Microsoft Office 365를 통한 최신 인증
Secure Mail은 Microsoft Office 365 for AD FS(Active Directory Federation Services) 또는 IDP(ID 공급자)를 통한 최신 인증을 지원합니다. 최신 인증은 사용자 이름 및 암호와 함께 OAuth 토큰 기반 인증을 적용합니다. iOS 장치가 있는 Secure Mail 사용자는 Office 365에 연결할 때 인증서 기반 인증을 활용할 수 있습니다. 사용자는 Secure Mail에 로그온할 때 자격 증명을 입력하는 대신 클라이언트 인증서를 사용하여 인증합니다.
계속하기 전에 다음을 수행하십시오.
- Microsoft Office 365용 최신 인증(OAuth)을 사용하도록 설정합니다.
- 최적의 네트워크 연결을 위해 방화벽에서 Office 365 끝점, URL 및 IP 주소 범위를 사용하도록 설정합니다. 자세한 내용은 Microsoft 문서의 Office 365 URLs and IP address range(Office 365 URL 및 IP 주소 범위)를 참조하십시오.
참고:
- 하이브리드 Exchange 사서함 솔루션을 마이그레이션하거나 만들려면 Microsoft 설명서에서 Exchange 하이브리드 배포를 사용한 Exchange ActiveSync 장치 설정을 참조하십시오.
Citrix Endpoint Management 정책 사전 요구 사항
Citrix Endpoint Management 콘솔에서 다음 정책을 사용하도록 설정합니다.
iOS를 실행하는 장치:
-
Office 365 인증 메커니즘: Office 365에서 계정을 구성하는 동안 인증에 OAuth 메커니즘이 사용됨을 나타내려면 이 정책을 사용합니다. 이 정책에는 다음 값을 구성해야 합니다.
- OAuth 사용 안 함: 계정 구성 시 기본 인증을 적용하려면 이 정책을 사용합니다.
- 사용자 이름 및 암호와 함께 OAuth 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다. 사용자가 사용자 이름 및 암호를 입력하고 선택적으로 OAuth 흐름을 위한 다단계 인증 코드를 제공해야 합니다.
- 클라이언트 인증서와 함께 사용자 OAuth: 인증서 기반 인증을 수행하도록 Office 365가 구성된 경우 이 정책을 사용합니다. 기본 구성은 OAuth 사용 안 함입니다.
Android를 실행하는 장치:
- O365에 대해 최신 인증 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다.
-
터널링에 대한 웹 SSO 정책: 이 정책을 사용하면 OAuth 트래픽을 터널링하여 터널링됨 - 웹 SSO를 통과할 수 있습니다. 이 작업을 수행하려면:
- Use Web SSO for tunneling(터널링에 웹 SSO 사용) 정책을 On(켜기)으로 설정합니다.
- 네트워크 액세스 정책에서 Tunneled - Web SSO(터널링됨 - 웹 SSO) 옵션을 선택합니다.
참고:
STA 활성화에 대한 자세한 내용은 STA를 통한 메일 서버 연결을 참조하십시오.
- 백그라운드 서비스 정책에서 OAuth와 관련된 모든 호스트 이름을 제외합니다.
iOS 및 Android 장치에 공통된 정책:
- 최신 인증에 대한 사용자 지정 사용자 에이전트: 최신 인증을 위해 기본 사용자 에이전트 문자열을 변경하려면 이 정책을 사용합니다.
- 신뢰할 수 있는 Exchange Online 호스트 이름: 계정을 구성하는 동안 인증에 OAuth 메커니즘을 사용하는 신뢰할 수 있는 Exchange Online 호스트 이름 목록을 정의하려면 이 정책을 사용합니다. 이는 server.company.com, server.company.co.uk와 같은 쉼표로 구분된 형식입니다. 이 목록은 기본값 또는 vanity URL을 포함할 수 있지만 비어 있을 수는 없습니다. 기본값은 outlook.office365.com입니다.
-
신뢰할 수 있는 AD FS 호스트 이름: Office 365 OAuth 인증 시 암호가 채워지는 신뢰할 수 있는 AD FS 호스트 이름 목록을 웹 페이지에 대해 정의하려면 이 정책을 사용합니다. 쉼표로 구분된 형식(예:
sts.companyname.com, sts.company.co.uk
)을 사용합니다. 이 목록이 비어 있는 경우 Secure Mail은 암호를 자동으로 채우지 않습니다. Secure Mail은 목록의 호스트 이름을 Office 365 인증 시 나타나는 웹 페이지의 호스트 이름과 대조하여 해당 페이지가 HTTPS 프로토콜을 사용하는지 확인합니다. 예를 들어sts.company.com
호스트 이름이 나열된 경우 사용자가https://sts.company.com
으로 이동할 때 페이지에 암호 필드가 있으면 Secure Mail이 암호를 채웁니다. 기본값은login.microsoftonline.com
입니다. - Secure Mail Exchange Server: Exchange Server의 주소를 정의하려면 이 정책을 사용합니다. 이 정책을 사용하면 요구 사항에 따라 온프레미스 서버 주소 또는 클라우드 서버 주소를 정의할 수 있습니다.
- HTTP 451 리디렉션 구성: 리디렉션을 구성하는 방법에 대한 자세한 내용은 Knowledge Center 문서 Secure Mail ActiveSync 리디렉션 451을 참조하십시오.
iOS용 Secure Mail은 이제 장치에서 정책이 새로 고쳐진 후 최신 인증을 사용하도록 설정되어 있습니다.
제한 사항
- 환경에서 최신 인증을 사용하는 경우 iOS에 대한 다양한 방식의 푸시 알림 기능을 사용할 수 없습니다. 다양한 방식의 푸시 알림에 대한 자세한 내용은 Secure Mail을 위한 푸시 알림을 참조하십시오.
- 인증서 기반 인증을 실행하는 환경에서는 여러 계정이 지원되지 않습니다.
Secure Mail 정책
다음 2개의 표에는 Exchange 인프라에 따라 필요한 Secure Mail 정책이 나와 있습니다.
Exchange 인프라 | Office 365 인증 메커니즘/O365에 대해 최신 인증 사용 | 신뢰할 수 있는 AD FS 온라인 호스트 이름 | 신뢰할 수 있는 Exchange Online 호스트 이름 |
---|---|---|---|
온-프레미스 | 꺼짐 | 해당 없음 | 해당 없음 |
하이브리드* | 켜짐 | AD FS/IDP |
Outlook.office365.com 또는 Vanity URL |
Exchange Online | 켜짐 | AD FS/IDP |
Outlook.office365.com 또는 Vanity URL |
Exchange 인프라 | Secure Mail Exchange Server | 백그라운드 네트워크 서비스(iOS) | 백그라운드 네트워크 서비스(Android) |
---|---|---|---|
온-프레미스 | Exchange 온-프레미스 호스트 이름 | 온-프레미스 | 온-프레미스 |
하이브리드* | 온-프레미스, Exchange Online 호스트 이름 | 온-프레미스, Exchange 온-프레미스 호스트 이름 | 온-프레미스, Exchange 온-프레미스 호스트 이름, AD FS/IDP(내부 전용) |
Exchange Online | Outlook.office365.com |
Exchange Online 호스트 이름 | Exchange 온-프레미스 호스트 이름, AD FS, IDP |
*Secure Mail은 마이그레이션된 사서함과 함께 하이브리드 Exchange 인프라를 지원합니다.
온-프레미스 사용자의 사서함이 Exchange Online으로 마이그레이션되는 경우, Secure Mail이 자동으로 이 변경을 탐지하여 최신 인증을 사용할 것인지 묻는 메시지를 사용자에게 표시하므로 계정을 재구성할 필요가 없습니다.
Secure Mail 및 OAuth 지원 매트릭스
다음 표에는 iOS 및 Android 장치에서의 Secure Mail OAuth 지원 매트릭스가 나와 있습니다.
인증 유형 | IDP/외부 AD FS | IDP/내부 AD FS | Azure AD | Intune |
---|---|---|---|---|
사용자 이름 및 암호 | 예 | 예 | 예 | 예 |
클라이언트 인증서 | 예 | Android 전용 | 아니요 | 아니요 |