전자 메일 보안을 위한 정책 권장 사항
이 문서에서는 최신 인증 및 조건부 액세스를 지원하는 조직 전자 메일 및 전자 메일 클라이언트를 보호하기 위해 권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 구현하는 방법을 설명합니다. 이 지침은 공통 ID 및 디바이스 액세스 정책을 기반으로 하며 몇 가지 추가 권장 사항도 포함합니다.
이러한 권장 사항은 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 보안 및 보호 계층(시작 지점, 엔터프라이즈 및 특수 보안)을 기반으로 합니다. 권장되는 보안 정책 및 구성 소개에서 이러한 보안 계층 및 권장 클라이언트 운영 체제에 대해 자세히 알아볼 수 있습니다.
이러한 권장 사항을 사용하려면 사용자가 모바일 장치에서 iOS용 Outlook 및 Android를 비롯한 최신 전자 메일 클라이언트를 사용해야 합니다. iOS 및 Android용 Outlook은 Microsoft 365의 최상의 기능을 지원합니다. 이러한 모바일 Outlook 앱은 모바일 사용을 지원하고 다른 Microsoft 클라우드 보안 기능과 함께 작동하는 보안 기능으로 설계되었습니다. 자세한 내용은 iOS 및 Android용 Outlook FAQ를 참조 하세요.
전자 메일을 포함하도록 일반 정책 업데이트
전자 메일을 보호하기 위해 다음 다이어그램에서는 일반 ID 및 디바이스 액세스 정책에서 업데이트할 정책을 보여 줍니다.
ActiveSync 클라이언트를 차단하는 Exchange Online에 대한 새 정책이 추가되었습니다. 이 정책은 모바일 장치에서 iOS 및 Android용 Outlook을 강제로 사용합니다.
Exchange Online 및 Outlook을 설정할 때 정책 범위에 포함한 경우 ActiveSync 클라이언트를 차단하는 새 정책만 만들어야 합니다. 다음 표에 나열된 정책을 검토하고 권장 사항을 추가하거나 이러한 설정이 이미 포함되어 있는지 확인합니다. 각 정책은 공통 ID 및 디바이스 액세스 정책의 연결된 구성 지침에 연결됩니다.
| 보호 수준 | 정책 | 자세한 정보 |
|---|---|---|
| 출발점 | 로그인 위험이 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 할당에 Exchange Online 포함 |
| 최신 인증을 지원하지 않는 클라이언트 차단 | 클라우드 앱 할당에 Exchange Online 포함 | |
| APP 데이터 보호 정책 적용 | Outlook이 앱 목록에 포함되어 있는지 확인합니다. 각 플랫폼(iOS, Android, Windows)에 대한 정책을 업데이트해야 합니다. | |
| 승인된 앱 및 APP 보호 필요 | 클라우드 앱 목록에 Exchange Online 포함 | |
| ActiveSync 클라이언트 차단 | 이 새 정책 추가 | |
| 엔터프라이즈 | 로그인 위험이 낮거나 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 할당에 Exchange Online 포함 |
| 규격 PC 및 모바일 디바이스 필요 | 클라우드 앱 목록에 Exchange Online 포함 | |
| 특수 보안 | 항상 MFA 필요 | 클라우드 앱 할당에 Exchange Online 포함 |
ActiveSync 클라이언트 차단
Exchange ActiveSync를 사용하여 데스크톱 및 모바일 디바이스에서 메시징 및 일정 데이터를 동기화할 수 있습니다.
모바일 디바이스의 경우 승인된 앱 및 APP 보호 요구에서 만든 조건부 액세스 정책에 따라 다음 클라이언트가 차단됩니다.
- 기본 인증을 사용하는 Exchange ActiveSync 클라이언트
- 최신 인증을 지원하지만 Intune 앱 보호 정책을 지원하지 않는 Exchange ActiveSync 클라이언트
- Intune 앱 보호 정책을 지원하지만 정책에 정의되지 않은 디바이스입니다.
다른 유형의 디바이스(예: PC)에서 기본 인증을 사용하여 Exchange ActiveSync 연결을 차단하려면 모든 디바이스에서 Exchange ActiveSync 차단의 단계를 따릅니다.
웹용 Outlook Exchange Online에 대한 액세스 제한
사용자가 관리되지 않는 디바이스의 웹용 Outlook 첨부 파일을 다운로드하는 기능을 제한할 수 있습니다. 이러한 장치의 사용자는 장치에 파일을 누수하고 저장하지 않고도 Office Online을 사용하여 이러한 파일을 보고 편집할 수 있습니다. 관리되지 않는 디바이스에서 사용자가 첨부 파일을 보지 못하도록 차단할 수도 있습니다.
실행할 단계는 다음과 같습니다.
Exchange Online 사서함이 있는 모든 Microsoft 365 조직에는 OwaMailboxPolicy-Default라는 기본 제공 웹용 Outlook(이전의 Outlook Web App 또는 OWA라고 함) 사서함 정책이 있습니다. 관리 사용자 지정 정책을 만들 수도 있습니다.
사용 가능한 웹용 Outlook 사서함 정책을 보려면 다음 명령을 실행합니다.
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy첨부 파일을 볼 수 있지만 다운로드할 수 없도록 하려면 영향을 받는 정책에 대해 다음 명령을 실행합니다.
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly예시:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly첨부 파일을 차단하려면 영향을 받는 정책에 대해 다음 명령을 실행합니다.
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked예시:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlockedAzure Portal에서 다음 설정을 사용하여 새 조건부 액세스 정책을 만듭니다.
>할당 사용자 및 그룹: 포함 및 제외할 적절한 사용자 및 그룹을 선택합니다.
할당 클라우드 앱 또는 작업>클라우드 앱>에는 선택 앱이 포함>됩니다. Office 365 Exchange Online을 선택합니다.>
액세스 제어>세션: 앱 적용 제한 사용 선택
iOS 및 Android 디바이스에서 Outlook을 사용해야 합니다.
iOS 및 Android 디바이스가 iOS 및 Android용 Outlook을 사용하여 회사 또는 학교 콘텐츠에만 액세스할 수 있도록 하려면 해당 잠재적 사용자를 대상으로 하는 조건부 액세스 정책이 필요합니다.
iOS 및 Android용 Outlook을 사용하여 메시징 공동 작업 액세스 관리에서 이 정책을 구성하는 단계를 참조하세요.
메시지 암호화 설정
Azure Information Protection의 보호 기능을 사용하는 Microsoft Purview 메시지 암호화 사용하면 조직에서 보호된 전자 메일을 모든 디바이스의 모든 사용자와 쉽게 공유할 수 있습니다. 사용자는 Outlook.com, Gmail 및 기타 전자 메일 서비스를 사용하여 다른 Microsoft 365 조직뿐만 아니라 비고객과 함께 보호된 메시지를 보내고 받을 수 있습니다.
자세한 내용은 메시지 암호화 설정을 참조하세요.
다음 단계
다음을 위해 조건부 액세스 정책을 구성합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기