반응형

지난 포스팅은 Hybrid Modern Authentication(HMA) 설정하는 법만 다루었습니다.

2021.11.27 - [Exchange] - Exchange Server 2019. Hybrid Modern Authentication (HMA) 설정

 

그런데 만약 사용자가 수동으로 Exchange Active Sync(EAS) 방식으로 설정한다면, 조건부 액세스로 막을 있을까? 라는 의문이 생깁니다.

HMA 통해서 모바일 보안에 대해서 어디까지 설정이 가능할지 확인해 보겠습니다.

 

아래의 기술자료를 참고하였습니다.

Android 및 iOS용 Outlook에서 하이브리드 최신 인증 사용 | Microsoft Docs

 

 

App에서 설정 테스트를 진행해 보았습니다.

<Samsung Email App 설정>

Exchange 계정 유형 선택

 

계정 정보 입력

 

아래와 같이 메시지 나타나면서 설정 실패

 

Office365 유형을 선택

 

계정 정보 입력

 

ADFS 페이지로 전환하여 로그인

 

2단계 인증 진행

 

Samsung Email 허용

 

계정설정 실패 확인

  • 수동 설정 메뉴로 이동하면, outlook.office365.com 설정 값을 가져옵니다.
  • 수동 설정시에는 연결되지만 MFA 요구하지 않음

 

<Gmail App>

Exchange Office 365 유형 선택

 

계정 정보 입력

 

ADFS 페이지에서 로그인

 

2단계 인증 진행

 

설정 완료

 

<Apple Mail App>

Microsoft Exchange 선택

 

계정 설정 - 로그인

 

ADFS 페이지에서 로그인 진행

 

2단계 인증 진행

 

Apple Mail App 허용

 

설정 완료

 

우선 HMA 구성하였을 , Android Outlook, Gmail App 지원되며, iOS Outlook, Apple Mail App 지원합니다.

(Samsung Email App 지원되지 않습니다. 2021 12 20 기준)

 

 

여기까지만 보면, HMA 설정하면 2단계 인증을 지원하네? 라고 생각할 있습니다.

HMA 설정과정에서 Exchange Active Sync(EAS) 인증방식을 변경하는 부분은 없었습니다.

EAS 여전히 기본 인증 방식을 사용합니다. , 수동설정시 MFA 요구하지 않으며, 조건부 액세스에서 EAS 대한 제어가 온프레미스 계정에는 해당하지 않는다는 것을 의미합니다.

 

그래서 MS 가이드에서는 EAS Block하고, Outlook App 사용하도록 권장합니다.

 

#EAS Block Default Policy

Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block

  • 명령어를 적용하면 모든 EAS 연결이 끊어집니다.

 

이렇게 경우 Outlook App MAM까지 적용이 가능합니다.

MAM 적용 캡쳐 방지 정책이 올바르게 동작되었습니다.

 

그런 의미에서 Exchange (Hybrid) 라는 의미는 Active Sync와는 다른 것으로 보입니다.

 

HMA 활성화 하면 아래와 같은 구조로 동기화 되기 때문에 EAS Block해도 영향을 받지 않습니다.

 

테스트를 마치고 나니 아래와 같은 흐름을 이해할 있었습니다.

 

결론

HMA 최적화는 Outlook App 되어 있음.

시간이 지나도 3rd Party에서 제대로 지원되기는 어려움

Outlook App에서만 사용한다면 MAM, 조건부 액세스 적용이 가능하므로 보안은 강화할 있음

반응형

+ Recent posts