사항

  • 이러한 아키텍처는 페더레이션된 Azure Active Directory(Azure AD) ID 모델을 사용합니다. 암호 해시 동기화 및 통과 인증 모델의 경우 논리와 흐름이 동일합니다. 유일한 차이점은 Azure AD 인증 요청을 온-프레미스 Active Directory 페더레이션 서비스(AD FS)로 리디렉션하지 않는다는 사실과 관련이 있습니다.
  • 다이어그램에서 검은색 파선은 로컬 Active Directory, Azure AD Connect, Azure AD, AD FS 및 웹 애플리케이션 프록시 구성 요소 간의 기본 상호 작용을 보여 줍니다. 하이브리드 ID 필수 포트 및 프로토콜에서 이러한 상호 작용에 대해 알아볼 수 있습니다.
  • Exchange 온-프레미스에서는 최신 업데이트 및 사서함 역할이 있는 Exchange 2019를 의미합니다.
  • 실제 환경에서는 서버가 하나만 없을 것입니다. 고가용성을 위해 부하가 분산된 Exchange 서버 배열이 있습니다. 여기에 설명된 시나리오는 해당 구성에 적합합니다.

잠재적인 사용 사례

이 아키텍처는 다음 시나리오와 관련이 있습니다.

  • EMI 보안을 강화합니다.
  • 제로 트러스트 보안 전략을 채택합니다.
  • Exchange Online 전환하거나 공존하는 동안 온-프레미스 메시징 서비스에 대한 표준 높은 수준의 보호를 적용합니다.
  • 금융 부문과 같이 폐쇄되거나 보안이 높은 조직에서 엄격한 보안 또는 규정 준수 요구 사항을 적용합니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

안정성은 애플리케이션이 고객에 대한 약속을 충족할 수 있도록 합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

가용성

전체 가용성은 관련된 구성 요소의 가용성에 따라 달라집니다. 가용성에 대한 자세한 내용은 다음 리소스를 참조하세요.

온-프레미스 솔루션 구성 요소의 가용성은 구현된 디자인, 하드웨어 가용성 및 내부 작업 및 유지 관리 루틴에 따라 달라집니다. 이러한 구성 요소 중 일부에 대한 가용성 정보는 다음 리소스를 참조하세요.

하이브리드 최신 인증을 사용하려면 네트워크의 모든 클라이언트가 Azure AD 액세스할 수 있는지 확인해야 합니다. 또한 방화벽 포트 및 IP 범위 열기를 Office 365 일관되게 유지 관리해야 합니다.

Exchange Server 대한 프로토콜 및 포트 요구 사항은 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 하이브리드 최신 인증 개요의 "Exchange 클라이언트 및 프로토콜 요구 사항"을 참조하세요.

Office 365 IP 범위 및 포트는 Office 365 URL 및 IP 주소 범위를 참조하세요.

하이브리드 최신 인증 및 모바일 디바이스에 대한 자세한 내용은 Office 365 IP 주소 및 URL 웹 서비스에 포함되지 않은 기타 엔드포인트의 자동 검색 엔드포인트를 참조하세요.

복원력

이 아키텍처에서 구성 요소의 복원력에 대한 자세한 내용은 다음 리소스를 참조하세요.

보안

모바일 디바이스의 보안에 대한 일반적인 지침은 Microsoft Intune 사용하여 데이터 및 디바이스 보호를 참조하세요.

보안 및 하이브리드 최신 인증에 대한 자세한 내용은 심층 분석: 하이브리드 인증이 실제로 작동하는 방식을 참조하세요.

기존의 강력한 경계 보호 기능이 있는 폐쇄된 조직의 경우 Exchange 하이브리드 클래식 구성과 관련된 보안 문제가 있습니다. Exchange 하이브리드 최신 구성은 하이브리드 최신 인증을 지원하지 않습니다.

Azure AD 대한 자세한 내용은 Azure AD 보안 작업 가이드를 참조하세요.

AD FS 보안을 사용하는 시나리오에 대한 자세한 내용은 다음 문서를 참조하세요.

비용 최적화

구현 비용은 Azure AD 및 Microsoft 365 라이선스 비용에 따라 달라집니다. 총 비용에는 온-프레미스 구성 요소, IT 운영, 교육 및 교육 및 프로젝트 구현을 위한 소프트웨어 및 하드웨어 비용도 포함됩니다.

이러한 솔루션에는 최소 Azure AD Premium P1 필요합니다. 가격 책정 세부 정보는 Azure AD 가격 책정을 참조하세요.

AD FS 및 웹 애플리케이션 프록시 대한 자세한 내용은 Windows Server 2022의 가격 책정 및 라이선스를 참조하세요.

자세한 가격 책정 정보는 다음 리소스를 참조하세요.

성능 효율성

성능은 관련된 구성 요소의 성능과 회사의 네트워크 성능에 따라 달라집니다. 자세한 내용은 기준 및 성능 기록을 사용하여 성능 조정 Office 365 참조하세요.

AD FS 서비스를 포함하는 시나리오의 성능에 영향을 주는 온-프레미스 요인에 대한 자세한 내용은 다음 리소스를 참조하세요.

확장성

AD FS 확장성에 대한 자세한 내용은 AD FS 서버 용량 계획을 참조하세요.

Exchange Server 온-프레미스 확장성에 대한 자세한 내용은 Exchange 2019 기본 설정 아키텍처를 참조하세요.

시나리오 배포

이 인프라를 구현하려면 다음 문서에 포함된 지침에 설명된 단계를 완료해야 합니다. 대략적인 단계는 다음과 같습니다.

  1. 최신 인증을 위한 이러한 구현 단계에 설명된 대로 Outlook 모바일 액세스를 보호합니다.
  2. Azure AD 수준에서 다른 모든 레거시 인증 시도를 차단합니다.
  3. 인증 정책을 사용하여 메시징 서비스 수준에서 레거시 인증 시도를 차단합니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

공용이 아닌 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계