다음을 통해 공유

전자 메일 보안을 위한 정책 권장 사항

  • 아티클

이 문서에서는 권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 구현하여 최신 인증 및 조건부 액세스를 지원하는 조직 전자 메일 및 전자 메일 클라이언트를 보호하는 방법을 설명합니다. 이 지침은 공통 ID 및 디바이스 액세스 정책을 기반으로 하며 몇 가지 추가 권장 사항도 포함합니다.

이러한 권장 사항은 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 보안 및 보호 계층인 시작점, 엔터프라이즈및 특수 보안기반으로 합니다. 권장되는 보안 정책 및 구성 소개이러한 보안 계층 및 권장 클라이언트 운영 체제에 대해 자세히 알아볼 수 있습니다.

이러한 권장 사항을 사용하려면 사용자가 모바일 장치에서 iOS용 Outlook 및 Android를 비롯한 최신 전자 메일 클라이언트를 사용해야 합니다. iOS 및 Android용 Outlook은 Microsoft 365의 최상의 기능을 지원합니다. 이러한 모바일 Outlook 앱은 모바일 사용을 지원하고 다른 Microsoft 클라우드 보안 기능과 함께 작동하는 보안 기능으로 설계되었습니다. 자세한 내용은 iOS용 Outlook 및 Android FAQ참조하세요.

전자 메일을 포함하도록 일반 정책 업데이트

전자 메일을 보호하기 위해 다음 다이어그램에서는 일반 ID 및 디바이스 액세스 정책에서 업데이트할 정책을 보여 줍니다.

Microsoft Exchange에 대한 액세스를 보호하기 위한 정책 업데이트 요약을 보여 주는 다이어그램

ActiveSync 클라이언트를 차단하는 Exchange Online에 대한 새 정책이 추가되었습니다. 이 정책은 모바일 장치에서 iOS 및 Android용 Outlook을 강제로 사용합니다.

Exchange Online 및 Outlook을 설정할 때 정책 범위에 포함한 경우 ActiveSync 클라이언트를 차단하는 새 정책만 만들어야 합니다. 다음 표에 나열된 정책을 검토하고 권장 사항을 추가하거나 이러한 설정이 이미 포함되어 있는지 확인합니다. 각 정책은 공통 ID 및 디바이스 액세스 정책의 관련 구성 지침으로 연결됩니다.

보호 수준 정책 자세한 정보
시작점 로그인 위험이 중간 또는 높은 경우 MFA 필요 클라우드 앱 할당에 Exchange Online 포함
최신 인증 지원하지 않는 클라이언트 차단 클라우드 앱 할당에 Exchange Online 포함
APP 데이터 보호 정책 적용 Outlook이 앱 목록에 포함되어 있는지 확인합니다. 각 플랫폼(iOS, Android, Windows)에 대한 정책을 업데이트해야 합니다.
승인된 앱 또는 앱 보호 정책 필요 클라우드 앱 목록에 Exchange Online 포함
ActiveSync 클라이언트 차단 이 새 정책 추가
Enterprise 로그인 위험이 낮은, 중간 또는 높은 클라우드 앱 할당에 Exchange Online 포함
호환 PC 모바일 기기 필요 클라우드 앱 목록에 Exchange Online 포함
특수 보안 항상 MFA 필요 클라우드 앱 할당에 Exchange Online 포함

ActiveSync 클라이언트 차단

Exchange ActiveSync를 사용하여 데스크톱 및 모바일 디바이스에서 메시징 및 일정 데이터를 동기화할 수 있습니다.

조건부 액세스 정책 (승인된 앱 또는 앱 보호 정책요구)에 따라 모바일 디바이스에서 다음 클라이언트들이 차단됩니다.

  • 기본 인증을 사용하는 Exchange ActiveSync 클라이언트
  • 최신 인증을 지원하지만 Intune 앱 보호 정책을 지원하지 않는 Exchange ActiveSync 클라이언트
  • Intune 앱 보호 정책을 지원하지만 정책에 정의되지 않은 디바이스입니다.

다른 유형의 디바이스(예: PC)에서 기본 인증을 사용하여 Exchange ActiveSync 연결을 차단하려면모든 디바이스에서 Exchange ActiveSync 차단의 단계를 따릅니다.

웹용 Outlook에서 Exchange Online에 대한 액세스 제한

사용자가 관리되지 않는 디바이스의 웹용 Outlook에서 첨부 파일을 다운로드하는 기능을 제한할 수 있습니다. 이러한 장치의 사용자는 장치에 파일을 누수하고 저장하지 않고도 Office Online을 사용하여 이러한 파일을 보고 편집할 수 있습니다. 관리되지 않는 디바이스에서 사용자가 첨부 파일을 못하도록 차단할 수도 있습니다.

단계는 다음과 같습니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. Exchange Online 사서함이 있는 모든 Microsoft 365 조직에는 OwaMailboxPolicy-Default라는 웹용 Outlook(이전의 Outlook Web App 또는 OWA) 사서함 정책이 기본 제공됩니다. 관리자는 사용자 지정 정책을 만들 수도 있습니다.

    웹 사서함 정책에서 사용 가능한 Outlook을 보려면 다음 명령을 실행합니다.

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 첨부 파일을 볼 수 있지만 다운로드할 수 없도록 하려면 영향을 받는 정책에 대해 다음 명령을 실행합니다.

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly

    예를 들어:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

  4. 첨부 파일을 차단하려면 영향을 받는 정책에 대해 다음 명령을 실행합니다.

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

    예를 들어:

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  5. Azure Portal에서 다음 설정을 사용하여 새 조건부 액세스 정책 만듭니다.

    할당>사용자 및 그룹: 포함 및 제외할 적절한 사용자 및 그룹을 선택합니다.

    클라우드 앱 또는 클라우드 앱에작업을할당은앱 선택포함할있습니다. Office 365 Exchange Online선택합니다.

    Access 컨트롤세션: 앱 적용 제한사용을 선택합니다.

iOS 및 Android 디바이스에서 Outlook을 사용해야 합니다.

iOS 및 Android 디바이스가 iOS 및 Android용 Outlook을 사용하여 회사 또는 학교 콘텐츠에만 액세스할 수 있도록 하려면 해당 잠재적 사용자를 대상으로 하는 조건부 액세스 정책이 필요합니다.

iOS 및 Android 용 Outlook을 사용하여 메시징 공동 작업 액세스를 관리하는 방법에 대한 단계를에서 확인하세요.

메시지 암호화 설정

Azure Information Protection의 보호 기능을 사용하는 Microsoft Purview 메시지 암호화를 사용하면 조직에서 보호된 전자 메일을 모든 디바이스의 모든 사용자와 쉽게 공유할 수 있습니다. 사용자는 Outlook.com, Gmail 및 기타 전자 메일 서비스를 사용하여 다른 Microsoft 365 조직뿐만 아니라 비고객과 함께 보호된 메시지를 보내고 받을 수 있습니다.

자세한 내용은 메시지 암호화 설정을 참조하십시오.

다음 단계

Microsoft 365 클라우드 앱에 대한 정책 스크린샷.

조건부 액세스 정책을 다음을 위한 목적으로 구성합니다.