Exchange Online iOS 및 Android용 Outlook용 S/MIME

S/MIME(보안/다목적 인터넷 메일 확장)는 디지털 서명되고 암호화된 메시지를 보내기 위한 널리 허용되는 프로토콜입니다. 자세한 내용은 Exchange Online 메시지 서명 및 암호화에 대한 S/MIME를 참조하세요.

iOS 및 Android용 Outlook에서 S/MIME를 활용하려면 Exchange Online 특정 S/MIME 필수 구성 요소를 구성해야 합니다. 이러한 단계를 완료한 후 다음 방법을 사용하여 iOS 및 Android용 Outlook에 S/MIME 인증서를 배포할 수 있습니다.

• 수동 인증서 배달
• 자동화된 인증서 배달

이 문서에서는 iOS 및 Android용 Outlook을 사용하여 S/MIME에 대한 Exchange Online 구성하는 방법과 iOS 및 Android용 Outlook에서 S/MIME를 사용하는 방법을 설명합니다.

S/MIME 필수 구성 요소

Exchange Online S/MIME 구성에 설명된 단계에 따라 S/MIME가 Exchange Online 올바르게 구성되었는지 확인합니다. 특히 여기에는 다음이 포함됩니다.

1. 가상 인증서 컬렉션을 설정합니다.
2. 인증서 해지 목록을 인터넷에 게시합니다.

수동 및 자동화된 인증서 배달 솔루션에서는 인증서의 신뢰할 수 있는 루트 체인을 사용할 수 있고 Exchange Online 테넌트의 가상 인증서 컬렉션 내에서 검색할 수 있습니다. 신뢰 확인은 모든 디지털 인증서에서 수행됩니다. Exchange Online 신뢰할 수 있는 루트 인증서에 도달할 때까지 인증서 체인의 각 인증서의 유효성을 검사하여 인증서의 유효성을 검사합니다. 이 확인은 신뢰할 수 있는 루트 인증서가 위치할 때까지 인증서의 기관 정보 액세스 특성을 통해 중간 인증서를 가져와서 수행됩니다. 중간 인증서는 디지털 서명된 전자 메일 메시지에도 포함될 수 있습니다. Exchange Online 신뢰할 수 있는 루트 인증서를 찾고 인증 기관에 대한 인증서 해지 목록을 쿼리할 수 있는 경우 해당 디지털 인증서에 대한 디지털 인증서 체인은 유효하고 신뢰할 수 있는 것으로 간주되며 사용할 수 있습니다. Exchange Online 신뢰할 수 있는 루트 인증서를 찾지 못하거나 인증 기관의 인증서 해지 목록에 연결하지 못한 경우 해당 인증서는 잘못된 것으로 간주되며 신뢰할 수 없습니다.

iOS 및 Android용 Outlook은 계정 프로필 설정 중에 구성된 메일 흐름 활동에 사용자의 기본 SMTP 주소를 활용합니다. iOS 및 Android용 Outlook에서 사용하는 S/MIME 인증서는 계정 프로필에 정의된 사용자의 기본 SMTP 주소를 인증서의 주체 값 또는 주체 대체 이름 값과 비교하여 계산됩니다. 이러한 인증서가 일치하지 않으면 iOS 및 Android용 Outlook에서 인증서를 사용할 수 없다고 보고하고(그림 7 참조) 사용자가 메시지에 서명 및/또는 암호화하는 것을 허용하지 않습니다.

수동 인증서 배달

iOS용 Outlook과 Android용 Outlook은 모두 수동 인증서 배달을 지원합니다. 이 경우 인증서가 사용자에게 전자 메일로 전송되고 사용자가 앱 내의 인증서 첨부 파일을 탭하여 인증서 설치를 시작합니다. 다음 이미지는 iOS에서 수동 인증서 배달이 작동하는 방식을 보여 줍니다.

사용자는 Outlook을 사용하여 자신의 인증서를 내보내고 자신에게 메일을 발송할 수 있습니다. 자세한 내용은 디지털 인증서 내보내기 를 참조하세요.

중요

인증서를 내보낼 때 내보낸 인증서가 강력한 암호로 암호로 보호되는지 확인합니다.

자동화된 인증서 배달

중요

• iOS 및 Android용 Outlook은 Microsoft Endpoint Manager가 등록 공급자인 경우에만 자동화된 인증서 배달을 지원합니다.

• iOS용 Outlook의 경우 iOS 키체인 아키텍처 때문입니다. iOS는 시스템 키체인 및 게시자 키 집합을 제공합니다. iOS는 타사 앱이 시스템 키체인 액세스하는 것을 방지합니다(자사 앱 및 Safari 웹 보기 컨트롤러만 시스템 키체인 액세스할 수 있습니다). iOS용 Outlook에서 액세스할 수 있는 인증서를 제공하려면 iOS용 Outlook에서 액세스할 수 있는 Microsoft 게시자 키체인 인증서가 있어야 합니다. 회사 포털 같은 Microsoft 게시 앱만 Microsoft 게시자 키체인 인증서를 배치할 수 있습니다.

• Android용 Outlook은 Endpoint Manager를 사용하여 S/MIME 인증서를 제공하고 승인합니다. 자동 인증서 배달은 디바이스 관리자, Android Enterprise 회사 프로필 및 Android Enterprise 완전 관리형 Android 등록 시나리오에서 지원됩니다.

Endpoint Manager를 사용하면 조직에서 모든 인증 기관에서 암호화 인증서 기록을 가져올 수 있습니다. 그런 다음, Endpoint Manager는 사용자가 등록하는 모든 디바이스에 해당 인증서를 자동으로 배달합니다. 일반적으로 SCEP(단순 인증서 등록 프로토콜)는 인증서 서명에 사용됩니다. SCEP를 사용하면 프라이빗 키가 생성되고 등록된 디바이스에 저장되며, 고유한 인증서는 사용자가 등록하는 각 디바이스에 전달되며, 이를 거부하지 않는 데 사용할 수 있습니다. 마지막으로 Endpoint Manager는 NIST 800-157 표준에 대한 지원이 필요한 고객을 위해 파생 자격 증명을 지원합니다. 회사 포털 Intune에서 서명 및 암호화 인증서를 검색하는 데 사용됩니다.

iOS 및 Android용 Outlook에 인증서를 배달하려면 다음 필수 구성 요소를 완료해야 합니다.

• Endpoint Manager를 통해 신뢰할 수 있는 루트 인증서를 배포합니다. 자세한 내용은 신뢰할 수 있는 인증서 프로필 만들기를 참조하세요.
• 암호화 인증서를 Endpoint Manager로 가져와야 합니다. 자세한 내용은 Intune에서 가져온 PKCS 인증서 구성 및 사용을 참조하세요.
• Microsoft Intune PFX 커넥터를 설치하고 구성합니다. 자세한 내용은 Microsoft Intune PFX 인증서 커넥터 다운로드, 설치 및 구성을 참조하세요.
• Endpoint Manager에서 신뢰할 수 있는 루트 및 S/MIME 인증서를 자동으로 받으려면 디바이스를 등록해야 합니다.

iOS용 Outlook 자동화된 인증서 배달

다음 단계를 사용하여 Endpoint Manager에서 iOS S/MIME용 Outlook 정책을 만들고 구성합니다. 이러한 설정은 서명 및 암호화 인증서의 자동화된 배달을 제공합니다.

1. Microsoft Endpoint Manager에 로그인합니다.

2. 앱을 선택한 다음, 앱 구성 정책을 선택합니다.

3. App Configuration 정책 블레이드에서 추가를 선택하고 관리되는 디바이스를 선택하여 앱 구성 정책 만들기 흐름을 시작합니다.

4. 기본 섹션에서 앱 구성 설정에 대한 이름 및 선택적 설명을 입력합니다.

5. 플랫폼의 경우 iOS/iPadOS를 선택합니다.

6. 대상 앱의 경우 앱 선택을 선택한 다음, 연결된 앱 블레이드에서 Microsoft Outlook을 선택합니다. 확인을 클릭합니다.

   참고

   Outlook이 사용 가능한 앱으로 나열되지 않은 경우 Intune을 사용하여 Android 회사 프로필 디바이스에 앱 할당 및 Microsoft Intune iOS 스토어 앱 추가의 지침에 따라 추가해야 합니다.

7. 구성 설정을 클릭하여 구성 설정을 추가합니다.

   구성 설정 형식 옆에 있는 구성 디자이너 사용을 선택하고 기본 설정을 적용하거나 수정합니다. 자세한 내용은 iOS 및 Android용 Outlook 앱 구성 설정 배포를 참조하세요.

8. S/MIME를 클릭하여 Outlook S/MIME 설정을 표시합니다.

9. S/MIME 사용을예로 설정합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

10. 예 또는 아니요를 선택하여 모든 전자 메일을 암호화할지 여부를 선택합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

11. 예 또는 아니요를 선택하여 모든 전자 메일에 서명할지 여부를 선택합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

12. 필요한 경우 수신자 인증서 조회를 위한 LDAP URL 을 배포합니다. URL 형식에 대한 자세한 내용은 인증서 조회에 대한 LDAP 지원을 참조하세요.

13. Intune에서 S/MIME 인증서 배포를예로 설정합니다.

14. 인증서 프로필 유형 옆에 있는 서명 인증서에서 다음 옵션 중 하나를 선택합니다.

    • SCEP: Microsoft Outlook에서 서명에 사용할 수 있는 디바이스 및 사용자에 대해 고유한 인증서를 만듭니다. SCEP 인증서 프로필을 사용하는 데 필요한 항목에 대한 자세한 내용은 Intune에서 SCEP를 지원하도록 인프라 구성을 참조하세요.
    • PKCS 가져온 인증서: 사용자에게 고유하지만 디바이스 간에 공유될 수 있으며 사용자를 대신하여 관리자가 Endpoint Manager로 가져온 인증서를 사용합니다. 인증서는 사용자가 등록하는 모든 디바이스에 전달됩니다. Endpoint Manager는 등록된 사용자에 해당하는 디바이스에 전달하기 위해 서명을 지원하는 가져온 인증서를 자동으로 선택합니다. PKCS 가져온 인증서를 사용하는 데 필요한 항목에 대한 자세한 내용은 Intune에서 PKCS 인증서 구성 및 사용을 참조하세요.
    • 파생 자격 증명: 서명에 사용할 수 있는 디바이스에 이미 있는 인증서를 사용합니다. Intune에서 파생된 자격 증명 흐름을 사용하여 디바이스에서 인증서를 검색해야 합니다.

15. 인증서 프로필 유형 옆의 암호화 인증서에서 다음 옵션 중 하나를 선택합니다.

    • PKCS 가져온 인증서: 사용자가 등록하는 모든 디바이스에서 관리자가 Endpoint Manager로 가져온 암호화 인증서를 배달합니다. Endpoint Manager는 자동으로 암호화를 지원하는 가져온 인증서 또는 인증서를 선택하고 등록된 사용자의 디바이스에 배달합니다.
    • 파생 자격 증명: 서명에 사용할 수 있는 디바이스에 이미 있는 인증서를 사용합니다. Intune에서 파생된 자격 증명 흐름을 사용하여 디바이스에서 인증서를 검색해야 합니다.

16. 최종 사용자 알림 옆에 회사 포털 또는Email 선택하여 최종 사용자에게 인증서를 검색하도록 알리는 방법을 선택합니다.

    iOS에서 사용자는 회사 포털 앱을 사용하여 S/MIME 인증서를 검색해야 합니다. Endpoint Manager는 회사 포털 알림 섹션, 푸시 알림 및/또는 이메일을 통해 S/MIME 인증서를 검색하기 위해 회사 포털 시작해야 한다고 사용자에게 알릴 것입니다. 알림 중 하나를 클릭하면 사용자가 인증서 검색 진행률을 알리는 방문 페이지로 이동합니다. 인증서가 검색되면 사용자는 iOS용 Microsoft Outlook 내에서 S/MIME를 사용하여 전자 메일에 서명하고 암호화할 수 있습니다.

    최종 사용자 알림에는 다음 옵션이 포함됩니다.

    • 회사 포털: 선택한 경우 사용자는 디바이스에서 푸시 알림을 받게 되며, 이 알림은 S/MIME 인증서가 검색될 회사 포털 방문 페이지로 이동합니다.
    • Email: 최종 사용자에게 S/MIME 인증서를 검색하기 위해 회사 포털 시작해야 한다는 이메일을 보냅니다. 사용자가 전자 메일의 링크를 클릭할 때 등록된 iOS 디바이스에 있는 경우 인증서를 검색하기 위해 회사 포털 리디렉션됩니다.

    최종 사용자에게는 자동화된 인증서 배달에 대해 다음과 유사한 환경이 표시됩니다.

17. 할당을 선택하여 앱 구성 정책을 Microsoft Entra 그룹에 할당합니다. 자세한 내용은 Microsoft Intune 사용하여 그룹에 앱 할당을 참조하세요.

Android용 Outlook 자동화된 인증서 배달

다음 단계를 사용하여 Endpoint Manager에서 iOS 및 Android S/MIME용 Outlook 정책을 만들고 구성합니다. 이러한 설정은 서명 및 암호화 인증서의 자동화된 배달을 제공합니다.

1. Microsoft Endpoint Manager에 로그인합니다.

2. SCEP 인증서 프로필 또는 PKCS 인증서 프로필을 만들고 모바일 사용자에게 할당합니다.

3. 앱을 선택한 다음, 앱 구성 정책을 선택합니다.

4. App Configuration 정책 블레이드에서 추가를 선택하고 관리되는 디바이스를 선택하여 앱 구성 정책 만들기 흐름을 시작합니다.

5. 기본 섹션에서 앱 구성 설정에 대한 이름 및 선택적 설명을 입력합니다.

6. 플랫폼의 경우 Android Enterprise를 선택하고 프로필 유형에 대해 모든 프로필 유형을 선택합니다.

7. 대상 앱의 경우 앱 선택을 선택한 다음, 연결된 앱 블레이드에서 Microsoft Outlook을 선택합니다. 확인을 클릭합니다.

   참고

   Outlook이 사용 가능한 앱으로 나열되지 않은 경우 Intune을 사용하여 Android 회사 프로필 디바이스에 앱 할당 및 Microsoft Intune iOS 스토어 앱 추가의 지침에 따라 추가해야 합니다.

8. 구성 설정을 클릭하여 구성 설정을 추가합니다.

   구성 설정 형식 옆에 있는 구성 디자이너 사용을 선택하고 기본 설정을 적용하거나 수정합니다. 자세한 내용은 iOS 및 Android용 Outlook 앱 구성 설정 배포를 참조하세요.

9. S/MIME를 클릭하여 Outlook S/MIME 설정을 표시합니다.

10. S/MIME 사용을예로 설정합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

11. 예 또는 아니요를 선택하여 모든 전자 메일을 암호화할지 여부를 선택합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

12. 예 또는 아니요를 선택하여 모든 전자 메일에 서명할지 여부를 선택합니다. 예 또는 아니요를 선택할 때 관리자는 사용자가 앱 설정의 값을 변경할 수 있도록 선택할 수 있습니다. 예(앱 기본값)를 선택하여 사용자가 설정을 변경할 수 있도록 허용하거나 사용자가 설정 값을 변경하지 못하도록 하려면 아니요를 선택합니다.

13. 할당을 선택하여 앱 구성 정책을 Microsoft Entra 그룹에 할당합니다. 자세한 내용은 Microsoft Intune 사용하여 그룹에 앱 할당을 참조하세요.

클라이언트에서 S/MIME 사용

S/MIME를 사용하도록 설정해야 iOS 및 Android용 Outlook에서 S/MIME 관련 콘텐츠를 보거나 만들 수 있습니다.

최종 사용자는 계정 설정에 액세스하고, 보안을 탭하고, 기본적으로 꺼져 있는 S/MIME 컨트롤을 탭하여 S/MIME 기능을 수동으로 사용하도록 설정해야 합니다. iOS용 Outlook S/MIME 보안 설정은 다음과 같습니다.

S/MIME 설정을 사용하도록 설정하면 iOS 및 Android용 Outlook에서 스레드별 구성 설정을 자동으로 사용하지 않도록 설정합니다. 대화 스레드가 증가함에 따라 S/MIME 암호화가 더 복잡해지기 때문입니다. 스레드 대화 보기를 제거하면 iOS 및 Android용 Outlook에서 서명 및 암호화 중에 받는 사람 간에 인증서 문제가 발생하는 기회를 줄일 수 있습니다. 앱 수준 설정이므로 이 변경 내용은 앱에 추가된 모든 계정에 영향을 줍니다. 이 스레드 대화 상자는 다음과 같이 iOS에서 렌더링됩니다.

S/MIME를 사용하도록 설정하고 S/MIME 인증서가 설치되면 사용자는 계정 설정에 액세스하고 보안을 탭하여 설치된 인증서를 볼 수 있습니다. 또한 사용자는 각 개별 S/MIME 인증서를 탭하고 키 사용량 및 유효 기간과 같은 정보를 포함하여 인증서의 세부 정보를 볼 수 있습니다.

사용자는 자동으로 메시지에 서명하거나 암호화하도록 Outlook을 구성할 수 있습니다. 이를 통해 사용자는 전자 메일이 서명/암호화되고 있다고 확신하면서 전자 메일을 보내는 시간을 절약할 수 있습니다.

인증서 조회에 대한 LDAP 지원

iOS 및 Android용 Outlook은 수신자 확인 중에 보안 LDAP 디렉터리 엔드포인트에서 공용 사용자 인증서 키에 액세스할 수 있도록 지원합니다. LDAP 엔드포인트를 활용하려면 다음 요구 사항을 충족해야 합니다.

• LDAP 엔드포인트에는 인증이 필요하지 않습니다.
• LDAP 엔드포인트 구성은 앱 구성 정책을 통해 iOS 및 ANdroid용 Outlook에 제공됩니다. 자세한 내용은 S/MIME 설정을 참조하세요.
• LDAP 엔드포인트 구성은 다음 형식을 사용하여 지원됩니다.
  • ldaps://contoso.com
  • ldap://contoso.com
  • ldap://contoso.com:389
  • ldaps://contoso.com:636
  • contoso.com
  • contoso.com:389
  • contoso.com:636

iOS 및 Android용 Outlook에서 수신자에 대한 인증서 조회를 수행하는 경우 앱은 먼저 로컬 디바이스를 검색한 다음 Microsoft Entra ID를 쿼리한 다음 LDAP 디렉터리 엔드포인트를 평가합니다. iOS 및 Android용 Outlook이 LDAP 디렉터리 엔드포인트에 연결하여 받는 사람의 공용 인증서를 검색하는 경우 인증서가 해지되지 않도록 인증서 유효성 검사가 수행됩니다. 인증서 유효성 검사가 성공적으로 완료된 경우에만 앱에서 인증서가 유효한 것으로 간주됩니다.

iOS 및 Android용 Outlook에서 S/MIME 사용

인증서를 배포하고 앱에서 S/MIME를 사용하도록 설정한 후 사용자는 S/MIME 관련 콘텐츠를 사용하고 S/MIME 인증서를 사용하여 콘텐츠를 작성할 수 있습니다. S/MIME 설정을 사용하도록 설정하지 않으면 사용자는 S/MIME 콘텐츠를 사용할 수 없습니다.

S/MIME 메시지 보기

메시지 보기에서 사용자는 S/MIME 서명 또는 암호화된 메시지를 볼 수 있습니다. 또한 사용자는 S/MIME 상태 표시줄을 탭하여 메시지의 S/MIME 상태 대한 자세한 정보를 볼 수 있습니다. 다음 스크린샷은 Android에서 S/MIME 메시지를 사용하는 방법의 예를 보여 줍니다.

중요

암호화된 메시지를 읽으려면 디바이스에서 받는 사람의 개인 인증서 키를 사용할 수 있어야 합니다.

사용자는 S/MIME 상태 표시줄을 탭하여 보낸 사람의 공용 인증서 키를 설치할 수 있습니다. 인증서는 사용자의 디바이스, 특히 iOS의 Microsoft 게시자 키체인 또는 Android의 시스템 KeyStore에 설치됩니다. Android 버전은 다음과 유사하게 표시됩니다.

인증서 오류가 있는 경우 iOS 및 Android용 Outlook에서 사용자에게 경고합니다. 사용자는 다음 예제와 같이 S/MIME 상태 표시줄 알림을 탭하여 인증서 오류에 대한 자세한 정보를 볼 수 있습니다.

S/MIME 메시지 만들기

사용자가 서명 및/또는 암호화된 메시지를 보내기 전에 iOS 및 Android용 Outlook은 인증서에 대한 유효성 검사 수행하여 서명 또는 암호화 작업에 유효한지 확인합니다. 인증서가 거의 만료되면 iOS 및 Android용 Outlook은 사용자가 만료 30일 전부터 메시지에 서명하거나 암호화하려고 할 때 사용자에게 새 인증서를 가져오도록 경고합니다.

iOS 및 Android용 Outlook에서 전자 메일을 작성할 때 보낸 사용자는 메시지를 암호화 및/또는 서명하도록 선택할 수 있습니다. 줄임표를 탭한 다음 서명 및 암호화를 탭하면 다양한 S/MIME 옵션이 표시됩니다. S/MIME 옵션을 선택하면 보낸 사람에게 유효한 인증서가 있다고 가정하여 메시지가 저장되거나 전송되는 즉시 전자 메일에서 해당 인코딩을 사용할 수 있습니다.

iOS 및 Android용 Outlook은 S/MIME 서명 및 암호화된 메시지를 메일 그룹에 보낼 수 있습니다. iOS 및 Android용 Outlook은 중첩된 메일 그룹에 있는 사용자를 포함하여 메일 그룹에 정의된 사용자에 대한 인증서를 열거하지만 처리 영향을 최소화하기 위해 중첩된 메일 그룹의 수를 제한하는 데 주의해야 합니다.

중요

• iOS 및 Android용 Outlook은 서명되지 않은 메시지만 보낼 수 있습니다.
• 암호화된 메시지를 작성하려면 대상 받는 사람의 공용 인증서 키를 전역 주소 목록에 사용하거나 로컬 디바이스에 저장해야 합니다. 서명된 메시지를 작성하려면 디바이스에서 보낸 사람의 개인 인증서 키를 사용할 수 있어야 합니다.

Android용 Outlook에서 S/MIME 옵션이 표시되는 방법은 다음과 같습니다.

iOS 및 Android용 Outlook은 암호화된 메시지를 보내기 전에 모든 받는 사람을 평가하고 각 수신자에 대해 유효한 공용 인증서 키가 있는지 확인합니다. GAL(전역 주소 목록)이 먼저 선택됩니다. 받는 사람에 대한 인증서가 GAL에 없는 경우 Outlook은 iOS의 Microsoft 게시자 키체인 또는 Android의 시스템 KeyStore를 쿼리하여 받는 사람의 공개 인증서 키를 찾습니다. 공용 인증서 키(또는 잘못된 키)가 없는 받는 사람의 경우 Outlook에서 제거를 요청합니다. 작성 중에 보낸 사람이 암호화 옵션을 사용하지 않도록 설정하지 않는 한 메시지는 받는 사람에게 암호화 없이 전송되지 않습니다.