보안 강화 하이브리드 메시징 인프라 - 웹 액세스

이 문서의 솔루션은 사서함이 Exchange Online 또는 Exchange 온-프레미스에서 호스트되는 경우 메시징 서비스(웹용 Outlook 또는 Exchange 컨트롤 플레인)를 보호하는 데 도움이 되는 방법을 제공합니다.

아키텍처

이 아키텍처에서는 솔루션을 두 영역으로 나누어 다음에 대한 보안을 설명합니다.

• 다이어그램의 오른쪽에 있는 Exchange Online.
• 다이어그램의 왼쪽에 있는 하이브리드 또는 비 하이브리드 시나리오의 Exchange 온-프레미스.

이 아키텍처의 Visio 파일을 다운로드합니다.

일반 사항

• 이 아키텍처는 페더레이션된 Microsoft Entra ID 모델을 사용합니다. 암호 해시 동기화 및 통과 인증 모델의 경우 논리와 흐름이 동일합니다. 유일한 차이점은 Microsoft Entra ID가 인증 요청을 AD FS(온-프레미스 Active Directory Federation Services)로 리디렉션하지 않는다는 사실과 관련이 있습니다.
• 다이어그램은 .../owa 경로에 해당하는 웹용 Outlook 서비스에 대한 액세스를 보여 줍니다. .../ecp 경로에 해당하는 Exchange 관리 센터(또는 Exchange 컨트롤 플레인) 사용자 액세스는 동일한 흐름을 따릅니다.
• 다이어그램에서 파선은 로컬 Active Directory, Microsoft Entra 커넥트, Microsoft Entra ID, AD FS 및 웹 애플리케이션 프록시 구성 요소 간의 기본 상호 작용을 보여 줍니다. 하이브리드 ID 필수 포트 및 프로토콜에서 이러한 상호 작용에 대해 자세히 알아볼 수 있습니다.
• Exchange 온-프레미스는 최신 업데이트, 사서함 역할이 있는 Exchange 2019를 의미합니다. Exchange Edge 온-프레미스는 최신 업데이트, Edge 전송 역할이 있는 Exchange 2019를 의미합니다. 다이어그램에 Edge 서버를 포함하여 이러한 시나리오에서 사용할 수 있다는 것을 강조 표시합니다. 여기에 설명된 클라이언트 프로토콜 사용에는 관련되지 않습니다.
• 실제 환경에서는 서버가 하나만 있지 않을 것입니다. 고가용성을 위해 부하가 분산된 Exchange 서버 배열이 있습니다. 여기에 설명된 시나리오는 해당 구성에 적합합니다.

Exchange Online 사용자 흐름

1. 사용자가 https://outlook.office.com/owa를 통해 웹용 Outlook 서비스에 액세스하려고 합니다.

2. Exchange Online은 인증을 위해 사용자를 Microsoft Entra ID로 리디렉션합니다.

   do기본 페더레이션된 경우 Microsoft Entra ID는 인증을 위해 사용자를 로컬 AD FS 인스턴스로 리디렉션합니다. 인증에 성공하면 사용자가 Microsoft Entra ID로 다시 리디렉션됩니다. (다이어그램을 간단하게 유지하기 위해 이 페더레이션 시나리오를 제외했습니다.)

3. 다단계 인증을 적용하기 위해 Microsoft Entra ID는 브라우저 클라이언트 애플리케이션에 대한 다단계 인증 요구 사항이 있는 Azure 조건부 액세스 정책을 적용합니다. 해당 정책 설정에 대한 자세한 내용은 이 문서의 배포 섹션을 참조하세요.

4. 조건부 액세스 정책은 Microsoft Entra 다단계 인증을 호출합니다. 사용자는 다단계 인증을 완료하라는 요청을 받습니다.

5. 사용자가 다단계 인증을 완료합니다.

6. Microsoft Entra ID는 인증된 웹 세션을 Exchange Online으로 리디렉션하고 사용자는 Outlook에 액세스할 수 있습니다.

Exchange 온-프레미스 사용자 흐름

1. 사용자는 내부 액세스를 위해 Exchange 서버를 가리키거나 외부 액세스를 위해 웹 애플리케이션 프록시 서버를 가리키는 https://mail.contoso.com/owa URL을 통해 웹용 Outlook 서비스에 액세스하려고 합니다.

2. Exchange 온-프레미스(내부 액세스용) 또는 웹 애플리케이션 프록시(외부 액세스용)는 인증을 위해 사용자를 AD FS로 리디렉션합니다.

3. AD FS는 내부 액세스를 위해 통합 Windows 인증을 사용하거나 외부 액세스를 위해 사용자가 자격 증명을 입력할 수 있는 웹 양식을 제공합니다.

4. AF DS 액세스 제어 정책에 응답하여 AD FS는 Microsoft Entra 다단계 인증을 호출하여 인증을 완료합니다. AD FS 액세스 제어 정책 유형의 예제는 다음과 같습니다.

   

   사용자는 다단계 인증을 완료하라는 요청을 받습니다.

5. 사용자가 다단계 인증을 완료합니다. AD FS는 인증된 웹 세션을 Exchange 온-프레미스로 리디렉션합니다.

6. 사용자는 Outlook에 액세스할 수 있습니다.

온-프레미스 사용자를 위해 이 시나리오를 구현하려면 AD FS가 웹 액세스 요청을 사전 인증하게 설정하도록 Exchange 및 AD FS를 구성해야 합니다. 자세한 내용은 웹용 Outlook에서 AD FS 클레임 기반 인증 사용을 참조하세요.

또한 AD FS 및 Microsoft Entra 다단계 인증의 통합을 사용하도록 설정해야 합니다. 자세한 내용은 AD FS를 사용하여 Azure MFA를 인증 공급자로 구성을 참조하세요. (이 통합에는 AD FS 2016 또는 2019가 필요합니다.) 마지막으로 사용자를 Microsoft Entra ID에 동기화하고 Microsoft Entra 다단계 인증에 대한 라이선스를 할당해야 합니다.

구성 요소

• Microsoft Entra ID입니다. Microsoft Entra ID는 Microsoft 클라우드 기반 ID 및 액세스 관리 서비스입니다. EvoSTS(Microsoft Entra ID에서 사용하는 보안 토큰 서비스)를 기반으로 하는 최신 인증을 제공합니다. Exchange Server 온-프레미스에 대한 인증 서버로 사용됩니다.

• Microsoft Entra 다단계 인증. 다단계 인증은 로그인 프로세스 중에 휴대폰의 코드 또는 지문 스캔과 같은 다른 형태의 식별을 요청하는 프로세스입니다.

• Microsoft Entra 조건부 액세스. 조건부 액세스는 Microsoft Entra ID가 다단계 인증과 같은 조직 정책을 적용하는 데 사용하는 기능입니다.

• AD FS. AD FS를 사용하면 향상된 보안을 통해 보안 및 엔터프라이즈 경계 간에 디지털 ID 및 자격 권한을 공유하여 페더레이션 ID 및 액세스 관리를 수행할 수 있습니다. 이 아키텍처에서는 페더레이션 ID를 가진 사용자의 로그인을 용이하게 하는 데 사용됩니다.

• 웹 애플리케이션 프록시. 웹 애플리케이션 프록시는 AD FS를 사용하여 웹 애플리케이션에 대한 액세스를 미리 인증합니다. AD FS 프록시의 기능도 합니다.

• Exchange Server. Exchange Server는 온-프레미스에서 사용자 사서함을 호스트합니다. 이 아키텍처에서는 Microsoft Entra ID로 사용자에게 발급된 토큰을 사용하여 사서함에 대한 액세스 권한을 부여합니다.

• Active Directory 서비스. Active Directory 서비스는 디바이스 및 사용자를 포함하여 도메인의 멤버에 대한 정보를 저장합니다. 이 아키텍처에서 사용자 계정은 Active Directory 서비스에 속하며 Microsoft Entra ID와 동기화됩니다.

시나리오 정보

EMI(엔터프라이즈 메시징 인프라)는 조직의 핵심 서비스입니다. 더 오래되고 덜 안전한 인증 및 권한 부여 방법에서 최신 인증으로 전환하는 것은 원격 작업이 일반적인 세계에서 중요한 과제입니다. 메시징 서비스 액세스에 대한 다단계 인증 요구 사항을 구현하는 것은 이러한 문제를 해결하는 가장 효과적인 방법 중 하나입니다.

이 문서에서는 Microsoft Entra 다단계 인증을 사용하여 웹 액세스 시나리오에서 보안을 강화하는 아키텍처를 설명합니다.

여기서 이 아키텍처는 사서함이 Exchange Online 또는 Exchange 온-프레미스에서 호스트되는 경우 메시징 서비스(웹용 Outlook 또는 Exchange 컨트롤 플레인)를 보호하는 데 도움이 되는 시나리오를 설명합니다.

다른 하이브리드 메시징 시나리오에서 다단계 인증을 적용하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.

• 데스크톱-클라이언트 액세스 시나리오의 보안 강화 하이브리드 메시징 인프라
• 모바일 액세스 시나리오의 보안 강화 하이브리드 메시징 인프라

이 문서에서는 IMAP 또는 POP와 같은 다른 프로토콜을 설명하지 않습니다. 사용자 액세스를 제공하는 데 이 프로토콜을 사용하지 않는 것이 좋습니다.

잠재적인 사용 사례

이 아키텍처는 다음 시나리오와 관련이 있습니다.

• EMI 보안을 강화합니다.
• 제로 트러스트 보안 전략을 채택합니다.
• Exchange Online으로 전환하거나 이를 함께 사용하는 동안 온-프레미스 메시징 서비스에 대한 높은 수준의 표준 보호를 적용합니다.
• 금융 부문과 같이 폐쇄적이나 보안 수준이 높은 조직에서는 엄격한 보안 또는 규정 준수 요구 사항을 적용합니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

안정성

안정성은 애플리케이션이 고객에 대한 약정을 충족할 수 있도록 보장합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

가용성

전체 가용성은 관련된 구성 요소의 가용성에 따라 달라집니다. 가용성에 대한 내용은 다음 리소스를 참조하세요.

• Microsoft Entra 가용성 발전
• 신뢰할 수 있는 클라우드 서비스: Office 365 가용성
• Microsoft Entra 아키텍처란?

온-프레미스 솔루션 구성 요소의 가용성은 구현된 디자인, 하드웨어 가용성 및 내부 작업과 유지 관리 루틴에 따라 달라집니다. 이 구성 요소 중 일부에 대한 가용성 정보는 다음 리소스를 참조하세요.

• Always On 가용성 그룹을 사용하여 AD FS 배포 설정
• Exchange Server에서 고가용성 및 사이트 복원력 배포
• Windows server에서 웹 애플리케이션 프록시

복원력

이 아키텍처에서 구성 요소의 복원력에 대한 내용은 다음 리소스를 참조하세요.

• Microsoft Entra ID의 경우: Microsoft Entra 가용성 발전
• AD FS를 사용하는 시나리오의 경우: Azure Traffic Manager를 사용하여 Azure에서 고가용성 교차 지리적 AD FS 배포
• Exchange 온-프레미스 솔루션의 경우: Exchange 고가용성

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

이 아키텍처의 구성 요소 보안에 대한 내용은 다음 리소스를 참조하세요.

• Microsoft Entra 보안 운영 가이드
• AD FS 및 웹 애플리케이션 프록시 보안 모범 사례
• AD FS 엑스트라넷 스마트 잠금 보호 구성

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

구현 비용은 Microsoft Entra ID 및 Microsoft 365 라이선스 비용에 따라 달라집니다. 총 비용에는 온-프레미스 구성 요소, IT 운영, 학습 및 교육, 프로젝트 구현을 위한 소프트웨어 및 하드웨어 비용도 포함됩니다.

솔루션에는 최소한 Microsoft Entra ID P1이 필요합니다. 가격 책정 세부 정보는 Microsoft Entra 가격 책정을 참조하세요.

Exchange에 대한 내용은 Exchange Server 가격 책정을 참조하세요.

AD FS 및 웹 애플리케이션 프록시에 대한 내용은 Windows Server 2022에 대한 가격 책정 및 라이선스를 참조하세요.

성능 효율성

성능 효율성은 워크로드가 사용자의 요구 사항을 충족하기 위해 효율적인 방식으로 스케일 인되는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

성능은 관련된 구성 요소의 성능과 회사의 네트워크 성능에 따라 달라집니다. 자세한 내용은 기준 및 성능 기록을 사용하여 Office 365 성능 조정을 참조하세요.

AD FS 서비스를 포함하는 시나리오의 성능에 영향을 주는 온-프레미스 요인에 대한 내용은 다음 리소스를 참조하세요.

• 성능 모니터링 구성
• AD FS를 사용하여 SQL 미세 조정 및 대기 시간 문제 해결

확장성

AD FS 스케일링 성능에 대한 내용은 AD FS 서버 용량 계획을 참조하세요.

Exchange Server 온-프레미스 스케일링 성능에 대한 내용은 Exchange 2019 기본 아키텍처를 참조하세요.

시나리오 배포

이 시나리오를 배포하려면 다음 대략적인 단계를 완료합니다.

1. 웹 액세스 서비스로 시작합니다. Exchange Online에 대한 Azure 조건부 액세스 정책을 사용하여 보안을 개선합니다.
2. AD FS 클레임 기반 인증을 사용하여 온-프레미스 EMI에 대한 웹 액세스의 보안을 개선합니다.

조건부 액세스 정책 설정

이 문서의 앞부분에 있는 온라인 사용자 흐름의 3단계에서 설명한 대로 다단계 인증을 적용하는 Microsoft Entra 조건부 액세스 정책을 설정하려면 다음을 수행합니다.

1. Office 365 Exchange Online 또는 Office 365를 클라우드 앱으로 구성합니다.

   

2. 브라우저를 클라이언트 앱으로 구성합니다.

   

3. 권한 부여 창에서 다단계 인증 요구 사항을 적용합니다.

   

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 작성자:

• Pavel Kondrashov | 클라우드 솔루션 설계자
• Ella Parkum | Principal Customer Solution Architect-Engineering

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인합니다.

다음 단계

• Exchange 온-프레미스에 대한 하이브리드 최신 인증 발표
• 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 하이브리드 최신 인증 개요 및 필수 조건
• 웹용 Outlook에서 AD FS 클레임 기반 인증 사용
• Exchange 2019 기본 아키텍처
• Azure Traffic Manager를 사용하여 Azure에서 고가용성 교차 지리적 AD FS 배포

관련 참고 자료

• 데스크톱-클라이언트 액세스 시나리오의 보안 강화 하이브리드 메시징 인프라
• 모바일 액세스 시나리오의 보안 강화 하이브리드 메시징 인프라