반응형

기존 Exchange 온프레미스 계정은 MFA 인증을 사용할 없었습니다. OWA, ECP 경우 ADFS 연계를 통해서 MFA 사용할 있지만, Outlook, Exchange Active Sync 등에서는 MFA 사용할 없기 때문에 보안을 강화할 없었습니다.

지난 포스팅

2020.08.21 - [Exchange] - Exchange Server 2019. ADFS 를 이용하여 OWA, ECP 사이트에 대한 클레임 인증 설정

 

 

Hybrid Modern Authentication (HMA) 설정하면, 기술자료 상에서 최신 인증 (Modern Authentication) 사용할 있다고 나와 있습니다. 인증과 관련하여 Oauth, ADAL, 모던 인증 다양하게 표현됩니다. 저는 보통 하이브리드 모던 인증으로 부릅니다.

Authentication methods: MFA(다단계 인증), 스마트 카드 인증, 클라이언트 인증서 기반 인증
Authorization methods: Microsoft의 OAuth(Open Authorization) 구현
Conditional access policies: MAM(모바일 응용 프로그램 관리) 및 Azure AD(Azure Active Directory) 조건부 액세스

 

기술자료

하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한 필수 구성 요소 - Microsoft 365 Enterprise | Microsoft Docs

 

하이브리드 최신 인증 개요 및 온-프레미스 비즈니스용 Skype 및 Exchange 서버에서 사용하기 위한

이 문서에서는 하이브리드 최신 인증 및 하이브리드 서버 및 하이브리드 서버와 함께 사용하기 위한 비즈니스용 Skype Exchange 있습니다.

docs.microsoft.com

[최신 인증 상태 확인]

아래의 명령어로 최신 인증상태를 확인합니다.

Get-OrganizationConfig | ft OAuth*

Exchange Hybrid 구성은 진행했다는 전제하에 작성하였습니다.

아래의 기술자료를 참고하여 구성하였습니다.

하이브리드 최신 인증을 사용하도록 Exchange Server 온-프레미스를 구성하는 방법 - Microsoft 365 Enterprise | Microsoft Docs

 

[Azure AD에서 온-프레미스 웹 서비스 URL SPN으로 추가]

먼저 AAD에 추가해야 하는 모든 URL을 수집합니다. 온프레미스에서 다음 명령을 실행합니다.

Get-MapiVirtualDirectory | FL server,*url*
Get-WebServicesVirtualDirectory | FL server,*url*
Get-ClientAccessServer | fl Name, AutodiscoverServiceInternalUri
Get-OABVirtualDirectory | FL server,*url*
Get-AutodiscoverVirtualDirectory | FL server,*url*
Get-OutlookAnywhere | FL server,*hostname*

아래의 순서로 등록 절차를 진행합니다.

#Azure AD 연결
Connect-MsolService

#Exchange URL 등록여부 확인
Get-MsolServicePrincipal -AppPrincipalId 00000002-0000-0ff1-ce00-000000000000 | select -ExpandProperty ServicePrincipalNames

#등록되어 있지 않다면, 다음 명령어로 등록 진행
$ServiceName = "00000002-0000-0ff1-ce00-000000000000";
$x = Get-MsolServicePrincipal -AppPrincipalId $ServiceName;
$x.ServicePrincipalnames.Add("https://mail.contoso.kr/");
$x.ServicePrincipalnames.Add("https://autodiscover.contoso.kr/");
Set-MSOLServicePrincipal -AppPrincipalId $ServiceName -ServicePrincipalNames $x.ServicePrincipalNames;

 

 

[가상 디렉터리가 올바르게 구성되었는지 확인]

온프레미스에서 다음 명령어로 Oauth 활성화 되어 있는지 확인합니다.

Get-MapiVirtualDirectory | FL server,*url*,*auth*
Get-WebServicesVirtualDirectory | FL server,*url*,*oauth*
Get-OABVirtualDirectory | FL server,*url*,*oauth*
Get-AutoDiscoverVirtualDirectory | FL server,*oauth*

[EvoSTS 인증 서버 개체가 있는지 확인]

Get-AuthServer | where {$_.Name -like "EvoSts*"} | ft name,enabled

[HMA 활성화]

EXCH 버전이 Exchange 2016(CU18 이상) 또는 Exchange 2019(CU7 이상)이고 하이브리드가 2020년 9월 이후 다운로드된 HCW로 구성된 경우 온-프레미스 Exchange 관리 셸에서 다음 명령을 실행합니다.

 

Set-AuthServer -Identity "EvoSTS - {GUID}" -DomainName "Tenant Domain" -IsDefaultAuthorizationEndpoint $true
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true

 

아웃룩에서 계정설정시 다음과 같이 모던인증이 활성화 됩니다. ( 테스트 환경은 ADFS 구성되어 있습니다.)

 

그리고 아웃룩의 연결상태에서 Authn 전달자* (Bearer*) 표시되는 것을 확인합니다.

 

모바일 상에서도 Exchange (Hybrid) 유형으로 추가됩니다.

 

조건부 액세스에 MFA 설정하면 다음과 같이 MFA 설정을 유도합니다.

 

사용자 로그인 로그를 통해서 어떻게 동작되는지 확인할 있습니다.

 

조건부 액세스 적용됨 확인

 

반응형

+ Recent posts