전자 메일 보안을 위한 정책 권장 사항
이 문서에서는 권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 구현하여 클라우드 메일 및 전자 메일 클라이언트를 보호하는 방법을 설명합니다. 이 보호를 사용하려면 최신 인증 및 조건부 액세스를 지원하는 전자 메일 클라이언트 및 디바이스가 필요합니다. 이 지침은 공통 ID 및 디바이스 액세스 정책을 기반으로 하며 추가 권장 사항도 포함합니다.
이러한 권장 사항은 요구 사항의 세분성에 따라 적용할 수 있는 세 가지 보안 및 보호 계층인
이러한 권장 사항에는 모바일 디바이스에서 최신 전자 메일 클라이언트를 사용해야 합니다. iOS 및 Android용 Outlook은 Microsoft 365의 최상의 기능을 지원합니다. iOS 및 Android용 Outlook의 보안 기능은 모바일 사용을 지원하고 다른 Microsoft 클라우드 보안 기능과 함께 작동합니다. 자세한 내용은 iOS용 Outlook 및 Android FAQ
전자 메일을 포함하도록 일반 정책 업데이트
전자 메일을 보호하기 위해 다음 다이어그램에서는 일반 ID 및 디바이스 액세스 정책에서 업데이트할 정책을 보여 줍니다.
Microsoft Exchange에 대한 액세스를 보호하기 위한 정책 업데이트 요약을 보여 주는 
ActiveSync 클라이언트를 차단하는 Exchange Online에 대한 새 정책이 추가되었습니다. 이 정책은 모바일 장치에서 iOS 및 Android용 Outlook을 강제로 사용합니다.
Exchange Online 및 Outlook을 설정할 때 정책 범위에 포함한 경우 ActiveSync 클라이언트를 차단하는 새 정책만 만들어야 합니다. 다음 표에 나열된 정책을 검토하고 전자 메일에 권장되는 추가 사항을 만들거나 이러한 설정이 이미 포함되어 있는지 확인합니다. 각 정책은 공통 ID 및 디바이스 액세스 정책의 관련 구성 지침으로 연결됩니다.
| 보호 수준 | 정책 | 자세한 정보 |
|---|---|---|
| 시작점 | 클라우드 앱 할당에 Exchange Online을 포함합니다. | |
| 최신 인증 지원하지 않는 클라이언트 차단 | 클라우드 앱 할당에 Exchange Online을 포함합니다. | |
| APP 데이터 보호 정책 적용 | Outlook이 앱 목록에 포함되어 있는지 확인합니다. 각 플랫폼(iOS, Android, Windows)에 대한 정책을 업데이트해야 합니다. | |
| 승인된 앱 또는 앱 보호 정책 필요 | 클라우드 앱 목록에 Exchange Online을 포함합니다. | |
| [ActiveSync 클라이언트 차단](Exchange ActiveSync 클라이언트차단) | 이 새 정책을 추가합니다. | |
| Enterprise | 로그인 위험이 낮은, 중간또는 높은경우 MFA가 필요합니다 | 클라우드 앱 할당에 Exchange Online을 포함합니다. |
| 호환 PC 및 모바일 기기 필요 | 클라우드 앱 목록에 Exchange Online을 포함합니다. | |
| 특수 보안 | 항상 MFA 필요 | 클라우드 앱 할당에 Exchange Online을 포함합니다. |
Exchange ActiveSync 클라이언트 차단
ActiveSync는 데스크톱 및 모바일 디바이스에서 전자 메일 및 일정 데이터를 동기화하는 데 사용됩니다.
조건부 액세스 정책 (승인된 앱 또는 앱 보호 정책요구)에 따라 모바일 디바이스에서 다음 클라이언트들이 차단됩니다.
- 기본 인증을 사용하는 Exchange ActiveSync 클라이언트
- 최신 인증을 지원하지만 Intune 앱 보호 정책은 지원하지 않는 Exchange ActiveSync 클라이언트
- Intune 앱 보호 정책을 지원하지만 정책에 정의되지 않은 디바이스입니다.
다른 유형의 디바이스(예: PC)에서 기본 인증을 사용하는 ActiveSync 연결을 차단하려면 모든 디바이스에서Exchange ActiveSync 차단의 단계를 따릅니다.
웹용 Outlook 및 새 Windows용 Outlook에서 전자 메일 첨부 파일에 대한 액세스 제한
관리되지 않는 디바이스의 사용자가 웹용 Outlook(이전의 Outlook Web App 또는 OWA)과 새 Windows용 Outlook에서 전자 메일 첨부 파일을 다운로드하지 못하도록 제한할 수 있습니다. 사용자는 장치에 파일을 누수하고 저장하지 않고도 Office Online을 사용하여 이러한 파일을 보고 편집할 수 있습니다. 웹용 Outlook 및 관리되지 않는 디바이스의 새 Windows용 Outlook에서 사용자가 첨부 파일을 못하도록 차단할 수도 있습니다.
Exchange Online의 웹 사서함 정책에서 Outlook을 사용하여 이러한 제한을 적용합니다. Exchange Online 사서함이 있는 모든 Microsoft 365 조직에는 OwaMailboxPolicy-Default라는 기본 Outlook on the web 사서함 정책이 내장되어 있습니다. 기본적으로 이 정책은 모든 사용자에게 적용됩니다. 관리자는 특정 사용자 그룹에 적용되는 사용자 지정 정책 만들 수도 있습니다.
전자 메일 첨부 파일에 대한 액세스를 제한하는 단계는 다음과 같습니다.
웹 사서함 정책에서 사용 가능한 Outlook을 보려면 다음 명령을 실행합니다.
Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy첨부 파일을 볼 수 있지만 다운로드할 수 없도록 하려면 <PolicyName> 영향을 받는 정책의 이름으로 바꾼 다음 다음 명령을 실행합니다.
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnly예를 들어:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly첨부 파일 보기를 차단하려면 <PolicyName> 영향을 받는 정책의 이름으로 바꾼 다음 다음 명령을 실행합니다.
Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked예를 들어:
Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked조건부 액세스 | Microsoft Entra 포털에서 https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview개요 페이지로 이동하여 다음 설정을 사용하여 새로운 조건부 액세스 정책 을(를) 만듭니다.
과제 부분:
- 사용자: 포함 및 제외 탭에 포함 및 제외할 적절한 사용자 및 그룹을 선택합니다.
- 대상 리소스: 이 정책이 적용되는 항목을 선택>리소스(이전의 클라우드 앱)>포함 탭 >리소스 선택>선택> 찾기 및 선택 office 365 Exchange Online선택합니다.
액세스 제어 섹션: 세션> 앱 적용 제한 사용 을 선택하십시오.
정책 사용 섹션: 선택합니다.
모바일 장치에서 iOS 및 Android용 Outlook 필요
회사 데이터에 액세스하기 위해 iOS 및 Android용 Outlook을 요구하려면 해당 잠재 사용자를 대상으로 하는 조건부 액세스 정책이 필요합니다.
단계에 따라 iOS용 Outlook 및 Android 사용하여 메시징 공동 작업 액세스 관리이 정책을 구성합니다.
메시지 암호화 설정
Azure Information Protection의 보호 기능을 사용하는 Microsoft Purview 메시지 암호화를 사용하면 조직에서 보호된 전자 메일을 모든 디바이스의 모든 사용자와 쉽게 공유할 수 있습니다. 사용자는 Microsoft 365, Outlook.com, Gmail 및 기타 전자 메일 서비스를 사용하는 다른 조직에서 보호된 메시지를 보내고 받을 수 있습니다.
자세한 내용은 메시지 암호화 설정을 참조하십시오.
다음 단계
조건부 액세스 정책을 다음을 위한 목적으로 구성합니다.