아티클
01/22/2016

Configuration Manager의 Exchange 메일 조건부 액세스

적용 대상: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

참고

이 항목의 정보는 System Center 2012 Configuration Manager SP1 이상 및 System Center 2012 R2 Configuration Manager 이상에 적용됩니다.

Configuration Manager 조건부 액세스를 사용하면 지정한 조건에 따라 Exchange 메일에 대한 액세스를 관리할 수 있습니다.

다음 전자 메일 프로그램에 대한 액세스를 관리할 수 있습니다.

Microsoft Exchange 온-프레미스
Microsoft Exchange Online
Exchange Online Dedicated

조건부 액세스를 구성하면 사용자는 다음을 수행해야 자신의 전자 메일에 연결할 수 있습니다.

Intune에 등록된 장치 또는 도메인에 가입된 PC를 장치로 사용하도록 준비해야 합니다.
Azure Active Directory에 장치를 등록해야 합니다(이 등록은 Intune을 사용하여 장치를 등록할 때 자동으로 이루어짐)(Exchange Online만 해당). 또한 Azure Active Directory를 사용하여 클라이언트 Exchange ID를 등록해야 합니다(Exchange 온-프레미스에 연결하는 Windows 및 Windows Phone 장치에는 적용되지 않음).

도메인에 가입된 PC의 경우 Azure Active Directory에 자동으로 등록하도록 설정해야 합니다. PC에 대해 조건부 액세스를 사용하도록 설정하기 위한 전체 요구 사항 집합의 목록은 Configuration Manager의 조건부 액세스 항목의 PC에 대한 조건부 액세스 섹션에 나와 있습니다.
장치가 해당 장치에 배포된 Configuration Manager 준수 정책을 준수해야 합니다.

조건부 액세스 조건이 충족되지 않으면 사용자가 로그인할 때 다음 메시지 중 하나가 표시됩니다.

장치가 Intune에 등록되지 않았거나 Azure Active Directory에 등록되지 않은 경우, 회사 포털 앱을 설치하고 장치를 등록하고 (Android 및 iOS 장치의 경우) 전자 메일을 활성화하여 Azure Active Directory에서 장치의 Exchange ActiveSync ID를 장치 기록과 연결하는 방법에 대한 지침이 포함된 메시지가 표시됩니다.
장치가 규정을 준수하지 않으면 사용자가 문제에 관한 정보를 찾을 수 있는 Intune 웹 포털 및 문제를 관리하는 방법을 알려 주는 메시지가 표시됩니다.

PC의 경우:

조건부 액세스 정책 요구 사항이 도메인에 가입 또는 규정을 허용하는 경우 장치를 등록하는 방법에 대한 지침이 포함된 메시지가 표시됩니다. PC가 요구 사항을 하나라도 충족하지 않을 경우 장치를 Intune에 등록하라는 메시지가 표시됩니다.
조건부 액세스 정책 요구 사항이 도메인에 가입된 Windows 장치만 허용하도록 설정된 경우 해당 장치가 차단되고 IT 관리자에게 문의하라는 메시지가 표시됩니다.

다음 플랫폼의 장치 기본 제공 Exchange ActiveSync 전자 메일 클라이언트에서 Exchange 전자 메일에 대 한 액세스를 차단할 수 있습니다.

Android 4.0 이상, Samsung Knox Standard 4.0 이상
iOS 7.1 이상
Windows Phone 8.1 이상
Windows 8.1 이상에 설치된 메일 응용 프로그램

iOS, Android 및 Outlook 데스크톱 2013용 Outlook 앱은 Exchange Online에 대해서만 지원됩니다.

조건부 액세스가 작동하려면 Configuration Manager와 Exchange 간의 온-프레미스 Exchange 커넥터가 필요합니다.

Exchange 온-프레미스에 대한 조건부 액세스 정책은 Configuration Manager 콘솔에서 구성할 수 있습니다. Exchange Online에 대한 조건부 액세스 정책을 구성할 때는 Configuration Manager 콘솔에서 프로세스를 시작할 수 있습니다. 이 경우 프로세스를 완료할 수 있는 Microsoft Intune 콘솔이 시작됩니다.

1단계: 조건부 액세스 정책의 영향 평가

온-프레미스 Exchange 커넥터를 구성한 후에는 Configuration Manager 조건부 액세스 상태별 장치 목록 보고서를 사용하여 조건부 액세스 정책을 구성한 후에 Exchange 액세스를 차단할 장치를 확인할 수 있습니다. 이 보고서를 사용하려면 다음 항목도 필요합니다.

Intune 구독
Intune 커넥터 구성 및 배포

보고서 매개 변수에서 평가할 Intune 그룹을 선택하고, 필요한 경우 정책을 적용할 장치 플랫폼을 선택합니다.

보고서 실행 방법에 대한 자세한 내용은 Configuration Manager의 보고 기능를 참조하세요.

보고서를 실행한 후 다음 네 열을 검토하여 사용자가 차단될지 여부를 결정합니다.

관리 채널 – 장치가 Intune, Exchange ActiveSync 또는 둘 다에 의해 관리되는지 여부를 나타냅니다.
AAD에 등록됨 – 장치가 Azure Active Directory에 등록(작업 공간 연결이라고도 함)되었는지 여부를 나타냅니다.
규정 준수 – 장치가 배포한 모든 규정 준수 정책을 준수하는지 여부를 나타냅니다.
EAS 활성화됨 – iOS 및 Android 장치의 경우 Exchange ActiveSync ID가 Azure Active Directory의 장치 등록 레코드에 연결되어 있어야 합니다. 사용자가 격리 전자 메일에서 전자 메일 활성화 링크를 클릭하면 이러한 연결이 설정됩니다.

참고

Windows Phone 장치는 항상 이 열에 값을 표시합니다.

대상 그룹 또는 컬렉션의 일부인 장치의 경우 열 값이 다음 표에 나와 있는 값과 일치하지 않으면 Exchange 액세스가 차단됩니다.

관리 채널	등록된 AAD	규칙 준수	EAS 활성화됨	결과 작업
Microsoft Intune 및 Exchange ActiveSync에 의해 관리	예	예	예 또는 아니요가 표시됨	전자 메일 액세스 허용
모든 다른 값	아니요	아니요	값이 표시되지 않음	전자 메일 액세스 차단

보고서의 내용을 내보내고 전자 메일 주소 열을 사용하여 사용자에게 액세스 차단을 알릴 수 있습니다.

2단계: 조건부 액세스 정책을 적용할 사용자 그룹 또는 컬렉션 구성

정책 유형에 따라 서로 다른 사용자 그룹 또는 컬렉션을 대상으로 조건부 액세스 정책을 구성합니다. 이러한 그룹에는 정책의 대상이 되거나 정책에서 제외되는 사용자가 포함됩니다. 사용자가 정책의 대상인 경우 해당 사용자가 사용하는 각 장치가 규정을 준수해야 전자 메일에 액세스할 수 있습니다.

Exchange Online 정책의 경우 – Azure Active Directory 보안 사용자 그룹을 대상으로 지정합니다.Office 365 관리 센터 또는 Intune 계정 포털에서 이러한 그룹을 구성할 수 있습니다.
Exchange 온-프레미스 정책의 경우 – Configuration Manager 사용자 컬렉션을 대상으로 지정합니다.자산 및 호환성 작업 영역에서 이러한 컬렉션을 구성할 수 있습니다.

각 정책에 두 그룹 유형을 지정할 수 있습니다.

대상이 지정된 그룹 – 정책이 적용되는 사용자 그룹 또는 컬렉션
제외된 그룹 – 정책에서 제외되는 사용자 그룹 또는 컬렉션(선택 사항)

사용자가 두 그룹에 모두 속한 경우에는 정책에서 제외됩니다.

조건부 액세스 정책의 대상인 그룹 또는 컬렉션에 대해서만 Exchange 액세스를 평가합니다.

3단계: 준수 정책 구성 및 배포

규정 준수 정책을 만들고 Exchange 조건부 액세스 정책의 대상이 될 모든 장치에 배포해야 합니다.

준수 정책을 구성하는 방법에 대한 자세한 내용은 Configuration Manager의 준수 정책을 참조하세요.

중요
규정 준수 정책을 배포하지 않은 상태에서 Exchange 조건부 액세스 정책을 사용하도록 설정하면 대상으로 지정된 모든 장치에 액세스가 허용됩니다.

준비가 되었으면 4단계를 계속합니다.

4단계: 조건부 액세스 정책 구성

Exchange Online(및 새 Exchange Online Dedicated 환경의 테넌트)의 경우

다음과 같은 흐름을 사용하여 Exchange Online에 대한 조건부 액세스 정책에 의해 장치를 허용할지 또는 차단할지를 평가합니다.

Flow for Exchange Online Conditional Access

전자 메일에 액세스하려면 장치는 다음을 수행해야 합니다.

Intune에 등록
PC가 도메인에 가입되었거나 등록되어 있어야 하며, Intune에 설정된 규정을 준수해야 합니다.
장치를 Azure Active Directory에 등록해야 합니다(이 등록은 Intune에 장치를 등록하면 자동으로 수행됨).

도메인에 가입된 PC의 경우 Azure Active Directory에 장치를 자동으로 등록하도록 설정해야 합니다.
전자 메일 활성화 - 장치의 Exchange ActiveSync ID를 Azure Active Directory의 장치 레코드와 연결합니다((iOS 및 Android 장치에만 적용됨).
배포된 준수 정책을 준수해야 합니다.

장치 상태는 평가 대상 조건에 따라 전자 메일에 대한 액세스를 부여하거나 차단하는 Azure Active Directory에 저장됩니다.

조건이 충족되지 않으면 사용자가 로그인할 때 다음 메시지 중 하나가 표시됩니다.

장치를 등록하지 않았거나 Azure Active Directory에 등록한 경우, 회사 포털 앱을 설치하고 등록하는 방법에 관한 지침이 포함된 메시지가 표시됩니다.
장치가 규정을 준수하지 않으면 사용자가 문제에 관한 정보를 찾을 수 있는 Intune 웹 포털 및 문제를 관리하는 방법을 알려 주는 메시지가 표시됩니다.
PC의 경우:
- 정책이 도메인 가입을 요구하도록 설정되어 있지만 PC가 도메인에 가입되지 않은 경우 IT 관리자에게 문의하라는 메시지가 표시됩니다.
- 정책이 도메인 가입 또는 규정 준수를 요구하도록 설정되어 있는 경우 PC가 요구 사항을 충족하지 않으면 회사 포털 앱을 설치하고 등록하는 방법에 대한 지침이 포함된 메시지가 표시됩니다.

이 메시지는 Exchange Online 사용자의 장치 및 새 Exchange Online Dedicated 환경의 테넌트에 대해 표시되며, Exchange 온-프레미스 및 레거시 Exchange Online Dedicated 장치에 대한 사용자 전자 메일 받은 편지함에 배달됩니다.

참고

Configuration Manager 조건부 액세스 규칙은 Exchange Online 관리 콘솔에 정의된 규칙을 재정의, 허용, 차단 및 격리합니다.

참고

Intune 콘솔에서 조건부 액세스 정책을 구성해야 합니다. 다음 단계에서는 먼저 Configuration Manager를 통해 Intune 콘솔에 액세스합니다. 메시지가 표시되면 Configuration Manager와 Intune 간의 커넥터를 설정하는 데 사용된 것과 동일한 자격 증명을 사용하여 로그인합니다.

Exchange Online 정책을 사용하도록 설정하려면

Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.
호환성 설정, 조건부 액세스를 차례로 확장하고 Exchange Online을 클릭합니다.
홈 탭의 링크 그룹에서 Intune 콘솔에서 조건부 액세스 정책 구성을 클릭합니다.Intune 서비스의 전역 관리자와 Configuration Manager를 연결하는 데 사용할 계정의 사용자 이름과 암호를 제공해야 할 수 있습니다.

Intune 관리 콘솔이 열립니다.
Microsoft Intune 관리 콘솔에서 정책 > 조건부 액세스 > Exchange Online 정책을 클릭합니다.
Exchange Online 정책 페이지에서 Exchange Online에 대한 조건적 액세스 정책을 사용을 선택합니다. 이 확인란을 선택하면 장치가 규정을 준수해야 합니다. 선택하지 않은 경우 조건부 액세스가 적용되지 않습니다.

참고

준수 정책을 배포하지 않은 상태에서 Exchange Online 정책을 사용하도록 설정하면 대상으로 지정된 모든 장치가 규격으로 보고됩니다.

규정 준수 상태에 관계없이, 정책의 대상으로 지정된 모든 사용자는 자신의 장치를 Intune에 등록해야 합니다.

최신 인증을 사용하는 앱에서 각 플랫폼에 대한 규정을 준수하는 장치에만 액세스를 제한하도록 선택할 수 있습니다. Windows 장치가 도메인에 가입되어 있거나, Intune에 등록되어 있고 규격을 준수해야 합니다.

팁
최신 인증을 사용하는 경우 Office 클라이언트에서 ADAL(Active Directory Authentication Library) 기반 로그인이 가능합니다. ADAL 기반 인증을 사용하면 Office 클라이언트가 브라우저 기반 인증(수동 인증이라고도 함)을 수행할 수 있게 됩니다. 사용자는 인증 시 로그인 웹 페이지로 이동됩니다. 이 새로운 로그인 방법을 적용하는 경우 장치 준수 및 다단계 인증 수행 여부에 따라 조건부 액세스 등의 새로운 시나리오를 사용할 수 있습니다. 이 문서에는 최신 인증의 작동 방식이 자세히 나와 있습니다.

최신 인증을 사용하는 경우 Office 클라이언트에서 ADAL(Active Directory Authentication Library) 기반 로그인이 가능합니다.

ADAL 기반 인증을 사용하면 Office 클라이언트가 브라우저 기반 인증(수동 인증이라고도 함)을 수행할 수 있게 됩니다. 사용자는 인증 시 로그인 웹 페이지로 이동됩니다.
이 새로운 로그인 방법을 적용하는 경우 장치 준수 및 다단계 인증 수행 여부에 따라 조건부 액세스 등의 새로운 시나리오를 사용할 수 있습니다.

이 문서에는 최신 인증의 작동 방식이 자세히 나와 있습니다.

Configuration Manager 및 Intune과 함께 Exchange Online을 사용하면 조건부 액세스를 사용하여 모바일 장치를 관리할 수 있을 뿐 아니라 데스크톱 컴퓨터도 관리할 수 있습니다. PC가 도메인에 가입되어 있거나, Intune에 등록되어 있고 규정을 준수해야 합니다. 다음 요구 사항을 설정할 수 있습니다.

- **장치가 도메인에 가입되어 있거나 규정을 준수해야 합니다.** PC가 도메인에 가입되어 있거나 Intune에 설정된 정책을 따라야 합니다. PC가 이러한 요구 사항을 하나라도 충족하지 않을 경우 Intune에 장치를 등록하라는 메시지가 표시됩니다.

- **장치가 도메인에 가입되어 있어야 합니다.** Exchange Online에 액세스하려면 PC가 도메인에 가입되어 있어야 합니다. PC가 도메인에 가입되지 않은 경우 메일 액세스가 차단되고 IT 관리자에게 문의하라는 메시지가 표시됩니다.

- **장치가 규정을 준수해야 합니다.** PC가 Intune에 등록되어 있어야 하며 규격을 준수해야 합니다. PC가 등록되지 않은 경우 등록 방법에 대한 지침이 포함된 메시지가 표시됩니다.

Exchange ActiveSync 메일 앱에서 장치가 규격을 준수하지 않을 경우 메일이 Exchange Online에 액세스할 수 없게 차단하도록 선택하고, Intune에서 장치를 관리할 수 없는 경우 메일에 대한 액세스를 허용하거나 차단할 것인지 여부를 선택할 수 있습니다.
대상 그룹 아래에서 정책을 적용할 사용자의 Active Directory 보안 그룹을 선택합니다.
참고

대상이 지정된 그룹에 포함된 사용자의 경우 Exchange 규칙 및 정책 대신 Intune 정책이 적용됩니다.

Exchange는 Exchange 허용, 차단, 격리 규칙만 적용하며 다음과 같은 경우 Exchange 정책이 적용됩니다.
- 사용자에게 Intune 사용이 허가되지 않은 경우
- 사용자에게 Intune 사용이 허가되었지만 사용자가 조건부 액세스 정책에서 대상으로 지정된 보안 그룹에 속하지 않는 경우
제외된 그룹 아래에서 이 정책에서 제외된 사용자의 Active Directory 보안 그룹을 선택합니다. 사용자가 대상 그룹 및 제외된 그룹에 모두 속할 경우 정책에서 제외되며 그룹의 메일에 액세스할 수 있습니다.
작업을 마쳤으면 저장을 클릭합니다.

조건부 액세스 정책을 배포할 필요는 없으며, 즉시 적용됩니다.
사용자가 전자 메일 계정을 만들고 나면 장치가 즉시 차단됩니다.
차단된 사용자가 장치를 Intune에 등록하거나 정책 미준수 상태를 재구성하면 2분 내에 전자 메일 액세스 차단이 해제됩니다.
사용자가 장치 등록을 취소하면 약 6시간 후에 메일이 차단됩니다.

Exchange 온-프레미스(및 새 Exchange Online Dedicated 환경의 테넌트)의 경우

다음 흐름을 사용하여 Exchange 온-프레미스 및 레거시 Exchange Online Dedicated 환경의 테넌트에 대한 조건부 액세스 정책에 의해 장치를 허용할지 또는 차단할지를 평가합니다.

Conditional Access flow for Exchange On-Premises

Exchange 온-프레미스 정책을 사용하도록 설정하려면

Configuration Manager 콘솔에서 자산 및 호환성을 클릭합니다.
호환성 설정, 조건부 액세스를 차례로 확장하고 온-프레미스 Exchange를 클릭합니다.
홈 탭의 온-프레미스 Exchange 그룹에서 조건부 액세스 정책 구성을 클릭합니다.
조건부 액세스 정책 구성 마법사의 일반 페이지에서 Intune 테넌트 도메인 이름을 지정합니다. 이 이름은 Intune 커넥터를 설정하는 데 사용한 테넌트 ID의 접미사입니다. 예를 들어 사용한 테넌트 ID가 admin@corpemail.contoso.com이라면 이 마법사 페이지에서 입력하는 도메인 이름은 corpemail.contoso.com입니다.

다음을 클릭합니다.
대상이 지정된 컬렉션 페이지에서 사용자 컬렉션을 하나 이상 추가합니다. Exchange에 액세스하려면 이러한 컬렉션의 사용자가 장치를 Intune에 등록해야 하며 배포한 준수 정책을 준수해야 합니다.

다음을 클릭합니다.
제외 컬렉션 페이지에서 조건부 액세스 정책에서 제외할 사용자 컬렉션을 추가합니다. 이러한 그룹의 사용자는 Exchange에 액세스하기 위해 장치를 Intune에 등록할 필요가 없으며 배포된 준수 정책을 준수하지 않아도 됩니다.

대상으로 지정된 목록과 제외된 목록에 모두 표시되는 사용자는 조건부 액세스 정책에서 제외됩니다.

다음을 클릭합니다.
사용자 알림 편집 페이지에서 Intune이 Exchange에서 전송하는 메일 외에 장치 차단을 해제하는 방법에 대한 지침을 사용자에게 보내는 메일을 구성합니다.

기본 메시지를 편집하고 HTML 태그를 사용하여 텍스트가 나타나는 방법에 대한 서식을 지정할 수 있습니다. 예정된 변경에 대해 알리고 장치 등록에 대한 지침을 제공하는 메일을 미리 직원에게 보낼 수도 있습니다.

참고

관리 지침이 포함된 Intune 알림 전자 메일은 사용자의 Exchange 사서함에 배달되므로, 사용자가 전자 메일 메시지를 받기 전에 해당 사용자의 장치가 차단된 경우 차단 해제된 장치 또는 다른 방법을 사용하여 Exchange에 액세스하여 메시지를 볼 수 있습니다.

참고

Exchange가 알림 전자 메일을 보낼 수 있도록 하려면 알림 전자 메일을 보내는 데 사용할 계정을 구성해야 합니다. Exchange Server 커넥터의 속성을 구성할 때 이 작업을 수행합니다.

자세한 내용은 Configuration Manager와 Exchange를 사용하여 모바일 장치를 관리하는 방법 항목을 참조하십시오.

다음을 클릭합니다.
요약 페이지에서 설정을 검토하고 마법사를 완료합니다.

조건부 액세스 정책을 배포할 필요는 없으며, 즉시 적용됩니다.
사용자가 Exchange ActiveSync 프로필을 설정한 후에 장치가 차단되기까지 1~3시간이 걸릴 수 있습니다(Intune에서 관리되지 않는 경우).
그런 다음 차단된 사용자가 장치를 Intune에 등록하거나 정책 미준수 상태를 재구성하면 2분 내에 전자 메일 액세스 차단이 해제됩니다.
사용자가 Intune에서 등록을 취소되면 장치가 차단되기까지 1~3시간이 걸릴 수 있습니다.

참고 항목

Configuration Manager의 조건부 액세스