다음을 통해 공유

자습서: Microsoft Intune 사용하여 관리되지 않는 iOS 디바이스에서 Exchange Online 메일 보호

  • 아티클

이 자습서에서는 Microsoft Entra 조건부 액세스와 함께 Microsoft Intune 앱 보호 정책을 사용하여 관리되지 않는 iOS 디바이스 또는 Outlook 모바일 앱 이외의 앱을 사용하여 Microsoft 365 전자 메일에 액세스하는 사용자의 Exchange Online 대한 액세스를 차단하는 방법을 보여 줍니다. 이러한 정책의 결과는 iOS 디바이스가 Intune 같은 디바이스 관리 솔루션에 등록되지 않은 경우에 적용됩니다.

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • Outlook 앱용 Intune 앱 보호 정책을 만듭니다. 다른 이름으로 저장을 방지하고 잘라내기,복사붙여넣기 작업을 제한하여 사용자가 앱 데이터로 수행할 수 있는 작업을 제한합니다.
  • Outlook 앱만 Exchange Online 회사 전자 메일에 액세스할 수 있도록 허용하는 Microsoft Entra 조건부 액세스 정책을 만듭니다. iOS 및 Android용 Outlook과 같은 최신 인증 클라이언트에는 MFA(다단계 인증)도 필요합니다.

필수 구성 요소

이 자습서에서는 비프로덕션 평가판 구독을 사용하는 것이 좋습니다.

평가판 구독을 사용하면 이 자습서 중에 잘못된 구성으로 프로덕션 환경에 영향을 주지 않도록 방지할 수 있습니다. 평가판을 사용하면 이 자습서의 각 작업을 완료할 수 있는 권한이 있으므로 평가판 구독을 만들 때 만든 계정만 사용하여 Intune 구성하고 관리할 수 있습니다. 이 계정을 사용하면 자습서의 일부로 관리 계정을 만들고 관리할 필요가 없습니다.

이 자습서에서는 다음 구독을 사용하는 테스트 테넌트가 필요합니다.

Intune에 로그인

이 자습서에서는 Microsoft Intune 관리 센터에 로그인할 때 Intune 평가판 구독에 등록할 때 생성된 계정으로 로그인합니다. 이 계정을 계속 사용하여 이 자습서 전체에서 관리 센터에 로그인합니다.

앱 보호 정책 만들기

이 자습서에서는 Outlook 앱이 앱 수준에서 보호를 적용하도록 iOS에 대한 Intune 앱 보호 정책을 설정했습니다. 업무용으로 앱을 열려면 PIN이 필요합니다. 또한 앱 간의 데이터 공유를 제한하고 회사 데이터가 개인 위치에 저장되지 않도록 합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. >앱 보호 정책>정책 만들기를 선택한 다음, iOS/iPadOS를 선택합니다.

  3. 기본 페이지에서 다음 설정을 구성합니다.

    • 이름: Outlook 앱 정책 테스트를 입력합니다.
    • 설명: Outlook 앱 정책 테스트를 입력합니다.

    플랫폼 값은 이전 단계에서 iOS/iPadOS를 선택하여 설정되었습니다.

    다음을 선택하여 계속합니다.

  4. 페이지에서 이 정책이 관리하는 앱을 선택합니다. 이 자습서에서는 Microsoft Outlook만 추가합니다.

    1. 대상 정책이선택한 앱으로 설정되어 있는지 확인합니다.

    2. + 공용 앱 선택을 선택하여대상 앱 선택 창을 엽니다. 그런 다음 앱 목록에서 Microsoft Outlook 을 선택하여 선택한 앱 목록에 추가합니다. 번들 ID 또는 이름으로 앱을 검색할 수 있습니다. 선택을 선택하여 앱 선택을 저장합니다.

      이 정책에 대한 공용 앱으로 Microsoft Outlook을 찾아 추가합니다.

      대상으로 지정할 앱 선택 창이 닫히면 이제 앱 페이지의 퍼블릭 앱 아래에 Microsoft Outlook이 표시됩니다.

      Outlook을 선택하여 이 정책의 퍼블릭 앱 목록에 추가합니다.

    다음을 선택하여 계속합니다.

  5. 데이터 보호 페이지에서 이 앱 보호 정책으로 보호되는 앱을 사용하는 동안 사용자가 데이터와 상호 작용하는 방법을 결정하는 설정을 구성합니다. 다음 옵션을 구성합니다.

    데이터 전송 범주의 경우 다음 설정을 구성하고 다른 모든 설정을 기본값으로 둡니다.

    • 다른 앱으로 조직 데이터 보내기 - 드롭다운 목록에서 없음을 선택합니다.
    • 다른 앱에서 데이터 받기 - 드롭다운 목록에서 없음을 선택합니다.
    • 다른 앱 간에 잘라내기, 복사 및 붙여넣기 제한 - 드롭다운 목록에서 차단을 선택합니다.

    Outlook 앱 보호 정책 데이터 재배치 설정을 선택합니다.

    다음을 선택하여 계속합니다.

  6. 액세스 요구 사항 페이지에서는 사용자가 작업 컨텍스트에서 보호된 앱에 액세스하기 전에 충족해야 하는 PIN 및 자격 증명 요구 사항을 구성할 수 있는 설정을 제공합니다. 다음 설정을 구성하고 다른 모든 설정은 기본값으로 유지합니다.

    • 액세스 PIN에서 필요를 선택합니다.
    • 액세스를 위한 회사 또는 학교 계정 자격 증명에서 필요를 선택합니다.

    Outlook 앱 보호 정책 액세스 작업을 선택합니다.

    다음을 선택하여 계속합니다.

  7. 조건부 시작 페이지에서 이 앱 보호 정책에 대한 로그인 보안 요구 사항을 구성합니다. 이 자습서에서는 이러한 설정을 구성할 필요가 없습니다.

    다음을 선택하여 계속합니다.

  8. 할당 페이지에서는 사용자 그룹에 앱 보호 정책을 할당합니다. 이 자습서에서는 이 정책을 그룹에 할당하지 않습니다.

    다음을 선택하여 계속합니다.

  9. 다음: 검토 + 만들기 페이지에서 이 앱 보호 정책에 대해 입력한 값과 설정을 검토합니다. 만들기를 선택하여 Intune 앱 보호 정책을 만듭니다.

Outlook용 앱 보호 정책이 만들어집니다. 그런 다음, 디바이스에서 Outlook 앱을 사용하도록 조건부 액세스를 설정합니다.

조건부 액세스 정책 만들기

다음으로, Microsoft Intune 관리 센터를 사용하여 모든 디바이스 플랫폼을 다루는 두 가지 조건부 액세스 정책을 만듭니다. 조건부 액세스를 Intune 통합하여 조직 전자 메일 및 리소스에 연결할 수 있는 디바이스 및 앱을 제어할 수 있습니다.

  • 첫 번째 정책을 사용하려면 최신 인증 클라이언트가 승인된 Outlook 앱 및 MFA(다단계 인증)를 사용해야 합니다. 최신 인증 클라이언트에는 iOS용 Outlook 및 Android 용 Outlook이 포함됩니다.

  • 두 번째 정책을 사용하려면 Exchange ActiveSync 클라이언트가 승인된 Outlook 앱을 사용해야 합니다. (현재 Exchange Active Sync는 디바이스 플랫폼 이외의 조건을 지원하지 않습니다.) Microsoft Entra 관리 센터 조건부 액세스 정책을 구성하거나 Microsoft Entra 조건부 액세스 UI를 제공하는 Microsoft Intune 관리 센터를 사용할 수 있습니다. 이미 관리 센터에 있으므로 여기에서 정책을 만들 수 있습니다.

Microsoft Intune 관리 센터에서 조건부 액세스 정책을 구성하는 경우 Azure Portal 조건부 액세스 블레이드에서 이러한 정책을 실제로 구성합니다. 따라서 사용자 인터페이스는 Intune 다른 정책에 사용하는 인터페이스와 약간 다릅니다.

최신 인증 클라이언트에 대한 다단계 인증 정책 만들기

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>조건부 액세스>새 정책 만들기를 선택합니다.

  3. 이름에 대해 최신 인증 클라이언트용 테스트 정책을 입력합니다.

  4. 할당에서 사용자에 대해 0명의 사용자 및 그룹을 선택합니다. 포함 탭에서 모든 사용자를 선택합니다. 사용자 값이 모든 사용자로 업데이트됩니다.

    조건부 액세스 정책의 구성을 시작합니다.

  5. 할당에서 대상 리소스에 대해 선택한 대상 리소스 없음을 선택합니다. 이 정책이 적용되는 항목 선택을클라우드 앱으로 설정해야 합니다. Microsoft 365 Exchange Online 전자 메일을 보호하려면 다음 단계에 따라 선택합니다.

    1. 포함 탭에서 앱 선택을 선택합니다.
    2. 선택에서 없음을 클릭하여 클라우드 앱 선택 창을 엽니다.
    3. 애플리케이션 목록에서 Office 365 Exchange Online 확인란을 선택한 다음 선택을 선택합니다.
    4. 완료를 선택하여 새 정책 창으로 돌아갑니다.

    Office 365 Exchange Online 앱을 선택합니다.

  6. 할당에서 조건에 대해 선택한 0개의 조건을 선택한 다음, 디바이스 플랫폼의 경우 구성되지 않음을 선택하여 디바이스 플랫폼 창을 엽니다.

    1. 구성 토글을 예로 설정합니다.
    2. 포함 탭에서 디바이스 플랫폼 선택을 선택한 다음 AndroidiOS에 대한 확인란을 선택합니다.
    3. 완료를 선택하여 디바이스 플랫폼 구성을 저장합니다.

  7. 조건 창에 남아 클라이언트 앱에 대해 구성되지 않음을 선택하여 클라이언트 앱 창을 엽니다.

    1. 구성 토글을 예로 설정합니다.
    2. 모바일 앱 및 데스크톱 클라이언트에 대한 확인란을 선택합니다.
    3. 다른 확인란을 선택 취소합니다.
    4. 완료를 선택하여 새 정책 창으로 돌아갑니다.

    조건으로 모바일 앱 및 클라이언트를 선택합니다.

  8. 액세스 제어에서권한 부여에 대해 선택한 0개의 조건을 선택한 다음, 다음을 선택합니다.

    1. 권한 부여 창에서 액세스 허용을 선택합니다.
    2. 다단계 인증 필요를 선택합니다.
    3. 승인된 클라이언트 앱 필요를 선택합니다.
    4. 여러 컨트롤에 대해선택한 모든 컨트롤 필요로 설정합니다. 이렇게 설정하면 디바이스가 메일에 액세스를 시도할 때 선택한 요구 사항이 둘 다 적용됩니다.
    5. 선택을 선택하여 권한 부여 구성을 저장합니다.

    권한 부여를 구성하려면 액세스 제어를 선택합니다.

  9. 정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.

    정책을 사용하도록 설정하려면 정책 슬라이더 사용 을 켜기로 설정합니다.

최신 인증 클라이언트에 대한 조건부 액세스 정책이 만들어집니다. 이제 Exchange Active Sync 클라이언트에 대한 정책을 만들 수 있습니다.

Exchange Active Sync 클라이언트에 대한 정책 만들기

이 정책을 구성하는 프로세스는 이전 조건부 액세스 정책과 비슷합니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 엔드포인트 보안>조건부 액세스>새 정책 만들기를 선택합니다.

  3. 이름에 대해 EAS 클라이언트용 테스트 정책을 입력합니다.

  4. 할당에서 사용자에 대해 0명의 사용자 및 그룹을 선택합니다. 포함 탭에서 모든 사용자를 선택합니다.

  5. 할당에서 대상 리소스에 대해 선택한 대상 리소스 없음을 선택합니다. 이 정책이 적용되는 항목 선택클라우드 앱으로 설정되어 있는지 확인하고 다음 단계를 사용하여 Microsoft 365 Exchange Online 전자 메일을 구성합니다.

    1. 포함 탭에서 앱 선택을 선택합니다.
    2. 선택에서 없음을 선택합니다.
    3. 클라우드 앱 목록에서 Office 365 Exchange Online 확인란을 선택한 다음 선택을 선택합니다.

  6. 할당에서조건> 디바이스 플랫폼을 연 다음, 다음을 수행합니다.

    1. 구성 토글을 예로 설정합니다.
    2. 포함 탭에서 모든 디바이스를 선택한 후 완료를 선택합니다.

  7. 조건 창에 남아 클라이언트 앱을 확장한 다음, 다음을 수행합니다.

    1. 구성 토글을 예로 설정합니다.
    2. 모바일 앱 및 데스크톱 클라이언트를 선택합니다.
    3. Exchange ActiveSync 클라이언트를 선택합니다.
    4. 다른 확인란을 모두 선택 취소합니다.
    5. 완료를 선택합니다.

    조건 범주에 대한 클라이언트 앱을 구성합니다.

  8. 액세스 제어에서권한 부여를 확장한 다음, 다음을 수행합니다.

    1. 권한 부여 창에서 액세스 허용을 선택합니다.
    2. 승인된 클라이언트 앱 필요를 선택합니다. 다른 모든 검사 상자의 선택을 취소하지만, 선택한 모든 컨트롤 필요로 설정된 여러 컨트롤에 대한 구성을 그대로 둡니다.
    3. 선택을 선택합니다.

    허용 범주에 대해 승인된 클라이언트 앱 필요를 구성합니다.

  9. 정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.

앱 보호 정책 및 조건부 액세스가 이제 설정되었으며 테스트할 준비가 되었습니다.

기능 직접 사용해 보기

이 자습서에서 만든 정책을 사용하면 디바이스가 Microsoft 365 전자 메일에 액세스하는 데 사용되기 전에 디바이스가 Intune 등록하고 Outlook 모바일 앱을 사용해야 합니다. iOS 디바이스에서 이 시나리오를 테스트하려면 테스트 테넌트에서 사용자의 자격 증명을 사용하여 Exchange Online에 로그인을 시도합니다.

  1. iPhone에서 테스트하려면 설정>암호 및 계정>계정 추가>Exchange로 이동합니다.

  2. 테스트 테넌트에 있는 사용자의 메일 주소를 입력하고 다음을 누릅니다.

  3. 로그인을 누릅니다.

  4. 테스트 사용자의 암호를 입력하고 로그인을 누릅니다.

  5. MFA를 설정해야 함을 나타내는 추가 정보 필요 메시지가 표시됩니다. 계속 진행하여 다른 확인 방법을 설정합니다.

  6. 그러면 IT 부서에서 승인하지 않은 앱을 사용하여 이 리소스를 열려고 한다는 메시지가 표시됩니다. 이 메시지는 네이티브 메일 앱 사용이 차단됨을 의미합니다. 로그인을 취소합니다.

  7. Outlook 앱을 열고 설정>계정 추가>메일 계정 추가를 선택합니다.

  8. 테스트 테넌트에 있는 사용자의 메일 주소를 입력하고 다음을 누릅니다.

  9. Office 365로 로그인을 누릅니다. 다른 인증 및 등록을 묻는 메시지가 표시됩니다. 로그인한 후에는 잘라내기, 복사, 붙여넣기 및 다른 이름으로 저장과 같은 작업을 테스트할 수 있습니다.

리소스를 정리합니다.

더 이상 필요하지 않은 테스트 정책을 제거할 수 있습니다.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>준수를 선택합니다.

  3. 정책 이름 목록에서 테스트 정책에 대한 상황에 맞는 메뉴(...)를 선택한 다음, 삭제를 선택합니다. 확인을 선택하여 확인합니다.

  4. 엔드포인트 보안>조건부 액세스> 정책으로 이동합니다.

  5. 정책 이름 목록에서 각 테스트 정책의 상황에 맞는 메뉴(...)를 선택한 후 삭제를 선택합니다. 를 선택하여 확인합니다.

다음 단계

이 자습서에서는 Outlook 앱으로 수행할 수 있는 작업을 제한하는 앱 보호 정책을 만들고, 최신 인증 클라이언트를 위한 MFA와 Outlook 앱과 요구하는 조건부 액세스 정책을 만들었습니다. Intune과 함께 조건부 액세스를 사용하여 다른 앱 및 서비스를 보호하는 방법은 조건부 액세스 및 Intune에 대해 알아보기를 참조하세요.