기존 Exchange 온프레미스 계정은 MFA 인증을 사용할 수 없었습니다. OWA, ECP의 경우 ADFS 연계를 통해서 MFA를 사용할 수 있지만, Outlook, Exchange Active Sync 등에서는 MFA를 사용할 수 없기 때문에 보안을 강화할 수 없었습니다.
지난 포스팅
2020.08.21 - [Exchange] - Exchange Server 2019. ADFS 를 이용하여 OWA, ECP 사이트에 대한 클레임 인증 설정
Hybrid Modern Authentication (HMA) 설정하면, 기술자료 상에서 최신 인증 (Modern Authentication)을 사용할 수 있다고 나와 있습니다. 인증과 관련하여 Oauth, ADAL, 모던 인증 등 다양하게 표현됩니다. 저는 보통 하이브리드 모던 인증으로 부릅니다.
| Authentication methods: MFA(다단계 인증), 스마트 카드 인증, 클라이언트 인증서 기반 인증 Authorization methods: Microsoft의 OAuth(Open Authorization) 구현 Conditional access policies: MAM(모바일 응용 프로그램 관리) 및 Azure AD(Azure Active Directory) 조건부 액세스 |
기술자료
하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한
이 문서에서는 하이브리드 최신 인증 및 하이브리드 서버 및 하이브리드 서버와 함께 사용하기 위한 비즈니스용 Skype Exchange 있습니다.
docs.microsoft.com
[최신 인증 상태 확인]
아래의 명령어로 최신 인증상태를 확인합니다.
Get-OrganizationConfig | ft OAuth*
Exchange Hybrid 구성은 진행했다는 전제하에 작성하였습니다.
아래의 기술자료를 참고하여 구성하였습니다.
하이브리드 최신 인증을 사용하도록 Exchange Server 온-프레미스를 구성하는 방법 - Microsoft 365 Enterprise | Microsoft Docs
[Azure AD에서 온-프레미스 웹 서비스 URL을 SPN으로 추가]
먼저 AAD에 추가해야 하는 모든 URL을 수집합니다. 온프레미스에서 다음 명령을 실행합니다.
Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*
아래의 순서로 등록 절차를 진행합니다.
#Azure AD 연결
Connect-MsolService
#Exchange URL 등록여부 확인
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames
#등록되어 있지 않다면, 다음 명령어로 등록 진행
$ServiceName = "00000002-0000-0ff1-ce00-000000000000";
$x = Get-MsolServicePrincipal -AppPrincipalId $ServiceName;
$x.ServicePrincipalnames.Add("https://mail.contoso.kr/");
$x.ServicePrincipalnames.Add("https://autodiscover.contoso.kr/");
Set-MSOLServicePrincipal -AppPrincipalId $ServiceName -ServicePrincipalNames $x.ServicePrincipalNames;
[가상 디렉터리가 올바르게 구성되었는지 확인]
온프레미스에서 다음 명령어로 Oauth가 활성화 되어 있는지 확인합니다.
Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*
[EvoSTS 인증 서버 개체가 있는지 확인]
Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled
[HMA 활성화]
EXCH 버전이 Exchange 2016(CU18 이상) 또는 Exchange 2019(CU7 이상)이고 하이브리드가 2020년 9월 이후 다운로드된 HCW로 구성된 경우 온-프레미스 Exchange 관리 셸에서 다음 명령을 실행합니다.
Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true
아웃룩에서 계정설정시 다음과 같이 모던인증이 활성화 됩니다. (제 테스트 환경은 ADFS가 구성되어 있습니다.)
그리고 아웃룩의 연결상태에서 Authn 이 전달자* (Bearer*)로 표시되는 것을 확인합니다.
모바일 상에서도 Exchange (Hybrid) 유형으로 추가됩니다.
조건부 액세스에 MFA를 설정하면 다음과 같이 MFA 설정을 유도합니다.
사용자 로그인 로그를 통해서 어떻게 동작되는지 확인할 수 있습니다.
조건부 액세스 적용됨 확인
'Exchange' 카테고리의 다른 글
| Exchange Server. DAG 구성(IPLess 방식) (0) | 2021.12.25 |
|---|---|
| Exchange Server 2019. HMA Mobile App 적용범위 (0) | 2021.12.20 |
| Exchange Hybrid. AAD Sync 되지 않은 계정을 Onboarding Migration 진행 (2) | 2021.11.14 |
| Exchange Online. 비활성 사서함으로 전환하여 영구 보존 설정 (0) | 2021.11.14 |
| Exchange Server. Powershell 에서 Secondary Emaill Address 추가하는 방법 (0) | 2021.08.07 |