Microsoft Office 365를 통한 최신 인증

Secure Mail은 Microsoft Office 365 for AD FS(Active Directory Federation Services) 또는 IDP(ID 공급자)를 통한 최신 인증을 지원합니다. 최신 인증은 사용자 이름 및 암호와 함께 OAuth 토큰 기반 인증을 적용합니다. iOS 장치가 있는 Secure Mail 사용자는 Office 365에 연결할 때 인증서 기반 인증을 활용할 수 있습니다. 사용자는 Secure Mail에 로그온할 때 자격 증명을 입력하는 대신 클라이언트 인증서를 사용하여 인증합니다.

계속하기 전에 다음을 수행하십시오.

  1. Microsoft Office 365용 최신 인증(OAuth)을 사용하도록 설정합니다.
  2. 최적의 네트워크 연결을 위해 방화벽에서 Office 365 끝점, URL 및 IP 주소 범위를 사용하도록 설정합니다. 자세한 내용은 Microsoft 문서의 Office 365 URLs and IP address range(Office 365 URL 및 IP 주소 범위)를 참조하십시오.

참고:

Citrix Endpoint Management 정책 사전 요구 사항

Citrix Endpoint Management 콘솔에서 다음 정책을 사용하도록 설정합니다.

iOS를 실행하는 장치:

  • Office 365 인증 메커니즘: Office 365에서 계정을 구성하는 동안 인증에 OAuth 메커니즘이 사용됨을 나타내려면 이 정책을 사용합니다. 이 정책에는 다음 값을 구성해야 합니다.

    • OAuth 사용 안 함: 계정 구성 시 기본 인증을 적용하려면 이 정책을 사용합니다.
    • 사용자 이름 및 암호와 함께 OAuth 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다. 사용자가 사용자 이름 및 암호를 입력하고 선택적으로 OAuth 흐름을 위한 다단계 인증 코드를 제공해야 합니다.
    • 클라이언트 인증서와 함께 사용자 OAuth: 인증서 기반 인증을 수행하도록 Office 365가 구성된 경우 이 정책을 사용합니다. 기본 구성은 OAuth 사용 안 함입니다.

Android를 실행하는 장치:

  • O365에 대해 최신 인증 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다.
  • 터널링에 대한 웹 SSO 정책: 이 정책을 사용하면 OAuth 트래픽을 터널링하여 터널링됨 - 웹 SSO를 통과할 수 있습니다. 이 작업을 수행하려면:
    • Use Web SSO for tunneling(터널링에 웹 SSO 사용) 정책을 On(켜기)으로 설정합니다.
    • 네트워크 액세스 정책에서 Tunneled - Web SSO(터널링됨 - 웹 SSO) 옵션을 선택합니다.

      참고:

      STA 활성화에 대한 자세한 내용은 STA를 통한 메일 서버 연결을 참조하십시오.

    • 백그라운드 서비스 정책에서 OAuth와 관련된 모든 호스트 이름을 제외합니다.

iOS 및 Android 장치에 공통된 정책:

  • 최신 인증에 대한 사용자 지정 사용자 에이전트: 최신 인증을 위해 기본 사용자 에이전트 문자열을 변경하려면 이 정책을 사용합니다.
  • 신뢰할 수 있는 Exchange Online 호스트 이름: 계정을 구성하는 동안 인증에 OAuth 메커니즘을 사용하는 신뢰할 수 있는 Exchange Online 호스트 이름 목록을 정의하려면 이 정책을 사용합니다. 이는 server.company.com, server.company.co.uk와 같은 쉼표로 구분된 형식입니다. 이 목록은 기본값 또는 vanity URL을 포함할 수 있지만 비어 있을 수는 없습니다. 기본값은 outlook.office365.com입니다.
  • 신뢰할 수 있는 AD FS 호스트 이름: Office 365 OAuth 인증 시 암호가 채워지는 신뢰할 수 있는 AD FS 호스트 이름 목록을 웹 페이지에 대해 정의하려면 이 정책을 사용합니다. 쉼표로 구분된 형식(예: sts.companyname.com, sts.company.co.uk)을 사용합니다. 이 목록이 비어 있는 경우 Secure Mail은 암호를 자동으로 채우지 않습니다. Secure Mail은 목록의 호스트 이름을 Office 365 인증 시 나타나는 웹 페이지의 호스트 이름과 대조하여 해당 페이지가 HTTPS 프로토콜을 사용하는지 확인합니다. 예를 들어 sts.company.com 호스트 이름이 나열된 경우 사용자가 https://sts.company.com으로 이동할 때 페이지에 암호 필드가 있으면 Secure Mail이 암호를 채웁니다. 기본값은 login.microsoftonline.com입니다.
  • Secure Mail Exchange Server: Exchange Server의 주소를 정의하려면 이 정책을 사용합니다. 이 정책을 사용하면 요구 사항에 따라 온프레미스 서버 주소 또는 클라우드 서버 주소를 정의할 수 있습니다.
  • HTTP 451 리디렉션 구성: 리디렉션을 구성하는 방법에 대한 자세한 내용은 Knowledge Center 문서 Secure Mail ActiveSync 리디렉션 451을 참조하십시오.

iOS용 Secure Mail은 이제 장치에서 정책이 새로 고쳐진 후 최신 인증을 사용하도록 설정되어 있습니다.

제한 사항

  • 환경에서 최신 인증을 사용하는 경우 iOS에 대한 다양한 방식의 푸시 알림 기능을 사용할 수 없습니다. 다양한 방식의 푸시 알림에 대한 자세한 내용은 Secure Mail을 위한 푸시 알림을 참조하십시오.
  • 인증서 기반 인증을 실행하는 환경에서는 여러 계정이 지원되지 않습니다.

Secure Mail 정책

다음 2개의 표에는 Exchange 인프라에 따라 필요한 Secure Mail 정책이 나와 있습니다.

Exchange 인프라 Office 365 인증 메커니즘/O365에 대해 최신 인증 사용 신뢰할 수 있는 AD FS 온라인 호스트 이름 신뢰할 수 있는 Exchange Online 호스트 이름
온-프레미스 꺼짐 해당 없음 해당 없음
하이브리드* 켜짐 AD FS/IDP Outlook.office365.com 또는 Vanity URL
Exchange Online 켜짐 AD FS/IDP Outlook.office365.com 또는 Vanity URL
Exchange 인프라 Secure Mail Exchange Server 백그라운드 네트워크 서비스(iOS) 백그라운드 네트워크 서비스(Android)
온-프레미스 Exchange 온-프레미스 호스트 이름 온-프레미스 온-프레미스
하이브리드* 온-프레미스, Exchange Online 호스트 이름 온-프레미스, Exchange 온-프레미스 호스트 이름 온-프레미스, Exchange 온-프레미스 호스트 이름, AD FS/IDP(내부 전용)
Exchange Online Outlook.office365.com Exchange Online 호스트 이름 Exchange 온-프레미스 호스트 이름, AD FS, IDP

*Secure Mail은 마이그레이션된 사서함과 함께 하이브리드 Exchange 인프라를 지원합니다.

온-프레미스 사용자의 사서함이 Exchange Online으로 마이그레이션되는 경우, Secure Mail이 자동으로 이 변경을 탐지하여 최신 인증을 사용할 것인지 묻는 메시지를 사용자에게 표시하므로 계정을 재구성할 필요가 없습니다.

Secure Mail 및 OAuth 지원 매트릭스

다음 표에는 iOS 및 Android 장치에서의 Secure Mail OAuth 지원 매트릭스가 나와 있습니다.

인증 유형 IDP/외부 AD FS IDP/내부 AD FS Azure AD Intune
사용자 이름 및 암호
클라이언트 인증서 Android 전용 아니요 아니요
Microsoft Office 365를 통한 최신 인증