지난 포스팅은 Hybrid Modern Authentication(HMA) 를 설정하는 법만 다루었습니다.
2021.11.27 - [Exchange] - Exchange Server 2019. Hybrid Modern Authentication (HMA) 설정
그런데 만약 사용자가 수동으로 Exchange Active Sync(EAS) 방식으로 설정한다면, 조건부 액세스로 막을 수 있을까? 라는 의문이 생깁니다.
HMA를 통해서 모바일 보안에 대해서 어디까지 설정이 가능할지 확인해 보겠습니다.
아래의 기술자료를 참고하였습니다.
Android 및 iOS용 Outlook에서 하이브리드 최신 인증 사용 | Microsoft Docs
각 App에서 설정 테스트를 진행해 보았습니다.
<Samsung Email App 설정>
Exchange 계정 유형 선택
계정 정보 입력
아래와 같이 메시지 나타나면서 설정 실패
Office365 유형을 선택
계정 정보 입력
ADFS 페이지로 전환하여 로그인
2단계 인증 진행
Samsung Email 허용
계정설정 실패 확인
- 수동 설정 메뉴로 이동하면, outlook.office365.com 의 설정 값을 가져옵니다.
- 수동 설정시에는 연결되지만 MFA를 요구하지 않음
<Gmail App>
Exchange 및 Office 365 유형 선택
계정 정보 입력
ADFS 페이지에서 로그인
2단계 인증 진행
설정 완료
<Apple Mail App>
Microsoft Exchange 선택
계정 설정 - 로그인
ADFS 페이지에서 로그인 진행
2단계 인증 진행
Apple Mail App 허용
설정 완료
우선 HMA만 구성하였을 때, Android는 Outlook, Gmail App 만 지원되며, iOS는 Outlook, Apple Mail App 을 지원합니다.
(Samsung Email App은 지원되지 않습니다. 2021년 12월 20일 기준)
여기까지만 보면, HMA를 설정하면 2단계 인증을 지원하네? 라고 생각할 수 있습니다.
HMA 설정과정에서 Exchange Active Sync(EAS)의 인증방식을 변경하는 부분은 없었습니다.
즉 EAS 는 여전히 기본 인증 방식을 사용합니다. 즉, 수동설정시 MFA를 요구하지 않으며, 조건부 액세스에서 EAS에 대한 제어가 온프레미스 계정에는 해당하지 않는다는 것을 의미합니다.
그래서 MS 가이드에서는 EAS 를 Block하고, Outlook App만 사용하도록 권장합니다.
#EAS Block Default Policy
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
- 명령어를 적용하면 모든 EAS 연결이 끊어집니다.
이렇게 할 경우 Outlook App 에 MAM까지 적용이 가능합니다.
MAM 적용 후 캡쳐 방지 정책이 올바르게 동작되었습니다.
그런 의미에서 Exchange (Hybrid) 라는 의미는 Active Sync와는 다른 것으로 보입니다.
HMA를 활성화 하면 아래와 같은 구조로 동기화 되기 때문에 EAS를 Block해도 영향을 받지 않습니다.
테스트를 마치고 나니 아래와 같은 흐름을 이해할 수 있었습니다.
결론
HMA 의 최적화는 Outlook App만 되어 있음.
시간이 지나도 3rd Party에서 제대로 지원되기는 어려움
Outlook App에서만 사용한다면 MAM, 조건부 액세스 적용이 가능하므로 보안은 강화할 수 있음
'Exchange' 카테고리의 다른 글
[EOS시리즈2](1) Exchange Server 2013 to 2019 Migration Check List (0) | 2021.12.27 |
---|---|
Exchange Server. DAG 구성(IPLess 방식) (0) | 2021.12.25 |
Exchange Server 2019. Hybrid Modern Authentication (HMA) 설정 (0) | 2021.11.27 |
Exchange Hybrid. AAD Sync 되지 않은 계정을 Onboarding Migration 진행 (2) | 2021.11.14 |
Exchange Online. 비활성 사서함으로 전환하여 영구 보존 설정 (0) | 2021.11.14 |