다음을 통해 공유

iOS용 Outlook 및 Exchange Server용 Android의 암호 및 보안

  • 아티클

이 문서에서는 Exchange ActiveSync 프로토콜로 기본 인증을 사용할 때 Exchange Server 사용하여 iOS 및 Android용 Outlook에서 암호 및 보안이 작동하는 방식을 설명합니다.

중요

iOS 및 Android용 Outlook은 기본 인증을 활용할 필요가 없는 온-프레미스 사서함에 대한 하이브리드 최신 인증을 지원합니다. 이 문서에 포함된 정보는 기본 인증과만 관련이 있습니다. 자세한 내용은 iOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.

계정 만들기 및 암호 보호

iOS 및 Android용 Outlook 앱이 Exchange 온-프레미스 환경에서 처음 실행되면 Outlook에서 임의의 AES-128 키를 생성합니다. 이 키를 디바이스 키 라고 하며 사용자의 디바이스에만 저장됩니다.

사용자가 기본 인증을 사용하여 Exchange에 로그인하면 사용자 이름, 암호 및 고유한 AES-128 디바이스 키가 사용자의 디바이스에서 TLS 연결을 통해 Outlook 클라우드 서비스로 전송됩니다. 여기서 디바이스 키는 런타임 컴퓨팅 메모리에 보관됩니다. Exchange 서버에서 암호를 확인한 후 Microsoft 365 또는 Office 365 기반 아키텍처는 디바이스 키를 사용하여 암호를 암호화한 다음 암호화된 암호가 서비스에 저장됩니다. 한편 디바이스 키는 메모리에서 초기화되고 Microsoft 365 또는 Office 365 기반 아키텍처에 저장되지 않습니다(키는 사용자의 디바이스에만 저장됨).

다음으로 사용자가 Exchange에 연결하여 사서함 데이터를 검색하려고 하면 디바이스 키가 TLS 보안 연결을 통해 디바이스에서 Microsoft 365 또는 Office 365 기반 아키텍처로 다시 전달됩니다. 여기서 런타임 컴퓨팅 메모리에서 암호를 해독하는 데 사용됩니다. 암호를 해독하면 암호가 서비스에 저장되거나 로컬 스토리지 디스크에 기록되지 않으며 디바이스 키가 메모리에서 다시 한 번 초기화됩니다.

Microsoft 365 또는 Office 365 기반 아키텍처가 런타임에 암호를 해독한 후 서비스는 Exchange 서버에 연결하여 메일, 일정 및 기타 사서함 데이터를 동기화할 수 있습니다. 사용자가 Outlook을 정기적으로 계속 열고 사용하는 한 Microsoft 365 또는 Office 365 기반 아키텍처는 사용자의 암호 해독된 암호 복사본을 메모리에 유지하여 Exchange 서버에 대한 연결을 활성 상태로 유지합니다.

암호를 보낼 때 준수 고려 사항

온-프레미스 Exchange 환경에서 암호를 전송할 수 있는 모든 항목을 사용하도록 설정하기 전에 가능한 파급 효과를 고려해야 합니다. 예를 들어 Microsoft 365 또는 Office 365 기반 아키텍처로 암호를 전송하면 PCI-DSS 또는 ISO/IEC 27001의 요구 사항을 충족하지 못할 수 있습니다.

또한 전자 메일, 일정 및 기타 전자 메일 관련 데이터를 연결하고 동기화하는 경우 GDPR 준수 문제가 발생할 수 있으며, 이로 인해 소유자 동의 없이 전송할 수 있는 개인 정보가 제한될 수 있습니다. 이 정보는 전자 메일, 일정 항목 등에 포함되고 찾을 수 있습니다.

계정 비활성 및 메모리에서 암호 플러시

3일 동안 비활성 상태이면 Microsoft 365 또는 Office 365 기반 아키텍처가 메모리에서 암호 해독된 암호를 플러시합니다. 암호 해독된 암호가 플러시되면 아키텍처가 온-프레미스에서 사용자의 사서함에 액세스할 수 없습니다. 암호화된 암호는 Microsoft 365 또는 Office 365 기반 아키텍처에 저장되어 있지만 사용자의 디바이스에서만 사용할 수 있는 디바이스 키가 없으면 암호를 다시 해독할 수 없습니다.

사용자 계정이 비활성 상태가 될 수 있는 세 가지 방법이 있습니다.

  • 사용자가 iOS 및 Android용 Outlook을 제거합니다.

  • 설정 옵션에서 백그라운드 앱 새로 고침을 사용하지 않도록 설정한 다음 Outlook에 강제 종료가 적용됩니다.

  • 장치에서 인터넷 연결을 사용할 수 없으므로 Outlook이 Exchange와 동기화되지 않습니다.

참고

사용자가 주말이나 휴가 중과 같이 일정 시간 동안 앱을 열지 않기 때문에 Outlook이 비활성 상태가 되지 않습니다. 백그라운드 앱 새로 고침을 사용하도록 설정하는 한(iOS 및 Android용 Outlook의 기본 설정) 푸시 알림 및 전자 메일의 백그라운드 동기화와 같은 함수는 활동으로 계산됩니다.

Microsoft 365 또는 Office 365 암호화된 암호 및 동기화된 사서함 데이터 플러시

Microsoft 365 또는 Office 365 기반 아키텍처는 주간 일정에 따라 비활성 계정을 플러시하거나 삭제합니다. 사용자 계정이 비활성 상태가 되면 아키텍처는 암호화된 암호와 사용자의 동기화된 모든 사서함 콘텐츠를 서비스에서 모두 플러시합니다.

디바이스 및 서비스 보안 조합

각 사용자의 고유한 디바이스 키는 Microsoft 365 또는 Office 365 기반 아키텍처에 저장되지 않으며 사용자의 Exchange 암호는 디바이스에 저장되지 않습니다. 이 아키텍처는 악의적인 당사자가 사용자의 암호에 액세스하려면 Microsoft 365 또는 Office 365 기반 아키텍처에 대한 무단 액세스와 해당 사용자의 디바이스에 대한 물리적 액세스가 모두 필요하다는 것을 의미합니다.

조직의 디바이스에 PIN 정책 및 암호화를 적용하면 악의적인 당사자는 디바이스 키에 액세스하기 위해 디바이스의 암호화를 무효화해야 합니다. 이 모든 작업은 사용자가 디바이스가 손상되었으며 디바이스에 대한 원격 초기화를 요청할 수 있음을 발견하기 전에 수행해야 합니다.

암호 보안 FAQ

다음은 기본 인증과 함께 사용할 때 iOS 및 Android용 Outlook의 보안 디자인 및 설정에 대한 질문과 대답입니다.

Outlook에서 내 Exchange Server 액세스하지 못하도록 차단하는 경우 사용자 자격 증명이 Microsoft 365 또는 Office 365 기반 아키텍처에 저장되어 있나요?

iOS 및 Android용 Outlook이 온-프레미스 Exchange 서버에 액세스하지 못하도록 차단하도록 선택한 경우 Exchange에서 초기 연결이 거부됩니다. 사용자 자격 증명은 Outlook 클라우드 서비스에서 저장되지 않으며 실패한 연결 시도에 제시된 자격 증명은 메모리에서 즉시 플러시됩니다.

Microsoft 365 또는 Office 365 기반 아키텍처로 전송 중인 고유한 디바이스 키 및 사용자 암호는 어떻게 암호화됩니까?

Outlook 앱과 Microsoft 365 또는 Office 365 기반 아키텍처 간의 모든 통신은 암호화된 TLS 연결을 통해 진행됩니다. Outlook 앱은 Microsoft 365 또는 Office 365 기반 아키텍처와 연결할 수 있습니다.

Microsoft 365 또는 Office 365 기반 아키텍처에서 사용자의 자격 증명 및 사서함 정보를 제거할 어떻게 할까요? 있나요?

사용자가 모든 디바이스에서 iOS 및 Android용 Outlook을 제거하게 합니다. 모든 데이터는 약 3-7일 이내에 Microsoft 365 또는 Office 365 기반 아키텍처에서 제거됩니다.

앱이 닫히거나 제거되었지만 여전히 내 Exchange 서버에 연결되는 것을 볼 수 있습니다. 어떻게 이런 일이 일어나고 있습니까?

Microsoft 365 또는 Office 365 기반 아키텍처는 런타임 컴퓨팅 메모리에서 사용자 암호를 해독한 다음 암호 해독된 암호를 사용하여 Exchange에 연결합니다. 아키텍처가 디바이스를 대신하여 Exchange에 연결하여 사서함 데이터를 가져오고 캐시하기 때문에 서비스에서 Outlook이 더 이상 데이터를 요청하지 않는다는 것을 감지할 때까지 짧은 기간 동안 계속될 수 있습니다.

사용자가 먼저 계정 삭제 옵션을 사용하지 않고 디바이스에서 앱을 제거하는 경우 Microsoft 365 또는 Office 365 기반 아키텍처는 "계정 비활성 및 메모리에서 암호 플러시"에 설명된 대로 계정이 비활성 상태가 될 때까지 Exchange 서버에 계속 연결됩니다. 이 작업을 중지하려면 위의 FAQ에서 옵션 1 또는 옵션 3을 따르거나 iOS 및 Android용 Outlook 차단에 설명된 대로 앱을 차단합니다.

다른 Exchange ActiveSync 클라이언트를 사용하는 경우보다 iOS 및 Android용 Outlook에서 사용자 암호의 보안이 떨어지나요?

아니요. EAS 클라이언트는 일반적으로 사용자 자격 증명을 사용자의 디바이스에 로컬로 저장합니다. 즉, 도난 또는 손상된 디바이스로 인해 악의적인 당사자가 사용자의 암호에 액세스할 수 있습니다. iOS 및 Android용 Outlook의 보안 설계를 사용하면 악의적인 당사자가 Microsoft 365 또는 Office 365 기반 아키텍처에 무단으로 액세스해야 하며 사용자의 디바이스에 물리적으로 액세스할 수 있습니다.

사용자가 Outlook 클라우드 서비스에서 데이터를 삭제한 후 iOS 및 Android용 Outlook을 사용하려고 하면 어떻게 되나요?

사용자 계정이 비활성 상태가 되면(예: 디바이스에서 백그라운드 앱 새로 고침을 사용하지 않도록 설정하거나 잠시 동안 인터넷에서 디바이스 연결을 끊음) Outlook 앱은 다음에 앱을 시작할 때 Microsoft 365 또는 Office 365 기반 아키텍처에 다시 연결되고 암호 암호화 및 전자 메일 캐싱 프로세스가 다시 시작됩니다. 이는 모두 사용자에게 투명합니다.

iOS 및 Android용 Outlook에서 온-프레미스 사서함에 대한 기본 인증 사용을 방지하는 방법이 있나요?

예, 하이브리드 최신 인증을 배포할 수 있습니다. 자세한 내용은 iOS 및 Android용 Outlook에서 하이브리드 최신 인증 사용을 참조하세요.