Exchange Online에서 기본 인증 사용 중단
중요
이제 모든 테넌트에서 기본 인증을 사용할 수 없습니다.
2022년 12월 31일 이전에는 테넌트의 사용자와 앱에 연결할 수 없는 경우 영향을 받는 프로토콜을 다시 사용하도록 설정할 수 있습니다. 이제 아무도(사용자 또는 Microsoft 지원) 테넌트에서 기본 인증을 다시 사용하도록 설정할 수 없습니다.
이 문서의 나머지 부분을 읽고 변경 내용과 변경 내용이 사용자에게 미치는 영향을 완전히 이해합니다.
수년 동안 애플리케이션은 기본 인증을 사용하여 서버, 서비스 및 API 엔드포인트에 연결해 왔습니다. 기본 인증은 애플리케이션이 모든 요청과 함께 사용자 이름과 암호를 보내고 이러한 자격 증명도 종종 디바이스에 저장되거나 저장됨을 의미합니다. 일반적으로 기본 인증은 대부분의 서버 또는 서비스에서 기본적으로 사용하도록 설정되며 설정이 간단합니다.
단순성은 전혀 나쁘지 않지만 기본 인증을 사용하면 공격자가 사용자 자격 증명(특히 자격 증명이 TLS로 보호되지 않는 경우)을 쉽게 캡처할 수 있으므로 도난당한 자격 증명이 다른 엔드포인트 또는 서비스에 대해 재사용될 위험이 높아집니다. 또한 MFA(다단계 인증)의 적용은 간단하지 않거나 경우에 따라 기본 인증을 사용하도록 설정된 상태로 유지될 수 있습니다.
기본 인증은 오래된 업계 표준입니다. 이에 의해 제기되는 위협은 원래 끄겠다고 발표한 이후 증가했습니다( 보안 개선 - 함께 참조). 더 효과적이고 효과적인 사용자 인증 대안이 있습니다.
고객은 제로 트러스트(절대 신뢰 안 함, 항상 확인)과 같은 보안 전략을 채택하거나 사용자와 디바이스가 회사 정보에 액세스할 때 실시간 평가 정책을 적용하는 것이 좋습니다. 이러한 대안을 통해 사용자를 가장하는 악의적인 행위자가 될 수 있는 인증 자격 증명을 단순히 신뢰하는 것이 아니라 어떤 디바이스에서 어떤 장치에 액세스하려고 하는지에 대한 지능적인 결정을 내릴 수 있습니다.
이러한 위협과 위험을 염두에 두고 Exchange Online 데이터 보안을 개선하기 위한 조치를 취했습니다.
참고
기본 인증 사용 중단으로 인해 2단계 인증을 지원하지 않는 앱에서 앱 암호를 사용할 수도 없습니다.
변경 내용
EAS(Exchange ActiveSync), POP, IMAP, 원격 PowerShell, EWS(Exchange Web Services), OAB(오프라인 주소록), 자동 검색, Windows용 Outlook 및 Mac용 Outlook에 대한 Exchange Online 기본 인증을 사용하는 기능을 제거했습니다.
또한 사용되지 않는 모든 테넌트에서 SMTP AUTH를 사용하지 않도록 설정했습니다.
이 결정을 위해서는 고객이 기본 인증을 사용하는 앱에서 최신 인증을 사용하는 앱으로 이동해야 합니다. 최신 인증(OAuth 2.0 토큰 기반 권한 부여)에는 기본 인증의 문제를 완화하는 데 도움이 되는 많은 이점과 개선 사항이 있습니다. 예를 들어 OAuth 액세스 토큰은 사용 가능한 수명이 제한되어 있으며 발급된 애플리케이션 및 리소스와 관련이 있으므로 재사용할 수 없습니다. 최신 인증을 사용하면 MFA(다단계 인증)를 사용하도록 설정하고 적용하는 것도 간단합니다.
이 변경은 언제 수행되나요?
2021년 초부터 보고된 사용량 없이 기존 테넌트에서 기본 인증을 사용하지 않도록 설정하기 시작했습니다.
2023년 초부터 모든 유형의 확장이 있는 모든 테넌트에서 기본 인증을 사용하지 않도록 설정했습니다. 타이밍에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
참고
21Vianet에서 운영하는 Office 365 2023년 3월 31일에 기본 인증을 사용하지 않도록 설정하기 시작했습니다. 다른 모든 클라우드 환경에는 2022년 10월 1일이 적용됩니다.
메시징 프로토콜 및 기존 애플리케이션에 미치는 영향
이 변경 내용은 다양한 방법으로 사용할 수 있는 애플리케이션 및 스크립트에 영향을 줍니다.
POP, IMAP 및 SMTP 인증
2020년에는 POP, IMAP 및 SMTP AUTH에 대한 OAuth 2.0 지원을 릴리스했습니다. 일부 클라이언트 앱에 대한 업데이트 이러한 인증 유형을 지원하도록 업데이트되었습니다(예: 21Vianet에서 Office 365 사용하는 고객의 경우 아직은 아니지만 Thunderbird). 따라서 최신 버전이 있는 사용자는 OAuth를 사용하도록 구성을 변경할 수 있습니다. Outlook 클라이언트가 POP 및 IMAP용 OAuth를 지원할 계획은 없지만 Outlook은 MAPI/HTTP(Windows 클라이언트) 및 EWS(Mac용 Outlook)를 사용하여 연결할 수 있습니다.
이러한 프로토콜을 사용하여 전자 메일을 보내거나 읽거나 처리하는 앱을 빌드한 애플리케이션 개발자는 동일한 프로토콜을 유지할 수 있지만 사용자를 위해 안전하고 최신 인증 환경을 구현해야 합니다. 이 기능은 Microsoft ID 플랫폼 v2.0을 기반으로 하며 Microsoft 365 전자 메일 계정에 대한 액세스를 지원합니다.
사내 애플리케이션이 Exchange Online IMAP, POP 및 SMTP AUTH 프로토콜에 액세스해야 하는 경우 다음 단계별 지침에 따라 OAuth 2.0 인증을 구현합니다. OAuth를 사용하여 IMAP, POP 또는 SMTP 연결 인증. 또한 PowerShell 스크립트 Get-IMAPAccesstoken.ps1 사용하여 공유 사서함 사용 사례를 포함하여 간단한 방법으로 OAuth 사용 후 IMAP 액세스를 직접 테스트합니다.
SMTP AUTH는 현재 사용할 수 있지만 Exchange Online 2025년 9월에 SMTP AUTH(클라이언트 제출)를 사용한 기본 인증에 대한 지원을 영구적으로 제거할 것이라고 발표했습니다. 고객이 가능한 한 빨리 SMTP AUTH에서 기본 인증을 사용하지 않도록 하는 것이 좋습니다. 대체 옵션에 대한 자세한 내용은 여기에서 https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750공지 사항을 참조하세요. 인증된 메일을 보내기 위한 다른 옵션으로는 Microsoft Graph API 같은 대체 프로토콜을 사용하는 것이 포함됩니다.
EAS(Exchange ActiveSync)
많은 사용자에게 EAS를 사용하도록 설정된 모바일 디바이스가 있습니다. 기본 인증을 사용하는 경우 이 변경의 영향을 받습니다.
Exchange Online 연결할 때 iOS 및 Android용 Outlook을 사용하는 것이 좋습니다. iOS 및 Android용 Outlook은 MAM(조건부 액세스 및 앱 보호) 기능을 지원하는 EMS(Microsoft Enterprise Mobility + Security)를 완전히 통합합니다. iOS 및 Android용 Outlook은 사용자와 회사 데이터를 보호하는 데 도움이 되며 기본적으로 최신 인증을 지원합니다.
최신 인증을 지원하는 다른 모바일 디바이스 전자 메일 앱이 있습니다. 널리 사용되는 모든 플랫폼에 대한 기본 제공 전자 메일 앱은 일반적으로 최신 인증을 지원하므로 디바이스에서 최신 버전의 앱을 실행하고 있는지 확인하는 솔루션이 있는 경우도 있습니다. 전자 메일 앱이 최신 상태이지만 여전히 기본 인증을 사용하는 경우 디바이스에서 계정을 제거한 다음 다시 추가해야 할 수 있습니다.
Microsoft Intune 사용하는 경우 디바이스에 푸시하거나 배포하는 전자 메일 프로필을 사용하여 인증 유형을 변경할 수 있습니다. iOS 디바이스(iPhone 및 iPad)를 사용하는 경우 Microsoft Intune iOS 및 iPadOS 디바이스에 대한 전자 메일 설정 추가를 살펴보아야 합니다.
기본 이동성 및 보안 사용하여 관리되는 모든 iOS 디바이스는 다음 조건이 충족되는 경우 메일에 액세스할 수 없습니다.
- 액세스에 관리되는 이메일 프로필을 요구하도록 디바이스 보안 정책을 구성했습니다.
- 2021년 11월 9일 이후로 정책을 수정하지 않았습니다(즉, 정책이 여전히 기본 인증을 사용하고 있음).
이 날짜 이후에 생성되거나 수정된 정책은 최신 인증을 사용하도록 이미 업데이트되었습니다.
최신 인증을 사용하도록 2021년 11월 9일 이후 수정되지 않은 정책을 업데이트하려면 정책의 액세스 요구 사항을 일시적으로 변경합니다. 최신 인증을 사용하도록 정책을 업그레이드하는 암호화된 백업 필요 클라우드 설정을 변경하고 저장하는 것이 좋습니다. 변경된 정책에 상태 값이 켜져 있으면 전자 메일 프로필이 업그레이드됩니다. 그런 다음, 정책에 대한 임시 변경을 되돌리기 수 있습니다.
참고
업그레이드 프로세스 중에 전자 메일 프로필이 iOS 디바이스에서 업데이트되고 사용자에게 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다.
디바이스가 인증서 기반 인증을 사용하는 경우 올해 말 Exchange Online 기본 인증이 꺼지면 영향을 받지 않습니다. 기본 인증을 사용하여 직접 인증하는 디바이스만 영향을 받습니다.
인증서 기반 인증은 여전히 레거시 인증이므로 레거시 인증을 차단하는 Microsoft Entra 조건부 액세스 정책에 의해 차단됩니다. 자세한 내용은 Microsoft Entra 조건부 액세스를 사용하여 레거시 인증 차단을 참조하세요.
Exchange Online PowerShell
Exchange Online PowerShell 모듈이 릴리스된 이후 최신 인증을 사용하여 명령줄에서 Exchange Online 설정 및 보호 설정을 쉽게 관리할 수 있었습니다. 이 모듈은 최신 인증을 사용하고 MFA(다단계 인증)를 사용하여 Microsoft 365의 모든 Exchange 관련 PowerShell 환경(Exchange Online PowerShell, 보안 & 규정 준수 PowerShell 및 독립 실행형 Exchange Online Protection(EOP) PowerShell)에 연결합니다.
Exchange Online PowerShell 모듈을 비대화형으로 사용할 수도 있으므로 무인 스크립트를 실행할 수 있습니다. 인증서 기반 인증은 관리자에게 서비스 계정을 만들거나 자격 증명을 로컬로 저장할 필요 없이 스크립트를 실행할 수 있는 기능을 제공합니다. 자세한 내용은 Exchange Online PowerShell 모듈에서 무인 스크립트에 대한 앱 전용 인증을 참조하세요.
중요
PowerShell에서 WinRM에 대해 기본 인증을 사용하도록 설정해야 한다는 사실을 혼동하지 마세요(세션이 실행되는 로컬 컴퓨터에서). 사용자 이름/암호는 Basic을 사용하여 서비스로 전송되지 않지만 WinRM 클라이언트가 OAuth를 지원하지 않으므로 세션의 OAuth 토큰을 보내려면 기본 인증 헤더가 필요합니다. 우리는이 문제에 노력하고 있으며 앞으로 더 많은 것을 발표 할 것입니다. WinRM에서 Basic을 사용하도록 설정하는 것은 서비스에 인증하기 위해 Basic을 사용하지 않는다는 것을 알고 있습니다. 자세한 내용은 Exchange Online PowerShell: WinRM에서 기본 인증 켜기를 참조하세요.
PowerShell 모듈 및 기본 인증을 Exchange Online 다양한 버전 이해에서 이 상황에 대해 자세히 알아보세요.
모듈의 V1 버전에서 현재 버전으로 이동하는 자세한 내용은 이 블로그 게시물을 참조하세요.
Exchange Online PowerShell V3 모듈의 버전 3.0.0(미리 보기 버전 2.0.6-PreviewX)에는 WinRM에서 기본 인증이 필요하지 않은 모든 Exchange Online cmdlet의 REST API 지원 버전이 포함되어 있습니다. 자세한 내용은 버전 3.0.0에 대한 업데이트 참조하세요.
EWS(Exchange 웹 서비스)
사서함 및 일정 데이터에 액세스하기 위해 EWS를 사용하여 많은 애플리케이션을 만들었습니다.
2018년에는 Exchange Web Services가 더 이상 기능 업데이트를 받지 않을 것이라고 발표했으며 애플리케이션 개발자가 Microsoft Graph를 사용하도록 전환하는 것이 좋습니다. Office 365 대한 EWS(Exchange Web Services) API의 예정된 변경 내용을 참조하세요.
많은 애플리케이션이 성공적으로 Graph로 이동했지만, 그렇지 않은 애플리케이션의 경우 EWS가 이미 최신 인증을 완전히 지원한다는 점은 주목할 만합니다. 따라서 아직 Graph로 마이그레이션할 수 없는 경우 EWS가 결국 더 이상 사용되지 않는다는 것을 알고 EWS에서 최신 인증 사용으로 전환할 수 있습니다.
자세한 내용은 다음을 참조하세요.
- Exchange Online Exchange Web Services에서 예정된 API 사용 중단 - Microsoft Tech Community
- OAuth를 사용하여 EWS 애플리케이션 인증
- 기본 인증을 사용하는 EWS 관리 API PowerShell 스크립트로 수행할 작업
Outlook, MAPI, RPC 및 OAB(오프라인 주소록)
2016년 이후의 모든 버전의 Windows용 Outlook에는 기본적으로 최신 인증이 사용하도록 설정되어 있으므로 이미 최신 인증을 사용하고 있을 가능성이 높습니다. Outlook Anywhere(이전의 RPC over HTTP)는 HTTP를 통한 MAPI를 위해 Exchange Online 더 이상 사용되지 않습니다. Windows용 Outlook은 HTTP, EWS 및 OAB를 통해 MAPI를 사용하여 메일에 액세스하고, 약속 있음/없음 및 부재 중을 설정하고, 오프라인 주소록을 다운로드합니다. 이러한 모든 프로토콜은 최신 인증을 지원합니다.
Outlook 2007 또는 Outlook 2010은 최신 인증을 사용할 수 없으며 결국 연결할 수 없습니다. Outlook 2013에는 최신 인증을 사용하도록 설정하는 설정이 필요하지만 설정을 구성한 후에는 Outlook 2013에서 문제 없이 최신 인증을 사용할 수 있습니다. 앞에서 발표한 대로 Outlook 2013에는 Exchange Online 연결하기 위한 최소 업데이트 수준이 필요합니다. Microsoft 365에 대한 Windows용 새 최소 Outlook 버전 요구 사항을 참조하세요.
Mac용 Outlook은 최신 인증을 지원합니다.
Office의 최신 인증 지원에 대한 자세한 내용은 Office 클라이언트 앱에 대한 최신 인증 작동 방식을 참조하세요.
공용 폴더를 Exchange Online으로 마이그레이션해야 하는 경우 최신 인증 지원을 사용하는 공용 폴더 마이그레이션 스크립트를 참조하세요.
Autodiscover
2022년 11월에 테넌트에서 EAS 및 EWS를 사용하지 않도록 설정하면 자동 검색 프로토콜에 대한 기본 인증을 사용하지 않도록 설정하겠다고 발표 했습니다.
클라이언트 옵션
영향을 받은 각 프로토콜에 사용할 수 있는 옵션 중 일부는 아래에 나열되어 있습니다.
프로토콜 권장 사항
EWS(Exchange Web Services), RPS(원격 PowerShell), POP 및 IMAP 및 EAS(Exchange ActiveSync)의 경우:
- 이러한 프로토콜을 사용하여 사용자 고유의 코드를 작성한 경우 기본 인증 대신 OAuth 2.0을 사용하도록 코드를 업데이트하거나 최신 프로토콜(Graph API)으로 마이그레이션합니다.
- 사용자 또는 사용자가 이러한 프로토콜을 사용하는 타사 애플리케이션을 사용하는 경우 이 애플리케이션을 제공한 타사 앱 개발자에게 연락하여 OAuth 2.0 인증을 지원하도록 업데이트하거나 사용자가 OAuth 2.0을 사용하여 빌드된 애플리케이션으로 전환할 수 있도록 지원합니다.
키 프로토콜 서비스 | 영향을 받은 클라이언트 | 클라이언트별 권장 사항 | 21Vianet에서 운영하는 Office 365 대한 특별 권장 사항(갈라틴) | 기타 프로토콜 정보/참고 사항 |
---|---|---|---|---|
Outlook | 모든 버전의 Windows 및 Mac용 Outlook |
|
Outlook에 최신 인증 사용 – 얼마나 어려울 수 있나요? | |
EWS(Exchange 웹 서비스) | OAuth를 지원하지 않는 타사 애플리케이션 |
인기 앱:
|
이 문서에 따라 OAuth와 함께 EWS를 사용하도록 사용자 지정된 Gallatin 애플리케이션을 마이그레이션합니다. Microsoft Teams 및 Cisco Unity 현재 Gallatin에서 사용할 수 없습니다. |
기본 인증을 사용하는 EWS 관리 API PowerShell 스크립트로 수행할 작업 |
RPS(원격 PowerShell) |
|
다음 중 하나를 사용합니다. | Azure Cloud Shell Gallatin에서 사용할 수 없습니다. | Exchange Online PowerShell 모듈에 대한 자동화 및 인증서 기반 인증 지원 및 다양한버전의 Exchange Online PowerShell 모듈 및 기본 인증 이해에 대해 자세히 알아봅니다. |
POP 및 IMAP | POP 또는 IMAP를 사용하도록 구성된 Thunderbird 자사 클라이언트와 같은 타사 모바일 클라이언트 | 권장 사항:
|
샘플 코드를 사용하여 Gallatin에서 OAuth를 사용하여 POP 및 IMAP를 구성하려면 이 문서에 따릅니다. | IMAP는 Linux 및 교육 고객에게 인기가 있습니다. OAuth 2.0 지원은 2020년 4월에 출시되기 시작했습니다. OAuth를 사용하여 IMAP, POP 또는 SMTP 연결 인증 |
EAS(Exchange ActiveSync) | Apple, Samsung 등의 모바일 전자 메일 클라이언트 |
인기 앱:
|
네이티브 앱을 사용하여 Exchange Online 연결하는 모바일 디바이스는 일반적으로 이 프로토콜을 사용합니다. | |
Autodiscover | 자동 검색을 사용하여 서비스 엔드포인트를 찾는 EWS 및 EAS 앱 |
|
Exchange에 대한 자동 검색 웹 서비스 참조 |
리소스
자세한 내용은 다음 문서를 검사.
보안 기본값:
Exchange Online 인증 정책:
조건부 액세스 Microsoft Entra: