Exchange Server에 대한 iOS 및 Android용 Outlook의 장치 관리

중요

iOS 및 Android용 Outlook은 기본 인증을 활용할 필요가 없는 온-프레미스 사서함에 대한 하이브리드 최신 인증을 지원합니다. 이 문서에 포함된 정보는 기본 인증과만 관련이 있습니다. 자세한 내용은 iOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.

Microsoft는 온-프레미스 환경에서 Exchange 사서함에 액세스하는 데 사용되는 모바일 디바이스를 관리하기 위해 Exchange ActiveSync 권장합니다. Exchange ActiveSync 휴대폰이 Microsoft Exchange를 실행하는 서버에서 조직의 정보에 액세스할 수 있도록 하는 Microsoft Exchange 동기화 프로토콜입니다.

이 문서에서는 기본 인증을 사용하여 인증할 때 iOS 및 Android용 Outlook을 실행하는 모바일 디바이스의 특정 Exchange ActiveSync 기능 및 시나리오에 중점을 둡니다. Microsoft Exchange 동기화 프로토콜에 대한 전체 정보는 Exchange ActiveSync 사용할 수 있습니다. 또한 iOS 및 Android용 Outlook을 실행하는 디바이스에서 암호 적용 및 Exchange ActiveSync 사용할 경우의 기타 이점에 대해 자세히 설명하는 Office 블로그에 대한 정보가 있습니다.

모바일 디바이스 사서함 정책

iOS 및 Android용 Outlook은 Exchange 온-프레미스에서 다음과 같은 모바일 디바이스 사서함 정책 설정을 지원합니다.

• 장치 암호화 사용

• 최소 암호 길이(Android에서만 해당)

• 암호 사용

• Bluetooth 허용(Android용 Outlook 웨어러블 앱 관리)

  • AllowBluetooth를 사용하도록 설정(기본 동작)하거나 HandsfreeOnly에 대해 구성된 경우 Android 디바이스의 Outlook과 웨어러블의 Outlook 간에 웨어러블 동기화가 회사 또는 학교 계정에 허용됩니다.

  • AllowBluetooth를 사용하지 않도록 설정하면 Android용 Outlook은 Android 디바이스의 Outlook과 지정된 회사 또는 학교 계정에 대한 웨어러블의 Outlook 간의 동기화를 사용하지 않도록 설정하고 이전에 계정에 대해 동기화된 데이터를 삭제합니다. 동기화를 사용하지 않도록 설정하면 Outlook 자체 내에서 완전히 제어됩니다. Bluetooth는 장치에서 사용하지 않도록 설정되거나 착용할 수 없으며 다른 웨어러블 앱도 영향을 받지 않습니다.

참고

Android용 Outlook은 8월 말부터 AllowBluetooth 설정에 대한 지원을 출시할 예정입니다.

기존 모바일 디바이스 사서함 정책을 만들거나 수정하는 방법에 대한 자세한 내용은 모바일 디바이스 사서함 정책을 참조하세요.

PIN 잠금 및 디바이스 암호화

사용자가 전자 메일을 동기화하기 위해 조직의 Exchange ActiveSync 정책에 모바일 디바이스의 암호가 필요한 경우 Outlook은 디바이스 수준에서 이 정책을 적용합니다. 이는 Apple과 Google에서 제공하는 사용 가능한 컨트롤에 따라 iOS 디바이스와 Android 디바이스 간에 다르게 작동합니다.

iOS 디바이스에서 Outlook은 암호 또는 PIN이 제대로 설정되어 있는지 확인합니다. 암호가 설정되지 않은 경우 Outlook은 사용자에게 iOS 설정에서 암호를 만들라는 메시지를 표시합니다. 암호가 설정될 때까지 사용자는 iOS용 Outlook에 액세스할 수 없습니다.

Android 디바이스에서 Outlook은 화면 잠금 규칙을 적용합니다. 또한 Google은 Android용 Outlook이 암호 길이 및 복잡성과 관련된 Exchange 정책 및 휴대폰을 초기화하기 전에 허용되는 화면 잠금 해제 시도 횟수를 준수할 수 있도록 하는 컨트롤을 제공합니다. Android용 Outlook은 사용하도록 설정되지 않은 경우 스토리지 암호화를 권장하며, 단계별 연습을 통해 이 프로세스를 통해 사용자를 안내합니다.

이러한 암호 보안 설정을 지원하지 않는 iOS 및 Android 디바이스는 Exchange 사서함에 연결할 수 없습니다.

디바이스 암호화

iOS 디바이스는 기본 제공 암호화와 함께 제공됩니다. 이 암호화는 암호를 사용하도록 설정하면 Outlook이 iOS 디바이스에 로컬로 저장하는 모든 데이터를 암호화하는 데 사용합니다. 따라서 PIN이 있는 iOS 디바이스는 ActiveSync 정책에 필요한지 여부에 관계없이 암호화됩니다.

Android용 Outlook은 Exchange 모바일 디바이스 사서함 정책을 통해 디바이스 암호화를 지원합니다. 그러나 Android 7.0 이전에는 이 프로세스의 가용성 및 구현은 Android OS 버전 및 디바이스 제조업체에 따라 다르므로 사용자가 암호화 프로세스 중에 취소할 수 있습니다. Google이 Android 7.0에 도입한 변경 내용으로 Android용 Outlook은 이제 Android 7.0 이상을 실행하는 디바이스에서 암호화를 적용할 수 있습니다. 해당 운영 체제를 실행하는 디바이스가 있는 사용자는 암호화 프로세스에서 취소할 수 없습니다.

Android 디바이스가 암호화되지 않고 공격자가 디바이스를 소유하고 있더라도 디바이스 PIN을 사용하도록 설정하면 Outlook 데이터베이스에 액세스할 수 없습니다. USB 디버깅을 사용하도록 설정하고 Android SDK를 설치한 경우에도 마찬가지입니다. 공격자가 PIN을 우회하여 이 정보에 액세스하기 위해 디바이스를 루트하려고 하면 루팅 프로세스는 모든 디바이스 스토리지를 초기화하고 모든 Outlook 데이터를 제거합니다. 디바이스를 도난당하기 전에 사용자가 암호화되지 않고 루팅한 경우 공격자가 디바이스에서 USB 디버깅을 사용하도록 설정하고 Android SDK가 설치된 컴퓨터에 디바이스를 연결하여 Outlook 데이터베이스에 액세스할 수 있습니다.

Exchange ActiveSync 사용하여 원격 초기화

Exchange ActiveSync 사용하면 관리자가 손상되거나 분실/도난당한 경우와 같이 디바이스를 원격으로 초기화할 수 있습니다. iOS 및 Android용 Outlook을 사용하면 원격 초기화는 Outlook 앱 자체의 데이터만 초기화하고 전체 디바이스 초기화를 트리거하지 않습니다.

자세한 내용은 휴대폰에서 원격 초기화 수행 을 참조하세요.

디바이스 액세스 정책

iOS 및 Android용 Outlook은 기본적으로 사용하도록 설정해야 하지만 일부 기존 Exchange 온-프레미스 환경에서는 다양한 이유로 앱이 차단될 수 있습니다. 조직에서 사용자가 Exchange 데이터에 액세스하고 최종 사용자를 위한 유일한 전자 메일 앱으로 iOS 및 Android용 Outlook을 사용하는 방법을 표준화하기로 결정하면 사용자의 iOS 및 Android 디바이스에서 실행되는 다른 전자 메일 앱에 대한 블록을 구성할 수 있습니다. Exchange 온-프레미스 내에서 이러한 블록을 도입하는 두 가지 옵션이 있습니다. 첫 번째 옵션은 모든 디바이스를 차단하고 iOS 및 Android용 Outlook만 사용할 수 있습니다. 두 번째 옵션을 사용하면 개별 디바이스에서 네이티브 Exchange ActiveSync 앱을 사용하지 못하도록 차단할 수 있습니다.

참고

디바이스 ID는 물리적 디바이스 ID에 의해 제어되지 않으므로 예고 없이 변경할 수 있습니다. 이 경우 기존 '허용' 디바이스가 Exchange에서 예기치 않게 차단되거나 격리될 수 있으므로 디바이스 ID를 사용하여 사용자 디바이스를 관리할 때 의도하지 않은 결과가 발생할 수 있습니다. 따라서 관리자는 디바이스 유형 또는 디바이스 모델에 따라 디바이스를 허용/차단하는 모바일 디바이스 액세스 정책만 설정하는 것이 좋습니다.

옵션 1: iOS 및 Android용 Outlook을 제외한 모든 전자 메일 앱 차단

다음 Exchange 온-프레미스 PowerShell 명령을 사용하여 기본 블록 규칙을 정의한 다음 iOS 및 Android용 Outlook 및 Windows 디바이스에 대한 허용 규칙을 구성할 수 있습니다. 이 구성은 Exchange ActiveSync 네이티브 앱이 연결되지 않도록 하며 iOS 및 Android용 Outlook만 허용합니다.

1. 기본 블록 규칙을 만듭니다.

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. iOS 및 Android용 Outlook에 대한 허용 규칙 만들기

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

3. 선택 사항: Windows 디바이스의 Outlook에서 Exchange ActiveSync 연결을 허용하는 규칙을 만듭니다(WindowsMail은 Windows 10 포함된 메일 앱을 참조함).

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
   

옵션 2: Android 및 iOS 디바이스에서 네이티브 Exchange ActiveSync 앱 차단

또는 특정 Android 및 iOS 디바이스 또는 다른 유형의 디바이스에서 네이티브 Exchange ActiveSync 앱을 차단할 수 있습니다.

1. iOS 및 Android용 Outlook을 차단하는 Exchange ActiveSync 디바이스 액세스 규칙이 없는지 확인합니다.

   Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
   

   iOS 및 Android용 Outlook을 차단하는 디바이스 액세스 규칙이 있는 경우 다음을 입력하여 제거합니다.

   Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
   

2. 다음 명령을 사용하여 대부분의 Android 및 iOS 디바이스를 차단할 수 있습니다.

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. 모든 Android 디바이스 제조업체가 DeviceType으로 "Android"를 지정하는 것은 아닙니다. 제조업체는 각 릴리스에서 고유한 값을 지정할 수 있습니다. 환경에 액세스하는 다른 Android 디바이스를 찾으려면 다음 명령을 실행하여 활성 Exchange ActiveSync 파트너 관계가 있는 모든 디바이스에 대한 보고서를 생성합니다.

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. 3단계의 결과에 따라 추가 블록 규칙을 만듭니다. 예를 들어 환경에 HTCOne Android 디바이스의 사용량이 많은 경우 특정 디바이스를 차단하는 Exchange ActiveSync 디바이스 액세스 규칙을 만들어 사용자가 iOS 및 Android용 Outlook을 사용하도록 강제할 수 있습니다. 이 예제에서는 다음을 입력합니다.

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

참고

QueryString 매개 변수는 와일드카드 또는 부분 일치를 허용하지 않습니다.

추가 리소스:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

iOS 및 Android용 Outlook 차단

모든 Exchange 조직에는 보안 및 디바이스 관리에 관한 다양한 정책이 있습니다. 조직에서 iOS 및 Android용 Outlook이 요구 사항을 충족하지 못하거나 최상의 솔루션이 아니라고 결정하면 관리자는 앱을 차단할 수 있습니다. 앱이 차단되면 조직의 모바일 Exchange 사용자는 iOS 및 Android에서 기본 제공 메일 애플리케이션을 사용하여 사서함에 계속 액세스할 수 있습니다.

cmdlet에는 New-ActiveSyncDeviceAccessRule 매개 변수가 Characteristic 있으며 관리자가 iOS 및 Android용 Outlook 앱을 차단하는 데 사용할 수 있는 세 Characteristic 가지 옵션이 있습니다. UserAgent, DeviceModel 및 DeviceType 옵션이 있습니다. 다음 섹션에 설명된 두 가지 차단 옵션에서 이러한 특성 값 중 하나 이상을 사용하여 iOS 및 Android용 Outlook에서 조직의 사서함에 대한 액세스를 제한합니다.

각 특성에 대한 값은 다음 표에 표시됩니다.

특성	iOS용 문자열	Android용 문자열
DeviceModel	iOS 및 Android용 Outlook	iOS 및 Android용 Outlook
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS-Android/1.0	Outlook-iOS-Android/1.0

cmdlet을 New-ActiveSyncDeviceAccessRule 사용하면 또는 DeviceType 특성을 사용하여 디바이스 액세스 규칙을 정의할 DeviceModel 수 있습니다. 두 경우 모두 액세스 규칙은 모든 플랫폼에서 iOS 및 Android용 Outlook을 차단하고 iOS 플랫폼과 Android 플랫폼의 모든 디바이스가 앱을 통해 Exchange 사서함에 액세스하지 못하도록 합니다.

다음은 디바이스 액세스 규칙의 두 가지 예입니다. 첫 번째 예제에서는 DeviceModel 특성을 사용하고 두 번째 예제에서는 특성을 사용합니다 DeviceType .

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block