Exchange Online에서 iOS 및 Android용 Outlook 보안

iOS 및 Android용 Outlook은 사용자에게 최신 모바일 앱에서 기대하는 빠르고 직관적인 전자 메일 및 일정 환경을 제공하는 동시에 Microsoft 365 또는 Office 365 최상의 기능을 지원하는 유일한 앱입니다.

사용자의 모바일 디바이스에서 회사 또는 조직 데이터를 보호하는 것은 매우 중요합니다. 먼저 iOS 및 Android용 Outlook 설정을 검토하여 사용자에게 필요한 모든 앱이 설치되어 있는지 확인합니다. 그런 다음 다음 옵션 중 하나를 선택하여 디바이스 및 organization 데이터를 보호합니다.

1. 권장: organization Enterprise Mobility + Security 구독이 있거나 Microsoft Intune 및 Microsoft Entra ID P1 또는 P2에 대한 라이선스를 별도로 획득한 경우 활용의 단계를 수행합니다. iOS 및 Android용 Outlook을 사용하여 회사 데이터를 보호하기 위한 Enterprise Mobility + Security 제품군입니다.

2. organization Microsoft Intune 및 Microsoft Entra ID P1 또는 P2에 대한 Enterprise Mobility + Security 구독 또는 라이선스가 없는 경우 기본 이동성 및 보안 활용의 단계를 수행합니다. Microsoft 365 및 Office 365 또는 Microsoft 365 구독에 포함된 기본 이동성 및 보안 기능을 사용합니다.

3. Exchange Online 모바일 디바이스 정책 활용의 단계에 따라 기본 Exchange 모바일 디바이스 사서함 및 디바이스 액세스 정책을 구현합니다.

반면에 organization iOS 및 Android용 Outlook을 사용하지 않으려는 경우 iOS 및 Android용 Outlook 차단을 참조하세요.

참고

organization 모바일 디바이스 액세스를 관리하기 위해 EWS 애플리케이션 정책을 구현하려는 경우 이 문서의 뒷부분에 있는 Exchange Web Services(EWS) 애플리케이션 정책을 참조하세요.

iOS 및 Android용 Outlook 설정

UEM(통합 엔드포인트 관리) 솔루션에 등록된 디바이스의 경우 사용자는 Intune 회사 포털 같은 UEM 솔루션을 활용하여 필요한 앱인 iOS 및 Android용 Outlook 및 Microsoft Authenticator를 설치합니다.

UEM 솔루션에 등록되지 않은 디바이스의 경우 사용자는 다음을 설치해야 합니다.

• Apple App Store 또는 Google Play 스토어를 통한 iOS 및 Android용 Outlook

• Apple App Store 또는 Google Play 스토어를 통한 Microsoft Authenticator 앱

• Apple App Store 또는 Google Play 스토어를 통한 앱 Intune 회사 포털

앱이 설치되면 사용자는 다음 단계에 따라 회사 전자 메일 계정을 추가하고 기본 앱 설정을 구성할 수 있습니다.

• iOS 모바일 앱용 Outlook에서 전자 메일 계정 설정

• Android용 Outlook 앱에서 전자 메일 설정

• iOS 또는 Android 휴대폰용 Outlook 모바일 앱 최적화

중요

앱 기반 조건부 액세스 정책을 활용하려면 iOS 디바이스에 Microsoft Authenticator 앱을 설치해야 합니다. Android 디바이스의 경우 Intune 회사 포털 앱이 필요합니다. 자세한 내용은 Intune을 사용한 앱 기반 조건부 액세스를 참조하세요.

iOS 및 Android용 Outlook을 사용하여 회사 데이터를 보호하기 위해 Enterprise Mobility + Security 제품군 활용

중요

ABQ(허용/차단/격리) 목록은 보안 보장을 제공하지 않습니다(클라이언트가 DeviceType 헤더를 스푸핑하는 경우 특정 디바이스 유형에 대한 차단을 무시할 수 있음). 특정 디바이스 유형에 대한 액세스를 안전하게 제한하려면 조건부 액세스 정책을 구성하는 것이 좋습니다. 자세한 내용은 Intune을 사용하여 앱 기반 조건부 액세스를 참조하세요.

Microsoft 365 및 Office 365 데이터에 대한 가장 풍부하고 광범위한 보호 기능은 조건부 액세스와 같은 Microsoft Intune 및 Microsoft Entra ID P1 또는 P2 기능을 포함하는 Enterprise Mobility + Security 제품군을 구독할 때 사용할 수 있습니다. 최소한 모바일 디바이스에서 iOS 및 Android용 Outlook에 대한 연결만 허용하는 조건부 액세스 정책과 회사 데이터가 보호되도록 하는 Intune 앱 보호 정책을 배포하려고 합니다.

참고

Enterprise Mobility + Security 제품군 구독에는 Microsoft Intune 및 Microsoft Entra ID P1 또는 P2가 모두 포함되어 있지만 고객은 Microsoft Intune 라이선스를 구매하고 Microsoft Entra ID P1 또는 P2 라이선스는 별도로 부여됩니다. 이 문서에서 설명하는 조건부 액세스 및 Intune 앱 보호 정책을 활용하려면 모든 사용자에게 라이선스가 부여되어야 합니다.

조건부 액세스를 사용하여 iOS 및 Android용 Outlook을 제외한 모든 전자 메일 앱 차단

organization 최종 사용자를 위한 유일한 전자 메일 앱으로 iOS 및 Android용 Outlook을 사용하여 사용자가 Exchange 데이터에 액세스하는 방법을 표준화하기로 결정하면 다른 모바일 액세스 방법을 차단하는 조건부 액세스 정책을 구성할 수 있습니다. 이렇게 하려면 모든 잠재적 사용자를 대상으로 하는 각 정책과 함께 몇 가지 조건부 액세스 정책이 필요합니다. 이러한 정책은 조건부 액세스: 승인된 클라이언트 앱 또는 앱 보호 정책 필요에서 설명합니다.

1. 모바일 디바이스에서 승인된 클라이언트 앱 또는 앱 보호 정책 필요의 단계를 따릅니다. 이 정책은 iOS 및 Android용 Outlook을 허용하지만 모바일 클라이언트가 Exchange Online 연결할 수 Exchange ActiveSync OAuth 및 기본 인증을 차단합니다.

   참고

   이 정책을 사용하면 모바일 사용자가 해당 앱을 사용하여 모든 Microsoft 365 엔드포인트에 액세스할 수 있습니다.

2. 모든 디바이스에서 Exchange ActiveSync 차단의 단계를 수행하여 비모바일 디바이스에서 기본 인증을 사용하는 Exchange ActiveSync 클라이언트가 Exchange Online 연결할 수 없도록 합니다.

   위의 정책은 액세스 권한 부여 제어 앱 보호 필요 정책을 활용하여 액세스 권한을 부여하기 전에 IOS 및 Android용 Outlook 내의 연결된 계정에 Intune 앱 보호 정책이 적용되도록 합니다. 사용자가 Intune 앱 보호 정책에 할당되지 않았거나 Intune에 대한 라이선스가 없거나 앱이 Intune 앱 보호 정책에 포함되지 않은 경우 정책은 사용자가 액세스 토큰을 가져오고 메시징 데이터에 액세스할 수 없도록 합니다.

3. Microsoft Entra 조건부 액세스를 사용하여 레거시 인증 차단의 단계에 따라 iOS 및 Android 디바이스의 다른 Exchange 프로토콜에 대한 레거시 인증을 차단합니다. 이 정책은 클라우드 앱 및 iOS 및 Android 디바이스 플랫폼에만 Office 365 Exchange Online 대상으로 해야 합니다. 이렇게 하면 기본 인증이 있는 Exchange Web Services, IMAP4 또는 POP3 프로토콜을 사용하는 모바일 앱이 Exchange Online 연결할 수 없습니다.

참고

조건부 액세스 정책을 사용하도록 설정한 후에는 이전에 연결된 모바일 디바이스가 차단되는 데 최대 6시간이 걸릴 수 있습니다.

사용자가 iOS 및 Android용 Outlook에서 인증하면 다음을 포함하는 Microsoft Entra 조건부 액세스 정책이 적용되는 경우 모바일 디바이스 액세스 규칙(허용, 차단 또는 격리)을 Exchange Online 건너뜁니다.

• 클라우드 앱 조건: Exchange Online 또는 Office 365
• 디바이스 플랫폼 조건: iOS 및/또는 Android
• 클라이언트 앱 조건: 모바일 앱 및 데스크톱 클라이언트
• 다음 액세스 제어 권한 부여 중 하나: 디바이스를 규격으로 표시하도록 요구, 승인된 클라이언트 앱 필요 또는 앱 보호 정책 필요.

앱 기반 조건부 액세스 정책을 활용하려면 iOS 디바이스에 Microsoft Authenticator 앱을 설치해야 합니다. Android 디바이스의 경우 Intune 회사 포털 앱이 필요합니다. 자세한 내용은 Intune을 사용한 앱 기반 조건부 액세스를 참조하세요.

Intune 앱 보호 정책을 사용하여 iOS 및 Android용 Outlook에서 회사 데이터 보호

APP(앱 보호 정책)는 허용되는 앱과 조직 데이터로 수행할 수 있는 작업을 정의합니다. APP에서 사용할 수 있는 선택 항목을 통해 조직에서는 특정 요구 사항에 맞게 보호를 조정할 수 있습니다. 일부 경우에는 완전한 시나리오를 구현하는 데 어떤 정책 설정이 필요한지 명확하지 않을 수 있습니다. 조직에서 모바일 클라이언트 엔드포인트 강화의 우선 순위를 지정하는 데 도움을 주기 위해 Microsoft는 iOS 및 Android 모바일 앱 관리를 위한 APP 데이터 보호 프레임워크에 대한 분류를 도입했습니다.

APP 데이터 보호 프레임워크는 다음과 같은 세 가지 구성 수준으로 구성되며 각 수준은 이전 수준을 기반으로 합니다.

• 엔터프라이즈 기본 데이터 보호(레벨 1)는 앱이 PIN 및 암호화로 보호되고 선택적 초기화 작업을 수행하도록 합니다. Android 디바이스의 경우, 이 수준은 Android 디바이스 증명의 유효성을 검사합니다. Exchange Online 사서함 정책에서 유사한 데이터 보호 제어 기능을 제공하고 IT 및 사용자 인구를 APP에 도입하는 엔트리 레벨 구성입니다.
• 엔터프라이즈 강화된 데이터 보호(레벨 2)는 APP 데이터 누출 방지 메커니즘과 최소 OS 요구 사항을 도입합니다. 이 구성은 직장 또는 학교 데이터에 액세스하는 대부분의 모바일 사용자에게 적용됩니다.
• 엔터프라이즈 고급 데이터 보호(레벨 3)는 고급 데이터 보호 메커니즘, 향상된 PIN 구성 및 APP 모바일 위협 방어를 도입합니다. 이 구성은 위험 수준이 높은 데이터에 액세스하는 사용자에게 적합합니다.

각 구성 레벨 및 보호해야 하는 최소 앱에 대한 구체적인 권장 사항을 보려면 앱 보호 정책을 사용하는 데이터 보호 프레임워크를 검토하세요.

디바이스가 UEM 솔루션에 등록되었는지 여부에 관계없이 앱 보호 정책을 만들고 할당하는 방법의 단계를 사용하여 iOS 및 Android 앱 모두에 대해 Intune 앱 보호 정책을 만들어야 합니다. 이러한 정책은 최소한 다음 조건을 충족해야 합니다.

1. Edge, OneDrive, Office 또는 Teams와 같은 모든 Microsoft 모바일 애플리케이션이 포함되므로 사용자는 안전한 방식으로 Microsoft 앱 내에서 회사 또는 학교 데이터에 액세스하고 조작할 수 있습니다.

2. 모든 사용자에게 할당됩니다. 이렇게 하면 iOS용 Outlook 또는 Android용 Outlook을 사용하는지 여부에 관계없이 모든 사용자가 보호됩니다.

3. 요구 사항을 충족하는 프레임워크 수준을 결정합니다. 대부분의 조직은 데이터 보호 및 액세스 요구 사항 제어를 가능하게 하는 엔터프라이즈 고급 데이터 보호(수준 2)에 정의된 설정을 구현해야 합니다.

사용 가능한 설정에 대한 자세한 내용은 Microsoft Intune 및 iOS 앱 보호 정책 설정의 Android앱 보호 정책 설정을 참조하세요.

중요

Intune에 등록되지 않은 Android 디바이스의 앱에 대해 Intune 앱 보호 정책을 적용하려면 사용자가 Intune 회사 포털을 설치해야 합니다. 자세한 내용은 Android 앱이 앱 보호 정책에 의해 관리되는 경우 예상되는 사항을 참조하세요.

Microsoft 365용 기본 이동성 및 보안 활용

Enterprise Mobility + Security 제품군을 활용하지 않으려는 경우 Microsoft 365용 기본 이동성 및 보안 사용할 수 있습니다. 이 솔루션을 사용하려면 모바일 디바이스를 등록해야 합니다. 사용자가 등록되지 않은 디바이스를 사용하여 Exchange Online 액세스하려고 하면 사용자가 디바이스를 등록할 때까지 리소스에 액세스할 수 없습니다.

디바이스 관리 솔루션이므로 디바이스를 등록한 후에도 사용할 수 있는 앱을 제어할 수 있는 네이티브 기능이 없습니다. iOS 및 Android용 Outlook에 대한 액세스를 제한하려면 Microsoft Entra ID P1 또는 P2 라이선스를 획득하고 조건부 액세스를 사용하여 iOS 및 Android용 Outlook을 제외한 모든 전자 메일 앱 차단에 설명된 조건부 액세스 정책을 활용해야 합니다.

전역 관리자는 등록을 활성화하고 설정하려면 다음 단계를 완료해야 합니다. 전체 단계는 기본 이동성 및 보안 설정을 참조하세요. 요약하면 다음 단계는 다음과 같습니다.

1. Microsoft 365 Security Center의 단계에 따라 기본 이동성 및 보안 활성화합니다.

2. 예를 들어 iOS 디바이스를 관리하는 APNs 인증서를 만들어 통합 엔드포인트 관리를 설정합니다.

3. 디바이스 정책을 만들고 사용자 그룹에 적용합니다. 이렇게 하면 사용자가 디바이스에 등록 메시지를 받게 됩니다. 또한 등록을 완료하면 디바이스에 대해 설정한 정책에 따라 디바이스가 제한됩니다.

참고

기본 이동성 및 보안 만든 정책 및 액세스 규칙은 Exchange 관리 센터에서 만든 Exchange 모바일 디바이스 사서함 정책과 디바이스 액세스 규칙을 모두 재정의합니다. 디바이스가 기본 이동성 및 보안 등록되면 해당 디바이스에 적용되는 Exchange 모바일 디바이스 사서함 정책 또는 디바이스 액세스 규칙이 무시됩니다.

Exchange Online 모바일 디바이스 정책 활용

Enterprise Mobility + Security 제품군 또는 기본 이동성 및 보안 기능을 활용하지 않으려는 경우 Exchange 모바일 디바이스 사서함 정책을 구현하여 디바이스를 보호하고 디바이스 액세스 규칙을 구현하여 디바이스 연결을 제한할 수 있습니다.

모바일 디바이스 사서함 정책

iOS 및 Android용 Outlook은 Exchange Online 다음과 같은 모바일 디바이스 사서함 정책 설정을 지원합니다.

• 장치 암호화 사용

• 최소 암호 길이(Android에서만 해당)

• 암호 사용

• Bluetooth 허용(Android용 Outlook 웨어러블 앱 관리)

  • AllowBluetooth를 사용하도록 설정(기본 동작)하거나 HandsfreeOnly에 대해 구성된 경우 Android 디바이스의 Outlook과 웨어러블의 Outlook 간에 웨어러블 동기화가 회사 또는 학교 계정에 허용됩니다.

  • AllowBluetooth를 사용하지 않도록 설정하면 Android용 Outlook은 Android 디바이스의 Outlook과 지정된 회사 또는 학교 계정에 대한 웨어러블의 Outlook 간의 동기화를 사용하지 않도록 설정하고 이전에 계정에 대해 동기화된 데이터를 삭제합니다. 동기화를 사용하지 않도록 설정하면 Outlook 자체 내에서 완전히 제어됩니다. Bluetooth는 장치에서 사용하지 않도록 설정되거나 착용할 수 없으며 다른 웨어러블 앱도 영향을 받지 않습니다.

기존 모바일 디바이스 사서함 정책을 만들거나 수정하는 방법에 대한 자세한 내용은 Exchange Online 모바일 디바이스 사서함 정책을 참조하세요.

또한 iOS 및 Android용 Outlook은 Exchange Online 디바이스 초기화 기능을 지원합니다. Outlook을 사용하면 원격 초기화는 Outlook 앱 자체의 데이터만 초기화하고 전체 디바이스 초기화를 트리거하지 않습니다. 원격 초기화를 수행하는 방법에 대한 자세한 내용은 Exchange Online 휴대폰에서 원격 초기화 수행을 참조하세요.

디바이스 액세스 정책

iOS 및 Android용 Outlook은 기본적으로 사용하도록 설정되어야 하지만 일부 기존 Exchange Online 환경에서는 다양한 이유로 앱이 차단될 수 있습니다. organization 사용자가 Exchange 데이터에 액세스하고 최종 사용자를 위한 유일한 전자 메일 앱으로 iOS 및 Android용 Outlook을 사용하는 방법을 표준화하기로 결정하면 사용자의 iOS 및 Android 디바이스에서 실행되는 다른 전자 메일 앱에 대한 블록을 구성할 수 있습니다. Exchange Online 내에서 이러한 블록을 대체하는 두 가지 옵션이 있습니다. 첫 번째 옵션은 모든 디바이스를 차단하고 iOS 및 Android용 Outlook만 사용할 수 있습니다. 두 번째 옵션을 사용하면 개별 디바이스에서 네이티브 Exchange ActiveSync 앱을 사용하지 못하도록 차단할 수 있습니다.

참고

디바이스 ID는 물리적 디바이스 ID에 의해 제어되지 않으므로 예고 없이 변경할 수 있습니다. 이 경우 기존 '허용' 디바이스가 Exchange에서 예기치 않게 차단되거나 격리될 수 있으므로 디바이스 ID를 사용하여 사용자 디바이스를 관리할 때 의도하지 않은 결과가 발생할 수 있습니다. 따라서 관리자는 디바이스 유형 또는 디바이스 모델에 따라 디바이스를 허용/차단하는 모바일 디바이스 액세스 정책만 설정하는 것이 좋습니다.

옵션 1: iOS 및 Android용 Outlook을 제외한 모든 전자 메일 앱 차단

다음 Exchange Online PowerShell 명령을 사용하여 기본 블록 규칙을 정의한 다음 iOS 및 Android용 Outlook 및 Windows 디바이스에 대한 허용 규칙을 구성할 수 있습니다. 이 구성은 Exchange ActiveSync 네이티브 앱이 연결되지 않도록 하며 iOS 및 Android용 Outlook만 허용합니다.

1. 기본 블록 규칙을 만듭니다.

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. iOS 및 Android용 Outlook에 대한 허용 규칙 만들기

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

옵션 2: Android 및 iOS 디바이스에서 네이티브 Exchange ActiveSync 앱 차단

또는 특정 Android 및 iOS 디바이스 또는 다른 유형의 디바이스에서 네이티브 Exchange ActiveSync 앱을 차단할 수 있습니다.

1. iOS 및 Android용 Outlook을 차단하는 Exchange ActiveSync 디바이스 액세스 규칙이 없는지 확인합니다.

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
   

   iOS 및 Android용 Outlook을 차단하는 디바이스 액세스 규칙이 있는 경우 다음을 입력하여 제거합니다.

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
   

2. 다음 명령을 사용하여 대부분의 Android 및 iOS 디바이스를 차단할 수 있습니다.

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. 모든 Android 디바이스 제조업체가 DeviceType으로 "Android"를 지정하는 것은 아닙니다. 제조업체는 각 릴리스에서 고유한 값을 지정할 수 있습니다. 환경에 액세스하는 다른 Android 디바이스를 찾으려면 다음 명령을 실행하여 활성 Exchange ActiveSync 파트너 관계가 있는 모든 디바이스에 대한 보고서를 생성합니다.

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. 3단계의 결과에 따라 추가 블록 규칙을 만듭니다. 예를 들어 환경에 HTCOne Android 디바이스의 사용량이 많은 경우 특정 디바이스를 차단하는 Exchange ActiveSync 디바이스 액세스 규칙을 만들어 사용자가 iOS 및 Android용 Outlook을 사용하도록 강제할 수 있습니다. 이 예제에서는 다음을 입력합니다.

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

   참고

   -QueryString 매개 변수는 와일드카드 또는 부분 일치를 허용하지 않습니다.

추가 리소스:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

iOS 및 Android용 Outlook 차단

organization 사용자가 iOS 및 Android용 Outlook을 사용하여 Exchange 데이터에 액세스하지 않도록 하려면 Microsoft Entra 조건부 액세스 정책 또는 Exchange Online 디바이스 액세스 정책을 사용하는지에 따라 방법이 달라집니다.

옵션 1: 조건부 액세스 정책을 사용하여 모바일 디바이스 액세스 차단

Microsoft Entra 조건부 액세스는 다른 Exchange ActiveSync 클라이언트를 허용하면서 iOS 및 Android용 Outlook을 특별히 차단할 수 있는 메커니즘을 제공하지 않습니다. 이를 통해 조건부 액세스 정책을 사용하여 모바일 디바이스 액세스를 두 가지 방법으로 차단할 수 있습니다.

• 옵션 A: iOS 및 Android 플랫폼 모두에서 모바일 디바이스 액세스 차단

• 옵션 B: 특정 모바일 디바이스 플랫폼에서 모바일 디바이스 액세스 차단

옵션 A: iOS 및 Android 플랫폼 모두에서 모바일 디바이스 액세스 차단

조건부 액세스를 사용하여 모든 사용자 또는 사용자의 하위 집합에 대한 모바일 디바이스 액세스를 방지하려면 다음 단계를 수행합니다.

각 정책이 보안 그룹을 통해 모든 사용자 또는 사용자 하위 집합을 대상으로 하는 조건부 액세스 정책을 만듭니다. 자세한 내용은 공통 조건부 액세스 정책: 승인된 클라이언트 앱 또는 앱 보호 정책이 필요합니다.

1. 첫 번째 정책은 iOS 및 Android용 Outlook 및 기타 OAuth 지원 Exchange ActiveSync 클라이언트가 Exchange Online 연결하지 못하도록 차단합니다. "1단계 - Exchange Online 대한 Microsoft Entra 조건부 액세스 정책 구성"을 참조하지만 다섯 번째 단계에서는 액세스 차단을 선택합니다.

2. 두 번째 정책은 기본 인증을 활용하는 Exchange ActiveSync 클라이언트가 Exchange Online 연결하는 것을 방지합니다. "2단계 - ACTIVESync(EAS)를 사용하여 Exchange Online 대한 Microsoft Entra 조건부 액세스 정책 구성"을 참조하세요.

옵션 B: 특정 모바일 디바이스 플랫폼에서 모바일 디바이스 액세스 차단

iOS 및 Android용 Outlook이 해당 플랫폼을 사용하여 연결할 수 있도록 허용하면서 특정 모바일 디바이스 플랫폼이 Exchange Online 연결하지 못하도록 하려면 각 정책이 모든 사용자를 대상으로 하는 다음 조건부 액세스 정책을 만듭니다. 자세한 내용은 공통 조건부 액세스 정책: 승인된 클라이언트 앱 또는 앱 보호 정책이 필요합니다.

1. 첫 번째 정책은 특정 모바일 디바이스 플랫폼에서 iOS 및 Android용 Outlook을 허용하고 다른 OAuth 지원 Exchange ActiveSync 클라이언트가 Exchange Online 연결하지 못하도록 차단합니다. "1단계 - Exchange Online 대한 Microsoft Entra 조건부 액세스 정책 구성"을 참조하세요. 하지만 4a단계에서는 액세스를 허용하려는 원하는 모바일 디바이스 플랫폼(예: iOS)만 선택합니다.

2. 두 번째 정책은 특정 모바일 디바이스 플랫폼 및 다른 OAuth 지원 Exchange ActiveSync 클라이언트의 앱이 Exchange Online 연결하지 못하도록 차단합니다. "1단계 - Exchange Online 대한 Microsoft Entra 조건부 액세스 정책 구성"을 참조하세요. 하지만 4a단계에서는 액세스를 차단하려는 원하는 모바일 디바이스 플랫폼(예: Android)만 선택하고 5단계에서는 액세스 차단을 선택합니다.

3. 세 번째 정책은 기본 인증을 활용하는 Exchange ActiveSync 클라이언트가 Exchange Online 연결하는 것을 방지합니다. "2단계 - ACTIVESync(EAS)를 사용하여 Exchange Online 대한 Microsoft Entra 조건부 액세스 정책 구성"을 참조하세요.

옵션 2: Exchange 모바일 디바이스 액세스 규칙을 사용하여 iOS 및 Android용 Outlook 차단

Exchange Online 디바이스 액세스 규칙을 통해 모바일 디바이스 액세스를 관리하는 경우 다음 두 가지 옵션이 있습니다.

• 옵션 A: iOS 및 Android 플랫폼 모두에서 iOS 및 Android용 Outlook 차단

• 옵션 B: 특정 모바일 디바이스 플랫폼에서 iOS 및 Android용 Outlook 차단

모든 Exchange organization 보안 및 디바이스 관리에 대해 서로 다른 정책을 가지고 있습니다. organization iOS 및 Android용 Outlook이 요구 사항을 충족하지 못하거나 최상의 솔루션이 아니라고 결정하면 관리자는 앱을 차단할 수 있습니다. 앱이 차단되면 organization 모바일 Exchange 사용자는 iOS 및 Android에서 기본 제공 메일 애플리케이션을 사용하여 사서함에 계속 액세스할 수 있습니다.

cmdlet에는 New-ActiveSyncDeviceAccessRule 매개 변수가 Characteristic 있으며 관리자가 iOS 및 Android용 Outlook 앱을 차단하는 데 사용할 수 있는 세 Characteristic 가지 옵션이 있습니다. UserAgent, DeviceModel 및 DeviceType 옵션이 있습니다. 다음 섹션에 설명된 두 가지 차단 옵션에서 이러한 특성 값 중 하나 이상을 사용하여 iOS 및 Android용 Outlook이 organization 사서함에 대한 액세스를 제한합니다.

각 특성에 대한 값은 다음 표에 표시됩니다.

특성	iOS용 문자열	Android용 문자열
DeviceModel	iOS 및 Android용 Outlook	iOS 및 Android용 Outlook
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS/2.0	Outlook-Android/2.0

옵션 A: iOS 및 Android 플랫폼 모두에서 iOS 및 Android용 Outlook 차단

cmdlet을 New-ActiveSyncDeviceAccessRule 사용하면 또는 DeviceType 특성을 사용하여 디바이스 액세스 규칙을 정의할 DeviceModel 수 있습니다. 두 경우 모두 액세스 규칙은 모든 플랫폼에서 iOS 및 Android용 Outlook을 차단하고 iOS 플랫폼과 Android 플랫폼의 모든 디바이스가 앱을 통해 Exchange 사서함에 액세스하지 못하도록 합니다.

다음은 디바이스 액세스 규칙의 두 가지 예입니다. 첫 번째 예제에서는 DeviceModel 특성을 사용하고 두 번째 예제에서는 특성을 사용합니다 DeviceType .

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

옵션 B: 특정 모바일 디바이스 플랫폼에서 iOS 및 Android용 Outlook 차단

특성을 사용하여 UserAgent 특정 플랫폼에서 iOS 및 Android용 Outlook을 차단하는 디바이스 액세스 규칙을 정의할 수 있습니다. 이 규칙은 사용자가 지정한 플랫폼에서 디바이스가 iOS 및 Android용 Outlook을 사용하여 연결할 수 없도록 합니다. 다음 예제에서는 특성에 디바이스별 값을 사용하는 방법을 보여 줍니다 UserAgent .

Android를 차단하고 iOS를 허용하려면 다음을 수행합니다.

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

iOS를 차단하고 Android를 허용하려면 다음을 수행합니다.

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Exchange Online 컨트롤

Microsoft Endpoint Manager, Microsoft 365용 기본 이동성 및 보안 및 Exchange 모바일 디바이스 정책 외에도 다양한 Exchange Online 컨트롤을 통해 모바일 디바이스가 organization 정보를 제공하는 액세스를 관리할 수 있을 뿐만 아니라 사용자가 iOS 및 Android용 Outlook 내에서 추가 기능에 액세스할 수 있도록 허용할지 여부를 관리할 수 있습니다.

EWS(Exchange Web Services) 애플리케이션 정책

EWS 애플리케이션 정책은 애플리케이션이 REST API를 활용할 수 있는지 여부를 제어할 수 있습니다. 특정 애플리케이션만 메시징 환경에 액세스할 수 있도록 하는 EWS 애플리케이션 정책을 구성할 때 iOS 및 Android용 Outlook의 사용자 에이전트 문자열을 EWS 허용 목록에 추가해야 합니다.

다음 예제에서는 EWS 허용 목록에 사용자 에이전트 문자열을 추가하는 방법을 보여 줍니다.

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Exchange 사용자 컨트롤

네이티브 Microsoft 동기화 기술을 사용하면 관리자가 사서함 수준에서 iOS 및 Android용 Outlook 사용을 제어할 수 있습니다. 기본적으로 사용자는 iOS 및 Android용 Outlook을 사용하여 사서함 데이터에 액세스할 수 있습니다. 다음 예제에서는 iOS 및 Android용 Outlook에서 사용자의 사서함 액세스를 사용하지 않도록 설정하는 방법을 보여줍니다.

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

추가 기능 관리

iOS 및 Android용 Outlook을 사용하면 사용자가 인기 있는 앱과 서비스를 전자 메일 클라이언트와 통합할 수 있습니다. Outlook용 추가 기능은 웹, Windows, Mac 및 모바일에서 사용할 수 있습니다. 추가 기능은 Microsoft 365 또는 Office 365 통해 관리되므로 사용자는 Microsoft 365 관리 센터 내 사용자에 대해 추가 기능을 해제하지 않는 한 iOS 및 Android용 Outlook과 관리되지 않는 추가 기능(계정이 Intune 앱 보호 정책에 의해 관리되는 경우에도) 간에 데이터와 메시지를 공유할 수 있습니다.

최종 사용자가 모든 Outlook 클라이언트에 영향을 미치는 Outlook 추가 기능에 액세스하고 설치하지 못하도록 하려면 Microsoft 365 관리 센터 역할에 대해 다음 변경 내용을 실행합니다.

• 사용자가 Office Store 추가 기능을 설치하지 못하도록 하려면 내 Marketplace 역할을 제거합니다.
• 사용자가 추가 기능을 로드하지 못하도록 하려면 내 사용자 지정 앱 역할을 제거합니다.
• 사용자가 모든 추가 기능을 설치하지 못하도록 하려면 내 사용자 지정 앱과 내 Marketplace 역할을 모두 제거합니다.

자세한 내용은 Outlook용 추가 기능 및 Microsoft 365 관리 센터 추가 기능 배포를 관리하는 방법을 참조하세요.