Exchange Online에서 S/MIME 구성

S/MIME(보안/다목적 인터넷 메일 확장)는 디지털 서명되고 암호화된 메시지를 보내기 위한 널리 허용되는 프로토콜입니다. 자세한 내용은 Exchange Online 메시지 서명 및 암호화에 대한 S/MIME를 참조하세요.

S/MIME는 다음과 같은 유형의 전자 메일 클라이언트와 함께 Exchange Online 사용할 수 있습니다.

• 지원되는 Outlook 버전입니다.

• Windows 클라이언트에서 웹용 Outlook(이전의 Outlook Web App). 자세한 내용은 웹용 Outlook S/MIME를 사용하여 메시지 암호화를 참조하세요.

  참고

  중요한 정책 작업은 서버 백 엔드에 적용되고 S/MIME 서명 및/또는 암호화는 웹용 Outlook 클라이언트에서 수행됩니다. 이러한 아키텍처 제약 조건으로 인해 보호 작업이 있는 민감도 레이블이 있는 메시지의 웹용 Outlook S/MIME가 비활성화됩니다.

• 모바일 디바이스(예: iOS 및 Android용 Outlook, Exchange ActiveSync 앱 또는 네이티브 전자 메일 앱)

Exchange Online 관리자는 organization 사서함에 대해 S/MIME 기반 보안을 사용하도록 설정할 수 있습니다. 개략적인 단계는 다음 목록에 설명되어 있으며 이 문서에서 확장됩니다.

1. S/MIME 인증서를 설정하고 게시합니다.
2. Exchange Online 가상 인증서 컬렉션을 설정합니다.
3. S/MIME용 사용자 인증서를 Microsoft 365에 동기화합니다.
4. 웹용 Outlook 위해 웹 브라우저에 S/MIME 확장을 설치하는 정책을 구성합니다.
5. S/MIME를 사용하도록 전자 메일 클라이언트를 구성합니다.

iOS 및 Android용 Outlook에 대한 엔드 투 엔드 S/MIME 구성 지침은 iOS 및 Android용 Outlook용 S/MIME를 참조하세요.

1단계: S/MIME 인증서 설정 및 게시

organization 각 사용자는 서명 및 암호화를 위해 발급된 자체 인증서가 필요합니다. 배포를 위해 이러한 인증서를 온-프레미스 Active Directory 게시합니다. Active Directory는 인터넷의 원격 시설 또는 클라우드 기반 서비스가 아니라 사용자가 제어하는 물리적 위치에 있는 컴퓨터에 있어야 합니다.

Active Directory에 대한 자세한 내용은 Active Directory Domain Services 개요를 참조하세요.

1. Windows 기반 CA(인증 기관)를 설치하고 공개 키 인프라를 설정하여 S/MIME 인증서를 발급합니다. 타사 인증서 공급자가 발급한 인증서도 지원됩니다. 자세한 내용은 Active Directory 인증서 서비스 개요를 참조하세요.

   참고:

   • 타사 CA에서 발급한 인증서는 모든 클라이언트 및 디바이스에서 자동으로 신뢰할 수 있다는 이점이 있습니다. 내부 프라이빗 CA에서 발급한 인증서는 클라이언트 및 디바이스에서 자동으로 신뢰할 수 없으며 모든 디바이스(예: 휴대폰)를 프라이빗 인증서를 신뢰하도록 구성할 수 있는 것은 아닙니다.
   • 루트 인증서 대신 중간 인증서를 사용하여 사용자에게 인증서를 발급하는 것이 좋습니다. 이렇게 하면 인증서를 해지하고 다시 발급해야 하는 경우 루트 인증서는 그대로 유지됩니다.
   • 인증서에는 프라이빗 키가 있어야 하며 X509 확장 "주체 키 식별자"를 채워야 합니다.

2. 사용자 인증서를 UserSMIMECertificate 및/또는 UserCertificate 특성의 온-프레미스 Active Directory 계정에 게시합니다.

2단계: Exchange Online 가상 인증서 컬렉션 설정

가상 인증서 컬렉션은 S/MIME 인증서의 유효성을 검사합니다. 다음 단계를 사용하여 가상 인증서 컬렉션을 설정합니다.

1. 신뢰할 수 있는 컴퓨터에서 SST(직렬화된 인증서 저장소) 파일로 사용자 S/MIME 인증서의 유효성을 검사하는 데 필요한 루트 및 중간 인증서를 Windows PowerShell 내보냅니다. 예를 들면 다음과 같습니다.

   Get-ChildItem -Path cert:\<StoreCertPath> | Export-Certificate -FilePath "C:\My Documents\Exported Certificate Store.sst" -Type SST
   

   자세한 구문 및 매개 변수 정보는 Export-Certificate를 참조하세요.

2. Exchange Online PowerShell에서 다음 명령을 실행하여 SST 파일에서 Exchange Online 인증서를 가져옵니다.

   Set-SmimeConfig -SMIMECertificateIssuingCA ([System.IO.File]::ReadAllBytes('C:\My Documents\Exported Certificate Store.sst'))
   

   자세한 구문 및 매개 변수 정보는 Set-SmimeConfig를 참조하세요.

3단계: S/MIME용 사용자 인증서를 Microsoft 365로 동기화

누구나 Exchange Online S/MIME로 보호되는 메시지를 보내려면 각 사용자에 대해 적절한 인증서를 설정하고 구성하고 공용 X.509 인증서를 Microsoft 365에 게시해야 합니다. 보낸 사람의 전자 메일 클라이언트는 받는 사람의 공용 인증서를 사용하여 메시지를 암호화합니다.

1. 인증서를 발급하고 로컬 Active Directory에 게시합니다. 자세한 내용은 Active Directory 인증서 서비스 개요를 참조하세요.

2. 인증서가 게시되면 Microsoft Entra Connect를 사용하여 온-프레미스 Exchange 환경에서 Microsoft 365로 사용자 데이터를 동기화합니다. 이 프로세스에 대한 자세한 내용은 Microsoft Entra 동기화 연결: 동기화 이해 및 사용자 지정을 참조하세요.

다른 디렉터리 데이터 동기화와 함께 Microsoft Entra Connect는 이메일 메시지의 S/MIME 서명 및 암호화를 위해 각 사용자 개체에 대한 userCertificate 및 userSMIMECertificate 특성을 동기화합니다. Microsoft Entra Connect에 대한 자세한 내용은 Microsoft Entra Connect란?을 참조하세요.

4단계: 웹 브라우저에 S/MIME 확장을 설치하도록 정책 구성

참고

이 단계는 웹용 Outlook 클라이언트에만 필요합니다.

Chromium 기반 Microsoft Edge 또는 Google Chrome의 웹용 Outlook S/MIME에는 관리자가 구성한 특정 정책 설정이 필요합니다.

특히 브라우저에 S/MIME 확장을 설치하도록 ExtensionInstallForcelist 라는 정책을 설정하고 구성해야 합니다. 정책 값은 입니다 maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx. 이 정책을 적용하려면 도메인 조인 또는 Microsoft Entra 조인된 디바이스가 필요하므로 Edge 또는 Chrome에서 S/MIME를 효과적으로 사용하려면 도메인 조인 또는 Microsoft Entra 조인된 디바이스가 필요합니다.

정책에 대한 자세한 내용은 다음 topics 참조하세요.

• ExtensionInstallForcelist - Edge
• ExtensionInstallForcelist - Chrome

정책은 웹용 Outlook S/MIME를 사용하기 위한 필수 구성 요소입니다. 사용자가 설치한 S/MIME 컨트롤은 대체하지 않습니다 . S/MIME를 처음 사용하는 동안 웹용 Outlook S/MIME 컨트롤을 다운로드하고 설치하라는 메시지가 사용자에게 표시됩니다. 또는 사용자는 웹용 Outlook 설정에서 S/MIME로 사전에 이동하여 컨트롤에 대한 다운로드 링크를 가져올 수 있습니다.

5단계: S/MIME를 사용하도록 전자 메일 클라이언트 구성

전자 메일 클라이언트가 S/MIME를 지원하는 경우 다음 고려 사항은 해당 이메일 클라이언트에서 사용자의 S/MIME 인증서에 액세스하는 것입니다. S/MIME 인증서는 사용자의 컴퓨터 또는 디바이스에 설치해야 합니다. S/MIME 인증서를 자동으로 배포하거나(예: Microsoft Endpoint Manager 사용) 수동으로 배포할 수 있습니다(예: 사용자가 컴퓨터에서 인증서를 내보내고 모바일 디바이스에서 가져올 수 있습니다). 인증서를 로컬로 사용할 수 있게 된 후에는 이메일 클라이언트의 설정에서 S/MIME를 사용하도록 설정하고 구성할 수 있습니다.

이메일 클라이언트의 S/MIME에 대한 자세한 내용은 다음 topics 참조하세요.

• Outlook: 전자 메일 메시지 암호화의 "S/MIME로 암호화" 섹션을 참조하세요.
• iOS 및 Android용 Outlook: 클라이언트에서 S/MIME 사용
• iOS의 메일: S/MIME를 사용하여 iOS의 Exchange 환경에서 암호화된 메시지 보내기

Exchange Online PowerShell의 New-MobileDeviceMailboxPolicy 및 Set-MobileDeviceMailboxPolicy cmdlet에서 다음 매개 변수를 사용하여 모바일 디바이스에 대한 S/MIME 설정을 구성할 수도 있습니다.

• AllowSMIMEEncryptionAlgorithmNegotiation
• AllowSMIMESoftCerts
• RequireEncryptedSMIMEMessages
• RequireEncryptionSMIMEAlgorithm
• RequireSignedSMIMEAlgorithm
• RequireSignedSMIMEMessages