Microsoft Office 365를 통한 최신 인증
Secure Mail은 Microsoft Office 365 for AD FS(Active Directory Federation Services) 또는 IDP(ID 공급자)를 통한 최신 인증을 지원합니다. 최신 인증은 사용자 이름 및 암호와 함께 OAuth 토큰 기반 인증을 적용합니다. iOS 장치가 있는 Secure Mail 사용자는 Office 365에 연결할 때 인증서 기반 인증을 활용할 수 있습니다. 사용자는 Secure Mail에 로그온할 때 자격 증명을 입력하는 대신 클라이언트 인증서를 사용하여 인증합니다.
계속하기 전에 다음을 수행하십시오.
- Microsoft Office 365용 최신 인증(OAuth)을 사용하도록 설정합니다.
- 최적의 네트워크 연결을 위해 방화벽에서 Office 365 끝점, URL 및 IP 주소 범위를 사용하도록 설정합니다. 자세한 내용은 Microsoft 문서의 Office 365 URLs and IP address range(Office 365 URL 및 IP 주소 범위)를 참조하십시오.
Citrix Endpoint Management 정책 사전 요구 사항
Citrix Endpoint Management 콘솔에서 다음 정책을 사용하도록 설정합니다.
iOS를 실행하는 장치:
-
Office 365 인증 메커니즘: Office 365에서 계정을 구성하는 동안 인증에 OAuth 메커니즘이 사용됨을 나타내려면 이 정책을 사용합니다. 이 정책에는 다음 값을 구성해야 합니다.
- OAuth 사용 안 함: 계정 구성 시 기본 인증을 적용하려면 이 정책을 사용합니다.
- 사용자 이름 및 암호와 함께 OAuth 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다. 사용자가 사용자 이름 및 암호를 입력하고 선택적으로 OAuth 흐름을 위한 다단계 인증 코드를 제공해야 합니다.
- 클라이언트 인증서와 함께 사용자 OAuth: 인증서 기반 인증을 수행하도록 Office 365가 구성된 경우 이 정책을 사용합니다. 기본 구성은 OAuth 사용 안 함입니다.
Android를 실행하는 장치:
- O365에 대해 최신 인증 사용: 인증 시 OAuth 프로토콜을 적용하려면 이 정책을 사용합니다.
-
터널링에 대한 웹 SSO 정책: 이 정책을 사용하면 OAuth 트래픽을 터널링하여 터널링됨 - 웹 SSO를 통과할 수 있습니다. 이 작업을 수행하려면:
- Use Web SSO for tunneling(터널링에 웹 SSO 사용) 정책을 On(켜기)으로 설정합니다.
- 네트워크 액세스 정책에서 Tunneled - Web SSO(터널링됨 - 웹 SSO) 옵션을 선택합니다.
- 백그라운드 서비스 정책에서 OAuth와 관련된 모든 호스트 이름을 제외합니다.
iOS 및 Android 장치에 공통된 정책:
- 최신 인증에 대한 사용자 지정 사용자 에이전트: 최신 인증을 위해 기본 사용자 에이전트 문자열을 변경하려면 이 정책을 사용합니다.
- 신뢰할 수 있는 Exchange Online 호스트 이름: 계정을 구성하는 동안 인증에 OAuth 메커니즘을 사용하는 신뢰할 수 있는 Exchange Online 호스트 이름 목록을 정의하려면 이 정책을 사용합니다. 이는 server.company.com, server.company.co.uk와 같은 쉼표로 구분된 형식입니다. 이 목록은 기본값 또는 vanity URL을 포함할 수 있지만 비어 있을 수는 없습니다. 기본값은 outlook.office365.com입니다.
-
신뢰할 수 있는 AD FS 호스트 이름: Office 365 OAuth 인증 시 암호가 채워지는 신뢰할 수 있는 AD FS 호스트 이름 목록을 웹 페이지에 대해 정의하려면 이 정책을 사용합니다. 쉼표로 구분된 형식(예:
sts.companyname.com, sts.company.co.uk)을 사용합니다. 이 목록이 비어 있는 경우 Secure Mail은 암호를 자동으로 채우지 않습니다. Secure Mail은 목록의 호스트 이름을 Office 365 인증 시 나타나는 웹 페이지의 호스트 이름과 대조하여 해당 페이지가 HTTPS 프로토콜을 사용하는지 확인합니다. 예를 들어sts.company.com호스트 이름이 나열된 경우 사용자가https://sts.company.com으로 이동할 때 페이지에 암호 필드가 있으면 Secure Mail이 암호를 채웁니다. 기본값은login.microsoftonline.com입니다. - Secure Mail Exchange Server: Exchange Server의 주소를 정의하려면 이 정책을 사용합니다. 이 정책을 사용하면 요구 사항에 따라 온프레미스 서버 주소 또는 클라우드 서버 주소를 정의할 수 있습니다.
iOS용 Secure Mail은 이제 장치에서 정책이 새로 고쳐진 후 최신 인증을 사용하도록 설정되어 있습니다.
제한 사항
- 환경에서 최신 인증을 사용하는 경우 iOS에 대한 다양한 방식의 푸시 알림 기능을 사용할 수 없습니다. 다양한 방식의 푸시 알림에 대한 자세한 내용은 Secure Mail을 위한 푸시 알림을 참조하십시오.
- 인증서 기반 인증을 실행하는 환경에서는 여러 계정이 지원되지 않습니다.
Secure Mail 정책
다음 2개의 표에는 Exchange 인프라에 따라 필요한 Secure Mail 정책이 나와 있습니다.
| Exchange 인프라 | Office 365 인증 메커니즘/O365에 대해 최신 인증 사용 | 신뢰할 수 있는 AD FS 온라인 호스트 이름 | 신뢰할 수 있는 Exchange Online 호스트 이름 |
|---|---|---|---|
| 온-프레미스 | 꺼짐 | 해당 없음 | 해당 없음 |
| 하이브리드* | 켜짐 | AD FS/IDP |
Outlook.office365.com 또는 Vanity URL |
| Exchange Online | 켜짐 | AD FS/IDP |
Outlook.office365.com 또는 Vanity URL |
| Exchange 인프라 | Secure Mail Exchange Server | 백그라운드 네트워크 서비스(iOS) | 백그라운드 네트워크 서비스(Android) |
|---|---|---|---|
| 온-프레미스 | Exchange 온-프레미스 호스트 이름 | 온-프레미스 | 온-프레미스 |
| 하이브리드* | 온-프레미스, Exchange Online 호스트 이름 | 온-프레미스, Exchange 온-프레미스 호스트 이름 | 온-프레미스, Exchange 온-프레미스 호스트 이름, AD FS/IDP(내부 전용) |
| Exchange Online | Outlook.office365.com |
Exchange Online 호스트 이름 | Exchange 온-프레미스 호스트 이름, AD FS, IDP |
*Secure Mail은 마이그레이션된 사서함과 함께 하이브리드 Exchange 인프라를 지원합니다.
온-프레미스 사용자의 사서함이 Exchange Online으로 마이그레이션되는 경우, Secure Mail이 자동으로 이 변경을 탐지하여 최신 인증을 사용할 것인지 묻는 메시지를 사용자에게 표시하므로 계정을 재구성할 필요가 없습니다.
Secure Mail 및 OAuth 지원 매트릭스
다음 표에는 iOS 및 Android 장치에서의 Secure Mail OAuth 지원 매트릭스가 나와 있습니다.
| 인증 유형 | IDP/외부 AD FS | IDP/내부 AD FS | Azure AD | Intune |
|---|---|---|---|---|
| 사용자 이름 및 암호 | 예 | 예 | 예 | 예 |
| 클라이언트 인증서 | 예 | Android 전용 | 아니요 | 아니요 |